Pertemuan 4

Keamanan Informasi
Haryono Setiadi, M.Eng
Prodi D3 Teknik Informatika MIPA UNS

OBJEK PEMBELAJARAN
1. Aspek Keamanan Sistem Komputer
2. Serangan Terhadap Keamanan Sistem Informasi
3. Klafisikasi Keamanan Komputer
4. Prinsip Pengamanan Data

OBJEK PEMBELAJARAN
1. Aspek Keamanan Sistem Komputer
2. Serangan Terhadap Keamanan Sistem Informasi
3. Klafisikasi Keamanan Komputer
4. Prinsip Pengamanan Data

1. Aspek Keamanan Sistem Komputer

Target pengamanan adalah menghindari, mencegah,

dan mengatasi ancaman-ancaman terhadap sistem

Kebutuhan akan pengamanan komputer dikategorikan

dalam 6 (enam) aspek, yaitu:
1. Privacy / Confidentiality
2. Integrity
3. Authentication
4. Availability
5. Access Control
6. Non-repudiation

1.Aspek Keamanan Sistem Komputer

(Privacy / Confidentiality)

Usaha untuk menjaga informasi dari orang yang

tidak berhak mengakses
Privacy kearah data-data yg sifatnya privat
Contoh : email anggota tidak boleh dibaca administrator server
Confidentiality berhubungan dengan data yang diberikan
kepada pihak lain untuk keperluan tertentu hanya
diperbolehkan untuk kerperluan tertentu tsb
Contoh : data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir,
social security number, agama, status perkawinan, penyakit yang pernah
diderita, nomor kartu kredit, dsb) harus dapat diproteksi dalam penggunaan dan
penyebarannya.

Dlm pemblokiran kartu kredit berpura2 sbg pemilik dgn menyebut

data confidentiality (nama ibu, nama ayah dsb)

1.Aspek Keamanan Sistem Komputer

(Integrity)

Informasi tidak boleh diubah tanpa seijin pemilik

informasi.

Contoh ancaman :
man in the middle attack menempatkan diri di tengah
pembicaraan dan menyamar sebagai orang lain
Pengubahan isi email ditangkap (intercept) di tengah
jalan, diubah isinya (altered, tampered, modified), kemudian
diteruskan ke alamat yang dituju

Aspek Keamanan Sistem Komputer

(Authentication )

Metoda untuk menyatakan bahwa informasi betulbetulbetul asli,

asli atau orang yang mengakses atau
memberikan informasi adalah betul-betul orang yang
dimaksud.

Dukungan :
Adanya Tools membuktikan keaslian dokumen, dapat dilakukan

dengan teknologi watermarking (untuk menjaga intellectual

property, yaitu dengan menandai dokumen atau hasil karya
dengan tanda tangan pembuat ) dan digital signature.
Access control, yaitu berkaitan dengan pembatasan orang yang
dapat mengakses informasi. User harus menggunakan password,
biometric (ciri-ciri khas orang), dan sejenisnya.

Aspek Keamanan Sistem Komputer

(Availability )

Sumber daya sistem komputer terjamin akan

tersedia bagi pihak-pihak yang telah diotorisasi
pada saat diperlukan.

Contoh ancaman :
denial of service attack (DoS attack) server dikirimi
permintaan (biasanya palsu) yang bertubi-tubi atau
permintaan yang diluar perkiraan sehingga tidak dapat
melayani permintaan lain atau bahkan sampai down, hang,
crash.
mailbomb, dimana seorang pemakai dikirimi e-mail bertubitubi (katakan ribuan e-mail) dengan ukuran yang besar
sehingga sang pemakai tidak dapat membuka e-mailnya
atau kesulitan mengakses e-mailnya.

Aspek Keamanan Sistem Komputer

(Access Control)

Cara pengaturan akses kepada informasi

Biasanya berhubungan dengan klasifikasi
data (public, private,confidential, top
secret) & user (guest, admin, top manager,
dsb.)

Contoh ancaman :
- Pengubahan data anggota oleh orang yang
tidak berhak

Aspek Keamanan Sistem Komputer

(Non-repudiation)

Menjaga agar seseorang tidak dapat

menyangkal telah melakukan sebuah
transaksi.
Contoh : seseorang yang mengirimkan email

untuk memesan barang tidak dapat

menyangkal bahwa dia telah mengirimkan
email tersebut.

Aspek ini sangat penting dalam hal

electronic commerce

OBJEK PEMBELAJARAN
1. Aspek Keamanan Sistem Komputer
2. Serangan Terhadap Keamanan Sistem Informasi
3. Klafisikasi Keamanan Komputer
4. Prinsip Pengamanan Data

2. Serangan Terhadap Keamanan Sistem Informasi

Menurut W. Stallings ada beberapa
kemungkinan serangan keamanan (security
attack):
Interruption
Interception
Modification
Fabrication

2. Serangan Terhadap Keamanan Sistem Informasi

(Normal Communication)

2. Serangan Terhadap Keamanan Sistem Informasi

(Interruption)

Suatu ancaman terhadap availability informasi

atau data yang ada dalam sistem komputer dirusak,
dihapus, sehingga jika dibutuhkan maka sudah tidak
ada lagi.
Contoh serangan adalah denial of service attack.

