1 / 18

YMT 311- Information Security Lab

YMT 311- Information Security Lab. by Muhammet Baykara mbaykara@firat.edu.tr. Basic Concepts. Bilgi Güvenliği Sistemleri: Information Security Systems Bilgisayar Güvenliği: Computer Security Saldırı, Sızma, Atak: Attack, Intrusion , Hack Saldırgan: Attacker , Hacker, Intruder

dacey
Télécharger la présentation

YMT 311- Information Security Lab

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. YMT 311- Information Security Lab byMuhammet Baykara mbaykara@firat.edu.tr

  2. Basic Concepts • Bilgi Güvenliği Sistemleri: Information Security Systems • Bilgisayar Güvenliği: Computer Security • Saldırı, Sızma, Atak: Attack, Intrusion, Hack • Saldırgan: Attacker, Hacker, Intruder • Güvenlik Açığı, Açıklık:Vulnerability • Öz Bilgi:Knowledge • Hikmet: Wisdom • Saldırı Tespit Sistemleri: IntrusionDetectionSystems • Saldırı Önleme Sistemleri: IntrusionPreventionSystems • Gizlilik: Confidentiality • Bütünlük Doğruluk: Integrity • Kullanılabilirlik, erişilebilirlik: Availabilty

  3. Basic Concepts • Sosyal Mühendislik: SocialEngineering • Şifreleme: Cryptology • Bilgi Gizleme: Steganography • Klavye dinleme sistemi: Keylogger • Kötücül yazılım (analizi): Malware (analysis) • Kaynak kod istismarı-korunmasızlık sömürücü: exploit • Arka kapılar: backdoor • Hizmet aksattırma saldırısı: DoS(Denial of the Service) • Dağıtık hizmet aksattırma: DDoS • Sağanak: spam • Casus yazılım: spyware • Solucan :worm • Truva atı: trojanhorse • Kök kullanıcı takımı: rootkit • Koklayıcı, ağ izleyici: sniffer

  4. Temel Kavramlar • Bilgi Güvenliğinin temel amacı, elektronik veya diğer ortamlarda bulunan her türlü bilginin, • Gizlilik (Confidentiality) • Bütünlük (Integrity) • Kullanılabilirlik (Availability)… sürekli olarak sağlamaktır.

  5. Temel Kavramlar Confidentiality Integrity Availability

  6. Bilgi Güvenliği

  7. Bilgi güvenliği temel unsurları • Gizlilik : Bilginin yetkisiz kişilerin eline geçmemesidir. • Bütünlük : Bilginin yetkisiz kişiler tarafından değiştirilmemesidir. • Erişilebilirlik : Bilginin ilgili ya da yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olmasıdır.

  8. Temel kavramlar- Standartlar • TS ISO IEC 27001 Bilgi Güvenliği Yönetim Sistemi • UEKAE BGYS-0001 Bilgi Güvenliği Yönetim Sistemi Kurulum Kılavuzuna bilgiguvenligi.gov.tr den ulaşılabilir.

  9. ? • İnternet bankacılığına ait hesap bilgimiz bir saldırganın eline geçince ________ zarar görmüş olur. • Bir web sayfasının içeriği bir saldırgan tarafından değiştirildiğinde ________ zarar görmüş olur. • Bir web sayfasına girilemiyorsa-ulaşım sıkıntısı varsa ________    zarar görmüş olur.

  10. Bilgi Güvenliği- Kim Sorumlu? • Bilgi güvenliğinin sağlanmasından herkes sorumludur. • Bu sorumluluklar yasal olarak da ifade edilmiş ve 5651 sayılı kanun"İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi" amacı ile düzenlenmiştir.

  11. Bilgi Güvenliği- Kim Sorumlu? • Herhangi bir bilgi sisteminde aşağıdaki konumlardan herhangi birisinde iseniz sorumluluğunuz var demektir. • Bilginin sahibi • Bilgiyi kullanan • Bilgi sistemini yöneten • Bu durum çok geniş bir kitleyi içerdiğinden "bilgi güvenliğinin sağlanmasından herkes sorumludur" diye genelleme yapmakta bir sakınca yoktur.

