İşletim sistemi sistem güvenliğini sağlamayı bilgisayar üzerinde uygulama
İşletim sistemi sistem güvenliğini sağlamayı bilgisayar üzerinde uygulama sorusunun cevabı için bana yardımcı olur musunuz?
Bu soruya 2 cevap yazıldı. Cevap İçin Alta Doğru İlerleyin.
İşte Cevaplar
Cevap :
Diğer Cevaplara Gözat
Bilgisayar İşletim Sistemleri güvenliğinin sağlanması, işletim sistemi bünyesindeki güvenlik
mekanizmalarının kullanılmasının yanında sistem sıkılaştırmasının amaca uygun şekilde yapılması, yama
yönetiminin yapılması, sistem yöneticisi ve sistem kullanıcılarında güvenlik bilincinin gelişmiş olması,
güvenlik mekanizmalarını destekleyecek üçüncü parti yazılımların etkin olarak kullanılması ve sistem
genelinde güvenlik politikalarının belirlenip ciddi şekilde uygulanması gibi gerekliliklerin yerine
getirilmesiyle mümkündür. Tüm bu gerekler yerine getirilmiş olsa dahi hiçbir işletim sistemi %100 güvenli
hale getirilemez ve %100 güvenliğin sağlanmış olduğu iddia edilemez. Önemli olan mevcutta bilinen
risklerin sistem gereklerine ve maliyet kısıtlarına uygun şekilde en aza indirilmesi ve sistem risklerinin
sürekli olarak izlenerek güvenlik seviyesinin korunmasıdır.
Diğer Cevaplara Gözat
Cevap :
İşletim Sistemlerinde Uygulanan Güvenlik Mekanizmaları
Günümüz çok kullanıcılı işletim sistemlerinde genel olarak uygulanan güvenlik mekanizmaları
tanıtılmıştır.
Kullanıcı Tanıma ve Kimlik Doğrulama
Kullanıcı Tanıma, herhangi bir sistem kaynağına erişim isteği yapılacağı zaman erişim niyetinde bulunan
kullanıcının kendisini sisteme tanıtmak için kullandığı bir kullanıcı bilgisinin sisteme tanıtılmasıdır. Çoğu
çok kullanıcılı işletim sisteminde kullanıcılar tarafından bilinen kullanıcı isimleri ve bu kullanıcı isimlerine
karşılık düşen ve sistemde tek olan kullanıcı bilgisi numarası (SID) bulunmaktadır. Kullanıcı Tanıma bilgisi,
Kimlik Doğrulama sırasında kullanılmaktadır.
Kimlik Doğrulama, Kullanıcı Tanıma safhasında öğrenilen kullanıcının gerçekten o kullanıcı olduğunun
kabul edilmesinden önce yapılan kontrol işlemleridir. İşletim sistemlerinde kullanılan kimlik doğrulama
metotlarının ayrıntılı olarak incelenmesi bu makalenin kapsamı dışında olmakla beraber mevcut kimlik
doğrulama mekanizmalarına, Temel Kimlik Doğrulama (sadece kullanıcı tarafından bilindiği varsayılan
şifrenin kontrol edilmesi), Kerberos gibi örnekler verilebilir.
Bir kullanıcıya sisteme erişim hakkı verilmeden önceki güvenlik giriş fonksiyonu olması dolayısıyla kimlik
doğrulama işlemi büyük önem taşımaktadır. İşletim sistemi tarafından yapılan kimlik doğrulamaya
güvenen birçok uygulama da aynı şekilde işletim sistemi kimlik doğrulama mekanizmasının sağladığı
çerçevede güvenli sayılabilir. Kullanıcı şifrelerinin minimum uzunluğu, karmaşıklık gereksinimleri,
değiştirme süresi gibi özellikleri, belirli sayıda yanlış şifre girilmesi durumunda kullanıcı hesabının bir süre
için veya sistem yöneticisi onaylayana kadar devre dışı bırakılması gibi güvenlik politikalarının sistem
genelinde zorlanabilmesi, kullanılan kimlik doğrulama işleminin güvenliğinin ve etkinliğinin artırılması
için büyük önem taşımaktadır. Kullanıcı şifre bilgilerinin güvenli bir şekilde sistemde saklanması ve
korunabilmesi de kimlik doğrulama mekanizmasının güvenilir olması için şarttır.
