Upload presentasi
Presentasi sedang didownload. Silahkan tunggu
1
BAB IX KEAMANAN KOMPUTER
2
Definisi Menurut John D. Howard dalam bukunya “An Analysis of security incidents on the internet” menyatakan bahwa : Keamanan komputer adalah tindakan pencegahan dari serangan pengguna komputer atau pengakses jaringan yang tidak bertanggung jawab. Menurut Gollmann pada tahun 1999 dalam bukunya “Computer Security” menyatakan bahwa : Keamanan komputer adalah berhubungan dengan pencegahan diri dan deteksi terhadap tindakan pengganggu yang tidak dikenali dalam sistem komputer.
3
Definisi Menurut Watne, Donald A and Turney, Peter BB. Auditing EDP, System Security yang artinya : Perlindungan terhadap fasilitas komputer, kesalahan program dan data dari kerusakan oleh resiko lingkungan, kesalahan perangkat lunak, kesalahan manusia atau penyalahgunaan komputer. "Pengantar Teknologi Informasi", Salemba-jkt-2005
4
Tujuan Untuk menyakinkan Ketersediaan (Availabity)
Keutuhan (Integrity) Kerahasian (Confidentiality) Akuntabilitas (Accountablity) Jaminan/Kepastian (Assurance)
5
A. Ketersediaan (Availabity)
Ketersediaan adalah persyaratan untuk menjamin sistem bekerja dengan cepat dan pelayanan tidak ditolak bagi pemakai yang berhak. Tujuan ini melindungi ancaman dari: Yang bermaksud / Kecelakaan melakukan penghapusan data / melakukan hal lain yang mengakibatkan penolakan pelayanan atau data Berusaha memakai sistem atau data untuk tujuan yang tidak diotorisasi.
6
B. Keutuhan (Integrity)
Keutuhan data (data tidak berubah karena akses tidak sah ketika penyimpanan, proses atau ketika pengangkutan/pemidahan) Keutuhan sistem (kualitas sistem ketika melakukan fungsi yang yang diinginkan dalam keadaan tidak terhalang dan bebas dari manipulasi yang tidak sah). Keutuhan merupakan yang penting dalam tujuan keamanan setelah ketersediaan.
7
C. Kerahasian (Confidentiality)
Kerahasiaan adalah persyaratan yang menunjukkan bahwa informasi tidak dibuka oleh orang yang tidak berhak / tidak diotorisasikan
8
D. Akuntabilitas (Accountability)
Ditujukan untuk level perorangan. Akuntabilitas adalah persyaratan aksi entitas yang bisa dilacak secara unik terhadap entitas itu. Menjadi persyaratan kebijakan organisasi dan secara langsung mendukung pencegahan penolakan, isolasi kesalahan, pendeteksian penyusupan, recovery dan tindakan hukum.
9
E.Jaminan/Kepastian (Assurance)
Untuk mamantapkan empat tujuan yang dicapai. Merupakan dasar untuk meyakinkan bahwa ukuran keamanan secara teknik dan operasional bekerja dengan baik dalam melindungi sistem dan pemrosesan informasi. Jaminan merupakan sesuatu yang penting karena tanpa hal ini tujuan tidak akan dicapai.
10
Empat tujuan tersebut akan menemui tujuannya dengan tepat dan spesifik bila;
Fungsionalitas yang ada diterapkan dengan benar. Terdapat perlindungan terhadap kesalahan oleh pemakai atau perangkat lunak. Terdapat penahan untuk penertralisasi atau by-pass yang disengaja.
11
Keterkaitan Tujuan Keamanan Komputer
12
Penjelasan Gambar Kerahasian tergantung pada keutuhan, sehingga jika keutuhan dalam sistem hilang maka tidak ada lagi harapan yang masuk akal bahwa mekanisme kerahasian masih valid. Keutuhan tergantung pada kerahasian sehingga, jika kerahasian hilang atas informasi maka mekanisme keutuhan kemungkinan besar telah ditembus.
13
Semua tujuan itu memiliki hubungan interdepensi dengan suatu jaminan.
