SlideShare a Scribd company logo

pengantar_keamanan_sistem_informasi_pptx.pptx

Download as PPTX, PDF
B
BudiHsnDaulay

Keamanan sistem informasi

Technology
1 of 214
MULAI MATERI
MULAI MATERI
Ketentuan Perkuliahan Durasi Belajar 16 x Pertemuan 2 SKS. (50 menit) / Pertemuan Mematuhi Aturan Kesepakatan Kelas. Aktif belajar, bertanya, dan diskusi. Memiliki buku pegangan / referensi. Mengikuti UTS dan UAS.
MULAI MATERI
ANCAMAN TERHADAP KEAMANAN SISTEM sistem informasi yang modern selalu berada : • Kerentanan • penyalah gunaan. perlindungan dalam suatu sistem informasi. pengamanan yang merujuk kepada 1. kebijakan 2. Prosedur 3. pengukuran teknik yang digunakan untuk mencegah akses yang tidak sah 4. penggantian, 5. pencurian, 6. kerusakan fisik pada sistem informasi. Sedangkan pengendalian terdiri atas : 1. metode, 2. kebijakan, 3. prosedur organisasi yang menjamin keselamatan aset-aset organisasi, 4. ketepatan, 5. keandalan catatan rekeningnya serta kepatuhan operasional pada standar- standar manajemen.
• Di tahun 1997 majalah Information Week melakukan survey terhadap 1271 sistem atau network manager di Amerika Serikat. Hanya 22% yang menganggap keamanan sistem informasi sebagai komponen sangat penting (“extremely important”). • Mereka lebih mementingkan : “reducing cost” dan “improving competitiveness” Mekipun perbaikan sistem informasi setelah dirusak justru dapat menelan biaya yang lebih banyak. terlihat sebagai besaran yang tidak dapat langsung diukur dengan uang (intangible), keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran yang dapat diukur dengan uang (tangible).
• Perusahan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis komputer didalam perusahan. Tujuan 1. integeritas, 2. kelanjutan dan kerahasian dari pengolahan data. 3. Keuntungan dengan meminimalkan resiko harus diimbangi dengan biaya yang dikeluarkan untuk tujuan pengamanan. • Repotasi organisasi akan dinilai masyarakat apabila dapat diyakini oleh: 1. Integeritas (Integerity) Informasi 2. Kerahasian (Confidentiality) 3. Ketersediaan (Availability) Informasi
• Informasi adalah aset organisasi yang sangat berharga dan penting seperti aset-aset yang lain misalnya .?????? • Sistem informasi suatu keharusan untuk melindungi aset perusahan untuk dari berbagai ancaman. • Katagori aset –aset sistem informasi • Analis • Programmer • Operator • database • adminstraktor • Spesialis jaringan • Spesialis PABX.  PersonalSistem : Hardware •CPU •Printers •Terminal/monitor •Routers •Switch
Software Aplikasi •Sistem Debtors •Creditors •Pengajian •GL •ERP • Operating Sistem • Compilers • Utilities • Database system. System Software Data • Transfer File • Backup File, Fasilitas • Mebel • Ruang Kantor • Filing Cabinet • Tapes • CD,DVD,disk pack • Kertas • Printer,Tinta Printer Penunjang
• Ancaman adalah suatu aksi atau kejadian yang dapat merugikan perusahan yang dapat merugikan perusahan. Ancaman aktif mencakup kecurangan dan kejahatan terhadap komputer Ancaman pasif mencakup kegagalan sistem, kesalahan manusia, dan bencana alam 1. Hardware : Dikarenakn kerusakan pada byar pet (listrik), kortsleting, disk crashes. 2. Software failure : Dikarenakan oleh kesalahan sistem Operasi, kesalahan program update,tidak cukup memadainya uji coba program. 3. Kegagalan SDM : Dikarenakan sangat minimnya training atau pelatihan bagi personel. 4. Alam : Dikarenakan faktor cuaca yang tidak normal,Panas, banjir, gas, proyektil, gempa,letusan gunung 5. Keungan : Biasanya disebabkan oleh tuntutan hukum pihak ketiga, pailit, mogok kerja, hura- hura 6. Eksternal : Sabotase,sepionase, hura-hura 7. Internal :Dalam bentuk kecurangan, pencurian,kejahatan (virus,membangun malicius software). Ancaman
 usaha untuk menjaga informasi dari orang-orang yang tidak berhak mengakses.  Privacy lebih kearah data-data yang sifatnya privat. Serangan terhadap aspek privacy misalnya usaha untuk melakukan penyadapan.Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy adalah dengan menggunakan teknologi “KRIPTOGRAFI”.  Konfidentil (Confidential) Apabila informasi ini disebarluaskan maka ia akan merugikan privasi perpeorangan, merusak repotasi organisasi  Ristricted Informasi ini hanya ditujukan kepada orang-orang tertentu untuk menopang bisnis organisasi.  Internal Use Informasi ini hanya boleh digunakan oelh pegawai perusahan untuk melaksanakan tugasnya.  Public Informasi ini dapat diperluaskan kepada umum melalui jalur yang resmi. Sangat rahasia Inti utama dari aspek kerahasiaan adalah:
MULAI MATERI
Kebijakan Keamanan Sistem Informasi Kebijakan keamanan sistem informasi biasanya disusun oleh pimpinan operasi beserta pimpinan ICT (Information Communication Technology) dengan pengarahan dari pimpinan organisasi.
• Tanggung jawab semua karyawan • Penetapan pemilik sistem informasi • Langkah keamanan harus sesuai dengan peraturan dan undang-undang • Antisipasi terhadap kesalahan • engaksesan kedalam sistem harus berdasarkan kebutuhan fungsi • User harus dapat meyakinkan kebutuhannya untuk dapat mengakses ke sistem sesuai degan prinsip “need to know”. Pemilik sistem harus bertanggung jawab atas pemberian akses ini. • Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di sistem informasi • Sistem komputer milik perusahaan beserta jaringannya hanya diperbolehkan untuk dipakai demi kepentingan bisnis perusahaan.Data perusahaan hanya diperbolehkan dipakai untuk bisnis perusahaan dan pemilik sistem bertanggung jawab penuh atas pemberian pengaksesan terhadap data tersebut. • Pekerjaan yang dilakukan oleh pihak ketiga Rangkaian konsep secara garis besar dan dasar prosedur keamanan sistem informasi :
• Keamanan informasi menggambarkan usaha untuk melindungi komputer dan non peralatan komputer, fasilitas, data, dan informasi dari penyalah gunaan oleh orang yang tidak bertanggung jawab. • Masalah keamanan informasi merupakan salah satu aspek penting dari sebuah sistem informasi. • Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama yaitu: Informasi • Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai akhir sistem informasi • Untuk menjaga kestabilan sistem informasi : pemisahan secara fungsional antara pengembang sistem, pengoperasian sistem harian dan pemakai akhir. pihak ICT terutama bagian pengembangan sistem tidak dibenarkan apabila ia menangani administrasi yang menyangkut keamanan sistem. • Implementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah ada harus melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan permintaan perubahan (change request)
• Perubahan terhadap sistem informasi hanya melalui prosedur yang berlaku untuk pengembangan dan implementasi sistem baru. • Sistem yang akan dikembangkan harus sesuai dengan standart metode pengembangan sistem yang diemban oleh organisasi • Sistem yang akan dibangun harus memakai bahasa pemograman yang telah ditetapkan. Tidak dibenarkan apabila programer membuatnya dengan bermacam-macam bahasa pemograman.Patut dipertimbangkan semua risiko keamanan beserta penanggulannya di dalam sistem.Sebelum sistem aplikasi diimplementasikan, pemilik sistem harus mengevaluasi dan menilai keadaan keamanan di dalam aplikasi tersebut. • Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan memakai kode identiitasnya (user-ID) • Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua aktivitas yang dilakukan dengan ID ini akan terekam di dalam audit-trial. Pemakai tidak dapat memungkiri bukti ini, apabila terjadi kesalahan fatal yang mengakibatkan kerugian terhadap perusahaan. Kesalahan yang berdampak akan mengakibatkan peringatan atau pemutusan hubungan kerja terhadap pemilik user-ID ini. Lanjutan
• LANGKAH-LANGKAH KEAMANAN : 1. Keamanan Fisik Komputer : • membatasi akses fisik ke mesin : • Akses masuk ke ruangan computer, penguncian komputer secara hardware, keamanan BIOS, keamanan Bootloader back-up data : pemilihan piranti back-up, penjadwalan back-up, mendeteksi gangguan fisik pada saat computer akan di- reboot, PRINSIP DASAR PERANCANGAN SISTEM YANG AMAN
• Log pendek atau tidak lengkap, log yang berisikan waktu yang aneh, log dengan permisi atau kepemilikan yang tidak tepat, catatan pelayanan reboot atau restart, log yang hilang, masukan atau login dari tempat yang janggal • mengontrol akses sumber daya dengan tool seperti system security yang dapat mengunci semua system dari pengaksesan setelah password bios.Tapi masih ada kemungkinan seseorang mengetahui password untuk mengakses system tersebut. • Mengunci console dengan menggunakan xlock dan vlock yaitu program kecil untuk mengunci agar seseorang tidak dapat mengganggu atau melihat kerja yang dilakukan dengan mengunci tampilan yang membutuhkan password untuk membukanya. xlock dapat digunakan untuk mengamankan desktop pada saat meninggalkan meja anda, dan vlock berfungsi untuk mengunci beberapa atau semua console teks yang terbuka. hal yang perlu diperiksa pada log dengan mencatat kejanggalan yang ada
Berkaitan dengan user dan hak-haknya dengan memberikan account kepada orang yang tepat sesuai kebutuhan dan tugas-tugasnya : • Beri mereka fasilitas minimal yang diperlukan. • Hati-hati terhadap saat/dari mana mereka login, atau tempat seharusnya mereka login. • Pastikan dan hapus rekening mereka ketika mereka tidak lagi membutuhkan akses. 2. Keamanan lokal
• Jangan sekali-sekali login sebagai root, jika tidak sangat perlu. • ika terpaksa ingin menggunakan root, loginlah sebagai user biasa kemudian gunakan perintah su (substitute user) • angan sekali-sekali menggunakan seperangkat utilitas, seperti rlogin/rsh/rexec (utilitas r) sebagai root. Semua itu menjadi sasaran banyak serangan, dan sangat berbahaya bila dijalankan sebagai root. Jangan membuat file .rhosts untuk root. • Jangan pernah menggunakan “.”, yang berarti direktori saat ini dalam penyertaan path. Sebagai tambahan, jangan pernah menaruh direktori yang dapat ditulis pada jalur pencarian anda, karena hal ini memungkinkan penyerang memodifikasi atau menaruh file biner dalam jalur pencarian anda, yang memungkinkan mereka menjadi root ketika anda menjalankan perintah tersebut. • Batasi penggunaan konsol untuk login sebagai root • Selalu perlahan dan berhati-hati ketika menjadi root. Tindakan anda dapat mempengaruhi banyak hal. Pikir sebelum anda mengetik! 3. Keamanan Root
• Seorang administrator system perlu memastikan bahwa file-file pada system tidak terbuka untuk pengeditan oleh pemakai dan grup yang tidak seharusnya melakukan pemeliharaan system. • Directory home user tidak boleh mengakses perintah mengubah system seperti partisi, perubahan device dan lain-lain. • Lakukan setting limit system file. • Atur akses dan permission file : read (mampu melihat isi file, dan membaca directori), write (mampu menambah dan mengubah file, menghapus atau memindahkan file dalam sebuah direktori), execute (mampu menjalankan program biner atau script shell, mencari sebuah directory yang dikombinasikan dengan permisi read) bagi user maupun group. • Selalu cek program-program yang tidak dikenal 4. Keamanan File dan system file
• Hati-hati terhadap bruto force attack, seperti “Crack” atau “John the Ripper” sering digunakan untuk menerka password. Usahakan dengan membuat password yang baik. • Selalu mengenkripsi file yang dipertukarkan. 5. Keamanan Password dan Enkripsi
• Kernel merupakan otak system operasi yang mengatur pemakai banyak (multiple users) dan proses, mengelola directory system serta melakukan seluruh pengelolaan I/O untuk system tersebut. • selalu update kernel system operasi. • Ikuti review bugs dan kekurang-kekurangan pada system operasi. 6. Keamanan Kernel
• Waspadai paket sniffer yang sering menyadap port Ethernet. • Lakukan prosedur untuk mengecek integritas data • Verifikasi informasi DNS • Lindungi network file system • Gunakan firewall untuk barrier antara 7. Keamanan Jaringan
• Dengan munculnya komputer di lingkungan organisasi,aset perusahaan akan bertambah sehingga diperlukan sebuah pemikiran untuk melindunginya yang merupakan sebuah keharusan atau kewajiban. integrity Confidentiality Availability
• ISO (the International Organization for Standarization) dan IEC (the International Electrotechnical Commission) membentuk sistem khusus untuk standardisasi universal. Badan-badan nasional anggota ISO dan IEC berpartisipasi dalam pengembangan standardisasi internasional melalui panitia teknis yang disepakati oleh organisasi-organisasi yang terpercaya keahliannya dalam aktivitas-aktivitas teknis. • Standar internasional ISO/IEC 17799 dipersiapkan oleh Institut Standar Inggris (dikenal sebagai BS 7799) dan diadopsi di bawah “prosedur jalur cepat” khusus oleh Panitia Teknis Gabungan ISO/IEC JTC 1, Teknologi Informasi, secara bersamaan dengan persetujuan dari badan-badan nasional ISO dan IEC). • Pada tahun 1994 dalam seminar yang diselenggarakan oleh ISO dan IRAM di Argentina, salah satu wakil dari ISO mengusulkan bahwa standardisasi dan kualitas harus didasarkan pada sedikit- ISO 17799
1. Business Continuity Planning 2. System Control Access 3. System Development dan Maintenance 4. Physical and Environmental Security 5. Compliance 6. Personal Security 7. Security Organization 8. Computer and Network Management 9. Asset Classification and Control 10.Security Policy ISO 17799 terdiri dari
halaman 31 dari 50 halaman SISTEM - SMM ISO 9001 - SML ISO 14001 - OHSAS, SMK3, DLL SISTEM PENGUJIAN/ UAS/UTS/SIDANG DLL JENIS STANDAR / SPESIFIKASI FISIK (Gedung, Lab, dll) DOKUMEN STANDAR / SPESIFIKASI DOKUMEN (Gedung, Lab, dll) KEMAJUAN IPTEK STANDAR / SPESIFIKASI DOKUMEN SISTEM - ISO 9001: 2008 KERAGAMAN/ KOMPETENSI LULUSAN KOMPATIBILITAS LULUSAN/ PRODUK -SPLN 42-3:1992 - SNI 04-6507.1- 2002 - DLL
• ILUSTRASI D A C P ISO 9001 STANDAR MUTU PRODUK TERTENTU ISO 9001 PERBAIKAN BERKELANJUTAN D A C P STANDAR SISTEM MUTU ISO 9000
FUNDAMENTALS OF QUALITY MANAGEMENT SYSTEM Pengelolaan sumber daya Input Output M A H A S I S W A PERBAIKAN BERKESINAMBUNGAN SISTEM MANAJEMEN MUTU PT P e r s y a r a t a n Tanggung jawab manajemen Ujian, analisis dan perbaikan ALUMNI Realisasi LULUSAN K e p u a s a n Pertambahan nilai Aliran Informasi Kunci: Model sistem manajemen mutu berdasarkan proses M A H A S I S W A
Level III instruksi kerja dan dokumen pendukung lainnya Level II Prosedur Level I Pedoman Mutu Why What, When, Where & Who How (Current Practice) Philosophie s and Policies Menggambarkan secara garis besar latar belakang, kebijakan dan sasaran perusahaan. Principles and Strategies Menggambarkan mengenai interaksi suatu bagian dengan bagian yang lain. Menggambarkan mengenai bagaimana aktivitas di suatu bagian dilaksanakan. RECORDS (Proof) Struktur Dokumentasi Sistem Mutu DOKUMENTASI SISTEM MUTU
Tujuan : – Memberi informasi kepada karyawan dan pelanggan, tentang tujuan dan kebijakan manajemen dalam hal mutu. – Memberi jaminan kepada asesor atau pembaca, bahwa organisasi telah menerapkan sistem mutu yang sesuai dengan ISO 9001 Isi : – Menggambarkan setiap elemen dari ISO 9001 yang diterapkan dalam perusahaan. – Penggambaran tersebut tidak perlu sangat detail. – Secara luas, Pedoman Mutu menyatakan apa yang dilakukan untuk menjamin mutu produk (barang atau jasa) Pedoman Mutu
Pernyataan Kebijakan Mutu  Menyatakan komitmen manajemen puncak, sebagai pencerminan komitmen perusahaan secara menyeluruh  Memberi jaminan bahwa mutu merupakan salah satu aspek penting dalam kebijakan perusahaan  Ditandatangani oleh top manajemen  Harus dimengerti oleh setiap karyawan  Penerapannya merupakan tanggung jawab manajemen
Isi Kebijakan Mutu  Menyatakan  Tujuan perusahaan dalam hal mutu  Komitmen perusahaan untuk memenuhi persyaratan dan senantiasa memperbaiki keefektifan sistem manajemen mutu.  Kerangka kerja untuk menetapkan dan meninjau tujuan mutu.  Kebijakan mutu akan ditinjau agar selalu sesuai.  Menguraikan  Bagaimana kebijakan mutu diketahui dan dimengerti oleh karyawan  Bagaimana kebijakan mutu diterapkan dan dipelihara Pedoman Mutu
QUALITY MANUAL (Manual define concept) PROCEDURE (Process to Activities) WORK INSTRUCTION (Activities to Tasks) MAJOR BUSINESS PROCESS ACTIVITIES PROCESSES TASKS PROSEDUR, INSTRUKSI KERJA, REKAMAN
S – P - O Suppliers Customers (MAHASISWA) SMM: Kebijakan Manual Perencanaan Sasaran PK & IK CQI Proses pelayanan Pendidikan Structure Proses Outcome Leadership Management SMM: Sistem yang menjamin kualitas lulusan dan proses melalui standardisasi dan perbaikan yang berkesinambungan
S – P - O Suppliers Customers BPM QMS Qmanual QI Kebijakan Sasaran Perencanaan Prosedur Instruksi kerja
Bagaimana ISO 9000 dapat menjamin hal tersebut?
• Dampak dari penggunaan komputer yang merupakan alat bantu didunia bisnis demi meningkatkan efisiensi dalam hal pemberian informasi yang lebih cepat dan akurat, telah menciptakan masalah tambahan untuk pemeriksaan dan pengontrolan, yang sebelumnya belum pernah ada atau terpikirkan. 1. Sentralisasi Data 2. Pengaksesan data 3. Pemisahan Tugas / Segregation of duties 4. Kekurangan audit trail (bukti secara fisik) 5. Tidak tersedianya prosedur dan dokumentasi yang memadai 6. Pengetahuan teknologi yang tinggi 7. Teknologi telah merubah pola berbisnis 8. Tingkat otoritas 9. Keterlibatan audit Dampak dari pemanfaatan Komputer
Strategi Keamanan sistem informasi dibutuhkan karena  Informasi yang dihasilkan oleh komputer merupakan hal yang penting untuk mensukseskan bisnis  Teknologi yang baru telah mengubah pola lingkungan bisnis, termasuk ancaman dan serangan dari luar lingkungan.  Keamanan sistem informasi merupakan kunci keberhasilan untuk menggunakan alat bantu baik dalam bentuk hardware maupun software dalam berbisnis dan pemerosesan.  Penerapan kebijakan dan standar yang memadai akan menentukan arah keamanan sistem informasi  Bisnis secara elektronik membutuhkan kepercayaan bisnis  Bisnis perusahan sangat tergantung dengan ICT.  Banyak faktor yang membutuhkan pendekatan secara terintegrasi dan untuk jangka panjang Kebutuhan atas Strategi Keamanan Sistem Informasi
MULAI MATERI
Keamanan informasi diperoleh dengan menginplementasikan bermacam-macam alat kontrol dan juga kebijakan-kebijakan atau prosedur-prosedur. • Langkah awal organisasi harus mempelajari dan terlebih dahullu harus mengevaluasi semua risiko yang akan dihadapi dengan komputerisasi pada perusahan tersebut. Assess Risk
a. Arsip elektronik.  Software file  Data files atau data base b. Dokumen dalam bentuk kertas  Dokumen yang dicetak di atas kertas  Dokumen yang ditulis tangan  Foto,gambar.sketsa Jenis informasi C. Rekaman  Rekaman Vidio  Rekaman Audio D. Komunikasi  Percakapan melalui telepon,HP  Percakapan tatap muka  Percakapan atau pesan melalui E-mail  Pesan melalui Fax  Pesan vidio  Pesan instan SMS Terminologi jenis informasi paling sedikit akan menyangkut :
• Berikut jenis impact yang menyangkut pada saat menganalisa resiko :  Kerugian atas revenue  Kerugian atas modal organisasi  Kerugian mengenai reputasi dipasr  Menghilangkan kesempatan bisnis  Kerugian dipasar modal  Kehilangan kepercayaan pelanggan  Kehilangan kepercayaan pemegang saham  Melanggar regulasasi  Melanggar hukum  Tercemarnya nama baik organisasi Risk
Risk
• Risk analisis merupakan cikal bakal pembuatan kebijakan keamanan sistem dari setiap organisasi. • Risk analisis melibatkan penentuan : – Apa yang harus diprioritaskan dan dikontrol oleh organisasi – Apa yang dibutuhkan untuk memproteksinya – Bagaimana cara memproteksi dan mengontrolnya – Prioritas Analisi Risiko
• Contoh gray area : Penggunaan multimedia massage servise (MMS). Boleh dikatakan pada saat ini semua orang memiliki telphon genggam dengan built-in kamera yang dapat dikatagorikan sebagai ancaman. Pemilik dapat merekam informasi rahasia terutama rahasia manufactoring atau pertahanan informasi tersebut dapat dengan mudah dikirim keluar organisasi melalui mobil network. Tujauan utama risk assesment mengedentifikasi proteksi dan kontrol terhadap informasi. Pada saat risk assesment akan ditemukan banyak bagian abu-abu (gray area) atau bidang yang tidak jelas jenis kontrol apa yang cocok untuk diterapkan.
Resiko harus dikelompokan dalam tingkat kepentingan dan dampak kerusakan yang diakibatkanya. Faktor penentunya adalah:  Perkiraan resiko kehilangan sumber daya (dengan sengaja atau tidak sengaja )  Perkiraan pentingnya sumber daya (Apa impact-nya) Pada saat penentuan kontrol banyak faktor yang harus dipertimbangkan, termasuk peraturan pemerintah yang menyangkut bisnis perusahaan yang digeluti.harus disdari juga bahwa setiap kontrol dibutuhkan persyaratan yang akan diterapkan yang akan membutuhkan waktu dalam pelaksanaan (response time). Dan penambahan biaya.
Katogori yang harus dipertimbangkan untuk mengestimasikan ancaman terhadap keamanan sistem.  Hardware  Software  Data  Manusia  Dokumentasi  Persedian
MULAI MATERI
1. Tanggung jawab Karyawan 2. Tanggung jawab Manajer katagori Tanggung jawab pemakaian dan keamanan sistem informasi
Tanggung jawab Umum,Karyawan,Manajer Perusahaan karyawan aset Tanggung jawab
a. Personal yang telah ditunjuk sebagai pemilik sistem b. Personal lain yang dikatagorikan sebagai pemakai c. Pengembangan sistem (pimpinan proyek,sistem analisis,programer) d. Spesialis database e. Spesialis jaringan komunikasi f. Spesialis PABX g. Organisasi data processing (operator) h. Auditor (EDP) i. Administrasi sistem keamanan j. Personal andministrasi Secara spesifik, personal yang memiliki kaitan dengan sistem komputerisasi :
• Karyawan Karyawan
1. Mengetahui secara saar untuk bertindak sesuai dengan peraturan keamanan yang berlaku. 2. Melaporkan kepada atasan apabila mengetahui kejanggalan- kejanggalan atau kekurangan dalam hal keamanan. 3. Memasitikan agar semua informasi yang sensitif mengenai perusahan tidak akan disebarluaskan yang mengakibatkan kerugian perusahan. 4. Setelah menerima password, mengganti langsung dan secara teratur sesuai dengan peraturan yang telah ditentukan. Tanggung jawab setiap karyawan :
Manajer
a. Memastikan bahwa semua karyawan bawahan megetahui tanggung jawab mereka dan peraturan keamanan sistem yang informasi yang berlaku serta monitor. b. Memastikan agar staf bagianya memiliki sumber daya dan keahlian yang memadai untuk melaksanakan untuk melaksanakan tanggung jawab mereka untuk keamanan informasi c. Memastikan agar karyawan bawahanya mendapatkan akses kesistem sesuai dengan fungsi yang mereka embang d. Memastikan pemisahan tugas/pekerjan karyawan e. Memastikan agar setiap peraonal mengetahui bagaimana cara pengamanan keamanan berfungsi yang telah diintegrasikan dalam persuder kerja harian f. Bertindak cepat dan tepat waktu g. Memastikan agar perusahan tidak tergantung pada satu orang untuk setiap pekerjan utama Tanggung jawab Manajer :
• Pemilik Sistem Pemilik sistem adalah mereka yang bertanggung jawab atas kebenaran desain fungsional dari sistem komputer di perusahaan dan yang memiliki wewenang untuk menentukan penggunanya • Tanggung Jawab. Pemilik Sistem: 1. Mengetahui nilai dan resiko dari sistem komputer yang digunakan mengklasifikasi sistem tersebut berdasarkan resikonya sesuai dengan kepekaannya dan mengevaluasi secara berkala. 2. Bertanggung jawab untuk keamanan sistem yang memadai harus merumuskan kebutuhan akan keamanan sistem informasiyang di kehendaki secara umu berdasarkan kepekaan resiko keamanan sistem. 3. Mengotorisasi pengaksesan dan penggunaan sistem serta memastikan bahwa penggunaan otoritas diimplentasikan secara benar. Tanggung Jawab Secar Spesifik Keamanan Sistem Informasi
• Tanggung jawan Pemakai 1. Menggunakan sistem informasi sesuai dengan tanggung jawab 2. Bertanggung jawab atas semua transaksi/tindakan yang dilakukan terhadap sistem dengan menggunakan User-ID. 3. Mengetahui semua intruksi beserta keamanan dan mematuhinya 4. Laporan kepada atasan 5. Mengganti password secara teratur sesuai dengan peraturan yang telah ditentukan 6. Tidak diperkenakan berbagi password 7. Mengembalikan seluru hak milik perusahaan yang berkaitan dengan data pada saat memutuskan hubungan kerja. 8. Membuat backup sendiri dari pc. 9. Menyhadari bahwa komputer dikantor hanya boleh digunakan untuk keperluan kantor atau yang berkaitan dengan pekerjaan dan bukan untuk kebutuhan pribadi Pemakai
Pengembang sistem adalah staf ICT yang memiliki keahlian dalam bidang designing, programing,troubleshooting sistem, dan memiliki tanggung jawab untuk memilih,mengembangkan, dan memilihara sistem komputer atas nama pemilik sistem. Pengembangan Sistem
• Memiliki keahlian yang luas dalam bidang manajemen database dan memiliki tanggung jawab untuk memilih, mengembangkan dan memelihara sistem database atas nama pemilik sistem. Spesialist Database
• Staf yang memiliki keahlian mengenai jaringan komunikasi, LAN, WAN, VSAT, beseta penunjang baik yang berupa hadware maupun software. dan memiliki tanggung jawab untuk memilih, mengembangkan dan memelihara jaringan komunikasi atas nama pemilik sistem. Spesialisasi jaringan komunikasi
• Staf yang memiliki keahlian mengenai sistem telepon dan memiliki tanggung jawab untuk memilih PABX sesuai kebutuhan perusahan dan memeliharanya Spesialisasi PABX
1. Menjaga dan melaksanakan pemerosesan sistem sesuai dengan syarat yang diberikan oleh pemilik sistem untuk melskuksn pemonitoran, dan keamanan. 2. Memindahkan sistem ke production environmen setelah disetujui oeleh pemilik sitem 3. Memastikan agar wewenang yang diberikan kepada pemakai dapat dimonitori dengan baik. 4. Log off apabila meninggalkan sistem Organisasi dan Processing
