Geri Dön

Kurumsal güvenlik incelemesi ve bir çözüm önerisi

Enterprise security analysis and a solution proposal

PDF İndir

  1. Tez No: 445114
  2. Yazar: AYŞE BİLGE GÜNDÜZ
  3. Danışmanlar: DOÇ. DR. BERK CANBERK, PROF. DR. EŞREF ADALI
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2016
  8. Dil: Türkçe
  9. Üniversite: İstanbul Teknik Üniversitesi
  10. Enstitü: Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Belirtilmemiş.
  13. Sayfa Sayısı: 87

Özet

Bilgi ve bilgisayar güvenliğini iki ortam için farklı düşünmek gerekir; Bireysel kullanım amaçlı bir bilgisayarın güvenliği söz konusu olduğunda, bilgisayara girme ve bu bilgisayarda bulunan veriler üzerinde işlem yapabilme akla gelmektedir. Kurumsal bilgi sisteminin güvenliği söz konusu olduğunda, çok sayıda bilgisayardan oluşan bir yapının güvenliği düşünülmelidir. Bilgisayar sayısının çokluğu ve bunların birbirine yerel bilgisayar ağı (YBA) ile bağlı olmaları; YBA üzerinde başka donanımların bulunması, kurumsal bilgi sisteminin güvenliğini karmaşık hale sokmaktadır. Kurumların koruması gereken varlıkları, verileri, kaynakları ve özellikle de saygınlıklarıdır. Özellikle toplumda saygın konumu olan üniversiteler, bankalar ve kamu kuruluşlarının birinde olabilecek bir güvenlik açığı, bu kuruluşa olan güveni çok sarsar. Örneğin, İnternet bankacılığındaki bir güvenlik açığının toplum tarafından öğrenilmesi, müşterilerin o bankadaki hesaplarını kapatmasına neden olabilir. Ya da İTÜ gibi saygınlığı ön planda tutan ve tutması da gereken bir kurumun sistemindeki bir güvenlik açığının kullanılıp veri çalınması, okulun itibarını yerle bir edecek ve okula duyulan güveni de sarsacaktır. Bugün Türkiye'de hala üniversiteler için belirlenmiş zorunlu bir güvenlik politikası bulunmamaktadır, ancak önümüzdeki dönemlerde bu standartların belirlenmesi kaçınılmaz olacaktır. Bir kurumun güvenlik politikası belirlenmeye karar verildiğinde, incelemeye, ilk olarak kurum içi bilgi sisteminin yapısını tanımayla başlanmalıdır. Kurum içi bilgi sistemlerine zaman içinde sürekli eklemeler yapıldığı için, donanımların görev ve işlevleri unutulabilmektedir. Bu nedenle, sistem içindeki tüm donanımların ve yazılımların konumları ve işlevleri ortaya konmalıdır. Bu öğrenme aşamasının ardından, bilgi güvenliğini artıracak birimler konusunda çalışmalar yapılmalıdır. Bu bağlamda, tezde İTÜ Otomasyon Sistemi için incelemeler yapılmış ve bu incelemeler sonucunda, muhtemel güvenlik açıklıklarının olabileceği yerler saptanmaya çalışılmış, ileride güvenlik sorunu yaşanmaması için alınması gereken önlemler yöneticiye bildirilmiştir. Sistemde güvenlik açıklığı olup olmadığı temel güvenlik sorgulama çalışmalarıyla ve sınayarak ortaya çıkarılmıştır. Bu önlemler ve standartların belirlenmesi aşamasında ISO 27001 politikalarından ve 27002 yönergelerinden yararlanılmıştır. Yukarıda anlatılanlar dış kullanıcılardan kaynaklanan sorunlardır, ancak bilgi güvenliği sistemlerinin genel özelliklerinden bilindiği üzere iç kullanıcılardan kaynaklanan sorunlar da yaşanabilmektedir. Tezin amacı hem iç hem de dış kullanıcıların sebep olacağı güvenliği bozucu davranışların ortaya çıkarılmasıdır. Bu yüzden, ikinci aşamada Otomasyon Sistemleri için öğrencinin notlarının girişi, notların değişmesi durumunda düzeltimi ve mezuniyet durumu gibi oldukça