Keamanan Jaringan Komputer Komponen Keamanan Komputer Indra Priyandono
Outline Components of computer security Threats Policies and mechanisms The role of trust Assurance Operational Issues Human Issues
Components of computer security Confidentiality Akses terhadap sistem komputer tidak boleh dilakukan oleh unauthorized parties Menjaga data dan sumber daya tetap rahasia
Integrity Aset sistem komputer/informasi data tidak boleh dimodifikasi oleh unauthorized users Data integrity (integrity) Origin integrity (authentication)
Availability Sistem harus dapat selalu online/ada sehingga dapat diakses oleh authorized users
Classes of Threats (Unauthorized) Disclosure Sebuah keadaan atau peristiwa dimana suatu entitas memperoleh akses ke entitas data yang tidak berwenang. (Lihat: data confidentiality.). Tindakan-tindakan ancaman berikut dapat menyebabkan Pengungkapan Informasi yang tidak sah: Exposure Interception Inference Intrusion (Unauthorized) Disclosure: "(tanpa izin) Pengungkapan Informasi“ http://en.wikipedia.org/wiki/Threat_(computer)
Classes of Threats Deception Sebuah keadaan atau peristiwa yang dapat menyebabkan suatu entitas yang berwenang menerima data palsu dan percaya itu benar. Tindakan-tindakan ancaman berikut dapat menyebabkan penipuan: Masquerade Falsification Repudiation Deception= Penipuan http://en.wikipedia.org/wiki/Threat_(computer)
Classes of Threats Disruption Sebuah keadaan atau peristiwa yang mengganggu atau mencegah operasi yang benar dari fungsi dan sebuah sistem layanan dan (Lihat:. Denial of service) Tindakan-tindakan ancaman berikut dapat menyebabkan gangguan: Incapacitation Corruption Obstruction Disruption = gangguan http://en.wikipedia.org/wiki/Threat_(computer)
Classes of Threats Usurpation Sebuah keadaan atau peristiwa yang mengakibatkan kontrol layanan atau fungsi sistem oleh entitas yang tidak sah. Tindakan-tindakan ancaman berikut dapat menyebabkan perampasan/pengambil alihan kuasa/kontrol: Misappropriation Misuse Usurpation = perampasan/pengambil alihan kuasa/kontrol http://en.wikipedia.org/wiki/Threat_(computer)
Policies and Mechanisms Kebijakan mengatakan apa yang boleh, dan tidak, diperbolehkan, ini mendefinisikan "keamanan." Mekanisme keamanan adalah mekanisme yang digunakan untuk menerapkan aturan-aturan yang telah ditetapkan dalam kebijakan keamanan (security policy).
Goals of Security Prevention (pencegahan) Detection (pendeteksion) Recovery (pemulihan)
Goals of Security Prevention (pencegahan) mekanisme yang mencegah timbulnya pelanggaran keamanan Contoh membatasi akses secara fisik atas object pada sistem atau penggunaan akses kontrol berdasarkan enkripsi untuk mencegah user yang tidak berwenang mengakses objek.
Goals of Security Detection (pendeteksian) : Mekanisme pendeteksian keamanan komputer (detection), digunakan untuk mendeteksi pelanggaran keamanan. Contoh Pengaktifan sistem logging pada sebuah system atau layanan aplikasi untuk mencatat semua aktifitas dari user
Goals of Security Recovery (pemulihan) : Mekanisme pemulihan (recovery) adalah mekanisme yang digunakan untuk memperbaiki sistem agar kembali pada keadaan semula sebelum terjadi pelanggaran kemanan tersebut Contoh System backup secara teratur dan terjadwal serta pengujian system backup, backup digunakan untuk melakukan recover jika terjadi kerusakan data/informasi karena suatu serangan/gangguan
Trust and Assumptions Mendasari semua aspek keamanan Kebijakan Menyatakan sistem pembagian jelas Memberikan persyaratan keamanan dengan benar Mekanisme Diasumsikan untuk menegakkan kebijakan Dukungan mekanisme berjalan dengan benar
Assurance Spesifikasi analisa persyaratan Pernyataan fungsi yang diinginkan Desain Bagaimana sistem akan memenuhi spesifikasi
Assurance Implementasi Program / sistem yang melakukan desain Uji fungsi vs uji keamanan Programer tidak memiliki pengetahuan keamanan Security programming adalah pelatihan dasar
Operational Issues/ Masalah Operasional Analisis manfaat biaya Apakah lebih murah untuk mencegah atau memulihkan? Analisis Risiko Haruskah kita melindungi sesuatu? Dalam hal ini berapa banyak yang harus kita melindungi?
Operational Issues/ Masalah Operasional Masalah Hukum Apakah langkah-langkah keamanan yang diinginkan ilegal? Orang akan melakukannya? Masalah administrasi Sistem administrator biasanya tidak memiliki latar belakang keamanan Pengaturan sistem tidak memadai
Human Issues Masalah organisasi Kekuasaan dan tanggung jawab keuntungan finansial Masalah orang Orang luar dan orang dalam Social engineering
Tying Together Threats Policy Specification Design Implementation Operation
Point Kunci Kebijakan mendefinisikan keamanan, dan mekanisme menegakkan keamanan Confidentiality Integrity Availability Kepercayaan dan mengetahui asumsi Pentingnya jaminan Faktor manusia
Q&A Classes of Threats (Unauthorized) Disclosure Tindakan-tindakan ancaman berikut dapat menyebabkan Pengungkapan Informasi yang tidak sah: Exposure ? Interception ? Inference ? Intrusion ?
Classes of Threats Deception Tindakan-tindakan ancaman berikut dapat menyebabkan penipuan: Masquerade ? Falsification ? Repudiation ?
Classes of Threats Disruption Tindakan-tindakan ancaman berikut dapat menyebabkan gangguan: Incapacitation ? Corruption ? Obstruction ?
Classes of Threats Usurpation Tindakan-tindakan ancaman berikut dapat menyebabkan perampasan/pengambil alihan kuasa/kontrol: Misappropriation ? Misuse ?