• Tanggung jawab : 1.Memberikan penilaian dan rekomendasi 2.Melaporkan penemuan 3.Melakukan audit 4.Kontrak yang berkaitan dengan sistem informasi sudah disetujui oleh unit kerja hukum. Auditor
• Staf yang memiliki keahlian untuk mengimplementasi dan memelihara keamanan terhaap sistem informasi yang telah dirumuskan bersama pemilik sistem dan kepala unit kerja yang terkait. • Tanggung jjawab: 1. Mentrukturkan keamanan sistem informasi 2. Implementasi dan maintain 3. Administrasi dan memberikan otoritas pengaksesan sistem 4. Pengawasan software leseni asli • Keamanan pasword administrator Administrator Sistem Keamanan
• Staf yang bertanggung jawab untuk urusan administrasi berkaitan dengan sistem informasi. Personal Aministrasi
Tanggung jawab manajemen • 1. Komitmen manajemen: – Manajemen puncak harus menyediakan bukti komitmennya untuk mengembangkan dan melaksanaan SMM secara berkelanjutan, menyempurnakan efektivitasnya dengan: • mengkomunikasikan pentingnya memenuhi persyaratan pelanggan, perundangan dan peraturan yang berlaku • menetapkan kebijakan mutu • menetapkan sasaran mutu • melakukan tinjauan manajemen • Memastikan ketersediaan sumber daya • 2. Fokus pelanggan: – Manajemen puncak harus memastikan bahwa persyaratan pelanggan/mahasiswa ditentunkan dan dipenuhi dengan sasaran meningkatkan kepuasan mahasiswa/pelanggan. (lihat 7.2.1. dan 8.2.1)
Tanggung jawab manajemen • 3. Kebijakan mutu: • Manajemen puncak memastikan bahwa kebijakan mutu: – Sesuai dengan tujuan organisasi – Memuat komitmen untuk mematuhi persyaratan dan secara berkelanjutan akan menyempurnakan efektifitas sistem manajemen mutu – Menyediakan kerangka kerja untuk menetapkan dan menelaah sasaran-sasaran mutu – Dikomunikasikan dan dipahami oleh semua dosen & karyawan – Ditelaah untuk kesesuaian berkelanjutan
Tanggung jawab, wewenang, dan komunikasi – Tanggung jawab dan wewenang: • Manajemen puncak harus memastikan bahwa tanggung jawab dan wewenang didefinisikan dan dikomunikasikan di dalam organisasi – Wakil manajemen (MR): • Manajemen pucak harus menunjuk seseorang anggota manajemennya, yang di luar tanggung jawab yang lain harus mempunyai tanggung jawab dan wewenang meliputi: – Memastikan bahwa proses yang diperlukan untuk SMM ditetapkan, dilaksanakan dan dipelihara – Melaporkan pada manajemen puncak mengenai kinerja SMM dan setiap kebutuhan untuk penyempurnaan – Memastikan pengembangan kesadaran mengenai persyaratan pelanggan /mahasiswa di dalam organisasi – Komunikasi internal: • Manajemen puncak harus memastikan bahwa proses komunikasi yang sesuai ditetapkan dalam organisasi dan bahwa komunikasi mengenai efektivitas SMM berlangsung.
6. Telaah manajemen: – Umum – Manajemen puncak harus menelaah SMM organisasi, pada interval yang terencana, untuk memastikan kesesuaian yang berkelanjutan, kecukupan, dan efektivitas – Penelaahan harus meliputi penilaian kesempatan untuk penyempurnaan dan kebutuhan untuk perubahan SMM termasuk kebijakan dan sasaran mutu
MULAI MATERI
 Tujuan Logical scurity dan kontrol Password  Aplikasi Logical scurity dan kontrol Password  Access Level  Tanggung jawab pemberian kontrol Logikal Scurity dan Kontrol Password
• Logical security adalah pengontrolan dengan pertolongan software/aplikasi tertentu terhadap pengaksesan pemakai sesuai kewenangannya untuk dapat mengakses data/informasi. • Tujuan : Melindungi data/informasi yang tersimpan di pusat komputer dari perusakan atau penghancuran yang dilakukan baik sengaja atau tidak Menghindari dan mendeteksi perubahan terhadap informasi yang dilakukan oleh pihak yang tidak berwenang, serta menjaga informasi agar tidak disebarkan kepihak lain. Logical security
 User ID  Password  Access level  Closed menu Aplikasi Logical Security
Tujuan untuk mengidentifikasi pemakai yang memiliki otorisasi untuk mengakses sistem komputer. • Beberapa informasi yang disimpan dalam User ID  User name  Password  Initial menu  Output queue  Special authorities  Password change date  Access level  Dll User ID
• Berhubungan dengan User ID, untuk membuktikan bahwa pemilik memiliki wewenang untuk mengakses sistem. • Akses ke dalam sistem dapat ditolak bila  User ID salah, password benar  User ID benar, password salah  Keduanya salah  Batasan kesalahan, dan pemblokiran  Rekaman file log Password
• Metode pengontrolan tergantung dari peralatan dan enviroment yang digunakan, secara umum antara lain:  No access.?  Execute .?  Read.?  Modify/update.?  Delete.?  Add/write.?  Owner.? Access Level
• Menu pertama ini memberikan opsi untuk memanggil submenu lain dan submenu yang ditetapkan • Tanggung Jawab Pemberian Kontrol :Security Administrator memiliki wewenang untuk membuat, mengganti, dan menghapus User ID berserta password dan tingkat kontrol pengaksesan Closed Menu
 Periksa & pastikan user accounts terdaftar  Periksa user profile yang terdaftar mengidentifikasikan pemilik user  Setiap pemakai hanya memiliki 1 user profile  Menyediakan user guest  Periksa & pastikan account policy sesuai  Memastikan pergantian password dalam kurun waktu tertentu  Memastikan password yang sama tidak dapat digunakan lagi  Memastikan workstation hanya digunakan sesuai jam kerja • Ada backup file dan directory yang hanya dimiliki administrator Tolak Ukur Dalam Logical Security
MULAI MATERI
• Physical Security atau keamanan fisik membahas ancaman, kerawanan dan tindakan yang dapat diambil untuk mamberi perlindungan fisik tehadap sumber daya organisasi dan informasi yang sensitif. Sistem keamanan fisik sering mengacu pada tindakan yang diambil untuk melindungi sistem, gedung dan infrastruktur pendukung yan terkait terhadap ancaman yang berhubungan dengan lingkungan fisik. • Secara singkat Physical Security dapat diartikan sebagai keamanan infrastruktur teknologi informasi secara fisik Access Level
• Sebuah perusahaan besar biasanya memiliki sistem keamanan yang terstruktur dengan sangat baik. Untuk memasuki wilayah perusahaan dibutuhkan hak akses yang sah, dan hanya orang-orang tertentu saja yang memiliki hak tersebut. • Beberapa cara mengamankan daerah sekitar perusahaan:  Pagar / gerbang  Tembok tinggi  Penjaga  Menggunakan alarm keamanan 1. Company Surroundings
• Posisi seorang resepsionis harus diperhatikan, karena orang luar perusahaan dapat dengan mudah untuk melihat dan mengetahui segala aktivitas yang dilakukan resepsionis terhadap komputer perusahaan. Sebaiknya:  Posisi monitor komputer tidak menghadap keorang luar  Tidak meninggalkan komputer dalam keadaan menyala 2. Reception
• Komputer server pada sebuah perusahaan adalah bagian yang paling penting, karena dalam komputer tersebut tersimpan data-data penting (rahasia) perusahaan. Perlindungan terhadap komputer server dapat dilakukan dengan 2 cara: 1. Perlindungan data pada computer server, biasanya dari serangan virus dan spy. Disarankan untuk menginstall antivirus dan sering- sering untuk mengpdatenya. 2. Perlindungan fisik komputer server dari berbagai serangan, khususnya dari serangan bencana alam. 2. Server
• Workstation area merupakan tempat yang sangat rawan untuk keamanan data, karena orang dapat dengan mudah untuk mengambil data dari komputer milik orang lain. Sebaiknya kita melakukan pengamanan dengan cara:  Tidak meninggalkan meja kerja dengan keadaan komputer menyala, komputer harus dalam keadaan terkunci  Gunakan kamera CCTV  Tidak meninggalkan usb / media drives lainnya masih terhubung ke komputer 4.Workstation area
• Keberadaan alat wireless access points sudah semakin meluas dan dibutuhkan pengamanan yang lebih ketat. Untuk mencegah akses-akses yang tidah sah, sebaiknya wireless access harus lebih terjaga/ terjamin. Lakukanlah hal-hal berikut:  Nyalakan WEP encryption  Rubah default SSID-nya  Access point harus menggunakan password  Password harus cukup kuat sehingga tidak mudah untuk dicrack 5. Wireless access points
• Access control digunakan untuk mencegah panggunaan akses yang tidak sah terhadap area- area operasional sensitif perusahaan. Pengontrolan dapat dilakukan dengan cara: Kartu pengenal yang dilengkapi chip • Biometric device: retina mata, sidik jari, pengenal suara 6. Access control
• Pemeliharaan komputer secara rutin sangat disarankan, karena dapat membuat komputer tahan lama dan tetap stabil untuk jangka waktu yang panjang. Sebaiknya:  Perusahaan memiliki orang-orang yang terlatih dan bertanggungjawab dalam bidang maintenance  Tidak membiarkan orang luar perusahaan untuk melakukan maintenance 7. Computer equipment maintenance
• Wiretapping adalah tindakan secara diam-diam mendengarkan pembicaraan orang lain melalui saluran telepon. Biasa dikenal dengan istilah penyadapan. Pengamanan dapat dilakukan dengan:  Tidak membiarkan kabel berserakkan sembarangan, susun kabel secara rapih  Lindungi kabel dengan pelindung kabel 8. Wiretapping
• Remote access dapat mempermudah pegawai untuk mengakses komputer perusahaan dari luar perusahaan. Namun sebaiknya penggunaan remote access ini dihindari karena keamanan dari remote access sangat rendah dan rentan terhadap pencurian data. 9. Remote access
MULAI MATERI
 Dinamis, inovasi teknologi sebagai alat pendukung.  mengganti sistem lama. perubahan prosedur yang berlaku.  Pemakai. • Pengontrolan terhadap aktivitas perubahan sistem yang memiliki resiko tinggi Tujuan utama prosuder ini adalah melindungi agar perusahaan tidak mengalami kerugian, kerusakan, Ketidak Akuratan yang disebabkan oleh kesalahan atau kecurangan saat pemerosesan perubahan program. Prosedur Perubahan Program
a. Semua perubahan program harus di setujui dan direview oleh pemilik sistem, kepala unit kerja terkait dan kepala bagian ICT. b. Pengaksesan terhadap program harus dikontrol secara memadai. c. Hasil program yang telah dirubah harus direview dan diverifikasi oleh pemilik sistem, kepala unit kerja terkait, dan kepala bagian ICT. d. Pemakai mengisi formulir “system change request”. Didalamnya pemakai menerangkan tujuan perubahan dan syarat-syarat perubahan yang diminta. Kepala unit kerja harus menyetujui perubahan dan menandatangani formulir tersebut. formulir diberikan kepada kepala unit ICT Prosuder
e. Kepala bagian ICT akan mencatat dan mempelajari .seteah disetujui oleh pemilik sistem formulir tersebut diteruskan kepada project leader yang menangani sistem tersebut. f. Bersama dengan analis sistem,Project Leader akan membahas kemungkinan perubahan atau penambahan yang diminta. Apabila permintaan ini dapat diwujudkan, akan dikalkulasikan biaya dan waktu yang dibutuhkan dan jadwal pembuatannya. g. Setelah pimpinan departemen pemakai telah diinformasikan biaya yang akan dibebankan,ia harus menentukan apakah proyek ini berjalan terus atau ditunda dahulu. Ia harus mempertimbangkan untung ruginya permintaan ini, mengingat biasanya biayanya tinggi. Dengan membubuhi tanda tangan, pimpinan departemen mengembalikan formulir tesebut sebagai bukti setuju. Apabila ia membatalkan permintaannya, tetap ia harus memberitahukan kepada pimpinan ICT , agar pimpinan ICT dapat membatalkan permintaan proyek ini. h. Apabila laporan keuntungan dan biaya proyek disetujui, pimpinan ICT akan menyusun prioritas dan jadwalnya bersama dengan project leader.
i. Formulir change request diberikan kepada analis/programmer yang akan mengerjakan. Ia akan menginformasikan secara tertulis kepada operator untuk meng-copy source program ke test environment. j. Permintaan peng-copy-an ini akan didaftarkan oleh operator ke dalam buku catatan yang telah ditentukan dan setelah itu melaksanakan peng-copy-an. k. Analis/programmer melakukan perubahan yang diminta dan menguji coba perubahan ini sampai tidak ada kesalahan lagi (error free/bug free). l. Hasil tes program diberikan kepada pemakai untuk di-review dan diminta persetujuannya. Apabila dibutuhkan, pemakai dapat menguji coba sendiri atau memberikan set uji coba kepada analis/programmer untuk menguji coba lagi. Persetujuan ini harus diindikasikan di formulir change request. m. Sebelum source program yang baru dipindahkan ke production environment, Project leader melakukan pengecekan terakhir atas kebenarannya dengan cara menguji coba ulang atau melihat/meneliti source code-nya
n. Setelah pimpinan ICT yakin bahwa semua perubahan telah dilakukan dengan sempurna dan sesuai dengan prosedur, maka ia akan menyetujui perpindahan program baru yang berisikan perubahan dari tes ke production environment. o. Setelah dokumentasi (untuk operator, pemakai dan program)diupdate, change request dapat di berikan kepada bagian pengoperasian. p. Bagian pengoperasian akan meneliti dahulu kelengkapan tandatangan yang dibutuhkan sebelum memindahkan program lama ke history file dan mengkomplasiprogram baru. q. Analis/programer akan memverifikasi atas kebenaran penggantian program r. Pemakai akan diinformasikan bahwa program baru yang berisikan permintaan perubahan telah dapat dipakai.
1. Source dan object deck/code yang digunakan produksi harus disimpan di dalamlibrary yang memiliki perlindungan terhadap pengaksesan yang dilakukan individu yang tidak berwenang. 2. Perubahan terhadap program dan atau sistem hanya dapat dilakukan apabila telah menerima surat resmi dari pemohon beserta alasannya 3. Setalah mendapat surat perintah kerja, pelaksanaan tidak dapat dilakukan di production enviroment seperti yang tercantum di prosedur perubahan program. Oleh karena itu, harus disediakan tes, atu development enviroment,dimana program yang telah berjalan dapat di copy ke dalammnya untuk perubahan ini. 4. Buku registrasi yang akan berfungsi sebagai alat pengontrolan harus di maintain dimana tercantum :  Nomor formulir change request  Uraian singkat mengenai perubahan  Tinggal permintaan  Nama programmer yang melakukan perubahan  Tanggal efektif program dengan perubahan mulai dipakai Prinsip dasar pengontrolan
5. Apabila perubahan ini menyangkut pengontrolan di dalam aplkasi, audit harus mereview permintaan tambahan ini. 6. Pengontrolan terhadap source program dan object program di production envionment untuk memastikan atas kebenarann object program. Oleh karena itu,kontrol yang baik adalah mengkompilasi source program di production environment, yang secara otomatis akan mengganti object yang lama 7. Pengontrolan yang memadi terhadap uji coba yang dilakukan sebelum memindahkan keproduction environment. 8. Memastikan agar progrm yang teleh diubah dan telah disetujui oleh pemakai tidak dapat diubah lagi sebelum dipindahkan ke production environment. Hal ini dapat dilakukan dengan logical security. 9. Versi source program sebelumnya harus dipindahkan ke history file sebelum memindahkan program baru ke production environment. Program versi lama harus disimpan di media tertentu (misalnya tape, CD/DVD dan sebagainya) dan bukan hard copy.
MULAI MATERI
MULAI MATERI
Untuk membangun sistem sesuai dengan persyaratan bisnis penting untuk menerapkan secara sistematis kebijakan pengembangan sistem. Metode yang diterapkan,pengetahuan. Metode yang diterapkan dukungan dari manajemen. Pengembangan sistem
• Apabila telah diputuskan untuk membangun sistem dari nol, harus menentukan terlebih dahulu tanggung jawab masing-masing karyawan yang terlibat dalam proses yang akhir-akhir ini disebut system development Life Cycle (SDLC). Tanggung jawab
• Tim ini terdiri dari senior manajemen organisasi yang memegang peranan penting di dalam perusahaan. • Tugas utama pengendali : 1. Menyetujui rencana departemen ICT 2. Memonitori kemajuan proyek yang sedang berjalan, sesuai dengan gagasan ICT. Streering Committe/Tim Pengendali Commitment Direction Planning Monitoring Steering Committee
• User Group / Tim Pemakai User Group bertanggung jawab atas pengimplementasian peraturan (policy) yang telah diputuskan di steering Committee atau policy yang telah dibuat sebelumnya. Tes Group/ Tim Uji coba. • Tim terdiri dari tim pengembang sistem dan pemakai, tugas utama menguji coba sistem yang baru dibangun
1. Perencanaan Sistem • Kegiatan yang menyangkut estimasi dari kebutuhan-kebutuhan fisik, tenaga kerja & dana yang dibutuhkan untuk mendukung pengembangan sistem serta untuk mendukung operasinya setelah diterapkan. Waktu perencanaan sistem terdiri dari jangka pendek (1-2 tahun) dan jangka panjang (sampai dengan 5 tahun). • Proses utama dalam perencanaan sistem :  Merencanakan proyek sistem dilakukan oleh staff perencanaan sistem  Menentukan proyek-proyek sistem dilakukan oleh komite pengarah  Mendefinisikan proyek-proyek sistem dilakukan oleh sistem analis • Pengembangan Sistem Pengembangan Sistem
• Tahap yang digunakan oleh analis sistem untuk menemukan kelemahan- kelemahan dari sistem yang ada sehingga dapat diusulkan perbaikannya. 2. Analisis Sistem
3. Desain/Perancangan Sistem • Tahap untuk membentuk sistem yang baru berdasarkan hasil analisis.
• Tahap untuk memilih perangkat keras dan perangkat lunak yang dibutuhkan dan meletakkan sistem supaya siap untuk dioperasikan. • Kegiatan yang dilakukan dalam implementasi : • Pemilihan dan pelatihan personil • Pemilihan tempat dan instalasi hardware dan juga software • Pemrograman dan pengetesan program • Pengetesan sistem • Konversi • • Manajemen Sistem 4. Implementasi Sistem
• Tahap setelah pengembangan sistem dilakukan dan sistem dioperasikan. Disebut sebagai tahap manajemen sistem karena yang melakukan proses ini sudah bukan analis sistem tetapi manajemen. • SDLC yang lebih lengkap dapat dilihat pada gambar di bawah ini : Maintenance Sistem
MULAI MATERI
Web Server • Adalah suatu daemon yang berfungsi menerima request melalui protocol http baik dari local maupun dari internet • Informasi yang direquest oleh web browser bisa berupa file yang ada dalam storage atau meminta server untuk melakukan fungsi tertentu
Cara kerja web browser 1. USER/Netter yang akan mengakses suatu website berupa URL melalui Web browser. 2. Kemudian Web browser tersebut mengirimkan permintaan/ request berupa HTTP REQUEST kepada Web Browser melalui layer-layer TCP/IP, 3. Kemudian Web Server memberikan WEB FILES yang di-request jika ada. 4. Web Server memberikan respon kembali ke Web Browser melalui HTTP RESPONSE (melalui layer-layer TCP/IP)
Macam Web Server • IIS (web server untuk html & asp ) bisa jalan di OS Windows • APACHE webserver (web server untuk html,php,asp,jsp, dsb).Bisa jalan di OS Windows dan LINUX.
• Bentuk ancaman keamanan terhadap web browser berhubungan erat dengan ancaman-ancaman terhadap internet, karena apa saja dapat terjadi ketika kita menggunakan internet, maka akan berdampak buruk pula pada web browser yang kita gunakan atau bahkan akan berdampak buruk pula pada komputer. • Ancaman tersebut terjadi karena saat ini internet dapat diakses dengan mudah. Meskipun internet bias dipengaruhi oleh kebijakan pemerintah dan lembaga- lembaga yang berwenang mengatur lalu lintas internet, tetapi masyarakat pada umumnya tidak bisa mencegah orang lain untuk mengganggu pengguna Bentuk Ancaman pada Web Browser
• Beberapa ancaman yang mengusik keamanan dari web browser dapat berupa : 1. Hijacking, 2. Session Hijacking, 3. Juggernaut, 4. Hunt, 5. Replay, 6. Spyware, 7. Cookies, 8. Phising, 9. Pharming, Dan Lain-lain
• Berbagai macam ancaman memang menjadi gangguan yang cukup besar bagi para pengguna web browser. Namun dengan semakin berkembangnya ilmu teknologi, berbagai macam ancaman tersebut kini sudah dapat diatasi walaupun perkembangan ancaman-ancaman tersebut masih kian pesat meningkat. Metode Keamanan pada Web Browser
Beberapa cara untuk mengatasi ancaman-ancaman yang ada pada web browser adalah: 1. Memasang anti spyware pada web browser 2. Menghapus cookies pada web browser 3. Menolak semua cookies untuk masuk 4. Untuk pencegahan phising dan pharming 5. Kenali tanda giveaway yang ada dalam email phising 6. Menginstall software anti phising dan pharming 7. Selalu mengupdate antivirus 8. Menginstall patch keamanan 9. Waspada terhadap email dan pesan instan yang tidak diminta 10.erhati-hati ketika login yang meminta hak administrator, cermati selalu alamat URL yang ada di address bar
Eksploitasi server WWW • Tampilan web diubah (deface)dengan eksploitasi skrip / previledge / OS di server • Situs yang dideface Informasi bocor(misal laporan keuangan semestinya hanya dapat diakses oleh orang/ bagian tertentu) • Digunakan untuk menipu firewall (tunelling ke luar aringan) • Port 80 digunakan untuk identifikasi server (karena biasanya dibuka di router/firewall)
Eksploitasi server WWW •Penyadapan informasi URLwatch: melihat siapa mengakses apa saja. Masalah privacy SSL memproteksi, namun tidak semua menggunakan SSL karena komputasi yang tinggi •DoS attack Request dalam jumlah yang banyak (bertubi-tubi) Request yang memblokir (lambat mengirimkan perintah GET) •Malicious Input Attack Bad input ke priviledge program : Code corruption attack – Buffer overflow, SQL Injection, Cross Site Scripting
Pengamanan Web • Access Control Hanya IP tertentu yang dapat mengakses server (konfigurasi web server atau firewall) Via userid & password (htaccess) Menggunakan enkripsi untuk menyandikan Membatasi Akses
htaccess di Apache Isi berkas “.htaccess”AuthUserFile/home/budi/.passme AuthGroupFile /dev/null AuthName “ Khusus untuk Tamu Budi” AuthType Basic <Limit GET> require user tamu </Limit> Membatasi akses ke user “tamu” dan password Menggunakan perintah “htpasswd“ untuk membuat password yang disimpan di “.passme”
Secure Socket Layer (SSL) • Menggunakan enkripsi untuk mengamankan transmisi data • Mulanya dikembangkan oleh Netscape • Implementasi gratis pun tersedia openSSL
APACHE Web Server dengan HTTPS • HTTPS adalah varian dari protocol HTTP dimana user mengakses dengan https:// • Data yang dikirim ke server adalah data yang terenkripsi. • Enkripsi yang digunakan adalah enkripsi SSL (Secure socket Layer). • Menggunakan TCP port 443. Shibu lijack
Pengamanan Web
Ilustrasi Koneksi HTTP vs HTTPS
Ilustrasi Cara Kerja SSL
Penjelasan Blok Diagram 1. Klien membuka suatu halaman yang mendukung protokol SSL, biasanya diawali dengan https:// pada browsernya. 2. Kemudian webserver mengirimkan kunci publiknya beserta dengan sertifikat server. 3. Browser melakukan pemeriksaan : apakah sertifikat tersebut dikeluarkan oleh CA(Certificate Authority) yang terpercaya? Apakah sertifikat tersebut masih valid dan memang berhubungan dengan alamat situs
• 4. Setelah diyakini kebenaran dari webserver tersebut, kemudian browser menggunakan kunci public dari webserver untuk melakukan enkripsi terhadap suatu kunci simetri yang dibangkitkan secara random dari pihak klien. Kunci yang dienkripsiini kemudian dikirimkan ke webserver untuk digunakan sebagai kunci untukmengenkripsi alamat URL (Uniform
• 5. Webserver melakukan dekripsi terhadap enkripsi dari klien tadi, menggunakankunci privat server. Server kemudian menggunakan kunci simetri dari klien tersebutuntuk mendekripsi URL dan data http yang akan diperlukan klien. • 6. Server mengirimkan kembali halaman dokumen HTML yang diminta klien dan data http yang terenkripsi dengan kunci simetri tadi. • 7. Browser melakukan dekripsi data http dan dokumen HTML menggunakan kuncisimteri tadi dan menampilkan informasi yang diminta.
MULAI MATERI
Kontrol terhadap PC • Persoalan kontrol – Peraturan Pengadaan barang • Pertimbangan yg kuat • Standarisasi • Supplier • Pembelian software • Persoalan manajemen – Pengembangan sistem – Integritas sistem aplikasi
• Ancaman terhadap PC – Hacking – Virus • Peraturan manajemen – Peraturan penggunaan internet dan email – Prosedur operasi untuk bagian ICT – Prosedur recovery – Pemeriksaan konfigurasi – Pemeriksaan mesin – Pemeriksaan ekstensi file yg tersembunyi
• PC vs Mainframe – Physical security • Sentra pengolahan data • Proteksi terhadap kebakaran • Maintenance – Software security • Logical security • Menggunakan software utility • Pengontrolan terhadap aplikasi yang dibuat • Menghilangkan file
• Persoalan administrasi – Pembelian – Operasional – Saat darurat
MULAI MATERI
Pegertian keamanan jaringan Keamanan jaringan adalah suatu cara atau suatu system yang digunakan untuk memberikan proteksi atau perlindungan pada suatu jaringan agar terhindar dari berbagai ancaman luar yang mampu merusak jaringan. Langkah awal untuk melindungi sumber-sumber yang sensitif adalah dengan mengkombinasikan beberapa akses yang telah dibahas. Ada beberapa teknologi keamanan yang paling sering digunakan. Masing- masing teknologi ini memiliki peran khusus untuk meningkatkan keamanan jaringan anda saat didesain dan diimplementasikan dalam desain berlapis.
Beberapa resiko keamanan jaringan • Mengakses jaringan atau aplikasi oleh user yang tidak memiliki wewenang dari terminal sendiri atau dari nodes network yang lain • Menggangu atau mengacau pengiriman data yang rahasia dengan cara mencegat dan memanipulasikanya. • Kegagalan jaringan atau putus hubungan jaringan. Acaman
• Serangan terhadap jaringan merupakan pintu gerbang untuk menyerang sistem perusahan,dapat dalam bentuk software (malicious software): 1. Lgical Boom. 6. Bom waktu 2. Virus 7. worm 3. Trajan Horses 8. spyware 4. Intercaption Komunikasi 9.denial of service 5 .Malicious Java/Active C 10. tunneling
• Keamanan jaringan dapat berdampak buruk dengan adanya kemungkinan serangan dan ancaman pada jaringan. Beberapa konsep penting yang harus diperhatikan dalam mendesain jaringan : 1. Keamanan berlapis 2. Akses control 3. Keamanan peran tertentu 4. Kesadaran pengguna 5. Monitoring 6. Sistem terus diperbaharui Konsep Desain Keamanan
