Pengantar Keamanan Sistem-Sistem Informasi Lukito Edi Nugroho
Pendahuluan Relevansi keamanan sistem informasi Informasi memiliki “nilai” (ekonomis, politis) obyek kepemilikan yang harus dijaga Kartu kredit Laporan keuangan perusahaan Dokumen-dokumen rancangan produk baru Dokumen-dokumen rahasia kantor/organisasi/perusahaan Informasi menciptakan “dunia” baru (mis: Internet) membawa beragam dinamika dari dunia nyata Komunikasi digital ( , e-news, …) Aktifitas digital (e-commerce, e-learning, …) Konflik digital (cyber war, …)
Pendahuluan Mengapa sistem informasi rentan terhadap gangguan keamanan Sistem yg dirancang untuk bersifat “terbuka” (mis: Internet) Tidak ada batas fisik dan kontrol terpusat Perkembangan jaringan (internetworking) yang amat cepat Sikap dan pandangan pemakai Aspek keamanan belum banyak dimengerti Menempatkan keamanan sistem pada prioritas rendah Ketrampilan (skill) pengamanan kurang
Skala Insiden – Berdasarkan Impact Skala global Serangan virus/worm global Gangguan akibat “distributed denial of service” (DDoS) – serangan ke satu situs web tertentu, tapi berimbas pada jaringan Internet global Skala lokal Infeksi virus/worm pada sebuah organisasi Crack pada server-server Skala individual Infeksi virus/work pada komputer individu
Solusi untuk Masalah Keamanan Pusat-pusat informasi tentang keamanan CERT Milis-milis tentang keamanan sistem Institusi lainnya: SecurityFocus, Symantec Penggunaan mekanisme deteksi global Pembentukan jaringan tim penanggap insiden di seluruh dunia Peningkatan kesadaran dan ketrampilan tentang masalah keamanan Pendidikan bagi pengguna umum Pelatihan bagi personil teknis (administrator sistem dan jaringan, CIO, CTO)
Konsep-Konsep Keamanan Keamanan sebagai bagian dari sistem QoS Ketersediaan, kehandalan, kepastian operasional, dan keamanan Keamanan bukan konsep yang berdiri sendiri Keamanan: perlindungan thdp obyek-obyek dlm kaitannya dengan kerahasiaan dan integritas Obyek komponen pasif CPU, disk, program, … Subyek komponen aktif pemakai, proses, …
Konsep-Konsep Keamanan Kerahasiaan Melindungi obyek informasi dari pelepasan (release) yg tidak sah Melindungi obyek resource dari akses yg tidak sah Integritas Menjaga obyek agar tetap dapat dipercaya (trustworthy) Melindungi obyek dari modifikasi yang tidak sah
Konsep-Konsep Keamanan Biaya pengamanan sistem Pengertian “aman”: penyusup hrs mengeluarkan usaha, biaya, dan waktu yg besar utk dpt menembus sistem Biaya pengamanan kombinasi banyak faktor yg saling berpengaruh Perlu dicari optimisasi: biaya pengamanan vs potensi kerusakan
Konsep-Konsep Keamanan Kebijakan keamanan Mengatur apa yang diijinkan dan tidak diijinkan dlm operasi normal Mengatur bgmn subyek dapat mengakses obyek Sering bersifat “politis” drpd teknis Harus mencerminkan proteksi thdp sistem secara seimbang, komprehensif, dan cost-effective
Konsep-Konsep Keamanan Kebijakan keamanan (cont.) Proses: analisis ancaman kebijakan keamanan mekanisme pengamanan Analisis ancaman: memperkirakan jenis ancaman dan potensi merusaknya Mekanisme pengamanan: implementasi kebijakan keamanan Kebijakan keamanan harus berfungsi dengan baik sekaligus mudah dipakai Dapat mencegah penyusup pada umumnya Mampu menarik pemakai untuk menggunakannya
Cakupan