Ketersediaan dan Akuntabilitas tergantung pada kerahasian dan keutuhan sehingga Jika kerahasian hilang untuk informasi tertentu, mekanisme yang diterapkan untuk tujuan ini dengan mudah di tembus (by-pass), dan Jika keutuhan hilang, maka kepercayaan dalam validitas mekanisme penerapan pada tujuan itu juga telah hilang. Semua tujuan itu memiliki hubungan interdepensi dengan suatu jaminan.
14
FUNGSI Lingkup kerja keamanan komputer mencakup aspek yang sangat luas, seluas studi komputer yang mencakup semua aspek kerja dalam sebuah organisasi / perusahaan. Keamanan Komputer mencakup atas Keamanan Fisik, Keamanan Hardware, Keamanan Software, Keamanan Jaringan, Keamanan Personel, Hukum dan Etika.
15
Beberapa Fungsi Penting
Mendukung misi organisasi atau perusahaan secara keseluruhan Keamanan komputer adalah bagian integral perhatian manajemen terhadap keseluruhan sistem keamanan. Keamanan komputer harus efektif dari segi biaya. Pertanggungjawab dan kelayakan keamanan komputer harus dibuat dengan tegas Pemilik sistem memiliki tanggungjawab keluar terhadap keamanan komputer dari organisasi yang dimilikinya
16
Keamanan komputer membutuhkan pendekatan komprehensif dan terpadu.
Keamanan komputer harus ditinjau secara periodik Keamanan komputer dibatasi oleh faktor masyarakat/sosial.
17
ANCAMAN Kesalahan dan Penghilangan Penipuan dan Pencurian
Disebabkan oleh para pemakai yang membuat dan mengedit data. Penipuan dan Pencurian Dengan komputer dapat dilakukan oleh orang dalam atau orang luar. Sabotase oleh Karyawan Melakukan kerusakan h/w, fasilitas, penanaman bom logika untuk menghancurkan program/data, dll.
18
Hilangnya Pendukung dan Infrastruktur Fisik
Karena terjadinya gangguan daya listrik, kebakaran, banjir, dll. Malicious Hackers Mengacu pada mereka yang menerobos komputer tanpa otoritas. Spionase Industri Tindakan mengumpulkan data perusahaan swasta / pemerintah untuk kepentingan tertentu.
19
Malicious Code (Kode Jahat)
Mengacu pada virus, cacing, kuda trojan, pengeboman logika, dll perangkat lunak yang “tidak diudang”. Mata-Mata oleh Pemerintah Asing Informasi tentang kebijakan ekonomi, politik dan pertahanan menjadi Barang sensitif dan harus dilindungi. Ancaman terhadap kerahasian Pribadi Terorisme Komputer
20
Berbagai bentuk serangan / Aspek-Aspek Ancaman Keamanan
Aspek-aspek ancaman terhadap keamanan sistem komputer dapat dimodelkan sangat baik dengan memandang fungsi sistem komputer sebagai menyedia informasi. Berdasarkan fungsi ini, ancaman terhadap sistem komputer dikategorikan menjadi empat ancaman, yaitu : Interruption : pencegatan / pengambilan informasi Interception : penyadapan Modification / Tampering / modifikasi / perusakan Fabrication / Pemalsuan
21
Interupsi (Interuption)
Pelaku menghentikan dan merusak/ memanfaatkan informasi Informasi tidak disampaikan pada yang berhak Sumber Tujuan Pelaku
22
Intersepsi (Interception)
Merupakan ancaman terhadap kerahasian (secrecy). Informasi yang disadap atau orang yang tidak berhak mendapatkan akses ke komputer di mana informasi tersebut disimpan. Sumber Tujuan Penyadap
23
Modifikasi (Modification)
Merupakan ancaman terhadap integritas. Orang yang tidak berhak berhasil menyadap lalu lintas informasi yang sedang dikirim dan diubah sesuai keinginan orang tersebut. Sumber Tujuan Perpetrator
24
Fabrikasi (Fabrication)
