BibTex RIS Kaynak Göster

-

Yıl 2014, Cilt: 7 Sayı: 2, 16 - 31, 19.08.2014

Özgü Can , Muhammet Akbaş

Öz

Network and system security policies are written rule sets which divide the states that may occur in institutional networks and systems as authorized/secure and unauthorized/insecure. Security policies handle confidentiality, integrity and availability in an integrated fashion. Institutional security policies present a plan of how must institutional information resources be used in a secure way and specify rules in order to prevent information security threats. Network security policies must not only evaluate the non-institutional security threats, but also threats that could come inside the institution and handle security in an integrated manner. Security threats to information resources may have its source inside the institutional as well as the noninstitutional. Thus, institutional security policies should be created. Security policies provide an efficient usage of information resources inside the institution. In this work; threat phases are explained, threat methods and types are exemplified, threat protection mechanisms are explained in a detailed manner.Security policies that will be applied against the threat types are explained by correlating threat types and sub security policies. Besides, the importance and the objective of network security for institutions are mentioned, the noteworthy states during the creation of network security policies are explained. For this purpose, a case study of a network and system security policy, which is going to be used within theUniversity of Izmir Kâtip Çelebi, is being given

Anahtar Kelimeler

Security policies network security system security security threats

Kaynakça

  • X. Wang, S. Zhang., “Research about Optimization of Campus Network Security System”, Procedia Engineering, CEIS 2011, Vol. 15, 1802-1806, 2011.
  • R. Macfarlane, W. Buchanan, E. Ekonomou, O. Uthmani, L. Fan, O. Lo, “Formal security policy implementations in network firewalls”, Computers&Security, Vol. 31, Issue 2, 253-270, 2012.
  • G. A. Marin, “Network Security Basics”, IEEE Security and Privacy, Vol. 3, Issue 6, 68-72, 2005.
  • E. Karaarslan, A. Teke, H. Şengonca, “Bilgisayar Ağlarında Güvenlik Politikalarının Uygulanması”, İletişim Günleri, 2003.
  • S. Barman, “Writing Information Security Policies”, Sams Publishing, 240 pages, 2001.
  • Ö. Can, M. O. Ünalır, “Ontoloji Tabanlı Bilgi Sistemlerinde Politika Yönetimi”, Gazi Üniversitesi Bilişim Enstitüsü Bilişim Teknolojileri Dergisi, Cilt 3, Sayı 2, 2010.
  • L. Kagal, T. Finin, M. Paolucci, N. Srinivasen, K. Sycara, G. Denker, "Authorization and Privacy for Semantic Web Services", IEEE Intelligent Systems, 19(4), 50-56, 2004.
  • B. Fraser, “Site Security Handbook”, http://www.ietf.org/rfc/rfc2196.txt, 1997. (Son Erişim: Mayıs 2014)