  12. Bilgi Güvenliği- Sertifikasyon • CISA, • CISSP, • ISO 27001 LA, • CEH

  13. Bilgi Güvenliği Alanında Güncel Meslekler • #1 Information Security CrimeInvestigator/ForensicsExpert • #2 System, Network, and/or Web PenetrationTester • #3 ForensicAnalyst • #4 IncidentResponder • #5 Security Architect • #6 MalwareAnalyst • #7 Network Security Engineer • #8 Security Analyst • #9 ComputerCrimeInvestigator • #10 CISO/ISO orDirector of Security • #11 Application PenetrationTester • #12 Security Operations Center Analyst • #13 ProsecutorSpecializing in Information Security Crime • #14 Technical DirectorandDeputy CISO • #15 IntrusionAnalyst • #16 VulnerabilityResearcher/ Exploit Developer • #17 Security Auditor • #18 Security-savvy Software Developer • #19 Security Maven in an Application Developer Organization • #20 DisasterRecovery/Business ContinuityAnalyst/Manager

  14. Bazı kaynaklar-linkler • YahooSearch Engine, Google Search Engine, DogpileSearch Engine, Wikipedia Online Encyclopedia, IETF RequestForCommentsRepository, How Stuff Works, BritannicaTraditional Encyclopedia, Bing, Yandex, DuckDuckgo, Blippex, Wolframalphatemel arama motorlarının yanısıra… • http://www.nsa.gov/ • http://www.bilgiguvenligi.gov.tr/ • http://www.bga.com.tr/ • http://www.cehturkiye.com/ • http://www.iso27001bilgiguvenligi.com/

  15. Bazı Proje Önerileri: • Kurumsal Bilgi Güvenliği açısından ülkelerin geliştirdiği stratejilerin ve ülkelerin bilgi güvenliğine bakış açılarının değerlendirilmesi. (Model, yazılım, strateji, istatistik vb.) • Saldırı Tespit Sistemlerinin incelenmesi ve bir STS geliştirilmesi. • Snort, ossec, pokemon, firestorm vb. incelenmesi. • Anomali temelli saldırı tespit sistemi geliştirilmesi.mpute • Verilerin güvenli bir şekilde iletilmesine yönelik olarak kripto-steganografi uygulamaları. • Xss, sqlinjection açıklıklarının tespitine yönelik uygulamalar. • Sosyal Mühendislik maillerinin tespit edilmesine yönelik uygulamalar. • Spam maillere yönelik olarak spamsavar. • Web loglarının incelenmesiyle saldırı analizi uygulaması. • DOS, synflood saldırılarının analiz ve tespiti için çeşitli uygulamalar • Web güvenliğini sağlamak amaçlı uygulamalar (CAPTCHA‎, vb…). • Biyometrik güvenlik sistemleri, iris tanıma, parmak izi tanıma vb sistem güvenliği yazılımları • Tek kullanımlık şifre üretimi ve uygulamaları • E ticaret güvenliği • Yazılım güvenliği, güvenli kod çalışmaları ve uygulamalar

  16. Bazı Proje Önerileri • Windows azure ile güvenli bir bulut bilişim uygulaması. • Yazılım Tanımlamalı Ağ uygulamaları-SDN • Mobile yazılımlarda güvenlik açıklarını önleme-mobil güvenlik. • Mobil Bulut Bilişim uygulamaları (MCC) • Veri merkezi-bulut yapısı: Data centernetworking • Kötücül yazılım tespitlerine yönelik uygulamalar-Antimalware

  17. Araştırma • Bilgi sistemlerine yönelik olarak yapılan saldırı türleri nelerdir? • Google Hacking nedir? Araştırınız. Bir kuruma ait gizli belgeleri ele geçirerek raporlayınız! • Bilgi Güvenliği konularında literatürü tarayıp makaleler bulunup ve çevirisi yapılacaktır.

More Related