1 / 24

BİLGİ GÜVENLİĞİ « Kimlik Doğrulama ve Yetkilendirme » Yrd. Doç. Malik YILMAZ Oğuz ŞENER 100217002

BİLGİ GÜVENLİĞİ « Kimlik Doğrulama ve Yetkilendirme » Yrd. Doç. Malik YILMAZ Oğuz ŞENER 100217002. Bilgi, insanın ilk varoluşundan itibaren elde edilmeye, kullanılmaya ve üretilmeye çalışılan bir ihtiyaç olarak bilinmektedir.

daphne
Download Presentation

BİLGİ GÜVENLİĞİ « Kimlik Doğrulama ve Yetkilendirme » Yrd. Doç. Malik YILMAZ Oğuz ŞENER 100217002

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. BİLGİ GÜVENLİĞİ«Kimlik Doğrulama ve Yetkilendirme»Yrd. Doç. Malik YILMAZOğuz ŞENER100217002

  2. Bilgi, insanın ilk varoluşundan itibaren elde edilmeye, kullanılmaya ve üretilmeye çalışılan bir ihtiyaç olarak bilinmektedir. Türü ne olursa olsun bilgi, insan yaşamını kolaylaştırmak ve hızlandırmak gayesiyle üretilmiştir. Gelişen teknolojiyle paralel bir şekilde artan ve büyüyen bilginin de önemi hızlanmakta ve dünyanın en önemli ihtiyacı olarak güç kazanmaya devam etmektedir. Bu denli önemli olan bilginin korunabilirliği hususu ise bilginin güvenliği için bir takım çalışmalara gereksinim duyulmasına yol açmıştır. Bilgi güvenliğini, bilginin bir varlık olarak hasarlardan korunması olarak tanımlayabiliriz. Bilgiyle birlikte ortaya çıkan bir çok politikalardan olan kimlik doğrulama ve yetkilendirme politikalarına açıklık getirmeye çalışacağız.

  3. Kimlik Doğrulama(Authentication)Sistemi kullanmak isteyen kimliğin bilgilerinin, sistemde tutulan kimlik bilgileri ile doğrulanmasıdır.Tümleşik Oturum(SingleSign-On, SSO) Kimlik doğrulama işleminin, ekosistem dahilindeki bütün uygulamalar için merkezileştirilmesi olarak tanımlanabilir.Kimlik Yönetim Sistemi(Identity Management System)Kaynakların, kimlik bilgilerinin saklandığı dizinlerin , kimlik yetki atamalarının yönetimini sağlayan sistemdir.

  4. Kimliklendirme, Doğrulama, Yetkilendirme •Kim Giriş İstiyor, Kimliği Doğrumu, Yetkileri Neler ? •Kimliklendirme; kullanıcının sistemlerde bir kimliğe sahip olması sürecidir. •Doğrulama;kullanıcı kimliğinin sistemlerdeki geçerliliğinin doğrulanması sürecidir. •Yetkilendirme; kullanıcının geçerliliği doğrulanan kimliğinde sahip olduğu yetkilerin kullanıcıya atanması sürecidir.

  5. Doğrulama • Yöntemler – Kullanıcı Adı / Şifre – Tek Kullanımlık Şifre Cihazları – Akıllı Kartlar – Manyetik Kartlar – Sertifikalar – Biyometrik Sistemler •Çok Faktörlü Doğrulama – Bildiğiniz Şey (Şifre, Pin) – Sahip Olduğunuz Şey (Sertifika, Akıllı Kart, OTP Cihazları) – Olduğunuz Şey (Biyometrik Sistemler)

  6. Doğrulama Yöntemleri • Şifreler – Düz Şifre, Şifre Karmaşıklığı, Şifre Politikaları • Ardışık Sorularla Doğrulama • Tek Seferlik Şifre Cihazları – Senkron (eş zaman-eşgüdüm) – Asenkron • Biyometrik Sistemler – Parmak izi, El geometrisi, Avuç içi, İris, Retina, Ses, Klavye Hareketi – Kullanıcıların Kabulü, Yaş, Cinsiyet, Fiziksel Engeller

