Bilgi Güvenlik İşleri: Güvenlik Mimarisi ve Tasarımı

Güvenlik mimarisi ve tasarımı konseptleri bilgi güvenliği uzmanları için önemlidir soyut güvenlik koruma modellerinden, modern bilgisayarların ve işletim sistemlerinin tasarımına kadar uzanmaktadır.

Güvenlik koruma modelleri

Güvenlik modelleri, güvenlik denetimlerinin uygulanması için yöntemleri anlamalarına ve varolan bir sistemdeki denetimlerin daha iyi anlaşılmasına yardımcı olan güvenlik denetimlerinin basit tasvirleridir. En çok belirtilen modeller burada nasıl çalıştığına dair çok kısa bir açıklama ile listelenmiştir:

  • Bell LaPadula: İnsanlar belgelerini kendi güvenlik seviyelerinde veya altında okuyabilir ve belgelerini kendi güvenlik düzeylerine veya üstünde belgeler yazabilir.

  • Biba: İnsanlar belgeleri yalnızca kendi güvenlik düzeylerinde okuyabilir ve belge düzeyi kadar veya yüksek güvenlik seviyelerinde yazabilir.

  • Clark-Wilson: Bell LaPadula ve Biba'ya karşı bir çürütme, Clark-Wilson hassas bilgilerin oluşturulması ve korunması için biraz ayrıntılı bir programdır.

  • Erişim matrisi: Belli veri veya sistemlere erişime izin verilen kişileri veya grupları tanımlayan iki boyutlu bir matris.

  • Çok Seviyeli: Bir sistem birden fazla güvenlik seviyesinde bilgi içerecektir. İnsanlar bilgileri güvenlik seviyelerinde veya altında okuyabilirler.

  • Zorunlu erişim kontrolü (MAC): Erişim yöneticisi bilgiye erişimi yönetir.

  • İsteğe bağlı erişim kontrolü (DAC): Bireysel belge veya klasör sahipleri bilgiye erişimi yönetir.

  • Rol tabanlı erişim denetimi (RBAC): Erişim, tek tek kullanıcılar yerine kullanıcı gruplarına atanır.

  • Müdahale Etmez: Daha yüksek bir güvenlik düzeyinde olan kişiler tarafından gerçekleştirilen aktiviteler, düşük güvenlik düzeylerinde gerçekleştirilen etkinliklere müdahale etmez.

  • Bilgi akışı: Belli seviyelerde güvenlik belirli sistemlere veya yerlere akmasına izin verilir.

Sistem değerlendirme modelleri

Pek çok bilgi sistemi hassas bilgileri yönetir veya hassas işlevler gerçekleştirir. Güvenlik özelliklerinin böyle sistemlerin tasarımının bir parçası olması gerektiğini bilmek zor olabilir. Bu nedenle, aşağıdakileri içeren güvenliklerin sisteme dahil edilmesi için çeşitli çerçeveler geliştirildi:

  • Ortak ölçütler: Bir sistemin bir dizi güvenlik gereksinimine karşı belirtilmesi, uygulanması ve değerlendirilmesi için bir çerçeve

  • SEE-CMMI (Yazılım Mühendisliği Enstitüsü - Yetenek Olgunluk Modeli Entegrasyonu): Bir kuruluşun güvenlik uygulamalarının olgunluğunu değerlendirmek için bir model

  • SSE-CMM (Sistem Güvenlik Mühendisliği Yetenek Olgunluk Modeli): Bir organizasyonun bir sistemi güvenliği uygulama kabiliyeti

Sertifikasyon ve akreditasyon

Bilgi sistemleri önemli işlevleri yerine getirmek için yapıldığı için sistemleri, bu işlevleri yerine getirme uygunluğuna göre değerlendirmek için çeşitli yöntemler kullanılır.Bu metodolojilere sertifikasyon ve akreditasyon uygulamaları dahildir. Bu modeller şunları içerir:

  • DIACAP (Savunma Bakanlığı Bilgi Güvencesi Sertifikasyon ve Akreditasyon): Askeri sistemleri belgelemek ve onaylamak için kullanılır

  • NIACAP (Ulusal Bilgi Güvence Sertifikası ve Akreditasyon Süreci): onaylama ve ABD ulusal güvenlik sistemlerini onaylama,

  • DCID 6/3 (Merkezi İstihbarat Direktifi 6/3 direktörü): Merkezi İstihbarat Ajansı (CIA) tarafından kullanılan sistemleri onaylamak ve onaylamak için kullanılır

