Aspek keamanan informasi  

Garfinkel and Spafford  mengemukakan bahwa keamanan komputer  (computer

security)

melingkupi empat aspek, yaitu :

1.   Privacy

2.   Integrity

3.   Authentication

4.   availability.  

Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalam

kaitannya

dengan  electronic commerce, yaitu access control dan non-repudiation.

Berdasar spesifikasi dari OSI, aspek keamanan komputer meliputi :

•    Access Control, Perlindungan terhadap pemakaian tak legak

•    Authentication, Menyediakan jaminan identitas seseorang

•    Confidentiality (kerahasiaan), Perlindungan terhadap pengungkapan identitas tak

legal

•    Integrity, Melindungi dari pengubahan data yang tak legal

•    Non-repudiation (penyangkalan), Melindungi terhadap penolakan komunikasi yang

sudah

pernah dilakukan.

 

Pendapat    yang  lain  mengatakan,  Aspek keamanan  informasi adalah  aspek-aspek 

yang dilingkupi dan melingkupi keamanan informasi dalam sebuah sistem informasi.

Aspek-aspek ini adalah :

Privacy   (privasi/kerahasiaan) ,  menjaga  kerahasiaan  informasi dari semua 

pihak,  kecuali yang memiliki kewenangan;

Integrity (integritas) , meyakinkan bahwa data tidak mengalami perubahan oleh

yang tidak berhak atau oleh suatu hal lain yang tidak diketahui (misalnya buruknya

transmisi data);

Authentication   (otentikasi/identifikasi) ,  pengecekan  terhadap  identitas  suatu 

entitas,  bisa berupa orang, kartu kredit atau mesin;

Signature,  Digital  Signature  (tanda  tangan),  mengesahkan  suatu  informasi

menjadi satu kesatuan di bawah suatu otoritas;

Authorization (otorisasi) , pemberian hak/kewenangan kepada entitas lain di

dalam sistem;

Validation (validasi) , pengecekan keabsahan suatu otorisasi;

Access Control (kontrol akses) , pembatasan akses terhadap entitas di dalam

sistem;

Certificate   (sertifikasi) ,  pengesahan/pemberian  kuasa  suatu  informasi kepada 

entitas  yang tepercaya;

Time   stamp   (pencatatan   waktu) ,  mencatat  waktu  pembuatan  atau 

keberadaan  suatu informasi di dalam sistem;

Verification   (persaksian,   verifikasi) ,  memverifikasi pembuatan  dan 

keberadaan  suatuinformasi di dalam sistem bukan oleh

pembuatnya Acknowledgement (tanda terima), pemberitahuan bahwa informasi

telah diterima;

Confirmation (konfirmasi) , pemberitahuan bahwa suatu layanan informasi telah

tersedia;

Ownership (kepemilikan) , menyediakan suatu entitas dengan sah untuk

menggunakan atau mengirimkan kepada pihak lain;

Anonymous   (anonimitas) ,  menyamarkan  identitas  dari entitas  terkait  dalam 

suatu  proses transaksi;

Non-repudiation   (nirpenyangkalan) ,  mencegah  penyangkalan  dari suatu 

entitas  atas kesepakatan atau perbuatan yang sudah dibuat;

Recall (penarikan) , penarikan kembali suatu sertifikat atau otoritas.

Standar Kegiatan Keamanan Informasi 

ISO/IEC   27001 ,  atau  lengkapnya  "ISO/IEC  27001:2005  -  Information  technology 

--

Security  techniques  --  Information  security  management  systems  -- 

Requirements",  adalah

suatu standar sistem manajemen keamanan informasi (ISMS, information security

management

system)  yang  diterbitkan  oleh ISO dan IEC pada  Oktober 2005.  Standar  yang 

berasal dari BS

7799-2 ini ditujukan untuk digunakan bersama denganISO/IEC 27002, yang

memberikan daftar

tujuan  pengendalian  keamanan  dan  merekomendasikan  suatu  rangkaian 

pengendalian

keamanan spesifik. 

