MULAI MATERI
Ketentuan Perkuliahan
keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran yang
dapat diukur dengan uang (tangible).
• Perusahan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis
komputer didalam perusahan.
Tujuan
1. integeritas,
2. kelanjutan dan kerahasian dari pengolahan data.
3. Keuntungan dengan meminimalkan resiko harus diimbangi dengan biaya yang
dikeluarkan untuk tujuan pengamanan.
PersonalSistem :
Hardware
• Analis
• Programmer •CPU
• Operator •Printers
• database •Terminal/monitor
• adminstraktor •Routers
• Spesialis jaringan •Switch
• Spesialis PABX.
Software Aplikasi System Software Data
•Sistem Debtors • Operating Sistem • Transfer File
•Creditors • Compilers • Backup File,
•Pengajian • Utilities
•GL • Database system.
•ERP
Penunjang
Fasilitas
• Tapes
• Mebel • CD,DVD,disk pack
• Ruang Kantor • Kertas
• Filing Cabinet • Printer,Tinta Printer
Ancaman
• Ancaman adalah suatu aksi atau kejadian yang dapat merugikan perusahan yang dapat
merugikan perusahan. Ancaman aktif mencakup kecurangan dan kejahatan terhadap komputer
Ancaman pasif mencakup kegagalan sistem, kesalahan manusia, dan bencana alam
1. Hardware : Dikarenakn kerusakan pada byar pet (listrik), kortsleting, disk crashes.
2. Software failure : Dikarenakan oleh kesalahan sistem Operasi, kesalahan program update,tidak
cukup memadainya uji coba program.
3. Kegagalan SDM : Dikarenakan sangat minimnya training atau pelatihan bagi personel.
4. Alam : Dikarenakan faktor cuaca yang tidak normal,Panas, banjir, gas, proyektil, gempa,letusan
gunung
5. Keungan : Biasanya disebabkan oleh tuntutan hukum pihak ketiga, pailit, mogok kerja, hura-
hura
6. Eksternal : Sabotase,sepionase, hura-hura
7. Internal :Dalam bentuk kecurangan, pencurian,kejahatan (virus,membangun malicius software).
Sangat rahasia
Inti utama dari aspek kerahasiaan adalah:
usaha untuk menjaga informasi dari orang-orang yang tidak berhak mengakses.
Privacy lebih kearah data-data yang sifatnya privat.
Serangan terhadap aspek privacy misalnya usaha untuk melakukan penyadapan.Usaha-usaha yang
dapat dilakukan untuk meningkatkan privacy adalah dengan menggunakan teknologi
“KRIPTOGRAFI”.
Konfidentil (Confidential)
Apabila informasi ini disebarluaskan maka ia akan merugikan privasi perpeorangan, merusak
repotasi organisasi
Ristricted
Informasi ini hanya ditujukan kepada orang-orang tertentu untuk menopang bisnis organisasi.
Internal Use
Informasi ini hanya boleh digunakan oelh pegawai perusahan untuk melaksanakan tugasnya.
Public
Informasi ini dapat diperluaskan kepada umum melalui jalur yang resmi.
MULAI MATERI
Kebijakan Keamanan Sistem Informasi
• Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai akhir sistem
informasi
• Untuk menjaga kestabilan sistem informasi : pemisahan secara fungsional antara pengembang
sistem, pengoperasian sistem harian dan pemakai akhir. pihak ICT terutama bagian pengembangan
sistem tidak dibenarkan apabila ia menangani administrasi yang menyangkut keamanan sistem.
• Implementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah ada harus
melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan permintaan perubahan
(change request)
Lanjutan
• Perubahan terhadap sistem informasi hanya melalui prosedur yang berlaku untuk pengembangan dan
implementasi sistem baru.
• Sistem yang akan dikembangkan harus sesuai dengan standart metode pengembangan sistem yang diemban
oleh organisasi
• Sistem yang akan dibangun harus memakai bahasa pemograman yang telah ditetapkan. Tidak dibenarkan
apabila programer membuatnya dengan bermacam-macam bahasa pemograman.Patut dipertimbangkan semua
risiko keamanan beserta penanggulannya di dalam sistem.Sebelum sistem aplikasi diimplementasikan, pemilik
sistem harus mengevaluasi dan menilai keadaan keamanan di dalam aplikasi tersebut.
• Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan memakai kode identiitasnya
(user-ID)
• Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua aktivitas yang dilakukan dengan
ID ini akan terekam di dalam audit-trial. Pemakai tidak dapat memungkiri bukti ini, apabila terjadi kesalahan
fatal yang mengakibatkan kerugian terhadap perusahaan. Kesalahan yang berdampak akan mengakibatkan
peringatan atau pemutusan hubungan kerja terhadap pemilik user-ID ini.
