Tujuan belajar 1. Jelaskan EC terkait kejahatan dan mengapa mereka tidak dapat dihentikan. 2.

Jelaskan strategi keamanan EC dan mengapa pendekatan siklus hidup diperlukan. 3. Jelaskan jaminan informasi prinsip-prinsip keamanan. 4. Jelaskan EC masalah keamanan dari perspektif pelanggan dan ebusinesses. 11-3 Tujuan belajar 5. Identifikasi ancaman utama keamanan EC, kerentanan, dan risiko. 6. Mengidentifikasi dan menggambarkan ancaman umum EC dan serangan. 7. Mengidentifikasi dan menilai teknologi utama dan metode untuk mengamankan komunikasi EC. 8. Mengidentifikasi dan menilai teknologi utama untuk informasi jaminan dan perlindungan pada EC jaringan. 11-4 Menghentikan E-Commerce Kejahatan Informasi jaminan (IA) Perlindungan sistem informasi terhadap akses tidak sah atau modifikasi informasi apakah dalam penyimpanan, pengolahan atau transit, dan terhadap penolakan layanan untuk resmi pengguna, termasuk langkah-langkah diperlukan untuk mendeteksi, dokumen, dan counter seperti ancaman manusia firewall Metode bahwa filter atau membatasi akses ke orang-orang dokumen bisnis penting 11-5 Menghentikan E-Commerce Kejahatan zombie Komputer terinfeksi dengan malware yang berada di bawah kontrol spammer, hacker, atau pidana lainnya aplikasi firewall Alat yang dirancang khusus untuk meningkatkan keamanan aplikasi Web umum (keamanan) kerentanan dan eksposur (CVE) Dikenal publik risiko keamanan komputer, yang

dikumpulkan, terdaftar, dan berbagi oleh dewan securityrelated organisasi (cve.mitre.org) 11-6 Menghentikan E-Commerce Kejahatan kerentanan Kelemahan dalam perangkat lunak atau mekanisme lainnya yang mengancam kerahasiaan, integritas, atau ketersediaan aset (ingat model CIA). Hal ini dapat langsung digunakan oleh hacker untuk memperoleh akses ke sistem atau jaringan resiko Probabilitas bahwa kerentanan akan dikenal dan digunakan

Menghentikan E-Commerce Kejahatan eksposur Perkiraan biaya, kerugian, atau kerusakan yang dapat terjadi jika ancaman eksploitasi kerentanan standar perawatan karena Perawatan bahwa perusahaan cukup diharapkan untuk mengambil berdasarkan risiko mempengaruhi bisnis EC dan online transaksi 11-8 Menghentikan E-Commerce Kejahatan CSI / FBI Komputer Kejahatan dan Keamanan Survei Keamanan tahunan survei dari US perusahaan, instansi pemerintah, keuangan dan medis lembaga, dan universitas yang dilakukan bersama oleh FBI dan Institut Keamanan Komputer 11-9 Menghentikan E-Commerce Kejahatan Highlights dari CSI / FBI Kejahatan Komputer dan Keamanan Survey: kerugian keuangan total dari serangan telah menurun secara dramatis Serangan pada sistem komputer atau (terdeteksi) penyalahgunaan tersebut sistem telah perlahan tapi pasti menurun di semua bidang Defacements situs Web internet telah meningkat secara dramatis "Di dalam pekerjaan" terjadi sekitar sesering serangan eksternal Organisasi sebagian besar mempertahankan sistem mereka melalui firewall, perangkat lunak antivirus, sistem deteksi intrusi, dan serverbased daftar kontrol akses