Kegiatan keamanan dalam  ISO/IEC27001 terdiri dari 133 kontrol dan 11 domain

Beberapa

ISO/IEC27001    mengadopsi   model proses    Plan-Do-Check-Act,  yang    digunakan 

untuk

mengatur struktur seluruh proses ISMS. Dalam ISO/IEC27001, semua bukti hasil

penilaian ISMS

harus  didokumentasikan;  sertifikasinya  harus  diaudit  secara  eksternal setiap  enam 

bulan;  dan 

seluruh  proses diulangi  sesudah  tiga tahun untuk terus mengatur ISMS. 

1. Keterbukaan Informasi 

Selain  memiliki banyak  keuntungan,  keterbukaan  akses  informasi tersebut 

memunculkan

2. berbagai masalah baru, antara lain :

·    Pemeliharaan validitas dan integritas data/informasi tersebut

·    Jaminan ketersediaan informasi bagi pengguna yang berhak

·    Pencegahan akses informasi dari yang tidak berhak

·    Pencegahan akses sistem dari yang tidak berhak

Konsep 4R

Konsep  pengaturan  4R  berikut  ini adalah  cara  paling  efisien  untuk  memelihara 

dan

mengontrol nilai  informasi.  4R  keamanan  informasi adalah  Right  Information 

(Informasi yang

benar),  Right  People  (Orang  yang  tepat),    Right  Time  (Waktu  yang  tepat)  dan   

Right  Form

(Bentuk yang tepat).  

1.   Right  Information  mengacu  pada    ketepatan    dan  kelengkapan  informasi, 

yang  menjaminintegritas informasi.  

2.   Right  People    berarti informasi tersedia  hanya  bagi individu yang  berhak,  yang 

menjaminkerahasiaan.

3.   Right  Time    mengacu  pada  aksesibilitas  informasi dan  penggunaannya    atas 

permintaanentitas yang berhak. Ini menjamin ketersediaan.  

4.   Right Form mengacu pada penyediaan informasi dalam format yang tepat. 

Piramida Metodologi Kemananan

Berikut  ini adalah  piramida  metodologi  keamanan.  Secara  singkat  pada  piramida 

di

bawah  ini telah  tergambar  unsur-unsur  apa  saja  yang  dibutuhkan  dalam 

membangun  sebuah

sistem keamanan secara utuh

Gambar 1. Piramida Metodologi Keamanan

Orang yang Terlibat 1.   Administrator System  (SysAdmin), Network Admin, stakeholder

2.   Phreaker

Orang  yang  mengetahui sistem  telekomunikasi dan  memanfaatkan  kelemahan  sistempengamanan telepon tersebut 3.    Hacker Orang  yang  mempelajari sistem  yang  biasanya  sukar  dimengerti  untuk  kemudian

mengelolanya dan men-share hasil ujicoba yang  dilakukannya.Hacker tidak merusak sistem 4.   Craker   Orang yang mempelajari sistem dengan maksud jahat – Muncul karena sifat dasar

manusia

(salah satunya merusak)

Ancaman Jaringan komputer dilihat dari BENTUKNYA : •    Fisik (physical)-    Pencurian perangkat keras komputer atau perangkat   jaringan -    Bencana alam (banjir, kebakaran, dll)     Major cause-    Kerusakan pada komputer dan perangkat komunikasi jaringan -    Wiretapping  Man the Middle Attack      Aktif / Pasif -    Wardriving  Man the Middle Attack        Aktif / Pasif -•    Logik (logical)-    Kerusakan pada sistem operasi atau aplikasi 

-    Virus-    Sniffing, dan lain lain seperti tersebut di bawah ini

Ancaman Jaringan komputer dilihat dari JENIS-JENISNYA

Jenis-jenis Serangan Keamanan Informasi yang menjadi tren dan arah Keamanan

Informasi:

