Sistemin olası tehditlere karsı sürekli takip edilmesi gereğidir. Oluşan tehditler karsısında kabul edilen varsayımlar üzerine güvenlik politikası ve mekanizmasının tasarımı ve bunların uygulanması sonucu sistem güvenli hale gelse bile, yeni tehditlerin ortaya çıkma durumu her zaman düşünülmelidir. Bunlar güvenlik politikasının güncellenmesini ve ilgili tüm adımların tekrar yapılmasını gerektirir. Sistem güvenliğini sağlamak için uygulanan bu adımlar bilgi güvenliği yasam döngüsünü oluşturur ve bu döngünün sürekliliğinin sağlanması gerekir.

Biyometrik yöntemler insanların fizyolojik veya davranışsal özelliklerinin belirli ölçütlere göre belirlenmesine ve daha sonra kimlik doğrulaması için karşılaştırılması üzerine kurulmuştur. 

Bir oturum durumunu tanımlamak için gerekli bazı parametreler aşağıdaki verilmiştir:
- Oturum Tanımlayıcısı: Sunucu tarafından seçilen aktif veya devam ettirilebilir oturum durumlarını tanımlayan rastgele oluşturulmuş bir bayt dizisidir.
- Veri Sıkıştırma Metodu: Şifrelemeden önce veri sıkıştırmak için kullanılan algoritmadır.
- Şifreleme yönteminin belirlenmesi: Mesaj Doğrulama Kodu (Message Authentication Mode-MAC) hesaplamada kullanılan toplu veri şifreleme algoritmasını ve karma algoritmayı tanımlar.
- Ana Sır: İstemci ile sunucu arasında paylaşılan 48 baytlık sırdır.
- Yenilenebilir: Bir oturumun yeni bağlantılar başlatmak için kullanılıp kullanılamayacağını belirlemek için kullanılır. Doğru cevap B seçeneğinde verilmiştir.

Anahtar dağıtımı kullanıcılar arasında güvenli iletişim kurmak için gerekli gizli anahtar­ların kullanıcılara dağıtılmasını kapsar (Katz ve Lindell, 2014). Şifreleme algoritmalarının güvenliği gizli anahtarların yetkisi olmayan kullanıcıların eline geçmemesine bağlıdır. Bu nedenle anahtar dağıtımı güvenli bir şekilde yapılmalıdır. En genel haliyle anahtarların dağı­tılması dört farklı yöntem ile yapılır. Bu yöntemler aşağıdaki açıklanmıştır (Stallings, 2011):

1. Kullanıcılardan bir tanesi simetrik şifreleme için gerekli gizli anahtarı oluşturur ve fiziki yollar kullanarak güvenli şekilde iletişim kurmak istediği diğer kullanıcıya ulaştırır. Bu, pratikte uygulanması zor ve zaman alıcı bir yöntemdir.
2. Bütün kullanıcılar tarafından güvenilir kabul edilen üçüncü bir parti gizli anah­tarı üretir ve iletişimi yapacak kullanıcılara fiziki yollar kullanarak ulaştırır. Hem üçüncü partiye gereksinim olmasından hem de fiziksel temas gerektirdiğinden, bu yöntem tercih edilmez.
3. Her iki kullanıcının önceden paylaştığı bir gizli anahtar var ise yeni oluşturulacak oturum anahtarı, kullanıcının biri tarafından oluşturulur ve diğer kullanıcıya krip­tografik yöntemler kullanılarak güvenli bir şekilde ulaştırılır.
4. Güvenli iletişim kurmak isteyen kullanıcılar, diğer bir üçüncü parti ile güvenli bağ­lantıları var ise, anahtar üçüncü parti tarafından oluşturulur ve güvenli bir şekilde kullanıcılara ulaştırılır.