Organisasi sebagian besar mempertahankan sistem mereka melalui firewall, perangkat lunak antivirus, sistem deteksi intrusi, dan serverbased daftar kontrol akses investasi keamanan komputer per karyawan sangat bervariasi 11-10 E-Commerce Strategi Keamanan Pendekatan Siklus Hidup dan Desain Rentan The Internet nama domain sistem (DNS) Menerjemahkan nama domain (mengkonversi) untuk mereka alamat IP numerik alamat IP Sebuah alamat yang secara unik mengidentifikasi setiap komputer yang terhubung ke jaringan atau Internet 11-11 E-Commerce Strategi Keamanan Pendekatan Siklus Hidup dan Pergeseran ke Laba-Termotivasi Kejahatan Memperlakukan EC sebagai Proyek Keamanan EC program keamanan Set kontrol atas proses keamanan untuk melindungi aset organisasi Empat tingkat tinggi tahap dalam siklus kehidupan seorang EC program keamanan: 1. Perencanaan dan pengorganisasian 2. Pelaksanaan 3. Operasi dan pemeliharaan 4. Monitoring dan evaluasi E-Commerce Strategi Keamanan Pendekatan Siklus Hidup dan Organisasi yang tidak mengikuti seperti kehidupan Pendekatan siklus biasanya: Tidak memiliki kebijakan dan prosedur yang terkait atau didukung oleh kegiatan-kegiatan keamanan Menderita putuskan, kebingungan, dan kesenjangan dalam tanggung jawab untuk melindungi aset metode Kurangnya untuk sepenuhnya mengidentifikasi, memahami, dan memperbaiki kekurangan dalam program keamanan Kurangnya metode untuk memverifikasi kepatuhan terhadap peraturan, hukum, atau kebijakan Harus mengandalkan patch, hotfix, dan pelayanan kemasan karena mereka tidak memiliki holistik EC keamanan pendekatan 11-13

E-Commerce Strategi Keamanan Pendekatan Siklus Hidup dan Patch Program yang membuat perubahan yang diperlukan untuk perangkat lunak yang sudah diinstal pada komputer. Perangkat Lunak perusahaan masalah patch untuk memperbaiki bug di mereka program, untuk mengatasi masalah keamanan, atau untuk menambahkan fungsionalitas hotfix Microsoft nama untuk patch. microsoft bundel hotfix ke paket layanan untuk instalasi lebih mudah service pack Sarana yang update produk didistribusikan. Paket layanan dapat berisi pembaruan untuk keandalan sistem, kompatibilitas program, keamanan, dan lebih 11-14 E-Commerce Strategi Keamanan Pendekatan Siklus Hidup dan Mengabaikan EC Keamanan Praktik Terbaik Asosiasi Industri Teknologi Komputasi (CompTIA) Perdagangan nirlaba kelompok yang menyediakan keamanan informasi penelitian dan praktik terbaik Meskipun peran dikenal dari perilaku manusia dalam pelanggaran keamanan informasi, hanya 29% dari 574 pemerintah, TI, keuangan, dan pendidikan organisasi yang disurvei di seluruh dunia telah wajib pelatihan keamanan. Hanya 36% yang ditawarkan pengguna akhir pelatihan kesadaran keamanan 11-15 informasi Jaminan keamanan CIA triad (triad CIA) Tiga konsep keamanan penting untuk informasi di Internet: kerahasiaan, integritas, dan ketersediaan Enterprisewide E-Commerce Keamanan dan Privasi Model Komitmen Manajemen Senior dan dukungan EC Kebijakan Keamanan dan Pelatihan Untuk menghindari melanggar undang-undang privasi saat mengumpulkan data rahasia, kebijakan perlu menentukan bahwa pelanggan: Tahu mereka sedang dikumpulkan

