Aspek keamanan informasi adalah aspek-aspek yang dilingkupi dan melingkupi keamanan
informasi dalam sistem informasi. Aspek-aspek ini adalah:
MODEL CIA
CIA (Confidentiality, Integrity, Availability) atau yang lebih sering disebut CIA Triad
merupakan salah satu aturan dasar dalam menentukan keamanan suatu jaringan atau
informasi. Parameter dalam CIA ini digunakan untuk menentukan apakah suatu jaringan
atau informasi dikatakan aman atau tidak. Akan tetapi hingga saat ini masih terdapat
beberapa perdebatan tentang aturan dasar ini, yakni membandingkan CIA dengan Parkerian
hexad (Confidentiality, Possession or Control, Integrity, Authenticity, Availability and Utility).
Confidentiality
Merupakan aspek dalam keamanan jaringan yang membatasi akses terhadap informasi,
dimana hanya orang-orang yang telah mendapatkan izin yang bisa mengakses informasi
tertentu. Hal ini untuk mencegah bocornya informasi ke orang-orang yang tidak
bertanggung jawab. Seperti yang kita ketahui, pada masa sekarang ini, informasi merupakan
hal yang sangat berharga, contohnya nomor kartu kredit, informasi personal, account bank,
dll. Informasi-informasi seperti itu harus dijaga kerahasiaannya agar tidak bisa digunakan
dengan sembarangan oleh orang lain.
Salah satu komponen penting dalam menjaga confidentiality suatu informasi adalah dengan
enkripsi. Enkripsi bisa digunakan untuk menjamin bahwa hanya orang yang tepat yang bisa
membaca (mendekripsi) informasi yang dikirimkan. Salah satu contoh enkripsi yang cukup
sering digunakan adalah SSL/TLS, suatu protokol security untuk berkomunikasi lewat
internet.
Integrity
Integrity merujuk kepada tingkat kepercayaan terhadap suatu informasi, kepecayaan dalam
hal ini mencakup akurasi dan konsistensi terhadap informasi yang ada. Oleh karena itu perlu
adanya proteksi terhadap suatu informasi dari modifikasi oleh pihak-pihak yang tidak
diizinkan. Mekanisme proteksi integrity dapat dibagi menjadi dua, yakni: mekanisme
priventif (kontrol akses untuk menghalangi terjadinya modifikasi data oleh orang luar) dan
mekanisme detektif, yang berguna untuk mendeteksi modifikasi yang dilakukan orang luar
saat mekanisme priventif gagal melakukan fungsinya.
Availability
Konsep availability dari suatu informasi berarti bahwa informasi tersebut selalu tersedia
ketika dibutuhkan bagi orang-orang yang memiliki izin terhadap informasi tersebut.
Sehingga ketika dibutuhkan oleh user, data/informasi dapat dengan cepat diakses dan
digunakan. Salah satu serangan terhadap availability suatu informasi yang paling dikenal
adalah Distributed Denial of Service (DDoS). Tujuan utama dari DDOS attack adalah untuk
memenuhi resourse yang disediakan untuk user, sehingga user tidak bisa mengakses
informasi yang seharusnya bisa didapatkan. Selain itu, faktor kelalaian manusia dapat juga
mengakibatkan berkurangnya availability dan secara tidak langsung berdampak pada triad
yang lain. Faktor lainnya adalah faktor bencana alam, meskipun jarang terjadi akan tetapi
dampak yang diakibatkan kadang lumayan besar. Salah satu cara untuk menjamin
availability suatu informasi adalah dengan cara backup. Backup yang dilakukan secara
berkala dapat meminimalisir dampak yang ditimbulkan. Sedangkan untuk data-data yang
sifatnya sangat penting, perlu adanya suatu server cadangan atau skema proteksi lainnya
yang menjamin bahwa data-data tersebut akan selalu tersedia meskipun terdapat beberapa
gangguan.
1. Interruption ( Interupsi )
2. Interception ( Pengalihan )
3. Modification ( Pengubahan )
4. Fabrication ( Pemalsuan )
1. Interruption (Interupsi)
Contoh Penyerangannya :
DOS (serangan terhadap sebuah komputer atau server di dalam jaringan internet
dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut
sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar.)
DDOS (jenis serangan Denial of Service(DOS) yang menggunakan banyak host (baik
itu menggunakan komputer yang didedikasikan untuk melakukan penyerangan atau
komputer yang "dipaksa" menjadi zombie) untuk menyerang satu buah host target
dalam sebuah jaringan.)
2. Interception (Pengalihan)
Pengalihan adalah seseorang yang tidak memiliki hak akses, bisa berupa user, program, atau
komputer, menyusup untuk mengakses sistem yang ada. Ini adalah serangan
terhadap terhadap data yang sensitif (confidentiality) suatu jaringan.