• Ada dua elemen utama pembentuk keamanan jaringan : 1. Tembok pengamanan (baik secara fisik maupun maya), yaitu suatu cara untuk memberikan proteksi atau perlindugan pada jarigan, baik secara fisik (kenyataan) maupun maya (menggunakan software) 2. Rencana pengamanan, yaitu suatu rancagan yang nantinya akan di implementasiakan uantuk melindugi jaringan Elemne pembentukan keaman jaringan
• Secara umum dalam hal keamanan untuk jaringan harus dengan jelas dirumuskan/disusun terutama pada ujung terminal pengirim (misalnya PC ) dan pada ujung penerima (misalnya server atau mesin besar). • Apabila Koneksi telah terjadi masing-masing harus menetapkan dan meverifikasi masing-masing identitas (autthentication). Secar teknis jaringan juga bertanggung jawab atas integritas ata yang dikirim, memastikan agar data yang dikirim dijamin Keaman Didalam jaringan
1. Confidentiality Mensyaratkan bahwa informasi (data) hanya bisa diakses oleh pihak yang memiliki wewenang. 2. b. Integrity Mensyaratkan bahwa informasi hanya dapat diubah oleh pihak yang memiliki wewenang. 3. c. Availability Mensyaratkan bahwa informasi tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan. 4. d. Authentication Mensyaratkan bahwa pengirim suatu informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu. 5. e. Nonrepudiation Mensyaratkan bahwa baik pengirim maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan. Segi-segi keamanan
1. Interruption Suatu aset dari suatu sistem diserang sehingga menjadi tidak tersedia atau tidak dapat dipakai oleh yang berwenang. Contohnya adalah perusakan/modifikasi terhadap piranti keras atau saluran jaringan. 2. Interception Suatu pihak yang tidak berwenang mendapatkan akses pada suatu aset. Pihak yang dimaksud bisa berupa orang, program, atau sistem yang lain. Contohnya adalah penyadapan terhadap data dalam suatu jaringan. 3. Modification Suatu pihak yang tidak berwenang dapat melakukan perubahan terhadap suatu aset. Contohnya adalah perubahan nilai pada file data, modifikasi program sehingga berjalan dengan tidak semestinya, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan. 4. Fabrication Suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contohnya adalah pengiriman pesan palsu kepada orang lain. 5. Ada beberapa prinsip yang perlu dihindari dalam menangani masalah keamanan : 1. diam dan semua akan baik-baik saja. 2. sembunyi dan Serangan (gangguan) terhadap keamanan
Bagaimana seseorang melindungi sebuah website, mail server, FTP server atau sumber informasi lain yang terhubung ke web? Jawabannya adalah Firewall. Satu-satunya kegunaan piranti perangkat keras ini adalah memberi keamanan bagi jaringan anda. Firewall adalah sebuah piranti keamanan yang berada di ujung koneksi anda dan berfungsi sebagai Internet Border Security Officer. Secara konstan piranti ini mengawasi seluruh aliran yang keluar dan masuk ke koneksi anda, menunggu aliran yang dapat dihentikannya atau ditolaknya berdasarkan aturan yang sudah ada. FIREWALL
firewall bekerja dengan mengikuti aturan-aturan yang diatur oleh teknisi jaringan atau petugas keamanan informasi. Aturan-aturan ini harus sejalan dengan versi tertulis yang ada didokumen kebijakan keamanan di rak anda. kebijakan keamanan dan bagaimana firewall sesuai dengan kebijakan tersebut: • Kebijakan keamanan menjelaskan secara garis besar tindakan apa yang akan ditempuh untuk menanggapi keadaan yang muncul • Dokumen kebijakan keamanan secara konstan dikembangkan dan diubah untuk memenuhi kebutuhan- kebutuhan keamanan yang baru • Kebijakan keamanan menentukan parameter tentang apa Firewall adalah Kebijakan Keamanan
Berikut mencakup aturan-aturan dan fitur-fitur firewall yang paling umum: • Menolak aliran jaringan yang masuk berdasarkan sumber atau tujuan, merupakan fitur yang paling umum dan merupakan tujuan utama sebuah firewall, yaitu menolak aliran yang tidak diinginkan memasuki jaringan. • Menolak aliran jaringan yang keluar berdasarkan sumber atau tujuan, beberapa firewall juga dapat menyaring aliran jaringan dari jaringan internal anda ke internet. • Menolak aliran traffic jaringan berdasarkan isi, firewall yang lebih canggih dapat menyaring aliran jaringan untuk isi yang tidak dapat diterima. Misalnya firewall yang terintegrasi dengan sebuah virus scanner dapat menolak file-file berisi virus sebelum memasuki jaringan anda. • Menyediakan sumber daya internal, anda dapat juga mengatur beberapa firewall untuk mengizinkan akses tertentu ke sumber daya internal seperti web server public, selain tetap menghalani akses lain dari internet ke jaringan internal anda. • Mengizinkan koneksi ke jaringan internal, metode umum bagi karyawan untuk terhubung ke jaringan adalah menggunakan Virtual private network (VPN). VPN memungkinkan Tinjauan Operasional firewall
• Secara umum ancaman PC dan LAN adalah: • Pengakses data produksi, devertemen dan pemakai individu yang tidak memilki kewenangan • Pasif (membaca atau mendengar data) dan aktif (dalam memanipulasi data ) menangkap koneksi • Menyambung workstantion yang tidak otentik ke dalam LAN perusahan • Menginstal program yang ilegal • Mencuri PC dan Komponen PC • Terkontiminasi oleh virus Kemanan PC dan LAN
MULAI MATERI
DISASTER RECOVERY
PENDAHULUAN • Selain domain yang concern dengan pencegahan risiko dan melindungi infrastruktur dari serangan, keamanan sistem juga membahas satu domain dengan asumsi bahwa kejadian terburuk telah terjadi.
PENDAHULUAN • Berbagai bencana yang mungkin terjadi antara lain adalah: – Bencana alam karena kondisi geografis dan geologis dari lokasi – Kebakaran karena faktor lingkungan dan pengaturan sistem elektrik yang dapat menyebabkan korsleting – Kerusakan pada jaringan listrik karena sistem elektrik – Serangan teroris karena lemahnya keamanan fisik dan non fisik data center – Sistem atau perangkat yang rusak terkait dengan kesalahan manajemen pengawasan perangkat – Kesalahan operasional akibat ulah manusia – Virus yang disebabkan oleh kesalahan pemilihan anti virus
Disaster Recovery Plan • Disaster Recovery Plan (DRP) adalah sekumpulan aksi dan proses yang mendefinisikan rangkaian prosedur yang harus dilakukan saat terjadi keadaan darurat, untuk memastikan tercapainya suatu kondisi pulih dalam waktu yang ditentukan sehingga perusahaan tersebut mampu melanjutkan fungsinya dengan kerugian minimal. • DRP adalah proses, kebijakan, dan prosedur yang berkaitan dengan persiapan untuk pemulihan atau kelanjutan dari infrastruktur teknologi yang penting bagi organisasi setelah terjadi bencana, baik karena alam ataupun ulah manusia.
Disaster Recovery Plan • Disaster Recovery Plan menyediakan operasi cadangan selama sistem terhenti, dan mengelola proses pemulihan serta penyelamatan sehingga mampu meminimalisir kerugian yang dialami oleh organisasi. • Karena bertindak sebagai pegangan saat terjadi keadaan darurat, DRP tidak dapat disusun secara sembarangan. • DRP yang tidak sesuai dapat berakibat lebih buruk bagi keberlangsungan organisasi daripada bencana itu sendiri. • Disaster Recovery Planning merupakan bagian dari
Tujuan Disaster Recovery Plan • Secara umum manfaat atau tujuan penyusunan DRP bagi perusahaan adalah sebagai berikut; – Melindungi organisasi dari kegagalan layanan komputer utama – Meminimalisasi risiko organisasi terhadap penundaan (delay) dalam penyediaan layanan – Menjamin kehandalan dari sistem yang tersedia melalui pengetesan dan simulasi – Meminimalisasi proses pengambilan keputusan oleh personal/manusia selama bencana.
Business Continuity Plan (BCP) & Disaster Recovery Plan (DRP) • BCP & DRP merupakan dua hal yang sangat penting dalam proses bisnis, namun jarang menjadi prioritas karena alasan memerlukan biaya yang mahal dan sulit penerapannya. • Alasan : bencana adalah hal yang umumnya diyakini karena faktor alam yang tak dapat diprediksi , tak dapat dicegah atau pun dihindari, sehingga kalangan bisnis berkeyakinan bahwa pelanggan mereka akan memaklumi hal ini. • Hal terpenting bagi setiap perusahaan yang berniat
Business Continuity Plan (BCP) & Disaster Recovery Plan (DRP) • Contoh penerapan BCP : – BCP pada perusahaan Merrill Lynch dan Deutsch Bank di New York pada 11 September 2001. Bencana ini menghancurkan kantor pusat dan menewaskan ratusan karyawannya. Namun setelah situasi stabil, masing-masing mampu melanjutkan operasinya dengan mulus dari
Komponen Disaster Recovery Planning • Informasi kontak personil (personnel contact information) • Back up situs (back up site) • Pedoman perencanaan (manual plan) • Inventaris hardware • Inventaris software • Vendors • Backup Data • Disaster Action Checklist
Tahapan Pembangunan DRP • Tahapan pembangunan sebuah Disaster Recovery Plan tidak selalu sama, karena sangat bergantung pada kebutuhan dan tujuan pembuatannya. • Namun secara garis besar, tahapan tersebut dapat dirangkum sebagai berikut: 1. Risk assessment 2. Priority assessment 3. Recovery strategy selection
Tahapan Pembangunan DRP • Risk Assessment Risk Assessment adaLah proses identifikasi ancaman- ancaman yang mungkin terjadi, baik yang berasal dari dalam, maupun dari luar. Bencana yang dianalisa termasuk bencana alam, bencana kegagalan teknis, maupun ancaman-ancaman faktor manusia. Risk Assessment berperan sebagai landasan awal yang akan mempengaruhi tahapan-tahapan selanjutnya.
Tahapan Pembangunan DRP Risk Assessment........
Tahapan Pembangunan DRP • Priority Assessment Mendefinisikan urutan prioritas proses dengan jelas: – Dari segi arsitektur misalnya, server/ router manakah yang menjadi prioritas dalam dipulihkan? – Data mana yang harus lebih dahulu diselamatkan – Proses mana yang harus didahulukan Proses yang dianggap paling vital untuk keberlangsungan sistem akan mendapatkan alokasi perhatian paling besar untuk dipulihkan kembali sebelum proses-proses lainnya.
Tahapan Pembangunan DRP Priority Assessment ....... Priority Assessment untuk proses biasanya sangat relatif terhadap waktu dan tempat terjadinya suatu bencana. Misal kejadian pada sekolahan, jika bencana terjadi pada saat penerimaan murid baru, proses yang pertama kali harus dipulihkan mungkin adalah proses terkait tes masuk dan pembayaran. Tapi jika bencana terjadi saat liburan, dimana kebanyakan proses akan berada dalam kondisi statis,
Tahapan Pembangunan DRP • Recovery Strategy Selection Strategi pemulihan yang baik harus memenuhi beberapa kriteria, yaitu: 1. Strategi pemulihan harus memenuhi key requirement yang sudah didefinisikan di tahap sebelumnya. 2. Strategi pemulihan harus cost effective berbanding dengan risiko dan prioritasnya. 3. Strategi pemulihan harus dapat diterapkan dengan kondisi yang terdapat sekarang dan memungkinkan
Tahapan Pembangunan DRP Recovery Strategy Selection .......... Strategi pemulihan yang sudah dirancang kemudian harus dituangkan ke dalam DRP yang terdokumentasi secara baik sehingga dapat dengan mudah dilaksanakan jika suatu saat terjadi bencana. Inti dari strategi-strategi pemulihan adalah menyiapkan sistem dan data cadangan sehingga proses yang terganggu dapat berjalan kembali.
Tahapan Pembangunan DRP Recovery Strategy Selection .......... Strategi pemulihan tersebut diantaranya adalah: 1. Hot Site Strategi pemulihan dengan cara mengadakan lokasi duplikat dari lokasi asli. Strategi ini menawarkan cara yang cepat untuk menjalankan bisnis kembali, namun juga dapat dikatakan sebagai strategi yang paling mahal.
Tahapan Pembangunan DRP Recovery Strategy Selection .......... Strategi pemulihan ........ 2. Warm Site Strategi ini menggunakan lokasi yang memiliki sistem dan jaringan komunikasi yang siap digunakan, cukup untuk menjalankan kembali proses bisnis. Namun data dan informasi elektronis lainnya tidak ter-update sehingga harus di restore sebelumnya.
Tahapan Pembangunan DRP Recovery Strategy Selection .......... Strategi pemulihan ........ 3. Cold Site / Shell Site/ Backup Site / Alternate Site Strategi ini hanya menyediakan lokasi saja. Perangkat dan jaringan yang tersedia sangat minim. Keuntungan : biaya rendah dalam mengadakan dan merawat lokasi Kekurangan : pada saat terjadi bencana,
Tahapan Pembangunan DRP • Plan Documenting Disaster Recovery Plan harus didokumentasikan dengan terstruktur sehingga mudah dipahami saat dibutuhkan. Pendokumentasian sebuah DRP harus disesuaikan dengan standar dan pedoman-pedoman yang sudah banyak tersedia.
MULAI MATERI
ALGORITMA KRIPTOGRAFI KLASIK TEKNIK TRANSPOSISI STEGANOGRAFI
TEKNIK TRANSPOSISI • Teknik ini menggunakan permutasi karakter, yang mana dengan menggunakan teknik ini pesan asli tidak dapat dibaca kecuali oleh orang yang memiliki kunci untuk mengembalikan pesan tersebut kebentuk semula. • Sebagai contoh, ada 6 kunci untuk melakukan perutasi kode :  Dan 6 kunci untuk inversi dari permutasi tersebut :  Terlebih dahulu plaintext dibagi blok dan blok nya terdiri dari 6 karakter, jika terjadi pada setiap blok maka disispkan karakter yang disepakati sebelunya.
TEKNIK TRANSPOSISI • Perhatikan contoh dibawah ini : • Plaintext : “PERHATIKAN RAKYAT KECIL” • Cara memutasi plaintext tersebut adalah sebagai berikut :  Maka ciphertext yang dihasilkan adalah: “RAPTHEARIANKAKKETYLXCXXI”  Sedangkan kunci inverse berfungsi untuk mengubah ciphertext menjadi palintext.  Perhatikan contoh dibawah ini :
TEKNIK TRANSPOSISI • Selain teknik mutasi-inversi ada beberapa teknik permutasi lainnya yaitu dengan menggunakan permutasi zigzag, segitiga, spiral, dan diagonal. 1. Zig – zag dengan memasukan plaintext seperti pola zig-zig. Plaintext : “PERHATIKAN RAKYAT KECIL”  Maka ciphertext yang dihasilkan adalah : “HNTXRAARAKLETKAYEIPIKC”
TEKNIK TRANSPOSISI 2. Segitiga dengan memasukan plaintext seperti pola segitiga. Plaintext : “PERHATIKAN RAKYAT KECIL” Maka ciphertext yang dihasilkan adalah : “KNEARCETAIPRIKLHKYXAAXTXX”
3. Spiral Dengan memasukan plaintext disusun seperti pola spiral. Plaintext : “PERHATIKAN RAKYAT KECIL” Maka ciphertext yang dihasilkan adalah : “PTAYKEKXXARREXXRH CILNATIKA”
TEKNIK TRANSPOSISI • Diagonal Dengan memasukan plaintext disusun seperti pola dibawah ini, (Plaintext : “PERHATIKAN RAKYAT KECIL”)  Maka ciphertextnya adalah : “PTRTLEIAKXRK KEXHAYCXANAIX”
STEGANOGRAFI • Steganografi adalah seni dan ilmu menulis pesan tersembunyi atau menyembunyikan pesan dengan suatu cara sehingga selain si engirim dan si penerima, tidak ada seorangpun yang mengetahui atau menyadari bahwa ada suatu pesan rahasia. • Istilah steganografi termasuk penyembunyian data digital dalam berkas-berkas (file) komputer. • Contohnya : • Si pengirim mulai dengan berkas gambar biasa, lalu mengatur warna setiap pixel ke-100 untuk menyesuaikan suatu huruf dalam alphabbet (perubahannya begitu haslus sehingga tidak ada seorangpun yang menyadarinya jika ia
STEGANOGRAFI • Pada umumnya, pesan steganografi muncul dengan rupa lain seperti gambar, artikel, daftar belanjaan atau pesan-pesan lainnya. • Pesan yang tertulis ini merupakan tulisan yang menyelubungi atau menutupi. • Contohnya : suatu pesan bisa disembunyikan dengan menggnakan tinta yang tidak terlihat dantara garis-garis yang kelihatan. • Teknik steganografi meliputi banyak sekali metode komunikasi untuk menyembunyikan pesan rahasia (teks atau gambar) didalam berkas-berkas lain yang mengandung teks, image, bahkan audio tanpa menunjukan ciri perubahan yang nyata atau terlihat dalam kualitas dan struktur dari berkas semula.
STEGANOGRAFI • Tujuan dari steganografi adalah merahasiakan atau menyembunyikan keberadaandari sebuah pesan tersembunyi atau sebuah informasi. • Format yang biasas digunakan diantaranya : – Format image : bitmap(bmp), gif, pcx, jpeg,dll – Format audio : wav, voc, mp3, dll – Format lain : teks file, html, pdf, dll • Kelebihan steagnografi jika dibandingkan dengan kriptografi adalah pesan-pesannya tidak menarik perhatian orang lain.
STEGANOGRAFI
ALGORITMA KRIPTOGRAFI MODERN MACAM-MACAM ALGORITMA KRIPTOGRAFI MODERN STANDAR ENKRIPSI DATA (DES) ADVANCE ENCRYPTION STANDARD (AES)
Pendahuluan • Enkripsi modern berbeda dengan enkripsi konvensional. • Enkripsi modern sudah menggunakan komputer untuk pengoperasiannya. • Berfungsi untuk mengamankan data baik yang ditransfer melalui jaringan komputer maupun yang bukan. • Hal ini sangat berguna untuk melindungi privacy, data integrity, authentication dan non-repudiation.
MACAM-MACAM ALGORITMA KRIPTOGRAFI MODERN • Pada kriptografi modern terdapat berbagai macam algoritma, secara umum algoritma kriptografi modern dibagi tiga bagian yaitu : 1. Algoritma Simetris adalah algoritma yang menggunakan kunci yang sama untuk melakukan enkripsi dan deskripsi. Aplikasi dari algoritma simetris digunakan oleh beberapa algoritma : – Data Encryption Standard (DES) – Advance Encryption Standard (AES) – International Data Encryption Algortma (IDEA) – A5 – RC4
MACAM-MACAM ALGORITMA KRIPTOGRAFI MODERN 2. Algoritma Asimetris adalah pasangan kunci kriptografi yang salah satunya digunakan untuk proses enkripsi dan yang satu lagi digunakan untuk deskripsi. Beberapa contoh algoritma yang menerapkan asimetris diantaranya : – Digital Signature Logartihm – RSA – Diffie-Hellman (DH) – Elliptic Curve Cryptiography (ECC) – Kripto Quantum 3. Fungsi Hash juga sering disebut fungsi Hash satu arah (One-Way Function), message digest, fingerprint, fungsi kompresi dan message authentication cod (MAC), merupakan fungsi matematika yang mengambil masukan panjang variabel dan mengubahnya kedalam urutan biner dengan panjang yang tetap.
STANDAR ENKRIPSI DATA • Standar enkripsi data (Data Encrytion Standard - DES) merupakan algoritma enkripsi yang paling banyak dipakai didunia, yang diadopsi oleh NIST (Nasional Institue of Standards and Technology) sebagai standar pengolahan informasi Federal AS. • Secara umum standar enkripsi data terbagi menjadi tiga kelompok, yaitu pemrosesan kunci, enkripsi data 64 bit dan deskripsi data 64 bit yang mana satu kelompok saling berinteraksi satu sama lain. • Skema global dari algoritma DES adalah sebagai berikut : 1. Blok teks-asli dipermutasi dengan matriks permutasi awal(initial permutation atau IP). Bisa ditulis X0 = IP (x) = L0R0, dimana L0 terdiri dari 32 bit pertama dari X0 dan 32 bit terakhir dari R0.
STANDAR ENKRIPSI DATA
STANDAR ENKRIPSI DATA  Secara umum skema Data Encrytion Standard (DES) mempunyai dua fungsi masukan, yaitu : 1. Teks-asli untuk dienkripsi dengan panjang 64 bit 2. Kunci dengan panjang 56 bit.
STANDAR ENKRIPSI DATA • Skema dari pemrosesa n Data Encytion Standard (DES) seperti gambar berikut ini :
STANDAR ENKRIPSI DATA • Proses dari permutasi inisial (IP) teks-asli ada tiga : 1. Teks-asli 64-bit diperoses dipermutasi inisial (IP) dan menyusun kembali bit untuk menghasilkan permutasi masukan. 2. Langkah untuk melakukan perulangan kata dari teks-asli sebanyak 16 dengan melakukan fungsi yang sama, yang menghasilkan fungsi permutasi subtitusi, yang mana keluaran akhir dari hal tersebut berisi 64-Bit (fungsi dari teks-asli dan kunci), masuk ke swap dan menghasilkan pre-output. 3. Pre-output diproses dan permutasi diiversi dari permutasi inisial yang akan menghasilkan teks-kode 64-Bit
STANDAR ENKRIPSI DATA • Contoh algoritma DES seperti dibawah ini : • Diberikan teks-asli : “COMPUTER”  Teks-asli heksa : 43 4F 4D 50 55 54 45 52  Teks-asli biner : xo = 01000011 01001111 01001101 01010000 01011010 01010100 01000101 01010010
STANDAR ENKRIPSI DATA • Misalkan kunci heksa : – 13 34 57 79 9B BC DF F1 Kunci biner : K = 00010011 00110100 01010111 01111001 10011011 10111100 11011111 11110001 Dengan initial permutaion (IP) diperoleh : x0= IP (x) = L0R0 Dimana L0 : 11111111 10111000 01110110 01010111 R0 : 00000000 00000000 00000110 10000011 Enkripsi DES 16 putaran
STANDAR ENKRIPSI DATA • MODE OPERASI DES • DES dapat dioperasikan dengan mode ECB, CBC, OFC DAN CFB. • Namun karena kesederhanaanya, mode ECB lebih sering digunkaan pada paket program komersial meskipun sangat rentan terhadap serangan. • Mode CBC lebih kompleks daripada EBC namun memberikan tingkat keamanan yang lebih bagus. • Mode CBC kadang- kadang saja digunakan. • Mode EBC cocok digunakan untuk blok kode. Diberikan urutan x1x2 … 64-bit blok teks-asli. Setiap xi adalah enkripsis dengan kunci K. • Secara formal initial aturan
STANDAR ENKRIPSI DATA • Penggunaan mode CBC dapat dilihat pada gambar dibawah ini :
STANDAR ENKRIPSI DATA • Pada CFB, dimulai dari y0 = IV (64-bit vektor inisiasi) dan akan dihasilkan elemen kunci aliran zi dari enkripsi sebelum blok teks-kode, kemudian • Untuk lebih detailnya dapat dilihat pada gambar dibawah ini :
ADVANCE ENCRYPTION STANDARD (AES) • Advance Encryption Standard (AES) merupakan algoritma kriptografi yang dapat digunakan untuk mengamankan data. • Algoritma AES adalah blok ciphertext simetrik yang dapat mengenkripsi dan dekripsi. • Pada tahun 1997, National Institute of Standard and Technology (NIST) of United States mengeluarkan Advance Encryption Standard (AES) untuk menggantikan Data Encryption STANDARD (DES). • AES ini dibangun dengan maksud untuk mengamankan pemerintahan diberbagai bidang. • Algoritma AES di design menggunakan blok cipher minimal dari blok 128 bit input dan mendukung ukuran 3 kunci (3-key-
METODE ALGORITMA AES • Algoritma Rijndael kemudian dikenal dengan Advanced Encryption Standard (AES) kemudian diadopsi menjadi standard algoritma kriptografi secara resmi pada 22 Meil 2002. • Jenis AES terbagi 3, yaitu : – AES-128 – AES-192 – AES-256 • Garis besar Algoritma Rijndael yang beroperasi pada blok 128-bit dengan kunci 128-bit adalah sebagai berikut (diluarproses pembangkitan round key): 1. AddRoundKey : melakukan XOR antara state awal
METODE ALGORITMA AES 2. Putaran sebanyak Nr-1 kali. Proses yang dilakukan pada setiap putaran adalah : – subBytes : subtitusi byte dengan menggunakan tabel subtitusi (S-box). – shiftRows : pergeseran baris-baris array state secara wrapping. – MixColumns : mengacak data dimasing-masing kolom array state. – AddRoundKey : melakukan XOR antara state sekarang round key. 3. Final Round : proses untuk putaran terkhir. – SubBytes – ShiftRows – AddRoundKey 4. AES memiliki ukuran blok yang tetap sepanjang 128 bit dan ukuran kunci sepanjang 128, 192, atau 256. 5. Berdasarkan ukuran blok yang tetap, AES bekerja pada matriks berukuran 4x4 diaman tiap-tiap sel matriks terdiri atas 1 byte (8 bit). Sedangkan Rijndael sendiri dapat mempunyai ukuran matriks yang lebih dari itu dengan menmbahkan kolom sebanyak yang diperlukan.
METODE ALGORITMA AES • Secara umum metode yang digunakan dalam pemrosesan enkripsi dalam algoritma ini dapat dilihat melalui gambar berikut :
METODE ALGORITMA AES 1. ADD ROUND KEY Add Round Key pada dasarnya adalah mengkombinasikan cipherteks yang sudah ada dengan cipher key yang cipher key dengan hubunga XOR. Bagannya bisa dilihat pada gambar :
METODE ALGORITMA AES 2. SUB BYTES Prinsip dari Sub Bytes adalah menukar ini matriks/tabel yang ada dengan matriks/tabel lain yang disebut dengan Rijndael S-Box. Dibawah ini adalah contoh Sub Bytes dan Rijndael S-Box.
METODE ALGORITMA AES • Pada ilustrasi Sub Bytes diatas, disana terdapat nomor kolom dan nomor baris. Tiap isi kotak dari blok cipher berisi informasi dalam bentuk heksadesimal yamg terdiri dari dua digit, bida angka-angka, bisa huruf, ataupun huruf – angka yang semuanya tercantum dalam Rijndael S-Box. • Langkahnya adalah mengambil salah satu kotak matriks, mencocokannya dengan digit kiri sebagai baris dan digit kanan sebagai kolom. Kemudian dengan mengetahui kolom dan baris, kita dapat mengambil sebuah isi tabel dari Rijndael
METODE ALGORITMA AES 3. SHIFT ROWS Shift Rows seperti namanya adalah sebuah proses yang melakukan shift atau pergeseran pada setiap elemen blok/tabel yang diperlukan per barisnya. Yaitu baris pertama tidak dilakukan pergeseran, baris kedua dilakukan pergeseran 1 byte, baris ketiga dilakukan pergeseran 2 byte, dan baris keempat dilaukan pergeseran 3 byte. – Pergeseran tersebut dilihat dalam sebuag blok adalah sebuah pergeseran tiap elemen kekiri tergantung berapa byte tergesernya, tiap pergeseran 1 byte berarti begeser ke kiri sebanyak satu kali
METODE ALGORITMA AES 4. MIX COLUMNS Yang terjadi saat Mix Columns adalah mengalihkan tiap elemen dari blok cipher dengan matriks. Pengalian dilakukan seperti perkalian matriks biasa yaitu menggunakan dot product lalu perkalian keduanya dimasukan kedalam blok cipher baru.
METODE ALGORITMA AES 5. DIAGRAM ALIR AES seperti yang terlihat semua proses yang telah dijelaskan sebelumnya terdapat pada diagram tersebut. Yang artinya adalah mulai dari ronde kedua, dilakukan pengulangan terus menerus dengan rangkaian proses Sub Bytes, Shift Rows, Mix Columns and Add Round Key, setelah itu dari ronde tersebut akan digunakan pada ronde berikutnya dengan metode yang sama. Namu pada ronde kesepuluh, proses Mix Columns tidak dilakukan, dengan kata lain urutan proses yang dilakukan adalah Sub Bytes, Shift Rows, and Add Round Key, hasil dari Add Round Key ini lah yang dijadikan sebagai cipherteks dari AES.
METODE ALGORITMA AES
IMPLEMENTASI ADVANCED ENCRYPTION STANDARD • AES atau Algoritma Rijndael sebagai salah satu algoritma yang penting tentu memiliki berbagai kegunaan yang sudah diaplikasikan atau diimplementasikan dikehidupan sehari-hari yang tentu saja membutuhkan suatu perlindungan atau penyembunyian informasi didalam prosesnya. • Salah satu contoh penggunaan AES adalah pada kompresi 7- Zip. • Salah satu proses didalam 7-Zip adalah mengenkripsi isi dari data dengan menggunakan metode AES-256. Yang kunci nya dihasilkan melalui fungsi Hash. • Hal yang serupa digunakan pada Winzip sebagai salah satu perangkat lunak yang digunakan untuk kompresi. • Metode enkripsi yang ditawarkan adalah menggunakan AES-
MULAI MATERI

