it keamanan sis inf berbasis internet

KEAMANAN SISTEMINFORMASI BERBASIS

INTERNETpendahuluan

Budi RahardjoID-CERT

PPAU Mikroelektronika ITBJurusan Teknik Elektro ITB - EL776

1998-2000.v2.1 Keamanan Sistem Informasi - Budi Rahardjo - secure-intro97.ppt 2

Beberapa Statistik tentangComputer/Information Security

• Survey Information Week (USA), 1271 systemor network manager, hanya 22% yangmenganggap keamanan sistem informasisebagai komponen penting.

• Kesadaran akan masalah keamanan masihrendah!


Statistik (sambung)

• Bagaimana untuk membujuk managementuntuk melakukan invest di bidang keamanan?

• Membutuhkan justifikasi perlunya investmentinfrastruktur keamanan


Statistik (sambung)

• Angka pasti, sulit ditampilkan karena kendala bisnis.Negative publicity.

• 1996. FBI National Computer Crime Squad, kejahatan komputeryang terdeteksi kurang dari 15%, dan hanya 10% dari angka ituyang dilaporkan.

• 1996. American Bar Association: dari 1000 perusahaan, 48%telah mengalami computer fraud dalam kurun 5 tahun terakhir.

• 1996. Di Inggris, NCC Information Security Breaches Survey:kejahatan komputer naik 200% dari 1995 ke 1996.

• 1997. FBI: kasus persidangan yang berhubungan dengankejahatan komputer naik 950% dari tahun 1996 ke 1997, danyang convicted di pengadilan naik 88%.


Statistik (sambung)

• 1999 Computer Security Institute (CSI) / FBI ComputerCrime Survey menunjukkan beberapa statistik yang menarik,seperti misalnya ditunjukkan bahwa “disgruntled worker”merupakan potensi attack / abuse.Http://www.gocsi.com


Statistik (sambung)

• 1988. Sendmail dieksploitasi oleh R.T. Morrissehingga melumpuhkan Internet. Diperkirakankerugian mencapai $100 juta. Morris dihukum denda$10.000.

• 10 Maret 1997. Seorang hacker dari Massachusettsberhasil mematikan sistem telekomunikasi sebuahairport lokal (Worcester, Mass.) sehinggamemutuskan komunikasi di control tower danmenghalau pesawat yang hendal mendarat.


Mungkinkah aman?

• Sangat sulit mencapai 100% aman• Ada timbal balik antara keamanan vs.

kenyamanan (security vs convenience)• Definisi computer security:

(Garfinkel & Spafford)

A computer is secure if you can depend on itand its software to behave as you expect


Peningkatan Kejahatan KomputerBeBeRaPa SeBaB

• Aplikasi bisnis yang berbasiskomputer / Internet meningkat.– Electronic commerce (e-commerce)– Electronic Data Interchange (EDI)

• Statistik e-commerce yang semakinmeningkat.

• Semakin banyak yang terhubung kejaringan (seperti Internet).


Peningkatan kejahatan komputer

• Desentralisasi server.Lebih banyak server yang harusditangani dan butuh lebih banyak SDMyang handal dan tersebar. Padahalsusah mencari SDM.


Peningkatan Kejahatan Komputer

• Transisi dari single vendor kemulti-vendor.Banyak jenis perangkat dari berbagaivendor yang harus dipelajari.



• Pemakai makin melek teknologi.– Ada kesempatan untuk menjajal. Tinggal

download software. (Script kiddies)– Sistem administrator harus selangkah di

depan.



• Kesulitan penegak hukum untukmengejar kemajuan duniatelekomunikasi dan komputer.– Cyberlaw– Awareness



• Meningkatnya kompleksitassistem.– Program menjadi semakin besar.

Megabytes.– Potensi lubang keamanan semakin besar.


Klasifikasi Keamanan Sistem Info

Menurut David Icove:• Keamanan yang bersifat fisik (physical

security).• Keamanan yang berhubungan dengan

orang (personel).• Keamanan dari data dan media serta

teknik komunikasi.• Keamanan dalam operasi.


Klasifikasi berdasarkan fungsi

• Network security– fokus kepada saluran pembawa info

• Application security– fokus kepada aplikasinya sendiri

• Computer security– fokus kepada keamanan dari komputer

(end system)


Aspek/servis dari keamanan

• Privacy / confidentiality• Integrity• Authentication• Availability• Non-repudiation• Access control


Privacy / confidentiality

• Proteksi data [pribadi] yang sensitif– Nama, tempat tanggal lahir, agama,

hobby, penyakit yang pernah diderita,status perkawinan

– Data pelanggan– Sangat sensitif dalam e-commerce,

healthcare

• Serangan: sniffer


Integrity

• Informasi tidak berubah tanpa ijin(tampered, altered, modified)

• Serangan: spoof, virus, trojan horse


Authentication

• Meyakinkan keaslian data, sumber data,orang yang mengakses data, serveryang digunakan– penggunaan digital signature, biometrics

• Serangan: password palsu


Availability

• Informasi harus dapat tersedia ketikadibutuhkan– server dibuat hang, down, crash

• Serangan: Denial of Service (DoS)attack


Non-repudiation

• Tidak dapat menyangkal (telahmelakukan transaksi)– menggunakan digital signature– peru pengaturan masalah hukum


Access Control

• Mekanisme untuk mengatur siapa bolehmelakukan apa– biasanya menggunakan password– adanya kelas / klasifikasi


Jenis Serangan (attack)

• Menurut W. Stallings• Interruption• Interception• Modification• Fabrication


Revision Control

• 1.0: Oktober 1998• 1.x: Januari 1999 - Kuliah EL776• 2.0: Desember 1999 - Persiapan untuk kuliah EL776

Location: Notebook Compaq/secure-intro99.ppt• 2.1: update dengan penjelasan yang lebih rinci di

bagian aspek keamanan (31 Des 1999)

it keamanan sis inf berbasis internet

Education