BİLİŞİM GÜVENLİĞİ TEDBİRLERİ
Bilişim güvenliğinde uygulamalarda yol gösterecek dört temel ilke vardır. Bu ilkeleri kısaca şöyle açıklayabiliriz.
• En kolay nüfuz etme ilkesi: Herhangi bir güvenlik sistemine saldırı gerçekleştirmek isteyen kötü niyetli kişi gerçekleştirilebilecek en kolay saldırıyı yapacaktır. Bu nedenle yapılabilecek saldırılara karşı alınacak tedbirler planlanırken, saldırganların en kolay yolu deneyecekleri unutulmamalıdır.
• Yeterli süre koruma ilkesi: İnsanlar değerli her türlü varlığı korumak isterler. Herhangi bir şey değerini kaybetmediği sürece korunur. Zamanla değerini yitirmiş her nesne çöpe atılır. Yeterli süre koruma ilkesi değerli varlıkların değerlerini kaybetmedikleri sürece korunmalarını söyleyen ilkedir.
• Tesirlilik ilkesi: Bu ilke güvenlik sistemlerinde kullandığımız kontrol tekniklerinin
kullanılabilir ve beklenen amaçları gerçekleştirebilir olmalarını gerektiren ilkedir. Herhangi bir kontrol metodunun sağlaması gereken üç temel amaç yeterli güvenlik, kolay kullanılabilirlik ve performanstır. Ama bu üç amaç genellikle birbiriyle çelişen amaçlardır. Bir başka ifadeyle bu üç amaçtan herhangi birisini veya ikisini gerçekleştirmek istersek, diğer iki veya bir amacın belli miktarlarda fedakârlıkta bulunması gerekir. Eğer çok güvenli bir sistem oluşturmak istersek, ya sisteminin performansı düşecektir, ya kullanılabilirliği zorlaşacaktır ya da hem performans hem de kolay kullanılabilirlik kötüleşecektir. Bu nedenle bu üç amaç arasında bir denge oluşturacak şekilde kontrol mekanizmaları kullanmak gerekir. Burada dikkat etmemiz gereken bir başka nokta ise, güvenlik derecesinin, performansın ve kolay kullanılabilirlik derecesinin kişiden kişiye farklılık gösterebileceğidir. Bir kişi için performans en önemli iken başka bir kişi için güvenlik en önemli amaçtır. Bu nedenle istenen amaçlar ve bu amaçların hangi derecede başarılmak istenmesine göre güvenlik sistemi geliştirilir.
• En zayıf halka ilkesi: Bir sistemin güvenliği bu sistemin en zayıf noktasından daha güvenli olamaz. Yani bir sistemin güvenlik derecesini o sistemin en zayıf noktası belirler. Çünkü kötü niyetli kişiler sistemdeki en zayıf noktayı tespit edip o noktadan saldırı gerçekleştirirler. Birinci ilkede bahsettiğimiz gibi saldırganlar en kolay atağı deneyecektir. En kolay saldırı da en zayıf noktadan gerçekleştirilebilir. Güvenlik sistemi tasarlarken zayıf noktaları tespit edip bütün noktaların mümkün olduğunca aynı seviyede güvenli olması sağlanmalıdır.