keamanan sistem informasi
DESCRIPTION
Keamanan sistem informasi. M-05. Pengertian. Jika kita berbicara tentang keamanan sistem informasi, selalu kata kunci yang dirujuk adalah pencegahan dari kemungkinan adanya virus, hacker, cracker dan lain-lain. - PowerPoint PPT PresentationTRANSCRIPT
KEAMANAN SISTEM INFORMASI
M-05
Pengertian
Jika kita berbicara tentang keamanan sistem informasi, selalu kata kunci yang dirujuk adalah pencegahan dari kemungkinan adanya virus, hacker, cracker dan lain-lain.
Padahal berbicara masalah keamanan sistem informasi maka kita akan berbicara kepada kemungkinan adanya resiko yang muncul atas sistem tersebut.
Fokus keamanan sistem terdiri dari 2 hal :
Threats (Ancaman) atas sistem Vulnerability (Kelemahan) atas sistem
1. ANCAMAN (Threats)
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi.
Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :
1. Ancaman Alam2. Ancaman Manusia3. Ancaman Lingkungan
2. KELEMAHAN (Vurnerability)
Adalah cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut.
Cacat sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki. contoh : Seting firewall yang membuka telnet sehingga dapat
diakses dari luar, atau Seting VPN yang tidak di ikuti oleh penerapan kerberos atau NAT.
Pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan, yaitu :
1. Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadikan ancaman dan kelemahan
2. Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan dan proses yang mengubah sistem dari keadaan normal menjadi keadaan abnormal
3. Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang sudah tidak seimbang untuk dikembalikan dalam keadaan normal
Tindakan tersebut menjadikan keamanan sistem informasi tidak dilihat hanya dari kaca mata timbulnya serangan dari virus, mallware, spy ware dan masalah lain, akan tetapi dilihat dari berbagai segi sesuai dengan domain keamanan sistem itu sendiri.
Pentingnya Keamanan Sistem Informasi memiliki “nilai” (ekonomis, politis)
obyek kepemilikan yang harus dijaga Kartu kredit Laporan keuangan perusahaan Dokumen-dokumen rancangan produk
baru Dokumen-dokumen rahasia kantor /
organisasi/ perusahaan
Pentingnya Keamanan Sistem Mengapa sistem informasi rentan terhadap gangguan
keamanan Sistem yang dirancang untuk bersifat “terbuka” (mis:
Internet) Tidak ada batas fisik dan kontrol terpusat. Perkembangan jaringan (internetworking) yang amat cepat.
Sikap dan pandangan pemakai. Aspek keamanan belum banyak dimengerti Menempatkan keamanan sistem pada prioritas rendah.
Ketrampilan (skill) pengamanan kurang.
Jenis Serangan/Gangguan Serangan untuk mendapatkan akses (access attacks)
Berusaha mendapatkan akses ke berbagai sumber daya komputer atau data/informasi
Serangan untuk melakukan modifikasi (modification attacks) Didahului oleh usaha untuk mendapatkan akses, kemudian mengubah
data/informasi secara tidak sah. Serangan untuk menghambat penyediaan layanan (denial of
service attacks) Menghambat penyediaan layanan dengan cara mengganggu jaringan
komputer
Cara Melakukan Serangan Sniffing
Memanfaatkan metode broadcasting dalam LAN.
“Membengkokkan” aturan Ethernet, membuat network interface bekerja dalam mode promiscuous.Contoh-contoh sniffer: Sniffit, TCP Dump,
Linsniffer Mencegah efek negatif sniffing
Pendeteksian sniffer (local & remote) Penggunaan kriptografi (mis: ssh sbg pengganti
telnet)
Cara Melakukan Serangan
Man-in-the-middle Membuat client dan server sama-sama mengira bahwa
mereka berkomunikasi dengan pihak yang semestinya (client mengira sedang berhubungan dengan server, demikian pula sebaliknya).
Client Man-in-the-middle Server
Cara Melakukan Serangan Spoofing
Memperoleh akses dengan acara berpura-pura menjadi seseorang atau sesuatu yang memiliki hak akses yang valid.
Spoofer mencoba mencari data dari user yang sah agar bisa masuk ke dalam sistem (mis: username & password).
Logon
Invalid logon
Client Penyerang Server
Logon
Logon berhasil
Client Server
Pada saat ini, penyerang sudah mendapatkan username & passwordyang sah untuk bisa masuk ke server
Cara Melakukan Serangan Menebak password
Dilakukan secara sistematis dengan teknik brute-force atau dictionary.
