PRESENTASI

KEAMANAN SISTEM KOMPUTER

Eng Ing Eeeng

Melinda

Karjono

Amin Fauzi

Ikmal

Analisa Kebutuhan Keamanan Aplikasi ECommerce dengan Menggunakan Metode

SQUARE
Studi Kasus pada website www.terrypalmercollection.com

Definisi E-Commerce
merupakan satu set dinamis teknologi, aplikasi, dan proses
bisnis yang menghubungkan perusahaan, konsumen, dan
komunitas tertentu melalui transaksi elektronik dan
perdagangan barang, pelayanan dan informasi yang
dilakukan secara elektronik (David Baum, Business Links, Oracle
Magazine, No 3, Vol XIII, May/June 1999, pp. 36-44)

Identify Assets and Security

Goals
3 Develop Artifact

4
5
6
5
75
8
9

SQUARE

Agree Definition

PROSES

Perform Risk
Assessment
Select Elicitation
Techniques
Elicit Security Requirements

Categorize Requirements

Prioritize Requirements

Requirements
Inspection

10 Review of
Requirements

engingeeeng.com

Agree Definition

Tim kami bekerja sama dengan klien untuk

menyepakati
dan
mengatur
definisi
keamanan. Berikut ini adalah definisi yang
disepakati :
Serangan
Injeksi SQL : memungkinkan
penyerang bisa mendapatkan akses ke
basis data di dalam sistem.
Access Control : Access Control memastikan
bahwa sumber daya yang hanya diberikan
kepada para pengguna yang berhak.

2
Identify
Assets
and Security
Identify
Assets
and Security
Goals

Goals

Di sini tim proyek bekerja sama dengan

klien
untuk
menyempurnakan
keselamatan dan tujuan keamanan yang
dipetakan ke bisnis perusahaan secara
keseluruhan Tujuan. Tujuan bisnis dan
keamanan didefinisikan sebagai berikut :
Business Goal : Memperluas jaringan
penjualan.

Identify Assets and Security

Goals

Safety and Security Goals

Privacy
Website ini memiliki Confidentiality yang terjamin, karena
memiliki perlindungan data-data pelanggan serta
kerahasiaan data-data pribadi berupa nomor
rekening/nomor kartu kredit dll.

Credibility
Website terrypalmercollection.com memiliki kredibilitas
yang baik, karena untuk domain dan hostingnya dikelola
oleh MasterWeb yang sudah terjamin kredibilitasnya.

Integrity
Informasi atau pesan dari customer dipastikan tidak
diubah atau berubah dan integrity pun terjamin.

Identify Assets and Security

Goals

Availability
Keamanan atas ketersediaan layanan informasi serta
website ini memiliki availability yang terjamin, yang dapat
terlihat dari beberapa fasilitas yang ada pada website ini
seperti availability produk, availability data pelanggan
dengan Login.

Non-Repudiation
Menjaga agar jika sudah melakukan transaksi atau aktifitas
online, maka tidak dapat di sangkal.

Auditing
Adanya berkas semacam rekaman komunikasi data yang
terjadi pada jaringan untuk keperluan audit seperti
mengidentifikasi serangan serangan pada jaringan atau
server.

Identify Assets and Security

Goals

Keamanan Terhadap Data

Untuk keamanan terhadap datanya,
terrypalmercollection.com menyediakan akun
untuk pelanggan-pelanggannya yang datadatanya tersimpan dan aman dengan security
yang terjaga melalui login, karena dalam akun
tersebut pelanggan baru harus mendaftar
dahulu melalui formulir pendaftaran dan
kemudian memiliki Login yang dilengkapi
Password tersendiri.

Develop Artifact
Architectural Diagrams

Develop Artifacts

Use Case

Develop Artifacts

Misuse Case

Develop Artifacts

Attack Tree

Develop Artifacts

Perform Risk
Assessment

Ada beberapa teknik Risk Assessment. Berikut ini adalah list

berdasarkan [Mead 2005], dengan referensi untuk informasi lebih
lanjut :

General Accounting Offices (GAOs) models [USGA 1999]

National Institute of Standards and Technologys (NISTs) models

[Stoneburner 2002]

National Security Agencys INFOSEC Assessment Methodology

(IAM) [NSA 2004]

Shawn Butlers Security Attribute Evaluation Method (SAEM)

[Butler 2002]

CERT/CCs Vendor Risk Assessment & Threat Evaluation (V-RATE)

[Lipson 2001]

Yacov Haimes Risk Filtering, Ranking, and Management (RFRM)

Framework [Haimes 2004]

CERT/CCs Survivable Systems Analysis (SSA) Method [CERT/CC

Perform Risk Assessment

Pada table di atas, dapat disimpulkan bahwa model NSA/IAM dan DDP/Feather
yang cocok pada kasus ini

Select Elicitation
Techniques

Elicitation techniques yang dipakai adalah

misuse case, seperti yang sudah
dijabarkan pada step ke 3.

6
5

Elicity Security
Requirements

Requirement# Requirement
R01

Penggunaan firewall pada server

R02

Penggunaan protocol HTTPS

R03

Aplikasi harus dipatch secara berkala

R04

Penggantian password admin secara berkala

R05

Enkripsi Password

75

Categorize Requirements

Requirement#

Classification

R01

System Level

R02

Software Level

R03

System Level

R04

System Level

R05

Software Level

Prioritize Requirements

Requireme
nt#

Description

Priority

R01

Penggunaan firewall pada

server

High

R02

Penggunaan protocol HTTPS

High

R03

Aplikasi harus dipatch secara

berkala

Medium

R04

Penggantian password admin

secara berkala

Medium

R05

Enkripsi Password

High

Requirements
Inspection

Step
Number
4

Description of
Defect
Score dinilai kurang
sesuai
Hanya memiliki satu
elisitasi

Severity

Suggested
Changes
Pembuatan
score lebih
sesuai
Pemilihan
elisitasinya
ditambah.

10

Review of
Requirements

Keamanan data user sangat diutamakan

begitu juga dengan hak akses dari
administrator itu sendiri.
Enkripsi password dan penggunaan
firewall adalah salah satu contoh
pengamanan data yang dibutuhkan oleh
sistem ini.

Terima Kasih

www.terrypalmercollection.com