1 / 30

Keamanan sistem informasi

Keamanan sistem informasi. M-05. Pengertian. Jika kita berbicara tentang keamanan sistem informasi, selalu kata kunci yang dirujuk adalah pencegahan dari kemungkinan adanya virus, hacker, cracker dan lain-lain. 

flavio
Télécharger la présentation

Keamanan sistem informasi

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Keamanan sistem informasi M-05

  2. Pengertian • Jika kita berbicara tentang keamanan sistem informasi, selalu kata kunci yang dirujuk adalah pencegahan dari kemungkinan adanya virus, hacker, cracker dan lain-lain.  • Padahal berbicara masalah keamanan sistem informasi maka kita akan berbicara kepada kemungkinan adanya resiko yang muncul atas sistem tersebut.

  3. Fokus keamanan sistem terdiri dari 2 hal : • Threats (Ancaman) atas sistem • Vulnerability (Kelemahan) atas sistem

  4. 1. ANCAMAN (Threats) • Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi.  • Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu : • Ancaman Alam • Ancaman Manusia • Ancaman Lingkungan

  5. 2. KELEMAHAN (Vurnerability) • Adalah cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut. • Cacat sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki. • contoh : Seting firewall yang membuka telnet sehingga dapat diakses dari luar, atau Seting VPN yang tidak di ikuti oleh penerapan kerberos atau NAT.

  6. Pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan, yaitu : • Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadikan ancaman dan kelemahan • Pendekatan detectiveyang bersifat mendeteksi dari adanya penyusupan dan proses yang mengubah sistem dari keadaan normal menjadi keadaan abnormal • Pendekatan Correctiveyang bersifat mengkoreksi keadaan sistem yang sudah tidak seimbang untuk dikembalikan dalam keadaan normal Tindakan tersebut menjadikan keamanan sistem informasi tidak dilihat hanya dari kaca mata timbulnya serangan dari virus, mallware, spy ware dan masalah lain, akan tetapi dilihat dari berbagai segi sesuai dengan domain keamanan sistem itu sendiri.

  7. Pentingnya Keamanan Sistem • Informasimemiliki “nilai” (ekonomis, politis)  obyekkepemilikan yang harusdijaga • Kartukredit • Laporankeuanganperusahaan • Dokumen-dokumenrancanganprodukbaru • Dokumen-dokumenrahasiakantor/organisasi/perusahaan

  8. PentingnyaKeamananSistem • Mengapasisteminformasirentanterhadapgangguankeamanan • Sistem yang dirancanguntukbersifat “terbuka” (mis: Internet) • Tidakadabatasfisikdankontrolterpusat. • Perkembanganjaringan(internetworking) yang amatcepat. • Sikapdanpandanganpemakai. • Aspekkeamananbelumbanyakdimengerti • Menempatkankeamanansistempadaprioritasrendah. • Ketrampilan(skill)pengamanankurang.

  9. JenisSerangan/Gangguan • Seranganuntukmendapatkanakses(access attacks) • Berusahamendapatkanakseskeberbagaisumberdayakomputeratau data/informasi • Seranganuntukmelakukanmodifikasi(modification attacks) • Didahuluiolehusahauntukmendapatkanakses, kemudianmengubah data/informasisecaratidaksah. • Seranganuntukmenghambatpenyediaanlayanan(denial of service attacks) • Menghambatpenyediaanlayanandengancaramengganggujaringankomputer

  10. Cara MelakukanSerangan • Sniffing • Memanfaatkanmetode broadcasting dalam LAN. • “Membengkokkan” aturan Ethernet, membuat network interface bekerjadalam mode promiscuous. • Contoh-contoh sniffer: Sniffit, TCP Dump, Linsniffer • Mencegahefeknegatif sniffing • Pendeteksian sniffer (local & remote) • Penggunaankriptografi (mis: sshsbgpengganti telnet)

  11. Cara MelakukanSerangan • Man-in-the-middle • Membuat client dan server sama-samamengirabahwamerekaberkomunikasidenganpihak yang semestinya (client mengirasedangberhubungandengan server, demikian pula sebaliknya). Client Man-in-the-middle Server

  12. Cara MelakukanSerangan • Spoofing • Memperolehaksesdenganacaraberpura-puramenjadiseseorangatausesuatu yang memilikihakakses yang valid. • Spoofermencobamencari data dari user yang sah agar bisamasukkedalamsistem (mis: username & password). Client Penyerang Server Logon Invalid logon Client Server Logon Logon berhasil Padasaatini, penyerangsudahmendapatkan username & password yang sahuntukbisamasukke server

  13. Cara MelakukanSerangan • Menebak password • Dilakukansecarasistematisdenganteknik brute-force atau dictionary. • Teknik brute-force: mencobasemuakemungkinan password • Teknik dictionary: mencobadengankoleksikata-kata yang umumdipakai, atau yang memilikirelasidengan user yang ditebak (tanggallahir, namaanak, dsb)

  14. Modification Attacks • Biasanyadidahuluioleh access attack untukmendapatkanakses. • Dilakukanuntukmendapatkankeuntungandariberubahnyainformasi. • Contoh: • Pengubahannilaikuliah • Penghapusan data utangdi bank • Mengubahtampilansitus web

  15. Denial of Service Attacks • Berusahamencegahpemakai yang sahuntukmengaksessebuahsumberdayaatauinformasi. • Biasanyaditujukankepadapihak-pihak yang memilikipengaruhluasdankuat (mis: perusahaanbesar, tokoh-tokohpolitik, dsb) • TeknikDoS • Menggangguaplikasi (mis: membuatwebserver down) • Mengganggusistem (mis: membuatsistemoperasi down) • Mengganggujaringan (mis: dengan TCP SYN flood)

