EVALUASI KEAMANAN SISTEM INFORMASI

Slides:



Advertisements
Presentasi serupa
SISTEM KEAMANAN JARINGAN (Firewall)
Advertisements

Pertemuan 5-6   Keamanan ecommerce.
Keamanan Sistem e-commerce
Komponen Dan Model Sistem Informasi
Pendahuluan.
Administrasi Data dan Database
KEAMANAN KOMPUTER.
KEAMANAN KOMPUTER.
Pengamanan Situs Web Kelompok II David kadi : Santi Sari : Milson : Putu agus angga: Hepy fanus : Ari Umar F. :
Chapter 12 Applying Cryptography
RESIKO DAN KEAMANAN E-COMMERCE
Aplikasi Teknologi Informasi Dalam Pendidikan
Pertemuan 3 Keamanan Sistem Informasi.
BAB II FIREWALL Ibarat sebuah rumah yang memiliki pagar sebagai pelindungnya, baik dari kayu,tembok beton, kawat berduri ataupun kombinasi.
A TURAN D ALAM B ASIS D ATA 1. Dalam perancangan dan penyusunan Basis Data dikenal dengan adanya beberapa kekangan atau aturan yang harus ditaati dalam.
1 Computer Security Database Security. 2 Computer Security Database Security Apa itu database? kumpulan data yang disimpan dan diatur/ diorganisasikan.
1 Asep Budiman K., MT Pendahulan  Sebelum komputer ada, kriptografi dilakukan dengan algoritma berbasis karakter.  Algoritma yang digunakan.
Zaini, PhD Jurusan Teknik Elektro Universitas Andalas 2012
Gateway Jaringan Komputer
KOMPONEN SISTEM INFORMASI Materi Pertemuan ke-4.
Pertemuan Ke-13. Cybercrime Pencurian kartu kredit Hacking dan Cracking beberapa situs Penyadapan transmisi data dgn cara menyiapkan perintah yang tidak.
Computer & Network Security : Information security
Ancaman Sistem Keamanan Komputer
SERANGAN TERHADAP KRIPTOGRAFI
Keamanan Sistem World Wide Web
INFRASTRUKTUR e-COMMERCE.
Ancaman Keamanan Data.
Pengembangan Sistem Informasi
WISNU HENDRO MARTONO,M.Sc
Keamanan Data.
Assalamu’alaikum Wr.Wb.
Evaluasi Keamanan Sistem Informasi
KEBIJAKAN KEAMANAN DATA
EVALUASI KEAMANAN SISTEM & JARINGAN KOMPUTER
FIREWALL Ibarat sebuah rumah yang memiliki pagar sebagai pelindungnya, baik dari kayu,tembok beton, kawat berduri ataupun kombinasi beberapa jenis pagar.
KEAMANAN KOMPUTER.
YOGIE ALONTARI Tugas 4 Teknologi Informasi & Komunikasi U NIVERSITAS P ASUNDAN B ANDUNG DDoS Case.
Evaluasi Keamanan Sistem Informasi
Keamanan pada e-commerce
Website Security.
INFRASTRUCTURE SECURITY
Pengaman Pada Jaringan Komputer
Evaluasi Keamanan System Informasi
Keamanan Sistem Informasi
SKK: PENGENALAN PADA SISTEM KEAMANAN KOMPUTER
Evaluasi Keamanan Sistem Informasi
Keamanan Sistem Operasi
Evaluasi Keamanan Sistem Informasi
Ihsan Naskah, S.Kom., MT Keamanan Sistem Ihsan Naskah, S.Kom., MT
Keamanan.
Evaluasi Keamanan Sistem Informasi
Internet dan Infrastruktur
EVALUASI KEAMANAN SISTEM INFORMASI
Keamanan Sistem E-Commerce
ANCAMAN & SERANGAN TERHADAP SISTEM INFORMASI.
Keamanan Sistem World Wide Web
Keamanan Pada E-Commerce Pertemuan Ke-12.
PENGANTAR KEAMANAN KOMPUTER
Keamanan Komputer Komponen Keamanan Komputer X.800 Standar OSI
Pengaman Jaringan Agung BP Pertemuan 2.
KEAMANAN PADA APLIKASI WEB DENGAN PHP
ANCAMAN & SERANGAN TERHADAP SISTEM INFORMASI.
Pengamanan dari SCANNER
Bina Sarana Informatika
PENGAMANAN SISTEM PERTEMUAN - 3.
Keamanan Pada E-Commerce Pertemuan Ke-12.
Keamanan Jaringan Komputer. Tujuan Keamanan Jaringan Komputer  Availability / Ketersediaan  Reliability / Kehandalan  Confidentiality / Kerahasiaan.
Faktor Keamanan dalam E-Commerce
Keamanan Sistem Operasi
Aspek-Aspek Keamanan.
Transcript presentasi:

EVALUASI KEAMANAN SISTEM INFORMASI

Pentingnya Evaluasi Lubang keamanan diketemukan hampir setiap hari. Kesalahan konfigurasi bisa terjadi. Penambahan perangkat baru yang mengubah konfigurasi yang sudah ada.

