KULIAH 1
• CP : 08987036144 / 022-92411742
Perkembangan Peradaban
• Selalu ada potensi gangguan terhadap keamanan,
dengan cara atau teknik yang berkembang sesuai
jaman.
Lack of Security Awarenes
(Rendahnya Kesadaran akan Keamanan)
Menurut Survey Information Week (USA) :
dari 1271 manajer sistem / jaringan, hanya 22%
saja yang menganggap keamanan sistem
informasi sebagai komponen penting.
Manajemen :
“Yang penting nyambung dulu (online),
Masalah keamanan
keamanan belakangan”
“Sekarang belum ada masalah!”
“Balik modalnya (ROI) kapan ?”
Praktisi:
“Pinjam password root / admin, dong”
Siklus Keamanan
http://www.gocsi.com
Data KMPG
• “Tujuh-puluh sembilan persen eksekutif senior terjebak
dalam kesalahan berfikir bahwa ancaman terbesar
terhadap keamanan sistem berasal dari luar (eksternal)”
Manusia (people /
personel security) Biasnya terfokus
pada masalah data,
Data, media, teknik media, teknik
komunikasi komunikasi.
Padahal kebijakan
Kebijakan dan prosedur (policy) sangat
(policy and procedures) penting !
CELAH KEAMANAN
Network sniffed,
ISP attacked
Celah :
1. System (OS)
2. Network
Internet 3. Applications (db)
Network sniffed,
attacked Network sniffed,
attacked
Trojan horse
Userid, Password,
PIN, credit card # www.bank.co.id
- Applications
(database,Web server) hacked
-OS hacked
ELEMEN DASAR KEAMANAN
• Network security
• fokus kepada saluran (media) pembawa informasi
• Application security
• fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah
database
• Computer security
• fokus kepada keamanan dari komputer (end system), termasuk
operating system (OS)
ASPEK KEAMANAN
Aspek utama keamanan ada 3 (CIA) :
• Confidentiality / Privacy
• Integrity
• Availability
Aspek tambahan :
• Non-repudiation
• Authentication
• Access Control
• Accountability
CONFIDENTIALITY
• Kerahasiaan data pribadi. Data hanya boleh diakses
oleh orang yang berwenang
– Data-data pribadi
– Data-data bisnis; daftar gaji, data nasabah /
pelanggan
– Sangat sensitif dalam e-commerce dan healthcare
• Serangan: penyadapan
(teknis dengan sniffer / logger, man in the middle
attack; non-teknis dengan social engineering)
• Proteksi: enkripsi
Electronic Privacy Information Center http://www.epic.org
Electronic Frontier Foundartion http://www.eff.org
INTEGRITY
• Informasi tidak boleh berubah (tampered, altered,
modified) oleh pihak yang tidak berhak
• Serangan
• Pengubahan data oleh orang yang tidak berhak, spoofing
• Virus yang mengubah berkas
• Proteksi:
• Message Authentication Code (MAC), digital signature / certificate,
hash functions, logging
AVAILABILITY
• Informasi harus tersedia ketika dibutuhkan
• Serangan
• Meniadakan layanan (Denial of Service / DoS attack) atau menghambat
layanan (server dibuat lambat)
• Proteksi
• Backup, redundancy, IDS, DRC, BCP, firewall
NON-REPUDIATION
• Tidak dapat menyangkal (telah melakukan transaksi)
• Menggunakan digital signature
• Logging
AUTHENTICATION
• Meyakinkan keaslian data, sumber data, orang yang
mengakses data, server yang digunakan
• what you have (identity card)
• what you know (password, PIN)
• what you are (biometric identity)
• Serangan: identitas palsu, terminal palsu, situs gadungan
ACCESS-CONTROL
• Mekanisme untuk mengatur siapa boleh melakukan apa
• Membutuhkan klasifikasi data:
public, private, confidential, (top)secret
• Akses berdasarkan role
ACCOUNTABILITY
• Dapat dipertanggung-jawabkan
• Melalui mekanisme logging dan audit
• Adanya kebijakan dan prosedur (policy & procedures)