PRINSIP DASAR PERANCANGAN SISTEM YANG AMAN
• LANGKAH-LANGKAH KEAMANAN :
1. Keamanan Fisik Komputer :
• membatasi akses fisik ke mesin :
• Akses masuk ke ruangan computer, penguncian komputer secara hardware, keamanan BIOS,
keamanan Bootloader
back-up data : pemilihan piranti back-up, penjadwalan back-up, mendeteksi gangguan fisik pada saat
computer akan di- reboot,
hal yang perlu diperiksa pada log dengan mencatat
kejanggalan yang ada
• Log pendek atau tidak lengkap, log yang berisikan waktu yang aneh, log dengan permisi
atau kepemilikan yang tidak tepat, catatan pelayanan reboot atau restart, log yang hilang,
masukan atau login dari tempat yang janggal
• mengontrol akses sumber daya dengan tool seperti system security yang dapat mengunci
semua system dari pengaksesan setelah password bios.Tapi masih ada kemungkinan
seseorang mengetahui password untuk mengakses system tersebut.
• Mengunci console dengan menggunakan xlock dan vlock yaitu program kecil untuk
mengunci agar seseorang tidak dapat mengganggu atau melihat kerja yang dilakukan
dengan mengunci tampilan yang membutuhkan password untuk membukanya. xlock dapat
digunakan untuk mengamankan desktop pada saat meninggalkan meja anda, dan vlock
berfungsi untuk mengunci beberapa atau semua console teks yang terbuka.
2. Keamanan lokal
integrity
Availability Confidentiality
ISO 17799
• ISO (the International Organization for Standarization) dan IEC (the International
Electrotechnical Commission) membentuk sistem khusus untuk standardisasi universal. Badan-
badan nasional anggota ISO dan IEC berpartisipasi dalam pengembangan standardisasi
internasional melalui panitia teknis yang disepakati oleh organisasi-organisasi yang terpercaya
keahliannya dalam aktivitas-aktivitas teknis.
• Standar internasional ISO/IEC 17799 dipersiapkan oleh Institut Standar Inggris (dikenal sebagai
BS 7799) dan diadopsi di bawah “prosedur jalur cepat” khusus oleh Panitia Teknis Gabungan
ISO/IEC JTC 1, Teknologi Informasi, secara bersamaan dengan persetujuan dari badan-badan
nasional ISO dan IEC).
• Pada tahun 1994 dalam seminar yang diselenggarakan oleh ISO dan IRAM di Argentina, salah
satu wakil dari ISO mengusulkan bahwa standardisasi dan kualitas harus didasarkan pada
sedikit-dikitnya dua tonggak dasar yaitu etika dan kebudayaan.
ISO 17799 terdiri dari
1. Business Continuity Planning
2. System Control Access
3. System Development dan Maintenance
4. Physical and Environmental Security
5. Compliance
6. Personal Security
7. Security Organization
8. Computer and Network Management
9. Asset Classification and Control
10.Security Policy
JENIS STANDAR / SPESIFIKASI
STANDAR /
SPESIFIKASI
FISIK
DOKUMEN
DOKUMEN
(Gedung, Lab,
KEMAJUAN dll) SISTEM
IPTEK PRODUK
--ISO
SMM9001:
ISO
-SPLN 42-3:1992 2008
9001
DOKUMEN KERAGAMAN/
SISTEM
KOMPATIBILITAS
- SNI 04-6507.1- - SML ISO
PENGUJIAN/
KOMPETENSI
(Gedung, Lab, LULUSAN/
2002
UAS/UTS/SIDANG 14001
LULUSAN
dll) DLL
- DLL
halaman 31 dari 50 - OHSAS,
halaman SMK3, DLL
STANDAR SISTEM MUTU ISO 9000
• ILUSTRASI
P DP D
STANDAR MUTU A CA C
PRODUK TERTENTU ISO
9001
ISO
9001 PERBAIKAN
BERKELANJUTAN
FUNDAMENTALS OF QUALITY MANAGEMENT SYSTEM
PERBAIKAN BERKESINAMBUNGAN
SISTEM MANAJEMEN MUTU PT
M Tanggung jawab
manajemen M
A P K
e e A
H r p
s H
A y
Pengelolaan Ujian, analisis
u
a
sumber daya dan perbaikan a A
S r s
a a S
I t
Output
a
Input n I
S Realisasi
ALUMNI
n S
W LULUSAN
W
A
Kunci: Pertambahan nilai A
Aliran Informasi
Tujuan :
– Memberi informasi kepada karyawan dan pelanggan,
tentang tujuan dan kebijakan manajemen dalam hal mutu.
– Memberi jaminan kepada asesor atau pembaca, bahwa
organisasi telah menerapkan sistem mutu yang sesuai
dengan ISO 9001
Isi :
– Menggambarkan setiap elemen dari ISO 9001 yang
diterapkan dalam perusahaan.
– Penggambaran tersebut tidak perlu sangat detail.
