İçindekiler Tablosu
Giriş
Güvenlik Modeli Günümüzün hızla dijitalleşen ve bağlantılı dünyasında, artan çevrimiçi tehditler ve güvenlik açıkları, bilgi ve verilerin güvenliğini sağlamak önemini giderek artırmaktadır. Bu nedenle, popüler güvenlik modelleri, işletmelerin ve bireylerin dijital varlıklarını etkili bir şekilde korumak ve potansiyel saldırılara karşı savunma mekanizmalarını güçlendirmek için kritik bir rol oynamaktadır. Bu güvenlik çerçeveleri, siber tehditleri tespit etme, veri ihlallerini engelleme, kimlik avı girişimlerini önleme ve genel olarak bilişim sistemlerinin bütünlüğünü, gizliliğini ve erişilebilirliğini sağlama amacıyla geliştirilmiştir. Organizasyonlar ve güvenlik uzmanları, bu modelleri benimseyerek güvenlik politikalarını oluşturması mümkündür, güvenlik tedbirlerini etkin bir şekilde uygulayabilir ve sürekli olarak evrilen tehdit peyzajına uyum sağlayarak çevrimiçi varlıklarını koruma çabalarını sürdürebilirler.
Bilgisayar güvenliği açısından, farklı güvenlik modelleri ve yaklaşımları bulunmaktadır. İşte en popüler 2 güvenlik modeli:
Bell-LaPadula Modeli
Bell-LaPadula Modeli, bilgisayar güvenliği alanında gizliliği korumak için tasarlanan bir güvenlik modelidir. 1973 yılında David Elliott Bell ve Leonard J. LaPadula tarafından geliştirilmiştir. Temel amacı, veri sızıntılarını ve yetkisiz erişimleri önlemektir.
Bell-LaPadula modelinde, güvenlik düzeyleri ve güvenlik etiketleri ile temsil edilen nesneler ve özneler vardır. Nesneler (dosyalar, veritabanları vb.) belirli bir güvenlik düzeyine sahiptir ve güvenlik etiketleri ile işaretlenmiştir. Özneler (kullanıcılar, işlemler vb.), güvenlik düzeyi ve güvenlik etiketi olan nesnelere erişim talep edebilirler.
Prensipler
Simple Confidentiality Property (No-Read-Up): Bu prensip, daha düşük bir gizlilik düzeyine sahip bir öznenin daha yüksek bir gizlilik düzeyine sahip bir nesneyi(file) okuma yeteneğine sahip olamayacağını belirtir. Yani, bir özne yalnızca kendi gizlilik düzeyi veya daha düşük güvenlik düzeyine sahip nesnelere erişir. Daha yüksek gizlilik düzeyine sahip nesneleri okuma yetkisi yoktur.
Bu prensip, bir öznenin gizlilik düzeyi daha düşük olan bilgilere erişebilmesini ve daha yüksek düzeydeki bilgilerin sızdırılmasını engellemeye çalışır. Bu, Bell-LaPadula modelinin temel özelliklerinden biridir ve birçok güvenlik politikasının temelini oluşturur.
Star Confidentiality Property (No-Write-Down): Bu prensip, daha yüksek bir gizlilik düzeyine sahip bir öznenin daha düşük bir gizlilik düzeyine sahip bir nesneye veri yazma yeteneğine sahip olamayacağını belirtir. Yani, bir özne yalnızca kendi gizlilik düzeyi veya daha yüksek gizlilik düzeyine sahip nesnelere veri yazar. Daha düşük gizlilik düzeyine sahip nesnelere veri yazma yetkisi yoktur.
Bu prensip, daha yüksek güvenlik düzeyine sahip bilgilerin daha düşük düzeydeki birimler tarafından değiştirilmesini veya manipüle edilmesini engellemeyi amaçlar. Bu şekilde, sistemde veri bütünlüğü korunur ve güvenilirlik sağlanır.
Super Star Security Property (No-Read-Write-Up-Down): Bu prensip, daha düşük ve daha yüksek bir gizlilik düzeyine sahip bir öznenin daha düşük ve daha yüksek bir gizlilik düzeyine sahip bir nesne için okuma ve yazma yeteneğine sahip olamayacağını belirtir. Yani bir özne yalnızca kendi gizlilik düzeyine sahip nesnelere okuma ve yazma işlemi gerçekleştirir.
Güvenlik Seviyeleri
Bell-LaPadula Modeli kullanıcıları ve kaynakları güvenlik seviyelerine göre sınıflandırır. Kullanıcı ve kaynak güvenlik seviyeleri genellikle “Düşük” ve “Yüksek” olarak adlandırılır. Örneğin, “Düşük Gizlilik Seviyesi” kullanıcısı düşük güvenlik seviyesindeki kaynaklara erişebilir. Bununla birlikte “Yüksek Gizlilik Seviyesi” kullanıcısı yüksek güvenlik seviyesindeki kaynaklara erişebilir.
Kullanım Alanları
Bell-LaPadula modeli, gizliliğin bütünlükten daha önemli olduğu kurumlarda veya durumlarda kullanımı yaygındır.
- Askeri ve Savunma Sektörü: Bu model, hükümetlerin hassas bilgileri koruma ihtiyacını karşılamak için kullanma uygundur. Özellikle devlet bilgilerin sızdırılmasını engellemek için askeri kuruluşlar ve savunma endüstrisi bu modeli uygular.