Teknik brute-force: mencoba semua kemungkinan password
Teknik dictionary: mencoba dengan koleksi kata-kata yang umum dipakai, atau yang memiliki relasi dengan user yang ditebak (tanggal lahir, nama anak, dsb)
Modification Attacks Biasanya didahului oleh access attack untuk
mendapatkan akses. Dilakukan untuk mendapatkan keuntungan dari
berubahnya informasi. Contoh:
Pengubahan nilai kuliah Penghapusan data utang di bank Mengubah tampilan situs web
Denial of Service Attacks Berusaha mencegah pemakai yang sah untuk mengakses
sebuah sumber daya atau informasi. Biasanya ditujukan kepada pihak-pihak yang memiliki
pengaruh luas dan kuat (mis: perusahaan besar, tokoh-tokoh politik, dsb)
Teknik DoS Mengganggu aplikasi (mis: membuat webserver down) Mengganggu sistem (mis: membuat sistem operasi
down) Mengganggu jaringan (mis: dengan TCP SYN flood)
Denial of Service Attacks Contoh: MyDoom worm email (berita dari F-Secure, 28 Januari
2004
http://www.f-ecure.com/news/items/news_2004012800.shtml
Ditemukan pertama kali 26 Januari 2004 Menginfeksi komputer yang diserangnya. Komputer yang terinfeksi
diperintahkan untuk melakukan DoS ke www.sco.com pada tanggal 1 Februari 2004 jam 16:09:18
Pada saat itu, diperkirakan 20-30% dari total lalu lintas e-mail di seluruh dunia down disebabkan oleh pergerakan worm ini
Penyebaran yang cepat disebabkan karena: “Penyamaran” yang baik (tidak terlihat berbahaya bagi user) Penyebaran terjadi saat jam kantor Koleksi alamat email sasaran yang agresif (selain mengambil dari address book di
komputer korban, juga membuat alamat email sendiri)
Pengamanan Sistem Informasi
Layer 5Auditing, monitoring, and investigating
Layer 4Information security technologies and products
Layer 3Information security awareness and training
Layer 2Information security architecture and processes
Layer 1Information security policies and standards
La
ye
r 6
Va
lid
atio
n
Keamanan sistem sebagai satu konsep terpadu
Network Security : Kriptografi Studi tentang enkripsi dan dekripsi data berdasarkan
konsep matematis Meningkatkan keamanan data dengan cara menyamarkan
data dalam bentuk yang tidak dapat dibaca enkripsi: data asli bentuk tersamar dekripsi: data tersamar data asli
Komponen sistem kriptografi: fungsi enkripsi & dekripsi kunci
Kriptografi Simetris Kunci yang sama untuk enkripsi & dekripsi Problem
Bagaimana mendistribusikan kunci secara rahasia ? Untuk n orang pemakai, diperlukan n(n-1)/2 kunci tidak praktis untuk
pemakai dalam jumlah banyak
kirim
enkripsi dekripsi
data asli data aslicyphertext cyphertext
pengirim penerima
Kriptografi Asimetris Kunci enkripsi tidak sama dengan kunci dekripsi. Kedua kunci dibuat oleh penerima data.
enkripsi kunci publik dekripsi kunci privat
kirim
enkripsi dekripsi
data asli data aslicyphertext cyphertext
pengirim penerima
kunci publik kunci privat
Kriptografi Hibrid Menggabungkan antara kriptografi simetris dan
asimetris mendapatkan kelebihan kedua metode
kirim
enkripsi dekripsi
data asli data aslicyphertext cyphertext
pengirim penerima
kunci sesi kunci sesi
enkripsi dekripsi
kirim
kunci publik kunci publik
Infrastruktur Kunci Publik Pengamanan komunikasi data untuk keperluan publik
(antar institusi, individu-institusi, individu-individu, dsb) Kebutuhan komunikasi yang aman Heterogenitas pemakai Jaringan komunikasi yang kompleks
Komponen infrastruktur kunci publik: Tandatangan digital (digital signature): untuk menjamin keaslian
dokumen digital yang dikirim Otoritas Sertifikat (certificate authority): lembaga yang
mengeluarkan sertifikat digital sebagai bukti kewenangan untuk melakukan transaksi elektronis tertentu
Infrastruktur Kunci Publik Mengapa diperlukan ?
Kasus KlikBCA beberapa tahun yang lalu Ada orang yang meniru persis situs netbanking Bank BCA,
dengan URL yang mirip Situs tersebut menerima informasi login dari nasabah BCA
(userID dan password) Apa yang terjadi jika informasi login nasabah disalahgunakan ?
Semakin banyaknya transaksi elektronis yang memerlukan legalitas secara elektronis juga Dokumen kontrak Perjanjian jual beli
Corporate Security Plan - Protecting
24
Defense Strategy - Controls25
Controls Controls evaluation. Mengidentifikasi kekurangan
keamanan dan menghitung biaya pelaksanaan tindakan pengendalian yang memadai.
General controls. Didirikan untuk melindungi sistem terlepas dari aplikasi mereka Physical controls. Perlindungan fisik fasilitas
komputer dan sumber daya. Access controls. Pembatasan akses pengguna
yang tidak sah ke sumber daya komputer; menggunakan biometrics dan kontrol passwords untuk identifikasi pengguna.
26
Controls (Continued)
Communications (networks) controls. Untuk melindungi pergerakan data di seluruh jaringan dan termasuk perbatasan kontrol keamanan, otentikasi dan otorisasi Firewalls. Sistem yang memaksa kebijakan akses
kontrol antara dua jaringan. Encryption. Proses mengubah pesan asli menjadi
bentuk yang tidak dapat dibaca oleh siapapun kecuali penerima yang dituju.
27
Controls (Continued)
All encryption systems use a key. Symmetric encryption. Sender and the
recipient use the same key. Public-key encryption. Uses two different keys:
a public key and a private key. Certificate authority. Asserts that each
computer is identified accurately and provides the public keys to each computer.
28
Controls (Continued)
Virtual Private Networking. Menggunakan Internet untuk membawa informasi dalam perusahaan dan di antara mitra bisnis tetapi dengan peningkatan keamanan dengan menggunakan enkripsi, otentikasi dan kontrol akses.
Application controls. Kontrol yang melindungi aplikasi spesifik dan meliputi: input, proses dan output kontrol.
29
Controls (Continued)
Information systems auditing. Pengamat independen (tidak berpihak) bertugas untuk memastikan bahwa sistem informasi bekerja dengan baik.
Types of Auditors and Audits Internal. Dilakukan oleh auditor internal perusahaan. External. Me-review audit internal dalam hal masukan,
pengolahan dan keluaran dari sistem informasi. Audit. Pemeriksaan sistem informasi, masukan, output dan
pengolahan sistem informasi.
30