Buradasınız

Anasayfa » Content

KURUMSAL BİLGİ GÜVENLİĞİNDE GÜVENLİK TESTLERİ VE ÖNERİLER

SECURITY TESTS AND SUGGESTIONS FOR ENTERPRISE INFORMATION SECURITY

Journal Name:

  • Gazi Üniversitesi Mühendislik-Mimarlık Fakültesi Dergisi

Publication Year:

  • 2011

Key Words:

Keywords (Original Language):

Author NameUniversity of AuthorFaculty of Author
Abstract (2. Language): 
Diagnosing vulnerabilities in enterprise information systems and recovering them in short time are very important for enabling enterprise information security. Security tests are used to find out security vulnerabilities of the systems before having any attack to and also crucial for securing enterprise information security. Providing high level information security for enterprises, security tests need to be well known and applied to systems. These tests are achieved by security experts according to the needs of enterprises, methods and ethics. When the literature was reviewed on enterprise information security, it has been encountered that compherensive and up-to-date studies were not available, the studies presented not covering all concepts, most of the studies were delivered by commercial and nontrustworty web sites, and also only covering short desciriptions and explanations about them. In this study, security tests, standards and institutions, of which have very important roles in providing better enterprise information security, have been presented in details. As a result of this study, security awareness might be increased, security issues might be applied and managed easily, and applying the tests and suggestions proposed in this article might also help to improve the security for enterprises.
Bookmark/Search this post with
Abstract (Original Language): 
Kurumsal bilgilerin güvenliğinin sağlanmasında, kullanılan bilgi sistemlerinin zafiyetlerin erken teşhisi ve kısa sürede giderilmesi önemlidir. Saldırı gelmeden önce güvenlik zafiyetleri tespit edilerek giderilmesini sağlayan güvenlik testleri kurumsal bilgi güvenliğinin sağlanması açısından büyük önem taşımaktadır. Yüksek seviyede kurumsal bilgi güvenliğinin sağlanması için güvenlik testlerinin tanımı ve hangi amaçla kullanıldığının kurumlar tarafından bilinmesi ve uygulanması gereklidir. Güvenlik testleri, kurumların ihtiyaçları doğrultusunda, belirli bir yöntem ve disiplin çerçevesinde etik kurallara saygılı güvenlik uzmanları tarafından yapılması gerekmektedir. Literatür incelendiğine, kurumsal bilgi güvenliği konusunda kapsamlı ve güncel bilgilerin bulunmadığı, çalışmaların tüm kavramları kapsamadığı, pek çok bilginin ise güvensiz ve ticari web sitelerinden sunulduğu, olanların ise kısa tanımlamaları ve açıklamaları sunduğu belirlenmiştir. Bu çalışmada, kurumsal bilgi güvenliğinin sağlanmasında önemli bir role sahip olan güvenlik testleri ile standartlar ve kılavuzları geliştiren kurumlar kapsamlı olarak sunulmuştur. Sonuç olarak, bu çalışmanın güvenlik farkındalığını arttıracağı, yeni çözüm önerilerinin geliştirilmesi ve uygulanmasını kolaylaştıracağı, sunulan önerilerin hayata geçirilmesiyle de yüksek seviyede kurumsal bilgi güvenliğinin sağlanmasına katkılar sağlaması beklenmektedir.
FULL TEXT (PDF): 
PDF icon arastirmax-kurumsal-bilgi-guvenliginde-guvenlik-testleri-oneriler.pdf
  • 1
89
103
  • Turkish

REFERENCES

References: 