– Secara luas, Pedoman Mutu menyatakan apa yang dilakukan
untuk menjamin mutu produk (barang atau jasa)
Pernyataan Kebijakan Mutu
Menguraikan
Bagaimana kebijakan mutu diketahui dan dimengerti oleh karyawan
Bagaimana kebijakan mutu diterapkan dan dipelihara
P ROSEDUR, I NSTRUKSI K ERJA, R EKAMAN
MAJOR BUSINESS
PROCESS QUALITY MANUAL
(Manual define concept)
PROCESSES
PROCEDURE
(Process to Activities)
ACTIVITIES
WORK INSTRUCTION
(Activities to Tasks)
TASKS
Proses pelayanan Pendidikan
Suppliers
S–P-O
Structure Proses Outcome
Customers
(MAHASISWA)
PK & IK CQI
SMM: SMM:
Kebijakan
Manual
Sistem yang menjamin
Perencanaan kualitas lulusan dan
Sasaran
proses melalui
standardisasi dan
Leadership
perbaikan yang
Management
berkesinambungan
Suppliers
S–P-O Customers
Informasi yang dihasilkan oleh komputer merupakan hal yang penting untuk mensukseskan
bisnis
Teknologi yang baru telah mengubah pola lingkungan bisnis, termasuk ancaman dan serangan
dari luar lingkungan.
Keamanan sistem informasi merupakan kunci keberhasilan untuk menggunakan alat bantu
baik dalam bentuk hardware maupun software dalam berbisnis dan pemerosesan.
Penerapan kebijakan dan standar yang memadai akan menentukan arah keamanan sistem
informasi
Bisnis secara elektronik membutuhkan kepercayaan bisnis
Bisnis perusahan sangat tergantung dengan ICT.
Banyak faktor yang membutuhkan pendekatan secara terintegrasi dan untuk jangka panjang
MULAI MATERI
Assess Risk
Keamanan informasi diperoleh dengan
menginplementasikan bermacam-macam alat
kontrol dan juga kebijakan-kebijakan atau
prosedur-prosedur.
• Langkah awal organisasi harus mempelajari dan
terlebih dahullu harus mengevaluasi semua risiko
yang akan dihadapi dengan komputerisasi pada
perusahan tersebut.
Jenis informasi
Terminologi jenis informasi paling sedikit akan menyangkut :
Tanggung
Perusahaan karyawan
jawab
aset
Secara spesifik, personal yang memiliki kaitan
dengan sistem komputerisasi :
a. Personal yang telah ditunjuk sebagai pemilik sistem
b. Personal lain yang dikatagorikan sebagai pemakai
c. Pengembangan sistem (pimpinan proyek,sistem analisis,programer)
d. Spesialis database
e. Spesialis jaringan komunikasi
f. Spesialis PABX
g. Organisasi data processing (operator)
h. Auditor (EDP)
i. Administrasi sistem keamanan
j. Personal andministrasi
Karyawan
• Karyawan
Tanggung jawab setiap karyawan :
1. Mengetahui secara saar untuk bertindak sesuai dengan peraturan
keamanan yang berlaku.
2. Melaporkan kepada atasan apabila mengetahui kejanggalan-
kejanggalan atau kekurangan dalam hal keamanan.
3. Memasitikan agar semua informasi yang sensitif mengenai
perusahan tidak akan disebarluaskan yang mengakibatkan kerugian
perusahan.
4. Setelah menerima password, mengganti langsung dan secara teratur
sesuai dengan peraturan yang telah ditentukan.
Manajer
Tanggung jawab Manajer :
a. Memastikan bahwa semua karyawan bawahan megetahui tanggung jawab mereka dan peraturan
keamanan sistem yang informasi yang berlaku serta monitor.
b. Memastikan agar staf bagianya memiliki sumber daya dan keahlian yang memadai untuk
melaksanakan untuk melaksanakan tanggung jawab mereka untuk keamanan informasi
c. Memastikan agar karyawan bawahanya mendapatkan akses kesistem sesuai dengan fungsi yang
mereka embang
d. Memastikan pemisahan tugas/pekerjan karyawan
e. Memastikan agar setiap peraonal mengetahui bagaimana cara pengamanan keamanan berfungsi yang
telah diintegrasikan dalam persuder kerja harian
f. Bertindak cepat dan tepat waktu
g. Memastikan agar perusahan tidak tergantung pada satu orang untuk setiap pekerjan utama
Tanggung Jawab Secar Spesifik Keamanan Sistem
Informasi
• Pemilik Sistem
Pemilik sistem adalah mereka yang bertanggung jawab atas kebenaran desain fungsional dari
sistem komputer di perusahaan dan yang memiliki wewenang untuk menentukan penggunanya
• Tanggung Jawab. Pemilik Sistem:
1. Mengetahui nilai dan resiko dari sistem komputer yang digunakan mengklasifikasi sistem tersebut
berdasarkan resikonya sesuai dengan kepekaannya dan mengevaluasi secara berkala.
