Bilgi Sistemleri Güvenliği

Erişim Güvenliği ve Erişim Kontrol Modelleri

Erişim Güvenliği ve Erişim Kontrol Modelleri

Bilgi sistemleri güvenliğinde temel sorulardan biri şudur: Kim, hangi kaynağa, hangi yetkiyle ve hangi koşullarda erişebilir? Kitapta erişim güvenliği başlığı altında tam da bu soruların cevabını oluşturan çerçeve anlatılmaktadır. Bu bölümde erişim ve erişim kontrolü kavramları, mantıksal erişim yaklaşımı, kimlik doğrulama yöntemleri, erişim kontrol türleri, erişim kontrol prensipleri, yetkilendirme mantığı, en az yetki ve görevler ayrılığı yaklaşımı ele alınmaktadır. Böylece bilgi sistemlerine erişimin rastgele değil, kurallı ve denetlenebilir şekilde yönetilmesi hedeflenir.

1) Erişim Kavramı

Kitapta erişim; bilgi sistemlerinden yararlanabilme, bu kaynaklar üzerinde bir program çalıştırma, okuma, yazma, silme ve değiştirme veya bağlantı kurma benzeri işlemleri gerçekleştirebilme yeteneği olarak tanımlanmaktadır. :contentReference[oaicite:1]{index=1}

Bu tanım çok önemlidir; çünkü erişim denildiğinde yalnızca sisteme giriş yapmak anlaşılmamalıdır. Erişim, kaynak üzerinde ne tür işlem yapılabildiğini de içerir. Bir kullanıcının sisteme bağlanabilmesi ile veriyi silebilmesi aynı şey değildir.

Bu nedenle erişim güvenliği konusu, sadece giriş izni değil; işlem yetkileri mantığıyla birlikte ele alınmalıdır.

2) Erişim Kontrolü Kavramı

Kitapta erişim kontrolü, bilgi ve ilgili bilgi işleme hizmetlerinin elde edilmesine ve kullanılmasına veya fiziksel olarak bir binaya ya da tesise girilmesine yönelik taleplere izin verilmesi veya reddedilmesi süreci olarak tanımlanmaktadır. :contentReference[oaicite:2]{index=2}

Bu tanım erişim kontrolünün hem fiziksel hem mantıksal boyutu olduğunu gösterir. Ancak kitapta bu bölümde özellikle mantıksal erişim üzerinde durulmaktadır. Yani odak, bilgi sistemleri kaynaklarına dijital olarak nasıl erişim verileceği veya engelleneceğidir.

Böylece erişim kontrolü, bilgi güvenliğinde “kim neye ulaşabilir” sorusunun yönetimsel ve teknik cevabı haline gelir.

3) Fiziksel ve Mantıksal Erişim Ayrımı

Kitapta erişim kontrolünün teknoloji tabanlı yöntemler olarak fiziksel ve mantıksal olmak üzere iki başlık altında ele alındığı belirtilmektedir. :contentReference[oaicite:3]{index=3} Fiziksel erişim ve kontrolleri fiziksel ve çevresel güvenlik bölümünde incelenirken, burada mantıksal erişim konusu üzerinde durulmaktadır.

Bu ayrım önemlidir; çünkü bir bilgi sistemi kaynağına erişim hem odaya girmek hem de sisteme kullanıcı adı/parola ile bağlanmak anlamına gelebilir. Kitabın bu bölümündeki temel çerçeve, dijital sistem kaynaklarına erişimin kontrol edilmesidir.

Dolayısıyla erişim güvenliği başlığı altında esas odak, mantıksal erişim kontrolleridir.

4) Mantıksal Erişim ve Bileşenleri

Kitapta mantıksal erişim, kimlik tanımlama, kimlik doğrulama ve yetkilendirme vasıtasıyla erişim izni verilen bilişim kaynaklarıyla etkileşim kurabilmek şeklinde ifade edilmektedir. :contentReference[oaicite:4]{index=4}

Bu ifade mantıksal erişimin üç temel sütuna dayandığını gösterir: Önce kullanıcı veya varlık kendini tanımlar, sonra bu tanım doğrulanır, ardından hangi işlemleri yapabileceğine karar verilir.

Yani mantıksal erişim; sadece “giriş yaptı” durumu değil, tanımlama-doğrulama-yetkilendirme zinciriyle oluşan kontrollü etkileşimdir.

