KEAMANAN SISTEM

KEAMANAN SISTEM

INFORMASI

INFORMASI

Prepared By : Afen Prana

e-mail :

afen366@yahoo.com

http://afenprana.wordpress.com

01

Pengantar Keamanan

Sistem Informasi

2

Pedoman Perkuliahan

Jam Masuk sesuai jam perkuliahan.

- Toleransi terlambat < = 20 menit sesuai dengan peraturan Jumlah Pertemuan Max : 14 x tatap muka

Ketidakhadiran dibawah 75 % dari jumlah pertemuan

mahasiswa tidak dapat ikut UAS dan dianggap gagal untuk mata kuliah ybs. (sesuai dengan surat No. 051/ST.45/02/AK/2009)

UTS rencana : UAS rencana : Nilai Akhir = - UTS 30% - UAS 40%

- Tugas2, partisipasi aktif, quis : 30% quis : sebelum UTS dan sebelum UAS

Sifat Ujian : UTS Tutup Buku, UAS Buka Buku

Prepared By :

3

Pedoman Tugas

Tugas Mahasiswa/I terbagi atas : tugas mandiri dan

tugas kelompok.

Tugas Kelompok, anggotanya max. 4 orang

Tugas-tugas dapat di kirimkan melalui e-mail :

tugas2000@yahoo.com

1. Tugas Mandiri (subjek : harikuliah_nim_nama.

cth : rabupagi_062110000_carlos tadjoedin)

2. Tugas Kelompok (subjek : harikuliah_nimketua_tk?

cth : rabupagi_062110000_carlos_tk1

Tugas diserahkan pada tanggal yang ditentukan,

terlambat 1 hari

discount

10 point.

Lebih lanjut di kelas.

Prepared By :

4

Dieter Gollmann, 2000,

Computer Security

, John Wiley & Sons, England

Jennifer Sebery & Josef Pieprzyk, 1989,

Cryptography : An

Introduction to Computer Security

, Prentice Hall

Linda volonino and stephen robinson, 2004,

“Principel and

practice of information security”

, Prentice hall.

Whitman & Mattord, 2004,

Management of Information

Security,

Thomson Course Technology.

http://csrc.nist.gov

NIST SP 800-12,

An Introduction to Computer Security:

The NIST Handbook

NIST SP 800-100,

An Introduction to Computer Security:

The NIST Handbook

NIST SP 800-14,30,34,50, dsb

http://iso17799world.com/auth.htm

ISO 17799 and BS7799

Pustaka Utama

Prepared By :

5

Prepared By :

6

Definisi

‰

Informasi (

Information

)

9 Informasi : data yang telah diklasifikasikan atau

diolah atau diinterpretasikan untuk digunakan dalam

proses pengambilan keputusan. (Tata Sutabri, 2004,

18)

9 Informasi : data yang telah diolah menjadi sebuah

bentuk yang berarti bagi penerimanya dan

bermanfaat dalam pengambilan keputusan saat ini

atau saat mendatang. (Abdul Kadir, 2003, 31)

9 Informasi : suatu data yang disampaikan baik secara

langsung maupun tidak langsung, tepat pada waktu,

sasaran dan sesuai kebutuhannya oleh si penerima.

Informasi adalah data yang telah diolah menjadi

suatu bentuk yang berarti bagi si penerima dan

bermanfaat dalam pengambilan keputusan saat ini

dan saat mendatang. (Jogiyanto, HM, 2000, 10)

Prepared By :

7

™ Informasi : salah suatu asset penting dan sangat berharga

bagi kelangsungan hidup bisnis dan disajikan dalam berbagai

format berupa : catatan, lisan, elektronik, pos, dan audio

visual.

™ Sangat pentingnya nilai sebuah informasi menyebabkan

seringkali informasi diinginkan hanya boleh diakses oleh

orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain

(misalnya pihak lawan bisnis) dapat menimbulkan kerugian

bagi pemilik informasi. Sebagai contoh, banyak informasi

dalam sebuah perusahaan yang hanya diperbolehkan

diketahui oleh orang-orang tertentu di dalam perusahaan

tersebut, seperti misalnya informasi tentang produk yang

sedang dalam development, algoritma-algoritma dan

teknik-teknik yang digunakan untuk menghasilkan produk tersebut.