Recommended

Minggu 6.ppt
Minggu 6.pptMinggu 6.ppt
Minggu 6.pptDanyNittnot1
 
Pengendalian SIA Berbasis Komputer
Pengendalian SIA Berbasis KomputerPengendalian SIA Berbasis Komputer
Pengendalian SIA Berbasis Komputerdedidarwis
 
Pengendalian Sistem Informasi berdasarkan Komputer
Pengendalian Sistem Informasi berdasarkan KomputerPengendalian Sistem Informasi berdasarkan Komputer
Pengendalian Sistem Informasi berdasarkan KomputerIndah Agustina
 
Pertemuan 6 keamanan informasi
Pertemuan 6 keamanan informasiPertemuan 6 keamanan informasi
Pertemuan 6 keamanan informasiYolan Meiliana
 
Pertemuan 11.x keamanan
Pertemuan 11.x keamananPertemuan 11.x keamanan
Pertemuan 11.x keamananSetyady Peace
 
Keamanan dan Pengendalian Komputer
Keamanan dan Pengendalian KomputerKeamanan dan Pengendalian Komputer
Keamanan dan Pengendalian KomputerInggit Meilani
 
sia, windiyana, suryani, institut stiami
sia, windiyana, suryani, institut stiamisia, windiyana, suryani, institut stiami
sia, windiyana, suryani, institut stiamiWindiyana Yana
 
SIM, Rina Handayani, Hapzi Ali, Keamanan sistem informasi,Universitas Mercu B...
SIM, Rina Handayani, Hapzi Ali, Keamanan sistem informasi,Universitas Mercu B...SIM, Rina Handayani, Hapzi Ali, Keamanan sistem informasi,Universitas Mercu B...
SIM, Rina Handayani, Hapzi Ali, Keamanan sistem informasi,Universitas Mercu B...RinaHandayani20
 

Recommended

Minggu 6.ppt
Minggu 6.pptMinggu 6.ppt
Minggu 6.pptDanyNittnot1
 
Pengendalian SIA Berbasis Komputer
Pengendalian SIA Berbasis KomputerPengendalian SIA Berbasis Komputer
Pengendalian SIA Berbasis Komputerdedidarwis
 
Pengendalian Sistem Informasi berdasarkan Komputer
Pengendalian Sistem Informasi berdasarkan KomputerPengendalian Sistem Informasi berdasarkan Komputer
Pengendalian Sistem Informasi berdasarkan KomputerIndah Agustina
 
Pertemuan 6 keamanan informasi
Pertemuan 6 keamanan informasiPertemuan 6 keamanan informasi
Pertemuan 6 keamanan informasiYolan Meiliana
 
Pertemuan 11.x keamanan
Pertemuan 11.x keamananPertemuan 11.x keamanan
Pertemuan 11.x keamananSetyady Peace
 
Keamanan dan Pengendalian Komputer
Keamanan dan Pengendalian KomputerKeamanan dan Pengendalian Komputer
Keamanan dan Pengendalian KomputerInggit Meilani
 
sia, windiyana, suryani, institut stiami
sia, windiyana, suryani, institut stiamisia, windiyana, suryani, institut stiami
sia, windiyana, suryani, institut stiamiWindiyana Yana
 
SIM, Rina Handayani, Hapzi Ali, Keamanan sistem informasi,Universitas Mercu B...
SIM, Rina Handayani, Hapzi Ali, Keamanan sistem informasi,Universitas Mercu B...SIM, Rina Handayani, Hapzi Ali, Keamanan sistem informasi,Universitas Mercu B...
SIM, Rina Handayani, Hapzi Ali, Keamanan sistem informasi,Universitas Mercu B...RinaHandayani20
 
Sim keamanan sistem informasi
Sim keamanan sistem informasiSim keamanan sistem informasi
Sim keamanan sistem informasiSelfia Dewi
 
Modul7 - PTI
Modul7 - PTIModul7 - PTI
Modul7 - PTIDita Safitri
 
Keamanan Dan Pengendalian Komputer_Rani Nurrohmah_STIAMI
Keamanan Dan Pengendalian Komputer_Rani Nurrohmah_STIAMIKeamanan Dan Pengendalian Komputer_Rani Nurrohmah_STIAMI
Keamanan Dan Pengendalian Komputer_Rani Nurrohmah_STIAMIRani Nurrohmah
 
Sim, fina melinda jm, hapzi ali, keamanan sistem informasi, s1 akuntansi, uni...
Sim, fina melinda jm, hapzi ali, keamanan sistem informasi, s1 akuntansi, uni...Sim, fina melinda jm, hapzi ali, keamanan sistem informasi, s1 akuntansi, uni...
Sim, fina melinda jm, hapzi ali, keamanan sistem informasi, s1 akuntansi, uni...Fina Melinda Jumrotul Mu'minin
 
SIM, Khusrul Kurniawan, Prof. Dr. Hapzi Ali, Keamanan Sistem Informasi di Per...
SIM, Khusrul Kurniawan, Prof. Dr. Hapzi Ali, Keamanan Sistem Informasi di Per...SIM, Khusrul Kurniawan, Prof. Dr. Hapzi Ali, Keamanan Sistem Informasi di Per...
SIM, Khusrul Kurniawan, Prof. Dr. Hapzi Ali, Keamanan Sistem Informasi di Per...Khusrul Kurniawan
 
Sistem kontrol, pengendalian & keamanan sistem
Sistem kontrol, pengendalian & keamanan sistemSistem kontrol, pengendalian & keamanan sistem
Sistem kontrol, pengendalian & keamanan sistemFery Anugra
 
Sia, gilang ramadhan, suryani, stiamipinang
Sia, gilang ramadhan, suryani, stiamipinangSia, gilang ramadhan, suryani, stiamipinang
Sia, gilang ramadhan, suryani, stiamipinangGilang Ramadhan
 
2-PERTEMUAN II.pdf
2-PERTEMUAN II.pdf2-PERTEMUAN II.pdf
2-PERTEMUAN II.pdfhilman39
 
Sim, jeffry kurniawan (43115120189), hapzi ali, langkah langkah dalam pencega...
Sim, jeffry kurniawan (43115120189), hapzi ali, langkah langkah dalam pencega...Sim, jeffry kurniawan (43115120189), hapzi ali, langkah langkah dalam pencega...
Sim, jeffry kurniawan (43115120189), hapzi ali, langkah langkah dalam pencega...Jeffry Kurniawan
 
Tm2 perencanaan, perancangan dan administrasi basis data
Tm2 perencanaan, perancangan dan administrasi basis dataTm2 perencanaan, perancangan dan administrasi basis data
Tm2 perencanaan, perancangan dan administrasi basis dataDessy Wulandari
 
pert 6.pptx
pert 6.pptxpert 6.pptx
pert 6.pptxtplestari89
 
Sim, lulu sagita putri, hapzi ali, keamanan sistem informasi, mercu buana, 2017
Sim, lulu sagita putri, hapzi ali, keamanan sistem informasi, mercu buana, 2017Sim, lulu sagita putri, hapzi ali, keamanan sistem informasi, mercu buana, 2017
Sim, lulu sagita putri, hapzi ali, keamanan sistem informasi, mercu buana, 2017sagitalulu26
 
AUDITING IT GOVERNANCE CONTROLS
AUDITING IT GOVERNANCE CONTROLSAUDITING IT GOVERNANCE CONTROLS
AUDITING IT GOVERNANCE CONTROLSDhina Pohan
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptimman qori
 
01. Membuat_Desain_Keamanan_Jaringan.pdf
01. Membuat_Desain_Keamanan_Jaringan.pdf01. Membuat_Desain_Keamanan_Jaringan.pdf
01. Membuat_Desain_Keamanan_Jaringan.pdfYuniaDwieRhya
 
General control dan application control
General control dan application controlGeneral control dan application control
General control dan application controlRohmad Adi Siaman SST Akt., M.Ec.Dev.
 