Güvenliği sadece kullanıcı şifresinin bilinmesi veya bazı kriptografik işlemlere bağlı olan kimlik doğrulama
mekanizmaları, kritik kontrol gerektiren birçok sistemde yeterli olmayacaktır. Bu ihtiyaçtan dolayı "Güçlü
Kimlik Doğrulama" kavramı gelişmiştir. Güçlü Kimlik Doğrulama mekanizmalarında aşağıda belirtilen üç
ana prensipten en az iki tanesinin kimlik doğrulama mekanizması içerisinde kullanılması gerekmektedir.
1. Bildiğiniz bir şey (Şifre, PIN vb.)
2. Sahip olduğunuz bir şey (Akıllı Kart, Manyetik Kart, Anahtar vb.)
3. Fiziksel karakteristiğinizi yansıtan biyometrik bir özellik (Parmak İzi, Avuç içi izi, Retina İzi, Ses, İmza
vb. )
Yetkilendirme
Yetkilendirme Mekanizması, bir sistemdeki kullanıcıların niyet ettikleri işlemleri gerçekleştirebilmesi için
gerekli erişim haklarının verilmesini sağlar. Yetkilendirme işlemi güvenilir bir Kimlik Doğrulama
mekanizmasına ihtiyaç duyar. Örnek olarak UNIX işletim sisteminde yetkilendirme iki kullanıcı sınıfına
ayrılmıştır. Root kullanıcılar(sistem yöneticileri) sistemde hemen hemen tüm işleri yerine getirebilecek
yetkilere sahip iken normal kullanıcılar sistemdeki program ve bilgilere daha kısıtlı bir erişim sağlayacak
şekilde yetkilendirilmişlerdir.
Erişim Kontrolü
Bir öznenin (aktif bir kullanıcı veya proses) sistem üzerinde bir nesneye (dosya gibi pasif varlıklar)
erişiminin kontrolü, sistemde erişim kontrol kurallarının belirlenip uygulanmasıyla mümkündür. Erişim
kontrolü yapılmadan önce Yetkilendirme mekanizmalarında olduğu gibi güvenilir bir Kimlik Doğrulama
mekanizmasının bulunması ve erişim isteğini yapan kullanıcının kimliğinin doğrulanmış olması
gerekmektedir. Erişim Kontrolü Sistemleri, sistem ihtiyaçlarına bağlı olarak üç ana modelden biri baz
alınarak gerçeklenebilir.
Zorunlu Kimlik Doğrulama
Bir öznenin herhangi bir sistem nesnesine erişimi sırasında karar verilirken göz önünde bulundurulan
karakteristikler, nesnenin sınıfı ve hassasiyet seviyesi ile erişim isteğinde bulunan öznenin güvenlik
kleransıdır. Eğer bir öznenin sahip olduğu güvenlik kleransı erişmek istediği nesnenin güvenlik etiketi için
yeterli ise erişim başarılı olur. Aksi takdirde erişim engellenir. Ayrıca kimi sistemlerde kullanıcının
güvenlik kleransı nesneye erişim için yeterli olsa bile "Bilmesi Gereken" prensibince erişim engellenebilir.
İsteğe Bağlı Kimlik Doğrulama
İsteğe bağlı kimlik doğrulama mekanizmalarında, bir nesne üzerinde hangi öznelerin hangi erişim
haklarına sahip oldukları belirtilir. Erişim Kontrol Listeleri isteğe bağlı kimlik doğrulama bilgilerini taşır.
