KURUMSAL BİLGİ GÜVENLİĞİNDE GÜVENLİK TESTLERİ VE ÖNERİLER

Yılmaz Vural; Şeref Sağıroğlu

KURUMSAL BİLGİ GÜVENLİĞİNDE GÜVENLİK TESTLERİ VE ÖNERİLER

Öz

Kurumsal bilgilerin güvenliğinin sağlanmasında, kullanılan bilgi sistemlerinin zafiyetlerin erken teşhisi ve kısa sürede giderilmesi önemlidir. Saldırı gelmeden önce güvenlik zafiyetleri tespit edilerek giderilmesini sağlayan güvenlik testleri kurumsal bilgi güvenliğinin sağlanması açısından büyük önem taşımaktadır. Yüksek seviyede kurumsal bilgi güvenliğinin sağlanması için güvenlik testlerinin tanımı ve hangi amaçla kullanıldığının kurumlar tarafından bilinmesi ve uygulanması gereklidir. Güvenlik testleri, kurumların ihtiyaçları doğrultusunda, belirli bir yöntem ve disiplin çerçevesinde etik kurallara saygılı güvenlik uzmanları tarafından yapılması gerekmektedir. Literatür incelendiğine, kurumsal bilgi güvenliği konusunda kapsamlı ve güncel bilgilerin bulunmadığı, çalışmaların tüm kavramları kapsamadığı, pek çok bilginin ise güvensiz ve ticari web sitelerinden sunulduğu, olanların ise kısa tanımlamaları ve açıklamaları sunduğu belirlenmiştir. Bu çalışmada, kurumsal bilgi güvenliğinin sağlanmasında önemli bir role sahip olan güvenlik testleri ile standartlar ve kılavuzları geliştiren kurumlar kapsamlı olarak sunulmuştur. Sonuç olarak, bu çalışmanın güvenlik farkındalığını arttıracağı, yeni çözüm önerilerinin geliştirilmesi ve uygulanmasını kolaylaştıracağı, sunulan önerilerin hayata geçirilmesiyle de yüksek seviyede kurumsal bilgi güvenliğinin sağlanmasına katkılar sağlaması beklenmektedir.

Anahtar Kelimeler

Bilgi güvenliği, kurumsal bilgi güvenliği, bilişim güvenliği, güvenlik testleri, sosyal mühendislik, güvenlik tes standartları.

Kaynakça

Federal Office for Information Security “A Penetration Testing Model” BSI, Bonn, 6-9, 93, 2002.
Cole, E., Krutz, R., Conley, J. W., “Security Assessments, Testing, and Evaluation”, Network Security Bible, Wiley Publishing Inc., Indianapolis, 607-612, 2005.
Geer, D., Harthorne, J., “Penetration testing: a duet” IEEE 18th Annual Computer Security Applications Conference, Las Vegas, 185, 2002.
Budiarto, R., Ramadass, S., Samsudin, A., Noor, S., “Development of Penetration Testing Model for Increasing Network Security”, IEEE International Conference on Information & Communication Technologies: From Theory to Applications, Damascus, 563, 2004.
Nilsson, J., “Vulnerability Scanners” Yüksek Lisans Tezi, Department of Computer and Systems Sciences Royal Institute of Technology, Stockholm, 28-30, 2006.
Braden J., “Penetration Testing – Is it right for you?” SANS Institute, Maryland, 1, 2002.
İnternet: Corsaire Limited “What is a Penetration Test?” http://www.penetration-testing.com (21.03.2007).
İnternet: Wikipedia “Penetration Test” http://en.wikipedia.org/wiki/Penetration_testing (21.03.2007).

