Presentasi sedang didownload. Silahkan tunggu

Presentasi sedang didownload. Silahkan tunggu

Keamanan Sistem Teori Keamanan Informasi

Diterbitkan olehFaisal Rais Telah diubah "9 tahun yang lalu

Presentasi serupa

Presentasi berjudul: "Keamanan Sistem Teori Keamanan Informasi"— Transcript presentasi:

1 Keamanan Sistem Teori Keamanan Informasi

2 Latar belakang Perkembangan Teknologi Informasi = 3C
Computer + Communication + Content Information-based society Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi Informasi menjadi komoditi yang sangat penting.

3 Informasi Ragam wujud informasi: Tertulis atau tercetak di atas kertas
Tersimpan secara elektronik Dikirimkan secara elektronik maupun kurir Ditampilkan dalam bentuk film Disampaikan secara lisan maupun terekam Dan sebagainya....

4 ‘Dunia’ kita tidak aman
Tiap minggu ada laporan ttg kejadian break-ins, attack tools baru, vulnerabilities baru

5

6 Vulnerability Vulnerability merupakan suatu kelemahan yang memungkinkan seseorang untuk masuk dan mendapatkan hak akses kedalam komputer yang dituju(target). Biasanya vulnerability adalah kelemahan yang dikarenakan kesalahan setting ataupun ataupun ketidaktahuan administrator.

7 Vulnerability Kelemahan dari perangkat keras, perangkat lunak, atau prosedur yang menyediakan kesempatan bagi penyerang untuk melakukan tindakan yang bisa menimbulkan kerugian. Contoh: software bugs, hardware bugs, radiasi (dari layar, transmisi), tapping, crosstalk, unauthorized users, hardcopy, keteledoran (oversight), storage media, social engineering, dll.

8 Threat Potensi bahaya (ancaman) yang bisa terjadi pada informasi maupun sistem. Bisa disebabkan oleh bencana (disaster), kesalahan sistem (system failure), atau kesalahan manusia (human error)

9 Hacking Kegiatan memasuki sebuah sistem melalui sistem operasional yang lain, yang dijalankan oleh Hacker. Tujuanya untuk mencari hole/bugs pada system yang dimasuki, dalam arti lain mencari titik keamanan system tsb. Bila hacker berhasil masuk pada system itu, maka hacker tidak merusak data yang ada, melainkan hacker akan memperluas kegiatannya di system itu untuk menemukan hal yang lain. Setelahnya hacker akan memberitahu kepada pembuat system/yang punya system, bahwasanya system tersebut mempunyai bugs, hole, scratch dan lain-lain. Ini cara umum yang dipakai oleh perusahaan pembuat software penyedia website untuk mendeteksi produk mereka dari bugs-bugs yang ada, sehingga ada yang legal. Bugs: suatu kesalahan desain pada suatu perangkat keras komputer atau perangkat lunak komputer yang menyebabkan peralatan atau program itu tidak berfungsi semestinya.

10 Cracking, Hijacking, Carding
Cracking: prinsipnya sama dengan hacking, namun tujuannya cenderung tidak baik. Umumnya cracker mempunyai kebiasaan merusak, mengambil data & informasi penting dan hal-hal lainnya yg tidak baik. ringkas kata, kebalikannya dari hacker dan hal ini ilegal. Hijacking: ini juga berprinsip sama dengan cracking, akan tetapi hijacker kebanyakan menggunakan alat bantu software untuk merusak. Tujuannya juga sangat tidak baik, selain mengambil data, informasi dan sabotase, juga mengambil alih system yg di tujunya. Setelahnya merusak sistem tersebut. Carding: sama halnya dengan cracking & hijacking. Carder mencari dan mencuri data account (Credit Card pada umumnya) yg ada di sistem untuk di pakai sendiri/bersama teamnya, dengan menggunakan alat bantu maupun tidak.

