Konsep Dasar Keamanan Komputer
السَّلاَمُ عَلَيْكُمْ وَرَحْمَةُ اللهِ وَبَرَكَاتُهُ
Nama : M. Setiawan
NPM : 2020310004
Prodi : Sistem Komputer
Judul tugas : Blog materi konsep dasar keamanan komputer
Hallo untuk yang baca, semoga hari kalian baik-baik aja ya, tetap pakai masker dan jaga kesehatan selama kita masih dalam situasi Covid-19😔😔😔. well anyway hari ini saya akan membahas tentang PPT dari dosen saya yang berjudul "Konsep dasar keamanan komputer" dari bapak dosen saya
Candra Setiawan, ST, MT.
Berikut adalah garis besarnya pembahasan kita kali ini
- Pengertian Keamanan Komputer
- Penyebab Meningkatnya Kejahatan Komputer
- Perlukah Keamanan Komputer?
- Elemen/Komponen Keamanan Komputer
- Konsep Keamanan Lingkup Pengamanan Ancaman Bentuk-bentuk Ancaman Tahapan penyerangan
- Security Cost
Teknologi informasi yang semangkin lama semangkin berkembang memiliki banyak keuntungan dalam kehidupan kita sehari-hari, namun dibalik hal-hal positif tentunya banyak hal-hal negatif yang bermunculan dengan contoh opencurian, penipuan, pemerasan dan masih banyak yang lainnya. Jatuhnya informasi ke tangan pihak lain (contohnya lawan bisnis) dapat menimbilkan kerugian bagi pemilik informasi. sebagai contoh banyak informasi dalam sebuah perusahaan yang sangat rahasa dan bernilai tinggi tang tentu akan sangat merugikan bila di ketahui lawan bisnis.
Di sini kita akan membahas pengertian keamanan komputer menurut John D.Howard dan Gollmann. menurut John D.howard dalam bukunya "an analysis ofscurity incidents on the internet" menyatakan bahwa "keamanan komputer adalah tindakan pencegahan dariserangan plengguna komputer atau pengakses jaringan yang tidak bertanggung jawab."
Sedangkan menurut Gollmann dalam bukunya "keamana komputer adalah berhubungan dengan pencegahan dini dan deteksi terhadap tindakan pengganggu yang tidak di kenali dalam sistem komputer."
PENYEBAB MENINGKATNYA KEJAHATAN KOMPUTER (1)
1. Aplikasi bisnis yang berbasisi komputer dan menggunakan internet meningkat
2. Semangkin banyak hardware atau device yang terhubung ke jaringan seperti internet
3. Desntralisasi server
1. Aplikasi bisnis yang berbasisi komputer dan menggunakan internet meningkat
2. Semangkin banyak hardware atau device yang terhubung ke jaringan seperti internet
3. Desntralisasi server
4. Transisi dari single vendor ke multi vendor
5. Pemakai semangkin cerdas menggunakan teknologi dan kemudahan mendaptkan sofware
6. Kseulitan penegak hukum mengejar kemajuan dunia telekomunikasi dan komputer
5. Pemakai semangkin cerdas menggunakan teknologi dan kemudahan mendaptkan sofware
6. Kseulitan penegak hukum mengejar kemajuan dunia telekomunikasi dan komputer
7. Meningkatnya kompleksitas sistem (teknis & bisnis)
JADI?, PERLUKAH KEAMANAN KOMPUTER??
Dalam teknologi modern telah membawa beragam dinamika dari dunia nyata kedunia virtual seperti transaksi E-banking atau komunikasi seperti E-Mail yang membawa aspek positif maupun negatif dengan contoh pemalsuan, penipuan, dan penggelapan.
informasi memiliki "nilai"merupakan kepemilikan yang harus dijaga seperti kartu kredit, laporan keuangan, dokumen rahasia dll.
KOMPONEN KEAMANAN KOMPUTER
ada tiga faktor utama yang disebut sebagai tujuan (goals)atau aspek dari keamanan, yaitu Confidentiality, Integrity dan Availablity
JADI?, PERLUKAH KEAMANAN KOMPUTER??
