Keamanan Sistem (CS4633) ..:: Teori Keamanan Informasi : - PowerPoint PPT Presentation

About This Presentation
Title:

Keamanan Sistem (CS4633) ..:: Teori Keamanan Informasi :

Description:

Keamanan Sistem (CS4633)..:: Teori Keamanan Informasi : Pertemuan #2 07/09/2006 Fazmah Arif Yulianto Agenda Keamanan Informasi Aturan Keamanan Daur Hidup ... – PowerPoint PPT presentation

Number of Views:1056
Avg rating:3.0/5.0
Slides: 52
Provided by: Tosh128
Category:

less

Transcript and Presenter's Notes

Title: Keamanan Sistem (CS4633) ..:: Teori Keamanan Informasi :


1
Keamanan Sistem (CS4633).. Teori Keamanan
Informasi
  • Pertemuan 2
  • 07/09/2006
  • Fazmah Arif Yulianto

2
Agenda
  • Keamanan Informasi
  • Aturan Keamanan
  • Daur Hidup Keamanan

3
Latar belakang
  • Perkembangan Teknologi Informasi 3C
  • Computer Communication Content
  • Information-based society
  • Kemampuan untuk mengakses dan menyediakan
    informasi secara cepat dan akurat menjadi sangat
    esensial bagi sebuah organisasi
  • Informasi menjadi komoditi yang sangat penting.

4
Informasi
  • Ragam wujud informasi
  • Tertulis atau tercetak di atas kertas
  • Tersimpan secara elektronik
  • Dikirimkan secara elektronik maupun kurir
  • Ditampilkan dalam bentuk film
  • Disampaikan secara lisan

5
Dunia kita tidak aman
  • Tiap minggu ada laporan ttg kejadian break-ins,
    attack tools baru, vulnerabilities baru

6
(No Transcript)
7
Keamanan manajemen
  • Seringkali sulit untuk membujuk manajemen
    perusahaan untuk melakukan investasi di bidang
    keamanan.
  • Th 1997 majalah Information Week melakukan survey
    terhadap 1271 system atau network manager di
    Amerika Serikat.
  • Hanya 22 yang menganggap keamanan sistem
    informasi sebagai komponen sangat penting
    (extremely important).
  • Mereka lebih mementingkan reducing cost dan
    improving competitiveness meskipun perbaikan
    sistem informasi setelah dirusak justru dapat
    menelan biaya yang lebih banyak.

8
Keamanan manajemen (contd)
  • Sistem keamanan harus direncanakan dianggarkan
  • Tujuan manajemen keamanan informasi adalah untuk
    menjamin kelangsungan bisnis, mengurangi kerugian
    bisnis, dan memaksimalkan ROI dan peluang dengan
    mencegah dan mengurangi pengaruh dari serangan
    terhadap keamanan

9
Keamanan sistem intangible?
  • Its tangible!
  • Contoh
  • Hitung kerugian apabila sistem informasi anda
    tidak bekerja selama 1 jam, 1 hari, 1 minggu, dan
    1 bulan. (jika server Amazon.com tidak dapat
    diakses selama beberapa hari kerugian N juta
    dolar.)
  • Hitung kerugian apabila ada data yang hilang.
    Berapa biaya yang dibutuhkan untuk rekonstruksi
    data.
  • Bila sebuah bank terkenal dengan rentannya
    pengamanan data, sering terjadi security
    incidents. Bagaimana citra perusahaan?

10
Data
  • CSI/FBI Computer Crime and Security Survey th
    2001 (538 responden)
  • 64 mendeteksi adanya unauthorized use of
    computer systems pada 12 bulan terakhir
  • 40 mendeteksi system penetration, meskipun 95
    memasang firewall dan 61 memiliki IDS
  • 26 mendeteksi theft of proprietary info,
  • 18 mendeteksi sabotage
  • Kerugian yang dilaporkan oleh 196 responden
    senilai 378 juta
  • 151 juta dari theft of proprietary info
  • 19 juta dari system penetration

11
Fakta kerugian sebenarnya?
  • Tidak diketahui ada yang sulit dihitung
  • Fenomena gunung es
  • Banyak organisasi yang mengalami security breach
    tidak ingin diketahui ? negative publicity

12
Tujuan organisasi dan regulasi
13
Computer misuse
  • kategori
  • pencurian sumber daya komputasi
  • gangguan terhadap layanan komputasi
  • penyebarluasan informasi secara tidak sah
  • pengubahan informasi secara tidak sah
  • pelaku
  • authorized user
  • ? lebih sukar ditangani
  • not authorized user