1. Federal Office for Information Security “A Penetration Testing Model” BSI, Bonn, 6-9, 93, 2002.
2. Cole, E., Krutz, R., Conley, J. W., “Security Assessments, Testing, and Evaluation”, Network Security Bible, Wiley Publishing Inc., Indianapolis, 607-612, 2005.
3. Geer, D., Harthorne, J., “Penetration testing: a duet” IEEE 18th Annual Computer Security Applications Conference, Las Vegas, 185, 2002.
4. Budiarto, R., Ramadass, S., Samsudin, A., Noor, S., “Development of Penetration Testing Model for Increasing Network Security”, IEEE International Conference on Information & Communication Technologies: From Theory to Applications, Damascus, 563, 2004.
5. Nilsson, J., “Vulnerability Scanners” Yüksek Lisans Tezi, Department of Computer and Systems Sciences Royal Institute of Technology, Stockholm, 28-30, 2006.
6. Braden J., “Penetration Testing – Is it right for you?” SANS Institute, Maryland, 1, 2002.
7. İnternet: Corsaire Limited “What is a Penetration Test?” http://www.penetration-testing.com (21.03.2007).
Kurumsal Bilgi Güvenliğinde Güvenlik Testleri ve Öneriler Y. Vural ve Ş. Sağıroğlu
Gazi Üniv. Müh. Mim. Fak. Der. Cilt 26, No 1, 2011 103
8. İnternet: Wikipedia “Penetration Test” http://en.wikipedia.org/wiki/Penetration_testing (21.03.2007).
9. Lammle, T., “CEH Certified Ethical Hacker Review Guide”, Sybex Inc., Alameda, 8, 2005.
10. Harris, S., Harper, A., Eagle, C., Ness, J., Lester, M., “Gray Hat Hacking: The Ethical Hacker's Handbook”, McGraw-Hill Osborne Media, New York, 73, 2004.
11. Manzuik, S., Gold, A., Gatford, C., “Network Security Assessment from Vulnerability to Patch” Syngress Publishing Inc., Rockland, 104, 2007.
12. Dautlich, M., “Penetration Testing — the Legal Implications” Computer Law & Security Report, 20(1):41, 2004.
13. Cohen, F., “Managing Network Security — Part 9: Penetration Testing?”, Network Security, 1997(8):13, 1997.
14. Schultz, E., “Hackers and Penetration Testing”, Network Security, 1997(10):10, 1997.
15. Midian, P., “Perspectives on Penetration Testing”, Computer Fraud & Security, 2002(6):15, 2002.
16. Weissman, C., “Security Penetration Testing Guideline”, Handbook for the Computer Security Certification of Trusted Systems, Center for Secure Information Technology Naval Research Laboratory,Washington, 2, 1995.
17. Dahl, M. O., “Using Coloured Petri Nets in Penetration Testing”, Yüksek Lisans Tezi, Department of Computer Science and Media Technology Gjøvik University, Gjøvik, 18, 2005.
18. Abrams, D. M., “FAA System Security Testing and Evaluation-Technical Report”, MTR 02W0000059, Virginia, 3-7, 2003.
19. Schneier, B., “The Process of Security”, http://infosecuritymag.techtarget.com/articles/april00/columns_cryptorhy... (21.03.2007).
20. İnternet: Wilson, M., “Demonstrating ROI for Penetration Testing (Part One)” http://www.securityfocus.com/infocus/1715 (22.03.2007).
21. Landwehr, C. E., Bull, A. R., Mcdermott, J. P., Choi, W. S., “A Taxonomy of Computer Program Security Flaws” ACM Computing Surveys, 26(3), 214-215, 1994.
22. Splaine, S., “Testing Web Security-Assessing the Security of Web Sites and Applications”, Wiley Publishing Inc., Indianapolis, 3-4 (2002.
23. Heald, A., E., “Understanding Security Testing” Infosec Writers, 8, 2005.
24. Symantec Corp., “Symantec Internet Security Threat Report Trends for July–December 06” Symantec Volume XI, Cupertino, 24-64, 2007.
25. Gordon, L. A., Loeb, M. P., Lucyshyn, W., Richardson, R., “CSI/FBI, Computer Crime and Security Survey”, FBI Computer Security Institute, 1- 26, 2005.
