Kamusal web güvenliği (Türkiye’de kamu kurumlarına ve özel şirketlere ait web güvenliği açısından değerlendirilmesi üzerine bir araştırma)


Tezin Türü: Yüksek Lisans

Tezin Yürütüldüğü Kurum: Marmara Üniversitesi, Türkiye

Tezin Onay Tarihi: 2010

Tezin Dili: Türkçe

Öğrenci: Mesut Gülnaz

Danışman: ERHAN AKYAZI

Özet:

Bu tez, teknolojik gelişmeler sayesinde oldukça yayılan “internet üzerinden çevrim içi servis verme/alma” hizmeti sunan kamu kurumlarına ve özel şirketlere ait web sitelerinin web güvenlik seviyeleri ve bu seviyelerinin yeterlilik ve etkinlik bakımından araştırılmasını amaçlamaktadır. Bu kurumların, web sitelerini hazırlatma ve yayınlatma yöntemleri, web sitelerinin güvenliği için ayırdıkları ödenek miktarları, güvenlik personel sayıları, hazırlayan ve güvenliği ile ilgilenen personellerinin sertifikasyon ve yeterlilik seviyeleri gibi kriterlerin, kurumların web sitelerinin güvenliğinin sağlanmasındaki etkinlik seviyelerinin, kamu kurumlarına ait web siteleri ile özel şirketlere ait web siteleri arasında karşılaştırmalı olarak değerlendirilmesi, tezin ana çerçevesini oluşturmaktadır. Tüm bu kriterlerin sistemlerin ve web sitelerinin güvenliğini baskın olarak etkilemediği, sertifikasyon, güvenlik ödenek miktarları ve diğer etmenlerin sistemlerin güvenliğinde etkin rol oynayamadıkları bu tezde vurgulanan bir argümandır. Bu tez kapsamında ele alınan web sitelerinin güvenliğini etkileyen tüm etmenler tek taraflı ele alınmamıştır. Kamu kurumları ya da özel şirketlerin, kurum web sistemlerinin güvenliğine verdikleri önem de ele alınmıştır. Bu etmenler birbirini etkileyen ve şekillendiren etkenler olarak değerlendirilmiştir. Tezde öncelikle kullanılan ana kavramlar hakkında açıklamalar yapılmış, ardından bu kavramların birbirleriyle ilişkilendirmelerine geçilmiştir. Bunu yaparken de, konu ile ilgili çeşitli görüşler ortaya konulmuş, konuya ve bakış açısına en uygun görülenler vurgulanmıştır. Tezin ana yaklaşımını oluştururken, özellikle CSI Computer Crime and Security Survey 2006 ve 2009 raporlarından, "Web Application Security Statistics 2008", Web Application Security Consortium, 2009 raporundan ve tarafımca yapılan web güvenlik taraması sonuçlarından yararlanılmıştır. Teorik bölümden sonra, araştırma bölümünde, araştırma anketine cevap veren özel şirket ya da kamu kurum çalışanlarının bağlı oldukları kurumların web siteleri web güvenlik taramasından geçirilmiştir. Bunun için çeşitli güvenlik tarama araçları, yol ve metotları kullanılmıştır. Tüm web sitesi taramalarında aynı metot ve yol ve araçlar aynı ayarlar ile kullanılmıştır. Elde edilen tüm veriler, kurumların güvenlik yeterlilik ve etkinliklerinin belirlenmesi çerçevesinde değerlendirilmiştir. ABSTRACT This thesis aims to examine the web security level of web pages and efficiency and sufficiency of this security levels, belonging public institutions and private sector which provides online service input&output trough internet, a tendency becoming widespread thanks to the technological improvements. Evaluating the level of efficiency to provide security in web pages and criterias such as the method how those institutions prepare and publish their web pages, the way they allocate budget for the security of their web pages and certification and proficiency of the stuff preparing and maintaining the security, in comparison between public institutions and private company web pages makes the main frame of this thesis. An argument stressed in this thesis is that all those criterias do not predominantly effect the security of web pages and systems, certification, allocation of budget for the security and other elements can not play an active role in the security of the systems. All the factors effecting the security of the web pages that mentioned in the scope of this thesis are not taken into consideration in a one dimensional aspect. The importance attached by public institutions and private companies to the institution web pages is also taken into consideration. Those factors are evaluated as the factors effecting and shaping each other. First of all main concepts used in the thesis are explained and then the analogy between concepts are established. When doing this different ideas about the issue are introduced, the most suitable ones to the issue and perspective are stressed. When creating main aproach of the thesis, from result of the web security screening that done by me, and "Web Application Security Statistics 2008", Web Application Security Consortium, 2009 and but especially from the rapport called CSI Computer Crime and Security Survey 2006 and 2009 are benefited. After the theoretical part, in the research section, web pages of public institutions and private companies whose stuff answered research survey are scanned for security check. To do this various security check tools and methods are used. In all web page security checks same method and tools are used with the same settings. All the data obtained are evaluated in the frame of determining security sufficiency and efficiency of the institutions.