www.cakal.net Forumları YabadabaDuuuee - security hakkında bilgi..!!

Size Biraz Security Hakkında bilgi Vereyim Dokuman yazayim Bakalım Begenecekmısınız ...

Bilgi Güvenliği Eğitimi ...

ÖZET
Bilişim sistemlerinde bilginin gizliliği, özgünlüğü ve bütünlüğü gibi özelliklerinin sağlanmasının önemi büyüktür. Bilişim alanında çalışacak olan kişiler, bilgisayar sistemlerine yapılan saldırılara karşı önlem alabilecek düzeyde bilgi sahibi olmalıdır. Meslek Yüksek Okulları’nda uygulanması önerilen bilgisayar güvenliği eğitiminde, lisans ve yüksek lisans düzeylerinde verilen benzer güvenlik derslerinin tersine konular ana başlıklar olarak ele alınmakta ve öğrencinin daha çok uygulamalar üzerinde yoğunlaşması hedeflenmektedir.

Anahtar Kelimeler: Bilgi Güvenliği Dersi, Bilişim Güvenliği Temelleri

GİRİŞ

Günümüzde bilgi ile bu bilgiyi işleyen ve saklayan bilgisayar sistemlerinin saldırılara karşı korunması yaşamsal önem taşımaktadır. Teknolojinin gelişmesi ile bilgi kolaylıkla bir noktadan diğerine iletilebilmekte ve İnternet ortamı üzerinden paylaşılabilmektedir. Teknolojinin her getirdiği yenilik aynı zamanda bir zayıflık ve saldırı açığı olarak karşımıza çıkabilmektedir. Bu teknolojileri izleyecek ve bilgi güvenliğini sağlayacak kişilere her geçen gün daha çok gereksinim duyulmaktadır. Bilgi güvenliği eğitimi, güvenlik konusundaki açığı kapatmaya yönelik programlar sunmaktadır.

Bilgi güvenliği eğitimi, farklı gereksinimleri gidermeye yönelik olarak dört ana grupta toplanabilir (Bishop, 2000):
- Halkın bilinçlendirilmesi: Halk, teknolojilerin ayrıntılarını bilmek istemez. Tek öğrenmek istediği bilgisini nasıl güvenli tutabileceğidir. Bu tür eğitimde, kullanıcının tehditler ve savunma yöntemleri hakkında bilinçlendirilmesi hedeflenmektedir.
- Akademik Eğitim: Bu eğitimde güvenliğin altında yatan temel prensipler üzerinde yoğunlaşılmaktadır. Amaç öğrencileri bu prensipleri uygulayabilir, yenilerini geliştirebilir duruma (konuma) getirmektir.
- Endüstriye Yönelik Eğitim: Endüstri, kendi değerlerini koruyacak güvenlik düzenekleriyle ilgilenmektedir. Bu düzeneklerin etkin olarak güvenliği sağlaması önemlidir ve temelde yatan prensipler üzerinde pek yoğunlaşılmaz. Uygulamaya yönelik eğitim esastır.
- Ulusal Güvenliğe Yönelik Eğitim: Devletin ulusal kaynakları korumak için kullandığı yöntemlerden birisi bilgi güvenliğidir. Yasaların uygulanması ve düzenlemelerin sağlanması için güvenlik politikalarının ve sistemlerin geliştirilmesi üzerinde yoğunlaşılmaktadır. Sistemler geliştirilirken, sürecin endüstrinin önemsediği kadar düşük maliyetli (cost-effective) olması üzerinde yoğunlaşılmamaktadır.