11 Virus Virus komputer merupakan program komputer yang dapat menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam program atau dokumen lain. Virus komputer dapat merusak (misalnya dengan merusak data pada dokumen), membuat pengguna komputer merasa terganggu, maupun tidak menimbulkan efek sama sekali. Virus komputer umumnya dapat merusak perangkat lunak komputer dan tidak dapat secara langsung merusak perangkat keras komputer tetapi dapat mengakibatkan kerusakan dengan cara memuat program yang memaksa over process ke perangkat tertentu. Efek negatif virus komputer adalah memperbanyak dirinya sendiri, yang membuat sumber daya pada komputer (seperti penggunaan memori) menjadi berkurang secara signifikan. Hampir 95% virus komputer berbasis sistem operasi Windows.

12 Jenis Virus Worm - Menduplikatkan dirinya sendiri pada harddisk. Ini membuat sumber daya komputer (Harddisk) menjadi penuh akan worm itu. Trojan - Mengambil data pada komputer yang telah terinfeksi dan mengirimkannya pada pembuat trojan itu sendiri. Backdoor - Hampir sama dengan trojan. Namun, Backdoor bisanya menyerupai file yang baik-baik saja. Misalnya game. Spyware - Virus yang memantau komputer yang terinfeksi. Rootkit - Virus yang bekerja menyerupai kerja sistem komputer yang biasa saja. Polymorphic virus - Virus yang gemar beubah-ubah agar tidak dapat terdeteksi.

13 Jenis Virus Rogue - merupakan program yang meniru program antivirus dan menampilkan aktivitas layaknya antivirus normal, dan memberikan peringatan-peringatan palsu tentang adanya virus. Tujuannya adalah agar pengguna membeli dan mengaktivasi program antivirus palsu itu dan mendatangkan uang bagi pembuat virus rogue tersebut. Juga rogue dapat membuka celah keamanan dalam komputer guna mendatangkan virus lain. Metamorphic virus - Virus yang mengubah pengkodeannya sendiri agar lebih sulit dideteksi. Virus ponsel - Virus yang berjalan di telepon seluler, dan dapat menimbulkan berbagai macam efek, mulai dari merusak telepon seluler, mencuri data-data di dalam telepon seluler, sampai membuat panggilan-panggilan diam-diam dan menghabiskan pulsa pengguna telepon seluler.

14 Keamanan & manajemen Seringkali sulit untuk membujuk manajemen perusahaan untuk melakukan investasi di bidang keamanan. Th 1997 majalah Information Week melakukan survey terhadap 1271 system atau network manager di Amerika Serikat. Hanya 22% yang menganggap keamanan sistem informasi sebagai komponen sangat penting (“extremely important”). Mereka lebih mementingkan “reducing cost” dan “improving competitiveness” meskipun perbaikan sistem informasi setelah dirusak justru dapat menelan biaya yang lebih banyak.

15 Keamanan & manajemen (cont’d)
Sistem keamanan harus direncanakan & dianggarkan Tujuan manajemen keamanan informasi adalah untuk menjamin kelangsungan bisnis, mengurangi kerugian bisnis, dan memaksimalkan ROI dan peluang dengan mencegah dan mengurangi pengaruh dari serangan terhadap keamanan

16 Keamanan sistem = intangible?
It’s tangible! Contoh: Hitung kerugian apabila sistem informasi anda tidak bekerja selama 1 jam, 1 hari, 1 minggu, dan 1 bulan. (jika server Amazon.com tidak dapat diakses selama beberapa hari; kerugian ≈ N juta dolar.) Hitung kerugian apabila ada data yang hilang. Berapa biaya yang dibutuhkan untuk rekonstruksi data. Bila sebuah bank terkenal dengan rentannya pengamanan data, sering terjadi security incidents. Bagaimana citra perusahaan?

