Anda di halaman 1dari 36

SECURITY PART I:

Auditing Operating
System and
Networks
Kelompok 7
Hanna Gabriella
Jason Valencius wijaya
Melia dilasari

1801391255
1801415860
1801449193

Auditing Operating
Systems
Operating System
Suatu program yang mengontrol suatu komputer yang
memberikan izin kepada users dan aplikasinya untuk mengakses
sumber daya yang dimiliki komputer (seperti: prosesor, memori
utama, databases dan printer).

Tujuan dari Operating System :


Menerjemahkan bahasa-bahasa yang sulit (COBOL, C++,
BASIC, SQL) supaya dapat dijalankan oleh komputer.
Mengalokasikan sumber daya komputer ke users, kelompok
kerja, dan aplikasi-aplikasi
Mengelola pekerjaan dengan baik dan multiprogamming

5 Dasar yang harus dimiliki


operating system dalam mencapai
tujuannya :
Operating system harus
users
Operating system harus
users
Operating system harus
dari diri users sendiri
Operating system harus
sendirinya
Operating system harus
lingkungannya

bisa melindungi diri dari


bisa melindungi sesama
bisa melindungi users
bisa terlindungi dengan
bisa terlindungi dari
3

Keamanan Operation
Systems
Operating System Security
Meliputi aturan-aturan, prosedur, dan kontrol yang
menentukan siapa yang bisa mengakses operating
system, sumber daya komputer yang digunakan, dan
aktivitas apa yang bisa mereka lakukan.
Beberapa komponen keamanan yang memastikan bahwa
operating system itu aman, yaitu :
Log-On Procedure
Access Token
Access Control List
Discretionary Acces Privileges

Ancaman terhadap Integritas


Operating Systems
Threats to Operating System Integrity
Ancaman yang dapat terjadi terhadap Integritas Operating
System (disengaja maupun tidak disengaja), yaitu :
Penyalahgunaan Hak Otoritas.
Seorang individu baik itu internal ataupun external yang
menggunakan operating system untuk mengeksploitasi
kelemahan keamanan.
Seorang individu yang sengaja memasukkan virus/program
yang merusak operating system dengan sengaja.

Operating System Control dan


Audit Tests
Pemeriksaan Operating Systems dan beberapa
percobaan pemeriksaan yang bertujuan untuk
mempertahankan operating system dari ancaman.
Mencakup 4 area, yaitu :
Acces Privileges (Controlling Acces Privileges).
Password Control.
Virus Control (Controlling againts Malicious and Destructive
Programs).
Audit Trail Control (Setting Audit Trail Objectives).
6

Auditing Networks
Auditing Networks
Ketergantungan akan jaringan internet yang digunakan
untuk menghubungkan antar proses bisnis
mengakibatkan beberapa pihak yang mendapat akses
yang tidak sah untuk mengakses informasi penting.
Maka dari itu suatu organisasi/perusahaan mengelola
secara terus menerus untuk mencari keseimbangan
diantara meningkatnya akses dan resiko yang terjadi.
Resiko yang terjadi yaitu :
Intranet Risks
Internet Risks

Intranet Risks
Intranet
Suatu jaringan yang di dalamnya mengatur jaringan
LAN(Local Area Network) yang hanya mencakup wilayah
lokal/kecil.

Resiko yang dapat terjadi di dalam


Intranet :
Interception of Network Messages.
Access to Corporate Databases(Pekerja dapat melihat,
menkorup data penting).
Privileged Employess (Penggunaan hak pekerja secara
semena-mena).

Resiko-Resiko Internet
Internet
Suatu jaringan komunikasi global yang terbuka dan
menghubungkan banyaknya jaringan komputer dengan
berbagai tipe dan jenis.

Resiko yang dapat terjadi di dalam


Internet :
IP Spoofing (Masquerading to gain Unauthorized Access)
Denial of Service Attack (DOS)
SYN Flood Attack
Smurf Attack
Distributed Denial of Service

Risks from Equipment Failure

Smurf Attack

10

Distributed Denial of Service


Attack (DOS)

11

Controlling Risks from


Subversive Threats
Beberapa hal yang diperbincangkan untuk mengatur jaringan
yang bertujuan untuk mengatur resiko-resiko, yaitu :

Controlling Risks from Subversive Threats

Message Sequance Numbering


Controlling Firewalls
Message Transaction Log
Controlling Denial of Service Attacks
Request Response Technique
Encryption
Call Back Devices
Digital Signatures
Digital Certificate
12

Controlling Risks from Equipment Failure

Line Errors
Echo Check
Parity Check

Dual Homed Firewall

14

The Advanced Encryption


Standard Technique

15

EE3 Technique and EDE3


Encryption

16

Digital Signature

17

Auditing Electronic
Data(EDI)
Pertukaran antar komputer informasi bisnis
yang dapat diproses dalam format standar.
Tiga fitur penting dari EDI :
1. EDI adalah sebuah upaya antarorganisasi
2. Sistem informasi dari mitra dagang
otomatis memproses transaksi
3. Informasi transaksi ditransmisikan dalam
format standar.