  7. Merkezi Doğrulama • Sorun : Çok sayıda kullanıcı, çok sayıda kullanıcı hesabı, birçok şifre, çok sayıda sistem ve ağ servisi • Merkezi doğrulama, tek bir sistemde kullanıcı kimliklerinin bulunması, ağ ve sistem servislerinin doğrulamayı bu sistem üzerinden yapması sürecidir. • Kullanıcı sadece merkezi doğrulama sunucusuna giriş yapar, istekte bulunduğu sistem ve ağ servisleri kullanıcının geçerliliğini merkezi doğrulama sistemine sormaktadır. • Kerberos, SESAME, Krypto Knight (IBM) ve NetSP, Thin Client

  8. ULAKBİM; • Kimlik Doğrulama • Kullanıcı adı + parola + diğer bilgilerin doğruluğu • Yetkilendirme • Servise erişim yetkisi kontrolü • olarak tanımlamaktadır…

  9. Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( Dağıtık )

  10. Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( Dağıtık ) • Dezavantajları • -Kullanıcı açısından parola yönetimi • -Yönetim ve bakım için harcanan işgücü • Avantajları • -Uygulaması kolay

  11. Kimlik Doğrulama ve Yetkilendirme MekanizmalarıTek Oturum Açma ( SingleSign-On) Kerberos Shibboleth SimpleSAMLphp JBOSS SSO Google Apps SSO Athens Service OpenID

  12. Kimlik Doğrulama ve Yetkilendirme MekanizmalarıTek Oturum Açma ( SingleSign-On) • Avantajları • Kullanıcı bilgileri kurum içinde ( Kısmen ) • Kullanıcılar açısından parola yönetimi kolay • Sistemci açısından kimlik yönetimi kolay • İşgücü ve maliyet düşük • Dezavantajları • Tek bir TOA (SSO) sunucusu kullanmak • Uygulamadaki zorluklar

  13. Akıllı Kart Destekli Web Kimlik Doğrulama ve Yetkilendirme Yazılımı Web tabanlı uygulamalarda klasik kimlik doğrulama olarak bilinen kullanıcı adı ve şifre kontrollü giriş yerine, daha güvenli olan akıllı kart destekli kimlik doğrulaması sağlayan bir çözümdür. Klasik kimlik doğrulama işleminde, giriş için kullanılan kullanıcı adı ve parola ikilisi çoğunlukla statik ve kullanıcı dışındaki kişiler tarafından ele geçirilebilecek bilgilerdir. Buna karşılık akıllı kart destekli kimlik doğrulama işleminde, doğrulama bilgileri sürekli değişmekte ve donanıma bağımlı hale getirilerek başkalarının erişimi kısıtlanmaktadır.

  14. E-imza Bilişim’in sunduğu ve javaapplet olarak yapılandırılan Akıllı Kart Destekli Kimlik Doğrulama Kütüphanesi ile platformdan bağımsız çalışabilme imkânı bulunmaktadır. Bir başka ifade ile kurumun mevcut sisteminde var olan uygulamalarda herhangi bir değişikliğe gerek yoktur. Kullanımı ve yönetimi kolay olan bu çözüm sayesinde her türlü web tabanlı uygulama ve java tabanlı masaüstü yazılım güvenli kimlik doğrulamalı hale getirilebilmektedir.

  15. Kimlik Federasyonu Kavramı • Kimlik Federasyonu ; • Belirli bir kural seti, • Teknik Standartlar, altında tüm kimlik doğrulama ve yetkilendirme sistemlerinin birlikte çalışabilmesini amaçlar. Böylece ; • Farklı altyapıların birlikte çalışabilmesi, • Altyapılar arası güvenin sağlanması, • Etki alanlarındaki servislerin ağ dışına da açılması, gibi isteklere çözüm getirir.

  16. ULAKAAI Kimlik Federasyonu ( Pilot ) ULAKAAI • ULAKNET içerisindeki kdy sistemlerinin birleşmesini, • Elektronik kaynakların ve servislerin tüm etki alanıyla paylaşılabilmesini, sağlamak amacıyla kurulmuş kimlik federasyonudur.