17 Data CSI/FBI Computer Crime and Security Survey th 2001 (538 responden): 64% mendeteksi adanya “unauthorized use of computer systems” pada 12 bulan terakhir 40% mendeteksi “system penetration,” meskipun 95% memasang firewall dan 61% memiliki IDS 26% mendeteksi “theft of proprietary info,” 18% mendeteksi “sabotage” Kerugian yang dilaporkan oleh 196 responden senilai $ 378 juta $ 151 juta dari “theft of proprietary info” $ 19 juta dari “system penetration”

18 Fakta kerugian sebenarnya?
Tidak diketahui : ada yang sulit dihitung Fenomena gunung es Banyak organisasi yang mengalami security breach tidak ingin diketahui  negative publicity

19 Tujuan organisasi dan regulasi

20 Computer misuse (Penyalahgunaan komputer)
Kategori: ‘pencurian’ sumber daya komputasi gangguan terhadap layanan komputasi penyebarluasan informasi secara tidak sah pengubahan informasi secara tidak sah Pelaku: authorized user  lebih sukar ditangani not authorized user

21 Information-oriented misuse: beberapa hal yang perlu diwaspadai
Kesalahan manusia (human error) Penyalahgunaan otoritas Probing secara langsung Probing dengan malicious software Penetrasi secara langsung Subversi terhadap mekanisme keamanan

22 Resiko the probability that a specific threat will successfully exploit a vulnerability causing a loss Yang berkontribusi terhadap resiko: Asset Vulnerability Threat

23 Asset Hardware Software Dokumentasi Data Komunikasi Lingkungan Manusia
dll.

24 Klasifikasi keamanan (atas dasar lubang keamanan)
Keamanan fisik: akses orang ke gedung, peralatan, media dll; pencurian; DoS; aliran listrik; dll Keamanan personel: identifikasi dan profil resiko; social engineering (manipulasi psikologis dari seseorang dalam melakukan aksi atau menguak suatu informasi rahasia) Keamanan aplikasi, data, dan komunikasi (media dan teknik): program-specific vulnerability, bugs, virus, worm, trojan horse, akses aplikasi dan data, akses ke sumber daya jaringan dll Keamanan operasi: kebijakan, prosedur pengelolaan sistem keamanan, prosedur post-attack-recovery, dll.

25 Aspek/layanan keamanan (1)
Confidentiality (& Privacy) Menjamin informasi yang dikirim tidak dapat dibuka dan tidak dapat diketahui orang yang tidak berhak. Contoh: -saat pengiriman data melewati internet, data yang dikirim akan dirubah dahulu menjadi sandi-sandi yang haya dapat dirubah saat data tersebut sampai pada orang yang dituju. Integrity Menjamin konsistensi dan menjamin data tersebut sesuai dengan aslinya. Sehingga upaya orang-orang yang berusaha merubah data itu akan ketahuan dan percuma. Availability Menjamin pengguna yang valid selalu bisa mengakses informasi dan sumberdaya miliknya sendiri. Untuk memastikan bahwa orang-orang yang memang berhak tidak ditolak untuk mengakses informasi yang memang menjadi haknya.

26 Aspek/layanan keamanan (2)
Authentication Authentication adalah proses dimana seorang user (melalui berbagai macam akses fisik berupa komputer, melalui jaringan, atau melalui remote access) mendapatkan hak akses kepada suatu entity (dalam hal ini jaringan suatu corporate). Seorang user melakukan logon kedalam suatu infrastruckture jaringan dan system mengenali user ID ini dan menerimanya untuk kemudian diberikan akses terhadap resources jaringan sesuai dengan authorisasi yang dia terima. Access control pendekatan keamanan jaringan komputer yang berusaha menyatukan kerja titik akhir komunikasi teknologi keamanan (seperti antivirus dan firewall), pengesahan user atau sistem, dan pelaksanaan keamanan jaringan. Non-repudiation identifikasi yang bersifat individual atau devais yang diakses oleh user yang dikirim melalui jalur komunikasi melalui sebuah rekaman (system log). Rekaman itu akan digunakan sebagai bukti aksesibilitas user sehingga user tidak dapat menyangkal.

27 Confidentiality - Privacy
Menjaga informasi dari orang yang tidak berhak mengakses. Privacy: data-data yang sifatnya privat contoh: seseorang tidak boleh dibaca oleh administrator Confidentiality: data yang diberikan ke pihak lain untuk keperluan tertentu dan hanya diperbolehkan untuk keperluan tertentu tersebut misalnya sebagai bagian dari pendaftaran sebuah servis (kartu kredit, layanan kesehatan dll.) Meningkatkan jaminan privacy/confidentiality  teknik-teknik steganografi, kriptografi, dll.