5) Kimlik Doğrulama Yöntemleri

Kitapta kimlik doğrulama yöntemleri ayrı başlık olarak ele alınmaktadır. İçerikte bilinen, sahip olunan ve olunan şeye dayalı yöntem mantığı yanında, biyometrik doğrulama üzerinde de durulmaktadır. Özellikle parmak izi ve yüz okuma gibi biyometrik tanıma cihazlarının yaygın örnekler olduğu belirtilmektedir. :contentReference[oaicite:5]{index=5}

Ayrıca kitapta biyometrik sistemlerin performans ölçümü için yanlış kabul oranı (FAR), yanlış reddetme oranı (FRR) ve çapraz/eşit hata oranı (CER/EER) kavramları açıklanmaktadır. Bu ölçütler, bir doğrulama sisteminin ne kadar güvenilir çalıştığını anlamak için kullanılır.

Bu nedenle kimlik doğrulama yalnızca yöntem seçimi değil, doğruluk ve hata oranı boyutuyla da değerlendirilmelidir.

6) Biyometrik Doğrulama Mantığı

Kitapta biyometrik tanıma sistemlerinde kullanıcıdan alınan değerlerle saklanan biyometrik verilerin çeşitli algoritmalarla karşılaştırıldığı belirtilmektedir. Parmak izi ve yüz okuma yaygın örneklerdir. :contentReference[oaicite:7]{index=7}

Kısaltmalar bölümünde de FAR, FRR ve EER kavramlarının yer alması, biyometrik doğrulamanın sınav açısından önemini desteklemektedir. :contentReference[oaicite:8]{index=8} Düşük CER veya EER’ye sahip cihazların daha etkili sistemler olacağı da kitapta açıkça ifade edilmektedir.

Bu nedenle biyometrik sistemler, erişim güvenliğinde güçlü fakat performansı dikkatle değerlendirilmesi gereken yöntemlerdir.

7) Erişim Kontrol Türleri: MAC ve DAC

Kitapta erişim kontrolü ile ilgili iki ana kategori olarak zorunlu erişim kontrolü (MAC) ve isteğe bağlı erişim kontrolü (DAC) açıklanmaktadır.

Zorunlu erişim kontrolünde nesnelere erişim, merkezi olarak sistem yöneticileri tarafından yönetilen ve onaylanmış politikaya bağlı kurallarla belirlenir. Kullanıcılar veya veri sahipleri erişime izin verilip verilmeyeceğini değiştiremez. Erişim kararı öznenin ve nesnenin erişim özellikleri incelenerek verilir.

İsteğe bağlı erişim kontrolünde ise bir nesnenin sahibi, nesneye nasıl ve kim tarafından erişilebileceğini belirleyebilir ve değiştirebilir. Bu fark sınav açısından temel ayrımdır.

8) Mantıksal Erişim Kontrolleri

Kitapta mantıksal erişim kontrolleri; bilgisayar yazılımına ve veri dosyalarına erişimi kısıtlamak için tasarlanan politikalar, prosedürler, organizasyon yapısı ve elektronik erişim kontrolleri olarak ifade edilmektedir.

Bu tanım, erişim güvenliğinin sadece yazılım ayarı olmadığını gösterir. Erişim kontrolü; teknik mekanizma kadar politika, süreç ve organizasyon yapısı meselesidir. Ayrıca mantıksal erişim kontrolleri kimin bir sistem kaynağına erişeceğini belirlemekle birlikte, izin verilen erişim türünü de belirleyebilir. :contentReference[oaicite:14]{index=14}

Böylece erişim güvenliği, hem “kim?” hem “nasıl?” hem de “ne kadar?” sorularına cevap verir.

9) Sistem Erişim İzinleri ve Yetkilendirme Mantığı

Kitapta sistem erişim izinlerinin; bilgi sistemlerinden yararlanabilme, bu kaynaklar üzerinde program çalıştırma, okuma, yazma, silme, değiştirme veya bağlantı kurma benzeri ayrıcalıkları içerebildiği belirtilmektedir. :contentReference[oaicite:15]{index=15}

Bu yaklaşım, yetkilendirmenin “erişim var / erişim yok” ikiliğinden daha geniş olduğunu gösterir. Bir kullanıcı sisteme girebilir ama dosya silemeyebilir; başka biri okuyabilir ama değiştiremez. Yani yetkilendirme, erişimin kapsamını ve sınırını tanımlar.

Bu nedenle yetkilendirme mantığı, erişim güvenliğinin en uygulamalı ve en kritik boyutlarından biridir.