hassas durumlar incelenmiştir. Bu gibi durumların dikkate alınmaması en hafif hali ile haketmediği notu alan öğrencilerin bulunması ve en ağır hali ile de belki de okula hiç kayıt olmamış öğrencilerin mezun olması ile sonuçlanacaktır. Bu problemlerin yaşanmadığı hiç yaşanmayacağı anlamına gelmediği için öncesi yaşanabilecek güvenlik problemlerini en aza indirmek amacıyla Not Girişi, Not Düzeltimi ve Mezuniyet Durumu Kontrolünü güvenli hale getirebilmek amacıyla bir sistem önerilmiştir. Sisteme göre öğretim üyesi not girişini masa üstü bir uygulama üzerinden internete bağlı olmaksızın gerçekleştirecek ve sonrasında bunun EVA (Elektronik Veri Aktarımı) ya da XML formatında hem kendisi için bir kopyasını saklayacak hem de kendi fakültesinin veri tabanına gönderecek ve buradan da şifreli bir haberleşme ile Öğrenci İşleri veri tabanı ile paylaşılacaktır. Not Düzeltimi içinse bu işlem bir karar yazışması ile birlikte gerçekleştirilir. Bu yüzden not düzeltme işlemini gerçekleştiren öğretim üyesi not belgesini EVA ya da XML formatında fakülteye gönderir. Fakülte önce not değişimi için gelen yazışmayı kendi yazışma veri tabanına kaydeder, not belgesini de not için oluşturulmuş olan veri tabanına kaydedip, sonrasında not belgesini ve yazışmayı şifreleyerek öğrenci işleri ile arasında kurulan güvenli bağlantı aracılığıyla öğrenci işlerine gönderir. Öğrenci işlerinde yazışma delil olması için yazışma veri tabanına, not belgesi de öğrenci veri tabanına kaydedilecektir. Öğrencinin mezuniyet durumunda ise, hem fakülte veri tabanındaki hem de öğrenci veri tabanındaki notlar karşılaştırılır ve eğer ikisi birbirinin aynısı ise,“öğrenci mezun olabilir”bilgisi verilir. Eğer farklılıklara rastlanırsa,“öğrenci mezun olamaz”bilgisi döner ve bu aşamada farklılık sorgulaması işlemleri başlatılır. Not düzeltme yazıları da elektronik belge haline getirileceği için yapılan tüm not değişikliklerinin de bir resmi tutanağı üretilmiş olacaktır. Bu tutanak hem fakültede hem de öğrenci otomasyon sisteminde tutulacağı için de bir araştırma sırasında karşılaştırma olanağına sahip olunacaktır. Son aşamaya gelindiğinde eylem tutanakları üzerinde çalışıldı ve Otomasyon Sistemine karşı gerçekleştirilecek içeriden tehditleri tespit edecek bir karar destek yazılımı geliştirilmiştir. Karar destek yazılımını oluşturabilmek için bir kural listesi hazırlanmıştır. Tez 5 ana bölümden oluşmaktadır: Giriş bölümü ile çalışılan konu ve çevresel faktörleri genel detayları ile anlatılması amaçlanmıştır. Bir sonraki bölümde Kurumsal Güvenlik kavramı üzerinde durulmuştur. 3. bölümde güvenlik açıklıklarının araştırması yapılmıştır. Daha güvenli sistem oluşturmak için önerilerde bulunulmuştur. 4. bölümde yetkili kişilerin davranışlarından kalkılarak sınıflandırmaları, her sınıfı karakterize eden özelliklerin ortaya çıkarılması, bunun sonucu olarak da aykırı davranışta bulunanların saptanması yapılmıştır. Ortaya çıkan sonuçlara bakarak yetkilendirmelerin nasıl yapılması konusunda bir öneri listesi oluşturulmuştur. Bu aykırı davranış biçimlerinin bulunması için eylem tutanaklarından yararlanılarak aykırı davranışları ortaya çıkaran bir karar destek yazılımı geliştirilmiştir. Bu geliştirilen yazılım İTÜ Otomasyon Sisteminin kullanması için verilmiştir. Son olarak da Sonuç ve Öneriler kısmı yer almaktadır.