Untuk itu keamanan dari sistem informasi yang digunakan

harus terjamin dalam batas yang dapat diterima.

Prepared By :

8

Definisi

‰ Sistem (

Systems)

9 Sistem : sekelompok elemen-elemen yang

terintegrasi dengan maksud yang sama untuk

mencapai tujuan (Raymond McLeod, 2004, 9).

9 Suatu sistem adalah suatu jaringan kerja dari

prosedur-prosedur yang saling berhubungan,

berkumpul bersama-sama untuk melakukan suatu

kegiatan atau menyelesaikan sasaran tertentu

(Jogiyanto H.M., 2001, 1).

9 Kumpulan elemen2 yang saling terkait dan bekerja

sama untuk memproses masukan /input yg ditujukan

kepada sistem tersebut dan mengolah masukan

tersebut sampai menghasilkan keluaran/output yang

diinginkan (Kristanto, A, 2003,2)

Prepared By :

9

Definisi

‰ Sistem Informasi

9 Kombinasi antara prosedur kerja, informasi, orang

dan teknologi informasi yang diorganisasikan untuk

mencapai tujuan dalam sebuah organisasi.

9 Kumpulan perangkat keras dan perangkat lunak yang

dirancang untuk mentransformasikan data kedalam

bentuk informasi yang berguna.

9 Suatu sistem buatan manusia yang secara umum

terdiri atas sekumpulan komponen berbasis

komputer dan manual yg dibuat menghimpun,

menyimpan dan mengelola data serta menyediakan

informasi keluaran kepada para pemakai. (Abdul

Kadir,2003,11)

Prepared By :

10

Prepared By :

11

Definisi

‰

Keamanan

9 Menurut

Harold F. Tipton

: Keamanan biasanya

digambarkan sebagai kebebasan dari bahaya atau sebagai

kondisi keselamatan.

9 Keamanan Komputer, secara rinci, adalah perlindungan

data di dalam suatu sistem melawan terhadap otorisasi

tidak sah (dikenal sebagai

intruders),

modifikasi, atau

perusakan dan perlindungan sistem komputer terhadap

penggunaan tidak sah, modifikasi, atau penolakan

terhadap layanan/

denial of service

(DoS).

9

Computer security deals with the prevention and

detection of unauthorized actions by users of a computer

system (Gollmann, 2000)

9 Menurut Whitman dan Mattord :

“

kualiti atau status

menjadi secure – menjadi bebas dari bahaya ”

The quality

or state of being secure - to be free from danger

”

Prepared By :

12

Wikipedia,

security “security is the degree of

protection against danger, loss, and criminals

”

Menurut G. J. Simons, keamanan informasi adalah

bagaimana kita dapat mencegah penipuan

(

cheating

) atau, paling tidak, mendeteksi adanya

penipuan di sebuah sistem yang berbasis informasi,

dimana informasinya sendiri tidak memiliki arti fisik.

Wikipedia,

Information security : “protecting

information and information systems from

unauthorized access, use, disclosure, disruption,

modification or destruction”

Sumber : http://en.wikipedia.org/wiki/Security

Sumber : http://en.wikipedia.org/wiki/Information_security

Prepared By :

13

Pengantar

Konvergensi 3 C (Communications, Computing dan Content)

Aktivitas menjadi lebih mudah karena aktivitas dilakukan tanpa batas ruang dan waktu

Sistem Rancangan yang “terbuka”

Jaringan komputer, seperti LAN,MAN,WAN dan Internet, memungkinkan untuk menyediakan informasi secara cepat. Terhubungnya LAN atau komputer ke Internet membuka potensi adanya lubang keamanan (

security hole

) yang tadinya bisa ditutupi dengan mekanisme keamanan secara fisik.

Sikap dan pandangan pemakai

Aspek keamanan belum banyak dimengerti

Menempatkan keamanan sistem pada prioritas rendah

Ketrampilan

(skill)

pengamanan kurang

Prepared By :

14

Mungkinkah Aman ?

Sangat sulit 100 % aman.

Pendapat bahwa kemudahan (kenyamanan)

mengakses informasi berbanding terbalik

dengan tingkat keamanan sistem informasi

itu

sendiri. Semakin

tinggi

tingkat

keamanan, semakin sulit (tidak nyaman)

untuk mengakses informasi atau Semakin

tidak aman, semakin nyaman (

security VS

convenience

).

