Dokumen tersebut membahas tentang akuntabilitas dan akses kontrol dalam sistem keamanan informasi. Terdapat empat proses utama akuntabilitas yaitu identifikasi, otentikasi, otorisasi, dan audit. Dokumen juga menjelaskan berbagai teknik identifikasi dan otentikasi seperti password, biometric, token, dan single sign on.

1. Information System
Security
Pertemuan ke-3, Akuntabilitas dan Akses Kontrol.
DudyFathanAli,2013

2. DudyFathanAli,2013
Subject
Object

3. Prinsip Keamanan
• Confidentiality :
• Obyek hanya diperbolehkan di akses oleh yang berhak
saja
• Integrity :
• Subyek diijinkan mengakses namun tetap menjaga
kepastian data dan kebenaran data
• Availability :
• Subyek diberikan ijin tanpa mengurangi ketersediaan
obyek jikalau terdapat subyek lain yang juga
mengakses obyek
DudyFathanAli,2013

4. Akses Kontrol
• Suatu bentuk implementasi keamanan dari hubungan antara
subject dan object.
• 7 jenis akses kontrol berdasarkan kegunaan :
• Preventive Access Control
• Suatu akses kontrol yang digunakan untuk menghentikan dan
mencegah munculnya aktivitas yang tidak diinginkan atau tidak
diijinkan.
• Deterrent access control
• Suatu akses kontrol yang digunakan untuk menghentikan adanya
pelanggaran dan mempersempit kemungkinan terjadinya
pelanggaran.
• Detective access control
• Suatu akses kontrol yang digunakan untuk menemukan aktivitas yang
tidak berijin atau tidak diinginkan.
DudyFathanAli,2013

5. Akses Kontrol
• Corrective access control
• Suatu akses kontrol yang digunakan untuk mengembalikan sistem
kembali ke keadaan normal sebelum terjadi aktivitas yang tidak
diinginkan.
• Recovery access control
• Suatu akses kontrol yang digunakan untuk memperbaiki atau
mengembalikan sumber daya, fungsi, dan kemampuan setelah
terjadinya pelanggaran keamanan.
• Compensation access control
• Suatu akses kontrol yang digunakan untuk menyediakan berbagai
opsi alternatif untuk mendukung kebijakan keamanan bilamana
perangkat lain tidak dapat diimplementasikan karena keadaan yang
tidak memungkinkan.
• Directive access control
• Suatu akses kontrol yang digunakan untuk mengarahkan,
membatasi, mengendalikan aksi yang dilakukan oleh subyek agar
sesuai dengan kebijakan keamanan.
DudyFathanAli,2013

6. Akses Kontrol
• 3 jenis akses kontrol berdasarkan penerapan :
• Administrative access control
• Kebijakan dan prosedur yang didefinisikan oleh organisasi untuk
mengimplementasikan dan memastikan keseluruhan akses kontrol.
• Logical / technical access control
• Mekanisme perangkat lunak atau perangkat keras yang digunakan
untuk mengatur akses pada sumber daya dan sistem serta
memberikan perlindungan pada sumber daya dan sistem tersebut.
• Physical access control
• Penghalang secara fisik yang digunakan untuk mencegah terjadinya
kontak fisik antara subyek dengan obyek.
DudyFathanAli,2013

7. Proses Akuntabilitas
DudyFathanAli,2013
Identification
Authentication
Authorization
Audit & Accountability
User

8. Proses Akuntabilitas
• Identifikasi
• Proses pengenalan suatu subyek dengan sebuah identitas dan
mengkaitkan identitas tersebut dengan haknya. Sehingga dapat
dikatakan ketika subyek diidentifikasi, identitasnya dapat
digunakan untuk memproses tindakan selanjutnya.
• Otentikasi
• Proses verifikasi atau pengujian apakah identitas yang diberikan
merupakan identitas yang valid.
• 3 tipe otentikasi :
• Something you know, co: password, pin, nama ibu kandung, dst.
• Something you have, co: smartcard, mmc, flashdisk, dst.
• Something you are, co: sidik jari, suara, pola retina, bentuk muka, dst
DudyFathanAli,2013