Merupakan ancaman terhadap integritas. Orang yang tidak berhak berhasil meniru suatu informasi yang ada sehingga orang menerima informasi tersebut menyangka informasi tersebut berasal dari orang yang dikehendaki oleh si penerima informasi. Sumber Tujuan Masquerader: from S
25
Mendeteksi serangan Anomaly Detection (Penyimpangan) Misuse Detection
mengidentifikasi perilaku tak lazim yang terjadi dalm Host atau Network. Misuse Detection Detektor melakukan analisis terhadap aktivitas sistem, mencari event atau set event yang cocok dengan pola Perilaku yang dikenali sebagai serangan. Network Monitoring (sistem pemantau jaringan) untuk mengatahui adanya lubang keamanan, Biasanya dipakai (SNMP) Intrusion Detection System (IDS) Penghambat atas semua serangan yg akan menggangu sebuah jarigan. One_Z Keamana Komputer
26
Mencegah serangan Desain Sistem Aplikasi yang dipakai Manajemen
Desain sistem yg baik tidak meninggalkan lobang2 yg memungkinkan terjadinya penyusupan Aplikasi yang dipakai Aplikasi yg dipakai sudah diperikasa dan apakah sudah dapat dipercaya. Manajemen Pengolahan suatu sistem yg baik menurut standard operating procedure (SOP)
27
MANAJEMEN KEAMANAN KOMPUTER
Keamanan komputer yang baik serta ancaman yang bisa diperkirakan menuntut pengelolaan sistem keamanan dengan cara-cara yang tepat dan efektif. Manajemen keamanan mengelola tiga elemen penting. Sumber Daya Manusia Teknologi Operasi
28
Sumber Daya Manusia Personil dalam organisasi harus memahami ancaman yang diikuti dengan; Pemahaman tentang kebijakan jaminan dan prosedur. Penetapan tugas dan tanggungjawab, Pelatihan untuk user Akuntabilitas individual Dll.
29
Teknologi Memberikan jaminan keamanan dan mendeteksi penyusupan.
Meyakinkan teknologi didapatkan dan diterapkan dengan tepat, organisasi harus menerapkan kebijakan dan proses akuisisi teknologi
30
Operasi Pemeliharaan kebijakan sistem keamanan agar tetap layak dan terbaharui. Sertifikasi dan akreditasi perubahan teknologi informasi. Mengelola postur jaminan keamanan teknologi informasi. Memberikan pelayanan manajemen kunci dan menlindungi infrastruktur yang menguntukan.
31
Melakukan penilaian sistem keamanan untuk menilai kontinuitas “Kesiagaan Keamanan”.
Memonitor dan menghadapi ancaman saat ini. “Merasakan” Serangan, memberikan peringatan dan merespon dengan benar
32
Penyebab Meningkatnya Kejahatan Komputer;
Aplikasi bisnis yang menggunakan teknologi informasi dan jaringan komputer semakin meningkat. Desentralisasi dan distributed server menyebabkan lebih banyak sistem yang harus ditangani. Transisi dari single-vendor ke multi-vendor Meningkatnya kemampuan pemakai di bidang komputer Mudahnya diperoleh software untuk menyerang komputer dan jaringan komputer Perangkat Hukum yang kurang akomodatif Semakin kompleksnya sistem yang digunakan Terjadinya lubang keamanan Semakin Banyak usaha yang memanfaatkan IT terutama berbasis jaringan
33
Lingkup Pengamanan Pengamanan Secara Fisik. Komputer secara fisik adalah wujud komputer yang bisa dilihat dan diraba, seperti monitor, CPU, keybord, dan lain-lain. Pengamanan Akses. Ini dilakukan untuk komputer PC yang menggunakan sistem operasi lagging (penguncian) dan sistem operasi jaringan. Pengamanan Data. Pengamanan data dilakukan dengan menerapkan sistem tingkatan atau hirarki akses di mana seseorang hanya dapat mengakses data tertentu saja yang menjadi haknya. Pengamanan Komunikasi Jaringan. Jaringan di sini berkaitan erat dengan pemanfaatan jaringan baik privat maupun publik seperti internet.