Lammle, T., “CEH Certified Ethical Hacker Review Guide”, Sybex Inc., Alameda, 8, 2005.
Harris, S., Harper, A., Eagle, C., Ness, J., Lester, M., “Gray Hat Hacking: The Ethical Hacker's Handbook”, McGraw-Hill Osborne Media, New York, 73, 2004.
Manzuik, S., Gold, A., Gatford, C., “Network Security Assessment from Vulnerability to Patch” Syngress Publishing Inc., Rockland, 104, 2007.
Dautlich, M., “Penetration Testing — the Legal Implications” Computer Law & Security Report, 20(1):41, 2004.
Cohen, F., “Managing Network Security — Part 9: Penetration Testing?”, Network Security, 1997(8):13, 1997.
Schultz, E., “Hackers and Penetration Testing”, Network Security, 1997(10):10, 1997.
Midian, P., “Perspectives on Penetration Testing”, Computer Fraud & Security, 2002(6):15, 2002.
Weissman, C., “Security Penetration Testing Guideline”, Handbook for the Computer Security Certification of Trusted Systems, Center for Secure Information Technology Naval Research Laboratory,Washington, 2, 1995.
Dahl, M. O., “Using Coloured Petri Nets in Penetration Testing”, Yüksek Lisans Tezi, Department of Computer Science and Media Technology Gjøvik University, Gjøvik, 18, 2005.
Abrams, D. M., “FAA System Security Testing and Evaluation-Technical Report”, MTR 02W0000059, Virginia, 3-7, 2003.
Schneier, B., “The Process of Security”, http://infosecuritymag.techtarget.com/articles/april00/columns_cryptorhythms.shtm (21.03.2007).
İnternet: Wilson, M., “Demonstrating ROI for Penetration Testing (Part One)” http://www.securityfocus.com/infocus/1715 (22.03.2007).
Landwehr, C. E., Bull, A. R., Mcdermott, J. P., Choi, W. S., “A Taxonomy of Computer Program Security Flaws” ACM Computing Surveys, 26(3), 214-215, 1994.
Splaine, S., “Testing Web Security-Assessing the Security of Web Sites and Applications”, Wiley Publishing Inc., Indianapolis, 3-4 (2002.
Heald, A., E., “Understanding Security Testing” Infosec Writers, 8, 2005.
Symantec Corp., “Symantec Internet Security Threat Report Trends for July–December 06” Symantec Volume XI, Cupertino, 24-64, 2007.
Gordon, L. A., Loeb, M. P., Lucyshyn, W., Richardson, R., “CSI/FBI, Computer Crime and Security Survey”, FBI Computer Security Institute, 1- 26, 2005.
Koç.net Haberleşme Teknolojileri ve İletişim Hizmetleri A.Ş., “Türkiye İnternet Güvenliği
Araştırma Sonuçları 2005”, koc.net, İstanbul, 5- 12, 2005.
Üneri, M., “BT Güvenliği Güncel Durum ve Eğilimler”, TÜBİTAK-UEKAE Kamu Kurumları Bilgi Teknolojileri Güvenlik Günü, Ankara 27- 35, 2006.
Eriş, M., “Türkiye Kamu Kurumları BT Güvenlik Analiz Sonuçları ve Çözüm Önerileri”, TÜBİTAK–UEKAE Kamu Kurumları Bilgi Teknolojileri Güvenlik Günü, Ankara, 7-9, 2006.
Eriş, M., “Kamu Kurumları Bilgi Teknolojileri Güvenlik Günü Anket Sonuçları”, TÜBİTAK–UEKAE Kamu Kurumları Bilgi Teknolojileri Güvenlik Günü, Ankara, 10-32, 2006.
The Australian High Tech Crime Centre, “Australian Computer Crime & Security Survey”, AusCERT, Canberra, 12, 2006.
National ICT Security & Emergency Response Centre, “Malaysia ISMS Survey”, NISER-ISMS Survey, Kuala Lumpur, 4, 35-40, 2003.
Mitnick, K. D., Simon, W. L., “Aldatma Sanatı”, Nejat Eralp Tezcan, ODTÜ Yayıncılık, Ankara, 303, 2006.
İnternet: Wikipedia “Brute Force Attack” http://en.wikipedia.org/wiki/Brute_force_attack (22.03.2007).
İnternet: Columbia University Computer Science Department “A Distributed Denial of Service Attack” http://nsl.cs.columbia.edu/projects/sos/ (22.03.2007).
Northcutt, S., Zeltser, L., Winters, S., Kent, K., Ritchey, W. R., “Inside Network Perimeter Security”, Sams Publishing, Indiana, 540-550, 2005.
Layton, P. T., “Penetration Studies – A Technical Overview”, SANS Institute, Maryland, 3-7, 2002.
National Infrastructure Security Co-ordination Centre, “Commercially Available Penetration Testing”, NISCC-Best Practice Guide, London, 24, 2006.
Long, J., “Google Hacking for Penetration Testers”, Syngress Publishing Inc., Rockland, 135- 137, 2005.
Potter, B., McGraw, G., “Software Security Testing” IEEE Security & Privacy Magazine,2(5): 81, 2004.
Search Security Definitions, “Vulnerability analysis”, http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci1176511,00.html (22.03.2007).
Knight, E., “Computer Vulnerabilities”, Artech House, Boston, 7-9, 2000.
Foster, J., C., Liu, V., “Writing Exploits and Security Tools”, Syngress Publishing Inc., Rockland, 16, 2006.
İnternet: SearchSecurity Definitions, “Zero-day Exploit”, http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci955554,00.html (23.03.2007).
Singh, P., Mookhey, K.K., “Metasploit Framework, Part 1” http://www.securityfocus.com/infocus/1789 (23.03.2007).
Özavcı, F., “Metasploit Framework ile Güvenlik Denetimi”, Linux Şenliği ODTÜ, 4-5, 2006.
Tiller, J. S., “A Framework for Business Value Penetration Testing”, Auerbach Publications, New York, 288- 291, 2005.
İnternet: ISECOM “The Open Source Security Testing Methodology Manual”, http://www.isecom.org/osstmm (23.01.2007).
Herzog, P., “OSSTMM 2.2. Open-Source Security Testing Methodology Manual”,
ISECOM OSSTMM 2.2, Barcelona, 44, 47, 49, 68, 71, 83, 99-101 2006.
Wack, J., Tracy, M., Souppaya, M., “Guideline on Network Security Testing” NIST Special Publication 800-42, Washington, 1 2003.
İnternet: Wikipedia “OWASP” http://en.wikipedia.org/wiki/OWASP (23.03.2007).
www.techzoom.net/risk (23.03.2007).
Vural, Y., “Kurumsal Bilgi Güvenliği ve Sızma Testleri” Yüksek Lisans Tezi, Gazi Üniversitesi, Fen Bilimleri Enstitüsü, 2007.