Sistem informasi berbasis komputer
Sistem informasi berbasis komputerSistem informasi berbasis komputer
Sistem informasi berbasis komputerYuntika Andini
 
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...HAJUINI ZEIN
 
Sipi, raditya wijaksono, hapzi ali,konsep dasar keamanan informasi pemahaman ...
Sipi, raditya wijaksono, hapzi ali,konsep dasar keamanan informasi pemahaman ...Sipi, raditya wijaksono, hapzi ali,konsep dasar keamanan informasi pemahaman ...
Sipi, raditya wijaksono, hapzi ali,konsep dasar keamanan informasi pemahaman ...radityawijaksono
 
2
22
2dedesumarni3
 
Computer forensics intro(Pendahuluan Komputer Forensik).ppt
Computer forensics intro(Pendahuluan Komputer Forensik).pptComputer forensics intro(Pendahuluan Komputer Forensik).ppt
Computer forensics intro(Pendahuluan Komputer Forensik).pptBudiHsnDaulay
 
embedded-sistem-pertemuan_kedua(Pengenalan Embedded System).pptx
embedded-sistem-pertemuan_kedua(Pengenalan Embedded System).pptxembedded-sistem-pertemuan_kedua(Pengenalan Embedded System).pptx
embedded-sistem-pertemuan_kedua(Pengenalan Embedded System).pptxBudiHsnDaulay
 

More Related Content

Similar to pengantar_keamanan_sistem_informasi_pptx.pptx

Sim keamanan sistem informasi
Sim keamanan sistem informasiSim keamanan sistem informasi
Sim keamanan sistem informasiSelfia Dewi
 
Keamanan Dan Pengendalian Komputer_Rani Nurrohmah_STIAMI
Keamanan Dan Pengendalian Komputer_Rani Nurrohmah_STIAMIKeamanan Dan Pengendalian Komputer_Rani Nurrohmah_STIAMI
Keamanan Dan Pengendalian Komputer_Rani Nurrohmah_STIAMIRani Nurrohmah
 
Sim, fina melinda jm, hapzi ali, keamanan sistem informasi, s1 akuntansi, uni...
Sim, fina melinda jm, hapzi ali, keamanan sistem informasi, s1 akuntansi, uni...Sim, fina melinda jm, hapzi ali, keamanan sistem informasi, s1 akuntansi, uni...
Sim, fina melinda jm, hapzi ali, keamanan sistem informasi, s1 akuntansi, uni...Fina Melinda Jumrotul Mu'minin
 
SIM, Khusrul Kurniawan, Prof. Dr. Hapzi Ali, Keamanan Sistem Informasi di Per...
SIM, Khusrul Kurniawan, Prof. Dr. Hapzi Ali, Keamanan Sistem Informasi di Per...SIM, Khusrul Kurniawan, Prof. Dr. Hapzi Ali, Keamanan Sistem Informasi di Per...
SIM, Khusrul Kurniawan, Prof. Dr. Hapzi Ali, Keamanan Sistem Informasi di Per...Khusrul Kurniawan
 
Sistem kontrol, pengendalian & keamanan sistem
Sistem kontrol, pengendalian & keamanan sistemSistem kontrol, pengendalian & keamanan sistem
Sistem kontrol, pengendalian & keamanan sistemFery Anugra
 
Sia, gilang ramadhan, suryani, stiamipinang
Sia, gilang ramadhan, suryani, stiamipinangSia, gilang ramadhan, suryani, stiamipinang
Sia, gilang ramadhan, suryani, stiamipinangGilang Ramadhan
 
2-PERTEMUAN II.pdf
2-PERTEMUAN II.pdf2-PERTEMUAN II.pdf
2-PERTEMUAN II.pdfhilman39
 
Sim, jeffry kurniawan (43115120189), hapzi ali, langkah langkah dalam pencega...
Sim, jeffry kurniawan (43115120189), hapzi ali, langkah langkah dalam pencega...Sim, jeffry kurniawan (43115120189), hapzi ali, langkah langkah dalam pencega...
Sim, jeffry kurniawan (43115120189), hapzi ali, langkah langkah dalam pencega...Jeffry Kurniawan
 
Tm2 perencanaan, perancangan dan administrasi basis data
Tm2 perencanaan, perancangan dan administrasi basis dataTm2 perencanaan, perancangan dan administrasi basis data
Tm2 perencanaan, perancangan dan administrasi basis dataDessy Wulandari
 
Sim, lulu sagita putri, hapzi ali, keamanan sistem informasi, mercu buana, 2017
Sim, lulu sagita putri, hapzi ali, keamanan sistem informasi, mercu buana, 2017Sim, lulu sagita putri, hapzi ali, keamanan sistem informasi, mercu buana, 2017
Sim, lulu sagita putri, hapzi ali, keamanan sistem informasi, mercu buana, 2017sagitalulu26
 
AUDITING IT GOVERNANCE CONTROLS
AUDITING IT GOVERNANCE CONTROLSAUDITING IT GOVERNANCE CONTROLS
AUDITING IT GOVERNANCE CONTROLSDhina Pohan
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptimman qori
 
01. Membuat_Desain_Keamanan_Jaringan.pdf
01. Membuat_Desain_Keamanan_Jaringan.pdf01. Membuat_Desain_Keamanan_Jaringan.pdf
01. Membuat_Desain_Keamanan_Jaringan.pdfYuniaDwieRhya
 
Sistem informasi berbasis komputer
Sistem informasi berbasis komputerSistem informasi berbasis komputer
Sistem informasi berbasis komputerYuntika Andini
 
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...HAJUINI ZEIN
 
Sipi, raditya wijaksono, hapzi ali,konsep dasar keamanan informasi pemahaman ...
Sipi, raditya wijaksono, hapzi ali,konsep dasar keamanan informasi pemahaman ...Sipi, raditya wijaksono, hapzi ali,konsep dasar keamanan informasi pemahaman ...
Sipi, raditya wijaksono, hapzi ali,konsep dasar keamanan informasi pemahaman ...radityawijaksono
 

Similar to pengantar_keamanan_sistem_informasi_pptx.pptx (20)

Sim keamanan sistem informasi
Sim keamanan sistem informasiSim keamanan sistem informasi
Sim keamanan sistem informasi
 
Modul7 - PTI
Modul7 - PTIModul7 - PTI
Modul7 - PTI
 
Keamanan Dan Pengendalian Komputer_Rani Nurrohmah_STIAMI
Keamanan Dan Pengendalian Komputer_Rani Nurrohmah_STIAMIKeamanan Dan Pengendalian Komputer_Rani Nurrohmah_STIAMI
Keamanan Dan Pengendalian Komputer_Rani Nurrohmah_STIAMI
 
Sim, fina melinda jm, hapzi ali, keamanan sistem informasi, s1 akuntansi, uni...
Sim, fina melinda jm, hapzi ali, keamanan sistem informasi, s1 akuntansi, uni...Sim, fina melinda jm, hapzi ali, keamanan sistem informasi, s1 akuntansi, uni...
Sim, fina melinda jm, hapzi ali, keamanan sistem informasi, s1 akuntansi, uni...
 
SIM, Khusrul Kurniawan, Prof. Dr. Hapzi Ali, Keamanan Sistem Informasi di Per...
SIM, Khusrul Kurniawan, Prof. Dr. Hapzi Ali, Keamanan Sistem Informasi di Per...SIM, Khusrul Kurniawan, Prof. Dr. Hapzi Ali, Keamanan Sistem Informasi di Per...
SIM, Khusrul Kurniawan, Prof. Dr. Hapzi Ali, Keamanan Sistem Informasi di Per...
 
Sistem kontrol, pengendalian & keamanan sistem
Sistem kontrol, pengendalian & keamanan sistemSistem kontrol, pengendalian & keamanan sistem
Sistem kontrol, pengendalian & keamanan sistem
 
Sia, gilang ramadhan, suryani, stiamipinang
Sia, gilang ramadhan, suryani, stiamipinangSia, gilang ramadhan, suryani, stiamipinang
Sia, gilang ramadhan, suryani, stiamipinang
 
2-PERTEMUAN II.pdf
2-PERTEMUAN II.pdf2-PERTEMUAN II.pdf
2-PERTEMUAN II.pdf
 
Sim, jeffry kurniawan (43115120189), hapzi ali, langkah langkah dalam pencega...
Sim, jeffry kurniawan (43115120189), hapzi ali, langkah langkah dalam pencega...Sim, jeffry kurniawan (43115120189), hapzi ali, langkah langkah dalam pencega...
Sim, jeffry kurniawan (43115120189), hapzi ali, langkah langkah dalam pencega...
 
Tm2 perencanaan, perancangan dan administrasi basis data
Tm2 perencanaan, perancangan dan administrasi basis dataTm2 perencanaan, perancangan dan administrasi basis data
Tm2 perencanaan, perancangan dan administrasi basis data
 
pert 6.pptx
pert 6.pptxpert 6.pptx
pert 6.pptx
 
Sim, lulu sagita putri, hapzi ali, keamanan sistem informasi, mercu buana, 2017
Sim, lulu sagita putri, hapzi ali, keamanan sistem informasi, mercu buana, 2017Sim, lulu sagita putri, hapzi ali, keamanan sistem informasi, mercu buana, 2017
Sim, lulu sagita putri, hapzi ali, keamanan sistem informasi, mercu buana, 2017
 
AUDITING IT GOVERNANCE CONTROLS
AUDITING IT GOVERNANCE CONTROLSAUDITING IT GOVERNANCE CONTROLS
AUDITING IT GOVERNANCE CONTROLS
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.ppt
 
01. Membuat_Desain_Keamanan_Jaringan.pdf
01. Membuat_Desain_Keamanan_Jaringan.pdf01. Membuat_Desain_Keamanan_Jaringan.pdf
01. Membuat_Desain_Keamanan_Jaringan.pdf
 
General control dan application control
General control dan application controlGeneral control dan application control
General control dan application control
 
Sistem informasi berbasis komputer
Sistem informasi berbasis komputerSistem informasi berbasis komputer
Sistem informasi berbasis komputer
 
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas ...
 
Sipi, raditya wijaksono, hapzi ali,konsep dasar keamanan informasi pemahaman ...
Sipi, raditya wijaksono, hapzi ali,konsep dasar keamanan informasi pemahaman ...Sipi, raditya wijaksono, hapzi ali,konsep dasar keamanan informasi pemahaman ...
Sipi, raditya wijaksono, hapzi ali,konsep dasar keamanan informasi pemahaman ...
 
2
22
2
 

More from BudiHsnDaulay

Computer forensics intro(Pendahuluan Komputer Forensik).ppt
Computer forensics intro(Pendahuluan Komputer Forensik).pptComputer forensics intro(Pendahuluan Komputer Forensik).ppt
Computer forensics intro(Pendahuluan Komputer Forensik).pptBudiHsnDaulay
 
embedded-sistem-pertemuan_kedua(Pengenalan Embedded System).pptx
embedded-sistem-pertemuan_kedua(Pengenalan Embedded System).pptxembedded-sistem-pertemuan_kedua(Pengenalan Embedded System).pptx
embedded-sistem-pertemuan_kedua(Pengenalan Embedded System).pptxBudiHsnDaulay
 
Pertemuan Kedua_Pengenalan Komputer Grafika.ppt
Pertemuan Kedua_Pengenalan Komputer Grafika.pptPertemuan Kedua_Pengenalan Komputer Grafika.ppt
Pertemuan Kedua_Pengenalan Komputer Grafika.pptBudiHsnDaulay
 
Pertemuan 7_Jaringan Komputer_Data link layer.pptx
Pertemuan 7_Jaringan Komputer_Data link layer.pptxPertemuan 7_Jaringan Komputer_Data link layer.pptx
Pertemuan 7_Jaringan Komputer_Data link layer.pptxBudiHsnDaulay
 
Pertemuan 13_Mengelola Pekerjaan dalam Proyek TI.pdf
Pertemuan 13_Mengelola Pekerjaan dalam Proyek TI.pdfPertemuan 13_Mengelola Pekerjaan dalam Proyek TI.pdf
Pertemuan 13_Mengelola Pekerjaan dalam Proyek TI.pdfBudiHsnDaulay
 
03datastructure-141022030535-conversion-gate01.pptx
03datastructure-141022030535-conversion-gate01.pptx03datastructure-141022030535-conversion-gate01.pptx
03datastructure-141022030535-conversion-gate01.pptxBudiHsnDaulay
 
materi-ppt-algortima-dan-stuktur-data.pptx
materi-ppt-algortima-dan-stuktur-data.pptxmateri-ppt-algortima-dan-stuktur-data.pptx
materi-ppt-algortima-dan-stuktur-data.pptxBudiHsnDaulay
 
Interaksi Manusia Komputer (Pertemuan 5).ppt
Interaksi Manusia Komputer (Pertemuan 5).pptInteraksi Manusia Komputer (Pertemuan 5).ppt
Interaksi Manusia Komputer (Pertemuan 5).pptBudiHsnDaulay
 
Interaksi Manusia Komputer (Pertemuan 3).ppt
Interaksi Manusia Komputer (Pertemuan 3).pptInteraksi Manusia Komputer (Pertemuan 3).ppt
Interaksi Manusia Komputer (Pertemuan 3).pptBudiHsnDaulay
 
Pertemuan 13_Mengelola Pekerjaan dalam Proyek TI.ppt
Pertemuan 13_Mengelola Pekerjaan dalam Proyek TI.pptPertemuan 13_Mengelola Pekerjaan dalam Proyek TI.ppt
Pertemuan 13_Mengelola Pekerjaan dalam Proyek TI.pptBudiHsnDaulay
 
Pertemuan 6_Melakukan Pekerjaan Bersama TIM(Objektif 3).ppt
Pertemuan 6_Melakukan Pekerjaan Bersama TIM(Objektif 3).pptPertemuan 6_Melakukan Pekerjaan Bersama TIM(Objektif 3).ppt
Pertemuan 6_Melakukan Pekerjaan Bersama TIM(Objektif 3).pptBudiHsnDaulay
 

More from BudiHsnDaulay (12)

Computer forensics intro(Pendahuluan Komputer Forensik).ppt
Computer forensics intro(Pendahuluan Komputer Forensik).pptComputer forensics intro(Pendahuluan Komputer Forensik).ppt
Computer forensics intro(Pendahuluan Komputer Forensik).ppt
 
embedded-sistem-pertemuan_kedua(Pengenalan Embedded System).pptx
embedded-sistem-pertemuan_kedua(Pengenalan Embedded System).pptxembedded-sistem-pertemuan_kedua(Pengenalan Embedded System).pptx
embedded-sistem-pertemuan_kedua(Pengenalan Embedded System).pptx
 
Pertemuan Kedua_Pengenalan Komputer Grafika.ppt
Pertemuan Kedua_Pengenalan Komputer Grafika.pptPertemuan Kedua_Pengenalan Komputer Grafika.ppt
Pertemuan Kedua_Pengenalan Komputer Grafika.ppt
 
Pertemuan 7_Jaringan Komputer_Data link layer.pptx
Pertemuan 7_Jaringan Komputer_Data link layer.pptxPertemuan 7_Jaringan Komputer_Data link layer.pptx
Pertemuan 7_Jaringan Komputer_Data link layer.pptx
 
Pertemuan 13_Mengelola Pekerjaan dalam Proyek TI.pdf
Pertemuan 13_Mengelola Pekerjaan dalam Proyek TI.pdfPertemuan 13_Mengelola Pekerjaan dalam Proyek TI.pdf
Pertemuan 13_Mengelola Pekerjaan dalam Proyek TI.pdf
 
03datastructure-141022030535-conversion-gate01.pptx
03datastructure-141022030535-conversion-gate01.pptx03datastructure-141022030535-conversion-gate01.pptx
03datastructure-141022030535-conversion-gate01.pptx
 
materi-ppt-algortima-dan-stuktur-data.pptx
materi-ppt-algortima-dan-stuktur-data.pptxmateri-ppt-algortima-dan-stuktur-data.pptx
materi-ppt-algortima-dan-stuktur-data.pptx
 
Interaksi Manusia Komputer (Pertemuan 5).ppt
Interaksi Manusia Komputer (Pertemuan 5).pptInteraksi Manusia Komputer (Pertemuan 5).ppt
Interaksi Manusia Komputer (Pertemuan 5).ppt
 
Interaksi Manusia Komputer (Pertemuan 3).ppt
Interaksi Manusia Komputer (Pertemuan 3).pptInteraksi Manusia Komputer (Pertemuan 3).ppt
Interaksi Manusia Komputer (Pertemuan 3).ppt
 
Pertemuan 13_Mengelola Pekerjaan dalam Proyek TI.ppt
Pertemuan 13_Mengelola Pekerjaan dalam Proyek TI.pptPertemuan 13_Mengelola Pekerjaan dalam Proyek TI.ppt
Pertemuan 13_Mengelola Pekerjaan dalam Proyek TI.ppt
 
Pertemuan 6_Melakukan Pekerjaan Bersama TIM(Objektif 3).ppt
Pertemuan 6_Melakukan Pekerjaan Bersama TIM(Objektif 3).pptPertemuan 6_Melakukan Pekerjaan Bersama TIM(Objektif 3).ppt
Pertemuan 6_Melakukan Pekerjaan Bersama TIM(Objektif 3).ppt
 