34
Program Perusak/Penggangu
Secara garis besar program yang umumnya merusak atau mengganggu sistem komputer antara lain dapat dikelompokkan seperti Bug, Chameleons, Logic Bomb, Trojan Horse, Virus, Worm dan spy. Prinsip Desain Pengamanan berupa Least Privilege, Economy of Mechanisms, Complete Mediation, Open Design, Separation of Priviledge, Least Common Mechanism, Psychological Acceptability. Sedangkan datangnya ancaman keamanan pada komputer bisa terjadi karena : - serangan dari dalam atau lokal komputer (local attack), karena melakukan akses ke Internet, dan karena adanya serangan haker (Hacker attack).
35
Local Attack Bahaya Berinternet
Local attack atau console hacking adalah usaha rekan kita sendiri untuk mengakses data secara tidak sah. Jadi para penyerang dapat mengakses komputer secara fisik dan berusaha masuk ke dalam penyimpanan data. Apabila komputer kita tidak diproteksi dengan password, maka data yang ada didalamnya dapat dilihat oleh siapa saja. Ada beberapa lapis pengamanan terhadap console hacking misalnya Men-set BIOS password, Men-set screen saver password, Men-set password pada folder, Men-enkripsi dokumen-dokumen penting. Bahaya Berinternet Bahaya sewaktu berinternet sudah dimulai sewaktu kita berselancar dan dapat dibagi atas dua bagian besar: • Remote Controlled Access • Ιnfeksi Digital, misal virus.
36
Menurut Bernstein (et all, 1996) Ancaman terhadap penggunaan Internet dapat datang dari jaringan Internet maupun dari lingkungan dalam (internal). Beberapa jenis ancaman yang dapat diproteksi ketika komputer terhubung ke jaringan, dapat dikelompokkan menjadi katagori sebagai berikut: Menguping (eavesdropping). Menyamar (masquerade). Pengulangan (reply). Manipulasi data (data manipulation). Kesalahan penyampaian (misrouting). Pintu jebakan atau Kuda Troyan (trapdoor). Virus (viruses). Pengingkaran (repudiation). Penolakan Pelayanan (denial of service).
37
Hacker Attack Hacker menurut Eric Raymond di definisikan sebagai programmer yang pandai. Sebuah hack yang baik adalah solusi yang cantik kepada masalah programming dan "hacking" adalah proses pembuatan-nya. Menurut Raymond ada lima (5) karakteristik yang menandakan seseorang adalah hacker, yaitu: · Seseorang yang suka belajar detail dari bahasa pemrograman atau system. · Seseorang yang melakukan pemrograman tidak cuma berteori saja. · Seseorang yang bisa menghargai, menikmati hasil hacking orang lain. · Seseorang yang dapat secara cepat belajar pemrogramman. · Seseorang yang ahli dalam bahasa pemrograman tertentu atau sistem tertentu, seperti "UNIX hacker".
38
Yang masih berhubungan dengan Hacker yaitu Cracker
Yang masih berhubungan dengan Hacker yaitu Cracker. Cracker adalah seseorang yang masuk ke sistem orang lain, biasanya di jaringan komputer, membypass password atau lisensi program komputer, atau secara sengaja melawan keamanan komputer. Cracker dapat mengerjakan hal ini untuk keuntungan, maksud jahat, atau karena sebab lainnya karena ada tantangan. Beberapa proses pembobolan dilakukan untuk menunjukan kelemahan keamanan sistem.
39
Cara Kerja Hacker Gambaran tentang keseluruhan proses hacking, di bawah ini disajikan langkah-langkah logisnya, yaitu : 1. Footprinting. 2. Scanning. 3. Enumeration. 4. Gaining Access. 5. Escalating Privilege. 6. Pilfering. 7. Covering Tracks. 8. Creating Backdoors. 9. Denial of Service.
40
Langkah Mengamankan Serangan Haker
Secara umum ada enam (6) langkah besar yang mungkin bisa digunakan untuk mengamankan jaringan dan sistem komputer dari serangan hacker, yaitu : Membuat Komite Pengarah Keamanan. Mengumpulkan Informasi Memperhitungkan Resiko Membuat Solusi Implementasi & Edukasi / Pendidikan. Terus Menerus Menganalisa, dan Meresponds.