9. Proses Akuntabilitas
• Otorisasi
• Proses yang memastikan si pengguna melakukan suatu tindakan
yang sesuai dengan hak akses nya.
• Access Control Matrix, suatu tabel yang terdiri dari subyek,
obyek, dan aksi yang dapat dilakukan pada subyek maupun
obyek.
DudyFathanAli,2013

10. Proses Akuntabilitas
• Audit dan Akuntabilitas.
• Audit merupakan proses mencatat dan menelusuri aktivitas dan
proses yang dilakukan atau dieksekusi oleh pengguna.
• Pengguna yang terotentikasi bisa dikatakan akuntabel dalam
menggunakan akunnya untuk beraktifitas jika audit trail dan hak
akses nya sesuai.
• Ketentuan audit :
• Sistem harus menyediakan mekanisme untuk menghasilkan rekam
jejak keamanan yang mengandung informasi untuk mendukung
penyelidikan setelah terjadinya kejadian sebagai respon dari pihak
manajemen.
• Sistem harus menyediakan akuntabilitas dalam aplikasi untuk seluruh
kejadian yang dialami oleh suatu aplikasi.
• Sistem harus melindungi rekam jejak dari akses yang tidak berijin.
DudyFathanAli,2013

11. Proses Akuntabilitas
• Ketika beroperasi dalam keadaan normal, sistem harus menyediakan
mekanisme untuk mengendalikan secara dinamis jenis kejadian yang
direkam dalam rekam jejak.
• Sistem harus melindungi mekanisme kontrol audit dari akses yang
tidak berijin.
• Ketika beroperasi dalam keadaan normal, sistem harus mampu
menuliskan rekam jejak kejadian (untuk berbagai hal yang terkait
dengan keamanan)
• Untuk setiap rekaman kejadian, rekaman audit harus memenuhi
standar kriteria minimum
• Masukan berupa karakter string yang merupakan respon dari
pengguna untuk mengisi password tidak boleh disimpan dalam audit
trail (rekam jejak)
• Mekanisme kontrol audit harus menyediakan fasilitas untuk
merekam atau tidak merekam data pengguna yang tidak valid ketika
melakukan proses otentikasi.
DudyFathanAli,2013

12. Proses Akuntabilitas
• Data kontrol audit harus non volatile (tidak hilang ketika
komputer/sistem restart)
• Sistem harus menyediakan mekanisme untuk mengkopi rekam jejak
keamanan ke dalam file dan dapat menyimpannya pada media
penyimpanan yang diinginkan serta mampu disimpan dalam waktu
yang relatif lama.
• Sistem harus menyediakan mekanisme untuk menghapus otomatis
file rekam jejak yang telah usang atau rentang waktu tertentu.
• Sistem harus mempersilahkan fitur untuk mengendalikan suatu
prosedur penyelamatan bilamana suatu kejadian tidak dapat
terekam dengan baik (sistem rekam jejak bermasalah)
• Sistem harus menyediakan sarana untuk memonitor aktivitas sistem
pada suatu terminal.
DudyFathanAli,2013

13. Teknik Identifikasi dan
Otentikasi
• Identifikasi
• Proses mengenali identitas suatu subyek yang telah ditunjukkan
sebelum sistem memulai proses otentikasi, otorisasi dan
akuntabilitas.
• Otentikasi
• Proses verifikasi atau pengujian apakah identitas yang diberikan
merupakan identitas yang valid.
• Identifikasi dan otentikasi selalu bersama-sama sebagai suatu
proses tunggal yang menyediakan identitas dan menyediakan
otentikasi untuk mendapatkan akses pada sistem.
DudyFathanAli,2013