Dalam teknologi modern telah membawa beragam dinamika dari dunia nyata kedunia virtual seperti transaksi E-banking atau komunikasi seperti E-Mail yang membawa aspek positif maupun negatif dengan contoh pemalsuan, penipuan, dan penggelapan.
informasi memiliki "nilai"merupakan kepemilikan yang harus dijaga seperti kartu kredit, laporan keuangan, dokumen rahasia dll.
KOMPONEN KEAMANAN KOMPUTER
ada tiga faktor utama yang disebut sebagai tujuan (goals)atau aspek dari keamanan, yaitu Confidentiality, Integrity dan Availablity
Tiga hal di atas adalah core scurity concepts, dan ada juga general scurity concepts yang lain di antaranya adalah Non-repudiation, Authentication, Authorization, access control, dan auditing.
Confidentiality
Confidentiality atau kerahasiaan data, di mana orang yang tidak memiliki akses tidak dapat membukanya. biasanya serangan terjadi melalui penyadapan jaringan, menerobos akses, dampai penanaman Trojan horse maupun keylogger untuk pencurian data. namun ada juga cara dengan social engineering, yaitu dengan meminta orang lain memberikan akses data tersebut sebagai orang yang berhak.
salah satu cara untuk mengamankan data dari serangan adalah dengan kriptografi(teknik menyampaikan pesan secara tersembunyi atau penyandian), dan ada juga pembatasan akses dengan userID dan password namun kita harus memilah data apa saja yang dianggap sebagai data rahasia.
Integrity
Integrity adalah dimana data tidak boleh berubah tanpa izin pihak yang memiliki hak. seperti contoh data hasil transaksi, E-voting yang tidak boleh berubah tanpa melalui proses yang sah. Serangan biasanya dilakukan saat data ditangkap di tengah jalan dan dimodifikasi, lalu kemudian diteruskan ketujuan tanpa penerima menyadarinya. Perlindungan terhadap serangan dapat di lakukan dengan menambah message digest (signature, checksum) yang di kirim secara terpisa sehingga akan terdeteksi jika terjadi peubahan.
Namun masih banyak aplikasi atau sistem yang belum menerapkan. pencatatan terhadap perubahan data juga harus di lakukan sebagai upaya untuk mengetahui terjadinya serangan terhadap integritas ini. namun ini hanya pencegahan terjadinya serangan.
Availability
Availability menyatakan bahwa data harus tersedia ketika dibutuhkan. Serangan terhadap sistem ini adalah dengan membuat system gagal berfungsi, seperti serangan DoS(Fenial of Service) yang membuat system menerima request yang bertubi-tubi yang menyebabkan system menjadi terbebani bahkan server down. Maka muncullah istilah Distributed DoS atau DDoS attack.
Perlindungan terhadap serangan ini dapat dilakukan dengan sistem redundant dan backup, jadi misalkan ada satu system tidak berfungsi maka sistem lainnya dapat menggantikan fungsinya sehingga layanan tetap bisa berjalan. Namun masalah pada sistem backup ini adalah finansial atau biaya yang mahal.
Non-repudiation
Aspek non-repudiation menyatakan bahwa seseorang tidak dapat menyangkal telah melakukan sebuah aktifitas tertentu seperti transaksi. Aspek ini biasanya dibutuhkan untuk aplikasi yang terkait dengan transaksi. Serangan atau masalah pada aspek ini adalah jika terjadi penyangkalan yang akan menyebabkan dispute antar kedua belah pihak. Salah satu cara mengatasinya adalah dengan pencatatan (logging).perlindugnan terhadap serangan pada aspek ini dapat dikaitkan dengan perlindungan terhadap serangan pada aspek integritas dan pencatatan.
Manajemen Risiko
untuk menanggulangi risiko berbasis ancaman dan kelemahan terhadap aset-aset informasi yang meliputi perangkat keras, lunak sistem ,informasi dan manusia. ada beberapa metodologi untuk melakukan manajemen risiko. Salah satu panduan yang cukup banyak digunakan di NIST SP800-30
manajemen risiko terdiri atas beberapa hal:
Confidentiality
Confidentiality atau kerahasiaan data, di mana orang yang tidak memiliki akses tidak dapat membukanya. biasanya serangan terjadi melalui penyadapan jaringan, menerobos akses, dampai penanaman Trojan horse maupun keylogger untuk pencurian data. namun ada juga cara dengan social engineering, yaitu dengan meminta orang lain memberikan akses data tersebut sebagai orang yang berhak.
salah satu cara untuk mengamankan data dari serangan adalah dengan kriptografi(teknik menyampaikan pesan secara tersembunyi atau penyandian), dan ada juga pembatasan akses dengan userID dan password namun kita harus memilah data apa saja yang dianggap sebagai data rahasia.
