Tenets of ISS
: Informasi
1. User domain
: Mengatur mengenai siapa yang dapat
mengakses sistem informasi di dalam suatu organisasi (roles and tasks;
responsibilities; accountability)
2. Workstation domain
: merupakan domain dimana user melakukan
akses ke sistem. Cth: laptop, komputer.
3. LAN domain
: Kumpulan komputer yang terkoneksi satu sama
lain atau dengan media koneksi tertentu. (NIC; Ethernet LAN; Unshielded
twisted pair cabling; LAN switch; file server and print server; wireless
access point (WAP))
4. LAN-to-WAN domain
: domain dimana suatu LAN terkoneksi dengan
jaringan yang luas (WAN) atau internet. port 80; port 20; port 69; port 23;
port 22.
5.
WAN domain
: mengkoneksikan jaringan secara luas dan di
geografis yang berbeda. (Nationwide optical backbones; end-to-end IP
transport; multi-site WAN cloud services; etc)
1. Policy
: Statement tertulis mengenai cara untuk bertindak
2. Standard : Dokumen tertulis yang secara detil menjelaskan bagaimana
seharusnya menggunakan suatu software / hardware
3. Procedures : Dokumen tertulis mengenai bagaimana cara menggunakan
policy dan standard
4. Guidelines : Tata cara yang di rekomendasikan untuk menggunakan
policy
Data classification standard:
1. Private data
: Data mengenai seseorang yang harus di jaga
privasinya
2. Confidential
: Data / informasi yang dimiliki organisasi. Cth:
paten, property, customer
3. Internal use only : Informasi / Data yang di share di dalam internal
organisasi
4. Public domain data
: informasi / data yang di share di publik. Cth:
Website
EVOLUTION OF VOICE COMMUNICATIONS:
Endpoint security
Physical Security
Network infrastructure security
Security operation and administration
3 konvergensi VoIP
: Protocol Convergence, Infrastructure Convergence,
Application Convergence
Unified Communication (UC) : real-time communication seperti instant
messaging, video conference
UC applications provide these features:
1.
2.
3.
4.
5.
Presence/ availability
Instant messaging (IM) chat
Audio conferencing
Videoconferencing
Collaboration
Keuntungan UC
Types of hackers:
Vulnerability scanners
: mengumpulkan informasi mengenai
kelemahan suatu network
Port scanners
: Tersambung ke komputer untuk mencari port
mana yang terbuka
Sniffers
: Program yang merekam traffic yang melewati
jaringan
Wardialers
: Program yang melakukan panggilan ke telepon
untuk mencari komputer yang tersambung pada telepon tersebut
Keyloggers
: software yang merekam setiap input keyboard
yang dilakukan oleh user
SECURITY BREACH
tenets
Malicious software
Hardware and software failure
Internal attacker
Equipment theft
External attacker
Natural disaster
Industrial espionage
Terrorism
Threat Types
MALICIOUS ATTACK
: Serangan yang terjadi pada computer atau network
dengan memanfaatkan vulnerability di dalam jaringan
There are 4 general categories attacks:
Fabrications
: membuat suatu penipuan untuk mengelabui
user
Interceptions
: mencuri informasi saat transmisi dan
mengarahkan kepada akses yang tidak di perbolehkan
Interruptions
: memblokir transmisi data
Modifications
: mengubah data yang sedang di transmisikan
Active Threats
Worms
: menduplikasikan diri dan mengirimkannya kepada computer
lain melalui network. Tujuannya untuk memakan bandwidth network
Trojan Horse
Rootkis
: software yang memodifikasi suatu program untuk
menyembunyikan serangannya
Spyware
: mengambil informasi confidential melalui internet tanpa
sepengetahuan user
Countermeasure :
1. Membuat program edukasi untuk menghindari user untuk menginstall
malware
2. Memberikan buletin malware secara berkala
3. Jangan pernah mengirim file ke sumber yang tidak jelas
4. Mencoba program yang baru dengan komputer yang tidak terkoneksi
dengan jaringan
5. Menginstall anti-malware software
6. Menggunakan secure logon dan proses authentication
Risk management
: proses untuk mengidentifikasi, menentukan,
memprioritaskan, dan menangani resiko
Risk = Threats x Vulnerabilities
Risk
Risk
Risk
Risk
identification
analysis
: quantitative / qualitative risk analysis
response planning
monitoring and control
: menghindari.
DRP Test
Gap Analysis
: suatu teknik untuk memastikan bahwa kita sudah puas
dengan policy dari organisasi yang ada
1.
2.
3.
4.
5.
6.
7.
8.
4 parts of AC
: fisik
: sistem, jaringan
Users
Resources
Actions
Relationship
AUTHORIZATION POLICY
Authentication types
1. Knowledge
2. Ownership
: sesuatu yang kita miliki, smartcard, token, key
3. Characteristics
: seuatu yang merupakan karakteristik kita.
finger print
Password best practices
:
1. Jangan menggunakan password yang lemah
2. Jangan menyimpan password secara tertulis
3. Jangan berbagi password
4. Gunakan password yang berbeda untuk user account yang berbeda
5. Jika merasa password berbahaya, segera ganti
6. Hati-hati ketika menyimpan password di komputer
7. Pilih password yang sulit di tebak
Tips for creating strong passwords
1. Minimal 8 karakter
2. Kombinasi huruf besar dan kecil
3. Ada special karakter
4. Berisi huruf atau simbol di pertama dan terakhir
5. Tidak boleh mengandung usernam
6. Tidak boleh mengandung nama dari user atau kenalan
7. Tidak boleh menggunakan nomor karyawan dsb
8. Tidak boleh menggunakan kata umum
9. Tidak boleh mengandung nama umum
10.Tidak boleh mengandung susunan kata
Ingredients to accountability:
1.
2.
3.
4.
log files
data retention
media disposal
compliance requirements
FORMAL MODELS TO AC
Tipe DAC
1. operating systems based DAC : file, aplikasi, serta memory apa saja
yang bisa diakses
2. application based DAC : menu apa saja yang bisa di akses
3. permission levels
: hak subject terhadap sistem
Physical access
Eavesdropping by observation
Bypassing security
Exploiting hardware and software
Reusing or discarding media
Electronic eavesdropping
Intercepting communication
Accessing networks
Exploiting applications
EFFECTS OF AC VIOLATIONS :
1.
2.
3.
4.
5.
6.
RADIUS
: menggunakan client dan user configuration
TACACS+ : IETF standard that uses a single configuration file
DIAMETER : DIAMETER is based on RADIUS
DECENTRALIZED AC