14. Teknik Identifikasi dan
Otentikasi
• Password
• 2 jenis password berdasarkan lama waktu penggunaan :
• Statis, password yang tetap sama hingga waktu yang lama tanpa ada
mekanisme yang bekerja secara otomatis mengganti password
• Dinamis, password yang dapat berubah secara otomatis atau
mengharuskan pengguna untuk mengganti password setelah rentang
waktu tertentu.
• Computer Generated Password
• Tipe password yang dihasilkan oleh komputer sehingga menghasilkan
suatu password yang sangat unik.
• Pass Phrase
• Sekumpulan karakter yang dimodifikasi sehingga menjadi unik. Co :
“iN1 ad4l4H p4s5w0rd s4yA”
DudyFathanAli,2013

15. Teknik Identifikasi dan
Otentikasi
• Cognitive Password :
• Password dengan sekumpulan pertanyaan tentang fakta tentang
pengguna yang telah disimpan dalam sistem. Co : security questions.
• Biasa digunakan dalam komunikasi melalui telepon.
• Rentan Eavesdropping.
• Account Lockout
• Proses menonaktifkan akun pengguna setelah beberapa kali
memasukan password yang salah.
• Mekanisme ini akan otomatis mencatat identitas dari pengguna
yang mencoba memasukan password.
DudyFathanAli,2013

16. Teknik Identifikasi dan
Otentikasi
DudyFathanAli,2013
Crypto-hashes.

17. Teknik Identifikasi dan
Otentikasi
• Biometric
• Teknik identifikasi dan otentikasi yang menggunakan karakteristik
perilaku dan fisiologis yang bersifat unik dari subyek.
DudyFathanAli,2013

18. Teknik Identifikasi dan
Otentikasi
• Jenis-jenis biometric
• Fingerprint
• Face Recognition
• Iris Scan
• Retina Scan
• Palm Recognition
• Palm Geometric
• Voice Pattern Recognition
• Signature Dynamics
• Keystroke Pattern
DudyFathanAli,2013

19. Teknik Identifikasi dan
Otentikasi
DudyFathanAli,2013
Zephyr Chart

20. Teknik Identifikasi dan
Otentikasi
• Token
• Perangkat yang mampu menghasilkan password dan harus
dibawa oleh pengguna.
DudyFathanAli,2013
Token untuk e-banking.

21. Teknik Identifikasi dan
Otentikasi
• Jenis-jenis token :
• Static Token
• Menawarkan bentuk fisik untuk membuktikan identitas.
• Diperlukan metode lain untuk memastikan keamanan yang maksimum.
• Digunakan sebagai perangkat untuk mengidentifikasi daripada perangkat
untuk otentikasi.
• Synchronous Dynamic Password Token
• Menghasilkan password dalam interval yang tetap berdasarkan jam yang
ada pada server otentikasi dan jam pada perangkat untuk disinkronkan.
• Asynchronous Dynamic Password Token
• Menghasilkan password berdasarkan munculnya suatu kejadian.
• Suatu kejadian akan meminta pengguna menekan tombol tertentu pada
token dan selanjutnya menekan tombol tertentu pada server otentikasi
DudyFathanAli,2013

22. Teknik Identifikasi dan
Otentikasi
• Challenge – response token
• Menghasilkan password atau respon berdasarkan instruksi dari sistem
otentikasi.
• Sistem otentikasi akan menampilkan kode atau pass frase yang harus
dimasukan kedalam perangkat token.
• Ticket
• Mekanisme yang mempekerjakan perangkat lain untuk
membuktikan dan menyediakan otentikasi.
• Single Sign On
• Mekanisme yang mempersilahkan subyek diotentikasi hanya
sekali pada suatu sistem dan selanjutnya dapat mengakses
sumber daya tanpa mekanisme otentikasi yang berulang.
DudyFathanAli,2013

23. Terima Kasih
Dudy Fathan Ali.
Akuntabilitas dan Akses Kontrol.
Email : - dudy.fathan@eng.ui.ac.id
- dudyali@gmail.com
DudyFathanAli,2013