2. Bertanggung jawab untuk keamanan sistem yang memadai harus merumuskan kebutuhan akan
keamanan sistem informasiyang di kehendaki secara umu berdasarkan kepekaan resiko keamanan
sistem.
3. Mengotorisasi pengaksesan dan penggunaan sistem serta memastikan bahwa penggunaan otoritas
diimplentasikan secara benar.
Pemakai
• Tanggung jawan Pemakai
1. Menggunakan sistem informasi sesuai dengan tanggung jawab
2. Bertanggung jawab atas semua transaksi/tindakan yang dilakukan terhadap sistem dengan
menggunakan User-ID.
3. Mengetahui semua intruksi beserta keamanan dan mematuhinya
4. Laporan kepada atasan
5. Mengganti password secara teratur sesuai dengan peraturan yang telah ditentukan
6. Tidak diperkenakan berbagi password
7. Mengembalikan seluru hak milik perusahaan yang berkaitan dengan data pada saat memutuskan
hubungan kerja.
8. Membuat backup sendiri dari pc.
9. Menyhadari bahwa komputer dikantor hanya boleh digunakan untuk keperluan kantor atau yang
berkaitan dengan pekerjaan dan bukan untuk kebutuhan pribadi
Pengembangan Sistem
Pengembang sistem adalah staf ICT yang
memiliki keahlian dalam bidang designing,
programing,troubleshooting sistem, dan memiliki
tanggung jawab untuk memilih,mengembangkan, dan
memilihara sistem komputer atas nama pemilik
sistem.
Spesialist Database
• Memiliki keahlian yang luas dalam bidang
manajemen database dan memiliki tanggung
jawab untuk memilih, mengembangkan dan
memelihara sistem database atas nama pemilik
sistem.
Spesialisasi jaringan komunikasi
• Staf yang memiliki keahlian mengenai jaringan komunikasi,
LAN, WAN, VSAT, beseta penunjang baik yang berupa
hadware maupun software. dan memiliki tanggung jawab
untuk memilih, mengembangkan dan memelihara jaringan
komunikasi atas nama pemilik sistem.
Spesialisasi PABX
• Staf yang memiliki keahlian
mengenai sistem telepon dan
memiliki tanggung jawab
untuk memilih PABX sesuai
kebutuhan perusahan dan
memeliharanya
Organisasi dan Processing
1. Menjaga dan melaksanakan pemerosesan sistem sesuai dengan syarat
yang diberikan oleh pemilik sistem untuk melskuksn pemonitoran, dan
keamanan.
2. Memindahkan sistem ke production environmen setelah disetujui oeleh
pemilik sitem
3. Memastikan agar wewenang yang diberikan kepada pemakai dapat
dimonitori dengan baik.
4. Log off apabila meninggalkan sistem
Auditor
• Tanggung jawab :
1. Memberikan penilaian dan rekomendasi
2. Melaporkan penemuan
3. Melakukan audit
4. Kontrak yang berkaitan dengan sistem informasi
sudah disetujui oleh unit kerja hukum.
Administrator Sistem Keamanan
• Staf yang memiliki keahlian untuk mengimplementasi dan memelihara
keamanan terhaap sistem informasi yang telah dirumuskan bersama pemilik
sistem dan kepala unit kerja yang terkait.
• Tanggung jjawab:
1. Mentrukturkan keamanan sistem informasi
2. Implementasi dan maintain
3. Administrasi dan memberikan otoritas pengaksesan sistem
4. Pengawasan software leseni asli
• Keamanan pasword administrator
Personal Aministrasi
• Staf yang bertanggung jawab untuk urusan
administrasi berkaitan dengan sistem
informasi.