  16. Denial of Service Attacks • Contoh: MyDoom worm email (beritadari F-Secure, 28 Januari 2004 http://www.f-ecure.com/news/items/news_2004012800.shtml • Ditemukanpertama kali 26 Januari 2004 • Menginfeksikomputer yang diserangnya. Komputer yang terinfeksidiperintahkanuntukmelakukanDoSkewww.sco.compadatanggal 1 Februari 2004 jam 16:09:18 • Padasaatitu, diperkirakan 20-30% dari total lalulintas e-mail diseluruhduniadown disebabkanolehpergerakan worm ini • Penyebaran yang cepatdisebabkankarena: • “Penyamaran” yang baik (tidakterlihatberbahayabagi user) • Penyebaranterjadisaat jam kantor • Koleksialamat email sasaran yang agresif (selainmengambildari address book dikomputerkorban, jugamembuatalamat email sendiri)

  17. PengamananSistemInformasi Keamanansistemsebagaisatukonsepterpadu

  18. Network Security : Kriptografi • Studitentangenkripsidandekripsi data berdasarkankonsepmatematis • Meningkatkankeamanan data dengancaramenyamarkan data dalambentuk yang tidakdapatdibaca • enkripsi: data asli bentuktersamar • dekripsi: data tersamar  data asli • Komponensistemkriptografi: • fungsienkripsi & dekripsi • kunci

  19. Kriptografi Simetris • Kunci yang samauntukenkripsi & dekripsi • Problem • Bagaimanamendistribusikankuncisecararahasia ? • Untuk n orangpemakai, diperlukan n(n-1)/2 kunci tidakpraktisuntukpemakaidalamjumlahbanyak data asli cyphertext cyphertext data asli kirim pengirim penerima enkripsi dekripsi

  20. Kriptografi Asimetris • Kuncienkripsitidaksamadengankuncidekripsi. • Keduakuncidibuatolehpenerima data. • enkripsi kuncipublik • dekripsi  kunciprivat data asli cyphertext cyphertext data asli kirim pengirim penerima enkripsi dekripsi kunci publik kunci privat

  21. Kriptografi Hibrid • Menggabungkanantarakriptografisimetrisdanasimetris mendapatkankelebihankeduametode data asli cyphertext cyphertext data asli kirim pengirim penerima dekripsi enkripsi kirim kunci sesi kunci sesi enkripsi dekripsi kunci publik kunci publik

  22. Infrastruktur Kunci Publik • Pengamanankomunikasi data untukkeperluanpublik (antarinstitusi, individu-institusi, individu-individu, dsb) • Kebutuhankomunikasi yang aman • Heterogenitaspemakai • Jaringankomunikasi yang kompleks • Komponeninfrastrukturkuncipublik: • Tandatangan digital (digital signature): untukmenjaminkeasliandokumen digital yang dikirim • OtoritasSertifikat (certificate authority): lembaga yang mengeluarkansertifikat digital sebagaibuktikewenanganuntukmelakukantransaksielektronistertentu

  23. Infrastruktur Kunci Publik • Mengapadiperlukan ? • KasusKlikBCAbeberapatahun yang lalu • Adaorang yang menirupersissitusnetbanking Bank BCA, dengan URL yang mirip • Situstersebutmenerimainformasi login darinasabahBCA (userIDdan password) • Apa yang terjadijikainformasi login nasabahdisalahgunakan ? • Semakinbanyaknyatransaksielektronis yang memerlukanlegalitassecaraelektronisjuga • Dokumenkontrak • Perjanjianjualbeli

  24. Corporate Security Plan - Protecting

  25. Defense Strategy - Controls

  26. Controls • Controls evaluation.Mengidentifikasi kekurangan keamanan dan menghitung biaya pelaksanaan tindakan pengendalian yang memadai. • General controls.Didirikan untuk melindungi sistem terlepas dari aplikasi mereka • Physical controls.Perlindungan fisik fasilitas komputer dan sumber daya. • Access controls.Pembatasan akses pengguna yang tidak sah ke sumber daya komputer; menggunakanbiometricsdankontrol passwordsuntuk identifikasi pengguna.

  27. Controls (Continued) • Communications (networks) controls.Untuk melindungi pergerakan data di seluruh jaringan dan termasuk perbatasan kontrol keamanan, otentikasi dan otorisasi • Firewalls.Sistem yang memaksa kebijakan akses kontrol antara dua jaringan. • Encryption.Proses mengubah pesan asli menjadi bentuk yang tidak dapat dibaca oleh siapapun kecuali penerima yang dituju.

  28. Controls (Continued) • All encryption systems use a key. • Symmetric encryption. Sender and the recipient use the same key. • Public-key encryption. Uses two different keys: a public key and a private key. • Certificate authority. Asserts that each computer is identified accurately and provides the public keys to each computer.

  29. Controls (Continued) • Virtual Private Networking.Menggunakan Internet untuk membawa informasi dalam perusahaan dan di antara mitra bisnis tetapi dengan peningkatan keamanan dengan menggunakan enkripsi, otentikasi dan kontrol akses. • Application controls.Kontrol yang melindungi aplikasi spesifik dan meliputi: input, proses dan output kontrol.

  30. Controls (Continued) • Information systems auditing.Pengamat independen (tidakberpihak) bertugas untuk memastikan bahwa sistem informasi bekerja dengan baik. • Types of Auditors and Audits • Internal.Dilakukan oleh auditor internal perusahaan. • External.Me-reviewaudit internal dalamhalmasukan, pengolahan dan keluaran dari sistem informasi. • Audit.Pemeriksaan sistem informasi, masukan, output dan pengolahansisteminformasi.

More Related