Auditing Electronic
Data(EDI)
A. EDI Standar

Standar di Amerika Serikat adalah American


National Standards Institute ( ANSI ) X format 12 .
Standar yang digunakan secara internasional
adalah EDI for administration, commerce and
transport (EDIFACT) format.

Auditing Electronic
Data(EDI)
B. Manfaat EDI

Data keying
pengurangan kesalahan
Pengurangan kertas
ongkos kirim
prosedur otomatis
pengurangan persediaan

Auditing Electronic
Data(EDI)
Financial EDI

Auditing Electronic
Data(EDI)
C. Kontrol EDI
Masalah dari menggunakan EDI adalah memastikan
transaksi valid dan teratorisasi, untuk menyelesaikan
masalah tersebut, it can be accomplished at three points in
the process:
1. Values Added Network( VAN ) memiliki kemampuan untuk
memvalidasi password dan kode ID pengguna untuk vendor
dengan mencocokkan ini terhadap file pelanggan valid .
2.sebelum dikonversi , perangkat lunak terjemahan
memvalidasi ID mitra dagang dan password terhadap file
validasi dalam database perusahaan Pengolahan
3.Sebelum di proses , perangkat lunak aplikasi mitra dagang
yang merujuk pelanggan dan vendor file yang valid untuk
memvalidasi transaksi .

Auditing Electronic Data(EDI)


D. Kontrol akses
Jejak audit EDI
Tujuan Audit Terkait dengan EDI
Prosedur Audit Berkaitan dengan EDI
Uji Otorisasi dan Kontrol Validasi
Uji Kontrol Akses
Uji kontrol Jejak Audit

Auditing Electronic
Data(EDI)

Sistem Akuntansi Auditing Berbasis


PC
Risiko dan Kontrol PC Sistem

Kelemahan Sistem Operasi


Akses Kontrol lemah
Pemisahan Tugas yang tidak baik
Multilevel Sandi Kontrol
Risiko Pencurian
Prosedur Backup lemah
Risiko Infeksi Virus

Sistem Akuntansi Auditing Berbasis


PC
Tujuan Audit Terkait dengan Keamanan PC
Verifikasi bahwa kontrol berada di tempat untuk
melindungi data , program , dan komputer dari
akses tidak sah .
Pastikan bahwa pengawasan yang memadai dan
prosedur operasi ada untuk mengimbangi kurangnya
pemisahan antara user, programmer dan operator.
Pastikan bahwa sistem ini bebas dari virus
Pastikan backup prosedur sudah lengkap untuk
mencegah kehilangan data

Sistem Akuntansi Auditing Berbasis


PC
Prosedur Audit Terkait dengan Keamanan PC
Auditor harus mengamati bahwa PC sudah di
tempatkan secara benar untuk mengurangi
kesempatan pencurian
Auditor harus meninjau kebijakan organisasi untuk
menggunakan perangkat lunak antivirus .
Auditor harus mengkonfirmasi bahwa laporan
transaksi diproses , daftar rekening diperbarui , dan
kontrol total yang disiapkan , didistribusikan oleh
managemen yang benar.

Sistem Akuntansi Auditing Berbasis


PC

Lampiran Teknologi Internet

Packet Switching
Virtual Private Networks
Extranets
World Wide Web
Internet Address

Protocols
Protocols: peraturan-peraturan dan standard-standard
yang mengatur desain hardware dan software yang
mengizinkan pengguna network, yang telah diproduksi
vendor-vendor berbeda, untuk berkomunikasi dan berbagi
data
Fungsi protocol:
Memfasilitasi koneksi fisik antar network devices
Mensinkronisasi transfer data antar device fisik
Menyediakan dasar untuk pengecekan error dan mengukur
performance network
Mendukung kecocokan (compatibility) antar device-device
network
Mendukung desain network yang fleksibel, dapat
dikembangkan, dan cost-effective

30

Internet Protocols

File Transfer Protocols


Mail Protocols
Security Protocols
Network News transfer Protocol
HTTP and HTTP-NG
HTML

31

Teknologi Intranet
Topologi network:
Local Area Networks (LAN) dan Wide Area
Networks (WAN)
Network Interface Cards
Servers
Star Topology
Hierarchical Topology

32

Topologi Network
Ring Topology
Bus Topology
Client Server Topology

33

Network Control
Tujuan network control:
Membuat sesi komunikasi antara pengirim dan
penerima
Mengatur aliran data di seluruh network
Mendeteksi dan mengatasi tabrakan data (data
collisions) antar node
Mendeteksi error pada data yang dapat menyebabkan
kegagalan

Untuk mengatur sessions dan mencegah data


collision:
Polling
Token passing
Carrier sensing

34

Program Berbahaya dan


Merusak

Virus
Worm
Logic bomb
Back door: memperbolehkan akses yang tidak
terotorisasi untuk masuk tanpa melalui prosedur login
Trojan horse: program yang bertujuan untuk
mendapatkan ID dan password dari user tanpa
sepengetahuan mereka

35

THANK YOU!