  • FEDRAMP (Federal Risk ve Yetkilendirme Yönetim Programı): Bulut tabanlı güvenlik sağlayıcıları için güvenlik değerlendirmeleri, yetkilendirme ve sürekli izleme için bir çerçeve

Bilgisayar donanımı mimarisi

Güvenlik uzmanları bilgisayar donanımının nasıl çalıştığını anlamalıdır; bunların düzgün bir şekilde korunmalarını sağlayın. Modern bilgisayarlar şu bileşenden oluşur:

  • CPU (merkezi işlemci): Bilgisayar komutlarının yürütülmekte olduğu ve hesaplamaların yapıldığı bileşen

  • Ana depolama: Bilgilerin geçici olarak saklandığı bileşen < İkincil depolama:

  • Bilginin kalıcı olarak depolandığı bileşen. Otobüs:

  • Veri, talimatların dahili olarak CPU, ana depolama, ikincil depolama ve harici olarak çevresel aygıtlar ve iletişim adaptörleri aracılığıyla aktığı bileşen. Bellenim:

  • Yazılım kalıcı bellekte saklanır. İletişim:

  • Ağ bağdaştırıcıları ve ekran bağdaştırıcıları da dahil olmak üzere harici iletişim bileşenleri. Güvenlik donanımı:

  • Şifreleme anahtarlarını, akıllı kart okuyucularını ve parmak izi tarayıcılarını saklamak ve oluşturmak için kullanılan Güvenilir Platform Modülü (TPM) gibi çeşitli güvenlik işlevleri için bileşenler. Bilgisayar işletim sistemi

Bir bilgisayar işletim sistemi (OS), bilgisayar donanımındaki uygulama programlarının ve araçlarının çalışmasını kolaylaştıran programlar grubundan oluşur. Bir işletim sisteminin bileşenleri, çekirdek (işlemci, bellek ve çevresel aygıtlarla iletişim kuran çekirdek yazılım), aygıt sürücüleri (otobüs aygıtlarının ve çevresel aygıtların kullanılmasını kolaylaştıran) ve araçları (yöneticiler tarafından bu tür kaynakları yönetmek için kullanılır) kullanılabilir disk alanı olarak).

Bir işletim sistemi tarafından gerçekleştirilen ana işlevler şunlardır:

İşlem yönetimi

  • Kaynak yönetimi

  • Erişim yönetimi

  • Etkinlik yönetimi

  • İletişim yönetimi

  • Yazılım tehditleri ve önlemleri

Saldırganlar saldırı yazılımı sistemlerin müdahale edip, bu sistemleri bir çok yönden ele geçirmesi. Saldırı yöntemlerinin bazıları ve bunların karşı önlemleri şunları takip eder:

Gizli kanal saldırısı:

  • Gizli iletişimlerin bulunmamasını sağlamak için mevcut bir iletişim kanalında gizli bir iletişim kanalı var. Karşı önlemler arasında, haberleşmedeki anormallikleri tespit etmek için koklayıcılar, paket analiz cihazları ve saldırı tespit sistemleri (IDS) kullanılmaktadır. Devlet saldırısı:

  • Bir sistemdeki bir zamanlama kusurunun sömürülmesi. yarış durumu olarak da bilinir, bir devlet saldırısı başka bir işlem tarafından kullanılan bir kaynağa erişmek için kullanılabilir. Karşı önlemler, bu tür kusurları programlarda tespit etmek için kaynak kodu taramaları ve incelemeleri içerir. Yan kanal saldırısı:

  • Sistemdeki faaliyetlerle ilgili çıkarımlarda bulunmak için bir sistemin çalışma durumlarını gözlemleme. Bir saldırgan, bir sistemin güvenliğini aşmak için bu bilgi toplama yöntemini kullanabilir. Karşı önlemler gözlemleri engellemek için mantıksal veya fiziksel koruma içerir. Tutma:

  • Bir bilgisayar sisteminden yayılan elektromanyetik radyasyon (EMR) sistem hakkında değerli bilgiler sağlar. Bazen emanasyonlar, bir sistem tarafından işlenmekte olan hassas verileri içerebilir. Karşı önlemler EMR emisyonunu önlemek için koruyucu içerir. Arka kapı:

  • Bir kişinin programa gizli erişimini sağlayan bir programdaki bir özellik. Arka kapılar, davetsiz misafirler tarafından keşfedilebilir ve sömürülebilir. Kötü niyetli programcılar, programa yasadışı olarak erişmek için arka kapılar oluşturabilir. Karşı önlemler, arka kapıları ve paket analiz cihazlarını algılamak için kod incelemelerini içerir ve bunların kullanımını tespit eder.