• Kasıtsız Zarar

• Yiyecek – İçeçek

• Hayvanlar

• Toz

• Yıldırım

• Kaba Kullanım

• Su Basması

• Kasıtlı Zarar

• Hırsızlık

• Fiziksel Zararlar (kırma, bozma, parçalama)

• Silinme

• Kasıtsız

• Kasıtlı

• Değiştirilme

• Truva Atları

• Virüsler

• Arka Kapılar

• Bilgi Sızdırma

• Solucanlar

• Hırsızlık

• Lisansız Kullanım

• İzinsiz kopyalama

• Gizliliğin İhlali

• Dinleme (dinleyiciler, alıcılar)

• Bilgi Sızdırma (insanlar yoluyla)

• Engelleme

• Silme

• Ulaşılamaz ya da kullanılamaz hâle getirme

• Bütünlüğün Bozulması

• Veri Değişikliği

• Sahte Ver

SQL Server bir Windows servisi olarak çalışmaktadır. Her Windows servisini çalıştıran bir kullanıcı hesabı vardır. SQL Server içinde bu hesabı doğru seçmek güvenlik için önemlidir. SQL Server kurulumunda, SQL Server’ı çalıştıracak hesabı değiştirmediyseniz, SQL Server Yapılandırma Yöneticisinden bu değişikliği yapabilirsiniz. Bunun için Windows da program sekmesi içindeki SQL Server 2014 programını, daha sonra ise Configuration Tools, sonra ise SQL Server 2014 Yapılandırma Yöneticisi programını çalıştırmanız gerekmektedir. Programı çalıştırdığınız zaman SQL Server listenizin görülebileceği bir ekran açılır. Bu ekranda çalışan SQL Server seçeneğine sağ tıklayıp özelliklerine tıklarsanız şifreleri değiştirebileceğiniz ekrana ulaşmış olursunuz. Burada istediğiniz şifreyi girmeniz mümkündür.

Koklayıcı araçları ile bir saldırganın bir sistemdeki SQL sunucuları ve bu sunuculara bağlı istemcileri tespit etmesi oldukça kolaydır. Eğer ağınızdaki SQL Server’ın koklayıcılar kullanılarak tespit edilmesini istemiyor iseniz bir SSL setifikası almanız gerekmektedir. SSL sertifikası kısaca internet sitelerinde veri güvenliğinin sağlanması amacıyla kullanılan uygulamadır. Aldığınız sertifikayı yönergelerine uygun olarak sizin SQL Server servisini çalıştıran kullanıcıya yüklemeniz gerekmektedir. Sertifikayı yükledikten sonra, SQL Server Configuration Manager – SQL Server Network Configuration – Protocols for Sql Server açıp farenin sağ tuşu ile tıklayıp özellikler sekmesi seçildiği zaman arayüz karşımızda görünür.

SQL Server’daki kullanıcıların hesaplarına Logins (kullanıcılar) denmektedir. Her bir kullanıcıya ayrı yetkiler verilebilmekte, erişebileceği veritabanları ve tablolar belirlene- bilmektedir. SQL Server’da sunucu ve veritabanı düzeyinde olmak üzere iki katmandan oluşmaktadır. Kullanıcı hesabı ilk önce

sunucu düzeyi oluşturulur, daha son- ra ilgili veritabanına erişim sağlamak için ataması yapılır. SQL Server üzerin- de kullanıcı açmak için SS Management Studio – Security – Logins üzerinde sağ klik “New Login” denilerek yeni kullanı- cı oluşturulma ekranına geçilir. Windows kimlik doğrulama ile tanım kümesi kulla- nıcısına SQL Server için yetki verilebilir. Search (Arama) kısmından yetki verilmek istenen kullanıcı seçilebilir veya Server authentication (Sunucu kimlik doğrula- ması) sekmesi ile yeni bir kullanıcı ve ona yetkiler verilebilir.

VTYS, kurumların veya bireylerin bilgilerini yönetmek isteyen herkese hizmet etmek üzere geliştirilen kritik bilgilerinin tutulduğu hassas ve korunması gereken yazılımlardır. Güvenli bir veritabanı uygulamasını tasarlarken Bilgi Güvenliği Yönetim Sistemi Standar- dına göre dikkate alınması gereken üç ana hedef olmalıdır: Gizlilik, Bütünlük ve Kullanılabilirlik.