14
Information-oriented misuse beberapa hal yang
perlu diwaspadai
  • Kesalahan manusia (human error)
  • Penyalahgunaan otoritas
  • Probing secara langsung
  • Probing dengan malicious software
  • Penetrasi secara langsung
  • Subversi terhadap mekanisme keamanan

15
Resiko
  • the probability that a specific threat will
    successfully exploit a vulnerability causing a
    loss
  • Yang berkontribusi terhadap resiko
  • Asset
  • Vulnerability
  • Threat

16
Asset
  • Hardware
  • Software
  • Dokumentasi
  • Data
  • Komunikasi
  • Lingkungan
  • Manusia
  • dll.

17
Vulnerability
  • Kelemahan dari perangkat keras, perangkat lunak,
    atau prosedur yang menyediakan kesempatan bagi
    penyerang untuk melakukan tindakan yang bisa
    menimbulkan kerugian.
  • Contoh software bugs, hardware bugs, radiasi
    (dari layar, transmisi), tapping, crosstalk,
    unauthorized users, hardcopy, keteledoran
    (oversight), storage media, social engineering,
    dll.

18
Threat
  • Potensi bahaya (ancaman) yang bisa terjadi pada
    informasi maupun sistem.
  • Bisa disebabkan oleh bencana (disaster),
    kesalahan sistem (system failure), atau kesalahan
    manusia (human error)

19
Klasifikasi keamanan (atas dasar lubang keamanan)
  • Keamanan fisik
  • akses orang ke gedung, peralatan, media dll
    pencurian DoS aliran listrik dll
  • Keamanan personel
  • identifikasi dan profil resiko social
    engineering
  • Keamanan aplikasi, data, dan komunikasi (media
    dan teknik)
  • program-specific vulnerability, bugs, virus,
    worm, trojan horse, akses aplikasi dan data,
    akses ke sumber daya jaringan dll
  • Keamanan operasi
  • kebijakan, prosedur pengelolaan sistem keamanan,
    prosedur post-attack-recovery, dll.

20
Aspek / layanan keamanan
  • Confidentiality ( Privacy)
  • Integrity
  • Availability
  • Authentication
  • Access control
  • Non-repudiation

21
Confidentiality - Privacy
  • Menjaga informasi dari orang yang tidak berhak
    mengakses.
  • Privacy data-data yang sifatnya privat
  • contoh e-mail seseorang tidak boleh dibaca oleh
    administrator
  • Confidentiality data yang diberikan ke pihak
    lain untuk keperluan tertentu dan hanya
    diperbolehkan untuk keperluan tertentu tersebut
  • misalnya sebagai bagian dari pendaftaran sebuah
    servis (kartu kredit, layanan kesehatan dll.)
  • Meningkatkan jaminan privacy/confidentiality ?
    teknik-teknik steganografi, kriptografi, dll.

22
Keamanan negara
  • Kemampuan mengamankan data dan menangkap data
    merupakan kepentingan negara
  • Privacy vs keamanan negara?
  • Spy vs spy?
  • Penyadapan key escrow dll

23
Penyadapan internasional
Sumber IEEE Spectrum April 2003
24
(No Transcript)
25
Sadap, filter, simpan
Sumber IEEE Spectrum April 2003
26
Integrity
  • Informasi maupun sistem tidak boleh diubah tanpa
    seijin pemilik informasi atau sistem tersebut ?
    tetap akurat dan lengkap
  • Contoh serangan
  • Data (e-mail) ditangkap (intercepted), diubah
    (tampered), diteruskan (forwarded) ke tujuan
  • Menambahkan virus/trojan ke program yang
    didistribusikan (kasus TCP Wrapper)
  • Man-in-the-middle attack
  • Meningkatkan jaminan integrity ? kriptografi,
    hash digital signature dll

27
Availability
  • Ketika dibutuhkan, pengguna yang berhak akan
    selalu dapat mengakses informasi dan aset yang
    berkaitan
  • Contoh serangan
  • Denial of Service Distributed DoS
  • Mailbomb

28
Authentication
  • Informasi betul-betul asli
  • Watermarking digital signature
  • Orang yang mengakses atau memberikan informasi
    adalah betul-betul orang yang dimaksud
  • What you have (misal kartu ATM)
  • What you know (misal PIN, password)
  • What you are (misal biometrik)
  • Server (mesin) yang kita hubungi adalah
    betul-betul server (mesin) yang asli
  • Secara umum, peningkatan jaminan authentication ?
    digital certificate

29
Access control
  • Pengaturan akses kepada informasi.
  • Berhubungan dengan
  • Klasifikasi data (public, private, confidential,
    top secret)
  • Klasifikasi dan hak akses user (guest, admin, top
    manager, dsb.)
  • Mekanisme authentication dan privacy.