Bilgi güvenliği eğitimi müfredat programlarında ayrı dersler olarak verilebileceği gibi, var olan derslerle de bütünleştirilebilir. İdealde, bilgi güvenliği konularının ayrı ayrı uygulanmasındansa müfredattaki uygun konulara bütünleştirilmesinin gerektiği ama bunun henüz kitaplar, kurs materyalleri ve pratik labratuvar uygulamalarında etkin olarak gerçekleşmediği gözükmektedir (Irvine ve ark., 1998). Bishop, programlama derslerinde yazılım güvenliğinin anlatılmasının önemine değinmektedir (Bishop, 1997). ACM’in iki yıllık bölümler için önerdiği ders programında işletim sistemi ve ağ temelleri derslerinde bir bölüm güvenlik konularına ayrılmıştır

Bilgi güvenliği eğitiminin içerdiği konuların çeşitliliği, kapsamlı olması ve her geçen gün değişen bir alan olmasının eğitmene getirdiği bazı zorluklar bulunmaktadır. Bu nedenle iki saatlik bir güvenlik dersinin hazırlığının on veya daha fazla saat alabileceği belirtilmiştir (Yurcik ve Doss, 2001).

Bilgisayar güvenliği dersleri, Türkiye’de çoğunlukla bilgisayar mühendisliği ve enformatik bölümlerinin yüksek lisans ve ender olarak lisans düzeyinde verilmektedir. Meslek Yüksek Okulları veya başka bir deyişle iki yıllık üniversite programlarında bilgisayar güvenliği eğitimi olarak önerilen programda, endüstriye yönelik eğitim yöntemi üzerinde yoğunlaşılmaktadır. Konunun ayrıntılarına girilmemekte, ana fikrinin verilmesi amaçlanmaktadır. Öğrencinin uygulamalar aracılığıyla konuyu anlaması hedeflenmektedir.

Bildiride öncelikle iki yıllık bölümlerde uygulanması önerilen ders programı verilecek, sonra bilgi güvenliği dersleri verilirken uygulanabilecek yöntemler anlatılacaktır.

DERS PROGRAMI

Bilgisayar Donanımı” bölümüne uygulanması önerilen ve daha çok sistem güvenlik elemanı yetiştirmeye yönelik olarak tasarlanan program dört ana bölümden oluşmaktadır. Bu programda ilk iki bölüme ağırlık verilmiş, son iki bölümün uygulanıp uygulanmaması Meslek Yüksek Okulu’na bırakılmıştır. Son iki konunun her birinin üniversitelerde ayrı dersler olarak okutulduğu unutulmamalı, öğrencinin konuyu ana başlıklarıyla (hatlarıyla) anlaması hedeflenmelidir. Bu program için önerilen bölümler aşağıdaki gibidir:
- Bilişim Güvenliği Temelleri
- Temel Bilgisayar Güvenliği
- Ağ Güvenliği
- Şifreleme

“Bilgisayar Programcılığı” bölümünde uygulanması önerilen, daha güvenli yazılımlar geliştirebilecek programcı yetiştirmeye yönelik program üç ana bölümden oluşmaktadır. Günümüzde birçok yazılımın ağ üzerinden iletişim kurarak çalıştığı göz önüne alındığında, ağ güvenliği ve ağ üzerinden geçen verilerin şifrelenmesi gerekliliği ve yöntemleri üzerinde durulması gerekmektedir. Bu nedenle “Bilgisayar Donanımı” bölümü için önerilen “Ağ Güvenliği” ve “Şifreleme” bölümleri birleştirilerek daha öz “Ağ Üzerinden İletişim ve Şifreleme” bölümünün uygulanması önerilmiştir. Bu program için önerilen bölümler aşağıdaki gibidir:
- Bilişim Güvenliği Temelleri
- Yazılım Güvenliği
- Ağ Üzerinden İletişim ve Şifreleme

Konuların ne kadar detayına girilebileceği mevcut zamana ve öğrencilerin seviyesine göre değişecektir. Her iki programın en az iki ders dönemi olarak okutulması daha etkin olacaktır.

