ULUSAL YARGI AĞI PROJESİ I Dersi UYAP’ta Güvenlik ve Yardım Masası soru cevapları:
Toplam 25 Soru & Cevap#1
SORU:
Bilginin güvenliğini oluşturan unsurlar nelerdir?
CEVAP:
Bilgi güvenliği, kişiye ait olan bilginin başkasının eline geçmemesini sağlamaktır. Bilginin güvenliği “gizlilik”, “bütünlük” ve “erişilebilirlik” olarak isimlendirilen üç ana unsurdan oluşmaktadır. Bu 3 ana unsurdan herhangi biri zarar görürse güvenlik zafiyeti oluşur.
#3
SORU:
Bilgi bütünlüğü nedir?
CEVAP:
Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.
#4
SORU:
Bilgi erişilebilirliği nedir?
CEVAP:
Bilginin ilgili ya da yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olmasıdır.
#5
SORU:
UYAP sistem güvenliğinde teşhis ve doğrulama nedir?
CEVAP:
Sistem, UYAP sistemine bağlanan her kullanıcıya teşhis ederek kullanıcı bazında kayıt tutabilme yeteneğine sahiptir. Bunun için her kullanıcının herhangi bir işlem yapmadan önce sisteme kendisini tanıtması zorunlu kılınarak kullanıcının kimliği ile kullanıcının kaydını tutabilmekte, bütün işlemlerini birbirine ilişkilendirebilecek kabiliyettedir.
#6
SORU:
UYAP sistem güvenliğinde kayıt edilebilirlik nedir?
CEVAP:
Sistem, kayıt edilebilir olayların kayıtlarının yaratılmasını, idamesini, analiz edilmesini ve yetkisiz değiştirme, erişim ve silmeye karşı korunmasını sağlayacak kabiliyettedir. Denetim kayıtları ve diğer bilgiler arasında ayrım sağlamakta, denetim kaydı verilerine sadece sistem yöneticisinin erişebilmesini sağlamakta ve izinsiz erişimlerden korumaktadır. Kayıt işlemlerinin ve denetim kaydı verisinin normal kullanıcılar tarafından değiştirilebilmesini ve silinmesini engellemekte, seçilen bir veya birden fazla kişinin eylemleri ile ilgili kayıtların kişi bazında tutulmasını sağlamaktadır.
#7
SORU:
UYAP sistem güvenliğinde verilerin bütünlüğü nedir?
CEVAP:
Sistem, sayısal imza ve mesaj özeti mekanizmalarını kullanarak kritik bilgiler izinsiz değiştirildiği ve silindiği zaman bunu tespit etmektedir. Virüs gibi izinsiz olarak sistemdeki verileri değiştirip, silinebilen zararlı kodları tespit edip yok edecek kabiliyette tasarlanmıştır.
#8
SORU:
Açık Anahtar altyapısı ve elektronik imza servisleri nelerdir?
CEVAP:
Sistem, sayısal imza ve kimlik doğrulama servislerini desteklemek üzere kurulmuş olan Açık Anahtar Altyapısı (örneğin; kullanıcı anahtarlarının ve sertifikalarının yaratılması, güncellenmesi, iptal edilmesi) için sertifikasyon yetkilisi yazılımı ile Açık Anahtar Altyapısı istemci yazılımlarını kullanmaktadır.
#9
SORU:
UYAP bilgi sisteminde anahtar yönetimi, sistemdeki her gerekli birim için hangi işlevleri karşılar?
CEVAP:
Anahtar yönetimi, sistemdeki her gerekli birim için aşağıda belirtilen işlevleri karşılamaktadır.
- Anahtar Yönetimi
- Anahtar Dağıtımı
- Anahtar Doğrulanması Anahtar İptal Edilmesi
- Anahtar Süresinin Bitirilmesi
- Anahtar Bildirimi
- Anahtar Kimlik Doğrulaması
Açık anahtar altyapısı istemcisi ise kullanıcı adına sertifikasyon yetkilisi tarafından sağlanan Açık Anahtar Altyapısı servislerini doğrudan kullanarak gerekli işlemlerin yerine getirilmesini sağlamaktadır.
#10
SORU:
UYAP bilgi sisteminde emniyetli mesaj ve doküman Servisi nedir?
