Standards and practices necessary to implement a successful security review program for intrusion management systems

Abstract

öz Nüfuz Yönetim Sistemleri, bilgi sistemlerini başarılı bir nüfuz olma olasılığından ve bunarın sonuçlarından korumak için kullanılmaktadır. Ayrıca böyle bir nüfuzu tespit etmek de bu sistemlerin özelliklerinden biridir. Uygulanan önlemleri geçen nüfuzlar bu sistemlerce tespit edilmeye çalışılmaktadır. Başarılı bir nüfuzdan sonra sistemi iyileştirip eski konumuna getirmek ve mümkün olursa nüfuz ve nüfuz girişimlerini soruşturmak da bu sistemlerin fonksiyonlarından biridir. Bu fonksiyonlar dört katmanlı bir nüfuz yönetim sistemi modelinde bulunabilir. Bu katmanlar, önlem, güvence, tespit ve iyileştirme katmanlarıdır. Önlem katmanında gerekli politika ve standartlar geliştirilip, gerekli çalışmalar yapılarak bilgi sistemleri başarılı nüfuzlardan korunmaktadır. Güvence katmanında ise, uygulanan önlemlerin etkinliği yapılan test ve incelemeler ile ölçülmektedir. Tespit katmanı gerçek zamanda oluşan nüfuz ve nüfuz girişimlerinin saptanmasından sorumludur. İyileştirme katmanı ise başarılı bir nüfuzun sonucunda bilgi sisteminde ve bilginin kendisinde oluşabilecek hasarların düzeltilmesinden ve sistemin eski güvenli konumuna döndürülmesinden sorumludur. Ayrıca nüfuzun soruşturulması da bu katmanda gerçekleştirilir. Nüfuz Yönetim Sistemleri bilgi ve bilgi teknolojisi değerlerinin korunmasında kullanılmaktadır. Değerlerini korumayı hedefleyen bir organizasyon böyle bir sistem kullanmalıdır. Sistemin gerçekleştirilmesinden sonra ise alınan önlemlerin etkinliğinin garanti edilmesi için devamlı bir inceleme gereklidir. Bu tip bir inceleme hedefine prensip ve standartlar kullanarak ulaşabilir. Bu tezde, Nüfuz Yönetim Sistemleri için başarılı bir güvenlik inceleme programı geliştirmek için gerekli prensipleri Genel Olarak Kabul Edilmiş Sistem Güvenlik Prensipleri'nin yol göstericiliği ortaya konmuştur. Nüfuz Yönetim Sistemleri'nin her katmanından örnek araçlar için prensipler geliştirilmiştir. Bu araçlar; önlem katmanı için güvenlik duvarları, güvence katmanı için zayıflık tarama araçları, tespit katmam için Nüfuz Tespit Sistemleri ve iyileştirme katmanı için bütünlük kontrolü araçlarıdır.

ABSTRACT Intrusion Management Systems are being used to prevent the information system? from successful intrusions and their consequences. They also have detection features. They try to detect intrusions, which have passed the implemented measures. Also the recovery of the system after a successful intrusion is made by the Intrusion Management Systems. The investigation of the intrusion is made by Intrusion Management Systems also. These functions can be existent in an intrusion management system model, which has a four layers architecture. The layers of the model are avoidance, assurance, detection and recovery. At the avoidance layer necessary policies, standards and practices are implemented to prevent the information system from successful intrusions. At the avoidance layer, the effectiveness of implemented measures are measured by some test and reviews. At the detection layer the identification of an intrusion or intrusion attempt is made in the real time. The recovery layer is responsible from restoring the information system after a successful intrusion. It has also functions to investigate the intrusion. Intrusion Management Systems are used to protect information and computer assets from intrusions. An organization aiming to protect its assets must use such a system. After the implementation of the system, continuous reviews must be conducted in order to ensure the effectiveness of the measures taken. Such a review can achieve its goal by using principles and standards. In this thesis, the principles necessary to implement a successful review program for Intrusion Management Systems have been developed in the guidance of Generally Accepted System Security Principles (GASSP). These example principles are developed for tools of each Intrusion Management System layer. These tools are firewalls for avoidance layer, vulnerability scanners for assurance layer, intrusion detection systems for detection layer and integrity checkers for recovery layer of Intrusion Management Systems. IV