Tanggung jawab manajemen
• 1. Komitmen manajemen:
– Manajemen puncak harus menyediakan bukti komitmennya untuk mengembangkan dan
melaksanaan SMM secara berkelanjutan, menyempurnakan efektivitasnya dengan:
• mengkomunikasikan pentingnya memenuhi persyaratan pelanggan, perundangan dan peraturan yang
berlaku
• menetapkan kebijakan mutu
• menetapkan sasaran mutu
• melakukan tinjauan manajemen
• Memastikan ketersediaan sumber daya
• 2. Fokus pelanggan:
– Manajemen puncak harus memastikan bahwa persyaratan pelanggan/mahasiswa ditentunkan
dan dipenuhi dengan sasaran meningkatkan kepuasan mahasiswa/pelanggan. (lihat 7.2.1. dan
8.2.1)
Tanggung jawab manajemen
• 3. Kebijakan mutu:
• Manajemen puncak memastikan bahwa kebijakan mutu:
– Sesuai dengan tujuan organisasi
– Memuat komitmen untuk mematuhi persyaratan dan secara berkelanjutan akan
menyempurnakan efektifitas sistem manajemen mutu
– Menyediakan kerangka kerja untuk menetapkan dan menelaah sasaran-sasaran mutu
– Dikomunikasikan dan dipahami oleh semua dosen & karyawan
– Ditelaah untuk kesesuaian berkelanjutan
Tanggung jawab, wewenang, dan
komunikasi
– Tanggung jawab dan wewenang:
• Manajemen puncak harus memastikan bahwa tanggung jawab dan wewenang didefinisikan dan
dikomunikasikan di dalam organisasi
– Wakil manajemen (MR):
• Manajemen pucak harus menunjuk seseorang anggota manajemennya, yang di luar tanggung jawab yang lain
harus mempunyai tanggung jawab dan wewenang meliputi:
– Memastikan bahwa proses yang diperlukan untuk SMM ditetapkan, dilaksanakan dan dipelihara
– Melaporkan pada manajemen puncak mengenai kinerja SMM dan setiap kebutuhan untuk
penyempurnaan
– Memastikan pengembangan kesadaran mengenai persyaratan pelanggan /mahasiswa di dalam
organisasi
– Komunikasi internal:
• Manajemen puncak harus memastikan bahwa proses komunikasi yang sesuai ditetapkan dalam
organisasi dan bahwa komunikasi mengenai efektivitas SMM berlangsung.
6. Telaah manajemen:
– Umum
– Manajemen puncak harus menelaah SMM organisasi, pada interval yang
terencana, untuk memastikan kesesuaian yang berkelanjutan, kecukupan,
dan efektivitas
– Penelaahan harus meliputi penilaian kesempatan untuk penyempurnaan
dan kebutuhan untuk perubahan SMM termasuk kebijakan dan sasaran
mutu
MULAI MATERI
Logikal Scurity dan Kontrol Password
User ID
Password
Access level
Closed menu
User ID
Tujuan untuk mengidentifikasi pemakai yang memiliki otorisasi untuk mengakses sistem
komputer.
• Beberapa informasi yang disimpan dalam User ID
User name
Password
Initial menu
Output queue
Special authorities
Password change date
Access level
Dll
Password
• Berhubungan dengan User ID, untuk membuktikan bahwa
pemilik memiliki wewenang untuk mengakses sistem.
• Akses ke dalam sistem dapat ditolak bila
User ID salah, password benar
User ID benar, password salah
Keduanya salah
Batasan kesalahan, dan pemblokiran
Rekaman file log
Access Level
Commitment Direction
Steering
Committee
Planning Monitoring
• User Group / Tim Pemakai
User Group bertanggung jawab atas
pengimplementasian peraturan (policy) yang telah
diputuskan di steering Committee atau policy yang
telah dibuat sebelumnya. Tes Group/ Tim Uji coba.
• Tim terdiri dari tim pengembang sistem dan
pemakai, tugas utama menguji coba sistem yang baru
dibangun
Pengembangan Sistem
1. Perencanaan Sistem
• Kegiatan yang menyangkut estimasi dari kebutuhan-kebutuhan fisik, tenaga kerja & dana yang
dibutuhkan untuk mendukung pengembangan sistem serta untuk mendukung operasinya setelah
diterapkan. Waktu perencanaan sistem terdiri dari jangka pendek (1-2 tahun) dan jangka panjang
(sampai dengan 5 tahun).
• Proses utama dalam perencanaan sistem :
Merencanakan proyek sistem dilakukan oleh staff perencanaan sistem
Menentukan proyek-proyek sistem dilakukan oleh komite pengarah
Mendefinisikan proyek-proyek sistem dilakukan oleh sistem analis
• Pengembangan Sistem
2. Analisis Sistem
• Tahap yang digunakan oleh analis
sistem untuk menemukan kelemahan-
kelemahan dari sistem yang ada
sehingga dapat diusulkan
perbaikannya.
3. Desain/Perancangan Sistem
• Tahap untuk membentuk sistem yang baru berdasarkan
hasil analisis.
4. Implementasi Sistem
• Tahap untuk memilih perangkat keras dan perangkat lunak yang dibutuhkan dan
meletakkan sistem supaya siap untuk dioperasikan.
• Kegiatan yang dilakukan dalam implementasi :
• Pemilihan dan pelatihan personil
• Pemilihan tempat dan instalasi hardware dan juga software
• Pemrograman dan pengetesan program
• Pengetesan sistem
• Konversi
•
• Manajemen Sistem
Maintenance Sistem
• Tahap setelah pengembangan sistem dilakukan
dan sistem dioperasikan. Disebut sebagai tahap
manajemen sistem karena yang melakukan proses
ini sudah bukan analis sistem tetapi manajemen.