  • M. Bishop, “Introduction to Computer Security”, Addison-Wesley Professional, 784 pages, 2004.
  • E. Hamed, E. Al-Shaer, “Taxonomy of conflicts in network security policies”, IEEE Communications Magazine, Vol. 44, Issue 3, 134-141, 2006.
  • E. Karaarslan, “Kampüs Ağ Yönetimi”, Akademik Bilişim, 2005.
  • Instant Security Policy, “IT Security Policy Guide”, http://www.instantsecuritypolicy.com/Introduction_To_Security_policies.pdf. (Son Erişim: Mayıs 2014)
  • İ. Soğukpınar, “Veri ve Ağ Güvenliği”, Ders Notu, http://obs.iszu.edu.tr/dosyalar/DersMateryal/bilgiguvenligidersnotu1.pdf. (Son Erişim: Mayıs 2014)
  • E.S. Al-Shaer, H.H. Hamed, “Modeling and Management of Firewall Policies”, IEEE Transactions on Network and Service Management, Vol. 1, Issue 1, 2-10, 2004.
  • Kaspersky Lab, http://www.kaspersky.com/tr/about/news/virus/2014/Turkiyede-isletmeler-tehdit-altinda, 2014. (Son Erişim: Mayıs 2014)
  • Pro-G Bilişim Güvenliği ve Araştırma Ltd., “Bilişim Güvenliği”, http://www.pro-g.com.tr/whitepapers/bilisim-guvenligi-v1.pdf, 2003. (Son Erişim: Mayıs 2014)
  • M. Bishop, “Computer Security: Art and Science”, Addison-Wesley Professional, 1136 pages, 2002.
  • UC Davis Administrative Policy Office, “Guide to Writing and Maintaining Campuswide Administrative Policy”, http://manuals.ucdavis.edu/resources/GuidetoWritingPolicy.pdf. (Son Erişim: Mayıs 2014)
  • G. Öztürk, “Bilgi Güvenliği Politikası Oluşturma Klavuzu”, UEKAE BGYS-0005, 2008.
  • G. Canbek, Ş. Sağıroğlu, “Bilgisayar Sistemlerine Yapılan Saldırılar ve Türleri: Bir İnceleme”, Erciyes Üniversitesi Fen Bilimleri Enstitüsü Dergisi, 23, (1-2), 1 – 12, 2007.
  • J. H. Allen, “The CERT Guide to System and Network Security Practices”, Addison-Wesley Professional, 447 pages, 2001.
  • K. Burlu, “Bilişimin Karanlık Yüzü”, Nirvana Yayınları, 477 sayfa, 2013.
  • R. Rivest, “The MD5 Message-Digest Algorithm”, http://tools.ietf.org/pdf/rfc1321.pdf, 1992. (Son Erişim: Mayıs 2014)
  • W. Stallings, “Cryptography and Network Security: Principles and Practice”, Prentice Hall, 5th Edt, 744 pages, 2010.
  • Y. Atlas, “Arabellek Taşması Zafiyeti (Buffer Overflow)”, TUBİTAK BİLGEM, 2013.
  • ULAKNET Servisleri Balküpü, http://www.ulakbim.gov.tr/ulaknet/servisler/balkupu. (Son Erişim: Mayıs 2014)
  • Türkiye Cumhuriyeti İçişleri Bakanlığı, “Bilgi Güvenliği Politikaları Yönergesi” http://www.icisleribilgiislem.gov.tr/ortak_icerik/bilgiislem/8%20Bilgi%20G%C3%BCv.%20Pol.%202.2012.pdf. (Son Erişim: Mayıs 2014)
  • Türkiye Cumhuriyeti Sağlık Bakanlığı, “Bilgi Güvenliği Politikaları Yönergesi” http://bilgiguvenligi.saglik.gov.tr/files/BilgiG%C3%BCvenli%C4%9FiPolitikalar%C4%B1Y%C3%B6nergesi.pdf. (Son Erişim: Mayıs 2014)
  • Gediz Üniversitesi, “Bilgi ve İletişim Kaynakları Kullanım İlkeleri Yönergesi” http://www.gediz.edu.tr/Dosyalar/Yonergeler/bilgi_ve_iletisim_kaynaklari_yonergesi.pdf. (Son Erişim: Mayıs 2014)