10) Erişim Kontrol Prensipleri

Kitapta erişim kontrol prensipleri ayrı alt başlık olarak yer almaktadır. Mantıksal erişim kontrollerinin kimin bir sistem kaynağına erişeceğini ve hangi erişim türüne izin verileceğini belirleyebilmesi, bu prensiplerin temel mantığını ortaya koyar.

Erişim kontrol prensipleri, erişimin ihtiyaç kadar verilmesi, görevle uyumlu olması, rastgele veya sınırsız yetki dağıtımından kaçınılması ve erişim kararlarının kontrol edilebilir yapıda olması anlayışına dayanır. Bu çerçevede en az yetki ve görevler ayrılığı yaklaşımları özel önem taşır.

Bu nedenle erişim kontrol prensipleri, teknik kontrol kararlarının arkasındaki yönetim mantığıdır.

11) En Az Yetki İlkesi

Kitabın erişim kontrol prensipleri mantığı içinde en az yetki yaklaşımı, kullanıcılara veya süreçlere sadece görevlerini yerine getirmek için gerekli asgari erişim haklarının verilmesi olarak düşünülmelidir. Sistem erişim izinlerinin ayrıcalıklar halinde tanımlanabilmesi de bu yaklaşımı destekler. :contentReference[oaicite:17]{index=17}

En az yetki ilkesi uygulandığında gereksiz erişim yetkileri azaltılır, olası hata veya kötüye kullanım durumunda oluşabilecek zarar sınırlandırılır. Böylece erişim güvenliği daha kontrollü ve daha savunulabilir hale gelir.

Bu ilke, sınavlarda erişim güvenliğinin temel prensiplerinden biri olarak düşünülmelidir.

12) Görevler Ayrılığı (SoD)

Kitabın kısaltmalar bölümünde SoD, Separation of Duty yani Görevler Ayrılığı olarak açıkça yer almaktadır. :contentReference[oaicite:18]{index=18} Bu kavram erişim güvenliği açısından aynı kişide bir araya gelmesi risk oluşturabilecek görev ve yetkilerin ayrıştırılması mantığını ifade eder.

Görevler ayrılığı yaklaşımı, tek bir kullanıcının bir süreci başlatma, onaylama ve değiştirme gibi kritik adımların tamamını kontrol etmesini önlemeye yöneliktir. Böylece hem hata hem suiistimal hem de kontrol dışı işlem riski azaltılır.

Bu nedenle SoD, erişim güvenliğinde en az yetki yaklaşımını tamamlayan önemli prensiptir.

13) Erişim Güvenliğinin Genel Mantığı

Erişim güvenliği; kullanıcıyı tanımak, doğrulamak, uygun yetki düzeyini vermek ve bu yetkinin sınırlarını prensiplere göre yönetmekten oluşur. Kitabın erişim güvenliği bölümü, tam olarak bu akışı açıklayan sistematik çerçeve sunmaktadır.

Burada önemli olan, erişimin sadece teknolojiyle değil; politika, prosedür, rol dağılımı ve prensiplerle birlikte ele alınmasıdır. MAC ve DAC gibi kontrol türleri, biyometrik ve diğer doğrulama yöntemleri, en az yetki ve görevler ayrılığı hep bu çerçeveyi tamamlayan unsurlardır.

Bu nedenle erişim güvenliği, bilgi sistemleri güvenliğinin en merkezi alanlarından biridir.

Final Özet (Sınavlık)

• Erişim, bilgi sistemlerinden yararlanabilme ve kaynak üzerinde işlem yapabilme yeteneğidir.
• Erişim kontrolü, erişim taleplerine izin verilmesi veya reddedilmesi sürecidir.
• Erişim kontrolü fiziksel ve mantıksal olmak üzere ikiye ayrılır.
• Mantıksal erişim; kimlik tanımlama, kimlik doğrulama ve yetkilendirme ile kurulur.
• Kimlik doğrulama yöntemleri arasında biyometrik doğrulama da vardır.
• Biyometrik sistemlerde FAR, FRR ve CER/EER doğruluk ölçütleri önemlidir.
• Erişim kontrol türleri arasında MAC ve DAC bulunur.
• MAC’te kurallar merkezi olarak yönetilir; kullanıcı değiştiremez.
• DAC’te nesne sahibi erişim kararını belirleyebilir.
• En az yetki ve görevler ayrılığı, erişim kontrol prensiplerinin temel yaklaşımlarındandır.