• SDLC yang lebih lengkap dapat dilihat pada
gambar di bawah ini :
MULAI MATERI
Web Server
• Adalah suatu daemon yang berfungsi menerima request
melalui protocol http baik dari local maupun dari internet
• Informasi yang direquest oleh web browser bisa berupa
file yang ada dalam storage atau meminta server untuk
melakukan fungsi tertentu
Cara kerja web browser
1. USER/Netter yang akan mengakses suatu website berupa URL melalui Web browser.
2. Kemudian Web browser tersebut mengirimkan permintaan/ request berupa HTTP REQUEST kepada Web Browser
melalui layer-layer TCP/IP,
3. Kemudian Web Server memberikan WEB FILES yang di-request jika ada.
4. Web Server memberikan respon kembali ke Web Browser melalui HTTP RESPONSE (melalui layer-layer TCP/IP)
5. Kemudian baru di terima oleh Web browser, dan kemudian dikirimkan kepada USER berupa DISPLAY.
Macam Web Server
• IIS (web server untuk html & asp ) bisa jalan di OS Windows
• APACHE webserver (web server untuk html,php,asp,jsp,
dsb).Bisa jalan di OS Windows dan LINUX.
Bentuk Ancaman pada Web
Browser
• Bentuk ancaman keamanan terhadap web browser berhubungan erat dengan
ancaman-ancaman terhadap internet, karena apa saja dapat terjadi ketika
kita menggunakan internet, maka akan berdampak buruk pula pada web
browser yang kita gunakan atau bahkan akan berdampak buruk pula pada
komputer.
• Ancaman tersebut terjadi karena saat ini internet dapat diakses dengan
mudah. Meskipun internet bias dipengaruhi oleh kebijakan pemerintah dan
lembaga-lembaga yang berwenang mengatur lalu lintas internet, tetapi
masyarakat pada umumnya tidak bisa mencegah orang lain untuk
mengganggu pengguna internet lainnya.
• Beberapa ancaman yang mengusik keamanan dari web browser dapat berupa :
1. Hijacking,
2. Session Hijacking,
3. Juggernaut,
4. Hunt,
5. Replay,
6. Spyware,
7. Cookies,
8. Phising,
9. Pharming, Dan Lain-lain
Metode Keamanan pada Web
Browser
• Berbagai macam ancaman memang menjadi gangguan yang
cukup besar bagi para pengguna web browser. Namun
dengan semakin berkembangnya ilmu teknologi, berbagai
macam ancaman tersebut kini sudah dapat diatasi walaupun
perkembangan ancaman-ancaman tersebut masih kian
pesat meningkat.
Beberapa cara untuk mengatasi ancaman-ancaman yang ada pada web browser adalah:
1. Memasang anti spyware pada web browser
2. Menghapus cookies pada web browser
3. Menolak semua cookies untuk masuk
4. Untuk pencegahan phising dan pharming
5. Kenali tanda giveaway yang ada dalam email phising
6. Menginstall software anti phising dan pharming
7. Selalu mengupdate antivirus
8. Menginstall patch keamanan
9. Waspada terhadap email dan pesan instan yang tidak diminta
10. erhati-hati ketika login yang meminta hak administrator, cermati selalu alamat URL yang ada di
address bar
Eksploitasi server WWW
• Tampilan web diubah (deface)dengan eksploitasi skrip /
previledge / OS di server
• Situs yang dideface Informasi bocor(misal laporan keuangan
semestinya hanya dapat diakses oleh orang/ bagian tertentu)
• Digunakan untuk menipu firewall (tunelling ke luar aringan)
• Port 80 digunakan untuk identifikasi server (karena biasanya
dibuka di router/firewall)
Eksploitasi server WWW
•Penyadapan informasi
URLwatch: melihat siapa mengakses apa saja. Masalah privacy SSL memproteksi, namun
tidak semua menggunakan SSL karena komputasi yang tinggi
•DoS attack
Request dalam jumlah yang banyak (bertubi-tubi)
Request yang memblokir (lambat mengirimkan perintah GET)
Membatasi Akses
• Access Control
Hanya IP tertentu yang dapat mengakses server
(konfigurasi web server atau firewall) Via userid & password
(htaccess)
Menggunakan enkripsi untuk menyandikan data-data
htaccess di Apache
Isi berkas “.htaccess”AuthUserFile/home/budi/.passme AuthGroupFile
/dev/null AuthName “
Khusus untuk Tamu Budi”
AuthType Basic
<Limit GET>
require user tamu
</Limit>
Membatasi akses ke user “tamu” dan password Menggunakan perintah
“htpasswd“ untuk membuat password yang disimpan di “.passme”
Secure Socket Layer (SSL)
Langkah awal untuk melindungi sumber-sumber yang sensitif adalah dengan mengkombinasikan beberapa
akses yang telah dibahas. Ada beberapa teknologi keamanan yang paling sering digunakan. Masing-masing
teknologi ini memiliki peran khusus untuk meningkatkan keamanan jaringan anda saat didesain dan
diimplementasikan dalam desain berlapis.