Erişim kontrol listeleri bir nesneye özel olarak düzenlenebilir ve o nesneye üzerinde hangi öznelerin (aktif
kullanıcı veya prosesler) gerçekleştirebilecekleri işlemleri tanımlar.
İsteğe Bağlı Olmayan Kimlik Doğrulama
İsteğe bağlı olmayan kimlik doğrulama mekanizmalarında merkezi bir otorite sistem gereksinimleri ve
organizasyonel politikalara bağlı kalarak sistem nesneleri üzerinde belirlenmiş öznelere erişim hakları
tanımlar. İsteğe bağlı kimlik doğrulama mekanizmalarından farkı ise, nesnelere erişim hakları
düzenlenirken tek tek kullanıcılar yerine belirli bir görevi yerine getiren veya belirli bir rolü üstlenen
kullanıcı profiline erişim hakkı verilmesidir. Bu sayede sık sık kullanıcıların değiştiği bir sistemde erişim
kontrol listelerinin tekrardan düzenlenmesi gereği ortadan kalkmaktadır.
Çoğu işletim sisteminde uygulamaya geçirilmiş olan denetleme mekanizması, sistem kullanıcılarının
sistem üzerinde yaptıkları işlemlerin kayıtlarını tutar. Kayıt dosyalarının boyutlarının hızlı şekilde
büyümesi ve kayıt tutma işleminden dolayı performansın olumsuz yönde etkilenmesi dolayısıyla
denetleme politikaları iyi belirlenmelidir. Sadece ilgili işlemlerin güvenlik kayıtları tutulmalı ve güvenlik
kayıtları düzenli olarak incelenmelidir. İşletim sistemleri denetleme kayıtlarının değerlendirilmesi ve
filtrelenebilmesi için genel olarak üçüncü parti yazılımlara ihtiyaç duyulmaktadır.
Nesnelerin Tekrar Kullanımı
Güvenli bir işletim sisteminin, yeni oluşturulmuş bir sistem nesnesinin ( bellek, taşıyıcı bellek, dosya vb.)
daha önceki kullanımından kalan bilgiler taşımadığını garanti etmesi gerekmektedir. Nesnelerin tekrar
kullanımı, kullanıcılara tahsis edilecek yeni nesnelerin tahsis edilmeden önce temizlenmesi veya
üzerinden bilgi edinilmeyecek şekilde ilklendirilmesini gerektirir.
Saldırılara Dayanıklılık
Tüm güvenlik önlemleri alınmış olsa dahi bir işletim sistemi, açıklıklarından veya zayıflıklarından
kaynaklanabilecek saldırılara karşı dayanıklı olacak şekilde tasarlanıp derlenmiş olmalıdır.
Saldırı Tespit
İşletim sistemi üzerinde bulunan kritik bilgi ve sistemlerin devamlı olarak izlenmesi ve yetkili ya da
yetkisiz kullanıcılar tarafından gerçekleştirilen normal dışı aktivitelerin tespit edilmesi amacıyla saldırı
tespit mekanizmasının bulunması gerekmektedir. Saldırı tespit algılayıcıları sistem üzerindeki olayları
takip edebileceği gibi ağ trafiğin dinleyip ağ üzerindeki zararlı aktiviteleri tespit etmek amacıyla da
kullanılabilir.