2. Serangan Terhadap Keamanan Sistem Informasi

(Interception)

Pengaksesan asset informasi oleh orang yang tidak

berhak

Misalnya oleh seseorang, program, atau komputer

Contoh serangan ini pencurian data pengguna kartu kredit
Pengerangan terhadap layanan confidentiality

2. Serangan Terhadap Keamanan Sistem Informasi

(Modification)

Pengaksesan data oleh orang yang tidak berhak,

kemudian ditambah, dikurangi, atau diubah setelah itu
baru dikirimkan pada jalur komunikasi
Contoh pengubahan suatu nilai file data
Merupakan jenis serangan terhadap layanan integrity

2. Serangan Terhadap Keamanan Sistem Informasi

(Fabrication)

Seorang user yang tidak berhak mengambil data, kemudian

menambahkannya dengan tujuan untuk dipalsukan
Merupakan serangan terhadap layanan authentication

2. Serangan Terhadap Keamanan Sistem Informasi

(Letak potensi lubang keamanan)
Network
sniffed,
attacked

ISP

Holes
1.
2.
3.

Internet
Network
sniffed, attacked

Users

System (OS)
Network
Applications (db)

Network
sniffed,
attacked

Web Site
Trojan horse

Userid, Password,
PIN, credit card #

www.bank.co.id

- Applications
(database,
Web server)
hacked
-OS hacked

OBJEK PEMBELAJARAN
1. Aspek Keamanan Sistem Komputer
2. Serangan Terhadap Keamanan Sistem Informasi
3. Klafisikasi Keamanan Komputer
4. Prinsip Pengamanan Data

3. Klafisikasi Kejahatan Komputer

Menurut David Icove, berdasarkan lubang keamanan,

keamanan di klasifikasikan :
Fisik (physical security)
Manusia (people /
personel security)
Data, media, teknik
komunikasi
Kebijakan dan prosedur
(policy and procedures)

3. Klafisikasi Kemanan Komputer

(Keamanan Bersifat Fisik)

termasuk akses orang ke gedung, peralatan,

dan media yang digunakan.

Contoh :
Wiretapping atau hal-hal yang ber-hubungan dengan akses
ke kabel atau komputer yang digunakan
Denial of service, dilakukan misalnya dengan mematikan
peralatan atau membanjiri saluran komunikasi dengan
pesan-pesan (yang dapat berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan).
Syn Flood Attack, dimana sistem (host) yang dituju dibanjiri
oleh permintaan sehingga dia menjadi ter-lalu sibuk dan
bahkan dapat berakibat macetnya sistem (hang).

3. Klafisikasi Kemanan Komputer

(Keamanan yg Berhubungan Dengan Orang)

Identifikasi user (username dan password)

Profil resiko dari orang yang mempunyai
akses (pemakai dan pengelola).

Contoh :
Teknik social engineering berpura-pura
sebagai pemakai yang sah & lupa akan
password-nya dan minta agar diganti dengan
kata lain

3. Klafisikasi Kemanan Komputer

(Keamanan dari data dan media serta teknik komunikasi)

Kelemahan dalam software yang digunakan

untuk mengelola data.
Seorang kriminal dapat memasang virus
atau
trojan horse sehingga dapat
mengumpulkan informasi (seperti password)
yang seharusnya tidak berhak diakses.

3. Klafisikasi Kemanan Komputer

(Keamanan dalam operasi)

Adanya prosedur yang digunakan untuk

mengatur dan mengelola sistem keamanan,
dan juga termasuk prosedur setelah serangan
(post attack recovery).

OBJEK PEMBELAJARAN
1. Aspek Keamanan Sistem Komputer
2. Serangan Terhadap Keamanan Sistem Informasi
3. Klafisikasi Keamanan Komputer
4. Prinsip Pengamanan Data

4. Prinsip Pengamanan Data

Untuk mengamankan data yang bersifat

confidential, diantaranya menggunakan :

1) Otentikasi Pemakai
Identifikasi pemakai saat login merupakan dasar asumsi
sistem proteksi

2) Password
Password atau kata sandi merupakan salah satu otentikasi

yang diketahui pemakai, dimana pemakai memilih suatu

kata kode, mengingatnya, dan mengetikkannya saat akan
mengakses system komputer.
Teknik pengamanan dengan password mempunyai
beberapa kelemahan, terutama karena pemakai sering
memilih password yang mudah diingatnya.

4. Prinsip Pengamanan Data

3) Identifikasi Fisik
Pendekatan identifikasi fisik ini dilakukan dengan

memeriksa apa yang dimiliki pemakai.

a) Kartu Berpita Magnetik
Kartu pengenal dengan selarik pita magnetik umumnya
dikombinasi dengan password. User akan dapat login
ke komputer bila memenuhi syarat, yaitu mempunyai
kartu dan mengetahui password khusus untuk kartu
tersebut.
b) Sidik Fisik
Identifikasi fisik sidik jari atau sidik suara, analisis
panjang jari, dsb.