28 Keamanan negara Kemampuan mengamankan data dan menangkap data merupakan kepentingan negara Privacy vs keamanan negara? Spy vs spy? Penyadapan; key escrow dll

29 Penyadapan internasional
Sumber: IEEE Spectrum April 2003

30

31 Sadap, filter, simpan Sumber: IEEE Spectrum April 2003

32 Integrity Informasi maupun sistem tidak boleh diubah tanpa seijin pemilik informasi atau sistem tersebut  tetap akurat dan lengkap Contoh serangan: Data ( ) ditangkap (intercepted), diubah (tampered), diteruskan (forwarded) ke tujuan Menambahkan virus/trojan ke program yang didistribusikan (kasus: TCP Wrapper) Man-in-the-middle attack Meningkatkan jaminan integrity  kriptografi, hash & digital signature dll

33 Availability Ketika dibutuhkan, pengguna yang berhak akan selalu dapat mengakses informasi dan aset yang berkaitan Contoh serangan: Denial of Service; Distributed DoS Mailbomb

34 Authentication Informasi betul-betul asli
Watermarking & digital signature Orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud What you have (misal: kartu ATM) What you know (misal: PIN, password) What you are (misal: biometrik) Server (mesin) yang kita hubungi adalah betul-betul server (mesin) yang asli Secara umum, peningkatan jaminan authentication  digital certificate

35 Access control Pengaturan akses kepada informasi. Berhubungan dengan:
Klasifikasi data (public, private, confidential, top secret) Klasifikasi dan hak akses user (guest, admin, top manager, dsb.) Mekanisme authentication dan privacy.

36 Non-repudiation Seseorang tidak dapat menyangkal bahwa dia telah mengirimkan suatu data digital Contoh: seseorang yang telah melakukan transaksi dan mengirimkan data pemesanannya via , tidak dapat menyangkal bahwa memang dia yang telah mengirimkan data pemesanan tersebut Sangat penting dalam e-commerce Meningkatkan jaminan non-repudiation  digital signature, certificates, dan teknologi kriptografi; dukungan hukum shg digital signature jelas legal

37 Contoh Digital Certificate: CA=VeriSign site=KlikBCA

38 Contoh (cont’d)

39 Mengamankan Informasi (secara umum)
“Implementing a suitable set of controls” Policies Practices Procedures Organizational structures Software functions

40 Kebijakan Keamanan Mencakup semua aturan yang menjamin perlindungan terhadap aset dan akses informasi Sesuai dengan visi dan misi organisasi Harus ada dukungan dari sisi internal maupun eksternal organisasi

41 Aturan yang mendasari kebijakan keamanan
Kebijakan keamanan harus didukung oleh seluruh komponen organisasi  pengetahuan thd proses bisnis, kanal komunikasi, jenis data yang dibutuhkan dll Daftar semua aset yang harus dilindungi Harus diimplementasikan ke seluruh lapisan organisasi (internal & eksternal)

42 Setelah kebijakan tersusun…
Sosialisasi Penerapan secara konsisten Peninjauan secara berkala untuk mengantisipasi perubahan yang terjadi dalam organisasi maupun hal-hal eksternal yang mempengaruhi operasional bisnis organisasi

43 Panduan menyusun kebijakan
International Standard; ISO/IEC “Information Technology – Code of Practice for Information Security Management” Contoh standar lain: Information Security Forum (ISF), “The Standard of Good Practice for Information Security”

44 Daur hidup keamanan Berhubungan dengan peninjauan kebijakan keamanan
Memberikan petunjuk yang mencakup tingkatan atau tahapan proses pengembangan untuk menjamin keamanan operasional bisnis

45 Gambar daur hidup keamanan

46 1. Assessment Proses penilaian terhadap keamanan sistem
Aktifitas: audit, pengujian, review secara periodik dll Termasuk di dalamnya adalah manajemen resiko