• Gizlilik, kuruma veya bireye özel ve gizliliği olan bilgilere, sadece yetkisi olan kişi- lerin erişim hakkına sahip olmasının gerekliliğidir. Bunun için gizlilik bilginin yet- kisiz kişilerce açığa çıkarılmasının engellenmesidir. Örneğin, bir öğrenciye diğer öğrencilerin notlarını incelemek için izin verilmemelidir.

• Bütünlük, kısaca bilinçli veya bilinçsiz olarak verinin bozulmaması gerekliliğidir. Kurumsal veya bireysel bilgilerin yetkisiz değişim veya bozulmalara karşı korun- ması, yalnızca yetkili kullanıcılara verileri değiştirmek için izin verilmesi olarak özetlenebilir. Örneğin, öğrencilere notlarını görmek için izin verilebilir, ancak not- ların öğrenciler tarafından değiştirilmesi için izin verilmemesi gerekmektedir.

Kullanılabilirlik, bilgi ve kaynakların ihtiyaç duyan kişilerce sürekli erişilebilir du- rumda olması olarak özetlenebilir. Örneğin, dersi veren kişinin, öğrencinin notla- rına erişebilmesi ve onları düzeltebilmesi gerekmektedir.

VTYS’de yer alan bilgilerin mahremiyetlerinin korunması, herhangi bir kaybın oluşma- ması ve verilerin bütünlüğünün bozulmaması için VTYS’de bulunan bilgilerin güvenliği- nin yüksek düzeyde sağlanması gerekmektedir. Özellikle, verilerden hangisinin korunması ve kullanıcıların hangi veriye ne ölçüde erişim hakkının olduğunun belirlenmesi gerek- mektedir. Bu hedeflere ulaşmak için açık ve tutarlı bir güvenlik politikası oluşturulmalıdır. Oluşturulan güvenlik politikasını gerçekleyebilmek için gerekli önlemlerin alındığı uygu- lamalar geliştirilmelidir. Verilerin güvenliğinin çeşitli düzeylerde sağlanması gerektiğini belirtmek gerekir. Örneğin, güvenlik politikası deyince VTYS’deki güvenliklerin yanı sıra sistemin bulunduğu binanın / mekânın her türlü tehdide karşı güvence altına alınması da kastedilmektedir. Bunun yanı sıra işletim sistemi veya ağ bağlantılarındaki tehditlere karşı da önlemler alınması gerekmektedir. İşletim sisteminde veya ağ bağlantılarında oluşabilecek sızıntılardan dolayı bir kullanıcının veritabanına tüm erişimi olan yönetici olarak giriş yapmaması sağlanmalıdır. Bununla beraber veritabanına izinsiz girişlerin de engellenmesi gerekmektedir.

Veritabanı yönetim sistemlerindeki bu erişimi düzenleme yöntemleri iki farklı şekilde yapılabilmektedir.

Kısıtlı erişim denetim mekanizması: Kullanıcı veya kullanıcı grupları için veri dosyala- rına, kayıtlara veya veritabanının bazı alanlarına seçme, ekleme, silme veya güncelleme gibi erişim hakkı veya ayrıcalıklar vermektir. SQL Server’da kısıtlı erişim yöntemi için GRANT ve REVOKE komutları kullanılmaktadır. GRANT komutu ile kullanıcılara erişim hakkı verilirken REVOKE komutu ile verilmiş olan haklar geri alınmaktadır. Kısıtlı erişim denetim meka- nizmaları, genellikle etkili olurken, kişi bazlı çalışmasından dolayı bazı zayıflıkları vardır.

