bab 1 pengantar keamanan
Post on 27-Nov-2015
29 Views
Preview:
TRANSCRIPT
KEAMANAN KOMPUTER
BudiRaharjo, “Keamanan Sistem Informasi Berbasis Internet” versi 5.1, PT Insan Infonesia – Bandung & PT INDOCISC-Jakarta, 1998, 1999, 2000, 2002
Janner Simarmata, “ Pengamanan Sistem Komputer”CV Andi Offset 2005Dony Ariyus, “ Kriptografi, Keamanan data dan Komunikasi”, Graha Ilmu 2005
Oleh : Syaiful Ahdan, S.Kom
• Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi.
• keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi.
• masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting.
• seringkali keamanan dikurangi atau ditiadakan
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.
Pengelolaan terhadap keamanan dapat dilihat dari sisi pengelolaan resiko (risk management). Lawrie Brown menyarankan menggunakan “Risk Management Model” untuk menghadapi ancaman (managing threats). Ada tiga komponen yang memberikan kontribusi kepada Risk, yaitu Asset, Vulnerabilities, dan Threats.
Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut “countermeasures” yang dapat berupa
• Usaha untuk mengurangi Threat• Usaha untuk mengurangi Vulnerability• Usaha untuk mengurangi dampak (impact)• Mendeteksi kejadian (hostile event)• Kembali (recover) dari kejadian
KLASIFIKASI KEJAHATAN KOMPUTER
Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai ke yang hanya mengesalkan (annoying). Menurut David Icove berdasarkan lubang keamanan, keamanan dapat diklasifikasikan menjadi empat, yaitu:
1. Bersifat fisik (physical security): 2. Berhubungan dengan orang (personel): 3. Keamanan dari data , media, teknik komunikasi (communications).4. Keamanan dalam operasi:
PHYSICAL SECURITY
• Coretan password atau manual yang dibuang tanpa dihancurkan.
• Denial of service • Syn Flood Atack
PERSONAL SECURITY
• Social Engineering• Pendekatan yang dilakukan Terhadap Sistem
Maupun Pengelola Sistem
COMMUNICATION SECURITY
• Memanfaatkan Tools untuk mendapatkan informasi melemahkan sistem (Virus, Trojan )
OPERATION SECURITY
• termasuk prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery).
ASPEK-ASPEK KEAMANAN KOMPUTER
Garfinkel mengemukakan bahwa keamanan komputer (computer security) melingkupi empat aspek, yaitu privacy, integrity, authentication, dan availability. Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya dengan electronic commerce, yaitu access control dan non-repudiation.
1. PRIVACY
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat.
2. CONFIDENTIALITY
sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut
3. INTEGRITY
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi
4. AUTHENTICATION
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli.
5. AVAILABILITY
• Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi.
• Contoh hambatan adalah serangan yang sering disebut dengan “denial of service attack”
6. ACCESS CONTROL
Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan dengan klasifikasi data (public, private, confidential, top secret) & user (guest, admin, top manager, dsb.)
7. NON-REPUDIATION
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan email tersebut. Aspek ini sangat penting dalam hal electronic commerce.
8. AUTHORITY
Informasi yang berada pada sistem jaringan tidak dapat dimodifikasi oleh pihak yang tidak berhak atas akses tersebut.
ANCAMAN KEAMANAN & TIPE ANCAMAN
Security attack, atau serangan terhadap keamanan sistem informasi, dapat dilihat dari sudut peranan komputer atau jaringan komputer yang fungsinya adalah sebagai penyedia informasi. Menurut W. Stallings ada beberapa kemungkinan serangan (attack):
Target pengamanan adalah menghindari, mencegah dan mengatasi ancaman-ancaman terhadap sistem.
Kebutuhan akan pengamanan komputer dapat dikategorikan dalam tiga aspek, yaitu:
1. KERAHASIAAN
dimana informasi pada sistem komputer itu terjamin kerahasiaannya. Dan hanya dapat diakses oleh pihak-pihak yang diotorisasi, keutuhan serta konsistensi data pada sistem tersebut tetap terjaga.
2. INTEGRITAS
dimana sumber daya sistem terjamin hanya dapat dimodifikasi oleh pihak-pihak yang diotorisasi.
3. KETERSEDIAAN
adalah sumber daya sistem komputer terjamin akan tersedia bagi pihak-pihak yang diotorisasi pada saat diperlukan
Banyaknya terjadi pertukaran informasi sertiap detik di internet dan banyaknya terjadinya pencurian dari informasi itu
sendiri oleh pihak-pihak yang tidak bertanggung jawab menjadi ancaman bagi
keamanan terhadap sistem informasi, beberapa jenis ancaman adalah :
1. INTERRUPTION
Merupakan suatu ancaman terhadap avaibability, informasi, data yang ada dalam system komputer dirusak, dihapus sehingga jika data, informasi tersebut dibutuhkan tidak ada lagi.
2. INTERCEPTION
merupakan suatu ancaman terhadap kerahasiaan (secrecy). Informasi yang ada disadap atau orang yang tidak berhak mendapat akses ke komputer dimana informasi tersebut disimpan.
3. MODIFIKASI
merupakan ancaman terhadap integritas. Orang yang tidak berhak berhasil menyadap lalu lintas informasi yang sedang dikirim dan dirubah sesuai dengan keinginan si orang tersebut
4. FABRICATION
merupakan ancaman terhadap integritas. Orang yang tidak berhak berhasil meniru (memalsukan) suatu informasi yang ada sehingga orang yang menerima informasi tersebut menyangka informasi tersebut berasal dari orang yang dikehendaki oleh sipenerima informasi tersebut.
ALIRAN NORMAL
INTERUPTION
INTERCEPTION
MODIFICATION
FABRICATION
PRINSIP-PRINSIP PENGAMANAN
• Otentifikasi Pemakai• Password• Identifikasi fisik• Pembatasan
1. Otentifikasi Pemakai
Identifikasi pemakai saat login merupakan dasar asumsi sistem proteksi sehingga metode otentifikasi didasarkan pada tiga cara yaitu, sesuatu yang diketahui pemakai, yang dimiliki pemakai dan mengenai pemakai.
2. Password
Password merupakan salah satu otentifikasi yang diketahui pemakai, di mana pemakai memilih suatu kata-kode, mengingatnya dan mengetikannya saat akan mengakses sistem komputer .teknik pengamanan dengan password mempunyai beberapa kelemahan, terutama karena pemakai sering memilih password yang mudah diingatnya.
3. Ientifikasi Fisik
• Pendekatan identifikasi fisik ini dilakukan dengan memeriksa apa yang dimiliki pemakai– Kartu Berpita Magnetik– Sidik Jari– Analisis Tanda Tangan
4. Pembatasan
Pembatasan dapat dilakukan untuk memperkecil
pelluang penembusan oleh pemakai yang tidak diotorisasi.
ASPEK – ASPEK PENGATURN KEAMANAN
1. Keamanan Pengguna Umum (General User Security)2. Keamanan Untuk Pengguna (End-User Security)3. Keamanan Administrator (Administrator Security4. Keamanaan administrator Pengguna (Aplication
Security)
top related