26. Koç.net Haberleşme Teknolojileri ve İletişim Hizmetleri A.Ş., “Türkiye İnternet Güvenliği
Araştırma Sonuçları 2005”, koc.net, İstanbul, 5- 12, 2005.
27. Üneri, M., “BT Güvenliği Güncel Durum ve Eğilimler”, TÜBİTAK-UEKAE Kamu Kurumları Bilgi Teknolojileri Güvenlik Günü, Ankara 27- 35, 2006.
28. Eriş, M., “Türkiye Kamu Kurumları BT Güvenlik Analiz Sonuçları ve Çözüm Önerileri”, TÜBİTAK–UEKAE Kamu Kurumları Bilgi Teknolojileri Güvenlik Günü, Ankara, 7-9, 2006.
29. Eriş, M., “Kamu Kurumları Bilgi Teknolojileri Güvenlik Günü Anket Sonuçları”, TÜBİTAK–UEKAE Kamu Kurumları Bilgi Teknolojileri Güvenlik Günü, Ankara, 10-32, 2006.
30. The Australian High Tech Crime Centre, “Australian Computer Crime & Security Survey”, AusCERT, Canberra, 12, 2006.
31. National ICT Security & Emergency Response Centre, “Malaysia ISMS Survey”, NISER-ISMS Survey, Kuala Lumpur, 4, 35-40, 2003.
32. Mitnick, K. D., Simon, W. L., “Aldatma Sanatı”, Nejat Eralp Tezcan, ODTÜ Yayıncılık, Ankara, 303, 2006.
33. İnternet: Wikipedia “Brute Force Attack” http://en.wikipedia.org/wiki/Brute_force_attack (22.03.2007).
34. İnternet: Columbia University Computer Science Department “A Distributed Denial of Service Attack” http://nsl.cs.columbia.edu/projects/sos/ (22.03.2007).
35. Northcutt, S., Zeltser, L., Winters, S., Kent, K., Ritchey, W. R., “Inside Network Perimeter Security”, Sams Publishing, Indiana, 540-550, 2005.
36. Layton, P. T., “Penetration Studies – A Technical Overview”, SANS Institute, Maryland, 3-7, 2002.
37. National Infrastructure Security Co-ordination Centre, “Commercially Available Penetration Testing”, NISCC-Best Practice Guide, London, 24, 2006.
38. Long, J., “Google Hacking for Penetration Testers”, Syngress Publishing Inc., Rockland, 135- 137, 2005.
39. Potter, B., McGraw, G., “Software Security Testing” IEEE Security & Privacy Magazine,2(5): 81, 2004.
40. Search Security Definitions, “Vulnerability analysis”, http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci1176511,00.... (22.03.2007).
41. Knight, E., “Computer Vulnerabilities”, Artech House, Boston, 7-9, 2000.
42. Foster, J., C., Liu, V., “Writing Exploits and Security Tools”, Syngress Publishing Inc., Rockland, 16, 2006.
43. İnternet: SearchSecurity Definitions, “Zero-day Exploit”, http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci955554,00.html (23.03.2007).
Y. Vural ve Ş. Sağıroğlu Kurumsal Bilgi Güvenliğinde Güvenlik Testleri ve Öneriler
104 Gazi Üniv. Müh. Mim. Fak. Der. Cilt 26, No 1, 2011
44. Singh, P., Mookhey, K.K., “Metasploit Framework, Part 1” http://www.securityfocus.com/infocus/1789 (23.03.2007).
45. Özavcı, F., “Metasploit Framework ile Güvenlik Denetimi”, Linux Şenliği ODTÜ, 4-5, 2006.
46. Tiller, J. S., “A Framework for Business Value Penetration Testing”, Auerbach Publications, New York, 288- 291, 2005.
47. İnternet: ISECOM “The Open Source Security Testing Methodology Manual”, http://www.isecom.org/osstmm (23.01.2007).
48. Herzog, P., “OSSTMM 2.2. Open-Source Security Testing Methodology Manual”,
ISECOM OSSTMM 2.2, Barcelona, 44, 47, 49, 68, 71, 83, 99-101 2006.
49. Wack, J., Tracy, M., Souppaya, M., “Guideline on Network Security Testing” NIST Special Publication 800-42, Washington, 1 2003.
50. İnternet: Wikipedia “OWASP” http://en.wikipedia.org/wiki/OWASP (23.03.2007).
51. www.techzoom.net/risk (23.03.2007).
52. Vural, Y., “Kurumsal Bilgi Güvenliği ve Sızma Testleri” Yüksek Lisans Tezi, Gazi Üniversitesi, Fen Bilimleri Enstitüsü, 2007.

Thank you for copying data from http://www.arastirmax.com