I. ve II. yöntemler ancak ağda az sayıda kullanıcının olması ve bunlar arasında mesafe­lerin kısa olması durumunda uygulanabilir. Ama kullanıcı sayısının artması ve kullanıcı­ ların farklı coğrafik konumlarda olması durumunda III. ve IV. yöntemleri kullanmak daha yönetilebilir çözümler sunar.

Davranışsal özellikler arasında aşağıdaki özellikler sayılabilir:

• Ses
• El yazısı
• Tuş vuruşu
• Dudak hareketi
• Yürüyüş tarzı  

Sistem kaynakları: Sistemin kendisini, system yeteneklerini, system hizmetlerini, donanım bileşenlerini, iletişim hatlarını ifade eder.

Yukarıda verilen güvenlik servislerinden kimlik doğrulama ve mesaj bütünlüğü kullanıcının gerçekleştirmiş olduğu bir faaliyetin sorumluluğunun kendisinde olduğunu belirtmekte, kullanılabilirlik ve erişim kontrolü ise yöneticiler tarafından kullanıcıya verilen yetkileri ifade etmektedir.

Solucanlar, kendilerini bir bilgisayardan diğerine otomatik olarak kopyalamak için tasarlanan, yerel sürücüde ya da ağda bant genişliğini tüketerek bilgisayar hızını etkileyip bilgisayarın çökmesine kadar etkilere yol açabilen zararlı yazılımlardır.

Güvenlik açığı: Sistemin güvenlik politikasını ihlal etmek için kullanılabilecek sistemin tasarımında veya gerçekleşmesinde ortaya çıkan tasarımcı tarafından düşünülmemiş zayıflıklardır.

Sistem Kaynakları: Sistemin kendisi, sistem yetenekleri, sistem hizmetleri, donanım bileşenleri, iletişim hatları vb. varlıklar sistem kaynağı olarak kabul edilir.

SMTP (Simple Mail Transfer Protocol – Basit Posta Gönderim Protokolü): E-posta gönderiminde kullanılmak üzere tasarlanmış bir protokoldür. Bu protokol, istemci tarafından gönderilmek istenen bir e-postanın sunucu bilgisayara iletiminden sorumludur. Sunucu bilgisayardan gelen e-postaları almak için ise POP ya da IMAP protokolleri kullanılmaktadır. FTP (File Transfer Protocol – Dosya Transfer Protokolü): Ağ üzerinde dosya transferi için kullanılan protokoldür. DNS (Domain Name System – Alan Adı Sistemi): Kullanıcı farkında olmasa da, uygulama katmanı tarafından en çok kullanılan protokollerden birisi olarak karşımıza çıkmaktadır. Alan adı bilinen bir sunucu bilgisayarın, ağ üzerinde tanımlanmasını sağlayan IP adresinin bulunmasını sağlayan protokol, İnternet sitelerine her bağlantı yapıldığında kullanılmaktadır. POP3 (Post Office Protocol – Posta Ofisi Protokolü): Sunucu bilgisayara gelmiş olan e-postayı istemci bilgisayara almak için kullanılan bir protokoldür. Kısacası gelen e-postaları bilgisayarımıza indirmek için kullanılmaktadır.

SSL kayıt protokolünün sunduğu iki servis gizlilik ve mesaj bütünlüğü olarak adlandırılır.

Güvenlik Açığı: Sistemin güvenlik politikasını ihlal etmek için kullanılabilecek, sistemin tasarımında veya gerçeklemesinde ortaya çıkan, tasarımcı tarafından düşünülmemiş zayıflıklar olarak tanımlanır. Risk: Bilgi veya kaynak kaybı olasılığı, sistem güvenliğinde risk olarak tanımlanır. Belirli bir tehdidin sistemde bulunan bir güvenlik açığından yararlanarak sistemi zarara uğratma olasılığını ifade eder. Karşı Önlem: Sistem üzerindeki tehdidi, saldırıya açıklığı veya saldırının neden olabileceği zararları öngörüp bunları azaltarak ortadan kaldırmaya ya da engellemeye yönelik bir eylemdir. Bu amaca yönelik uygulanan araç, yöntem veya teknikler karşı önlem olarak adlandırılır. Sistem Kaynakları: Sistemin kendisi, sistem yetenekleri, sistem hizmetleri, donanım bileşenleri, iletişim hatları vb. varlıklar sistem kaynağı olarak kabul edilir. Güvenlik Politikası: Gizli kalması gereken verileri ve kritik sistem kaynaklarını korumak için sistemin güvenlik hizmetlerini nasıl sağladığını belirten birtakım kural ve uygulamalardan oluşan prensipler bütünüdür.

