Pengantar
Konsep Security Pada Keamanan Sistem Informasi
Dalam materi ini akan diulas, aspekaspek apa saja yang harus diperhatikan dalam keamanan Sistem Informasi
Muhammad Sholeh Teknik Informatika Institut Sains & Teknologi AKPRIND
Kompetensi
Mahasiswa mampu memahami aspekaspek keamanan Sistem Informasi Mahasiswa mampu memahani solusisolusi dalam melakukan pengamanan Sistem Informasi
Tentang Security Policy
Apa Yang Dilindungi
Data anda Resource anda Reputasi anda
Apa yang dilindungi ? Terhadap siapa ? Level keamanan yang diinginkan ?
Terhadap apa ?
Penerobosan Denial Of Service Pencurian Informasi
1
Beberapa Topik Keamanan di Internet: Privacy
Internet Security untuk User
Mengamankan data Menjaga kerahasiaan data
informasi pribadi tidak ingin disebarkan web site yang mengumpulkan informasi tentang pengunjung? akibat bocornya informasi pribadi: – junk mail, spamming – anonymizer
Definisi Sekuriti komputer
privacy vs keamanan sistem
Definisi Sekuriti komputer Tetapi dengan makin pentingnya eCommerce dan Internet, maka masalah sekuriti tidak lagi sekedar masalah keamanan data belaka
Sekuriti komputer memiliki definisi yang beragam, sebagai contoh berikut ini adalah definisi sekuriti komputer yang sering digunakan (Gollmann, 1999) : Computer security deals with the prevention and detection of unauthorized actions by users of a computer system.
Security is a process not a product
Definisi Sekuriti komputer salah satu pernyataan Erkki Liikanen Commissioner for Enterprise and Information Society European Commission yang disampaikan pada Information Security Solutions Europe (ISSE 99), Berlin 14 October 1999. :
Security is the key to securing users trust and confidence, and thus to ensuring the further take-up of the Internet. This can only be achieved if security features are incorporated in Internet services and if users have sufficient safety guarantees Securing the Internal Market is crucial to the further development of the European security market, and thus of the European cryptographic industry.This requires an evolution of mentalities: Regulation in this field transcends national borders. Let's "think European".
Definisi Sekuriti komputer
European governments and the Commission now have a converging view on confidentiality. We see this in Council, in Member State policies and in the constructive discussions we have. We must take this debate further and focus of the potential of encryption to protect public security rather than mainly seeing it as a threat to public order. Finally, the promotion of open source systems in conjunction with technology development is certainly one important step towards unlocking the potential of the desktop security market for the European cryptographic industry.
2
Aspek Keamanan Menurut S. Garfinkel, aspek keamanan meliputi
Privacy/ Confidentiality Integrity Authentication Availability
Di samping hal di atas ada ada beberapa objektif sekuriti yang dalam membangun sekuriti adalah : penting dan diperlukan sebagai pertimbangan : Authentication Sekuriti menjamin proses dan hasil identifikasi oleh sistem terhadap pengguna dan oleh pengguna terhadap sistem Non Repudiation Setiap informasi yang ada dalam sistem tidak dapat disangkal oleh pemiliknya
Privacy/ Confidentiality
Confidentiality, yang akan berkaitan dengan pencegahan akan pengaksesan terjadap informasi yang dilakukan oleh pihak yang tak berhak. Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut.
Privacy/ Confidentiality o
o
Privacy/ Confidentiality Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy dan confidentiality adalah denganmenggunakan teknologi kriptografi (dengan enkripsi dan dekripsi).
Contoh hal yang berhubungan dengan privacy adalah e - mail seorang pemakai (user) tidak boleh dibaca oleh administrator. Contoh confidential information adalah data data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data - data yang ingin diproteksi penggunaan dan penyebarannya.
Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijinpemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini.
3
Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud
Authentication
Availability
Aspek availability berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi.
Availability
Access Control
Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan dengan masalah authentication dan juga privacy. Access control seringkali dilakukan dengan menggunakan kombinasi userid/password atau dengan menggunakan mekanisme lain.
Masalah pertama, membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking dan digital signature. Watermarking juga dapat digunakan untuk menjaga “intelectual property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan” pembuat . Masalah kedua biasanya berhubungan dengan access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi.
Contoh hambatan adalah serangan yang sering disebut dengan “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash. Contoh lain adalah adanya mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya
Non-repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan email tersebut. Aspek ini sangat penting dalam hal electronic commerce.
4
Non-repudiation
Penggunaan digital signature, ertifiates, dan teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum sehingga status dari digital signature itu jelas legal
Privacy vs. keamanan sistem
dalam rangka menjaga keamanan sistem, bolehkah sysadmin melihat berkas (informasi) milik pemakai? hukum wiretapping? “Communications Assistance for Law Enforcement Act”, 1993, menyediakan fasilitas untuk memudahkan wiretapping melindungi diri dengan enkripsi. bolehkah? standar clipper dengan key escrow
Diskusi
Bagaimana bentuk-bentuk pengamanan yang saudara lakukan, beri contoh bentuk pengamanannya Saudara menjadi admin, bagaimana saudara bisa menjamin aspek-aspek keamanan Sistem Informasi
Penutup
Masalah keamanan tidak pernah berhenti dan terus akan meningkat. Antisipasi dan kewaspadaan harus terus tingkatkan Sumber referensi : –
–
Keamanan Sistem Informasi Berbasis Internet Budi Rahardjo PT Insan Infonesia - Bandung & PT INDOCISC - Jakarta 1998, 1999, 2000, 2001, 2002 Pertimbangan Sekuriti Pada Sistem Informasi Kelautan Nasional Avinanta Tarigan - I Made Wiryana RVS Arbeitsgruppe, Universität Bielefeld
5