Berikan izin, atau "memilih," bagi mereka untuk dikumpulkan Memiliki beberapa kontrol atas bagaimana informasi tersebut digunakan Tahu mereka akan digunakan dalam akal dan etis cara 11-23 Enterprisewide E-Commerce Keamanan dan Privasi Model kebijakan penggunaan diterima (AUP) Kebijakan yang memberitahu pengguna mereka tanggung jawab saat menggunakan perusahaan jaringan, perangkat nirkabel, pelanggan data, dan sebagainya 11-24 Enterprisewide E-Commerce Keamanan dan Privasi Model EC Prosedur Keamanan dan Penegakan analisis dampak bisnis (BIA) Sebuah latihan yang menentukan dampak dari kehilangan dukungan dari Komisi Eropa untuk sumber daya organisasi dan menetapkan eskalasi kerugian yang lebih waktu, mengidentifikasi sumber daya minimum yang diperlukan untuk pulih, dan memprioritaskan pemulihan proses dan mendukung sistem Keamanan Tools: Hardware dan Software 11-25 Dasar E-Commerce Keamanan Isu dan Perspektif Beberapa teknologi pertahanan utama untuk isu-isu keamanan ini yang dapat terjadi dalam EC: Otentikasi Otorisasi audit Proses merekam informasi tentang apa Web situs, data, file, atau jaringan yang diakses, kapan, dan oleh siapa atau apa Kerahasiaan (privacy) dan integritas (kepercayaan) Ketersediaan nonrepudiation 11-26 Ancaman dan Serangan non-teknis serangan Sebuah serangan yang menggunakan penipuan untuk mengelabui orang menjadi informasi sensitif mengungkapkan atau melakukan tindakan yang membahayakan keamanan jaringan

rekayasa sosial Jenis serangan nonteknis yang menggunakan beberapa tipu muslihat untuk mengelabui pengguna agar mengungkapkan informasi atau melakukan suatu tindakan yang kompromi komputer atau jaringan Ancaman dan Serangan teknis serangan Serangan dilakukan menggunakan perangkat lunak dan sistem pengetahuan atau keahlian waktu-ke-eksploitasi Waktu yang telah berlalu antara ketika sebuah kerentanan ditemukan dan saat itu dimanfaatkan SpywareGuide Sebuah situs umum referensi untuk spyware 11-28 Ancaman dan Serangan nol-hari insiden Serangan melalui sebelumnya tidak diketahui kelemahan dalam jaringan komputer mereka penolakan layanan (DOS) serangan Sebuah serangan di situs Web di mana sebuah penyerang menggunakan perangkat lunak khusus untuk mengirim banjir paket data ke target komputer dengan tujuan overloading nya sumber daya 11-29 Ancaman dan Serangan Web server dan halaman Web pembajakan botnet Sejumlah besar (misalnya, ratusan ribu) dari dibajak internet komputer yang telah dibentuk untuk meneruskan lalu lintas, termasuk spam dan virus, untuk lainnya komputer di Internet malware Sebuah istilah umum untuk perangkat lunak berbahaya virus Sebuah bagian dari kode perangkat lunak yang memasukkan dirinya ke dalam host, termasuk sistem operasi, dalam rangka untuk menyebarkan; membutuhkan bahwa program host dijalankan untuk mengaktifkannya 11-30 Ancaman dan Serangan cacing Sebuah program perangkat lunak yang berjalan secara independen, mengkonsumsi sumber daya tuan rumah dalam rangka untuk

mempertahankan dirinya, yang mampu menyebarkan sebuah lengkap versi kerja dari dirinya sendiri ke lain mesin makro virus (makro cacing) Sebuah virus atau worm yang mengeksekusi saat aplikasi obyek yang berisi makro dibuka atau prosedur tertentu dieksekusi Trojan horse Sebuah program yang muncul memiliki fungsi berguna tetapi yang berisi fungsi tersembunyi yang menyajikan keamanan resiko 11-31 Ancaman dan Serangan Trojan-phisher-Rebery Sebuah varian baru dari Trojan program yang mencuri puluhan ribuan identitas dicuri dari 125 negara yang korban diyakini dikumpulkan oleh yang sah perusahaan perbankan Trojan Sebuah Trojan yang datang untuk hidup ketika pemilik komputer kunjungi salah satu dari sejumlah perbankan online atau e-commerce situs rootkit Seekor kuda khusus program Trojan yang memodifikasi yang sudah ada perangkat lunak sistem operasi sehingga penyusup dapat menyembunyikan kehadiran program Trojan mengamankan E-Commerce Komunikasi akses kontrol Mekanisme yang menentukan siapa yang dapat sah menggunakan sumber daya jaringan pasif Token Perangkat penyimpanan (misalnya, strip magnetik) yang berisi kode rahasia yang digunakan dalam faktor duasistem otentikasi aktif Token Kecil, perangkat yang berdiri sendiri elektronik yang menghasilkan satu kali password yang digunakan dalam suatu twofactor sistem otentikasi 11-33 mengamankan E-Commerce Komunikasi sistem biometrik Otentikasi sistem yang mengidentifikasi orang dengan pengukuran biologis

