Deneyiminizi iyileştirmek, site trafiğini analiz etmek ve reklamları kişiselleştirmek için çerezler kullanıyoruz.
Detaylar için Gizlilik Politikası'nı inceleyebilirsiniz.
SPF ve DKIM'in aynı işi yaptığını sanmak (SPF gönderen sunucuyu, DKIM ise mesaj bütünlüğünü kontrol eder).
Sanallaştırmanın donanım arızası riskini yok ettiğine inanmak (Fiziksel sunucu bozulursa tüm sanallar etkilenir).
Temel Kavramlar
Hipervizör: Fiziksel donanımı sanal makinelere bölen yazılım katmanı.
HSM (Hardware Security Module): Şifreleme anahtarlarını fiziksel olarak koruyan güvenli cihaz.
Kernel (Çekirdek): İşletim sisteminin donanım ve yazılım arası iletişimi yöneten merkezi bileşeni.
Pasif RFID: Gücünü okuyucudan alan, pilsiz ve kısa mesafeli çalışan etiket.
Veri Sözlüğü (Data Dictionary): Meta verilerin ve veri tanımlarının merkezi deposu.
Önemli Noktalar
Önleyici bakım arızayı önler, düzeltici bakım arıza sonrası yapılır.
Sanallaştırma kaynak verimliliği sağlar ancak paylaşımlı ortamlarda güvenlik riski barındırır.
İşletim sistemi bütünlüğü için 'en az ayrıcalık' ve 'işlem izolasyonu' şarttır.
Veri kalitesi 'İçsel' (doğruluk) ve 'Bağlamsal' (göreve uygunluk) olarak ikiye ayrılır.
BS Denetçisi için ayrıcalıklı kullanıcı logları en kritik kontrol noktalarından biridir.
Sık Yapılan Hatalar
Önleyici bakım ile düzeltici bakımı karıştırmak.
Sanallaştırmanın fiziksel donanım bakım ihtiyacını tamamen yok ettiğini düşünmek.
Veri kalitesini sadece teknik doğruluktan ibaret sanıp bağlamsal uygunluğu (tamlık, ilgililik) göz ardı etmek.
Temel Kavramlar
Veri Yaşam Döngüsü: Verinin planlama, tasarım, geliştirme, kullanım (saklama, paylaşma, izleme) ve elden çıkarma aşamalarından oluşan süreci.
VTYS (DBMS): Verilerin organize bir şekilde saklanmasını ve yönetilmesini sağlayan yazılımlar (İlişkisel veya NoSQL).
NoSQL: Yapılandırılmamış büyük verileri işlemek için kullanılan; Key-Value, Document, Column ve Graph türleri olan veri tabanı modeli.
Veri Ambarı: Farklı kaynaklardan gelen verilerin analiz ve iş zekâsı amaçlı toplandığı merkezi ortam.
Bulut Bilişim: İsteğe bağlı, esnek, ölçülebilir ve paylaşılan BT kaynaklarına ağ üzerinden erişim sağlayan model.
IPE / IUC: IPE: İşletmece üretilen denetim kanıtı bilgi. IUC: İşletmenin kendi kontrollerinde kullandığı bilgi.
Middleware: Farklı uygulamaları birbirine bağlayan entegrasyon yazılımı.
Önemli Noktalar
Veri Akış Şemaları (DFD) akışın mantığını gösterir ancak zamanlama/sıra bilgisi içermez.
Veri tabanı denetiminde yama yönetimi, erişim hakları ve yedekleme testleri en kritik unsurlardır.
Bulut bilişimde güvenlik, hizmet alan ve veren arasında paylaşılan bir sorumluluktur.
Normalleştirme, veri tekrarını önleyerek veri bütünlüğünü artırır.
EUC (Gölge BT) uygulamaları değişim yönetimi dışı kaldığı için yüksek risk taşır.
Sık Yapılan Hatalar
DFD'lerin süreçlerin çalışma sırasını gösterdiğini sanmak (Yanlış, sadece akışı gösterir).
Bulut bilişimi sadece dış kaynak kullanımı (outsourcing) ile aynı görmek (Yanlış, bulutun 5 temel karakteristik özelliği vardır).
Veri tabanı yedeği almanın yeterli olduğunu düşünmek (Yanlış, periyodik geri dönüş testleri yapılmalıdır).