Bilişim Güvenliği Temelleri
Programın bu bölümünde güvenlik tehditleri ve bilgi güvenliği kavramlarına değinilmektedir. Bilişim sistemlerinin tuttukları (store), ilettikleri (transmit) ve işledikleri (process) bilginin gizliliği, bütünlüğü gibi özelliklerinin korunmasının önemi ve yöntemleri anlatılmalıdır. Bilgisayar teknolojisinin kötüye kullanılmasının gerçek yaşamdan örnekler verilerek şekillendirileceği bu bölümde öğrencinin “hacker”, virus, ateş duvarı (firewall) ... vb gibi kavramları tanıması da hedeflenmektedir. Güvenlik sürecinin önleme (prevention), saptama (detection) ve kurtarma (recovery) gibi aşamalardan oluştuğu anlatılmalıdır. Güvenlik politiklarının ve güvenlik sürecinde yazılı kurallar bulunmasının önemi üzerinde durulmalıdır. Bilgisayar güvenliğinin hukuksal boyutu Türkiye’den ve dünyanın çeşitli yerlerinden örnekler verilerek gösterilmelidir.

Yazılım Güvenliği
“Bilgisayar Programcılığı” dalında uygulanması önerilen yazılım güvenliği bölümünde; istemci/sunucu sistemler için geliştirilen uygulamalarda güvenlik, kimlik denetimi (authentication) ve erişim denetiminin nasıl gerçekleştirilebileceği konuları verilmelidir.

Kapsamlı olarak sınanmış (test) ve yanlışları ayıklanmış (debug) sağlam (robust) kod geliştirilmesi, güvenli sistemler oluşturmak için esastır. Bu nedenle programlama sınıflarında bilgisayar güvenliği eğitiminin verilmesinin faydaları olacaktır (Bishop, 1997).

Bölümlerde daha önceki derslerde verilen programlama dillerinde uygulama yapılabilir. Programın bu bölümü için Java programlama dilinin uygulanması önerilmektedir. Özellikle iletişim protokolleri kullanacak istemci/sunucu uygulamalarında, Java dilinin getirdiği soket programlama ve hazır kütüphaneler gibi kolaylıklar önemli bir artı olarak ortaya çıkmaktadır.

Cornell üniversitesi bilgisayar güvenliği dersi ve Portland üniversitesi bilgisayar güvenliği pratiği dersi örnek olarak verilebilir.

Temel Bilgisayar Güvenliği
Sistem yöneticilerinin uğraştığı temel konulardan biri temel bilgisayar güvenliğidir. Alınan önlemlerin kapsamlı olması kadar kullanıcıların da bilgilendirilmesinin önemli olduğu vurgulanmalıdır.

Ana sistem (host) tabanlı güvenliğin anlatılacağı bu bölüm şu alt kısımlardan oluşmaktadır:
- Fiziksel Güvenlik: Sistemlerin fiziksel güvenliği sağlanmazsa üzerinde uygulanacak güvenlik önlemlerinin hiçbir önemi kalmamaktadır. Genel fiziksel güvenlik yöntemleri bu kısımda ayrıntılı olarak anlatılmalıdır.
- İşletim Sistemi Güvenliği: Windows ve Unix/Linux işletim sistemlerinde güvenliğin sağlanma yöntemleri anlatılmalıdır.
- Uygulama Güvenliği: Kurulan uygulamalar ile birlikte gelebilecek güvenlik açıkları ve bu açıkların saptanmasında ve önlenmesinde nelere dikkat edilmesi gerektiği anlatılmalıdır.
- Antivirüs Sistemleri: Virüsler, Truva Atları (Trojan) ve benzeri saldırılara karşı korunma yöntemleri anlatılmalıdır.
- Ana Sistem Tabanlı Güvenlik Duvarları: Özellikle sunucu sistemlerinde kurulacak güvenlik duvarları ile o sistemin korunma yöntemleri anlatılmalıdır.
- Kullanıcı Yönetimi: Sistemde var olan kullanıcıların güvenliğinin ve denetiminin sağlanmasının önemi anlatılmalıdır.

Ağ Güvenliği
Temel ağ kavramı verilerek ağ üzerinde iki aygıtın nasıl birbiriyle iletişim kurabildiği, TCP/IP protokol yığıtı konusunda temel bilgi verilmelidir. Özellikle IP versiyon 4 (ipv4)‘ün zayıflıkları ve IP versiyon 6 (ipv6)’nın bu zayıflıklara karşı sunduğu çözümlere değinilmelidir.