Kurumsal Ağ ve Sistem Güvenliği Politikalarının Önemi ve Bir Durum Çalışması

Yıl 2014, Cilt: 7 Sayı: 2, 16 - 31, 19.08.2014

Özgü Can , Muhammet Akbaş

Öz

Ağ ve sistem güvenliği politikaları, kurum ağında ve sistemlerde oluşabilecek durumları yetkili/güvenli ve yetkisiz/ güvensiz olmak üzere ikiye ayıran yazılı kurallar bütünüdür. Güvenlik politikaları gizlilik, bütünlük ve erişilebilirlik prensiplerini bir bütün halinde ele almaktadır. Kurumsal güvenlik politikaları, kurum bünyesindeki bilişim kaynaklarının güvenli bir şekilde nasıl kullanılması gerektiğine dair bir plan sunmakta ve kurumun bilgi güvenliğini tehdit eden durumların önüne geçebilmek için izlenmesi gereken kuralları belirlemektedir. Ağ güvenliği politikaları, sadece kurum dışından gelebilecek güvenlik tehditlerini değil, kurum içinden gelebilecek güvenlik tehditlerini de ele almalı ve güvenliği bir bütün halinde değerlendirmelidir. Bilişim kaynaklarına yönelik güvenlik tehditleri, kurum dışından olduğu kadar kurum içinden de kaynaklanabilmektedir. Bu nedenle, kurumsal güvenlik politikaları oluşturulması gerekmektedir. Güvenlik politikaları, kurum bünyesindeki bilişim kaynaklarının daha verimli kullanılmasını sağlamaktadır. Bu çalışma kapsamında; saldırı aşamaları açıklanmakta, saldırı yöntemlerine ve türlerine örnekler verilmekte, saldırılardan korunma mekanizmaları ayrıntılı olarak anlatılmaktadır. Saldırı türleri ile alt güvenlik politikaları ilişkilendirilerek, saldırı türlerine karşı uygulanacak güvenlik politikaları açıklanmaktadır. Ayrıca, kurumlar için ağ güvenliğinin önemine ve amacına değinilmekte, ağ güvenliği politikaları hazırlanırken dikkat edilmesi gereken durumlar açıklanmaktadır. Bu amaçla, İzmir Kâtip Çelebi Üniversitesi bünyesinde uygulanması düşünülen ağ ve sistem güvenliği politikası durum çalışması verilmektedir.

