Ilmu dan Seni Keamanan Informasi

Slides:



Advertisements
Presentasi serupa
Network Security Toyibatu Lailiya( ) Nurdiah Okvitasari( ) Okie Maria A.( ) Umy Fatmawati( )
Advertisements

Tristyanti Yusnitasari
Praktek-praktek kode etik dalam penggunaan teknologi informasi Etika dan Profesionalisme TSI.
Database Security BY NUR HIDAYA BUKHARI
Computer & Network Security : Information security
Pengenalan Keamanan Jaringan
Ilmu dan Seni Keamanan Informasi Theory and Practice Budi Rahardjo Surabaya, 8 Januari 2005.
KEAMANAN BASISDATA.
PERTEMUAN KE-2 KEAMANAN KOMPUTER
Keamanan Sistem Informasi
KRIPTOLOGI dan PROTEKSI DATA
Keamanan Komputer Pengantar -Aurelio Rahmadian-.
KEAMANAN dan KERAHASIAAN DATA
Pengenalan Keamanan Jaringan
Keamanan dan Kerahasiaan Data
Keamanan Komputer.
KEAMANAN DAN KERAHASIAAN DATA
KEAMANAN & KERAHASIAAN DATA.
Keamanan dan Kerahasiaan Data Klasifikasi Kejahatan Komputer Aspek Dari Security Serangan Terhadap Keamanan Sistem Mendeteksi serangan Mencegah serangan.
Keamanan sistem informasi
Pengantar Keamanan Jaringan
COMPUTER SECURITY DAN PRIVACY
Database Security BY NUR HIDAYA BUKHARI
Database Security BY Andy Dharmalau STMIK SWADHARMA Jakarta Kota 2016.
Keamanan Sistem Informasi.
KEAMANAN SISTEM INFORMASI
Pengantar Keamanan Sistem Komputer
SISTEM KEAMANAN KOMPUTER
Kemanan Sistem Informasi
Keamanan Jaringan Komputer & Kejahatan Internet
Keamanan Jaringan Khairul anwar hafizd
Sistem Keamanan Komputer Pada Perusahaan Online
KEAMANAN dan KERAHASIAAN DATA
Konsep Keamanan Jaringan
e-security: keamanan teknologi informasi
MATA KULIAH SISTEM KEAMANAN PENDAHULUAN
Introduction Security of Networking
SKK: PENGENALAN PADA SISTEM KEAMANAN KOMPUTER
Ilmu dan Seni Keamanan Informasi
KEAMANAN PADA SISTEM TERDISTRIBUSI
Pengantar TI 2015/2016 KEAMANAN KOMPUTER.
Pengantar Keamanan Sistem Komputer
Dewi Anggraini P. Hapsari
ETIKA, GANGGUAN DAN PERANCANGAN SISTEM KEAMANAN KOMPUTER
Internet dan Infrastruktur
KEAMANAN DAN KERAHASIAAN DATA
PERTEMUAN KELIMABELAS
Pengamanan Jaringan Komputer(Informasi)
ANCAMAN & SERANGAN TERHADAP SISTEM INFORMASI.
Keamanan Komputer Dian Rachmawati.
Konsep Keamanan Jaringan dan Kejahatan Internet
Pengenalan Keamanan Jaringan
Network Security Essential
Pengamanan Jaringan Komputer(Informasi)
Keamanan Komputer Komponen Keamanan Komputer X.800 Standar OSI
Keamanan Sistem Informasi
KEAMANAN DAN KERAHASIAAN DATA
PERTEMUAN KELIMABELAS
ANCAMAN & SERANGAN TERHADAP SISTEM INFORMASI.
Pengamanan Jaringan Komputer(Informasi)
UNBAJA (Universitas Banten Jaya)
KEAMANAN PADA SISTEM TERDISTRIBUSI
Transaksi Perbankan Melalui Internet
Bina Sarana Informatika
Tri rahajoeningroem, MT Jurusan Manajemen Informatika UNIKOM
SISTEM KEAMANAN KOMPUTER
KEAMANAN JARINGAN KOMPUTER
Aspek-Aspek Keamanan.
KEAMANAN dan KERAHASIAAN DATA
KEAMANAN PADA SISTEM TERDISTRIBUSI
Transcript presentasi:

Ilmu dan Seni Keamanan Informasi

Informasi = Uang? Informasi memiliki nilai (value) yang dapat dijual belikan Data-data nasabah, mahasiswa Informasi mengenai perbankan, nilai tukar, saham Soal ujian Password, PIN Nilai dari informasi dapat berubah dengan waktu Soal ujian yang sudah diujikan menjadi turun nilainya

Teknologi Informasi Teknologi yang terkait dengan pembuatan, pengolahan, distribusi, penyimpanan dari informasi Menghasilkan produk dan layanan yang sudah kita gunakan sehari-hari sebagai “manusia moderen” Mesin ATM di bank Telepon, handphone, SMS Games, PlayStation, on-line games

Perhatian terhadap keamanan informasi Mulai banyaknya masalah keamanan informasi Virus, worm, trojan horse, spam Hacking & cracking Spyware, keylogger Fraud (orang dalam), penipuan, pencurian kartu kredit Masalah security dianggap sebagai penghambat penerimaan penggunaan infrastruktur teknologi informasi

Cuplikan statistik kejahatan 7 Februari 2000 s/d 9 Februari 2000. Distributed Denial of Service (Ddos) attack terhadap Yahoo, eBay, CNN, Amazon, ZDNet, E-Trade. 2001. Virus SirCam mengirimkan file dari harddisk korban. File rahasia bisa tersebar. Worm Code Red menyerang sistem IIS kemudian melakukan port scanning dan menyusup ke sistem IIS yang ditemukannya. 2004. Kejahatan “phising” (menipu orang melalui email yang seolah-olah datang dari perusahaan resmi [bank misalnya] untuk mendapatkan data-data pribadi seperti nomor PIN internet banking) mulai marak

Contoh kejahatan kartu kredit Berdasarkan laporan terakhir (2004), Indonesia: Nomor #1 dalam persentase (yaitu perbandingan antara transaksi yang baik dan palsu) Nomor #3 dalam volume Akibatnya kartu kredit dan transaksi yang (nomor IP-nya) berasal dari Indonesia secara resmi diblokir di beberapa tempat di Amerika

Ilmu dan Seni Keamanan Informasi Dimulai dari coba-coba. Merupakan sebuah seni. Mulai diformalkan dalam bentuk ilmu. Tidak bisa selamanya mengandalkan kepada coba-coba saja. Harus menggabungkan keduanya. Catatan: Ilmu komputer (computer science) pun muncul melalui jalur ini

Contoh Ilmu Security Kriptografi (cryptography) Enkripsi & dekripsi: DES, AES, RSA, ECC Berbasis matematika Protokol dan jaringan (network & protocols) SSL, SET Sistem dan aplikasi (system & applications) Management, policy & procedures

Security Lifecylce

Klasifikasi Keamanan Sistem Menurut David Icove: Keamanan yang bersifat fisik (physical security). Keamanan yang berhubungan dengan orang (personel). Keamanan dari data dan media serta teknik komunikasi. Keamanan dalam operasi (policy & procedures)

Aspek Dari Security Confidentiality Integrity Availability Ketiga di atas sering disingkat menjadi CIA Ada tambahkan lain Non-repudiation Authentication Access Control Accountability

Confidentiality / Privacy Kerahasiaan data. Data hanya boleh diakses oleh orang yang berwenang Data-data pribadi Data-data bisnis; daftar gaji, data nasabah Sangat sensitif dalam e-commerce dan healthcare Serangan: penyadapan (teknis dengan sniffer / logger, man in the middle attack; non-teknis dengan social engineering) Proteksi: enkripsi

Integrity Informasi tidak boleh berubah (tampered, altered, modified) oleh pihak yang tidak berhak Serangan Pengubahan data oleh orang yang tidak berhak, spoofing Virus yang mengubah berkas Proteksi: Message Authentication Code (MAC), digital signature / certificate, hash functions, logging

Availability Informasi harus tersedia ketika dibutuhkan Serangan Meniadakan layanan (Denial of Service / DoS attack) atau menghambat layanan (server dibuat lambat) Proteksi Backup, redundancy, DRC, BCP, firewall

Non-repudiation Tidak dapat menyangkal (telah melakukan transaksi) Menggunakan digital signature Logging

Authentication Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan what you have (identity card) what you know (password, PIN) what you are (biometric identity) Serangan: identitas palsu, terminal palsu, situs gadungan

Access Control Mekanisme untuk mengatur siapa boleh melakukan apa Membutuhkan adanya klasifikasi data: public, private, confidential, (top)secret Role-based access

Accountability Dapat dipertanggung-jawabkan Melalui mekanisme logging dan audit Adanya kebijakan dan prosedur (policy & procedures)

Tujuan Confidentiality Integrity Avalaibility Dibaca dan diakses oleh yang diberi otoritas Jenis akses meliputi: Mencetak Membaca Bentuk-bentuk lain (membuka suatu objek) Dimodifikasi oleh yang berhak, meliputi: Menulis Mengubah Mengubah status Menghapus Membuat yang baru Confidentiality Tersedia untuk pihak yang berwenang Integrity Avalaibility

Katergori serangan Serangan pasif >> sulit dideteksi Membuka isi file (release of message contents) Informasi rahasia dan sensitif >> mencegah penyerang mempelajari pentransmisian Menganalisis lalu lintas (traffic analysis) Teknik pengiriman dengan enskripsi Serangan aktif >> memodifikasi data / menciptakan aliran yang menyesatkan Penyamaran (masquerade) Suatu entitas berpura-pura sebagai entitas yang berbeda Menangkap yang asli >> dibalas setelah rangkaian asi yang valid diganti Jawaban (replay) Penangkapan secara pasif Mendapatkan efek yang tidak terotorisasi Modifikasi pesan (modification of message contents) Mengubah beberapa bagian yang asli Untuk menghasilkan efek tidak terotorisasi Penolakan layanan (denial of service) Mencegah dari yang normal atau manajemen fasilitas tertentu Memiliki tujuan tertentu Bentuk >> gangguan jaringan dengan cara melumpuhkan jaringan atau memenuhi jaringan sehingga mengurangi kinerjanya

Teori Jenis Serangan Interruption DoS attack, network flooding Interception Password sniffing Modification Virus, trojan horse Fabrication spoffed packets A B A B E A B E A B E

Klasifikasi: Dasar elemen sistem Network security fokus kepada saluran (media) pembawa informasi Application security fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database Computer security fokus kepada keamanan dari komputer (end system), termasuk operating system (OS)

Topologi Lubang Keamanan Network sniffed, attacked ISP System (OS) Network Applications + db Holes Internet Network sniffed, attacked, flooded Network sniffed, attacked Users Web Site Trojan horse Applications (database, Web server) hacked OS hacked Userid, Password, PIN, credit card # www.bank.co.id

Pelaku di bidang Security Information bandit Sekarang masih dipotretkan sebagai jagoan Akan tetapi akan berkurang the disappearance act of information bandits Information security professionals Masih kurang Lebih menyenangkan Keduanya menggunakan tools yang sama Perbedaannya sangat tipis: itikad & pandangan Jangan bercita-cita menjadi bandit!

source: hacking exposed

INDOCISC Audit Checklist evaluating (network) topology penetration testing from outside and inside network evaluating network devices, such as routers, switches, firewalls, IDS, etc. evaluating server(s) evaluating application(s) evaluating policy and procedures

Prinsip-prinsip yang harus diperhatikan didalam merancang sistem keamanan Menurut Saltzer, J & Schroder, M “The Protection of Information in Computer System” Proceeding of the IEEE September 1975 Least privilege program dan user dari sistem harus beroperasi pada level terendah (tidak ada hak istimewa) Economy of mechanisms mekanisme harus sederhana yang holistic tak terpisahkan Acceptability mudah digunakan user Complete mediation yang akses diperiksa kedalam kontrol informasi Open design mekanisme keamanan sistem dapat disebarluaskan, umpan baliknya untuk perbaikan keamanan