Prepared By :

15

Keamanan

• Keamanan itu tidak dapat muncul demikian saja.

Jadi keamanan harus direncanakan. contoh : Jika kita

membangun sebuah rumah, maka pintu rumah kita harus

dilengkapi dengan kunci pintu. Jika kita terlupa

memasukkan kunci pintu pada budget perencanaan

rumah, maka kita akan dikagetkan bahwa ternyata harus

keluar dana untuk menjaga keamanan. Bayangkan bila

kita mendesain sebuah hotel dengan 200 kamar dan lupa

membudgetkan kunci pintu. Dampaknya sangat besar.

Demikian pula di sisi pengamanan sebuah sistem

informasi. Jika tidak kita budgetkan di awal, kita akan

dikagetkan dengan kebutuhan akan adanya perangkat

pengamanan (

firewall, Intrusion Detection System, anti

virus, Dissaster Recovery Center

, dan seterusnya).

Prepared By :

16

Keamanan Contd…

• Keamanan dicapai menggunakan beberapa strategi yg

dilakukan secara serentak.

• Apabila menggangu performansi dari sistem, Seringkali

keamanan dikurangi atau ditiadakan.

• Contoh Kerugian :

¾ Hitung kerugian apabila sistem informasi anda tidak bekerja selama 1 jam, selama 1 hari, 1 minggu, dan 1 bulan. (Sebagai perbandingkan, bayangkan jika server Amazon.com tidak dapat diakses selama beberapa hari. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.)

¾ Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi anda. Misalnya web site anda mengumumkan

harga sebuah barang yang berbeda dengan harga yang ada di toko anda.

Prepared By :

17

Keamanan Contd…

¾ Hitung kerugian apabila ada data yang hilang, misalnya berapa kerugian yang diderita apabila daftar pelanggan dan invoice hilang dari sistem anda. Berapa biaya yang dibutuhkan untuk rekonstruksi data.

¾ Apakah nama baik perusahaan anda merupakan sebuah hal yang harus dilindungi? Bayangkan bila sebuah bank terkenal dengan

rentannya pengamanan data-datanya, bolak-balik terjadi

security

incidents

. Tentunya banyak nasabah yang pindah ke bank lain karena takut akan keamanan uangnya.

Prepared By :

18

Beberapa kasus keamanan sistem informasi

Kasus Keamanan

● Pihak yang tidak bertanggung-jawab (etika dan tanggung jawab): – typosite, cybersquatting

– memanfaatkan kartu-kredit untuk belanja. – memalsukan email, spam

– memalsukan transaksi e-commerce. – membuat virus komputer.

– menyerang/memacetkan saluran internet. - …

● Perangkat makin kecil USB

Handphone berkamera Pen Camera

● Mulai beranjak dari teknis (teknologi) ke masalah non-teknis Manusia

Proses, Prosedur

harus dipahami secara menyeluruh (holistik)

Prepared By :

19

Masalah non-teknis

Terkait dengan kebijakan keamanan (

security policy

)

Belum ada kebijakan

Kebijakan tidak diketahui keberadaannya

Kebijakan tidak dimengerti (

lack of awareness

)

Kebijakan tidak dipatuhi

Kebijakan tidak ditegakkan (

lack of enforcement

)

Penggunaan Komputer?

„

„

Komputer dapat digunakan membantu

Komputer dapat digunakan membantu

menyelesaikan masalah, tetapi

menyelesaikan masalah, tetapi

manusialah

manusialah

yang

yang

menyelesaikannya.

menyelesaikannya.

Prepared By :

20

Kasus2 yg terjadi

Beberapa web site Indonesia sudah dijebol dan daftarnya (beserta contoh halaman yang sudah dijebol) dapat dilihat di koleksi

<http://www.2600.com> dan alldas.de

September 2000. Polisi mendapat banyak laporan dari luar negeri

tentang adanya user Indonesia yang mencoba menipu user lain pada situs web yang menyediakan transaksi lelang (

auction

) seperti eBay.