Bilgi değerli bir varlık olduğundan, güvenli bir şekilde saklanması ve gerektiğinde güvenli bir şekilde iletilmesi gerekmektedir. Bilginin güvenilir bir şekilde saklanması ve iletilmesi için farklı yöntemler kullanılabilir. Pratik uygulamalarda en çok kriptografik algoritmalar ve protokoller tercih edilir. Kriptografik algoritmalar ve protokoller dört temel alanda gruplandırılır. Bu gruplar;
- Simetrik şifreleme,
- Açık anahtar şifreleme,
- Veri bütünlüğü
- Kimlik doğrulama olarak sıralanabilir. Doğru cevap D’dir.

Solucanlar, kendilerini bir bilgisayardan diğerine otomatik olarak kopyalamak için tasarlanan, yerel sürücüde ya da ağda bant genişliğini tüketerek bilgisayar hızını etkileyip bilgisayarın
çökmesine kadar etkilere yol açabilen zararlı yazılımlardır.

Fizyolojik özellikler aşağıdaki gibi sıralanabilir:
- Parmak izi
- Yüz
- Kulak
- Retina. Doğru cevap C'dir.

I. ve II. yöntemler ancak ağda az sayıda kullanıcının olması ve bunlar arasında mesafelerin kısa olması durumunda uygulanabilir. Ama kullanıcı sayısının artması ve kullanıcıların farklı coğrafik konumlarda olması durumunda III. ve IV. yöntemleri kullanmak daha yönetilebilir çözümler sunar.

Bir güvenlik politikasının “güvenli” ve “güvenli olmayan” eylemlerinin tanımları göz önüne alındığında, bu güvenlik mekanizmaları sisteme karsı oluşabilecek saldırıyı önleyebilir, bu saldırıyı tespit edebilir veya saldırıdan kurtarabilir. Saldırılara karsı oluşturulan güvenlik politikasının hedefleri; saldırıları önleme, saldırıları tespit etme, saldırılardan kurtarma (Saldırılardan kurtulma iki biçimde ortaya çıkabilir. İlki, yapılan saldırıyı durdurmak ve bu saldırının yol açtığı hasarları değerlendirip onarmaktır. İkinci bir kurtarma biçimi ise sistem saldırı altındayken, sistemin çalışmasına devam etmesidir.).

Aşağıdaki özellikler WTLS tarafından karşılanır: Veri bütünlüğü: İstemci ve ağ geçidi arasında gönderilen verinin başkaları tarafından değiştirilmediğinden emin olmak için mesaj bütünlüğü doğrulaması yöntemleri kullanılır. Gizlilik: İletim halindeki verinin üçüncü şahıslar tarafından okunmamasını garanti etmek amacıyla şifreleme algoritmaları kullanılır. Kimlik doğrulaması: Her iki tarafın (istemci ve ağ geçidi) kimlik doğrulaması için dijital sertifikalar kullanılır. Hizmet engelleme koruması: Başarılı bir şekilde doğrulanmayan ve yeniden yönlendirilen mesajları algılar ve reddeder.

Kullanıcı adı ve parola üzerine inşa edilmiş birçok yöntem vardır:

• Lokal depolama
• Merkezi depolama
• Kerberos
• Bir kullanımlık parola