- Hükümet Kurumları: Bell-LaPadula modeli, hükümetlerin hassas bilgileri koruma ihtiyacını karşılamak için kullanma uygundur. Devlet daireleri, istihbarat ajansları ve diğer kamu kurumları, bu modeli veri güvenliğini sağlamak için benimser.
- Finansal Kuruluşlar: Finansal kurumlar gibi yerlerde, bilgilerin gizliliğini ve bütünlüğünü korunmalıdır. Bu gibi yerler Bell-LaPadula modeli kullanır.
- Enerji Sektörü: Enerji üretimi, dağıtımı ve altyapısıyla ilgili verilerin güvenliği büyük önem taşır. Elektrik santralleri, nükleer tesisler ve diğer enerji altyapısıyla ilgilenen kuruluşlar, bu modeli kullanarak güvenlik hizmeti sağlar.
- Sağlık Hizmetleri: Sağlık kuruluşları, hastaların tıbbi kayıtları, reçeteler ve diğer sağlık verilerini korumalıdır. Bu tür kuruluşlar, Bell-LaPadula modelini veri gizliliği ve güvenliği için kullanır.
Biba Modeli
Biba Güvenlik Modeli,1970’lerde David J.Biba tarafından önerilmiştir. Bu model, veri bütünlüğüne odaklanarak tasarlanmıştır. Veri bütünlüğü, verinin yetkisiz değişikliklerden korunması anlamına gelir. Model, bilgi akışı ve kontrol akışı olmak üzere iki temel bileşeni içerir. Temel olarak, bir nesnenin (örneğin dosya, veritabanı veya program) güvenlik seviyesi ile bir varlığın (örneğin kullanıcı veya işlem) güvenlik seviyesi arasındaki ilişkiyi tanımlar.
Prensipler
Simple Integrity Property (No-Read-Down): Bu prensip, daha yüksek bir bütünlük düzeyine sahip bir öznenin daha düşük bir bütünlük düzeyine sahip bir nesneye okuma yeteneğine sahip olamayacağını belirtir. Yani, bir özne yalnızca kendi bütünlük düzeyi veya daha yüksek bütünlük düzeyine sahip nesneleri okur. Daha düşük bütünlük düzeyine sahip nesneleri okuma yetkisi yoktur. Bir öğrencinin okul müdürünün belgelerini okumasına izin verilmediğini düşünülebilir.
Star Integrity Property (No Write Up): Bu prensip, daha düşük bir bütünlük düzeyine sahip bir öznenin daha yüksek bir bütünlük düzeyine sahip bir nesneye veri yazma yeteneğine sahip olamayacağını belirtir. Yani, bir özne yalnızca kendi bütünlük düzeyi veya daha düşük bütünlük düzeyine sahip nesnelere veri yazar. Daha yüksek bütünlük düzeyine sahip nesneleri okuma yetkisi yoktur. Bu, bir şefin acemi bir aşçının tarifini değiştirmesine izin verilmemesi gibi düşünülebilir.
Güvenlik Seviyeleri
Biba Güvenlik Modeli, kullanıcıların ve nesnelerin güvenlik seviyelerini belirlemek için “üstten aşağı” yaklaşımını benimser. Model, kullanıcıların ve nesnelerin güvenlik seviyelerini tanımlayan iki temel öğe kullanır: “Yüksek Bütünlük Seviyesi (High Integrity Level)” ve “Düşük Bütünlük Seviyesi (Low Integrity Level)”.
Modelin bu iki ana güvenlik seviyesi, veri bütünlüğünü koruma amacını taşır. Model, kullanıcıların ve nesnelerin bu güvenlik seviyelerine uygun şekilde erişim haklarına sahip olmayı amaçlar. Böylece, veri sızıntıları ve güvenlik ihlalleri engellenmektedir.
Kullanım Alanları
Biba Güvenlik Modeli, bütünlüğün gizlilikten daha önemli olduğu kurumlarda veya durumlarda kullanılmaktadır.
- Yazılım Geliştirme: Yazılım geliştirmede, geliştiricilerin yalnızca işleri için gerekli olan koda erişimleri olması gerekir.
- Bankalar: Bankaların düzenlemelere uymak için kayıtlarının her zaman doğru olduğundan emin olmaları gerekir.
- Hastaneler: Doktorlar ve hemşireler doğru tıbbi kayıtlara sahip olmalı bu kayıtlarla oynanmadığından emin olmalıdır.
- Devlet Daireleri: Bu yerlerde doğru kalması gereken çok sayıda önemli bilgi bulunmaktadır. Askeri verilerin ve devlet kayıtlarının korunması bir ulusal güvenlik meselesidir.
- Çevrimiçi Mağazalar: Web sitelerindeki satış bilgilerinin kontrol ed,lmes.
Sonuç
Bu yazıda, Güvenlik Modellerinden olan Bell-LaPadula ve BIBA Güvenlik Modellerinin ne olduğuna değindim. Nasıl çalıştıklarına ve kullanım alanlarından da bahsettiğim yazım için keyifli okumalar dilerim.
Aklınıza takılan sorular için [email protected] mail adresinden bana ulaşabilir, diğer yazılarımı ise buraya tıklayarak okuyabilirsiniz.
Erkan Çekiç
HacktorX YazarıMerhaba. Henüz çocukluk dönemimde yanmaya başlayan siber güvenlik ateşini lise ve üniversite dönemlerinde de harlayan, zamanının büyük bir bölümünü çalışmak ve bir şeyler üretmek üzerine kullanan biriyim.