karakteristik, seperti sidik jari, iris (mata) pola, fitur wajah, atau suara infrastruktur kunci publik (PKI) Sebuah skema untuk mengamankan e-pembayaran menggunakan enkripsi kunci publik dan berbagai teknis komponen 11-34 mengamankan E-Commerce Komunikasi enkripsi Proses mengacak (enkripsi) yang pesan sedemikian rupa sehingga sulit, mahal, atau memakan waktu untuk orang yang tidak sah untuk menguraikan (dekripsi) itu plaintext Sebuah pesan tidak terenkripsi dalam manusia-dibaca bentuk ciphertext Sebuah plaintext pesan setelah itu telah dienkripsi menjadi bentuk yang dapat dibaca mesin 11-35 mengamankan E-Commerce Komunikasi algoritma enkripsi Rumus matematika yang digunakan untuk mengenkripsi plaintext ke ciphertext, dan sebaliknya kunci (nilai kunci) Kode rahasia yang digunakan untuk mengenkripsi dan mendekripsi pesan tombol spasi Jumlah besar nilai kunci yang mungkin (kunci) yang dibuat oleh algoritma untuk digunakan saat mengubah pesan 11-36 mengamankan E-Commerce Komunikasi simetris (swasta) kunci sistem Sebuah sistem enkripsi yang menggunakan kunci yang sama untuk mengenkripsi dan mendekripsi pesan Data Encryption Standard (DES) Algoritma enkripsi simetrik standar didukung oleh NIST dan digunakan oleh US instansi pemerintah sampai Oktober 2000 Rijndael Sebuah standar enkripsi canggih (AES) yang digunakan

untuk mengamankan komunikasi pemerintah AS sejak 2 Oktober 2000 Mengamankan E-Commerce Komunikasi enkripsi publik (asimetris) kunci Metode enkripsi yang menggunakan sepasang cocok kunci-kunci publik untuk mengenkripsi pesan dan pribadi kunci untuk mendekripsi itu, atau sebaliknya kunci publik Kode enkripsi yang umum tersedia untuk setiap orang swasta kunci Enkripsi kode yang hanya diketahui oleh pemiliknya RSA Algoritma yang paling umum enkripsi kunci publik; menggunakan kunci mulai panjang dari 512 bit ke 1.024 bit 11-39 Mengamankan E-Commerce Komunikasi Hash Sebuah perhitungan matematis yang diterapkan pada pesan, menggunakan kunci privat, untuk mengenkripsi pesan message digest (MD) Sebuah ringkasan pesan, diubah menjadi string digit setelah hash telah diterapkan digital amplop Kombinasi dari pesan asli yang dienkripsi dan tanda tangan digital, menggunakan publik penerima kunci sertifikat otoritas (CA) Ketiga pihak yang mengeluarkan sertifikat digital 11-40 Mengamankan E-Commerce Komunikasi Secure Socket Layer (SSL) Protokol yang menggunakan sertifikat standar untuk enkripsi otentikasi dan data untuk menjamin privasi atau kerahasiaan Transport Layer Security (TLS) Pada tahun 1996, nama lain untuk SSL protokol 11-41 Mengamankan E-Commerce Jaringan Pemilihan dan operasi teknologi yang menjamin keamanan jaringan harus didasarkan