4. mekanik.pptx
4. mekanik.pptx4. mekanik.pptx
4. mekanik.pptx
 

pengantar_keamanan_sistem_informasi_pptx.pptx

  • 3. Ketentuan Perkuliahan Durasi Belajar 16 x Pertemuan 2 SKS. (50 menit) / Pertemuan Mematuhi Aturan Kesepakatan Kelas. Aktif belajar, bertanya, dan diskusi. Memiliki buku pegangan / referensi. Mengikuti UTS dan UAS.
  • 5.
  • 6.
  • 7.
  • 8. ANCAMAN TERHADAP KEAMANAN SISTEM sistem informasi yang modern selalu berada : • Kerentanan • penyalah gunaan. perlindungan dalam suatu sistem informasi. pengamanan yang merujuk kepada 1. kebijakan 2. Prosedur 3. pengukuran teknik yang digunakan untuk mencegah akses yang tidak sah 4. penggantian, 5. pencurian, 6. kerusakan fisik pada sistem informasi. Sedangkan pengendalian terdiri atas : 1. metode, 2. kebijakan, 3. prosedur organisasi yang menjamin keselamatan aset-aset organisasi, 4. ketepatan, 5. keandalan catatan rekeningnya serta kepatuhan operasional pada standar- standar manajemen.
  • 9. • Di tahun 1997 majalah Information Week melakukan survey terhadap 1271 sistem atau network manager di Amerika Serikat. Hanya 22% yang menganggap keamanan sistem informasi sebagai komponen sangat penting (“extremely important”). • Mereka lebih mementingkan : “reducing cost” dan “improving competitiveness” Mekipun perbaikan sistem informasi setelah dirusak justru dapat menelan biaya yang lebih banyak. terlihat sebagai besaran yang tidak dapat langsung diukur dengan uang (intangible), keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran yang dapat diukur dengan uang (tangible).
  • 10. • Perusahan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis komputer didalam perusahan. Tujuan 1. integeritas, 2. kelanjutan dan kerahasian dari pengolahan data. 3. Keuntungan dengan meminimalkan resiko harus diimbangi dengan biaya yang dikeluarkan untuk tujuan pengamanan. • Repotasi organisasi akan dinilai masyarakat apabila dapat diyakini oleh: 1. Integeritas (Integerity) Informasi 2. Kerahasian (Confidentiality) 3. Ketersediaan (Availability) Informasi
  • 11. • Informasi adalah aset organisasi yang sangat berharga dan penting seperti aset-aset yang lain misalnya .?????? • Sistem informasi suatu keharusan untuk melindungi aset perusahan untuk dari berbagai ancaman. • Katagori aset –aset sistem informasi • Analis • Programmer • Operator • database • adminstraktor • Spesialis jaringan • Spesialis PABX.  PersonalSistem : Hardware •CPU •Printers •Terminal/monitor •Routers •Switch
  • 12. Software Aplikasi •Sistem Debtors •Creditors •Pengajian •GL •ERP • Operating Sistem • Compilers • Utilities • Database system. System Software Data • Transfer File • Backup File, Fasilitas • Mebel • Ruang Kantor • Filing Cabinet • Tapes • CD,DVD,disk pack • Kertas • Printer,Tinta Printer Penunjang
  • 13. • Ancaman adalah suatu aksi atau kejadian yang dapat merugikan perusahan yang dapat merugikan perusahan. Ancaman aktif mencakup kecurangan dan kejahatan terhadap komputer Ancaman pasif mencakup kegagalan sistem, kesalahan manusia, dan bencana alam 1. Hardware : Dikarenakn kerusakan pada byar pet (listrik), kortsleting, disk crashes. 2. Software failure : Dikarenakan oleh kesalahan sistem Operasi, kesalahan program update,tidak cukup memadainya uji coba program. 3. Kegagalan SDM : Dikarenakan sangat minimnya training atau pelatihan bagi personel. 4. Alam : Dikarenakan faktor cuaca yang tidak normal,Panas, banjir, gas, proyektil, gempa,letusan gunung 5. Keungan : Biasanya disebabkan oleh tuntutan hukum pihak ketiga, pailit, mogok kerja, hura- hura 6. Eksternal : Sabotase,sepionase, hura-hura 7. Internal :Dalam bentuk kecurangan, pencurian,kejahatan (virus,membangun malicius software). Ancaman
  • 14.  usaha untuk menjaga informasi dari orang-orang yang tidak berhak mengakses.  Privacy lebih kearah data-data yang sifatnya privat. Serangan terhadap aspek privacy misalnya usaha untuk melakukan penyadapan.Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy adalah dengan menggunakan teknologi “KRIPTOGRAFI”.  Konfidentil (Confidential) Apabila informasi ini disebarluaskan maka ia akan merugikan privasi perpeorangan, merusak repotasi organisasi  Ristricted Informasi ini hanya ditujukan kepada orang-orang tertentu untuk menopang bisnis organisasi.  Internal Use Informasi ini hanya boleh digunakan oelh pegawai perusahan untuk melaksanakan tugasnya.  Public Informasi ini dapat diperluaskan kepada umum melalui jalur yang resmi. Sangat rahasia Inti utama dari aspek kerahasiaan adalah:
  • 16. Kebijakan Keamanan Sistem Informasi Kebijakan keamanan sistem informasi biasanya disusun oleh pimpinan operasi beserta pimpinan ICT (Information Communication Technology) dengan pengarahan dari pimpinan organisasi.
  • 17. • Tanggung jawab semua karyawan • Penetapan pemilik sistem informasi • Langkah keamanan harus sesuai dengan peraturan dan undang-undang • Antisipasi terhadap kesalahan • engaksesan kedalam sistem harus berdasarkan kebutuhan fungsi • User harus dapat meyakinkan kebutuhannya untuk dapat mengakses ke sistem sesuai degan prinsip “need to know”. Pemilik sistem harus bertanggung jawab atas pemberian akses ini. • Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di sistem informasi • Sistem komputer milik perusahaan beserta jaringannya hanya diperbolehkan untuk dipakai demi kepentingan bisnis perusahaan.Data perusahaan hanya diperbolehkan dipakai untuk bisnis perusahaan dan pemilik sistem bertanggung jawab penuh atas pemberian pengaksesan terhadap data tersebut. • Pekerjaan yang dilakukan oleh pihak ketiga Rangkaian konsep secara garis besar dan dasar prosedur keamanan sistem informasi :
  • 18. • Keamanan informasi menggambarkan usaha untuk melindungi komputer dan non peralatan komputer, fasilitas, data, dan informasi dari penyalah gunaan oleh orang yang tidak bertanggung jawab. • Masalah keamanan informasi merupakan salah satu aspek penting dari sebuah sistem informasi. • Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama yaitu: Informasi • Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai akhir sistem informasi • Untuk menjaga kestabilan sistem informasi : pemisahan secara fungsional antara pengembang sistem, pengoperasian sistem harian dan pemakai akhir. pihak ICT terutama bagian pengembangan sistem tidak dibenarkan apabila ia menangani administrasi yang menyangkut keamanan sistem. • Implementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah ada harus melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan permintaan perubahan (change request)
  • 19. • Perubahan terhadap sistem informasi hanya melalui prosedur yang berlaku untuk pengembangan dan implementasi sistem baru. • Sistem yang akan dikembangkan harus sesuai dengan standart metode pengembangan sistem yang diemban oleh organisasi • Sistem yang akan dibangun harus memakai bahasa pemograman yang telah ditetapkan. Tidak dibenarkan apabila programer membuatnya dengan bermacam-macam bahasa pemograman.Patut dipertimbangkan semua risiko keamanan beserta penanggulannya di dalam sistem.Sebelum sistem aplikasi diimplementasikan, pemilik sistem harus mengevaluasi dan menilai keadaan keamanan di dalam aplikasi tersebut. • Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan memakai kode identiitasnya (user-ID) • Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua aktivitas yang dilakukan dengan ID ini akan terekam di dalam audit-trial. Pemakai tidak dapat memungkiri bukti ini, apabila terjadi kesalahan fatal yang mengakibatkan kerugian terhadap perusahaan. Kesalahan yang berdampak akan mengakibatkan peringatan atau pemutusan hubungan kerja terhadap pemilik user-ID ini. Lanjutan
  • 20. • LANGKAH-LANGKAH KEAMANAN : 1. Keamanan Fisik Komputer : • membatasi akses fisik ke mesin : • Akses masuk ke ruangan computer, penguncian komputer secara hardware, keamanan BIOS, keamanan Bootloader back-up data : pemilihan piranti back-up, penjadwalan back-up, mendeteksi gangguan fisik pada saat computer akan di- reboot, PRINSIP DASAR PERANCANGAN SISTEM YANG AMAN
  • 21. • Log pendek atau tidak lengkap, log yang berisikan waktu yang aneh, log dengan permisi atau kepemilikan yang tidak tepat, catatan pelayanan reboot atau restart, log yang hilang, masukan atau login dari tempat yang janggal • mengontrol akses sumber daya dengan tool seperti system security yang dapat mengunci semua system dari pengaksesan setelah password bios.Tapi masih ada kemungkinan seseorang mengetahui password untuk mengakses system tersebut. • Mengunci console dengan menggunakan xlock dan vlock yaitu program kecil untuk mengunci agar seseorang tidak dapat mengganggu atau melihat kerja yang dilakukan dengan mengunci tampilan yang membutuhkan password untuk membukanya. xlock dapat digunakan untuk mengamankan desktop pada saat meninggalkan meja anda, dan vlock berfungsi untuk mengunci beberapa atau semua console teks yang terbuka. hal yang perlu diperiksa pada log dengan mencatat kejanggalan yang ada
  • 22. Berkaitan dengan user dan hak-haknya dengan memberikan account kepada orang yang tepat sesuai kebutuhan dan tugas-tugasnya : • Beri mereka fasilitas minimal yang diperlukan. • Hati-hati terhadap saat/dari mana mereka login, atau tempat seharusnya mereka login. • Pastikan dan hapus rekening mereka ketika mereka tidak lagi membutuhkan akses. 2. Keamanan lokal
  • 23. • Jangan sekali-sekali login sebagai root, jika tidak sangat perlu. • ika terpaksa ingin menggunakan root, loginlah sebagai user biasa kemudian gunakan perintah su (substitute user) • angan sekali-sekali menggunakan seperangkat utilitas, seperti rlogin/rsh/rexec (utilitas r) sebagai root. Semua itu menjadi sasaran banyak serangan, dan sangat berbahaya bila dijalankan sebagai root. Jangan membuat file .rhosts untuk root. • Jangan pernah menggunakan “.”, yang berarti direktori saat ini dalam penyertaan path. Sebagai tambahan, jangan pernah menaruh direktori yang dapat ditulis pada jalur pencarian anda, karena hal ini memungkinkan penyerang memodifikasi atau menaruh file biner dalam jalur pencarian anda, yang memungkinkan mereka menjadi root ketika anda menjalankan perintah tersebut. • Batasi penggunaan konsol untuk login sebagai root • Selalu perlahan dan berhati-hati ketika menjadi root. Tindakan anda dapat mempengaruhi banyak hal. Pikir sebelum anda mengetik! 3. Keamanan Root
  • 24. • Seorang administrator system perlu memastikan bahwa file-file pada system tidak terbuka untuk pengeditan oleh pemakai dan grup yang tidak seharusnya melakukan pemeliharaan system. • Directory home user tidak boleh mengakses perintah mengubah system seperti partisi, perubahan device dan lain-lain. • Lakukan setting limit system file. • Atur akses dan permission file : read (mampu melihat isi file, dan membaca directori), write (mampu menambah dan mengubah file, menghapus atau memindahkan file dalam sebuah direktori), execute (mampu menjalankan program biner atau script shell, mencari sebuah directory yang dikombinasikan dengan permisi read) bagi user maupun group. • Selalu cek program-program yang tidak dikenal 4. Keamanan File dan system file
  • 25. • Hati-hati terhadap bruto force attack, seperti “Crack” atau “John the Ripper” sering digunakan untuk menerka password. Usahakan dengan membuat password yang baik. • Selalu mengenkripsi file yang dipertukarkan. 5. Keamanan Password dan Enkripsi
  • 26. • Kernel merupakan otak system operasi yang mengatur pemakai banyak (multiple users) dan proses, mengelola directory system serta melakukan seluruh pengelolaan I/O untuk system tersebut. • selalu update kernel system operasi. • Ikuti review bugs dan kekurang-kekurangan pada system operasi. 6. Keamanan Kernel
  • 27. • Waspadai paket sniffer yang sering menyadap port Ethernet. • Lakukan prosedur untuk mengecek integritas data • Verifikasi informasi DNS • Lindungi network file system • Gunakan firewall untuk barrier antara 7. Keamanan Jaringan
  • 28. • Dengan munculnya komputer di lingkungan organisasi,aset perusahaan akan bertambah sehingga diperlukan sebuah pemikiran untuk melindunginya yang merupakan sebuah keharusan atau kewajiban. integrity Confidentiality Availability
  • 29. • ISO (the International Organization for Standarization) dan IEC (the International Electrotechnical Commission) membentuk sistem khusus untuk standardisasi universal. Badan-badan nasional anggota ISO dan IEC berpartisipasi dalam pengembangan standardisasi internasional melalui panitia teknis yang disepakati oleh organisasi-organisasi yang terpercaya keahliannya dalam aktivitas-aktivitas teknis. • Standar internasional ISO/IEC 17799 dipersiapkan oleh Institut Standar Inggris (dikenal sebagai BS 7799) dan diadopsi di bawah “prosedur jalur cepat” khusus oleh Panitia Teknis Gabungan ISO/IEC JTC 1, Teknologi Informasi, secara bersamaan dengan persetujuan dari badan-badan nasional ISO dan IEC). • Pada tahun 1994 dalam seminar yang diselenggarakan oleh ISO dan IRAM di Argentina, salah satu wakil dari ISO mengusulkan bahwa standardisasi dan kualitas harus didasarkan pada sedikit- ISO 17799
  • 30. 1. Business Continuity Planning 2. System Control Access 3. System Development dan Maintenance 4. Physical and Environmental Security 5. Compliance 6. Personal Security 7. Security Organization 8. Computer and Network Management 9. Asset Classification and Control 10.Security Policy ISO 17799 terdiri dari
  • 31. halaman 31 dari 50 halaman SISTEM - SMM ISO 9001 - SML ISO 14001 - OHSAS, SMK3, DLL SISTEM PENGUJIAN/ UAS/UTS/SIDANG DLL JENIS STANDAR / SPESIFIKASI FISIK (Gedung, Lab, dll) DOKUMEN STANDAR / SPESIFIKASI DOKUMEN (Gedung, Lab, dll) KEMAJUAN IPTEK STANDAR / SPESIFIKASI DOKUMEN SISTEM - ISO 9001: 2008 KERAGAMAN/ KOMPETENSI LULUSAN KOMPATIBILITAS LULUSAN/ PRODUK -SPLN 42-3:1992 - SNI 04-6507.1- 2002 - DLL
  • 32. • ILUSTRASI D A C P ISO 9001 STANDAR MUTU PRODUK TERTENTU ISO 9001 PERBAIKAN BERKELANJUTAN D A C P STANDAR SISTEM MUTU ISO 9000
  • 33. FUNDAMENTALS OF QUALITY MANAGEMENT SYSTEM Pengelolaan sumber daya Input Output M A H A S I S W A PERBAIKAN BERKESINAMBUNGAN SISTEM MANAJEMEN MUTU PT P e r s y a r a t a n Tanggung jawab manajemen Ujian, analisis dan perbaikan ALUMNI Realisasi LULUSAN K e p u a s a n Pertambahan nilai Aliran Informasi Kunci: Model sistem manajemen mutu berdasarkan proses M A H A S I S W A
  • 34. Level III instruksi kerja dan dokumen pendukung lainnya Level II Prosedur Level I Pedoman Mutu Why What, When, Where & Who How (Current Practice) Philosophie s and Policies Menggambarkan secara garis besar latar belakang, kebijakan dan sasaran perusahaan. Principles and Strategies Menggambarkan mengenai interaksi suatu bagian dengan bagian yang lain. Menggambarkan mengenai bagaimana aktivitas di suatu bagian dilaksanakan. RECORDS (Proof) Struktur Dokumentasi Sistem Mutu DOKUMENTASI SISTEM MUTU
  • 35. Tujuan : – Memberi informasi kepada karyawan dan pelanggan, tentang tujuan dan kebijakan manajemen dalam hal mutu. – Memberi jaminan kepada asesor atau pembaca, bahwa organisasi telah menerapkan sistem mutu yang sesuai dengan ISO 9001 Isi : – Menggambarkan setiap elemen dari ISO 9001 yang diterapkan dalam perusahaan. – Penggambaran tersebut tidak perlu sangat detail. – Secara luas, Pedoman Mutu menyatakan apa yang dilakukan untuk menjamin mutu produk (barang atau jasa) Pedoman Mutu
  • 36. Pernyataan Kebijakan Mutu  Menyatakan komitmen manajemen puncak, sebagai pencerminan komitmen perusahaan secara menyeluruh  Memberi jaminan bahwa mutu merupakan salah satu aspek penting dalam kebijakan perusahaan  Ditandatangani oleh top manajemen  Harus dimengerti oleh setiap karyawan  Penerapannya merupakan tanggung jawab manajemen
  • 37. Isi Kebijakan Mutu  Menyatakan  Tujuan perusahaan dalam hal mutu  Komitmen perusahaan untuk memenuhi persyaratan dan senantiasa memperbaiki keefektifan sistem manajemen mutu.  Kerangka kerja untuk menetapkan dan meninjau tujuan mutu.  Kebijakan mutu akan ditinjau agar selalu sesuai.  Menguraikan  Bagaimana kebijakan mutu diketahui dan dimengerti oleh karyawan  Bagaimana kebijakan mutu diterapkan dan dipelihara Pedoman Mutu
  • 38. QUALITY MANUAL (Manual define concept) PROCEDURE (Process to Activities) WORK INSTRUCTION (Activities to Tasks) MAJOR BUSINESS PROCESS ACTIVITIES PROCESSES TASKS PROSEDUR, INSTRUKSI KERJA, REKAMAN
  • 39. S – P - O Suppliers Customers (MAHASISWA) SMM: Kebijakan Manual Perencanaan Sasaran PK & IK CQI Proses pelayanan Pendidikan Structure Proses Outcome Leadership Management SMM: Sistem yang menjamin kualitas lulusan dan proses melalui standardisasi dan perbaikan yang berkesinambungan
  • 40. S – P - O Suppliers Customers BPM QMS Qmanual QI Kebijakan Sasaran Perencanaan Prosedur Instruksi kerja
  • 41. Bagaimana ISO 9000 dapat menjamin hal tersebut?
  • 42. • Dampak dari penggunaan komputer yang merupakan alat bantu didunia bisnis demi meningkatkan efisiensi dalam hal pemberian informasi yang lebih cepat dan akurat, telah menciptakan masalah tambahan untuk pemeriksaan dan pengontrolan, yang sebelumnya belum pernah ada atau terpikirkan. 1. Sentralisasi Data 2. Pengaksesan data 3. Pemisahan Tugas / Segregation of duties 4. Kekurangan audit trail (bukti secara fisik) 5. Tidak tersedianya prosedur dan dokumentasi yang memadai 6. Pengetahuan teknologi yang tinggi 7. Teknologi telah merubah pola berbisnis 8. Tingkat otoritas 9. Keterlibatan audit Dampak dari pemanfaatan Komputer
  • 43. Strategi Keamanan sistem informasi dibutuhkan karena  Informasi yang dihasilkan oleh komputer merupakan hal yang penting untuk mensukseskan bisnis  Teknologi yang baru telah mengubah pola lingkungan bisnis, termasuk ancaman dan serangan dari luar lingkungan.  Keamanan sistem informasi merupakan kunci keberhasilan untuk menggunakan alat bantu baik dalam bentuk hardware maupun software dalam berbisnis dan pemerosesan.  Penerapan kebijakan dan standar yang memadai akan menentukan arah keamanan sistem informasi  Bisnis secara elektronik membutuhkan kepercayaan bisnis  Bisnis perusahan sangat tergantung dengan ICT.  Banyak faktor yang membutuhkan pendekatan secara terintegrasi dan untuk jangka panjang Kebutuhan atas Strategi Keamanan Sistem Informasi
  • 45. Keamanan informasi diperoleh dengan menginplementasikan bermacam-macam alat kontrol dan juga kebijakan-kebijakan atau prosedur-prosedur. • Langkah awal organisasi harus mempelajari dan terlebih dahullu harus mengevaluasi semua risiko yang akan dihadapi dengan komputerisasi pada perusahan tersebut. Assess Risk
  • 46. a. Arsip elektronik.  Software file  Data files atau data base b. Dokumen dalam bentuk kertas  Dokumen yang dicetak di atas kertas  Dokumen yang ditulis tangan  Foto,gambar.sketsa Jenis informasi C. Rekaman  Rekaman Vidio  Rekaman Audio D. Komunikasi  Percakapan melalui telepon,HP  Percakapan tatap muka  Percakapan atau pesan melalui E-mail  Pesan melalui Fax  Pesan vidio  Pesan instan SMS Terminologi jenis informasi paling sedikit akan menyangkut :
  • 47. • Berikut jenis impact yang menyangkut pada saat menganalisa resiko :  Kerugian atas revenue  Kerugian atas modal organisasi  Kerugian mengenai reputasi dipasr  Menghilangkan kesempatan bisnis  Kerugian dipasar modal  Kehilangan kepercayaan pelanggan  Kehilangan kepercayaan pemegang saham  Melanggar regulasasi  Melanggar hukum  Tercemarnya nama baik organisasi Risk
  • 48. Risk
  • 49. • Risk analisis merupakan cikal bakal pembuatan kebijakan keamanan sistem dari setiap organisasi. • Risk analisis melibatkan penentuan : – Apa yang harus diprioritaskan dan dikontrol oleh organisasi – Apa yang dibutuhkan untuk memproteksinya – Bagaimana cara memproteksi dan mengontrolnya – Prioritas Analisi Risiko
  • 50. • Contoh gray area : Penggunaan multimedia massage servise (MMS). Boleh dikatakan pada saat ini semua orang memiliki telphon genggam dengan built-in kamera yang dapat dikatagorikan sebagai ancaman. Pemilik dapat merekam informasi rahasia terutama rahasia manufactoring atau pertahanan informasi tersebut dapat dengan mudah dikirim keluar organisasi melalui mobil network. Tujauan utama risk assesment mengedentifikasi proteksi dan kontrol terhadap informasi. Pada saat risk assesment akan ditemukan banyak bagian abu-abu (gray area) atau bidang yang tidak jelas jenis kontrol apa yang cocok untuk diterapkan.
  • 51. Resiko harus dikelompokan dalam tingkat kepentingan dan dampak kerusakan yang diakibatkanya. Faktor penentunya adalah:  Perkiraan resiko kehilangan sumber daya (dengan sengaja atau tidak sengaja )  Perkiraan pentingnya sumber daya (Apa impact-nya) Pada saat penentuan kontrol banyak faktor yang harus dipertimbangkan, termasuk peraturan pemerintah yang menyangkut bisnis perusahaan yang digeluti.harus disdari juga bahwa setiap kontrol dibutuhkan persyaratan yang akan diterapkan yang akan membutuhkan waktu dalam pelaksanaan (response time). Dan penambahan biaya.
  • 52. Katogori yang harus dipertimbangkan untuk mengestimasikan ancaman terhadap keamanan sistem.  Hardware  Software  Data  Manusia  Dokumentasi  Persedian
  • 54. 1. Tanggung jawab Karyawan 2. Tanggung jawab Manajer katagori Tanggung jawab pemakaian dan keamanan sistem informasi
  • 55. Tanggung jawab Umum,Karyawan,Manajer Perusahaan karyawan aset Tanggung jawab
  • 56. a. Personal yang telah ditunjuk sebagai pemilik sistem b. Personal lain yang dikatagorikan sebagai pemakai c. Pengembangan sistem (pimpinan proyek,sistem analisis,programer) d. Spesialis database e. Spesialis jaringan komunikasi f. Spesialis PABX g. Organisasi data processing (operator) h. Auditor (EDP) i. Administrasi sistem keamanan j. Personal andministrasi Secara spesifik, personal yang memiliki kaitan dengan sistem komputerisasi :
  • 58. 1. Mengetahui secara saar untuk bertindak sesuai dengan peraturan keamanan yang berlaku. 2. Melaporkan kepada atasan apabila mengetahui kejanggalan- kejanggalan atau kekurangan dalam hal keamanan. 3. Memasitikan agar semua informasi yang sensitif mengenai perusahan tidak akan disebarluaskan yang mengakibatkan kerugian perusahan. 4. Setelah menerima password, mengganti langsung dan secara teratur sesuai dengan peraturan yang telah ditentukan. Tanggung jawab setiap karyawan :