Integrity
Integrity adalah dimana data tidak boleh berubah tanpa izin pihak yang memiliki hak. seperti contoh data hasil transaksi, E-voting yang tidak boleh berubah tanpa melalui proses yang sah. Serangan biasanya dilakukan saat data ditangkap di tengah jalan dan dimodifikasi, lalu kemudian diteruskan ketujuan tanpa penerima menyadarinya. Perlindungan terhadap serangan dapat di lakukan dengan menambah message digest (signature, checksum) yang di kirim secara terpisa sehingga akan terdeteksi jika terjadi peubahan.
Namun masih banyak aplikasi atau sistem yang belum menerapkan. pencatatan terhadap perubahan data juga harus di lakukan sebagai upaya untuk mengetahui terjadinya serangan terhadap integritas ini. namun ini hanya pencegahan terjadinya serangan.
Availability
Availability menyatakan bahwa data harus tersedia ketika dibutuhkan. Serangan terhadap sistem ini adalah dengan membuat system gagal berfungsi, seperti serangan DoS(Fenial of Service) yang membuat system menerima request yang bertubi-tubi yang menyebabkan system menjadi terbebani bahkan server down. Maka muncullah istilah Distributed DoS atau DDoS attack.
Perlindungan terhadap serangan ini dapat dilakukan dengan sistem redundant dan backup, jadi misalkan ada satu system tidak berfungsi maka sistem lainnya dapat menggantikan fungsinya sehingga layanan tetap bisa berjalan. Namun masalah pada sistem backup ini adalah finansial atau biaya yang mahal.
Non-repudiation
Aspek non-repudiation menyatakan bahwa seseorang tidak dapat menyangkal telah melakukan sebuah aktifitas tertentu seperti transaksi. Aspek ini biasanya dibutuhkan untuk aplikasi yang terkait dengan transaksi. Serangan atau masalah pada aspek ini adalah jika terjadi penyangkalan yang akan menyebabkan dispute antar kedua belah pihak. Salah satu cara mengatasinya adalah dengan pencatatan (logging).perlindugnan terhadap serangan pada aspek ini dapat dikaitkan dengan perlindungan terhadap serangan pada aspek integritas dan pencatatan.
Manajemen Risiko
untuk menanggulangi risiko berbasis ancaman dan kelemahan terhadap aset-aset informasi yang meliputi perangkat keras, lunak sistem ,informasi dan manusia. ada beberapa metodologi untuk melakukan manajemen risiko. Salah satu panduan yang cukup banyak digunakan di NIST SP800-30
manajemen risiko terdiri atas beberapa hal:
- Risk assessment.
- Risk mitigation
- Evaluation.
- Assessment.
Manajemen risiko ini menjadi bagian dari setap langkah pengembangan sistem . hal ini konsisten dengan usulan-usulan integrase keamanan dalam pengembangan perangkat lunak.
Risk Assessment
Langkah pertama dalam manajemen risiko adalah melakukan assessment yang bertujuan untuk mengidentifikasi aset yang ingin di proteksi pada probabilitas kelemahan tersebut dapat dieksploitasi.
Nist Sp 800-30 mengusulkan sembilan langkah dalam melakukan assessment ini.
Langkah pertama dalam manajemen risiko adalah melakukan assessment yang bertujuan untuk mengidentifikasi aset yang ingin di proteksi pada probabilitas kelemahan tersebut dapat dieksploitasi.
Nist Sp 800-30 mengusulkan sembilan langkah dalam melakukan assessment ini.
- System Characterization
- Threat Identification.
- Vulnerability Identification
- Control Aanalysis
- Likelihood Sermination.
- Impact Analysis.
- Risk Determination.
- Control Recommendations.
- Results Documentation
Komentar
Posting Komentar