Anahtar Kelimeler

Güvenlik politikaları; ağ güvenliği; sistem güvenliği; güvenlik tehditleri

Kaynakça

  • X. Wang, S. Zhang., “Research about Optimization of Campus Network Security System”, Procedia Engineering, CEIS 2011, Vol. 15, 1802-1806, 2011.
  • R. Macfarlane, W. Buchanan, E. Ekonomou, O. Uthmani, L. Fan, O. Lo, “Formal security policy implementations in network firewalls”, Computers&Security, Vol. 31, Issue 2, 253-270, 2012.
  • G. A. Marin, “Network Security Basics”, IEEE Security and Privacy, Vol. 3, Issue 6, 68-72, 2005.
  • E. Karaarslan, A. Teke, H. Şengonca, “Bilgisayar Ağlarında Güvenlik Politikalarının Uygulanması”, İletişim Günleri, 2003.
  • S. Barman, “Writing Information Security Policies”, Sams Publishing, 240 pages, 2001.
  • Ö. Can, M. O. Ünalır, “Ontoloji Tabanlı Bilgi Sistemlerinde Politika Yönetimi”, Gazi Üniversitesi Bilişim Enstitüsü Bilişim Teknolojileri Dergisi, Cilt 3, Sayı 2, 2010.
  • L. Kagal, T. Finin, M. Paolucci, N. Srinivasen, K. Sycara, G. Denker, "Authorization and Privacy for Semantic Web Services", IEEE Intelligent Systems, 19(4), 50-56, 2004.
  • B. Fraser, “Site Security Handbook”, http://www.ietf.org/rfc/rfc2196.txt, 1997. (Son Erişim: Mayıs 2014)
  • M. Bishop, “Introduction to Computer Security”, Addison-Wesley Professional, 784 pages, 2004.
  • E. Hamed, E. Al-Shaer, “Taxonomy of conflicts in network security policies”, IEEE Communications Magazine, Vol. 44, Issue 3, 134-141, 2006.
  • E. Karaarslan, “Kampüs Ağ Yönetimi”, Akademik Bilişim, 2005.
  • Instant Security Policy, “IT Security Policy Guide”, http://www.instantsecuritypolicy.com/Introduction_To_Security_policies.pdf. (Son Erişim: Mayıs 2014)
  • İ. Soğukpınar, “Veri ve Ağ Güvenliği”, Ders Notu, http://obs.iszu.edu.tr/dosyalar/DersMateryal/bilgiguvenligidersnotu1.pdf. (Son Erişim: Mayıs 2014)
  • E.S. Al-Shaer, H.H. Hamed, “Modeling and Management of Firewall Policies”, IEEE Transactions on Network and Service Management, Vol. 1, Issue 1, 2-10, 2004.
  • Kaspersky Lab, http://www.kaspersky.com/tr/about/news/virus/2014/Turkiyede-isletmeler-tehdit-altinda, 2014. (Son Erişim: Mayıs 2014)
  • Pro-G Bilişim Güvenliği ve Araştırma Ltd., “Bilişim Güvenliği”, http://www.pro-g.com.tr/whitepapers/bilisim-guvenligi-v1.pdf, 2003. (Son Erişim: Mayıs 2014)
  • M. Bishop, “Computer Security: Art and Science”, Addison-Wesley Professional, 1136 pages, 2002.
  • UC Davis Administrative Policy Office, “Guide to Writing and Maintaining Campuswide Administrative Policy”, http://manuals.ucdavis.edu/resources/GuidetoWritingPolicy.pdf. (Son Erişim: Mayıs 2014)
  • G. Öztürk, “Bilgi Güvenliği Politikası Oluşturma Klavuzu”, UEKAE BGYS-0005, 2008.
  • G. Canbek, Ş. Sağıroğlu, “Bilgisayar Sistemlerine Yapılan Saldırılar ve Türleri: Bir İnceleme”, Erciyes Üniversitesi Fen Bilimleri Enstitüsü Dergisi, 23, (1-2), 1 – 12, 2007.
  • J. H. Allen, “The CERT Guide to System and Network Security Practices”, Addison-Wesley Professional, 447 pages, 2001.
  • K. Burlu, “Bilişimin Karanlık Yüzü”, Nirvana Yayınları, 477 sayfa, 2013.
  • R. Rivest, “The MD5 Message-Digest Algorithm”, http://tools.ietf.org/pdf/rfc1321.pdf, 1992. (Son Erişim: Mayıs 2014)
  • W. Stallings, “Cryptography and Network Security: Principles and Practice”, Prentice Hall, 5th Edt, 744 pages, 2010.
  • Y. Atlas, “Arabellek Taşması Zafiyeti (Buffer Overflow)”, TUBİTAK BİLGEM, 2013.
  • ULAKNET Servisleri Balküpü, http://www.ulakbim.gov.tr/ulaknet/servisler/balkupu. (Son Erişim: Mayıs 2014)
  • Türkiye Cumhuriyeti İçişleri Bakanlığı, “Bilgi Güvenliği Politikaları Yönergesi” http://www.icisleribilgiislem.gov.tr/ortak_icerik/bilgiislem/8%20Bilgi%20G%C3%BCv.%20Pol.%202.2012.pdf. (Son Erişim: Mayıs 2014)
  • Türkiye Cumhuriyeti Sağlık Bakanlığı, “Bilgi Güvenliği Politikaları Yönergesi” http://bilgiguvenligi.saglik.gov.tr/files/BilgiG%C3%BCvenli%C4%9FiPolitikalar%C4%B1Y%C3%B6nergesi.pdf. (Son Erişim: Mayıs 2014)
  • Gediz Üniversitesi, “Bilgi ve İletişim Kaynakları Kullanım İlkeleri Yönergesi” http://www.gediz.edu.tr/Dosyalar/Yonergeler/bilgi_ve_iletisim_kaynaklari_yonergesi.pdf. (Son Erişim: Mayıs 2014)
Toplam 29 adet kaynakça vardır.

Ayrıntılar

Birincil Dil Türkçe
Bölüm Fen Bilimleri
Yazarlar

Özgü Can

Muhammet Akbaş

Yayımlanma Tarihi 19 Ağustos 2014
Yayımlandığı Sayı Yıl 2014 Cilt: 7 Sayı: 2

Kaynak Göster

APA Can, Ö., & Akbaş, M. (2014). Kurumsal Ağ ve Sistem Güvenliği Politikalarının Önemi ve Bir Durum Çalışması. TÜBAV Bilim Dergisi, 7(2), 16-31.
ISSN: 1308 - 4941