Özet (Çeviri)

Over the past half a century, organizations have implemented information systems for managing their business processes. These information systems have now evolved into as commonly known as enterprise information systems. Computer and Information Security are needed to think in a different way for two circumstances. When personel computers' security is concerned; access to computer and can operate on data on this computer comes to mind. On the other hand, when security of enterprise information system comes to mind, a structure which consist of lots of computers, should be concerned. Enterprise networks, today carry a range of mission critical communications. The sheer number of computers to be connected to each other with local computer network; the presence of other hardwares on it, makes complicate the security of enterprise information systems. Enterprise information security architecture is a key component of information security processes. Organizations amass a great deal of confidential information about their employees and users. Most of this information is now collected, processed and stored in an online warehouses and transmitted across networks to other online devices. Organizations should protect their datas, sources and especially their reputation. When a vulnerability found in system and some confidential datas are leaked by a black hat hackers from this kind of organizations which has respected positions in society like universities, banks and public institutions, is undermine the confidense in these organizations. It will be a massive damage for any organizations who faced with these problems. For instance, when society learns a vulnerability show up in internet banking application, sooner or later it will cause customers cancel their accounts in bank. Or, if a hacker found a vulnerability and theft datas and leaked from the systems an institution like İTÜ, will bring down the reputation of the school and will also undermine the confidense of the school in the eyes of public. Today, there is still no mandatory security policy for universities in Turkey, but it would be unevitable in the coming period. Because, managing the security of enterprise information systems has become a critical issue in this century. Hacktivism and cyber warefares are spreading all over the world. One day, if one of the universities officers computer turns out to be used as a zombie computer for an attack to an organization; it would be a big scandal not only for public citizens, but also for all country. To illustrate of this, it is obviously known that all officers are admin on their computers and some days their children plays games on these computers, especially flash games. And most of these games carried malwares, flash games are the most common one. When user starts and play the game, malware locate itself sneaky in operating system and some of them transform computer as a zombie to use future attacks, some of them taking videos of desktop and stores all key actions of users. In a nutshell, for all these reasons, universities should have standard security policy and they should comply with all specifications, carefully. Security can not be managed, unless it can be measured. The need for metrics is important for assessing the current security status, to develop operational best practices. To develop an organization's security policy, the review should be made and it should be started firstly with the diagnosis of in-house information systems to find metrics. Because of the fact that, there is continuous additions to in-house information systems, tasks and functions of the hardwares can be forgotten in times. Therefore, the positions and functions of all hardwares and softwares should be put forth. After this learning phase, some works about units which will improve of information security and its awareness should be made. In this context, examinations for İTÜ Automation System (a.k.a Student Affairs) have been made and as a result of this examination, it is tried to determine the possible security vulnerabilities and also determined precautions are reported to the manager to prevent from the security problems in the future, in these thesis. It is revealed with basic security questioning and examining the system, whether a vulnerability exist or not. Besides, security performance measurement by using standardized metrics gained increasingly interest during the last years with the help of guidelines, code of practices and standards accepted widely over the world. Therefore, the policy of ISO 27001 and instructions of 27002 are used to determine precautions and standards. By preparing these a policy for university, it is aimed to be as possible as protected from the external attack. All organizations need to build an information security architecture to keep secure their systems and all organizations should keep in their mind that information security policy is not an option instead it is an obligation in this era. Those described above are mentioned about problems which are caused by external users, but there can be problems arising from internal users as it is known as the general characteristics of the information security system. The aim of this thesis is to reveal the security disruptive behavior will arise because of both internal and external users. Therefore, in second phase extremely sensitive situations like student Grade Entrance, Grade Correction and Graduation Status Controls are investigated for Automation System. The existence of students who don't deserve their notes in lightest form and in the graduation of the students even did not record in school with the most severe form of result the ignoring such cases. Because of not experienced these kind of problems don't mean it will never be, studies are conducted in order to minimize problems that may arise in future. A system is recommended to make more secure of Grade Entrance, Correction and Graduation Status Control. According to the recommended system, while teaching staff will enter notes, they'll make it on a desktop application which is not connected to internet. After that, the application create note document as EVA or XML format and both they will store original documents in application and send a copy to the database of own Faculty. Finally, Faculty will share the document with encrypted connection with Student Affairs' database. Besides, that Grade Correction is carried out with decision correspondence document. Hence faculty member who made the grade correction sends grade documents to the faculty as EVA or XML format. Faculty, store grade correction correspondense its related database firstly, then stores grade document to its related database. Finally, faculty sends both documents to Student Affairs through secure connection line established between two sides to be stored also in there. Securiy Affairs stores those documents to related databases to be an evidence for future. Grade documents will be stored in grade databases and correction correspondence document will be stored in correspondense databases; so there will be two databases in there, too. In the case of a student's graduation, both Faculty database and Automation database will cross-check with each other, and if both results are same then“student can graduate”information will be send to Student Affairs. Otherwise, they will be informed with a message which carries“student can't graduate. Results do not match.”Right after, an investigation will be started to understand the reason of different grade results. Storing Grade Correction Correspondece document as an electronic format in both Faculty database and Automation database, makes any investigation easier. In final stage, a decision support software developed. It works with log files which have taken from Student Affairs Department and it aims to investigate insider threat in Automation System. Coverage of this work may be one of the following: it can be a student who sell lessons in a black market or it can be lecturer who abuse system with his/her powers, even it can be a Student Affairs' officer who change students' grade exchange with money. Some metric rules are needed to be created to develope a decision support machine software. In this stage software aims to find authenticated user who abused the Automation's system. The thesis consists of five main sections: first of all it begins with Introduction Section that aims to express main details of studied subject and its environmental factors. Next Section dwell on Enterprise Information Security Concept and expresses it in some detail based on known standards which are specified by Standardization Organizations like SANS, ISO etc. In Section Three an investigation made to find vulnerability in system. A questionare is prepared for Student Affairs officers and according to their answers actions are taken and possible vulnerabilities are determined. After that based on possible vulnerability points, counter measures are spesified to build more secure system. Counter measures are prepared as suggestions list and it is delivered, right after that. In Fourth Section authorized users behaviours investigated from logs and tried to create characterization for each classes according to metric rules. In this work, it is aimed to find improper actions and abusements has been acted by authorized users. Thus, results which ensued from possible improper action, are examined and another list prepared to examine whether there is an bad action had been made by users. Decision Support Software creates lists according to log files from Automation System to ensue those improper action. The software is delivered to İTÜ Automation System to be used. Eventually, Final Section is consist of conclusions and recommendations. Besides of all conclusions about above sections, this section includes recommended system to make more secure Grade Entrance, Correction and Student Graduation stages. Also why recommended system is more secure than the current one is explained in details.