16 April 2001. Polda DIY meringkus seorang

carder

2

Yogya.Tersangka diringkus di Bantul dengan barang bukti sebuah paket yang berisi lukisan (Rumah dan Orang Indian) berharga Rp 30 juta. Tersangka berstatus mahasiswa STIE Yogyakarta.

Juni 2001. Seorang pengguna Internet Indonesia membuat

beberapa situs yang mirip (persis sama) dengan situs klikbca.com, yang digunakan oleh BCA untuk memberikan layanan Internet

banking. Situs yang dia buat menggunakan nama domain yang mirip dengan klikbca.com, yaitu kilkbca.com (perhatikan tulisan “kilk” yang sengaja salah ketik),wwwklikbca.com (tanpa titik antara kata “www” dan “klik”),clikbca.com, dan klickbca.com. Sang user mengaku bahwa dia medapat memperoleh PIN dari beberapa nasabah BCA yang salah mengetikkan nama situs layanan Internet banking tersebut.

Prepared By :

21

Contd…

Akhir 2004. WORM Sasser, menyebabkan kerusakan ribuan

komputer di seluruh dunia termasuk Indonesia. Pembuatnya warga negara Jerman bernama Sven Jaschan berusia 19 tahun.

Maret 2005. Indonesia dan Malaysia berebut pulau Ambalat. Hacker

Indonesia dan Malaysia berlomba-lomba untuk merusak situs-situs negara lainnya. Beberapa contoh halaman web yang dirusak disimpan di situs http://www.zone-h.org.

Awal 2009, virus ‘conficker’. Virus tersebut secara khusus memang menyasar ke pengguna sistem operasi Windows buatan Microsoft, mulai dari versi Windows XP, Vista, hingga Windows 7 versi Beta. Ada hadiah sebesar US$ 250 ribu atau sekitar Rp 3 miliar akan diberikan Microsoft bagi siapa pun yang berjasa menangkap pelaku pembuat virus ‘Conficker’.

Dst…

Prepared By :

22

Prepared By :

23

Contd…

Prepared By :

24

Contd…

Prepared By :

25

Contd…

Prepared By :

26

Koran Tempo, 26 September 2003

Contd…

Prepared By :

27

KEJAHATAN DI ATM

Sumber:

Surat Pembaca, Kompas, 2003

28

Sumber informasi dan organisasi yangberhubungan dengan keamanan sisteminformasi

Bagian ini memuat link yang berhubungan dengan keamanan informasi. Sayangnya seringkali banyak situs yang tutup, karena satu dan lain hal. Kemudian muncul situs-situs baru. Akibatnya daftar di bawah ini menjadi cepat kadaluwarsa. Mudah-mudahan daftar ini masih tetap dapat menjadi titik mula (starting point dalam mencari informasi.

1. 2600

http://www.2600.com

Berisi informasi tentang bermacam-macam hacking bawah tanah beserta koleksi

gambar dari tempat-tempat (web site) yang pernah dihack.

2. Anti Online

http://www.antionline.com

3. CERT (Center of Emergency Response Team)

http://www.cert.org

Merupakan sumber informasi yang cukup akurat dan up to date tentang keamanan Internet. CERT Advisories merupakan

pengumuman berkala tentang security hole and cara mengatasinya.

4. CIAC

ftp://ciac.llnl.gov/pub/ciac

5. COAST (Computer Operations, Audit, and Security Technology)

http://www.cs.purdue.edu/coast/coast.html

Berisi informasi tentang riset, tools, dan

informasi yang berhubungan dengan masalah keamanan.

6. Cryptology ePrint Archive

http://eprint.iacr.org/

Berisi koleksi makalah yang berhubungan dengan kriptologi.

7. CSI (Computer Security Institute)

http://www.gocsi.com

Hasil survey, materi seminar.

8. CVE (Common Vulnerabilities and Exposure)

Organisasi yang teridiri atas lebih dari 20 organisasi yang berhubungan dengan

security, termasuk di dalamnya perusahaan security dan institusi pendidikan.

http://cve.mitre.org

9. Electronic Frontier Foundation

http://www.eff.org

Banyak berisi informasi tentang kebebasan informasi, privacy dan

masalah-masalah yang berhubungan dengannya.

10. Electronic Privacy Information Center

http://www.epic.org

11. Dll Prepared By :

29

Prepared By :

30

Prepared By :

Prepared By : AfenAfen PranaPrana