4
Bulut Bilişim ve Blok Zincir
Temel Kavramlar
Hibrit bulut, özel, topluluk veya genel bulut gibi farklı bulut altyapılarının standartlaştırılmış veya tescilli teknolojiler aracılığıyla bir araya getirilmiş bir bileşimidir. Bu, kuruluşlara esneklik ve farklı ortamlardan en iyi şekilde yararlanma imkanı sunar.
Denetçi, bulut platformlarının hem doğru bir şekilde oluşturulduğunu hem de operasyonlarının doğru bir şekilde sürdürüldüğünü değerlendirmelidir. Bu, güvence seviyelerinin nasıl sağlandığı ve bulut dağıtım yönetiminin nasıl yapıldığına dair denetimleri içerir.
Bulut bilişim, maliyet kazancı, hız ve ölçeklenebilirlik gibi avantajlar sunarken, veri lokasyonunun hizmet alanın tasarrufunda olmaması, bazı kurumlarca büyük bir endişe nedeni olarak belirtilmiştir. Dolayısıyla, veri lokasyonunun tam kontrolü genellikle bulut bilişimin bir avantajı olarak değil, bir zorluğu veya endişesi olarak karşımıza çıkar.
Bulut yönetişiminin bir parçası olarak kuruluşlar; değerlendirme yolları, minimum güvenlik gereksinimleri, uyulması gereken düzenlemeler, standartlar ve kontrol listeleri dâhil olmak üzere bulut yönetişimi ilkelerini tanımlamalıdır. Bu, bulut kullanımının risklerini yönetmek ve uyumluluğu sağlamak için kritik öneme sahiptir.
Tüm ders notlarına erişmek için ücretsiz kayıt olun
Blok Zincir Teknolojisi: Tanımlar, Uygulamalar, Riskler ve Denetim
Temel Kavramlar
Asimetrik Şifreleme: Özel (private) ve genel (public) anahtar çifti kullanılarak yapılan şifreleme. Özel anahtar sahipliği kanıtlar ve harcama yetkisi verirken, genel anahtar alıcıyı tanımlar.
Özetleme Fonksiyonu (Hash): Blok zincirin değiştirilemezliğini ve tahrif edilemezliğini sağlayan kriptografik fonksiyon. Blokları birbirine güvenli bir şekilde bağlar.
Kripto Varlıklar: Dağıtık defter teknolojisiyle oluşturulan, saklanan, dağıtılan ve değer veya hak ifade edebilen gayri maddi varlıklar.
Coin: Bir blok zincirin doğal (native) para birimi (örn. Bitcoin - BTC, Ethereum - ETH). Kendi mutabakat mekanizmasına sahiptir.
Tüm ders notlarına erişmek için ücretsiz kayıt olun
Timejack saldırısı, blok zincir düğümlerinin zaman bilgilerini manipüle ederek legal blokları reddetmesini ve ardından çifte harcama gibi saldırılar yapılmasını sağlayan bir yöntemdir. Bu saldırıda, saldırgan düğümlerin haberleşmesini aksatarak zaman bilgisini değiştirir.
Race saldırısı, saldırganın bir kripto varlık üzerinde bir gönderim işlemi ile çelişen ikinci bir işlemi arka arkaya ağa göndererek, ikinci işlemin ilk işlemden önce onaylanmasıyla ilk gönderim işlemini geçersiz kıldığı bir dolandırıcılık türüdür. Bu saldırı blok zincir altyapısını değil, blok zincir işlevlerini kullanarak dolandırıcılık yapmayı hedefler.
Finney saldırısı, Race saldırısına benzer bir dolandırıcılık türüdür, ancak burada saldırganın kendisi bir madencidir. Saldırgan, mağdur aleyhine yapılan ters işlemi içeren bloğu kendisi üreterek ilk işlemi geçersiz kılar. Mağdurun gelen gönderimin gerçekten bloğa yazılıp yazılmadığını kontrol etmesi bu saldırıyı etkisiz kılabilir.
Blok zincir uygulamalarının denetiminde, sadece merkeziyetsiz borsaların yasal mevzuata uygunluğu değil, genel olarak yasal mevzuata uyumluluk, risk yönetimi, erişim denetimi, anahtar yönetimi ve üçüncü tarafların güvenilirliği gibi çok daha geniş bir yelpazedeki konular değerlendirilmelidir. 'Sadece merkeziyetsiz borsalar' ifadesi kapsamı daraltmaktadır ve metinde belirtilen genel denetim konularına aykırıdır.