  • 60. a. Memastikan bahwa semua karyawan bawahan megetahui tanggung jawab mereka dan peraturan keamanan sistem yang informasi yang berlaku serta monitor. b. Memastikan agar staf bagianya memiliki sumber daya dan keahlian yang memadai untuk melaksanakan untuk melaksanakan tanggung jawab mereka untuk keamanan informasi c. Memastikan agar karyawan bawahanya mendapatkan akses kesistem sesuai dengan fungsi yang mereka embang d. Memastikan pemisahan tugas/pekerjan karyawan e. Memastikan agar setiap peraonal mengetahui bagaimana cara pengamanan keamanan berfungsi yang telah diintegrasikan dalam persuder kerja harian f. Bertindak cepat dan tepat waktu g. Memastikan agar perusahan tidak tergantung pada satu orang untuk setiap pekerjan utama Tanggung jawab Manajer :
  • 61. • Pemilik Sistem Pemilik sistem adalah mereka yang bertanggung jawab atas kebenaran desain fungsional dari sistem komputer di perusahaan dan yang memiliki wewenang untuk menentukan penggunanya • Tanggung Jawab. Pemilik Sistem: 1. Mengetahui nilai dan resiko dari sistem komputer yang digunakan mengklasifikasi sistem tersebut berdasarkan resikonya sesuai dengan kepekaannya dan mengevaluasi secara berkala. 2. Bertanggung jawab untuk keamanan sistem yang memadai harus merumuskan kebutuhan akan keamanan sistem informasiyang di kehendaki secara umu berdasarkan kepekaan resiko keamanan sistem. 3. Mengotorisasi pengaksesan dan penggunaan sistem serta memastikan bahwa penggunaan otoritas diimplentasikan secara benar. Tanggung Jawab Secar Spesifik Keamanan Sistem Informasi
  • 62. • Tanggung jawan Pemakai 1. Menggunakan sistem informasi sesuai dengan tanggung jawab 2. Bertanggung jawab atas semua transaksi/tindakan yang dilakukan terhadap sistem dengan menggunakan User-ID. 3. Mengetahui semua intruksi beserta keamanan dan mematuhinya 4. Laporan kepada atasan 5. Mengganti password secara teratur sesuai dengan peraturan yang telah ditentukan 6. Tidak diperkenakan berbagi password 7. Mengembalikan seluru hak milik perusahaan yang berkaitan dengan data pada saat memutuskan hubungan kerja. 8. Membuat backup sendiri dari pc. 9. Menyhadari bahwa komputer dikantor hanya boleh digunakan untuk keperluan kantor atau yang berkaitan dengan pekerjaan dan bukan untuk kebutuhan pribadi Pemakai
  • 63. Pengembang sistem adalah staf ICT yang memiliki keahlian dalam bidang designing, programing,troubleshooting sistem, dan memiliki tanggung jawab untuk memilih,mengembangkan, dan memilihara sistem komputer atas nama pemilik sistem. Pengembangan Sistem
  • 64. • Memiliki keahlian yang luas dalam bidang manajemen database dan memiliki tanggung jawab untuk memilih, mengembangkan dan memelihara sistem database atas nama pemilik sistem. Spesialist Database
  • 65. • Staf yang memiliki keahlian mengenai jaringan komunikasi, LAN, WAN, VSAT, beseta penunjang baik yang berupa hadware maupun software. dan memiliki tanggung jawab untuk memilih, mengembangkan dan memelihara jaringan komunikasi atas nama pemilik sistem. Spesialisasi jaringan komunikasi
  • 66. • Staf yang memiliki keahlian mengenai sistem telepon dan memiliki tanggung jawab untuk memilih PABX sesuai kebutuhan perusahan dan memeliharanya Spesialisasi PABX
  • 67. 1. Menjaga dan melaksanakan pemerosesan sistem sesuai dengan syarat yang diberikan oleh pemilik sistem untuk melskuksn pemonitoran, dan keamanan. 2. Memindahkan sistem ke production environmen setelah disetujui oeleh pemilik sitem 3. Memastikan agar wewenang yang diberikan kepada pemakai dapat dimonitori dengan baik. 4. Log off apabila meninggalkan sistem Organisasi dan Processing
  • 68. • Tanggung jawab : 1.Memberikan penilaian dan rekomendasi 2.Melaporkan penemuan 3.Melakukan audit 4.Kontrak yang berkaitan dengan sistem informasi sudah disetujui oleh unit kerja hukum. Auditor
  • 69. • Staf yang memiliki keahlian untuk mengimplementasi dan memelihara keamanan terhaap sistem informasi yang telah dirumuskan bersama pemilik sistem dan kepala unit kerja yang terkait. • Tanggung jjawab: 1. Mentrukturkan keamanan sistem informasi 2. Implementasi dan maintain 3. Administrasi dan memberikan otoritas pengaksesan sistem 4. Pengawasan software leseni asli • Keamanan pasword administrator Administrator Sistem Keamanan
  • 70. • Staf yang bertanggung jawab untuk urusan administrasi berkaitan dengan sistem informasi. Personal Aministrasi
  • 71. Tanggung jawab manajemen • 1. Komitmen manajemen: – Manajemen puncak harus menyediakan bukti komitmennya untuk mengembangkan dan melaksanaan SMM secara berkelanjutan, menyempurnakan efektivitasnya dengan: • mengkomunikasikan pentingnya memenuhi persyaratan pelanggan, perundangan dan peraturan yang berlaku • menetapkan kebijakan mutu • menetapkan sasaran mutu • melakukan tinjauan manajemen • Memastikan ketersediaan sumber daya • 2. Fokus pelanggan: – Manajemen puncak harus memastikan bahwa persyaratan pelanggan/mahasiswa ditentunkan dan dipenuhi dengan sasaran meningkatkan kepuasan mahasiswa/pelanggan. (lihat 7.2.1. dan 8.2.1)
  • 72. Tanggung jawab manajemen • 3. Kebijakan mutu: • Manajemen puncak memastikan bahwa kebijakan mutu: – Sesuai dengan tujuan organisasi – Memuat komitmen untuk mematuhi persyaratan dan secara berkelanjutan akan menyempurnakan efektifitas sistem manajemen mutu – Menyediakan kerangka kerja untuk menetapkan dan menelaah sasaran-sasaran mutu – Dikomunikasikan dan dipahami oleh semua dosen & karyawan – Ditelaah untuk kesesuaian berkelanjutan
  • 73. Tanggung jawab, wewenang, dan komunikasi – Tanggung jawab dan wewenang: • Manajemen puncak harus memastikan bahwa tanggung jawab dan wewenang didefinisikan dan dikomunikasikan di dalam organisasi – Wakil manajemen (MR): • Manajemen pucak harus menunjuk seseorang anggota manajemennya, yang di luar tanggung jawab yang lain harus mempunyai tanggung jawab dan wewenang meliputi: – Memastikan bahwa proses yang diperlukan untuk SMM ditetapkan, dilaksanakan dan dipelihara – Melaporkan pada manajemen puncak mengenai kinerja SMM dan setiap kebutuhan untuk penyempurnaan – Memastikan pengembangan kesadaran mengenai persyaratan pelanggan /mahasiswa di dalam organisasi – Komunikasi internal: • Manajemen puncak harus memastikan bahwa proses komunikasi yang sesuai ditetapkan dalam organisasi dan bahwa komunikasi mengenai efektivitas SMM berlangsung.
  • 74. 6. Telaah manajemen: – Umum – Manajemen puncak harus menelaah SMM organisasi, pada interval yang terencana, untuk memastikan kesesuaian yang berkelanjutan, kecukupan, dan efektivitas – Penelaahan harus meliputi penilaian kesempatan untuk penyempurnaan dan kebutuhan untuk perubahan SMM termasuk kebijakan dan sasaran mutu
  • 76.  Tujuan Logical scurity dan kontrol Password  Aplikasi Logical scurity dan kontrol Password  Access Level  Tanggung jawab pemberian kontrol Logikal Scurity dan Kontrol Password
  • 77. • Logical security adalah pengontrolan dengan pertolongan software/aplikasi tertentu terhadap pengaksesan pemakai sesuai kewenangannya untuk dapat mengakses data/informasi. • Tujuan : Melindungi data/informasi yang tersimpan di pusat komputer dari perusakan atau penghancuran yang dilakukan baik sengaja atau tidak Menghindari dan mendeteksi perubahan terhadap informasi yang dilakukan oleh pihak yang tidak berwenang, serta menjaga informasi agar tidak disebarkan kepihak lain. Logical security
  • 78.  User ID  Password  Access level  Closed menu Aplikasi Logical Security
  • 79. Tujuan untuk mengidentifikasi pemakai yang memiliki otorisasi untuk mengakses sistem komputer. • Beberapa informasi yang disimpan dalam User ID  User name  Password  Initial menu  Output queue  Special authorities  Password change date  Access level  Dll User ID
  • 80. • Berhubungan dengan User ID, untuk membuktikan bahwa pemilik memiliki wewenang untuk mengakses sistem. • Akses ke dalam sistem dapat ditolak bila  User ID salah, password benar  User ID benar, password salah  Keduanya salah  Batasan kesalahan, dan pemblokiran  Rekaman file log Password
  • 81. • Metode pengontrolan tergantung dari peralatan dan enviroment yang digunakan, secara umum antara lain:  No access.?  Execute .?  Read.?  Modify/update.?  Delete.?  Add/write.?  Owner.? Access Level
  • 82. • Menu pertama ini memberikan opsi untuk memanggil submenu lain dan submenu yang ditetapkan • Tanggung Jawab Pemberian Kontrol :Security Administrator memiliki wewenang untuk membuat, mengganti, dan menghapus User ID berserta password dan tingkat kontrol pengaksesan Closed Menu
  • 83.  Periksa & pastikan user accounts terdaftar  Periksa user profile yang terdaftar mengidentifikasikan pemilik user  Setiap pemakai hanya memiliki 1 user profile  Menyediakan user guest  Periksa & pastikan account policy sesuai  Memastikan pergantian password dalam kurun waktu tertentu  Memastikan password yang sama tidak dapat digunakan lagi  Memastikan workstation hanya digunakan sesuai jam kerja • Ada backup file dan directory yang hanya dimiliki administrator Tolak Ukur Dalam Logical Security
  • 85. • Physical Security atau keamanan fisik membahas ancaman, kerawanan dan tindakan yang dapat diambil untuk mamberi perlindungan fisik tehadap sumber daya organisasi dan informasi yang sensitif. Sistem keamanan fisik sering mengacu pada tindakan yang diambil untuk melindungi sistem, gedung dan infrastruktur pendukung yan terkait terhadap ancaman yang berhubungan dengan lingkungan fisik. • Secara singkat Physical Security dapat diartikan sebagai keamanan infrastruktur teknologi informasi secara fisik Access Level
  • 86. • Sebuah perusahaan besar biasanya memiliki sistem keamanan yang terstruktur dengan sangat baik. Untuk memasuki wilayah perusahaan dibutuhkan hak akses yang sah, dan hanya orang-orang tertentu saja yang memiliki hak tersebut. • Beberapa cara mengamankan daerah sekitar perusahaan:  Pagar / gerbang  Tembok tinggi  Penjaga  Menggunakan alarm keamanan 1. Company Surroundings
  • 87. • Posisi seorang resepsionis harus diperhatikan, karena orang luar perusahaan dapat dengan mudah untuk melihat dan mengetahui segala aktivitas yang dilakukan resepsionis terhadap komputer perusahaan. Sebaiknya:  Posisi monitor komputer tidak menghadap keorang luar  Tidak meninggalkan komputer dalam keadaan menyala 2. Reception
  • 88. • Komputer server pada sebuah perusahaan adalah bagian yang paling penting, karena dalam komputer tersebut tersimpan data-data penting (rahasia) perusahaan. Perlindungan terhadap komputer server dapat dilakukan dengan 2 cara: 1. Perlindungan data pada computer server, biasanya dari serangan virus dan spy. Disarankan untuk menginstall antivirus dan sering- sering untuk mengpdatenya. 2. Perlindungan fisik komputer server dari berbagai serangan, khususnya dari serangan bencana alam. 2. Server
  • 89. • Workstation area merupakan tempat yang sangat rawan untuk keamanan data, karena orang dapat dengan mudah untuk mengambil data dari komputer milik orang lain. Sebaiknya kita melakukan pengamanan dengan cara:  Tidak meninggalkan meja kerja dengan keadaan komputer menyala, komputer harus dalam keadaan terkunci  Gunakan kamera CCTV  Tidak meninggalkan usb / media drives lainnya masih terhubung ke komputer 4.Workstation area
  • 90. • Keberadaan alat wireless access points sudah semakin meluas dan dibutuhkan pengamanan yang lebih ketat. Untuk mencegah akses-akses yang tidah sah, sebaiknya wireless access harus lebih terjaga/ terjamin. Lakukanlah hal-hal berikut:  Nyalakan WEP encryption  Rubah default SSID-nya  Access point harus menggunakan password  Password harus cukup kuat sehingga tidak mudah untuk dicrack 5. Wireless access points
  • 91. • Access control digunakan untuk mencegah panggunaan akses yang tidak sah terhadap area- area operasional sensitif perusahaan. Pengontrolan dapat dilakukan dengan cara: Kartu pengenal yang dilengkapi chip • Biometric device: retina mata, sidik jari, pengenal suara 6. Access control
  • 92. • Pemeliharaan komputer secara rutin sangat disarankan, karena dapat membuat komputer tahan lama dan tetap stabil untuk jangka waktu yang panjang. Sebaiknya:  Perusahaan memiliki orang-orang yang terlatih dan bertanggungjawab dalam bidang maintenance  Tidak membiarkan orang luar perusahaan untuk melakukan maintenance 7. Computer equipment maintenance
  • 93. • Wiretapping adalah tindakan secara diam-diam mendengarkan pembicaraan orang lain melalui saluran telepon. Biasa dikenal dengan istilah penyadapan. Pengamanan dapat dilakukan dengan:  Tidak membiarkan kabel berserakkan sembarangan, susun kabel secara rapih  Lindungi kabel dengan pelindung kabel 8. Wiretapping
  • 94. • Remote access dapat mempermudah pegawai untuk mengakses komputer perusahaan dari luar perusahaan. Namun sebaiknya penggunaan remote access ini dihindari karena keamanan dari remote access sangat rendah dan rentan terhadap pencurian data. 9. Remote access
  • 96.  Dinamis, inovasi teknologi sebagai alat pendukung.  mengganti sistem lama. perubahan prosedur yang berlaku.  Pemakai. • Pengontrolan terhadap aktivitas perubahan sistem yang memiliki resiko tinggi Tujuan utama prosuder ini adalah melindungi agar perusahaan tidak mengalami kerugian, kerusakan, Ketidak Akuratan yang disebabkan oleh kesalahan atau kecurangan saat pemerosesan perubahan program. Prosedur Perubahan Program
  • 97. a. Semua perubahan program harus di setujui dan direview oleh pemilik sistem, kepala unit kerja terkait dan kepala bagian ICT. b. Pengaksesan terhadap program harus dikontrol secara memadai. c. Hasil program yang telah dirubah harus direview dan diverifikasi oleh pemilik sistem, kepala unit kerja terkait, dan kepala bagian ICT. d. Pemakai mengisi formulir “system change request”. Didalamnya pemakai menerangkan tujuan perubahan dan syarat-syarat perubahan yang diminta. Kepala unit kerja harus menyetujui perubahan dan menandatangani formulir tersebut. formulir diberikan kepada kepala unit ICT Prosuder
  • 98. e. Kepala bagian ICT akan mencatat dan mempelajari .seteah disetujui oleh pemilik sistem formulir tersebut diteruskan kepada project leader yang menangani sistem tersebut. f. Bersama dengan analis sistem,Project Leader akan membahas kemungkinan perubahan atau penambahan yang diminta. Apabila permintaan ini dapat diwujudkan, akan dikalkulasikan biaya dan waktu yang dibutuhkan dan jadwal pembuatannya. g. Setelah pimpinan departemen pemakai telah diinformasikan biaya yang akan dibebankan,ia harus menentukan apakah proyek ini berjalan terus atau ditunda dahulu. Ia harus mempertimbangkan untung ruginya permintaan ini, mengingat biasanya biayanya tinggi. Dengan membubuhi tanda tangan, pimpinan departemen mengembalikan formulir tesebut sebagai bukti setuju. Apabila ia membatalkan permintaannya, tetap ia harus memberitahukan kepada pimpinan ICT , agar pimpinan ICT dapat membatalkan permintaan proyek ini. h. Apabila laporan keuntungan dan biaya proyek disetujui, pimpinan ICT akan menyusun prioritas dan jadwalnya bersama dengan project leader.
  • 99. i. Formulir change request diberikan kepada analis/programmer yang akan mengerjakan. Ia akan menginformasikan secara tertulis kepada operator untuk meng-copy source program ke test environment. j. Permintaan peng-copy-an ini akan didaftarkan oleh operator ke dalam buku catatan yang telah ditentukan dan setelah itu melaksanakan peng-copy-an. k. Analis/programmer melakukan perubahan yang diminta dan menguji coba perubahan ini sampai tidak ada kesalahan lagi (error free/bug free). l. Hasil tes program diberikan kepada pemakai untuk di-review dan diminta persetujuannya. Apabila dibutuhkan, pemakai dapat menguji coba sendiri atau memberikan set uji coba kepada analis/programmer untuk menguji coba lagi. Persetujuan ini harus diindikasikan di formulir change request. m. Sebelum source program yang baru dipindahkan ke production environment, Project leader melakukan pengecekan terakhir atas kebenarannya dengan cara menguji coba ulang atau melihat/meneliti source code-nya
  • 100. n. Setelah pimpinan ICT yakin bahwa semua perubahan telah dilakukan dengan sempurna dan sesuai dengan prosedur, maka ia akan menyetujui perpindahan program baru yang berisikan perubahan dari tes ke production environment. o. Setelah dokumentasi (untuk operator, pemakai dan program)diupdate, change request dapat di berikan kepada bagian pengoperasian. p. Bagian pengoperasian akan meneliti dahulu kelengkapan tandatangan yang dibutuhkan sebelum memindahkan program lama ke history file dan mengkomplasiprogram baru. q. Analis/programer akan memverifikasi atas kebenaran penggantian program r. Pemakai akan diinformasikan bahwa program baru yang berisikan permintaan perubahan telah dapat dipakai.
  • 101. 1. Source dan object deck/code yang digunakan produksi harus disimpan di dalamlibrary yang memiliki perlindungan terhadap pengaksesan yang dilakukan individu yang tidak berwenang. 2. Perubahan terhadap program dan atau sistem hanya dapat dilakukan apabila telah menerima surat resmi dari pemohon beserta alasannya 3. Setalah mendapat surat perintah kerja, pelaksanaan tidak dapat dilakukan di production enviroment seperti yang tercantum di prosedur perubahan program. Oleh karena itu, harus disediakan tes, atu development enviroment,dimana program yang telah berjalan dapat di copy ke dalammnya untuk perubahan ini. 4. Buku registrasi yang akan berfungsi sebagai alat pengontrolan harus di maintain dimana tercantum :  Nomor formulir change request  Uraian singkat mengenai perubahan  Tinggal permintaan  Nama programmer yang melakukan perubahan  Tanggal efektif program dengan perubahan mulai dipakai Prinsip dasar pengontrolan
  • 102. 5. Apabila perubahan ini menyangkut pengontrolan di dalam aplkasi, audit harus mereview permintaan tambahan ini. 6. Pengontrolan terhadap source program dan object program di production envionment untuk memastikan atas kebenarann object program. Oleh karena itu,kontrol yang baik adalah mengkompilasi source program di production environment, yang secara otomatis akan mengganti object yang lama 7. Pengontrolan yang memadi terhadap uji coba yang dilakukan sebelum memindahkan keproduction environment. 8. Memastikan agar progrm yang teleh diubah dan telah disetujui oleh pemakai tidak dapat diubah lagi sebelum dipindahkan ke production environment. Hal ini dapat dilakukan dengan logical security. 9. Versi source program sebelumnya harus dipindahkan ke history file sebelum memindahkan program baru ke production environment. Program versi lama harus disimpan di media tertentu (misalnya tape, CD/DVD dan sebagainya) dan bukan hard copy.
  • 105. Untuk membangun sistem sesuai dengan persyaratan bisnis penting untuk menerapkan secara sistematis kebijakan pengembangan sistem. Metode yang diterapkan,pengetahuan. Metode yang diterapkan dukungan dari manajemen. Pengembangan sistem
  • 106. • Apabila telah diputuskan untuk membangun sistem dari nol, harus menentukan terlebih dahulu tanggung jawab masing-masing karyawan yang terlibat dalam proses yang akhir-akhir ini disebut system development Life Cycle (SDLC). Tanggung jawab
  • 107. • Tim ini terdiri dari senior manajemen organisasi yang memegang peranan penting di dalam perusahaan. • Tugas utama pengendali : 1. Menyetujui rencana departemen ICT 2. Memonitori kemajuan proyek yang sedang berjalan, sesuai dengan gagasan ICT. Streering Committe/Tim Pengendali Commitment Direction Planning Monitoring Steering Committee
  • 108. • User Group / Tim Pemakai User Group bertanggung jawab atas pengimplementasian peraturan (policy) yang telah diputuskan di steering Committee atau policy yang telah dibuat sebelumnya. Tes Group/ Tim Uji coba. • Tim terdiri dari tim pengembang sistem dan pemakai, tugas utama menguji coba sistem yang baru dibangun
  • 109. 1. Perencanaan Sistem • Kegiatan yang menyangkut estimasi dari kebutuhan-kebutuhan fisik, tenaga kerja & dana yang dibutuhkan untuk mendukung pengembangan sistem serta untuk mendukung operasinya setelah diterapkan. Waktu perencanaan sistem terdiri dari jangka pendek (1-2 tahun) dan jangka panjang (sampai dengan 5 tahun). • Proses utama dalam perencanaan sistem :  Merencanakan proyek sistem dilakukan oleh staff perencanaan sistem  Menentukan proyek-proyek sistem dilakukan oleh komite pengarah  Mendefinisikan proyek-proyek sistem dilakukan oleh sistem analis • Pengembangan Sistem Pengembangan Sistem
  • 110. • Tahap yang digunakan oleh analis sistem untuk menemukan kelemahan- kelemahan dari sistem yang ada sehingga dapat diusulkan perbaikannya. 2. Analisis Sistem
  • 111. 3. Desain/Perancangan Sistem • Tahap untuk membentuk sistem yang baru berdasarkan hasil analisis.
  • 112. • Tahap untuk memilih perangkat keras dan perangkat lunak yang dibutuhkan dan meletakkan sistem supaya siap untuk dioperasikan. • Kegiatan yang dilakukan dalam implementasi : • Pemilihan dan pelatihan personil • Pemilihan tempat dan instalasi hardware dan juga software • Pemrograman dan pengetesan program • Pengetesan sistem • Konversi • • Manajemen Sistem 4. Implementasi Sistem
  • 113. • Tahap setelah pengembangan sistem dilakukan dan sistem dioperasikan. Disebut sebagai tahap manajemen sistem karena yang melakukan proses ini sudah bukan analis sistem tetapi manajemen. • SDLC yang lebih lengkap dapat dilihat pada gambar di bawah ini : Maintenance Sistem
  • 115. Web Server • Adalah suatu daemon yang berfungsi menerima request melalui protocol http baik dari local maupun dari internet • Informasi yang direquest oleh web browser bisa berupa file yang ada dalam storage atau meminta server untuk melakukan fungsi tertentu
  • 116. Cara kerja web browser 1. USER/Netter yang akan mengakses suatu website berupa URL melalui Web browser. 2. Kemudian Web browser tersebut mengirimkan permintaan/ request berupa HTTP REQUEST kepada Web Browser melalui layer-layer TCP/IP, 3. Kemudian Web Server memberikan WEB FILES yang di-request jika ada. 4. Web Server memberikan respon kembali ke Web Browser melalui HTTP RESPONSE (melalui layer-layer TCP/IP)
  • 117. Macam Web Server • IIS (web server untuk html & asp ) bisa jalan di OS Windows • APACHE webserver (web server untuk html,php,asp,jsp, dsb).Bisa jalan di OS Windows dan LINUX.
  • 118. • Bentuk ancaman keamanan terhadap web browser berhubungan erat dengan ancaman-ancaman terhadap internet, karena apa saja dapat terjadi ketika kita menggunakan internet, maka akan berdampak buruk pula pada web browser yang kita gunakan atau bahkan akan berdampak buruk pula pada komputer. • Ancaman tersebut terjadi karena saat ini internet dapat diakses dengan mudah. Meskipun internet bias dipengaruhi oleh kebijakan pemerintah dan lembaga- lembaga yang berwenang mengatur lalu lintas internet, tetapi masyarakat pada umumnya tidak bisa mencegah orang lain untuk mengganggu pengguna Bentuk Ancaman pada Web Browser