  17. ULAKAAI Kimlik Federasyonu

  18. Federasyonsuz KDY 1) Erişebilir miyim? 2) Yetkin Var mı???? 3) Kullanıcı adı ve Parola Versem? Servis Sağlayıcı Kimlik Sağlayıcı • Kullanıcı kimlik ve nitelik bilgileri herkesçe biliniyor • Servis Sağlayıcı gereğinden fazla ve ihtiyacından daha az veriye sahip • Kurumların değerli bilgileri, servislere dağıtılıyor

  19. Federasyonlu KDY 3) Yetkim Var mı? 1) Erişebilir miyim? 2) Yetkin Var mı? Kimlik Sağlayıcı Servis Sağlayıcı 4) Kimlik Bilgileri ve Yetkileri • Kullanıcı kimlik bilgileri kurum içerisinde kalıyor • Servis Sağlayıcı sadece ihtiyacın olanı biliyor • Dağıtılannitelikler azalıyor ve daha kontrollü gerçekleşiyor

  20. Kimlik doğrulama ve yetkilendirme hususunda kurum ve kuruluşların genel politikaları: 1. Bilgi sistemleri üzerinden gerçekleşen işlemler için uygun bir kimlik doğrulama mekanizması kurulur. Hangi kimlik doğrulama tekniklerinin kullanılacağına, üst düzey yönetim tarafından yapılacak risk değerlendirmesi sonucuna göre karar verilir. Risk değerlendirmesi, bilgi sistemleri üzerinden gerçekleştirilmesiplanlanan işlemlerin türü (tipi, niteliği, varsa doğuracağı finansal ve finansal olmayan etkilerinin büyüklüğü gibi), işleme konu verinin hassaslık derecesi ve kimlik doğrulama tekniğinin kullanım kolaylığı da göz önünde bulundurularak gerçekleştirilir. 2. Uygulanacak kimlik doğrulama mekanizması, müşterilerin ve personelin bilgi sistemlerine dâhil olmalarından, işlemlerini tamamlayıp sistemden ayrılmalarına kadar geçecek tüm süreci kapsayacak şekilde tesis edilir. Kimlik doğrulama bilgisinin oturumun basından sonuna kadar doğru olmasını garanti edecek gerekli önlemler alınır.

  21. 3. Bilgi sistemlerine erişim için kullanılan kimlik doğrulama verilerinin tutulduğu veri tabanlarının güvenliğini sağlamaya yönelik gerekli önlemler alınır. Bu amaçla alınacak önlemler asgari olarak kimlik doğrulama verilerinin veri tabanlarında şifreli olarak muhafaza edilmesi, yapılacak her türlü kontrolsüz değişikliği algılayacak sistemlerin kurulması, yeterli denetim izlerinin tutulması ve bu denetim izlerinin güvenliğinin sağlanması hususlarını içerir. Ayrıca bu veriler kimlik doğrulama amacıyla aktarılırken şifrelenir ve verilerin aktarımı sırasında gizliliğinin sağlanmasına yönelik önlemler alınır. 4. Ayrıcalıklı yetkilere sahip kullanıcı ve sistem hesapları için ek denetim izleri tutulur ve periyodik olarak gözden geçirilir.

  22. 5. Ayrıcalıklı yetkilere sahip kullanıcılar, yetkilerinin başka kişilerce kullanımının önlenmesinin önemi konusunda yeterli düzeyde bilinçlendirilir. 6. Acil durumlar için, yetkili personele ulaşılamaması nedeniyle geçici olarak gerçekleştirilen yetkilendirmelerde, bu yetkilendirme süresince gerçekleştirilecek işlemlerin yeterli düzeyde takibine izin verecek şekilde detaylı denetim izlerinin tutulması sağlanır. 7. Bilgi sistemleri alt yapısına yönelik yetkisiz fiziksel ve mantıksal erişimleri engelleyecek kontroller ve gözetim süreçleri tesis edilir.

  23. SORU VE ÖNERİLER ? TEŞEKKÜRLER

More Related