Sistem Sıkılaştırma
İşletim sistemleri genellikle son kullanım ortamı için gerekli olmayan servis ve fonksiyonlar çalışır halde
kurulurlar. Sistem sıkılaştırılması, işletim sistemi üzerindeki gereksiz servislerin durdurulup devre dışı
bırakılması, işletim sisteminin minimum özellikler ile konfigüre edilmesi, kullanıcıların ve uygulamaların
sadece çekirdek görevin yerine getirilebilmesine yetecek şekilde düzenlenmesi gibi işlemleri içerir. Ayrıca
hizmet verilen servisler dışındaki servislerin portlarının kapatılması ve sistem/güvenlik kritik tüm
yamaların uygulanması gerekmektedir. Hiçbir işletim sistemi ilk çıktığı haliyle güvenli kalamaz. İşletim
sistemi geliştiricileri ve kullanıcılar tarafından bulunan zayıflık ve açıklıkların kapatılabilmesi için yamalar
çıkarılır. Bu yamalar kullanılarak kapatılan açıklıklar kimi durumlarda oldukça ciddi zararlara sebep
olabilecek açıklıklar olabilirler. Bu sebepten dolayı sistem yamaları düzenli şekilde takip edilmeli ve test
ortamında denendikten sonra en hızlı şekilde sistem güncellenmelidir.
Güvenlik Garanti Seviyesi
Yukarıdaki bölümlerde anlatılanlar genel olarak işletim sistemlerinde alınabilecek güvenlik
mekanizmalarıydı. Bu güvenlik mekanizmalarının gerçekten de işletim sistemi geliştiricileri tarafından
iddia edildiği şekilde çalıştığının ispatlanması da kullanıcı ihtiyaçlarının karşılanacağının garanti edilmesi
açısından oldukça önemlidir. Güvenlik garanti seviyesinin belirlenebilmesi için iki farklı metot izlenebilir.
Bunlardan birincisi, işletim sistemi geliştiricisinin gerekli gördüğü testleri uygulaması ve sonuçlarının
yayınlamasıdır. İkinci çözüm ise, tarafsız bir test laboratuarının işletim sisteminin testlerini yaparak
güvenlik garanti seviyesini belirlemesidir. Güvenilir ve objektif olması açısından tarafsız bir test
laboratuarının güvenlik garanti seviyesi için önceden belirlenmiş ve kabul edilmiş kriterleri göz önünde
bulundurarak testleri yapması daha kabul edilebilir bir durumdur. Bu ihtiyacı karşılamak üzere Amerika
Birleşik Devletleri TCSEC isimli standardı, Avrupa Birliği ise ITSEC isimli standardı yayınlamıştır. Fakat
günümüzde bu standartlardan daha geniş kapsamlı olarak hazırlanmış ve aynı amaca uygun olarak
uluslararası kullanılması amaçlanan Common Criteria - ISO 15408 (Ortak Kriterler) standardı mevcuttur.
Ortak Kriterler'e uygun olarak değerlendirmesi yapılacak ürünün güvenlik hedefi dokümanında (ST-
Security Target) belirtilen güvenlik fonksiyonlarının yerine getirilip getirilmediği ve gerekli
dokümantasyonun hazırlanıp hazırlanmadığı kontrol edilir. Güvenlik hedefi dokümanları,
değerlendirilecek ürün profiline uygun Koruma Profili (PP-Protection Profile) baz alınarak
hazırlanır. Ortak Kriterler değerlendirmelerinin nasıl yapıldığı bu makalenin amaç ve kapsamı dışında
kalacak kadar detay içermektedir. Bir ürün için alınabilecek Ortak Kriterler sertifikası, değerlendirmeyi
gerçekleştiren laboratuarın en yüksek sertifikasyon makamı (CB-Certification Body) onayına sahiptir ve
Ortak Kriterler standardını kabul etmiş diğer ülkeler bu sertifikayı kabul ederler. Ortak Kriterler Güvenlik
Garanti Seviyeleri (EAL - Evaluation Assurance Level) 1 ile 7 arasında numaralandırılır ve her EAL
değerinin gerektirdiği minimum güvenlik gereksinimleri ISO 15408 standartlarında ayrıntılı şekilde
açıklanmıştır. Günümüze kadar işletim sistemleri için en yüksek EAL5+ güvence seviyesinde Ortak
Kriterler değerlendirmesi gerçekleşmiştir.