EVALUASI KEAMANAN SISTEM INFORMASI

I. Sumber lubang keamanan Salah disain Salah konfigurasi Implementasi yang kurang baik Salah menggunakan program / sistem

1. Salah disain TI6B * Algoritma enkripsi Salah mendisain algoritma enkripsi * Urutan nomor dari paket TCP/IP (masalah IP spoofing) sebuah host memalsukan diri menjadi host lain, kemudian membuat paket data palsu dan mengirimkan ke server.

2. Informasi yang kurang baik Out-of-bound array /buffer overflow Data keluar dari batas bound, sehingga membentuk variabel baru. Kealpaan memfilter karakter aneh. Tidak memfilter karakter aneh sehingga data yang terkirim salah.

3. Salah konfigurasi * Writeable : Berubahnya berkas secara tidak sengaja oleh pemakai, misalnya berkas itu adalah password.

4. Salah menggunakan program Kesalahan menggunakan program pada super user. Misalnya: menjalankan perintah C> del *.*

Port Port Perangkat keras Port perangkat lunak

Port perangkat keras. Pintu keluar masuk data dari dalam dan keluar komputer pada fisik. untuk printer : Lpt1, Lpt2 (jenis serial) Com1 dan Com2 (paralel)

Port perangkat lunak Pintu keluar masuk data dari dalam dan keluar komputer pada jaringan. nomor port pada jaringan: dari 1 s.d 4915

Port-port penting pada jaringan Port 80 untuk HTTP/WEB Port 443 untuk SSL

Konsep dasar yang berkaitan dengan keamanan jaringan kebijakan keamanan (Security Policy) Seperangkat aturan pengamanan yang diterapkan pada semua kegiatan sistem komunikasi pada komputer yang dimiliki oleh suatu organisasi.

2. Authorization Adalah bagian dari security policy, berupa pemberian kekuatan secara hukum kepada pengguna / user untuk melakukan segala aktivitas nya.

3. Accountability Adalah kemampuan untuk dapat diakses, dimana bila individu yang berhak ingin mengakses accountnya harus dijamin oleh securiy policy tsb. bahwa ia benar-benar bisa melakukan segala aktivitasnya.

4 a Threat Ancaman yang mungkin timbul, yang dapat membahayakan aset-aset yang berharga, khususnya yang berhubungan dengan confidientality, integrity, availability dan legitimate use yang disebabkan oleh banyak hal seperti: penetrasi atau kejadian yang tidak disengaja misalnya pesan dikirim kealamat yang salah.

5. An Attack Adalah ancaman yang telah terjadi menjadi kenyataan, ada 2 attack, yaitu: 1. Passive attack: misalnya monitoring data traffic 2. Active attack misalnya merusak informasi dgn sengaja.

6. Safeguard Adanya kontrol secara fisik, kemudian ada mekanisme dari kebijaksanaan dan prosedur yang melindungi informasi berharga dari ancaman yang mungkin datang setiap saat.

7. Vulnerabilities Adanya celah-celah keamanan yang bisa tembus oleh karena mudah rusak atau karena serangan, atau bisa juga pada saat pengamanan sedang tidak aktif

8. Risk Adalah perkiraan nilai kerugian yg ditimbulkan oleh kemungkinan ada nya attack yang sukses, makin tinggi Vulnarablenya maka semakin tinggi pula tingkat risknya.

9. Risk Analysis Adalah proses yang menghasilkan suatu keputusan apakah pengeluar an yang dilakukan terhadap safeguard benar-benar bisa menjamin tingkat keamanan yang diinginkan. 4C, 4A Q, TI6B