Benzer Tezler

  1. Tez No

    723551

    Açık ve uzaktan öğrenmede siber güvenliğin teknik destek hizmetleri kapsamında incelenmesi

    Examination of cybersecurity in open and distance learning within the scope of technical support services

    SEHLA ERTAN

    Yüksek Lisans

    Türkçe

    Türkçe

    2022

    Eğitim ve ÖğretimAnadolu Üniversitesi

    Uzaktan Eğitim Ana Bilim Dalı

    PROF. DR. T. VOLKAN YÜZER

    DR. ÖĞR. ÜYESİ HAKAN KILINÇ

  2. Tez No

    846836

    Assessment of urbanization history of Addis Ababa city, Ethiopia

    Addıs Ababa cıty, Ethıopıa'nın kentleşme tarihinin değerlendirilmesi

    ABDURAHMAN HUSSEN YIMER

    Yüksek Lisans

    İngilizce

    İngilizce

    2023

    Şehircilik ve Bölge PlanlamaMersin Üniversitesi

    Şehir ve Bölge Planlama Ana Bilim Dalı

    DOÇ. DR. ALİ CENAP YOLOĞLU

  3. Tez No

    909048

    Sürdürülebilir kent parkları için yönetim stratejileri

    Management strategies for sustainable urban parks

    HİLAL ÖZDEMİR ŞAHİN

    Doktora

    Türkçe

    Türkçe

    2024

    Peyzaj Mimarlığıİstanbul Teknik Üniversitesi

    Peyzaj Mimarlığı Ana Bilim Dalı

    PROF. DR. HAYRİYE EŞBAH TUNÇAY

  4. Tez No

    365436

    Türkiye'de sosyal güvenlik kurumu tarafından sağlık hızmeti finansmanı sağlanan hastanelerin yapılan ödeme yöntemlerine ilişkin sorunları algılama biçimleri (İstanbul ilinde bir uygulama)

    Perceptions of the problems regarding to the payment methods made to hospitals that are provided health care financing by social security institution in turkey (Case study in İstanbul)

    DİLEK PAMUKÇU

    Yüksek Lisans

    Türkçe

    Türkçe

    2014

    Sağlık Kurumları YönetimiMarmara Üniversitesi

    Hastane İşletmeciliği Ana Bilim Dalı

    PROF. DR. MEHVEŞ TARIM

  5. Tez No

    735437

    Sociotechnical imaginaries of alternative and supplementary climate measures: Narratives of Scandinavian countries

    Alternatif ve tamamlayıcı iklim tedbirlerinin sosyoteknik imgelemleri: İskandinav ülkelerinin anlatıları

    BARIŞ YİĞİT ALPAY

    Yüksek Lisans

    İngilizce

    İngilizce

    2022

    Bilim ve Teknolojiİstanbul Teknik Üniversitesi

    Bilim, Teknoloji ve Toplum Ana Bilim Dalı

    DOÇ. DR. ASLI ÖĞÜT ERBİL

Geri Dön