Acaman
Beberapa resiko keamanan jaringan
• Mengakses jaringan atau aplikasi oleh user yang tidak memiliki
wewenang dari terminal sendiri atau dari nodes network yang
lain
• Menggangu atau mengacau pengiriman data yang rahasia
dengan cara mencegat dan memanipulasikanya.
• Kegagalan jaringan atau putus hubungan jaringan.
• Serangan terhadap jaringan merupakan pintu gerbang untuk
menyerang sistem perusahan,dapat dalam bentuk software (malicious
software):
1. Lgical Boom. 6. Bom waktu
2. Virus 7. worm
3. Trajan Horses 8. spyware
4. Intercaption Komunikasi 9.denial of service
5 .Malicious Java/Active C 10. tunneling
Konsep Desain Keamanan
• Keamanan jaringan dapat berdampak buruk dengan adanya
kemungkinan serangan dan ancaman pada jaringan. Beberapa
konsep penting yang harus diperhatikan dalam mendesain
jaringan :
1. Keamanan berlapis
2. Akses control
3. Keamanan peran tertentu
4. Kesadaran pengguna
5. Monitoring
6. Sistem terus diperbaharui
Elemne pembentukan keaman jaringan
Teks-asli heksa :
43 4F 4D 50 55 54 45 52
Teks-asli biner :
xo = 01000011 01001111 01001101 01010000 01011010 01010100
01000101 01010010
STANDAR ENKRIPSI DATA
• Misalkan kunci heksa :
– 13 34 57 79 9B BC DF F1
Kunci biner :
K = 00010011 00110100 01010111 01111001 10011011
10111100 11011111 11110001
Dengan initial permutaion (IP) diperoleh :
x0= IP (x) = L0R0
Dimana
L0 : 11111111 10111000 01110110 01010111
R0 : 00000000 00000000 00000110 10000011
Enkripsi DES 16 putaran
STANDAR ENKRIPSI DATA
• MODE OPERASI DES
• DES dapat dioperasikan dengan mode ECB, CBC, OFC DAN
CFB.
• Namun karena kesederhanaanya, mode ECB lebih sering
digunkaan pada paket program komersial meskipun sangat
rentan terhadap serangan.
• Mode CBC lebih kompleks daripada EBC namun
memberikan tingkat keamanan yang lebih bagus.
• Mode CBC kadang- kadang saja digunakan.
• Mode EBC cocok digunakan untuk blok kode. Diberikan
urutan x1x2 … 64-bit blok teks-asli. Setiap xi adalah enkripsis
dengan kunci K.
• Secara formal initial aturan
STANDAR ENKRIPSI DATA
• Penggunaan mode CBC dapat dilihat pada gambar
dibawah ini :
STANDAR ENKRIPSI DATA
• Pada CFB, dimulai dari y0 = IV (64-bit vektor inisiasi) dan akan dihasilkan
elemen kunci aliran zi dari enkripsi sebelum blok teks-kode, kemudian
• Untuk lebih detailnya dapat dilihat pada gambar dibawah ini :
ADVANCE ENCRYPTION
•
STANDARD (AES)
Advance Encryption Standard (AES) merupakan algoritma kriptografi yang dapat
digunakan untuk mengamankan data.
• Algoritma AES adalah blok ciphertext simetrik yang dapat mengenkripsi dan dekripsi.
• Pada tahun 1997, National Institute of Standard and Technology (NIST) of United States
mengeluarkan Advance Encryption Standard (AES) untuk menggantikan Data Encryption
STANDARD (DES).
• AES ini dibangun dengan maksud untuk mengamankan pemerintahan diberbagai bidang.
• Algoritma AES di design menggunakan blok cipher minimal dari blok 128 bit input dan
mendukung ukuran 3 kunci (3-key-sizes), yaitu 128 bit, dan 256 bit.
METODE ALGORITMA AES
• Algoritma Rijndael kemudian dikenal dengan Advanced Encryption Standard (AES)
kemudian diadopsi menjadi standard algoritma kriptografi secara resmi pada 22 Meil
2002.
• Jenis AES terbagi 3, yaitu :
– AES-128
– AES-192
– AES-256
• Garis besar Algoritma Rijndael yang beroperasi pada blok 128-bit dengan kunci 128-bit
adalah sebagai berikut (diluarproses pembangkitan round key):
1. AddRoundKey : melakukan XOR antara state awal (plainteks) dengan cipher key.
Tahap ini disebut juga initial round.
METODE ALGORITMA AES
2. Putaran sebanyak Nr-1 kali. Proses yang dilakukan pada setiap putaran adalah :
– subBytes : subtitusi byte dengan menggunakan tabel subtitusi (S-box).
– shiftRows : pergeseran baris-baris array state secara wrapping.
– MixColumns : mengacak data dimasing-masing kolom array state.
– AddRoundKey : melakukan XOR antara state sekarang round key.
3. Final Round : proses untuk putaran terkhir.
– SubBytes
– ShiftRows
– AddRoundKey
4. AES memiliki ukuran blok yang tetap sepanjang 128 bit dan ukuran kunci sepanjang 128, 192, atau
256.