41
Carder Istilah carder cenderung kurang popular dibanding hacker dan cracker. Carder merupakan istilah yang digunakan untuk kejahatan kartu kredit yang dilakukan lewat transaksi online. Ada sebagian orang yang menyatakan bahwa berlebihan jika carder ini disejajarkan dengan hacker dan cracker.
42
Sistem keamanan yang berkaitan dengan masalah keuangan dan E-Commerce seperti:
Data keuangan dapat dicuri atau dirubah oleh intruder atau hacker. Dana atau kas disalahgunakan oleh petugas yang memegangnya Pemalsuan uang Seseorang dapat berpura – pura sebagai orang lain dan melakukan transaksi keuangan atas nama orang lain tersebut.
43
Enkripsi Enkripsi merupakan aspek yang sangat penting dalam komunikasi data melalui komputer, sehingga kerahasiaan data tetap terjamin. Enkripsi adalah sebuah proses yang mengubah suatu data menjadi kode yang tidak bisa dimengerti (tidak terbaca).
44
Cara Kerja Enkripsi Cara Kerja Enkripsi
Enkripsi digunakan untuk menyandikan data-data atau informasi sehingga tidak dapat dibaca oleh orang yang tidak berhak. Dengan enkripsi, data kita disandikan (encrypted) dengan menggunakan sebuah kunci (key). Untuk membuka (men-decrypt) data tersebut, juga digunakan sebuah kunci yang dapat sama dengan kunci untuk mengenkripsi (privat key) atau dengan kunci yang berbeda (Public Key).
45
Keamanan dari enkripsi bergantung pada beberapa faktor
Keamanan dari enkripsi bergantung pada beberapa faktor. Pertama, Algoritma enkripsi harus cukup kuat sehingga sulit untuk men-decript ciphertext dengan dasar ciphertext tersebut. Lebih jauh lagi, keamanan dari algoritma enkripsi bergantung pada kerahasiaan dari kuncinya bukan algoritmanya. Yaitu dengan asumsi bahwa adalah sangat tidak praktis untuk men-dekripsi-kan informasi dengan dasar ciphertext dan pengetahuan tentang algoritma dekripsi atau enkripsi. Atau dengan kata lain, kita tidak perlu menjaga kerahasiaan dari algoritma tetapi cukup dengan kerahasiaan kuncinya.
46
Pada prinsipnya bahwa model implementasi kriptografi dalam enkripsi data dibedakan menajadi dua yaitu : · Kriptografi dengan enkripsi simetris. Yaitu penggunaan kunci (key) yang sama antara saat pengiriman data dan penerimaan data. Algoritma yang digunakan seperti DES (Data Encryption Standart), dan Blowfish. · Kriptografi dengan enkripsi asimetris. Yaitu penggunaan kunci (key) yang tidak sama (berlainan) saat pengiriman dan penerimaan. Sistem ini menggunakan dua buah key, yaitu privat key dan public key.
47
Pengamanan Berlapis IDS detect intrusions
Customer (with authentication device) core banking applications Internet Internet banking gateway Firewal protect access to web server Web server(s) Firewall protect access to SQL
48
Tugas 1. Jelaskan apa yang dinamakan Bug, Chameleons, Logic Bomb, Trojan Horse, Virus, Worm dan spy. 2. Jelaskan tentang Firewall utk keamanan komputer 3. Jelaskan macam-macam kriptografi 4. Jelaskan Langkah-langkah logis Proses hacking seperti : Footprinting, Scanning, Enumeration, Gaining Access, EscalatingPrivilege, Pilfering, coveringTracks, Creating Backdoors, Denial of Service. 5. Jelaskan apa itu sql injection 6. Jelaskan kejahatan komputer berupa : carding, hacking, cracking, defacing, phising, spamming dan malware
Presentasi serupa
© 2024 SlidePlayer.info Inc.
All rights reserved.