it keamanan sis inf berbasis internet
TRANSCRIPT
KEAMANAN SISTEMINFORMASI BERBASIS
INTERNETpendahuluan
Budi RahardjoID-CERT
PPAU Mikroelektronika ITBJurusan Teknik Elektro ITB - EL776
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 2
Beberapa Statistik tentangComputer/Information Security
• Survey Information Week (USA), 1271 systemor network manager, hanya 22% yangmenganggap keamanan sistem informasisebagai komponen penting.
• Kesadaran akan masalah keamanan masihrendah!
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 3
Statistik (sambung)
• Bagaimana untuk membujuk managementuntuk melakukan invest di bidang keamanan?
• Membutuhkan justifikasi perlunya investmentinfrastruktur keamanan
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 4
Statistik (sambung)
• Angka pasti, sulit ditampilkan karena kendala bisnis.Negative publicity.
• 1996. FBI National Computer Crime Squad, kejahatan komputeryang terdeteksi kurang dari 15%, dan hanya 10% dari angka ituyang dilaporkan.
• 1996. American Bar Association: dari 1000 perusahaan, 48%telah mengalami computer fraud dalam kurun 5 tahun terakhir.
• 1996. Di Inggris, NCC Information Security Breaches Survey:kejahatan komputer naik 200% dari 1995 ke 1996.
• 1997. FBI: kasus persidangan yang berhubungan dengankejahatan komputer naik 950% dari tahun 1996 ke 1997, danyang convicted di pengadilan naik 88%.
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 5
Statistik (sambung)
• 1999 Computer Security Institute (CSI) / FBI ComputerCrime Survey menunjukkan beberapa statistik yang menarik,seperti misalnya ditunjukkan bahwa “disgruntled worker”merupakan potensi attack / abuse.Http://www.gocsi.com
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 6
Statistik (sambung)
• 1988. Sendmail dieksploitasi oleh R.T. Morrissehingga melumpuhkan Internet. Diperkirakankerugian mencapai $100 juta. Morris dihukum denda$10.000.
• 10 Maret 1997. Seorang hacker dari Massachusettsberhasil mematikan sistem telekomunikasi sebuahairport lokal (Worcester, Mass.) sehinggamemutuskan komunikasi di control tower danmenghalau pesawat yang hendal mendarat.
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 7
Mungkinkah aman?
• Sangat sulit mencapai 100% aman• Ada timbal balik antara keamanan vs.
kenyamanan (security vs convenience)• Definisi computer security:
(Garfinkel & Spafford)
A computer is secure if you can depend on itand its software to behave as you expect
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 8
Peningkatan Kejahatan KomputerBeBeRaPa SeBaB
• Aplikasi bisnis yang berbasiskomputer / Internet meningkat.– Electronic commerce (e-commerce)– Electronic Data Interchange (EDI)
• Statistik e-commerce yang semakinmeningkat.
• Semakin banyak yang terhubung kejaringan (seperti Internet).
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 9
Peningkatan kejahatan komputer
• Desentralisasi server.Lebih banyak server yang harusditangani dan butuh lebih banyak SDMyang handal dan tersebar. Padahalsusah mencari SDM.
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 10
Peningkatan Kejahatan Komputer
• Transisi dari single vendor kemulti-vendor.Banyak jenis perangkat dari berbagaivendor yang harus dipelajari.
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 11
Peningkatan Kejahatan Komputer
• Pemakai makin melek teknologi.– Ada kesempatan untuk menjajal. Tinggal
download software. (Script kiddies)– Sistem administrator harus selangkah di
depan.
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 12
Peningkatan Kejahatan Komputer
• Kesulitan penegak hukum untukmengejar kemajuan duniatelekomunikasi dan komputer.– Cyberlaw– Awareness
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 13
Peningkatan Kejahatan Komputer
• Meningkatnya kompleksitassistem.– Program menjadi semakin besar.
Megabytes.– Potensi lubang keamanan semakin besar.
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 14
Klasifikasi Keamanan Sistem Info
Menurut David Icove:• Keamanan yang bersifat fisik (physical
security).• Keamanan yang berhubungan dengan
orang (personel).• Keamanan dari data dan media serta
teknik komunikasi.• Keamanan dalam operasi.
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 15
Klasifikasi berdasarkan fungsi
• Network security– fokus kepada saluran pembawa info
• Application security– fokus kepada aplikasinya sendiri
• Computer security– fokus kepada keamanan dari komputer
(end system)
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 16
Aspek/servis dari keamanan
• Privacy / confidentiality• Integrity• Authentication• Availability• Non-repudiation• Access control
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 17
Privacy / confidentiality
• Proteksi data [pribadi] yang sensitif– Nama, tempat tanggal lahir, agama,
hobby, penyakit yang pernah diderita,status perkawinan
– Data pelanggan– Sangat sensitif dalam e-commerce,
healthcare
• Serangan: sniffer
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 18
Integrity
• Informasi tidak berubah tanpa ijin(tampered, altered, modified)
• Serangan: spoof, virus, trojan horse
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 19
Authentication
• Meyakinkan keaslian data, sumber data,orang yang mengakses data, serveryang digunakan– penggunaan digital signature, biometrics
• Serangan: password palsu
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 20
Availability
• Informasi harus dapat tersedia ketikadibutuhkan– server dibuat hang, down, crash
• Serangan: Denial of Service (DoS)attack
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 21
Non-repudiation
• Tidak dapat menyangkal (telahmelakukan transaksi)– menggunakan digital signature– peru pengaturan masalah hukum
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 22
Access Control
• Mekanisme untuk mengatur siapa bolehmelakukan apa– biasanya menggunakan password– adanya kelas / klasifikasi
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 23
Jenis Serangan (attack)
• Menurut W. Stallings• Interruption• Interception• Modification• Fabrication
1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 24
Revision Control
• 1.0: Oktober 1998• 1.x: Januari 1999 - Kuliah EL776• 2.0: Desember 1999 - Persiapan untuk kuliah EL776
Location: Notebook Compaq/secure-intro99.ppt• 2.1: update dengan penjelasan yang lebih rinci di
bagian aspek keamanan (31 Des 1999)