MSI
Keamanan Komputer 2
Outline
Confidentiality (kerahasiaan)
Akses terhadap sistem komputer tidak boleh dilakukan
oleh unauthorized parties
Menjaga data dan sumber daya tetap rahasia
Integrity
Aset sistem komputer/informasi data tidak boleh
dimodifikasi oleh unauthorized users
Data integrity (integrity)
Origin integrity (authentication)
Availability
Sistem harus dapat selalu online/ada sehingga dapat
diakses oleh authorized users
METODE
(Unauthorized) Disclosure
Sebuah keadaan atau peristiwa dimana suatu entitas
memperoleh akses ke entitas data yang tidak
berwenang. (Lihat: data confidentiality.).
Tindakan-tindakan ancaman berikut dapat
menyebabkan Pengungkapan Informasi yang tidak sah:
Exposure
Interception
Inference
Intrusion
Classes of Threats
Deception
Sebuah keadaan atau peristiwa yang dapat
menyebabkan suatu entitas yang berwenang menerima
data palsu dan percaya itu benar.
Tindakan-tindakan ancaman berikut dapat
menyebabkan penipuan:
Masquerade
Falsification
Repudiation
Classes of Threats
Disruption
Sebuah keadaan atau peristiwa yang mengganggu atau
mencegah operasi yang benar dari fungsi dan sebuah
sistem layanan dan (Lihat:. Denial of service)
Tindakan-tindakan ancaman berikut dapat menyebabkan
gangguan:
Incapacitation
Corruption
Obstruction
Classes of Threats
Usurpation
Sebuah keadaan atau peristiwa yang mengakibatkan
kontrol layanan atau fungsi sistem oleh entitas yang tidak
sah.
Tindakan-tindakan ancaman berikut dapat menyebabkan
perampasan/pengambil alihan kuasa/kontrol:
Misappropriation
Misuse
Policies and Mechanisms
Prevention (pencegahan)
Detection (pendeteksion)
Recovery (pemulihan)
Goals of Security
Prevention (pencegahan)
mekanisme yang mencegah timbulnya pelanggaran
keamanan
Contoh
membatasi akses secara fisik atas object pada sistem atau
penggunaan akses kontrol berdasarkan enkripsi untuk
mencegah user yang tidak berwenang mengakses objek.
Goals of Security
Detection (pendeteksian) :
Mekanisme pendeteksian keamanan komputer
(detection), digunakan untuk mendeteksi pelanggaran
keamanan.
Contoh
Pengaktifan sistem logging pada sebuah system atau
layanan aplikasi untuk mencatat semua aktifitas dari
user
Goals of Security
Recovery (pemulihan) :
Mekanisme pemulihan (recovery) adalah mekanisme
yang digunakan untuk memperbaiki sistem agar kembali
pada keadaan semula sebelum terjadi pelanggaran
kemanan tersebut
Contoh
System backup secara teratur dan terjadwal serta
pengujian system backup, backup digunakan untuk
melakukan recover jika terjadi kerusakan data/informasi
karena suatu serangan/gangguan
Trust and Assumptions
Mekanisme
Diasumsikan untuk menegakkan kebijakan
Dukungan mekanisme berjalan dengan benar
Assurance
Spesifikasi
analisa persyaratan
Pernyataan fungsi yang diinginkan
Desain
Bagaimana sistem akan memenuhi spesifikasi
Assurance
Implementasi
Program / sistem yang melakukan desain
Uji fungsi vs uji keamanan
Programer tidak memiliki pengetahuan keamanan
Security programming adalah pelatihan dasar
Operational Issues/ Masalah Operasional
Masalah Hukum
Apakah langkah-langkah keamanan yang diinginkan
ilegal?
Orang akan melakukannya?
Masalah administrasi
Sistem administrator biasanya tidak memiliki latar
belakang keamanan
Pengaturan sistem tidak memadai
Human Issues
Masalah organisasi
Kekuasaan dan tanggung jawab
keuntungan finansial
Masalah orang
Orang luar dan orang dalam
Social engineering
Tying Together
Threats
Policy
Specification
Design
Implementation
Operation
Point Kunci
Classes of Threats
(Unauthorized) Disclosure
Tindakan-tindakan ancaman berikut dapat menyebabkan
Pengungkapan Informasi yang tidak sah:
Exposure ?
Interception ?
Inference ?
Intrusion ?
Classes of Threats
Deception
Tindakan-tindakan ancaman berikut dapat menyebabkan
penipuan:
Masquerade ?
Falsification ?
Repudiation ?
Classes of Threats
Disruption
Tindakan-tindakan ancaman berikut dapat menyebabkan
gangguan:
Incapacitation ?
Corruption ?
Obstruction ?
Classes of Threats
Usurpation
Tindakan-tindakan ancaman berikut dapat menyebabkan
perampasan/pengambil alihan kuasa/kontrol:
Misappropriation ?
Misuse ?