I. Sumber lubang keamanan Salah disain Salah konfigurasi Implementasi yang kurang baik Salah menggunakan program / sistem

1. Salah Disain (design flaw) Umumnya jarang terjadi. Akan tetapi apabila terjadi sangat sulit untuk diperbaiki. Akibat disain yang salah, maka biarpun dia diimplementasikan dengan baik, kelemahan dari sistem akan tetap ada. Contoh : Lemah disainnya algoritma enkripsi ROT13 atau Caesar cipher, dimana karakter digeser 13 huruf atau 3 huruf. Meskipun diimplementasikan dengan programming yang sangat teliti, siapapun yang mengetahui algoritmanya dapat memecahkan enkripsi tersebut. Kesalahan disain urutan nomor (sequence numbering) dari paket TCP/IP. Kesalahan ini dapat dieksploitasi sehingga timbul masalah yang dikenal dengan nama “IP spoofing” (sebuah host memalsukan diri seolah-olah menjadi host lain dengan membuat paket palsu setelah engamati urutan paket dari host yang hendak diserang).

2. Implementasi kurang baik Banyak program yang diimplementasikan secara terburu-buru sehingga kurang cermat dalam pengkodean. Akibat tidak adanya cek atau testing implementasi suatu program yang baru dibuat. Contoh: Tidak memperhatikan batas (“bound”) dari sebuah “array” tidak dicek sehingga terjadi yang disebut out-of-bound array atau buffer overflow yang dapat dieksploitasi (misalnya overwrite ke variable berikutnya). Kealpaan memfilter karakter-karakter yang aneh-aneh yang dimasukkan sebagai input dari sebuah program sehingga sang program dapat mengakses berkas atau informasi yang semestinya tidak boleh diakses.

3. Salah konfigurasi Contoh : Berkas yang semestinya tidak dapat diubah oleh pemakai secara tidak sengaja menjadi “writeable”. Apabila berkas tersebut merupakan berkas yang penting, seperti berkas yang digunakan untuk menyimpan password, maka efeknya menjadi lubang keamanan. Kadangkala sebuah komputer dijual dengan konfigurasi yang sangat lemah. Adanya program yang secara tidak sengaja diset menjadi “setuid root” sehingga ketika dijalankan pemakai memiliki akses seperti super user (root) yang dapat melakukan apa saja.

4. Salah menggunakan program atau sistem Contoh : Kesalahan menggunakan program yang dijalankan dengan menggunakan account root (super user) dapat berakibat fatal.

Penguji keamanan sistem Untuk memudahkan administrator dari sistem informasi membutuhkan “automated tools”, perangkat pembantu otomatis, yang dapat membantu menguji atau meng-evaluasi keamanan sistem yang dikelola

Contoh Tools Pengujian yang dibuat para hacker :

1. Salah disain * Algoritma enkripsi Salah mendisain algoritma enkripsi * Urutan nomor dari paket TCP/IP (masalah IP spoofing) sebuah host memalsukan diri menjadi host lain, kemudian membuat paket data palsu dan mengirimkan ke server.

2. Informasi yang kurang baik Out-of-bound array /buffer overflow Data keluar dari batas bound, sehingga membentuk variabel baru. Kealpaan memfilter karakter aneh. Tidak memfilter karakter aneh sehingga data yang terkirim salah.

3. Salah konfigurasi * Writeable : Berubahnya berkas secara tidak sengaja oleh pemakai, misalnya berkas itu adalah password.

4. Salah menggunakan program Kesalahan menggunakan program pada super user. Misalnya: menjalankan perintah C> del *.*

Port Port Perangkat keras Port perangkat lunak

Port perangkat keras. Pintu keluar masuk data dari dalam dan keluar komputer pada fisik. untuk printer : Lpt1, Lpt2 (jenis serial) Com1 dan Com2 (paralel)

Port perangkat lunak Pintu keluar masuk data dari dalam dan keluar komputer pada jaringan. nomor port pada jaringan: dari 1 s.d 4915

Port-port penting pada jaringan Port 80 untuk HTTP/WEB Port 443 untuk SSL

Konsep dasar yang berkaitan dengan keamanan jaringan kebijakan keamanan (Security Policy) Seperangkat aturan pengamanan yang diterapkan pada semua kegiatan sistem komunikasi pada komputer yang dimiliki oleh suatu organisasi.

2. Authorization Adalah bagian dari security policy, berupa pemberian kekuatan secara hukum kepada pengguna / user untuk melakukan segala aktivitas nya.

3. Accountability Adalah kemampuan untuk dapat diakses, dimana bila individu yang berhak ingin mengakses accountnya harus dijamin oleh securiy policy tsb. bahwa ia benar-benar bisa melakukan segala aktivitasnya.

4 a Threat Ancaman yang mungkin timbul, yang dapat membahayakan aset-aset yang berharga, khususnya yang berhubungan dengan confidientality, integrity, availability dan legitimate use yang disebabkan oleh banyak hal seperti: penetrasi atau kejadian yang tidak disengaja misalnya pesan dikirim kealamat yang salah.

5. An Attack Adalah ancaman yang telah terjadi menjadi kenyataan, ada 2 attack, yaitu: 1. Passive attack: misalnya monitoring data traffic 2. Active attack misalnya merusak informasi dgn sengaja.

6. Safeguard Adanya kontrol secara fisik, kemudian ada mekanisme dari kebijaksanaan dan prosedur yang melindungi informasi berharga dari ancaman yang mungkin datang setiap saat.

7. Vulnerabilities Adanya selah-selah keamanan yang bisa tembus oleh karena mudah rusak atau karena serangan, atau bisa juga pada saat pengamanan sedang tidak aktif

8. Risk Adalah perkiraan nilai kerugian yg ditimbulkan oleh kemungkinan ada nya attack yang sukses, makin tinggi Vulnarablenya maka semakin tinggi pula tingkat risknya.

9. Risk Analysis Adalah proses yang menghasilkan suatu keputusan apakah pengeluar an yang dilakukan terhadap safeguard benar-benar bisa menjamin tingkat keamanan yang diinginkan.