E-Ticarette Güvenlik Planlaması ve Ölçütleri

THE_MILLER

THE_MILLER

Gigapat
İlk 5 Haneli Mesajınız!
Katılım
22 Ağustos 2013
Mesajlar
15.003
Makaleler
35
Çözümler
72
ee.png

Güvenlik Planlaması

İnternette mükemmel bir güvenliğe ulaşmanın en iyi yolu; ağ bağlantısını kesmek, bilgisayarı işletmenin kasasına kilitlemek veya veri erişiminde hiç kimseye izin vermemektir. Açıkçası bu çözümler gerçekçi değildir, çünkü eğer dış dünya ile iletişim internet aracılığıyla kurulmak isteniyorsa, bazı risklerin de kabul edilmesi gerekmektedir. Risk almanın boyutu ise, işletmenin tüm ağ altyapısının maliyeti ile risk arasında dengenin en iyi şekilde kurulması ile belirlenebilmektedir. Buna, bilgi kaynaklarının değerini tahmin ederek başlanmalıdır. Bir şeyin değerinden daha fazlasını daha az bir değere sigorta ettirmek daha mantıklı olduğu için, bir kaynağın tahmin edilen değeri güvenlik maliyeti olarak en üst sınırda tanımlanmalıdır. Daha sonra riskler değerlendirilmeli ve bu aşamada güvenlik danışmanlarından yardımlar alınmalıdır. Bir saldırganın yaklaşımları listelenerek güvenlik tehditleri ortaya çıkarılmalı ve kaynakların her birine erişim sağlanarak gerekli önlemler tespit edilmelidir.

Müşterilerin ve işletmelerin risklere bakış açıları farklıdır. Bir banka için, belirli bir orandaki kredi kartı sahtekarlığı, yapılan işin kanunen kabul edilebilir maliyeti ölçüsünde kabul edilebilir bir riski ifade edecektir. Bununla birlikte müşteri için, kredi kartı numarasının bir hacker tarafından çalınma riski müşterinin bir ürünü online satın almaktan vazgeçirmek için yeterlidir. Müşterilerin bu korkusu ile ilgili olarak bankanın yapması gereken tek şey, tüm çalınma maliyetlerinin banka tarafından karşılanma güvencesinin verilmesi ile mümkün olacaktır. Bu durumda e-ticaret işletmelerinin, faaliyetlerini sürdürebilmeleri için güvenliğe ilişkin tüm riskleri maliyetleri göz ardı ederek üstlenmeleri gerekmektedir.

İşletme risk değerlemesini oluştururken, potansiyel saldırıların ve sistemin saldırıya açık noktalarının bilinmesi son derece önemlidir. Bankalar; kilitlerine, güvenlik kapılarına, kasalarına, güvenlik kameralarına, güvenlik görevlilerine, müşteri tanımlarına ve banka hırsızlarına karşı koyacak diğer faaliyetlere güvenmektedir. Ancak erişilebilir internet bilgi sistemleri geleneksel güvenlik tehditlerine yeni yöntemler (çatlaklar) eklemiştir. Yetkisiz erişim (kırarak ve doğrudan girerek) eski bir sorundur, ancak günümüzün siber suçluları dünyanın her yerinden sistemin içine girerek ticareti zorlaştırmaktadır. Onlar; çalıyor, değiştiriyor (tahrip ediyor), yok ediyor ya da kendisine kopyalıyor veya yanlış bilgilerle web sitesinin içeriğini değiştiriyor. Virüs yazılımları da bilgi kaynaklarına zarar verebiliyor veya işlerin aksamasına neden olabiliyor. Belki de en yaygın bilgi altyapısı güvenlik tehditleri; zayıf sistem yönetiminden ve hem kullanıcılarının hem de sistem yöneticilerinin duyarsızlığından, gerekli önlemleri almamasından kaynaklanmaktadır. Bu nedenle güvenli bir sistem yaratabilmenin tek yolu güvenliği ciddiye almaktır.


Güvenlik Ölçütleri ve Tehditleri

Güvenlik planlamasının gerçekleştirebilmesi için planlamada göz önünde bulundurulması gereken güvenlik unsurlarının ve ne tür güvenlik tehditlerinin söz konusu olduğunun bilinmesi gerekir. Güvenlik planlarının hazırlanma sürecinde gerekli ölçütlerin en iyi şekilde ortaya konulması güvenlik açıklarının azaltılmasına katkı sağlayacaktır.

Güvenlik Ölçütleri
Güvenlik planında ele alınması gereken ölçütler akademik verilerden alıntılayarak şöyle sınıflandırılabilir:
  • Erişim
  • Kimlik denetimi
  • Bütünlük (integrity)
  • Kişisel gizlilik
  • Sorumluluk (nonrepudiation)
  • Düzeltme ve Denetlenebilirlik
Erişim, sistem kullanıcılarına odaklanmaktadır. İlke olarak güvenlik, işletmenin ana faaliyetleri ile çatışmamalıdır. Bu nedenle işletme çalışanlarının sisteme erişimi yaptığı işin gerekleri dahilinde sınırlandırılmalıdır. Böylece sistemi kullananların sisteme veya işletme müşterilerine zarar vermeleri en alt düzeye indirilmiş olacaktır.

