Translate

Selasa, 02 Oktober 2012

Menentukan Jenis Keamanan Jaringan


Definisi Informasi

  • Secara umum, informasi didefinisikan sebagai hasil dari aktivitas mental dan merupakan produk abstrak yang ditransmisikan melalui medium.
  • Dalam bidang teknologi informasi dan komunikasi, informasi adalah hasil dari pemrosesan, manipulasi dan pengaturan data, yaitu sekumpulan fakta.
  • Dalam bidang Keamanan Informasi, informasi diartikan sebagai sebuah aset merupakan sesuatu yang    memiliki nilai dan karenanya harus dilindungi. Definisi ini mengikuti ISO/IEC 27001.


Aspek keamanan informasi
Garfinkel and Spafford mengemukakan bahwa keamanan komputer (computer security) melingkupi empat aspek, yaitu :
1. Privacy
2. Integrity
3. Authentication
4. availability.

Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya dengan electronic commerce, yaitu access control dan non-repudiation.

Berdasar spesifikasi dari OSI, aspek keamanan komputer meliputi :

• Access Control, Perlindungan terhadap pemakaian tak legak
• Authentication, Menyediakan jaminan identitas seseorang
• Confidentiality (kerahasiaan), Perlindungan terhadap pengungkapan identitas tak legal
• Integrity, Melindungi dari pengubahan data yang tak legal
• Non-repudiation (penyangkalan), Melindungi terhadap penolakan komunikasi yang sudah pernah dilakukan

Pendapat yang lain mengatakan, Aspek keamanan informasi adalah aspek-aspek yang dilingkupi dan melingkupi keamanan informasi dalam sebuah sistem informasi. Aspek-aspek ini adalah :

  • Privacy (privasi/kerahasiaan), menjaga kerahasiaan informasi dari semua pihak, kecuali yang memiliki    kewenangan;
  • Integrity (integritas), meyakinkan bahwa data tidak mengalami perubahan oleh yang tidak berhak atau oleh suatu hal lain yang tidak diketahui (misalnya buruknya transmisi data);
  • Authentication (otentikasi/identifikasi), pengecekan terhadap identitas suatu entitas, bisa berupa orang,  kartu kredit atau mesin;
  • Signature, Digital Signature (tanda tangan), mengesahkan suatu informasi menjadi satu kesatuan di bawah suatu otoritas;
  • Authorization (otorisasi), pemberian hak/kewenangan kepada entitas lain di dalam sistem;
  • Validation (validasi), pengecekan keabsahan suatu otorisasi;
  • Access Control (kontrol akses), pembatasan akses terhadap entitas di dalam sistem;
  • Certificate (sertifikasi), pengesahan/pemberian kuasa suatu informasi kepada entitas yang tepercaya
  • Time stamp (pencatatan waktu), mencatat waktu pembuatan atau keberadaan suatu informasi di dalam sistem;
  • Verification (persaksian, verifikasi), memverifikasi pembuatan dan keberadaan suatu  informasi di dalam sistem bukan oleh pembuatnya
  • Acknowledgement (tanda terima), pemberitahuan bahwa informasi telah diterima;
  • Confirmation (konfirmasi), pemberitahuan bahwa suatu layanan informasi telah tersedia;
  • Ownership (kepemilikan), menyediakan suatu entitas dengan sah untuk menggunakan atau mengirimkan kepada pihak lain;
  • Anonymous (anonimitas), menyamarkan identitas dari entitas terkait dalam suatu proses transaksi;

Non-repudiation (nirpenyangkalan), mencegah penyangkalan dari suatu entitas atas kesepakatan atau perbuatan yang sudah dibuat; Recall (penarikan), penarikan kembali suatu sertifikat atau otoritas. Standar Kegiatan Keamanan Informasi ISO/IEC 27001, atau lengkapnya "ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems -- Requirements", adalah suatu standar sistem manajemen keamanan informasi (ISMS, information security management system) yang diterbitkan oleh ISO dan IEC pada Oktober 2005. Standar yang berasal dari BS 7799-2 ini ditujukan untuk digunakan bersama denganISO/IEC 27002, yang memberikan daftar tujuan pengendalian keamanan dan merekomendasikan suatu rangkaian pengendalian keamanan spesifik. Kegiatan keamanan dalam ISO/IEC27001 terdiri dari 133 kontrol dan 11 domain Beberapa item yang dikontrol di ISO/IEC27001, diantaranya :












ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act, yang digunakan untuk mengatur struktur seluruh proses ISMS. Dalam ISO/IEC27001, semua bukti hasil penilaian ISMS harus didokumentasikan; sertifikasinya harus diaudit secara eksternal setiap enam bulan; dan seluruh proses diulangi sesudah tiga tahun untuk terus mengatur ISMS.

Keterbukaan Informasi
Selain memiliki banyak keuntungan, keterbukaan akses informasi tersebut memunculkan berbagai masalah baru, antara lain :

  • Pemeliharaan validitas dan integritas data/informasi tersebut
  • Jaminan ketersediaan informasi bagi pengguna yang berhak
  • Pencegahan akses informasi dari yang tidak berhak
  • Pencegahan akses sistem dari yang tidak berhak

Konsep 4R
Konsep pengaturan 4R berikut ini adalah cara paling efisien untuk memelihara dan mengontrol nilai informasi. 4R keamanan informasi adalah Right Information (Informasi yang benar), Right People (Orang yang tepat), Right Time (Waktu yang tepat) dan Right Form (Bentuk yang tepat).

