Sistem Keamanan

Rometdo Muzawi, M.Kom.,CEH.,CCNA 1

Mata Kuliah Keamanan Sistem (3 SKS)
Pekanbaru, Senin 04-Oktober 2021
▪ " Menjadi program studi teknologi informasi yang unggul dibidang Aplikasi Teknologi Mobile di
Sumatera tahun 2030"

▪ Menyelenggarakan program pendidikan dan pengajaran di bidang teknologi informasi yang

berkualitas dan relevan dengan kebutuhan masyarakat.
▪ Melakukan perbaikan dan pembaharuan proses pembelajaran secara berkesinambungan.
▪ Melaksanakan penelitian yang inovatif dan bermutu di bidang aplikasi teknologi mobile.
▪ Melaksanakan kegiatan pengabdian pada masyarakat yang bersifat pemecahan masalah yang
dihadapi masyarakat dan industri.
▪ Mengembangkan kompetensi peserta didik dalam menghadapi ekonomi digital dengan kemampuan
kewirausahaan bebasis teknologi.
2
Keamanan

▪Apa yang
dimaksud dengan
keamanan.?

3
Keamanan
▪ Dalam pengertian umum, keamanan adalah “ keadaan yang

bebas dari bahaya atau ancaman ” .

▪ Teknik ini memastikan bahwa perangkat terus berfungsi dan

aman dari serangan.

▪ Tujuan utamanya adalah untuk mengidentifikasi kekurangan

dan kecacatan sedini mungkin.

▪ Computer Security is preventing attackers from

achieving objectives through unauthorized access
or anauthorized use of computers and networks.
(John D. Howard).

4
5
▪ Confidentiality
▪ Integrity
▪ dan Availability
▪ Mereka sering disebut CIA
▪ Selain ketiga hal di atas, yang juga
dapat disebut sebagai core security
concepts, ada general security
concepts lainnya seperti non-
repudiation, authentication,
authorization, access control &
auditing.
▪

6
Confidentiality
▪ Confidentiality atau kerahasian menyatakan
bahwa data tidak dapat diakses oleh orang yang
tidak berhak.
▪ Serangan terhadap aspek ini dilakukan dengan
berbagai cara seperti misalnya menyadap
jaringan, menerobos akses dari sistem komputer,
sampai ke menanamkan trojan horse & keylogger
untuk mengambil data secara ilegal.
▪ Cara non-teknis dapat dilakukan dengan social
engineering, yaitu berpura-pura sebagai orang
yang berhak mengakses data dan meminta orang
lain untuk memberikan data tersebut.
▪ Cara-cara pengamanan terhadap serangan
kerahasiaan antara lain adalah dengan
menggunakan kriptografi (yaitu mengubah
dataterlihat seperti sampah), membatasi akses ke
sistem dengan menggunakan user id dan password
sehingga ini dikaitkan juga
dengan access control.
7
▪
Integrity
▪ Integrity mengatakan bahwa data tidak boleh
berubah tanpa ijin dari pihak yang berhak.
▪ Sebagai contoh, data saldo rekening bank miliki
kita tidak boleh berubah secara tiba-tiba.
▪ Serangan terhadap aspek ini dilakukan melalui
serangan man in the middle (MITM).
▪ Data transaksi ditangkap (intercepted) di tengah
jalan, dimodifikasi, dan kemudian diteruskan ke
tujuan.
▪ Penerima tidak sadar bahwa data sudah berubah
dan memproses yang sudah berubah ini.
▪ Perlindungan terhadap serangan dapat dilakukan
dengan menambahkan message digest (signature,
checksum) dalam pesan yang dikirimkan secara
terpisah sehingga ketika terjadi perubahan akan
terdeteksi di sisi penerima.
▪ 8
Availability
▪ Aspek availability menyatakan bahwa data
harus tersedia ketika dibutuhkan.
▪ Serangan terhadap aspek ini adalah dengan
cara membuat sistem gagal berfungsi,
misalnya dengan melakukan permintaan
(request) yang bertubi-tubi. Serangan ini
disebut sebagai Denial of Service (DoS).
▪ Serangan yang dilakukan melalui jaringan
dapat dilakukan secara terdistribusi, yaitu
menggunakan penyerang dalam jumlah yang
banyak. Maka muncullah istilah Distributed
DoS atau DDoS attack.
▪ Perlindungan terhadap serangan ini dapat
dilakukan dengan menggunakan sistem
redundant dan backup.
9
▪ Aspek non-repudiation menyatakan
bahwa seseorang tidak dapat menyangkal
(telah melakukan sebuah aktifitas
tertentu, misalnya
telah melakukan transaksi).
▪ Salah satu cara untuk mengatasi masalah
tersebut adalah dengan melakukan
pencatatan (logging) .

10
▪ Masalah keamanan yang terkait dengan
sistem teknologi informasi pada awalnya
dianggap sebagai masalah teknis.
▪ Hal ini menyulitkan komunikasi dengan
pihak atasan (manajemen) sehingga
penanganan masalah keamanan teknologi
informasi tidak mendapat perhatian.
▪ Pendekatan yang lazim dilakukan adalah
melihat masalah keamanan.
▪ Ada beberapa metodologi untuk
melakukan manajemen risiko. Salah satu
panduan yang cukup banyak digunakan
adalah metodologi
yang didokumentasikan di NIST SP800-
308.
▪ Manajemen Risk : risk assessment, risk
mitigation, dan evaluation &
assessment.
11
▪ Ada 3 komponen yang memberikan
kontribusi kepada Risk, yaitu Asset,
Vulnerabilities,dan Threats.
▪

12
▪ System Characterization
▪ Threat Identification
▪ Vulnerability Identification
▪ Control Analysis
▪ Likelihood Determination
▪ Impact Analysis
▪ Risk Determination
▪ Control Recommendations
▪ Results Documentation
Pada prinsipnya, risk assessment bertujuan untuk
mengidentifikasi aset yang ingin diproteksi,
ancaman, kelemahan.

13
 Reference

A. E-book

▪ Andress, J. (2019). Foundations of Information Security: A Straightforward Introduction. No Starch Press

▪ Bishop, M. (2018). Computer Security. Addison-Wesley Professional.
▪ Jhon R.Vacca. (2017). Computer and Information Security Handbook. Morgan Kaufmann.

14