Dış ağlardan gelen saldırılara karşı kullanılan Ağ Güvenlik Duvarı ve Sunucu Tabanlı Güvenlik Duvarı ayrımı belirgin olarak yapılmalıdır. Saldırı Saptama Sistemleri ve benzeri saldırı saptama düzeneklerine değinilmeli ve sistem güvenlik yöneticisinin görevleri belirtilmelidir.

Şifreleme
Kriptografi yani şifre biliminin ana hatları anlatılarak önemi vurgulanmalıdır. Simetrik Şifreleme ile Asimetrik Şifrelemenin (Genel – özel Anahtarlar) farklarına konunun ayrıntısına inilmeden değinilmelidir.

Ağ Üzerinden İletişim ve Şifreleme
“Ağ Güvenliği” ve “Şifreleme” bölümlerinin özetlenerek “Bilgisayar Programcılığı” dalına yönelik hazırlanmış halidir. Bu konuların özü anlatıldıktan sonra programlamada uygulaması üzerinde yoğunlaşılmalıdır.

EĞİTİM YÖNTEMLERİ

Bilgi güvenliği eğitimi verilirken birçok değişik yöntem bir arada uygulanabilir. Yurcik ve Doss’un ayrıntılı olarak anlattığı yöntemler şu şekilde özetlenebilir (Yurcik ve Doss, 2001):
- Pratik (Hands-on) Uygulamalar: Uygulama yapılarak temel kavramların keşfedilmesi hedeflenmektedir.
- Eğlendirici Etkinlikler: Şifrelerin sınıfta kırılması veya bulmaca şeklinde hazırlanmış şifrelerin çözülmesi gibi etkinliklerle konunun daha iyi anlaşılması sağlanmaktadır.
- Gerçek Yaşam Örnekleri: Konuyla ilgili ilgi çekici, tarihi veya olabilirse güncel örnekler verilerek ders renklendirilmektedir.
- Uzman Kişi Katılımı: Bilişim sektöründen bu işi yapan kişilerin derse katılıp kendi uzmanlıkları konusunda öğrencileri bilgilendirmeleri sağlanmaktadır.
- Proje Tabanlı Eğitim: Öğrencilere projeler verilerek deney yapmaları, sunum yapmaları veya rapor sunmaları istenmektedir. Uygulamaya yönelik projeler seçilmelidir.
- Araştırmaya Yönelten Eğitim: Öğrenciye araştırma yöntemleri tanıtılmakta ve teknolojiyi izleyebilmeleri için araştırma yapmalarının yaşamsal önem taşıdığı vurgulanmaktadır.
- Saldırı /Savunma Esaslı Lab Çalışması: Öğrencilerin saldıran (offensive) ve savunan (defensive) gruplara ayrılarak sistemler üzerinde çalışma yapması sağlanmaktadır.

LABRATUVAR UYGULAMA ÖNERİLERİ

Labratuvar uygulamalarının önemi açıktır. Irvine, labratuvar uygulamalarının önemini ve güvenlik eğitiminin etkinliğinin nasıl artırılabileceğini bildirisinde detaylı olarak anlatmıştır (Irvine, 1999). Öğrenci labratuvar uygulamalarıyla konuları daha iyi kavrayabilmekte ve öğrendiği bilgiler daha kalıcı olmaktadır.

Dick Scuglik’in bir röportajda belirttiği gibi; güvenlik eğitiminde, öğrenciye bir sistemi nasıl savunacağını öğretebilmek için önce bir sisteme nasıl girilebileceğini öğretmek gerekebilecektir. Geleceğin olası bilgisayar suçlulularını yetiştirmeden nasıl güvenlik eğitimi verileceği bir sorun olarak karşımıza çıkmaktadır.