CEVAP:
Sistem, belirlenmiş kullanıcılar ve uygulamalar için emniyetli mesaj servisini sağlamakta, belirlenmiş kullanıcılar tarafından gönderilen mesajların veya hazırlanan dokümanların içeriğinin yazılım olarak şifrelenmesini temin etmektedir. Sistem belirlenmiş kullanıcılar tarafından gönderilen mesajların veya hazırlanan dokümanların sahibinin kimliğinin doğrulanması için sayısal olarak imzalanmasını, mesajın ya da dokümanın sayısal imzanın doğrulanarak mesaj veya doküman sahibinin kim olduğunun teşhisini ve doğruluğunun kanıtlanmasını sağlamaktadır.
#11
SORU:
UYAP bilgi sisteminde ağ güvenliği nasıl sağlanmaktadır?
CEVAP:
Sistemin ağ güvenliği, her lokasyonun çıkışında tüm bağlantıları kontrol eden güvenlik duvarı yazılımı (Firewall) ile sağlanmaktadır.
#12
SORU:
UYAP bilgi sisteminde uzaktan erişim güvenlik servisi nedir?
CEVAP:
Sisteme, İnternet gibi güvensiz ortamda herhangi bir noktadan erişildiğinde iletilen bilgilerin güvenliği için aşağıdaki koşullar sağlanmıştır.
- Sunucu ve kullanıcının birbirlerinin kimliğini doğrulaması,
- Kullanıcının ağ üzerinde bağlantı kurduğu sunucunun DNS adresinin ve isminin sertifikalar yoluyla doğrulanması,
- Sunucu ve istemci arasında kurulan bağlantının kriptolanması, veri bütünlüğünün sağlanması ve anahtarların değiştirilmesi,
- Sunucu ve kullancı arasındaki veri alışverişinin güvenliği için SSL ( Secure Socket Layer) protokolü kullanılmaktadır.
#13
SORU:
Bilgi güvenliği şubesi nedir?
CEVAP:
Başka hiçbir kamu kurumunda olmayan bir birimdir. Dışarıdan veya içeriden gelebilecek siber tehditlerin önlenebilmesini sağlamak amacıyla UYAP Bilişim Sistemi açıklarını araştırmak ve kapatılmasını sağlamaktan sorumludur.
#14
SORU:
UYAP bilgi sisteminde fiziksel güvenlik nasıldır?
CEVAP:
UYAP Bilgi Sistemi kendisine ait müstakil bir binada hizmet vermektedir. Bina özel güvenlik alanı olarak ilan edilmiş ve 7/24 güvenlik elemanlarınca korunmaktadır.
#15
SORU:
UYAP bilgi sisteminde yazılımsal güvenlik nasıldır?
CEVAP:
UYAP Bilgi Sistemleri içerisinde iç ve dış tehditlere karşı dünyaca kabul görmüş “Bilişim Güvenliği Teknolojileri” ile korunmaktadır.
Her bir sistem kendisi içerisinde ayrıca daha önce belirlenen güvenlik politikalarına uygun olarak konfigüre edilmiştir.
#16
SORU:
UYAP iç güvenlik sistemi nasıl çalışır?
CEVAP:
UYAP iç güvenlik sistemi Bilgi Sistemi Aktive Directory (Aktif Dizin) Servisinden faydalanarak çalışır.
- Aktif dizin, Windows platformunda çalışan sistemlerde kullanılan servistir. Network üzerindeki nesneler (kullanıcı, kullanıcı grupları, bilgisayarlar, organizasyonel birimler vs.) hakkındaki bilgilerinin kayıtlı olduğu yerdir. Aktif dizine tanıtılmamış kullanıcı kurumun Bilişim Sisteminden faydalanamaz.
- Bilişim Sisteminde uyulması gereken temel güvenlik kurallarının merkezden belirlenebilmesini sağlamaktadır.
- Merkezden belirlenen temel güvenlik kurallarına bütün kullanıcılar tarafından uyulduğunu garanti etmektedir.
#17
SORU:
UYAP bilgi sisteminin kullanılabilimesi içine gerekli ön şartlar nelerdir?
CEVAP: - Kullanıcı olabilmek için Personel Genel Müdürlüğü kayıtlarında bulunmak gerekmektedir.
- Sisteme giriş için bir “kullanıcı adı” ve “parola”ya ihtiyaç vardır. Parola Bilgi İşlem Dairesi Başkanlığı tarafından verilir. Kullanıcı tarafından sonradan değiştirilebilir.
- Uygulama Yazılımının çalıştırabilmesi için de ayrıca bir parolaya sahip olunması gerekir. Bu parola da Bilgi İşlem Dairesi Başkanlığı tarafından verilir ve ilk kullanımında kullanıcı tarafından değiştirilmesi zorunluluğu vardır.
- Uygulama Yazılımı da kendi içinde yetki temelli olarak çalışmaktadır. Üstelik yetki unvan, birim ve yer bazında belirlenebilir. Örneğin, Uygulama Yazılımı bir zabıt kâtibinin kullanıcı adı ve şifresi ile çalıştırıldığında kullanıcı sadece o zabıt kâtibinin görevli olduğu yerdeki, görevli olduğu mahkemede bulunan dosyaları görebilir ve sadece bu dosyalarda bir zabıt kâtibinin gerçekleştirebileceği işlemleri yapabilir. (Özel önemi olan yetkileri Bilgi İşlem Dairesi Başkanlığı değil ilgili birim verir. Örneğin teftiş yetkisini Teftiş Kurulu Başkanlığı, gizli sicil görme yetkisini Personel Genel Müdürlüğü verir gibi.)
#18
SORU:
UYAP bilgi sisteminde loglama mekanizması ne işe yarar?
CEVAP:
UYAP Bilgi Sistemini kullanan kullanıcıların sistem üzerindeki hareketleri Kullanıcı Adı, Bilgisayar Adı, Mac Adresi, IP numarası, Tarih-Saat, Ekran, Değişiklik bazında kayıt altına alınmaktadır.
#19
SORU:
UYAP dış güvenlik sistemi nasıl çalışır?
CEVAP:
UYAP sistemi dış tehditlere karşı üstünlüğü ve etkinliği dünyaca kabul görmüş “Bilişim Güvenliği Teknolojileri” ile korunmaktadır. Dış güvenlik kapsamında aşağıdaki güvenlik tedbirleri mevcuttur:
- İntranet: UYAP kendi iç network (İnternet ağı) içinde çalışmaktadır.
- Noktadan Noktaya VPN (Virtual Private Network): Taşra birimleri UYAP’a İnternet üzerinden erişir ama bu erişimi kendileri için özel olarak oluşturulmuş bir tünel içinden geçerek yaptıkları için talep ettikleri veya gönderdikleri bilgileri diğer İnternet kullanıcıları göremez.
- Firewall: İletişim trafiği Güvenlik Duvarları kontrolündedir. Tanımlanan kurallar basit ve etkilidir: “A,B,C trafiğine izin ver, bunlar dışındakilerin hepsini yasakla!”
- IDS (Saldırı Tespit Sistemi) ve IPS (Saldırı Önleme Sistemi) modüllerine sahiptir.
- NAT (Network Address Translation): Kullanıcı ve sunucuların gerçek IP’leri dışarıdan görülmüyor.
- Proxy (İçerik Denetimi): Kullanıcıların erişimi tek bir İnternet çıkışı üzerinden olduğu için kontrolü ve denetimi kolay ve ayrıca güvenlidir.
#20
SORU:
UYAP bilgi güvenliği yönetim sistemi (BGYS) nedir?
CEVAP:
Kurumların İnternet veya özel iletişim hatları üzerinden akan verilerinin güvenliğinin sağlanması amacıyla kullanılabilecek pek çok teknoloji bulunsa da yalnız teknolojik önlemlerle (anti-virüs, firewall sistemleri, kripto vb.) iş süreçlerinde bilgi güvenliğini sağlama imkânı yoktur. Ayrıca bilgi güvenliğini tehdit eden unsurlar sadece elektronik ortamda yapılan saldırılarla sınırlı değildir. Yangın, sel, deprem vb. doğal afetler veya kullanıcı hataları sonucunda da bilgiler ve bilgi sistemleri tamamen ya da kısmen zarar görebilmektedir.
Vazgeçilmez ve önemli bilgi sistemlerinin korunabilmesi, iş risklerinin en aza indirgenmesi ve iş sürekliliğinin sağlanması ancak bütünsel yaklaşımlar ile mümkündür. Tüm bunlardan çıkan sonuç bilgi güvenliğinin bir teknoloji sorunu olmadığı, bunun bir iş yönetimi sorunu olduğudur.
İşte bu nedenlerle “Kurumsal Bilgi Güvenliği” kavramı altında bir yönetim sistemi oluşturma yönünde yapılan çalışmalar 1993 yılında BS 7799 standardını, 2000 yılında ISO/IEC 17799 standardını ve 2006 yılında ISO/IEC 27001 standardını ortaya çıkarmıştır. Kısaca ISMS (Information Security Management System)/BGYS (Bilgi Güvenliği Yönetim Sistemi) olarak adlandırılan bu yeni yönetim sistemi standardı “bilgilerin” her türlü ortamda (kâğıt üzerinde, elektronik ortamda, yazılı ve sözlü iletişimde vb.) güvenliğini sağlamak için öngörülen yönetsel çerçeveleri oluşturur ve bilgi güvenliğini kurumsal süreçlerin bir parçası (iş anlayışı, yönetim ve kültür sorunu) hâline getirir.
#21
SORU:
UYAP bilgi güvenliği yönetim sisteminin faydaları nelerdir?
CEVAP:
Bir kuruluşun sadece teknik önlemlerle bilgi güvenliğini ve iş sürekliliğini korumasının mümkün olmadığı, bunun yanı sıra BGYS (Bilgi Güvenliği Yönetim Sistemi) gibi bir takım önlem ve denetimlerin sağlanması gerektiği konusu tüm dünyada kabul edilmiş bir yaklaşımdır.
BGYS’nin sağlayacağı faydalar ana hatları itibariyle şunlardır:
- Kurum çalışanlarının, kurumdan hizmet alan kişi ve kuruluşların ve iş ortaklarının, bilgi sistemi kaynaklarını kötü amaçlı olarak kullanmalarının engellenmesini sağlamak,
- Tehdit ve risklerin belirlenmesini ve etkin bir risk yönetimini sağlamak,
- Her hangi bir güvenlik ihlalinin engellenecek olması nedeniyle ortaya çıkabilecek yüksek maliyetlerden kurtulmayı sağlamak,
- İş sürekliliğini sağlamak,
- Kurum çalışanlarının güvenlik konusundaki farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesini sağlamak,
- Bilgi güvenliğinin dikkate alındığını, gerekli bilgi güvenliği adımların uygulandığını ve kontrollerin yapıldığı yani tüm seviyelerde bilgi güvenliğinin sağlandığını göstermek,
- Bilgi sistemlerinin güvenli olduğu konusunda çalışanlara ve iş ortaklarına kendilerinin güvende olduklarını hissettirmek,
- Kurumsal prestijin korunmasını ve artışını sağlamaktır.
#22
SORU:
UYAP Bilgi Sistemi Network Güvenlik Uygulamaları nasıldır?
CEVAP:
Bu büyüklükte bir sistemde en önemli sıkıntı, merkezi kontrol ve yetkisiz erişimlerin denetlenmesi ve kontrol altında tutulmasıdır. Söz konusu kontrolün sağlanması için,
- Ana ve Yedek bağlantılar Uç birim ve Merkezde kullanılan router cihazları ile temel olarak performans, süreklilik ve üst düzey güvenlik prensipleri esas alınarak iletişimin sağlandığı Wan ortamındaki trafik DMVPN (Dinamik Multipoint VPN) yapısı içerisinde uluslararası otoritelerce kabul edilen en üst düzey yöntem ve kripto algoritmalarıyla şifrelenmekte, özel olarak crypto authentication üretilen özel sertifika ile sağlanmakta,
- Uç birim router cihazlarında uygulanan Access-List ler ile birim kullanıcılarının yalnızca belirli adreslerle iletişimine izin verilmekte ve kontrolsüz erişimler engellenerek izinsiz girişimler loglanmakta,
- Aynı şekilde UYAP Sistem Merkezinde birim kullanıcılarına dair iletişim tekrar ve detaylı olarak firewall kontrolünden geçmekte, izinsiz erişimler engellenerek loglanmakta,
- İzinli erişimler arasında atak vb. unsurlar için tüm trafik IPS kontrolünden geçerek engellenmekte ve loglanmakta,
- Birim lokal networkündeki iletişim ile ilgili trafik akışları düzenli olarak gözlenmekte, izinli erişimler içerisinde yer alan olumsuz hareketler tespit edilerek müdahale edilmekte,
- Qos uygulanarak merkezden sağlanan servisler ve bu servisleri sunan sunuculara dair trafik sınıflandırılmakta, sınıflandırılan her bir trafik için farklı bir policy uygulanmakta, herhangi bir servise dair trafiğin anormal seyri engellenmekte,
- Tüm Router cihazlarında güncel ve en uygun Ios/Firmware versiyonları kullanılmakta, bu cihazlar üzerinde güvenlik açığına neden olabilecek servisler ve tanımlamalar (CDP (Cisco Discovery Protocol), proxy-arp, redirection (Yönlendirme) vb) kullanılmamakta,
- Router cihazlarına erişim yalnızca şifreli olarak SSH (Secure Shell/Güvenli Kabuk) protokolü ile ve yalnızca belirli adreslere sahip kişiler tarafından sağlanmakta diğer erişimler engellenmekte ve loglanmakta,
- Yine router cihazlarına erişim hakkı TACACS (Terminal Access Controller Access Control System) servisi ile sağlanmakta, cihazlar üzerindeki hak ve tanımlama yetkileri kullanıcı seviyelerine göre belirlenmekte, cihazlar üzerindeki tüm işlem ve hareketler loglanmakta,
- Yine SNMP (Simple Network Management Protocol - Basit Ağ Yönetim Protokolü) erişimleri yetkili ve yetkisiz seviyeler için sınıflandırılmakta, bu erişimlerin yalnızca belirli adresler üzerinden sağlanmasına izin verilmekte, izin verilmeyen ve engellenen tüm girişimler loglanmaktadır.
#23
SORU:
UYAP sisteminde parola seçiminde alınması gereken tedbirler nelerdir?
CEVAP: - Parola seçimine önem verilmelidir.
- Parolanız kesinlikle “adalet” olmamalıdır.
- Parolanız kesinlikle eş, çocuk veya herhangi bir yakın akrabanın adı, doğum tarihi, araba plakası, doğum yeri vs. gibi tahmin edilebilir bilgilerden oluşturulmamalıdır.
- Parolanız kesinlikle herhangi bir Türkçe veya yabancı dil sözlüklerinde bulunan “anlamlı bir kelime” veya anlamlı bir kelimeden türetilmiş bir kelime veya özel isim olmamalıdır. (Örnek: Kayserili, Kayserilimisin, Diana, Superman, Galatasaray vs.)
- Uluslararası kabul görmüş ve güvenli sayılan parola; büyük harf, küçük harf, rakam veya özel işaretlerin en az üçünün birlikte kullanıldığı ve en az 7 haneden oluşan paroladır. (Örnek: At@TuRk, K1r$eH1R)
- Belirli aralıklarla mutlaka değiştirilmelidir.
- Açıklanan kurallara uygun olarak oluşturulmamış bir parolanın kötü niyetli kişilerce ele geçirilme süresi saat ile değil dakika ve hatta saniye ile ölçülebilir bir süreçtir.
- Parola başkaları ile paylaşılmamalıdır. Parola paylaşımı ve güvenliğin sağlanması konusunda ilgili yönetmeliğin (6/a) maddesinde açıklık getirilmiş, kullanıcılar temel kurallara uygun davranmakla sorumlu tutmuşlardır. Şöyle ki “Bütün kullanıcılar, mutlaka kendilerine ait “Kullanıcı Adı” ve “Şifre”sini kullanmalıdır. Kurum çalışanının kullanıcı adı ile yapılan işlerdeki tüm sorumluluk, kullanıcı adı kullanılan kurum çalışanına ait olacağından hiçbir kullanıcı kendi kullanıcı adı ve şifresini başkaları ile paylaşamaz. Kendisi tarafından kullanılmakta iken çalışmaya geçici olarak ara verdiği durumlarda da başkası tarafından kullanılmaması için gereken önlemleri alacaktır.”
#24
SORU:
UYAP’ta yardım masasının görevleri nelerdir?
CEVAP: - Ulusal Yargı Ağının Adalet Bakanlığına bağlı tüm birimlerde yaygınlaşmasıyla birlikte meydana gelen sorunlarda kullanıcının her zaman yanında olmak,
- Kullanıcının karşılaştığı ve tek başına çözemediği durumlarda her zaman arayacağı bir pozisyonda bulunmak.
- Sistemdeki tüm kullanıcıların (e-posta sorunu, şifre verme/silme/değiştirme/.) teknik sorunlarını çözmek.
- Gelen bu talepler değerlendirilerek kullanıcıya ulaşma imkânı varsa telefonla bilgi vermek gerekli ise Türk Telekom (Avea) kurumsal hattı bulunan yerler aranarak konu hakkında açıklayıcı bilgi verilir, eğer Türk Telekom (Avea) hatlı telefon bildirilmemişse, gelen talebe uygun olarak üretilen çözüm yine Spectra üzerinden kullanıcıya iletmek.
- Telefonla gelen çağrıları karşılamak, arayan kişilere sistemle ilgili bilgilendirme yapmak.
- UYAP sistemine yönelik olarak gelen öneri ve istekler yine ilgili Uygulama ve Geliştirme Şubesi personeline aktarmak.
- Yardım Masasına telefonla gelen uygulama ile ilgili taleplerde kullanıcıya gerekli bilgiyi vermek ve sorunu en kısa sürede çözmek. Bunun yanında bundan sonraki sorunlarının çözümü için yardım masasını kullanması ve buradan talebini takip etmesi hususunda bilgi vermektir.
#25
SORU:
UYAP’ta yardım masasının hedefleri nelerdir?