Sistemsel erişim denetim mekanizması: Roller olarak isimlendirilen ve bireysel kullanı- cılar tarafından değiştirilemeyen ve kuruluşun güvenlik politikalarını gerçekleştirmek için kullanılan bu yöntemde veriler ve kullanıcılar için belirli güvenlik etiketleri tahsis edilir. Bu yaklaşımda her veritabanı nesnesi için bir güvenlik sınıfı oluşturulur ve her kullanıcı oluştu- rulan bu sınıflara atanır. Oluşturulan bu sınıflara istenilen kurallar konabilir. Bir okul oto- masyonu gerçekleştiriyorsak, birçok öğretmen kullanıcısının aynı tablo ya da SQL ifadelerine erişimleri olmak durumundadır. Öğrenciler için de aynı şey geçerlidir. Aynı şekildeki örnek veritabanımızdaki birçok çalışan aynı haklara sahip olabilmektedir. Bu tür durumlar için her kullanıcı için ayrı ayrı erişim hakkı tanımlamak yerine rollerin kullanılması daha uygundur.

Kısıtlı erişim denetim mekanizması, kullanıcı veya kullanıcı grupları için veri dosyala- rına, kayıtlara veya veritabanının bazı alanlarına seçme, ekleme, silme veya güncelleme gibi erişim hakkı veya ayrıcalıklar vermektir.

SQL Server’da kısıtlı erişim yöntemi için GRANT ve REVOKE komutları kullanılmaktadır. GRANT komutu ile kullanıcılara erişim hakkı verilirken REVOKE komutu ile verilmiş olan haklar geri alınmaktadır. Kısıtlı erişim denetim meka- nizmaları, genellikle etkili olurken, kişi bazlı çalışmasından dolayı bazı zayıflıkları vardır.

Sistemsel erişim denetim mekanizması, roller olarak isimlendirilen ve bireysel kullanıcılar tarafından değiştirilemeyen ve kuruluşun güvenlik politikalarını gerçekleştirmek için kullanılan bu yöntemde veriler ve kullanıcılar için belirli güvenlik etiketleri tahsis edilir. Bu yaklaşımda her veritabanı nesnesi için bir güvenlik sınıfı oluşturulur ve her kullanıcı oluşturulan bu sınıflara atanır. Oluşturulan bu sınıflara istenilen kurallar konabilir. Bir okul otomasyonu gerçekleştiriyorsak, birçok öğretmen kullanıcısının aynı tablo ya da SQL ifadelerine erişimleri olmak durumundadır. Öğrenciler için de aynı şey geçerlidir. Aynı şekildeki örnek veritabanımızdaki birçok çalışan aynı haklara sahip olabilmektedir. Bu tür durumlar için her kullanıcı için ayrı ayrı erişim hakkı tanımlamak yerine rollerin kullanılması daha uygundur.

SQL Server yüklendiğinde sistemde otomatik olarak oluşturulan ve üzerinde herhangi bir değişiklik yapılamayan rollerdir.

Veritabanı oluşturma: Veritabanı oluşturabilme, silme ve değişiklik yapabilme

Disk yöneticisi: Dosyaları yönetme hakkı

Süreç yöneticisi: Süreçleri / işlemleri yönetme hakkı

Güvenlik yöneticisi: Kullanıcıları ve onların erişim haklarını yönetme

Sunucu yöneticisi: Sunucu ayarlarını yapabilme

Kurma yöneticisi: Birbirine bağlı sunucuların ayarlarını yapabilme ve genişletilmiş saklı yordamları yönetebilme hakkı

Sistem yöneticisi: Bütün aktiviteleri yapabilme yetkisi

SQL Server yüklendiğinde sistemde otomatik olarak oluşturulan ve üzerinde herhangi bir değişiklik yapılamayan rollerdir.

db_owner: Veritabanı üzerinde tüm ayarlamaları yapabilme ve silebilme

db_accessadmin: Var olan Windows kullanıcıları ve SQL Server hesapları için veritabanına erişim yetkisi verebilme

db_securityadmin: Veritabanı üzerindeki yetkilendirmeleri değiştirebilme

db_datareader: Kullanıcı tabloları üzerinde SELECT işlemleri yapabilme

db_datawriter: Kullanıcı tabloları üzerinde INSERT/DELETE/UPDATE işlemleri yapabilme db_denydatawriter: Kullanıcı tabloları üzerinde INSERT/DELETE/UPDATE işlemleri yapamaz db_denydatareader: Kullanıcı tabloları üzerinde SELECT işlemleri yapamaz

db_backupoperator: Veritabanı yedeğini alabilme

Var olan Windows kullanıcıları ve SQL Server hesapları için veritabanına erişim yetkisi verebilme.