Öğrenciler iki gruba ayrılmalı; bir grup korunması istenen bir bilgisayar sistemi için savunma işlevini yerine getirirken, diğer grup o makinaya saldırıp ele geçirmeyi veya ağa bağlanamaz hale getirmeyi denemelidir. Bilgisayar sayısına göre bu gruplardaki kişi sayısı ayarlanabilir.
Bu süreçte öğrencilere benzeri saldırıları ders dışında uygulamamaları belirtilmeli, olabilirse bu saldırı uygulaması sırasında labratuvar ortamı dış ağdan ayrılmalıdır. Derste öğretilenlerin savunma amaçlı olduğu unutulmamalı, bu tür bilgilerin izinsiz ve saldırı amaçlı kullanımında oluşabilecek suç ve hukuksal boyut konusunda öğrenci bilgilendirilmeli ve uyarılmalıdır.

Labratuvar uygulamalarında kullanılabilecek ürünler iki ana grupta incelenebilir:
- Ticari Ürünlerin Kullanımı: Gerçek sistemlerde kullanılan ticari ürünlerin kullanımı sağlanarak öğrencinin bu sistemler hakkında bilgi kazanması hedeflenebilir. Okullar bu ticari ürünleri sağlayan firmalarla, ürünü sadece labratuvar ortamında kullanmak gibi özel anlaşmalar yapmaları durumunda, ücretsiz olarak bu ürünleri temin edebilir (Irvine, 1996).
- Ücretsiz Ürünlerin Kullanımı: Ücretsiz olarak temin edilebilen ve ihtiyaca göre değiştirilebildikleri için esnek bir ortam sağlayan ürünler tercih edilebilir. Bildiride bu tür ürünlerin kullanıması tavsiye edilmiştir.

İşletim güvenliği uygulamaları için Unix tabanlı bir işletim sistemi olan Linux’un kullanılması önerilmektedir. Linux, istenilen değişikliklerin yapılmasında esnek bir ortam sağladığı için tercih edilmektedir. Linux işletim sisteminde güvenlik uygulamalarına ilişkin ayrıntılı bilgi için bakınız (Çınar ve Bıçak, 2003).

Ağ güvenliği uygulamasında bilgisayarlar bir hub aygıtı aracılığıyla birbirine bağlanmalı ve bilgisayarlar birbirine veri gönderirken bir makinada koklayıcı (sniffer) programı çalıştırılmalıdır. Böylece verinin aktığı bazı yerlerde istendiğinde nasıl kolaylıkla koklayıcı programları aracılığıyla iletişimin dinlenebileceği ve geçen bilginin elde edilebileceği gösterilmelidir.

Şifreleme uygulamasında PGP yazılımı kullanılması önerilmektedir. E-posta gönderiminde başkasının genel (public) şifresiyle şifreleyip gönderme, kendi özel (private) şifresiyle sayısal imza kullanma gibi uygulamalar öğrenciye yaptırılmalıdır. PGP programının kullanımına ilişkin ayrıntılı bilgi için bakınız (Özaydemir, 2001). Verinin şifrelendiğinde iletişimi dinleyenlerin ancak anlamsız karakterler yakalayabildikleri gösterilerek güvenlikte şifrelemenin önemi vurgulanmalıdır.

KAYNAK

Saldırılar ve savunma yöntemleri her geçen gün değişmektedir. Bu değişime hiçbir basılı yayının yetişemeyeceği açıktır. O yüzden bu eğitimin temel kaynağı, içeriği sürekli güncellenen ve çeşitli kaynaklar sunan İnternet olmaktadır. İnternette bulunabilecek bu konuyla ilgili kaynakların çoğunun İngilizce olması öğrenciler için bir engeldir Güvenlik konusunda Türkçe belgeleme projesi yürüten

Bilgisayar güvenliği eğitiminde, eğitmenin güvenlik bilgisinin tam olması gerekmektedir. Burada kaynak olarak verilecek kitaplar hem eğitmenin hem de öğrencilerin eksiklerini gidermesinde yararlı olabilecektir: