Keamanan Sistem Informasi

Slides:



Advertisements
Presentasi serupa
E-Commerce Oleh : Haryanto.
Advertisements

Network Security Toyibatu Lailiya( ) Nurdiah Okvitasari( ) Okie Maria A.( ) Umy Fatmawati( )
Keamanan Sistem e-commerce
Pengamanan Digital Lukito Edi Nugroho. Transaksi Elektronis Transaction : “an action or activity involving two parties or things that reciprocally affect.
Praktek-praktek kode etik dalam penggunaan teknologi informasi Etika dan Profesionalisme TSI.
RESIKO DAN KEAMANAN E-COMMERCE
Keamanan Sistem E-Commerce
Pengantar Keamanan Sistem-Sistem Informasi Lukito Edi Nugroho.
Teknologi Pengamanan Digital Lukito Edi Nugroho. Transaksi Elektronis Transaction : “an action or activity involving two parties or things that reciprocally.
Database Security BY NUR HIDAYA BUKHARI
Zaini, PhD Jurusan Teknik Elektro Universitas Andalas 2012
Computer & Network Security : Information security
Keamanan sistem informasi
Pengantar Keamanan Sistem Informasi
PENGAMANAN DATA.
Keamanan Sistem Informasi
KRIPTOGRAFI Kriptografi adalah suatu ilmu yang mempelajari
KEAMANAN dan KERAHASIAAN DATA
KELOMPOK FIRDAUS MARINGGA ( ) 2. HARUM AMBARWATI ( ) 3. I GUSTI BAGUS PRAMA ADITYA ( )
MANAJEMEN KEAMANAN SISTEM INFORMASI ksi 1601 / 2 sks
Keamanan Komputer.
KEAMANAN (SECURITY) Basis Data 14.
Keamanan Komputer.
Keamanan Komputer Pertemuan 2.
KEAMANAN & KERAHASIAAN DATA.
Eksploitasi Keamanan Pertemuan XIII.
Mengamankan Sistem Informasi
COMPUTER SECURITY DAN PRIVACY
Database Security BY NUR HIDAYA BUKHARI
E-Commerce Keamanan dan Enkripsi
Keamanan (Security ) Pada Sistem Terdistribusi
PROTEKSI ASET INFORMASI
Keamanan Sistem Informasi.
KEAMANAN SISTEM INFORMASI
Sistem Keamanan Komputer Pada Perusahaan Online
KEAMANAN dan KERAHASIAAN DATA
Konsep Keamanan Jaringan
KEAMANAN DALAM E-COMMERCE
Keamanan Jaringan Pengantar Kuliah
MATA KULIAH SISTEM KEAMANAN PENDAHULUAN
SKK: PENGENALAN PADA SISTEM KEAMANAN KOMPUTER
KEAMANAN PADA SISTEM TERDISTRIBUSI
Pengantar TI 2015/2016 KEAMANAN KOMPUTER.
Dasar-dasar keamanan Sistem Informasi
JENIS-JENIS KRIPTOGRAFI (Bagian 2)
KEAMANAN DALAM E-COMMERCE
Mengamankan Sistem Informasi
Keamanan.
Internet dan Infrastruktur
KRIPTOGRAFI Materi Keamanan Jaringan
Keamanan Sistem E-Commerce
Pengamanan Jaringan Komputer(Informasi)
ANCAMAN & SERANGAN TERHADAP SISTEM INFORMASI.
Keamanan Komputer Dian Rachmawati.
KEGIATAN BELAJAR 3 Tujuan
Network Security Essential
Pengamanan Jaringan Komputer(Informasi)
KEAMANAN (SECURITY) Basis Data 14.
ANCAMAN & SERANGAN TERHADAP SISTEM INFORMASI.
Pengamanan Jaringan Komputer(Informasi)
KEAMANAN PADA SISTEM TERDISTRIBUSI
PengamananWeb browser
Tri rahajoeningroem, MT Jurusan Manajemen Informatika UNIKOM
Keamanan Pada Sistem Terdistribusi Nama Kelompok : 1.M.Ulfi Taufik Nurahman Nurmanudin Syaifuna
KRIPTOGRAFI.
Faktor Keamanan dalam E-Commerce
KEAMANAN JARINGAN KOMPUTER
Aspek-Aspek Keamanan.
KEAMANAN dan KERAHASIAAN DATA
KEAMANAN PADA SISTEM TERDISTRIBUSI
Transcript presentasi:

Keamanan Sistem Informasi

Point Mengapa keamanan sistem penting ? Contoh-contoh gangguan/serangan/ancaman terhadap keamanan sistem informasi Pengamanan sistem Beberapa teknik dan tools untuk mengamankan sistem Keamanan Database

Pentingnya Keamanan Sistem Mengapa keamanan sistem informasi diperlukan ? Teknologi komunikasi modern (mis: Internet) membawa beragam dinamika dari dunia nyata ke dunia virtual Informasi memiliki “nilai” (ekonomis, politis)  obyek kepemilikan yang harus dijaga

Pentingnya Keamanan Sistem Mengapa sistem informasi rentan terhadap gangguan keamanan Sistem yg dirancang untuk bersifat “terbuka” (mis: Internet) Sikap dan pandangan pemakai Ketrampilan (skill) pengamanan kurang

Beberapa Jenis Serangan/Gangguan Serangan untuk mendapatkan akses (access attacks) Serangan untuk melakukan modifikasi (modification attacks) Serangan untuk menghambat penyediaan layanan (denial of service attacks)

Beberapa Cara Melakukan Serangan Sniffing Memanfaatkan metode broadcasting dalam LAN “Membengkokkan” aturan Ethernet, membuat network interface bekerja dalam mode promiscuous Contoh-contoh sniffer: Sniffit, TCP Dump, Linsniffer Mencegah efek negatif sniffing Pendeteksian sniffer (local & remote) Penggunaan kriptografi (mis: ssh sbg pengganti telnet)

Beberapa Cara Melakukan Serangan Spoofing Memperoleh akses dengan acara berpura-pura menjadi seseorang atau sesuatu yang memiliki hak akses yang valid Spoofer mencoba mencari data dari user yang sah agar bisa masuk ke dalam sistem (mis: username & password) Penyerang Server Client Logon Invalid logon Client Logon Logon berhasil Server Pada saat ini, penyerang sudah mendapatkan username & password yang sah untuk bisa masuk ke server

Beberapa Cara Melakukan Serangan Man-in-the-middle Membuat client dan server sama-sama mengira bahwa mereka berkomunikasi dengan pihak yang semestinya (client mengira sedang berhubungan dengan server, demikian pula sebaliknya) Client Man-in-the-middle Server

Beberapa Cara Melakukan Serangan Menebak password Dilakukan secara sistematis dengan teknik brute-force atau dictionary Teknik brute-force: mencoba semua kemungkinan password Teknik dictionary: mencoba dengan koleksi kata-kata yang umum dipakai, atau yang memiliki relasi dengan user yang ditebak (tanggal lahir, nama anak, dsb)

Modification Attacks Biasanya didahului oleh access attack untuk mendapatkan akses Dilakukan untuk mendapatkan keuntungan dari berubahnya informasi Contoh: Pengubahan nilai kuliah Penghapusan data utang di bank Mengubah tampilan situs web

Denial of Service Attacks Berusaha mencegah pemakai yang sah untuk mengakses sebuah sumber daya atau informasi Biasanya ditujukan kepada pihak-pihak yang memiliki pengaruh luas dan kuat (mis: perusahaan besar, tokoh-tokoh politik, dsb) Teknik DoS Mengganggu aplikasi (mis: membuat webserver down) Mengganggu sistem (mis: membuat sistem operasi down) Mengganggu jaringan (mis: dengan TCP SYN flood)

Denial of Service Attacks Contoh: MyDoom worm email (berita dari F-Secure, 28 Januari 2004) http://www.f-secure.com/news/items/news_2004012800.shtml Ditemukan pertama kali 26 Januari 2004 Menginfeksi komputer yang diserangnya. Komputer yang terinfeksi diperintahkan untuk melakukan DoS ke www.sco.com pada tanggal 1 Februari 2004 jam 16:09:18 Pada saat itu, diperkirakan 20-30% dari total lalulintas e-mail di seluruh dunia disebabkan oleh pergerakan worm ini Penyebaran yang cepat disebabkan karena: “Penyamaran” yang baik (tidak terlihat berbahaya bagi user) Penyebaran terjadi saat jam kantor Koleksi alamat email sasaran yang agresif (selain mengambil dari address book di komputer korban, juga membuat alamat email sendiri)

Pengamanan Sistem Informasi Keamanan sistem sebagai satu konsep terpadu

Kriptografi Studi tentang enkripsi dan dekripsi data berdasarkan konsep matematis Meningkatkan keamanan data dengan cara menyamarkan data dalam bentuk yang tidak dapat dibaca enkripsi: data asli  bentuk tersamar dekripsi: data tersamar  data asli Komponen sistem kriptografi: fungsi enkripsi & dekripsi kunci

Kriptografi Simetris Kunci yang sama untuk enkripsi & dekripsi Problem Bagaimana mendistribusikan kunci secara rahasia ? Untuk n orang pemakai, diperlukan n(n-1)/2 kunci  tidak praktis untuk pemakai dalam jumlah banyak data asli cyphertext cyphertext data asli kirim pengirim penerima enkripsi dekripsi

Kriptografi Asimetris Kunci enkripsi tidak sama dengan kunci dekripsi. Kedua kunci dibuat oleh penerima data enkripsi  kunci publik dekripsi  kunci privat data asli cyphertext cyphertext data asli kirim pengirim penerima enkripsi dekripsi kunci publik kunci privat

Kriptografi Hibrid Menggabungkan antara kriptografi simetris dan asimetris  mendapatkan kelebihan kedua metode data asli cyphertext cyphertext data asli kirim pengirim dekripsi penerima enkripsi kirim kunci sesi kunci sesi enkripsi dekripsi kunci publik kunci publik

Infrastruktur Kunci Publik Pengamanan komunikasi data untuk keperluan publik (antar institusi, individu-institusi, individu-individu, dsb) Kebutuhan komunikasi yang aman Heterogenitas pemakai Jaringan komunikasi yang kompleks Komponen infrastruktur kunci publik: Tandatangan digital (digital signature): untuk menjamin keaslian dokumen digital yang dikirim Otoritas Sertifikat (certificate authority): lembaga yang mengeluarkan sertifikat digital sebagai bukti kewenangan untuk melakukan transaksi elektronis tertentu

Infrastruktur Kunci Publik Mengapa diperlukan ? Kasus KlikBCA beberapa tahun yang lalu Ada orang yang meniru persis situs netbanking Bank BCA, dengan URL yang mirip Situs tersebut menerima informasi login dari nasabah BCA (userID dan password) Apa yang terjadi jika informasi login nasabah disalahgunakan ? Semakin banyaknya transaksi elektronis yang memerlukan legalitas secara elektronis juga Dokumen kontrak Perjanjian jual beli

Keamanan Database Data adalah sebuah sumber daya yang bernilai yang harus dikendalikan dan diolah secara ketat, seperti sumber daya perusahaan lainnya Bagian atau keseluruhan dari data perusahaan mungkin memiliki kepentingan strategis maka dari itu perlu untuk dijaga keamanan dan kerahasiannya.

Keamanan Database Merupakan suatu mekanisme yang dirancang untuk menjaga suatu database terhadap ancaman yang disengaja ataupun tidak disengaja Pertimbangan dalam hal keamanan tidak hanya berlaku kepada data yang terdapat di dalam database. Kebocoran keamanan dapat berpengaharuh pada bagian-bagian lain dalam sistem, yang juga berpengaruh buruk pada database.

Keamanan Database Berikut ini adalah beberapa hal yang harus dihindari: Theft and Fraud (Pencurian dan Penipuan) Loss of Confidentiality (kebocoran data-data penting) Loss of Privacy (hilangnya kerahasiaan pribadi) Loss of Integrity (hilangnya keutuhan data) Loss of Availability (tidak tersedianya data)

Keamanan Database Threat (ancaman) Suatu keadaan atau kejadian dimana hal tersebut disengaja atau tidak disengaja, yang pada akhirnya akan mempengaruhi sebuah sistem dan berakibat buruk pada organisasi.

Gambaran Ancaman-ancaman Yang Terdapat Pada Sistem Komputer

Model yang terdapat pada multi-user computer

Hal-hal yang perlu diperhatikan – Kontrol terhadap komputer Berkaitan dengan kendali fisik yang berupa prosedur-prosedur administrasi yang termasuk didalamnya adalah: Authorization Access controls Views Backup and recovery Journaling Integrity Encryption RAID technology