This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
İÇERİKİÇERİK1. Neden Web Güvenliği1. Neden Web Güvenliği2. Kurumsal Web Güvenliği Modeli2. Kurumsal Web Güvenliği Modeli
Standartları Oluşturma/UygulamaStandartları Oluşturma/Uygulama Sistem FarkındalığıSistem Farkındalığı Eğitim / SınamaEğitim / Sınama Saldırı SaptamaSaldırı Saptama EngellemeEngelleme
3. UlakCsirt Web Güvenliği Grubu3. UlakCsirt Web Güvenliği Grubu4. Sonuç4. Sonuç
Doğru bilgiyi zamanında ulaştırmakDoğru bilgiyi zamanında ulaştırmak Eticaret ve bankacılıkEticaret ve bankacılık Eöğrenme ...vbEöğrenme ...vb Kurumların vitrini Kurumların vitrini Uzaktan program çalıştırmak Uzaktan program çalıştırmak Cihaz yönetimiCihaz yönetimi
ZoneH ’in incelemesi 2004 yılında web ZoneH ’in incelemesi 2004 yılında web sunucu saldırıları 2003 yılına göre 400,000 sunucu saldırıları 2003 yılına göre 400,000 (%36) artmıştır. (%36) artmıştır.
CSI/FBI “Bilgisayar Suç ve Güvenlik CSI/FBI “Bilgisayar Suç ve Güvenlik Anketi”, ankete katılanların %95’i 2005 yılı Anketi”, ankete katılanların %95’i 2005 yılı içinde güvenlikle ilgili 10’dan fazla web içinde güvenlikle ilgili 10’dan fazla web sitesi olayı sitesi olayı
Kurumsal Web Güvenliği Modeli Kurumsal Web Güvenliği Modeli
Standartların OluşturulmasıStandartların Oluşturulması Web Sistem FarkındalığıWeb Sistem Farkındalığı Eğitim / SınamaEğitim / Sınama Saldırı SaptamaSaldırı Saptama EngellemeEngelleme
Kurum dışına açılacak web sunucu Kurum dışına açılacak web sunucu sistemlerinin uyması gereken özellikler sistemlerinin uyması gereken özellikler belirlenmeli ve uygulanmalıdırbelirlenmeli ve uygulanmalıdır
Kurumun web sayfaları belirli bir yapıda ve Kurumun web sayfaları belirli bir yapıda ve şablonda olmalıdır.şablonda olmalıdır.
Hazır web portalları (phpnuke, joomla ...vb) Hazır web portalları (phpnuke, joomla ...vb) yerine kuruma özgü bir şablon hazırlanmalı yerine kuruma özgü bir şablon hazırlanmalı ve uygulanmalıdır.ve uygulanmalıdır.
Kurumsal web uygulamaları test edilmeli ve Kurumsal web uygulamaları test edilmeli ve dökümantasyonu bulunmalıdır ...dökümantasyonu bulunmalıdır ...
Eğer saldırgan, Eğer saldırgan, sistemler hakkında sizden sistemler hakkında sizden daha fazla bilgiye sahipse, daha fazla bilgiye sahipse, o sistemi koruyamazsınız!o sistemi koruyamazsınız!
Web Altyapısı FarkındalığıWeb Altyapısı Farkındalığı
Web sunucu IP adresleriWeb sunucu IP adresleri Kullanılan protokoller (https, http)Kullanılan protokoller (https, http) Alan adı (örn. socrates.ege.edu.tr)Alan adı (örn. socrates.ege.edu.tr) Kullanılan port'lar (80, 8080 …vb)Kullanılan port'lar (80, 8080 …vb) İşletim Sistemi (Linux, Windows …vb)İşletim Sistemi (Linux, Windows …vb) Web sunucu yazılımı ve sürümü Web sunucu yazılımı ve sürümü (Apache 2.0, IIS 6.0…vb)(Apache 2.0, IIS 6.0…vb)
Web yazılımlarının girdi/çıktı kontrolünün Web yazılımlarının girdi/çıktı kontrolünün yapılması gerektiği anlatılmalıyapılması gerektiği anlatılmalı
Sunuculardaki hata sayfaları yerine Sunuculardaki hata sayfaları yerine varsayılan sabit bir sayfa döndürülmesi varsayılan sabit bir sayfa döndürülmesi gerektiği anlatılmalıdır.gerektiği anlatılmalıdır.
Web Güvenliği konusunda bilinçlendirmeWeb Güvenliği konusunda bilinçlendirme Web Güvenliği BelgeleriWeb Güvenliği Belgeleri http://websecurity.ege.edu.trhttp://websecurity.ege.edu.tr
Kurumsal Ağlarda web güvenliğini Kurumsal Ağlarda web güvenliğini sağlamak için öncelikle gerekenler:sağlamak için öncelikle gerekenler: Web Sisteminizin farkında olmalısınızWeb Sisteminizin farkında olmalısınız Sunucu Yöneticilerini ve programcıları Sunucu Yöneticilerini ve programcıları
bilinçlendirmelibilinçlendirmeli
Saldırı Tespiti için sistem takip edilmeliSaldırı Tespiti için sistem takip edilmeli Mümkünse web güvenlik duvarı Mümkünse web güvenlik duvarı
Belgeleme çalışmalarımız devam Belgeleme çalışmalarımız devam etmektedir. Desteğinizi bekliyoruz:etmektedir. Desteğinizi bekliyoruz:http://websecurity.ege.edu.trhttp://websecurity.ege.edu.trhttp://csirt.ulakbim.gov.trhttp://csirt.ulakbim.gov.tr/dokumanlar/dokumanlar