Contoh penyerangannya :
Contoh Penyerangannya :
Mengubah tampilan website (defacing), menempelkan Trojan (virus) pada web atau email,
atau pemakai lain yang mengubah informasi tanpa izin, “man in the middle attack” dimana
seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.
4. Fabrication (Pemalsuan)
Pemalsuan adalah seseorang yang tidak memiliki hak akses, memasukkan suatu objek palsu
kedalam sistem yang ada. Serangan ini menyerang keaslian (authentication) suatu informasi.
Contoh Penyerangannya :
Phising Mail (memasukkan pesan-pesan palsu seperti e-mail palsu ke dalam jaringan
komputer.)
Scan
Scan adalah probing dalam jumlah besar menggunakan suatu tool
Account compromise
Meliputi User compromize dan root compromize
Packet Snifer
Adalah sebuah program yang menangkap data dari paket yang lewat di jaringan. (username,
password, dan informasi penting lainnya)
Hacking
Hacking adalah tindakan memperoleh akses ke komputer atau jaringan komputer untuk
mendapatkan atau mengubah informasi tanpa otorisasi yang sah
Denial-of-Service
Serangan Denial-of-service (DoS) mencegah pengguna yang sah dari penggunaan layanan
ketika pelaku mendapatkan akses tanpa izin ke mesin atau data. Ini terjadi karena pelaku
membanjiri jaringan dengan volume data yang besar atau sengaja menghabiskan sumber
daya yang langka atau terbatas, seperti process control blocks atau koneksi jaringan yang
tertunda. Atau mereka mengganggu komponen fisik jaringan atau memanipulasi data yang
sedang dikirimkan, termasuk data terenkripsi.
Phishing
Tindakan pemalsuan terhadap data atau identitas resmi.
Ada tiga macam Computer security yang berkaitan dengan kehidupan sehari-hari antara
lain:
1. Keamanan eksternal / external security
Berkaitan dengan pengamanan fasilitas komputer dari penyusup dan bencana seperti
kebakaran /kebanjiran.
2. Keamanan interface pemakai / user interface security
Berkaitan dengan indentifikasi pemakai sebelum pemakai diijinkan mengakses program dan
data yang disimpan
3. Keamanan internal / internal security
Berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat keras
dan sistem operasi yang menjamin operasi yang handal dan tak terkorupsi untuk
menjaga integritas program dan data.
Dari berbagai macam jenis implementasi computer security ada hal yang perlu untuk
diperhatikan dalam menjaga keamanan komputer. Di bawah ini adalah dua masalah penting
di kehidupan sehari-hari yang harus diperhatikan dalam keamanan komputer:
Bencana
Kesalahan perangkat lunak dan perangkat keras
Kesalahan manusia / human error
Penyusup / intruder
Penyusup bisa dikategorikan kedalam dua jenis:
Penyusup pasif yaitu membaca data yang tidak terotorisasi ( tidak berhak
mengakses)
Penyusup aktif yaitu mengubah susunan sistem data yang tidak terotorisasi.
Selain itu ancaman lain terhadap sistem keamanan komputer bisa dikategorikan dalam
empat macam:
Interupsi / interuption
Sumber daya sistem komputer dihancurkan sehingga tidak berfungsi. Contohnya
penghancuran harddisk atau pemotongan kabel. Ini merupakan ancaman terhadap
ketersediaan.
Intersepsi / interception
Orang yang tak diotorisasi dapat masuk / mengakses ke sumber daya sistem. Contohnya
menyalin file yang terotorisasi. Ini merupakan ancaman terhadap kerahasiaan.
Modifikasi / modification
Orang yang tak diotorisasi tidak hanya dapat mengakses tetapi juga mengubah,merusak
sumber daya. Contohnya mengubah isi pesan, atau mengacak program. Ini merupakan
ancaman terhadap integritas
Fabrikasi / fabrication
Orang yang tak diotorisasi menyisipkan objek palsu ke dalam sistem. Contohnya
memasukkan pesan palsu, menambah data palsu. Dari kategori yang ada diatas dan jika
dikaitkan dalam kehidupan sehari-hari pasti kita akan menemukan masalah dalam
komputer.
Adware
Backdoor Trojan
Bluejacking
Bluesnarfing
Boot Sector Viruses
Browser Hijackers
Chain Letters
Cookies
Denial of Service Attack
Dialers
Document Viruses
Email Viruses
Internet Worms
Mobile Phone Viruses
Jenis Ancaman keamanan komputer
Berikut ini adalah contoh ancaman-ancaman yang sering dilihat:
Virus
Email Virus
Internet Worms
Spam
Trojan Horse
Spyware
Serangan Brute-force