pada: Pertahanan secara mendalam Perlu-untuk-akses dasar kebijakan paling istimewa (POLP) Kebijakan memblokir akses ke sumber daya jaringan kecuali akses diperlukan untuk melakukan bisnis Peran khusus keamanan Pemantauan patch manajemen Insiden respon tim (IRT) 11-42 Mengamankan E-Commerce Jaringan firewall firewall Sebuah titik tunggal antara dua atau lebih jaringan dimana semua lalu lintas harus lulus (choke titik); perangkat mengotentikasi, kontrol, dan log semua lalu lintas paket Segmen data yang dikirim dari satu komputer ke komputer lain pada jaringan 11-43 Mengamankan E-Commerce Jaringan Firewall dapat dirancang untuk melindungi terhadap: jauh Login Aplikasi backdoors SMTP pembajakan sesi Macro Virus Spam Mengamankan E-Commerce Jaringan packet-filtering router Firewall bahwa data filter dan permintaan bergerak dari Internet publik ke jaringan swasta didasarkan pada jaringan alamat dari komputer mengirim atau menerima permintaan paket filter Aturan yang dapat menerima atau menolak masuk paket berdasarkan sumber dan tujuan alamat dan lain mengidentifikasi Informasi

11-45 Mengamankan E-Commerce Jaringan tingkat-aplikasi proxy yang Sebuah firewall yang memungkinkan permintaan untuk halaman web untuk berpindah dari Internet publik ke swasta jaringan gerbang benteng Sebuah server khusus hardware yang memanfaatkan tingkat-aplikasi perangkat lunak proxy yang membatasi jenis permintaan yang dapat disampaikan ke organisasi internal jaringan dari Internet umum 11-46 Mengamankan E-Commerce Jaringan 11-47 Mengamankan E-Commerce Jaringan proxy Khusus program perangkat lunak yang dijalankan pada server gateway dan paket dikemas lulus dari satu jaringan ke yang lain zona demiliterisasi (DMZ) Jaringan area yang berada di antara organisasi jaringan internal dan eksternal jaringan (internet), menyediakan isolasi fisik antara dua jaringan yang dikendalikan oleh ditegakkan oleh aturan-aturan firewall 11-48 Mengamankan E-Commerce Jaringan 11-49 Mengamankan E-Commerce Jaringan firewall pribadi Sebuah node jaringan yang dirancang untuk melindungi desktop pengguna individu sistem dari jaringan publik dengan memantau semua lalu lintas yang melewati kartu antarmuka jaringan komputer jaringan virtual pribadi (VPN) Sebuah jaringan yang menggunakan Internet publik untuk membawa informasi tetapi tetap bersifat pribadi dengan menggunakan enkripsi untuk mengacak komunikasi, otentikasi untuk memastikan bahwa informasi yang telah tidak dirusak, dan kontrol akses untuk memverifikasi identitas dari siapa saja yang menggunakan jaringan protokol tunneling

Metode yang digunakan untuk menjamin kerahasiaan dan integritas data ditransmisikan melalui Internet, dengan mengenkripsi paket data, mengirim mereka dalam paket di Internet, dan mendekripsi mereka di alamat tujuan 11-50 Mengamankan E-Commerce Jaringan sistem deteksi intrusi (IDS) Sebuah kategori khusus dari perangkat lunak yang dapat memonitor aktivitas di sebuah jaringan atau pada komputer host, perhatikan aktivitas yang mencurigakan, dan mengambil tindakan berdasarkan otomatis pada apa yang dilihatnya Honeynet Sebuah jaringan honeypots honeypot Produksi sistem (misalnya, firewall, router, web server, database server) yang terlihat seperti itu tidak nyata bekerja, tetapi yang bertindak sebagai umpan dan mengawasi untuk mempelajari bagaimana gangguan jaringan terjadi Masalah manajerial 1. Mengapa manajer belajar tentang EC keamanan? 2. Mengapa sebuah keamanan EC strategi dan siklus hidup Pendekatan yang dibutuhkan? 3. Bagaimana seharusnya manajer melihat EC keamanan masalah? 4. Apa adalah kunci untuk membangun e-commerce yang kuat keamanan? 5. Apa langkah yang harus bisnis mengikuti membuat sebuah rencana keamanan? 6. Haruskah organisasi peduli dengan ancaman keamanan internal?