Integrity

Integrity merupakan aspek yang menjamin bahwa data tidak boleh berubah tanpa ijin pihak
yang berwenang (authorized). Untuk aplikasi e-procurement, aspek integrity ini sangat
penting. Data yang telah dikirimkan tidak dapat diubah oleh pihak yang berwenang.
Pelanggaran terhadap hal ini akan berakibat tidak berfungsinya sistem e-procurement.
Secara teknis ada banyak cara untuk menjamin aspek integrity ini, seperi misalnya dengan
menggunakan messange authentication code, hash function, digital signature.

Confidentiality
Confidentiality merupakan aspek yang menjamin kerahasiaan data atau informasi. Sistem
yang digunakan untuk mengimplementasikan e-procurement harus dapat menjamin
kerahasiaan data yang dikirim, diterima dan disimpan. Bocornya informasi dapat berakibat
batalnya proses pengadaan.
Kerahasiaan ini dapat diimplementasikan dengan berbagai cara, seperti misalnya
menggunakan teknologi kriptografi dengan melakukan proses enkripsi (penyandian,
pengkodean) pada transmisi data, pengolahan data (aplikasi dan database), dan penyimpanan
data (storage). Teknologi kriptografi dapat mempersulit pembacaan data tersebut bagi pihak
yang tidak berhak.
Seringkali perancang dan implementor dari sistem informasi atau sistem transaksi elektronik
lalai dalam menerapkan pengamanan. Umumnya pengamanan ini baru diperhatikan pada
tahap akhir saja sehingga pengamanan lebih sulit diintegrasikan dengan sistem yang ada.
Penambahan pada tahap akhir ini menyebabkan sistem menjadi tambal sulam. Akibat lain
dari hal ini adalah adanya biaya yang lebih mahal daripada jika pengamanan sudah dipikirkan
dan diimplementasikan sejak awal.
Akses terhadap informasi juga harus dilakukan dengan melalui mekanisme otorisasi
(authorization) yang ketat. Tingkat keamanan dari mekanisme otorisasi bergantung kepada
tingkat kerahasiaan data yang diinginkan.

Availability
Availability merupakan aspek yang menjamin bahwa data tersedia ketika dibutuhkan. Dapat
dibayangkan efek yang terjadi ketika proses penawaran sedang dilangsungkan ternyata sistem
tidak dapat diakses sehingga penawaran tidak dapat diterima. Ada kemungkinan pihak-pihak
yang dirugikan karena tidak dapat mengirimkan penawaran, misalnya.
Hilangnya layanan dapat disebabkan oleh berbagai hal, mulai dari benca alam (kebakaran,
banjir, gempa bumi), ke kesalahan sistem (server rusak, disk rusak, jaringan putus), sampai
ke upaya pengrusakan yang dilakukan secara sadar (attack). Pengamanan terhadap ancaman
ini dapat dilakukan dengan menggunakan sistem backup dan menyediakan disaster recovery
center (DRC) yang dilengkapi dengan panduan untuk melakukan pemulihan (disaster
recovery plan).

Non-repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi.
Sebagai contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat
menyangkal bahwa dia telah mengirimkan email tersebut

Authentication
Authentication adalah suatu proses untuk melakukan validasi terhadap user credentials, yang
ditujukan untuk menentukan apakah seorang user diperkenankan untuk mengakses jaringan
atau computing resources. Bentuk authentication yang paling sering kita hadapi adalah saat
kita diharuskan untuk memasukkanuser name dan password. Kedua data tersebut kemudian
dievaluasi untuk menentukan apakah Anda adalah user yang sudah dikenal oleh sistem atau
bukan–verifikasi identitas. Proses authenticationbisa lebih diperkuat dari sekedar
menggunakan user name danpassword sederhana, dengan teknik-teknik yang beragam mulai
dari penggunaan one-way hashes sampai smart cards yang menggunakan teknik-
teknik strong encryption.

Access control
Berguna untuk memastikan seseorang memiliki autorisasi yang sesuai pihak-pihak yang
dapat mengakses informasi atau masuk dalam suatu jaringan hanyalah orang yang memiliki
autorisasi ke dalam jaringan dan bukan pihak lain yang sebenarnya tidak diizinkan untuk
mengakses informasi dalam suatu

1. Interupsi (interuption).
Sumber daya sistem komputer dihancurkan atau menjadi tak tersedia atau tak berguna.
Interupsi merupakan ancaman terhadap ketersediaan.

Contoh serangannya adalah DoS (Denial of Service). Efek yang ditimbulkan diantaranya:
a. Menghabiskan bandwidth, atau sering disebut dengan network flooding.
b. Memungkinkan spoofed originating address.
Tool-tool yang digunakan untuk jenis serangan ini adalah ping broadcast, smurf, synk4,
macof dan berbagai flood utilities. Proteksi yang mungkin dilakukan adalah memfilter paket
yang keluar pada router, tetapi sulit dilakukan jika telah terserang.

2. Intersepsi (interception).
Pihak tak diotorisasi dapat mengakses sumber daya. Intersepsi merupakan ancaman
terhadap kerahasiaan. Pihak tak diotorisasi dapat berupa orang atau program komputer.

Contoh serangannya adalah penyadapan untuk mengambil data rahasia (seperti password),

atau mengetahui file tanpa diotorisasi. Tool-tool yang digunakan untuk jenis serangan ini
adalah tcpdump, ngrep, linux sniffer, dsniff, trojan (BO, Netbus, Subseven). Proteksi yang
mungkin dapat dilakukan adalah segmentasi (segmentation), switced hub, dan promiscuous
detection (anti siniff).

3. Modifikasi (modification).
Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya. Modifikasi
merupakan ancaman terhadap integritas.

Contoh serangannya adalah mengubah nilai-nilai file data, mengubah program sehingga
bertindak secara berbeda, dan memodifikasi pesan-pesan yang ditransmisikan pada jaringan.
Serangan ini biasanya melalui virus, trojan dan berbagai serangan e-mail dan website.
Proteksi yang mungkin dilakukan adalah dengan memasang antivirus, menerapkan filter
pada email server dan memasang pengecek integritas data (integrity checker, contoh tool :
tripwire).

4. Fabrikasi (fabrication).
Pihak tak diotorisasi menyisipkan / memasukkan objek-objek palsu ke sistem. Fabrikasi
merupakan ancaman terhadap integritas.

Contoh serangannya adalah memasukkan pesan-pesan palsu kejaringan,

penambahan record ke file. Serangan tipe ini sering dikombinasikan dengan DoS. Proteksi
yang mungkin dapat dilakukan adalah menerapkan filter pada router untuk paket yang keluar.