5. Berdasarkan ukuran blok yang tetap, AES bekerja pada matriks berukuran 4x4 diaman tiap-tiap sel
matriks terdiri atas 1 byte (8 bit). Sedangkan Rijndael sendiri dapat mempunyai ukuran matriks
yang lebih dari itu dengan menmbahkan kolom sebanyak yang diperlukan.
METODE ALGORITMA AES
• Secara umum metode yang digunakan dalam
pemrosesan enkripsi dalam algoritma ini dapat dilihat
melalui gambar berikut :
METODE ALGORITMA AES
1. ADD ROUND KEY
Add Round Key pada dasarnya adalah mengkombinasikan cipherteks yang sudah ada
dengan cipher key yang cipher key dengan hubunga XOR. Bagannya bisa dilihat pada
gambar :
METODE ALGORITMA AES
2. SUB BYTES
Prinsip dari Sub Bytes adalah menukar ini matriks/tabel yang ada dengan matriks/tabel lain
yang disebut dengan Rijndael S-Box. Dibawah ini adalah contoh Sub Bytes dan Rijndael S-Box.
METODE ALGORITMA AES
• Pada ilustrasi Sub Bytes diatas, disana terdapat nomor kolom dan nomor baris. Tiap isi kotak dari blok cipher berisi
informasi dalam bentuk heksadesimal yamg terdiri dari dua digit, bida angka-angka, bisa huruf, ataupun huruf –
angka yang semuanya tercantum dalam Rijndael S-Box.
• Langkahnya adalah mengambil salah satu kotak matriks, mencocokannya dengan digit kiri sebagai baris dan digit
kanan sebagai kolom. Kemudian dengan mengetahui kolom dan baris, kita dapat mengambil sebuah isi tabel dari
Rijndael S-Box. Lamgkah terkahir adalah mengubah keseluruhan blok cipher menjadi blok yang baru yang isinya
adalah hasil penukaran semua isi blok dengan isi langkah yang disebutkan sebelumnya.
METODE ALGORITMA AES
3. SHIFT ROWS
Shift Rows seperti namanya adalah sebuah proses yang melakukan shift atau
pergeseran pada setiap elemen blok/tabel yang diperlukan per barisnya. Yaitu baris
pertama tidak dilakukan pergeseran, baris kedua dilakukan pergeseran 1 byte, baris
ketiga dilakukan pergeseran 2 byte, dan baris keempat dilaukan pergeseran 3 byte.
– Pergeseran tersebut dilihat dalam sebuag blok adalah sebuah pergeseran tiap
elemen kekiri tergantung berapa byte tergesernya, tiap pergeseran 1 byte berarti
begeser ke kiri sebanyak satu kali
METODE ALGORITMA AES
4. MIX COLUMNS
Yang terjadi saat Mix Columns adalah mengalihkan tiap elemen dari blok cipher dengan
matriks. Pengalian dilakukan seperti perkalian matriks biasa yaitu menggunakan dot
product lalu perkalian keduanya dimasukan kedalam blok cipher baru.
METODE ALGORITMA AES
5. DIAGRAM ALIR AES
seperti yang terlihat semua proses yang telah dijelaskan sebelumnya terdapat pada
diagram tersebut. Yang artinya adalah mulai dari ronde kedua, dilakukan pengulangan
terus menerus dengan rangkaian proses Sub Bytes, Shift Rows, Mix Columns and Add
Round Key, setelah itu dari ronde tersebut akan digunakan pada ronde berikutnya
dengan metode yang sama. Namu pada ronde kesepuluh, proses Mix Columns tidak
dilakukan, dengan kata lain urutan proses yang dilakukan adalah Sub Bytes, Shift Rows,
and Add Round Key, hasil dari Add Round Key ini lah yang dijadikan sebagai cipherteks
dari AES.
• Seperti gambar dihalaman berkutnya :
METODE ALGORITMA AES
IMPLEMENTASI ADVANCED ENCRYPTION
STANDARD
• AES atau Algoritma Rijndael sebagai salah satu algoritma yang penting tentu memiliki
berbagai kegunaan yang sudah diaplikasikan atau diimplementasikan dikehidupan
sehari-hari yang tentu saja membutuhkan suatu perlindungan atau penyembunyian
informasi didalam prosesnya.
• Salah satu contoh penggunaan AES adalah pada kompresi 7-Zip.
• Salah satu proses didalam 7-Zip adalah mengenkripsi isi dari data dengan
menggunakan metode AES-256. Yang kunci nya dihasilkan melalui fungsi Hash.
• Hal yang serupa digunakan pada Winzip sebagai salah satu perangkat lunak yang
digunakan untuk kompresi.
• Metode enkripsi yang ditawarkan adalah menggunakan AES-256, Twofish, atau
Serpent
MULAI MATERI