Ayrıntılar

Birincil Dil

Türkçe

Konular

-

Bölüm

-

Yazarlar

Yılmaz Vural Bu kişi benim

Şeref Sağıroğlu Bu kişi benim

Yayımlanma Tarihi

20 Şubat 2013

Gönderilme Tarihi

20 Şubat 2013

Kabul Tarihi

-

Yayımlandığı Sayı

Yıl 2011 Cilt: 26 Sayı: 1

IZ

https://izlik.org/JA85EZ95BC

Kaynak Göster

RIS / Bibtex

APA

Vural, Y., & Sağıroğlu, Ş. (2013). KURUMSAL BİLGİ GÜVENLİĞİNDE GÜVENLİK TESTLERİ VE ÖNERİLER. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, 26(1). https://izlik.org/JA85EZ95BC

AMA

1.Vural Y, Sağıroğlu Ş. KURUMSAL BİLGİ GÜVENLİĞİNDE GÜVENLİK TESTLERİ VE ÖNERİLER. GUMMFD. 2013;26(1). https://izlik.org/JA85EZ95BC

Chicago

Vural, Yılmaz, ve Şeref Sağıroğlu. 2013. “KURUMSAL BİLGİ GÜVENLİĞİNDE GÜVENLİK TESTLERİ VE ÖNERİLER”. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi 26 (1). https://izlik.org/JA85EZ95BC.

EndNote

Vural Y, Sağıroğlu Ş (01 Mart 2013) KURUMSAL BİLGİ GÜVENLİĞİNDE GÜVENLİK TESTLERİ VE ÖNERİLER. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi 26 1

IEEE

[1]Y. Vural ve Ş. Sağıroğlu, “KURUMSAL BİLGİ GÜVENLİĞİNDE GÜVENLİK TESTLERİ VE ÖNERİLER”, GUMMFD, c. 26, sy 1, Mar. 2013, [çevrimiçi]. Erişim adresi: https://izlik.org/JA85EZ95BC

ISNAD

Vural, Yılmaz - Sağıroğlu, Şeref. “KURUMSAL BİLGİ GÜVENLİĞİNDE GÜVENLİK TESTLERİ VE ÖNERİLER”. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi 26/1 (01 Mart 2013). https://izlik.org/JA85EZ95BC.

JAMA

1.Vural Y, Sağıroğlu Ş. KURUMSAL BİLGİ GÜVENLİĞİNDE GÜVENLİK TESTLERİ VE ÖNERİLER. GUMMFD. 2013;26. Available at https://izlik.org/JA85EZ95BC.

MLA

Vural, Yılmaz, ve Şeref Sağıroğlu. “KURUMSAL BİLGİ GÜVENLİĞİNDE GÜVENLİK TESTLERİ VE ÖNERİLER”. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, c. 26, sy 1, Mart 2013, https://izlik.org/JA85EZ95BC.

Vancouver

1.Yılmaz Vural, Şeref Sağıroğlu. KURUMSAL BİLGİ GÜVENLİĞİNDE GÜVENLİK TESTLERİ VE ÖNERİLER. GUMMFD [Internet]. 01 Mart 2013;26(1). Erişim adresi: https://izlik.org/JA85EZ95BC