Kimlik denetiminin amacı; bir hizmeti, ağı, sistemi ya da donanımı sadece yetkilendirilmiş kullanıcıların erişmesine izin verilmesinde çeşitli kimlik denetim araçlarının etkin bir şekilde kullanılmasıdır. Bu amaçla kullanıcı adı, GPS koordinasyonu, kişisel kimlik numarası (pin), şifre, resim, kişisel bilgiler (boy, anne kızlık soyadı gibi), kimlik kartı gibi araçlardan yararlanılmalıdır. En iyi kimlik denetimi birden fazla tekniğin birleşiminden oluşturulmalıdır. Böylece erişim yetkileri tanımlanmış kullanıcıların izlenmesi sürecinde ortaya çıkabilecek sorunlar en aza indirilmiş olacaktır.

Bütünlük, iletinin iletişim sürecinde değiştirilememesinin sağlanmasıdır. İletinin iletilmesi sırasında bazı araçlar yardımıyla verici, alıcı veya herhangi bir ara unsurda uzlaşma sağlanamazsa, bilgi bütünlüğü garanti edilemeyecektir. Bütünlüğü sağlayan güvenlik araçları; şifreleme, sayısal (dijital) imza, sayısal (dijital) sertifikaları ve bütünlük sağlama toplamı olarak bilinen kimlik denetim kodları veya sayısal (dijital) parmak izinden oluşmaktadır. Böylece yasal olmayan bilgi aktarımı, bilgilerin tekrarlanması, sistemin yanlış kullanımı, bilgi aktarımının çeşitli nedenlerle engellenmesi ortadan kaldırılarak, bilginin alıcıya doğru bir biçimde yönlendirilmesi sağlanmış olmaktadır.

Kişisel gizlilik, iletinin içeriğinin sadece gönderici ile alıcının bilmesinin sağlanmasıdır. İletişim süresince gizliliğin korunmasının en iyi yolu birden fazla şifreleme tekniğinin kullanılarak iletinin şifrelenmesidir. Ancak gönderici veya alıcı tarafında truva atı (trojan), virüs, arka kapı (backdoor) gibi sisteme zorla girme tehditleri söz konusuysa, bu durumda kişisel gizliliğin delinmesi söz konusu olabilmektedir.

Sorumluluk, göndericinin iletiyi gönderdiğini inkar etmesinin engellenmesi, başka bir deyişle gönderdiği iletiden sorumlu tutulmasıdır. İleti alıcı tarafından kabul edildiğinde, gönderici gönderdiği iletinin tüm sorumluluğunu üstlenmelidir. Sayısal imza ve sertifika kullanılarak göndericinin gönderdiği iletiye ilişkin suçu kanıtlanabilmekte ve böylece daha sonra göndericinin inkar veya reddetme olasılığı ortadan kaldırılabilmektedir.

E-ticaret işletmesinin, ortaya çıkabilecek bazı riskleri baştan kabul etmesi gerekir. Çünkü en iyi güvenlik sisteminde bile güvenlik delikleri ortaya çıkabilmektedir. En önemli soru güvenlik delikleri ortaya çıktığında, “Ne yapılmalı?” sorusudur. Bu sorunun cevabı, güvenlik ihlalleri ortaya çıktıktan sonra, hızlı bir şekilde yeniden sistemin devreye sokulması için yedekleme ve kurtarma işlemlerinin gerçekleştirilmesidir.

Denetim, işletmenin kabul edilmiş işlem yordamlarının işletme kayıtlarından incelenmesidir. Güvenlik denetimi ise, birtakım güvenlik prosedürlerinin denetlenmesidir. Denetlenebilirlik, bütünlüğün korunması, kişisel gizliliğin korunması ve sorumluluk yüklemesi ve bir işlemin eş zamanlı olarak yerine getirilmesi süreçlerinin gerçek zamanlı yerine getirilip getirilmediğinin kontrol edilmesidir. Denetim işlemi sırasında gerçekleştirilerek güvenlik ihlallerine yönelik önlemler alırken, güvenlik denetimi ise işlem gerçekleştikten sonra gerekli düzeltmelerin yapılmasıdır.

T_M
 
Uyarı! Bu konu 8 yıl önce açıldı.
Muhtemelen daha fazla tartışma gerekli değildir ki bu durumda yeni bir konu başlatmayı öneririz. Eğer yine de cevabınızın gerekli olduğunu düşünüyorsanız buna rağmen cevap verebilirsiniz.

Benzer konular

EvrimLaden
E postam'a nasıl güvenlik sağlarım?
2
Mesaj
10
Görüntüleme
648
çArşı Sevdalısı
çArşı Sevdalısı
Chole
E-ticaret sitelerinde XSS güvenlik açığı
Mesaj
4
Görüntüleme
790
24099
2
Yedinci Mühür
Güvenlik takıntısı ve paranoya
2 3
Mesaj
20
Görüntüleme
2B
Yedinci Mühür
Yedinci Mühür
JönnTürk
IP adresi ve güvenlik
Mesaj
2
Görüntüleme
986
24099
2
Yedinci Mühür
Güvenlik için hangi e-posta servisi kullanılmalı?
2
Mesaj
15
Görüntüleme
3B
16986
1

Yeni konular

Yeni mesajlar

Geri
Yukarı