30
Non-repudiation
  • Seseorang tidak dapat menyangkal bahwa dia telah
    mengirimkan suatu data digital
  • Contoh seseorang yang telah melakukan transaksi
    dan mengirimkan data pemesanannya via e-mail,
    tidak dapat menyangkal bahwa memang dia yang
    telah mengirimkan data pemesanan tersebut
  • Sangat penting dalam e-commerce
  • Meningkatkan jaminan non-repudiation ? digital
    signature, certificates, dan teknologi
    kriptografi dukungan hukum shg digital signature
    jelas legal

31
Contoh Digital Certificate CAVeriSign
siteKlikBCA
32
Contoh (contd)
33
Mengamankan Informasi (secara umum)
  • Implementing a suitable set of controls
  • Policies
  • Practices
  • Procedures
  • Organizational structures
  • Software functions

34
Agenda
  • Keamanan Informasi
  • Aturan Keamanan
  • Daur Hidup Keamanan

35
Kebijakan Keamanan
  • Mencakup semua aturan yang menjamin perlindungan
    terhadap aset dan akses informasi
  • Sesuai dengan visi dan misi organisasi
  • Harus ada dukungan dari sisi internal maupun
    eksternal organisasi

36
Aturan yg mendasari kebijakan keamanan
  1. Kebijakan keamanan harus didukung oleh seluruh
    komponen organisasi ? pengetahuan thd proses
    bisnis, kanal komunikasi, jenis data yg
    dibutuhkan dll
  2. Daftar semua aset yang harus dilindungi
  3. Harus diimplementasikan ke seluruh lapisan
    organisasi (internal eksternal)

37
Setelah kebijakan tersusun
  1. Sosialisasi
  2. Penerapan secara konsisten
  3. Peninjauan secara berkala untuk mengantisipasi
    perubahan yang terjadi dalam organisasi maupun
    hal-hal eksternal yang mempengaruhi operasional
    bisnis organisasi

38
Panduan menyusun kebijakan
  • International Standard ISO/IEC 17799
    Information Technology Code of Practice for
    Information Security Management
  • Contoh standar lain Information Security Forum
    (ISF), The Standard of Good Practice for
    Information Security

39
Agenda
  • Keamanan Informasi
  • Aturan Keamanan
  • Daur Hidup Keamanan

40
Daur hidup keamanan
  • Berhubungan dengan peninjauan kebijakan keamanan
  • Memberikan petunjuk yg mencakup tingkatan atau
    tahapan proses pengembangan untuk menjamin
    keamanan operasional bisnis

41
Gambar daur hidup keamanan
42
1. Assessment
  • Proses penilaian terhadap keamanan sistem
  • Aktifitas audit, pengujian, review secara
    periodik dll
  • Termasuk di dalamnya adalah manajemen resiko

43
2. Design
  • Aktifitas perencanaan konfigurasi keamanan yang
    sesuai dan efektif untuk diterapkan pada
    organisasi

44
3. Deployment
  • Implementasi segala sesuatu yang berkaitan dengan
    rancangan keamanan
  • Berkaitan dengan kebijakan manajemen organisasi
    untuk menerapkan kebijakan keamanan informasi

45
4. Management
  • Diperlukan untuk menjamin sistem tetap dapat
    berfungsi dengan baik
  • Berkaitan dengan pengawasan terhadap mekanisme
    deteksi masalah

46
5. Education
  • Diberikan kepada komponen internal organisasi
    maupun pihak eksternal yang berkaitan dengan
    organisasi
  • Diperlukan untuk menjamin keberlangsungan daur
    hidup keamanan

47
Closing remarks
48
Sistem sudah aman?
  • Sangat sulit mencapai 100 aman
  • Paradigma attacker dan defender
  • Defender berupaya mengamankan semua aspek
  • Attacker bisa fokus ke satu titik lemah
  • Contoh tempest zone vulnerability
  • Ada timbal balik antara keamanan vs. kenyamanan
    (security vs convenience)
  • Semakin aman, semakin tidak nyaman
  • complexity is the worst enemy of security
    Bruce Schneier, Secrets Lies Digital
    Security in a Networked World,
  • Keamanan tertinggi dari sebuah sistem berada
    bagian yang paling lemah.

49
Pengamanan Menyeluruh (holistic approach)
50
Security is a process, not a product
51
http//www.claybennett.com/pages/domestic_security
.html
Write a Comment
User Comments (0)
About PowerShow.com