47 2. Design Aktifitas perencanaan konfigurasi keamanan yang sesuai dan efektif untuk diterapkan pada organisasi

48 3. Deployment Implementasi segala sesuatu yang berkaitan dengan rancangan keamanan Berkaitan dengan kebijakan manajemen organisasi untuk menerapkan kebijakan keamanan informasi

49 4. Management Diperlukan untuk menjamin sistem tetap dapat berfungsi dengan baik Berkaitan dengan pengawasan terhadap mekanisme deteksi masalah

50 5. Education Diberikan kepada komponen internal organisasi maupun pihak eksternal yang berkaitan dengan organisasi Diperlukan untuk menjamin keberlangsungan daur hidup keamanan

51 Closing remarks

52 Sistem sudah aman? Sangat sulit mencapai 100% aman
Paradigma attacker dan defender: Defender berupaya mengamankan semua aspek Attacker bisa fokus ke satu titik lemah Contoh: tempest zone vulnerability Ada timbal balik antara keamanan vs. kenyamanan (security vs convenience) Semakin aman, semakin tidak nyaman “complexity is the worst enemy of security” [Bruce Schneier, “Secrets & Lies: Digital Security in a Networked World,”] Keamanan tertinggi dari sebuah sistem berada bagian yang paling lemah.

53 Pengamanan Menyeluruh (holistic approach)

54 “Security is a process, not a product”

55

Download ppt "Keamanan Sistem Teori Keamanan Informasi"

Presentasi serupa

VIRUS DAN ANTIVIRUS OLEH: WEMPI NAVIERA, SAB PKPMSI - 2010.

VIRUS DAN ANTIVIRUS OLEH: WEMPI NAVIERA, SAB PKPMSI
Tristyanti Yusnitasari

Tristyanti Yusnitasari
Praktek-praktek kode etik dalam penggunaan teknologi informasi Etika dan Profesionalisme TSI.

Praktek-praktek kode etik dalam penggunaan teknologi informasi Etika dan Profesionalisme TSI.
RESIKO DAN KEAMANAN E-COMMERCE

RESIKO DAN KEAMANAN E-COMMERCE
Keamanan Sistem E-Commerce

Keamanan Sistem E-Commerce
Database Security BY NUR HIDAYA BUKHARI

Database Security BY NUR HIDAYA BUKHARI
Computer & Network Security : Information security

Computer & Network Security : Information security
Pengenalan Keamanan Jaringan

Pengenalan Keamanan Jaringan
Keamanan Komputer Pengantar -Aurelio Rahmadian-.

Keamanan Komputer Pengantar -Aurelio Rahmadian-.
KEAMANAN dan KERAHASIAAN DATA

KEAMANAN dan KERAHASIAAN DATA
Pengenalan Keamanan Jaringan

Pengenalan Keamanan Jaringan
Keamanan Komputer.

Keamanan Komputer.
KEAMANAN (SECURITY) Basis Data 14.

KEAMANAN (SECURITY) Basis Data 14.
Keamanan Komputer Pertemuan 2.

Keamanan Komputer Pertemuan 2.
KEAMANAN & KERAHASIAAN DATA.

KEAMANAN & KERAHASIAAN DATA.
Keamanan dan Kerahasiaan Data Klasifikasi Kejahatan Komputer Aspek Dari Security Serangan Terhadap Keamanan Sistem Mendeteksi serangan Mencegah serangan.

Keamanan dan Kerahasiaan Data Klasifikasi Kejahatan Komputer Aspek Dari Security Serangan Terhadap Keamanan Sistem Mendeteksi serangan Mencegah serangan.
Keamanan sistem informasi

Keamanan sistem informasi
COMPUTER SECURITY DAN PRIVACY

COMPUTER SECURITY DAN PRIVACY
Perencanaan Pembelajaran

Perencanaan Pembelajaran
Database Security BY NUR HIDAYA BUKHARI

Database Security BY NUR HIDAYA BUKHARI

Presentasi serupa

Iklan oleh Google