  1. Right Information mengacu pada ketepatan dan kelengkapan informasi, yang menjamin integritas   informasi.
  2. Right People berarti informasi tersedia hanya bagi individu yang berhak, yang menjamin kerahasiaan.
  3. Right Time mengacu pada aksesibilitas informasi dan penggunaannya atas permintaan entitas yang berhak. Ini menjamin ketersediaan.
  4. Right Form mengacu pada penyediaan informasi dalam format yang tepat. Piramida Metodologi      Kemananan

Berikut ini adalah piramida metodologi keamanan. Secara singkat pada piramida di bawah ini telah tergambar unsur-unsur apa saja yang dibutuhkan dalam membangun sebuah sistem keamanan secara utuh





















Orang yang Terlibat

  1. Administrator System (SysAdmin), Network Admin, stakeholder
  2. Phreaker, Orang yang mengetahui sistem telekomunikasi dan memanfaatkan kelemahan sistem  pengamanan telepon tersebut
  3. Hacker, Orang yang mempelajari sistem yang biasanya sukar dimengerti untuk kemudian mengelolanya  dan men-share hasil ujicoba yang dilakukannya. Hacker tidak merusak sistem
  4. Craker Orang yang mempelajari sistem dengan maksud jahat – Muncul karena sifat dasar manusia    (salah satunya merusak)
Ancaman Jaringan komputer dilihat dari BENTUKNYA :
• Fisik (physical)
- Pencurian perangkat keras komputer atau perangkat jaringan
- Bencana alam (banjir, kebakaran, dll) Major cause
- Kerusakan pada komputer dan perangkat komunikasi jaringan
- Wiretapping Man the Middle Attack Aktif / Pasif
- Wardriving Man the Middle Attack Aktif / Pasif

• Logik (logical)
- Kerusakan pada sistem operasi atau aplikasi
- Virus
- Sniffing

Ancaman Jaringan komputer dilihat dari JENIS-JENISNYA
Jenis-jenis Serangan Keamanan Informasi yang menjadi tren dan arah Keamanan Informasi:

  1. Probe, Probe atau yang biasa disebut probing adalah usaha untuk mengakses sistem dan mendapatkan  informasi tentang sistem
  2. Scan, Scan adalah probing dalam jumlah besar menggunakan suatu tool
  3. Account compromise, Meliputi User compromize dan root compromize
  4. Packet Snifer, Adalah sebuah program yan menangkap / mngcaptur data dari paket yang lewat di jaringan. (username, password, dan informasi penting lainnya)
  5. Hacking, Hacking adalah tindakan memperoleh akses ke komputer atau jaringan komputer untuk mendapatkan atau mengubah informasi tanpa otorisasi yang sah
  6. Denial-of-Service, Serangan Denial-of-service (DoS) mencegah pengguna yang sah dari penggunaan  layanan ketika pelaku mendapatkan akses tanpa izin ke mesin atau data. Ini terjadi karena pelaku  membanjiri‘ jaringan dengan volume data yang besar atau sengaja menghabiskan sumber daya yang langka atau terbatas, seperti process control blocks atau koneksi jaringan yang tertunda. Atau mereka mengganggu komponen fisik jaringan atau memanipulasi data yang sedang dikirimkan, termasuk data  terenkripsi.
  7. Malicious code (Kode Berbahaya), Malicious code adalah program yang menyebabkan kerusakan sistem ketika dijalankan. Virus, worm dan Trojan horse merupakan jenis-jenis malicious code.
  8. Virus komputer adalah sebuah program komputer atau kode program yang merusak sistem komputer dan data dengan mereplikasi dirinya sendiri melalui peng-copy-an ke program lain, boot sector komputer atau dokumen.
  9. Worm adalah virus yang mereplikasi dirinya sendiri yang tidak mengubah file, tetapi ada di memory aktif, menggunakan bagian dari sistem operasi yang otomatis dan biasanya tidak terlihat bagi pengguna. Replikasi mereka yang tidak terkontrol memakan sumber daya sistem, melambatkan atau menghentikan proses lain. Biasanya hanya jika ini terjadi keberadaan worm diketahui.
  10. Trojan horse adalah program yang sepertinya bermanfaat dan/atau tidak berbahaya tetapi sesungguhnya memiliki fungsi merusak seperti unloading hidden program atau command scripts 
  11. yang membuat sistem rentan gangguan.
  12. Social Engineering / Exploitation of Trust, Sekumpulan teknik untuk memanipulasi orang sehingga orang tersebut membocorkan informasi rahasia. Meskipun hal ini mirip dengan permainan kepercayaan atau penipuan sederhana, istilah ini mengacu kepada penipuan untuk mendapatkan informasi atau akses sistem komputer. Beberapa jebakan yang dapat dilakukan diantaranya dengan : Memanfaatkan kepercayaan orang dalam bersosialisasi dengan komputer. Memanfaatkan kesalahan orang secara manusiawi misal : kesalahan ketik, asal klik, next-next, dll Bisa dengan cara membuat tampilan Login yang mirip (teknik fake login), diarahkan ke tempat lain, juga biasanya dibuat url yang hampir sama untuk web contoh kasus : www.klikbca.com
  13. Phishing, Tindakan pemalsuan terhadap data / identitas resmi yang dilakukan untuk hal yang berkaitan dengan pemanfaatannya. Phising diawali dengan mencuri informasi personal melalui Internet. Phishing telah menjadi aktivitas kriminal yang banyak dilakukan di Internet.
  14. Deface, perubahan terhadap tampilan suatu website secara illegal.
  15. Carding, pencurian data terhadap identitas perbankan seseorang, misalnya pencurian nomor kartu kredit, digunakan untuk memanfaatkan saldo yang terdapat pada rekening tersebut untu keperluan belanja online.


Tidak ada komentar:

Poskan Komentar