1.   ProbeProbe  atau  yang  biasa  disebut  probing  adalah  usaha  untuk  mengakses  sistem 

dan

mendapatkan informasi tentang sistem

2.   ScanScan adalah probing dalam jumlah besar menggunakan suatu tool3.   Account compromiseMeliputi User compromize dan root compromize4.   Packet SniferAdalah  sebuah  program  yan  menangkap  /  mngcaptur  data  dari paket  yang  lewat 

di

jaringan. (username, password, dan informasi penting lainnya)

5.   HackingHacking adalah tindakan memperoleh akses ke komputer atau jaringan komputer untuk

mendapatkan atau mengubah informasi tanpa otorisasi yang sah

6.   Denial-of-Service Serangan  Denial-of-service (DoS) mencegah pengguna yang sah dari penggunaan

layanan

ketika pelaku mendapatkan akses tanpa izin ke mesin atau data.  Ini terjadi karena

pelaku

membanjiri‘ jaringan dengan volume data yang besar atau sengaja  menghabiskan 

sumber

daya yang langka atau terbatas, seperti process control blocks atau koneksi jaringan

yang

tertunda. Atau mereka mengganggu komponen fisik jaringan atau memanipulasi data 

yang

sedang dikirimkan, termasuk data terenkripsi.

7.   Malicious code (Kode Berbahaya) 

Malicious code adalah program yang menyebabkan kerusakan sistem ketika dijalankan.

Virus, worm dan Trojan horse merupakan jenis-jenis malicious code.

a.   Virus  komputer adalah sebuah program komputer atau  kode  program  yang

merusak sistem komputer dan data dengan mereplikasi  dirinya sendiri  melalui peng-

copy-an ke program lain, boot sector komputer atau dokumen.  

b.   Worm  adalah virus yang mereplikasi  dirinya sendiri yang tidak mengubah  file,

tetapi  ada  di  memory  aktif, menggunakan  bagian dari sistem operasi yang otomatis

dan biasanya  tidak  terlihat  bagi pengguna.  Replikasi mereka  yang  tidak  terkontrol

memakan  sumber    daya    sistem,  melambatkan  atau  menghentikan  proses  lain.

Biasanya hanya jika ini terjadi keberadaan worm diketahui. 

c.   Trojan horse  adalah program yang  sepertinya  bermanfaat dan/atau tidak

berbahaya tetapi sesungguhnya  memiliki fungsi merusak  seperti unloading  hidden 

program  atau

command scripts yang membuat sistem rentan gangguan.

8.   Social Engineering / Exploitation of Trust

Sekumpulan  teknik  untuk  memanipulasi orang  sehingga  orang  tersebut 

membocorkan informasi rahasia.  Meskipun  hal ini mirip  dengan    permainan

kepercayaan  atau  penipuan sederhana,  istilah  ini mengacu kepada penipuan untuk

mendapatkan informasi atau akses sistem komputer. 

Beberapa jebakan yang dapat dilakukan diantaranya dengan : 

o  Memanfaatkan  kepercayaan orang dalam bersosialisasi dengan komputer.

o  Memanfaatkan  kesalahan  orang  secara  manusiawi misal :  kesalahan  ketik,  asal

klik, next-next, dll 

o  Bisa dengan cara membuat tampilan Login yang mirip (teknik fake login), diarahkan

ketempat  lain,  juga  biasanya  dibuat  url yang  hampir  sama  untuk  web  contoh 

kasus  :www.klikbca.com

9.   Phishing 

Tindakan  pemalsuan  terhadap  data  /  identitas  resmi yang  dilakukan  untuk  hal

yang

berkaitan  dengan  pemanfaatannya.  Phising  diawali dengan  mencuri  informasi

personal

melalui Internet.  Phishing    telah  menjadi aktivitas  kriminal  yang  banyak  dilakukan 

di

Internet.

10. Deface 

perubahan terhadap tampilan suatu website secara illegal.

11. Carding 

pencurian  data  terhadap  identitas  perbankan  seseorang,  misalnya  pencurian 

nomor  kartu kredit, digunakan untuk memanfaatkan saldo yang terdapat pada rekening

tersebut untuk keperluan belanja online.