Tüm ders notlarına erişmek için ücretsiz kayıt olun
Yedekleme ve Yedekten Geri Dönme ve Kapasite Yönetimi
Temel Kavramlar
Regresyon testi, yeni eklenen özelliğin veya kodun mevcut herhangi bir işlevi bozup bozmadığını kontrol eder. Bu, yazılımın kararlılığını ve mevcut özelliklerin doğru çalışmaya devam ettiğini sağlamak için kritik bir adımdır.
Performans optimizasyon testleri, genellikle web uygulamasının ortalama yüklenme süresini, erişilebilirliğini ve arama motoru optimizasyonunu kontrol etmek amacıyla yapılır. Bu testler, uygulamanın kullanıcı deneyimi ve genel verimliliği açısından ne kadar iyi çalıştığını değerlendirir.
Yük testi, spesifik iş yükleri altında sistem performansını, spesifikasyon limitlerine yakın seviyelerde ölçen bir performans testi yöntemidir. Bu test, kullanıcı veya işlem sayısı arttıkça uygulamanın yanıt süresi ve kullanılabilirlik açısından ne kadar iyi performans gösterdiğini değerlendirmeye yardımcı olur.
Fonksiyonel test, yazılımın fonksiyonel analize uygunluğunun kontrolüdür. Amacı, sistem analizinde belirtildiği gibi yazılım bileşenlerinin birbiriyle doğru olarak entegre edilmesini ve ürünün kullanıcı ihtiyacını karşılayıp karşılamadığını görmektir.
Tüm ders notlarına erişmek için ücretsiz kayıt olun
Hizmet Seviyesi Anlaşmaları (SLA), kullanıcının hizmetin geri yüklenmesi, eskalasyon ve çözümleme için beklediği yanıtlama sürelerini referans alan ve Hizmet Seviyesi Yönetimi sürecinin çıktılarını kullanan anlaşmalardır.
Tahmin etme faaliyetleri, işletmenin gelecekteki büyümeyi öngörmesine ve buna göre kapasite planlaması yapmasına olanak tanır. Bu, mevcut veriler ve büyüme biçimlerine dayanarak yeni kullanım oranlarıyla ilişkili maliyetleri çıkarmayı içerebilir.
Risk analizi, bir tahmin tekniği değil, riskleri belirleme, analiz etme ve değerlendirme sürecidir. Metinde belirtilen kapasite yönetiminde kullanılabilecek tahmin teknikleri arasında Ayarlama, Uygulama Büyüklüğü, Modelleme ve Kapasite Yönetim Verisinin Saklanması yer almaktadır.
Kapasite Yönetimi sürecinin ana hedefi, kullanıcılara/müşterilere kararlaştırılmış seviyelerde hizmet sağlamak için yeterli BS kapasitesinin var olduğunun garanti edilmesidir. Bu, hizmet kalitesini ve sürekliliğini sağlamak için kritik öneme sahiptir.
Önemli Formüller
RPO Hesaplama: $$RPO = 24 saat / Yedekleme Sıklığı$$
A Makinesinin Riskini Hesaplama: $Risk_A = Olasılık_A \times Etki_A$
Tüm ders notlarına erişmek için ücretsiz kayıt olun
İş Sürekliliği Planı (İSP): Bir felaket veya kesinti durumunda kritik iş süreçlerinin devamlılığını sağlamak için geliştirilen prosedürler ve stratejiler bütünüdür.
Felaket Kurtarma Planı (FKP): Kritik iş süreçlerini destekleyen bilgi sistemlerinin kesinti durumunda kullanılabilirliğini yönetmek veya geri yüklemek için oluşturulan kontrol sürecidir.
Kurtarma Hedefi Noktası (RPO): İşletmenin iş süreçlerinde meydana gelen bir kesinti durumunda, kabul edilebilir veri kaybı miktarıdır. Verilerin kurtarılmasının kabul edilebilir olduğu en erken zaman noktasını gösterir.
Kurtarma Hedefi Zamanı (RTO): İşletmenin iş süreçlerinde meydana gelen bir kesinti durumunda, kabul edilebilir kesinti süresidir. İş süreçlerinin ve bilgi sistemlerinin yeniden başlaması gereken en erken zamanı gösterir.
Tüm ders notlarına erişmek için ücretsiz kayıt olun