  • 119. • Beberapa ancaman yang mengusik keamanan dari web browser dapat berupa : 1. Hijacking, 2. Session Hijacking, 3. Juggernaut, 4. Hunt, 5. Replay, 6. Spyware, 7. Cookies, 8. Phising, 9. Pharming, Dan Lain-lain
  • 120. • Berbagai macam ancaman memang menjadi gangguan yang cukup besar bagi para pengguna web browser. Namun dengan semakin berkembangnya ilmu teknologi, berbagai macam ancaman tersebut kini sudah dapat diatasi walaupun perkembangan ancaman-ancaman tersebut masih kian pesat meningkat. Metode Keamanan pada Web Browser
  • 121. Beberapa cara untuk mengatasi ancaman-ancaman yang ada pada web browser adalah: 1. Memasang anti spyware pada web browser 2. Menghapus cookies pada web browser 3. Menolak semua cookies untuk masuk 4. Untuk pencegahan phising dan pharming 5. Kenali tanda giveaway yang ada dalam email phising 6. Menginstall software anti phising dan pharming 7. Selalu mengupdate antivirus 8. Menginstall patch keamanan 9. Waspada terhadap email dan pesan instan yang tidak diminta 10.erhati-hati ketika login yang meminta hak administrator, cermati selalu alamat URL yang ada di address bar
  • 122. Eksploitasi server WWW • Tampilan web diubah (deface)dengan eksploitasi skrip / previledge / OS di server • Situs yang dideface Informasi bocor(misal laporan keuangan semestinya hanya dapat diakses oleh orang/ bagian tertentu) • Digunakan untuk menipu firewall (tunelling ke luar aringan) • Port 80 digunakan untuk identifikasi server (karena biasanya dibuka di router/firewall)
  • 123. Eksploitasi server WWW •Penyadapan informasi URLwatch: melihat siapa mengakses apa saja. Masalah privacy SSL memproteksi, namun tidak semua menggunakan SSL karena komputasi yang tinggi •DoS attack Request dalam jumlah yang banyak (bertubi-tubi) Request yang memblokir (lambat mengirimkan perintah GET) •Malicious Input Attack Bad input ke priviledge program : Code corruption attack – Buffer overflow, SQL Injection, Cross Site Scripting
  • 124. Pengamanan Web • Access Control Hanya IP tertentu yang dapat mengakses server (konfigurasi web server atau firewall) Via userid & password (htaccess) Menggunakan enkripsi untuk menyandikan Membatasi Akses
  • 125. htaccess di Apache Isi berkas “.htaccess”AuthUserFile/home/budi/.passme AuthGroupFile /dev/null AuthName “ Khusus untuk Tamu Budi” AuthType Basic <Limit GET> require user tamu </Limit> Membatasi akses ke user “tamu” dan password Menggunakan perintah “htpasswd“ untuk membuat password yang disimpan di “.passme”
  • 126. Secure Socket Layer (SSL) • Menggunakan enkripsi untuk mengamankan transmisi data • Mulanya dikembangkan oleh Netscape • Implementasi gratis pun tersedia openSSL
  • 127. APACHE Web Server dengan HTTPS • HTTPS adalah varian dari protocol HTTP dimana user mengakses dengan https:// • Data yang dikirim ke server adalah data yang terenkripsi. • Enkripsi yang digunakan adalah enkripsi SSL (Secure socket Layer). • Menggunakan TCP port 443. Shibu lijack
  • 131. Penjelasan Blok Diagram 1. Klien membuka suatu halaman yang mendukung protokol SSL, biasanya diawali dengan https:// pada browsernya. 2. Kemudian webserver mengirimkan kunci publiknya beserta dengan sertifikat server. 3. Browser melakukan pemeriksaan : apakah sertifikat tersebut dikeluarkan oleh CA(Certificate Authority) yang terpercaya? Apakah sertifikat tersebut masih valid dan memang berhubungan dengan alamat situs
  • 132. • 4. Setelah diyakini kebenaran dari webserver tersebut, kemudian browser menggunakan kunci public dari webserver untuk melakukan enkripsi terhadap suatu kunci simetri yang dibangkitkan secara random dari pihak klien. Kunci yang dienkripsiini kemudian dikirimkan ke webserver untuk digunakan sebagai kunci untukmengenkripsi alamat URL (Uniform
  • 133. • 5. Webserver melakukan dekripsi terhadap enkripsi dari klien tadi, menggunakankunci privat server. Server kemudian menggunakan kunci simetri dari klien tersebutuntuk mendekripsi URL dan data http yang akan diperlukan klien. • 6. Server mengirimkan kembali halaman dokumen HTML yang diminta klien dan data http yang terenkripsi dengan kunci simetri tadi. • 7. Browser melakukan dekripsi data http dan dokumen HTML menggunakan kuncisimteri tadi dan menampilkan informasi yang diminta.
  • 135. Kontrol terhadap PC • Persoalan kontrol – Peraturan Pengadaan barang • Pertimbangan yg kuat • Standarisasi • Supplier • Pembelian software • Persoalan manajemen – Pengembangan sistem – Integritas sistem aplikasi
  • 136. • Ancaman terhadap PC – Hacking – Virus • Peraturan manajemen – Peraturan penggunaan internet dan email – Prosedur operasi untuk bagian ICT – Prosedur recovery – Pemeriksaan konfigurasi – Pemeriksaan mesin – Pemeriksaan ekstensi file yg tersembunyi
  • 137. • PC vs Mainframe – Physical security • Sentra pengolahan data • Proteksi terhadap kebakaran • Maintenance – Software security • Logical security • Menggunakan software utility • Pengontrolan terhadap aplikasi yang dibuat • Menghilangkan file
  • 138. • Persoalan administrasi – Pembelian – Operasional – Saat darurat
  • 140. Pegertian keamanan jaringan Keamanan jaringan adalah suatu cara atau suatu system yang digunakan untuk memberikan proteksi atau perlindungan pada suatu jaringan agar terhindar dari berbagai ancaman luar yang mampu merusak jaringan. Langkah awal untuk melindungi sumber-sumber yang sensitif adalah dengan mengkombinasikan beberapa akses yang telah dibahas. Ada beberapa teknologi keamanan yang paling sering digunakan. Masing- masing teknologi ini memiliki peran khusus untuk meningkatkan keamanan jaringan anda saat didesain dan diimplementasikan dalam desain berlapis.
  • 141. Beberapa resiko keamanan jaringan • Mengakses jaringan atau aplikasi oleh user yang tidak memiliki wewenang dari terminal sendiri atau dari nodes network yang lain • Menggangu atau mengacau pengiriman data yang rahasia dengan cara mencegat dan memanipulasikanya. • Kegagalan jaringan atau putus hubungan jaringan. Acaman
  • 142. • Serangan terhadap jaringan merupakan pintu gerbang untuk menyerang sistem perusahan,dapat dalam bentuk software (malicious software): 1. Lgical Boom. 6. Bom waktu 2. Virus 7. worm 3. Trajan Horses 8. spyware 4. Intercaption Komunikasi 9.denial of service 5 .Malicious Java/Active C 10. tunneling
  • 143. • Keamanan jaringan dapat berdampak buruk dengan adanya kemungkinan serangan dan ancaman pada jaringan. Beberapa konsep penting yang harus diperhatikan dalam mendesain jaringan : 1. Keamanan berlapis 2. Akses control 3. Keamanan peran tertentu 4. Kesadaran pengguna 5. Monitoring 6. Sistem terus diperbaharui Konsep Desain Keamanan
  • 144. • Ada dua elemen utama pembentuk keamanan jaringan : 1. Tembok pengamanan (baik secara fisik maupun maya), yaitu suatu cara untuk memberikan proteksi atau perlindugan pada jarigan, baik secara fisik (kenyataan) maupun maya (menggunakan software) 2. Rencana pengamanan, yaitu suatu rancagan yang nantinya akan di implementasiakan uantuk melindugi jaringan Elemne pembentukan keaman jaringan
  • 145. • Secara umum dalam hal keamanan untuk jaringan harus dengan jelas dirumuskan/disusun terutama pada ujung terminal pengirim (misalnya PC ) dan pada ujung penerima (misalnya server atau mesin besar). • Apabila Koneksi telah terjadi masing-masing harus menetapkan dan meverifikasi masing-masing identitas (autthentication). Secar teknis jaringan juga bertanggung jawab atas integritas ata yang dikirim, memastikan agar data yang dikirim dijamin Keaman Didalam jaringan
  • 146. 1. Confidentiality Mensyaratkan bahwa informasi (data) hanya bisa diakses oleh pihak yang memiliki wewenang. 2. b. Integrity Mensyaratkan bahwa informasi hanya dapat diubah oleh pihak yang memiliki wewenang. 3. c. Availability Mensyaratkan bahwa informasi tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan. 4. d. Authentication Mensyaratkan bahwa pengirim suatu informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu. 5. e. Nonrepudiation Mensyaratkan bahwa baik pengirim maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan. Segi-segi keamanan
  • 147. 1. Interruption Suatu aset dari suatu sistem diserang sehingga menjadi tidak tersedia atau tidak dapat dipakai oleh yang berwenang. Contohnya adalah perusakan/modifikasi terhadap piranti keras atau saluran jaringan. 2. Interception Suatu pihak yang tidak berwenang mendapatkan akses pada suatu aset. Pihak yang dimaksud bisa berupa orang, program, atau sistem yang lain. Contohnya adalah penyadapan terhadap data dalam suatu jaringan. 3. Modification Suatu pihak yang tidak berwenang dapat melakukan perubahan terhadap suatu aset. Contohnya adalah perubahan nilai pada file data, modifikasi program sehingga berjalan dengan tidak semestinya, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan. 4. Fabrication Suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contohnya adalah pengiriman pesan palsu kepada orang lain. 5. Ada beberapa prinsip yang perlu dihindari dalam menangani masalah keamanan : 1. diam dan semua akan baik-baik saja. 2. sembunyi dan Serangan (gangguan) terhadap keamanan
  • 148. Bagaimana seseorang melindungi sebuah website, mail server, FTP server atau sumber informasi lain yang terhubung ke web? Jawabannya adalah Firewall. Satu-satunya kegunaan piranti perangkat keras ini adalah memberi keamanan bagi jaringan anda. Firewall adalah sebuah piranti keamanan yang berada di ujung koneksi anda dan berfungsi sebagai Internet Border Security Officer. Secara konstan piranti ini mengawasi seluruh aliran yang keluar dan masuk ke koneksi anda, menunggu aliran yang dapat dihentikannya atau ditolaknya berdasarkan aturan yang sudah ada. FIREWALL
  • 149. firewall bekerja dengan mengikuti aturan-aturan yang diatur oleh teknisi jaringan atau petugas keamanan informasi. Aturan-aturan ini harus sejalan dengan versi tertulis yang ada didokumen kebijakan keamanan di rak anda. kebijakan keamanan dan bagaimana firewall sesuai dengan kebijakan tersebut: • Kebijakan keamanan menjelaskan secara garis besar tindakan apa yang akan ditempuh untuk menanggapi keadaan yang muncul • Dokumen kebijakan keamanan secara konstan dikembangkan dan diubah untuk memenuhi kebutuhan- kebutuhan keamanan yang baru • Kebijakan keamanan menentukan parameter tentang apa Firewall adalah Kebijakan Keamanan
  • 150.
  • 151. Berikut mencakup aturan-aturan dan fitur-fitur firewall yang paling umum: • Menolak aliran jaringan yang masuk berdasarkan sumber atau tujuan, merupakan fitur yang paling umum dan merupakan tujuan utama sebuah firewall, yaitu menolak aliran yang tidak diinginkan memasuki jaringan. • Menolak aliran jaringan yang keluar berdasarkan sumber atau tujuan, beberapa firewall juga dapat menyaring aliran jaringan dari jaringan internal anda ke internet. • Menolak aliran traffic jaringan berdasarkan isi, firewall yang lebih canggih dapat menyaring aliran jaringan untuk isi yang tidak dapat diterima. Misalnya firewall yang terintegrasi dengan sebuah virus scanner dapat menolak file-file berisi virus sebelum memasuki jaringan anda. • Menyediakan sumber daya internal, anda dapat juga mengatur beberapa firewall untuk mengizinkan akses tertentu ke sumber daya internal seperti web server public, selain tetap menghalani akses lain dari internet ke jaringan internal anda. • Mengizinkan koneksi ke jaringan internal, metode umum bagi karyawan untuk terhubung ke jaringan adalah menggunakan Virtual private network (VPN). VPN memungkinkan Tinjauan Operasional firewall
  • 152.
  • 153.
  • 154. • Secara umum ancaman PC dan LAN adalah: • Pengakses data produksi, devertemen dan pemakai individu yang tidak memilki kewenangan • Pasif (membaca atau mendengar data) dan aktif (dalam memanipulasi data ) menangkap koneksi • Menyambung workstantion yang tidak otentik ke dalam LAN perusahan • Menginstal program yang ilegal • Mencuri PC dan Komponen PC • Terkontiminasi oleh virus Kemanan PC dan LAN
  • 157. PENDAHULUAN • Selain domain yang concern dengan pencegahan risiko dan melindungi infrastruktur dari serangan, keamanan sistem juga membahas satu domain dengan asumsi bahwa kejadian terburuk telah terjadi.
  • 158. PENDAHULUAN • Berbagai bencana yang mungkin terjadi antara lain adalah: – Bencana alam karena kondisi geografis dan geologis dari lokasi – Kebakaran karena faktor lingkungan dan pengaturan sistem elektrik yang dapat menyebabkan korsleting – Kerusakan pada jaringan listrik karena sistem elektrik – Serangan teroris karena lemahnya keamanan fisik dan non fisik data center – Sistem atau perangkat yang rusak terkait dengan kesalahan manajemen pengawasan perangkat – Kesalahan operasional akibat ulah manusia – Virus yang disebabkan oleh kesalahan pemilihan anti virus
  • 159. Disaster Recovery Plan • Disaster Recovery Plan (DRP) adalah sekumpulan aksi dan proses yang mendefinisikan rangkaian prosedur yang harus dilakukan saat terjadi keadaan darurat, untuk memastikan tercapainya suatu kondisi pulih dalam waktu yang ditentukan sehingga perusahaan tersebut mampu melanjutkan fungsinya dengan kerugian minimal. • DRP adalah proses, kebijakan, dan prosedur yang berkaitan dengan persiapan untuk pemulihan atau kelanjutan dari infrastruktur teknologi yang penting bagi organisasi setelah terjadi bencana, baik karena alam ataupun ulah manusia.
  • 160. Disaster Recovery Plan • Disaster Recovery Plan menyediakan operasi cadangan selama sistem terhenti, dan mengelola proses pemulihan serta penyelamatan sehingga mampu meminimalisir kerugian yang dialami oleh organisasi. • Karena bertindak sebagai pegangan saat terjadi keadaan darurat, DRP tidak dapat disusun secara sembarangan. • DRP yang tidak sesuai dapat berakibat lebih buruk bagi keberlangsungan organisasi daripada bencana itu sendiri. • Disaster Recovery Planning merupakan bagian dari
  • 161. Tujuan Disaster Recovery Plan • Secara umum manfaat atau tujuan penyusunan DRP bagi perusahaan adalah sebagai berikut; – Melindungi organisasi dari kegagalan layanan komputer utama – Meminimalisasi risiko organisasi terhadap penundaan (delay) dalam penyediaan layanan – Menjamin kehandalan dari sistem yang tersedia melalui pengetesan dan simulasi – Meminimalisasi proses pengambilan keputusan oleh personal/manusia selama bencana.
  • 162. Business Continuity Plan (BCP) & Disaster Recovery Plan (DRP) • BCP & DRP merupakan dua hal yang sangat penting dalam proses bisnis, namun jarang menjadi prioritas karena alasan memerlukan biaya yang mahal dan sulit penerapannya. • Alasan : bencana adalah hal yang umumnya diyakini karena faktor alam yang tak dapat diprediksi , tak dapat dicegah atau pun dihindari, sehingga kalangan bisnis berkeyakinan bahwa pelanggan mereka akan memaklumi hal ini. • Hal terpenting bagi setiap perusahaan yang berniat
  • 163. Business Continuity Plan (BCP) & Disaster Recovery Plan (DRP) • Contoh penerapan BCP : – BCP pada perusahaan Merrill Lynch dan Deutsch Bank di New York pada 11 September 2001. Bencana ini menghancurkan kantor pusat dan menewaskan ratusan karyawannya. Namun setelah situasi stabil, masing-masing mampu melanjutkan operasinya dengan mulus dari
  • 164. Komponen Disaster Recovery Planning • Informasi kontak personil (personnel contact information) • Back up situs (back up site) • Pedoman perencanaan (manual plan) • Inventaris hardware • Inventaris software • Vendors • Backup Data • Disaster Action Checklist
  • 165. Tahapan Pembangunan DRP • Tahapan pembangunan sebuah Disaster Recovery Plan tidak selalu sama, karena sangat bergantung pada kebutuhan dan tujuan pembuatannya. • Namun secara garis besar, tahapan tersebut dapat dirangkum sebagai berikut: 1. Risk assessment 2. Priority assessment 3. Recovery strategy selection
  • 166. Tahapan Pembangunan DRP • Risk Assessment Risk Assessment adaLah proses identifikasi ancaman- ancaman yang mungkin terjadi, baik yang berasal dari dalam, maupun dari luar. Bencana yang dianalisa termasuk bencana alam, bencana kegagalan teknis, maupun ancaman-ancaman faktor manusia. Risk Assessment berperan sebagai landasan awal yang akan mempengaruhi tahapan-tahapan selanjutnya.
  • 167. Tahapan Pembangunan DRP Risk Assessment........
  • 168. Tahapan Pembangunan DRP • Priority Assessment Mendefinisikan urutan prioritas proses dengan jelas: – Dari segi arsitektur misalnya, server/ router manakah yang menjadi prioritas dalam dipulihkan? – Data mana yang harus lebih dahulu diselamatkan – Proses mana yang harus didahulukan Proses yang dianggap paling vital untuk keberlangsungan sistem akan mendapatkan alokasi perhatian paling besar untuk dipulihkan kembali sebelum proses-proses lainnya.
  • 169. Tahapan Pembangunan DRP Priority Assessment ....... Priority Assessment untuk proses biasanya sangat relatif terhadap waktu dan tempat terjadinya suatu bencana. Misal kejadian pada sekolahan, jika bencana terjadi pada saat penerimaan murid baru, proses yang pertama kali harus dipulihkan mungkin adalah proses terkait tes masuk dan pembayaran. Tapi jika bencana terjadi saat liburan, dimana kebanyakan proses akan berada dalam kondisi statis,
  • 170. Tahapan Pembangunan DRP • Recovery Strategy Selection Strategi pemulihan yang baik harus memenuhi beberapa kriteria, yaitu: 1. Strategi pemulihan harus memenuhi key requirement yang sudah didefinisikan di tahap sebelumnya. 2. Strategi pemulihan harus cost effective berbanding dengan risiko dan prioritasnya. 3. Strategi pemulihan harus dapat diterapkan dengan kondisi yang terdapat sekarang dan memungkinkan
  • 171. Tahapan Pembangunan DRP Recovery Strategy Selection .......... Strategi pemulihan yang sudah dirancang kemudian harus dituangkan ke dalam DRP yang terdokumentasi secara baik sehingga dapat dengan mudah dilaksanakan jika suatu saat terjadi bencana. Inti dari strategi-strategi pemulihan adalah menyiapkan sistem dan data cadangan sehingga proses yang terganggu dapat berjalan kembali.
  • 172. Tahapan Pembangunan DRP Recovery Strategy Selection .......... Strategi pemulihan tersebut diantaranya adalah: 1. Hot Site Strategi pemulihan dengan cara mengadakan lokasi duplikat dari lokasi asli. Strategi ini menawarkan cara yang cepat untuk menjalankan bisnis kembali, namun juga dapat dikatakan sebagai strategi yang paling mahal.
  • 173. Tahapan Pembangunan DRP Recovery Strategy Selection .......... Strategi pemulihan ........ 2. Warm Site Strategi ini menggunakan lokasi yang memiliki sistem dan jaringan komunikasi yang siap digunakan, cukup untuk menjalankan kembali proses bisnis. Namun data dan informasi elektronis lainnya tidak ter-update sehingga harus di restore sebelumnya.
  • 174. Tahapan Pembangunan DRP Recovery Strategy Selection .......... Strategi pemulihan ........ 3. Cold Site / Shell Site/ Backup Site / Alternate Site Strategi ini hanya menyediakan lokasi saja. Perangkat dan jaringan yang tersedia sangat minim. Keuntungan : biaya rendah dalam mengadakan dan merawat lokasi Kekurangan : pada saat terjadi bencana,
  • 175. Tahapan Pembangunan DRP • Plan Documenting Disaster Recovery Plan harus didokumentasikan dengan terstruktur sehingga mudah dipahami saat dibutuhkan. Pendokumentasian sebuah DRP harus disesuaikan dengan standar dan pedoman-pedoman yang sudah banyak tersedia.
  • 178. TEKNIK TRANSPOSISI • Teknik ini menggunakan permutasi karakter, yang mana dengan menggunakan teknik ini pesan asli tidak dapat dibaca kecuali oleh orang yang memiliki kunci untuk mengembalikan pesan tersebut kebentuk semula. • Sebagai contoh, ada 6 kunci untuk melakukan perutasi kode :  Dan 6 kunci untuk inversi dari permutasi tersebut :  Terlebih dahulu plaintext dibagi blok dan blok nya terdiri dari 6 karakter, jika terjadi pada setiap blok maka disispkan karakter yang disepakati sebelunya.
  • 179. TEKNIK TRANSPOSISI • Perhatikan contoh dibawah ini : • Plaintext : “PERHATIKAN RAKYAT KECIL” • Cara memutasi plaintext tersebut adalah sebagai berikut :  Maka ciphertext yang dihasilkan adalah: “RAPTHEARIANKAKKETYLXCXXI”  Sedangkan kunci inverse berfungsi untuk mengubah ciphertext menjadi palintext.  Perhatikan contoh dibawah ini :
  • 180. TEKNIK TRANSPOSISI • Selain teknik mutasi-inversi ada beberapa teknik permutasi lainnya yaitu dengan menggunakan permutasi zigzag, segitiga, spiral, dan diagonal. 1. Zig – zag dengan memasukan plaintext seperti pola zig-zig. Plaintext : “PERHATIKAN RAKYAT KECIL”  Maka ciphertext yang dihasilkan adalah : “HNTXRAARAKLETKAYEIPIKC”
  • 181. TEKNIK TRANSPOSISI 2. Segitiga dengan memasukan plaintext seperti pola segitiga. Plaintext : “PERHATIKAN RAKYAT KECIL” Maka ciphertext yang dihasilkan adalah : “KNEARCETAIPRIKLHKYXAAXTXX”
  • 182. 3. Spiral Dengan memasukan plaintext disusun seperti pola spiral. Plaintext : “PERHATIKAN RAKYAT KECIL” Maka ciphertext yang dihasilkan adalah : “PTAYKEKXXARREXXRH CILNATIKA”
  • 183. TEKNIK TRANSPOSISI • Diagonal Dengan memasukan plaintext disusun seperti pola dibawah ini, (Plaintext : “PERHATIKAN RAKYAT KECIL”)  Maka ciphertextnya adalah : “PTRTLEIAKXRK KEXHAYCXANAIX”
  • 184. STEGANOGRAFI • Steganografi adalah seni dan ilmu menulis pesan tersembunyi atau menyembunyikan pesan dengan suatu cara sehingga selain si engirim dan si penerima, tidak ada seorangpun yang mengetahui atau menyadari bahwa ada suatu pesan rahasia. • Istilah steganografi termasuk penyembunyian data digital dalam berkas-berkas (file) komputer. • Contohnya : • Si pengirim mulai dengan berkas gambar biasa, lalu mengatur warna setiap pixel ke-100 untuk menyesuaikan suatu huruf dalam alphabbet (perubahannya begitu haslus sehingga tidak ada seorangpun yang menyadarinya jika ia
  • 185. STEGANOGRAFI • Pada umumnya, pesan steganografi muncul dengan rupa lain seperti gambar, artikel, daftar belanjaan atau pesan-pesan lainnya. • Pesan yang tertulis ini merupakan tulisan yang menyelubungi atau menutupi. • Contohnya : suatu pesan bisa disembunyikan dengan menggnakan tinta yang tidak terlihat dantara garis-garis yang kelihatan. • Teknik steganografi meliputi banyak sekali metode komunikasi untuk menyembunyikan pesan rahasia (teks atau gambar) didalam berkas-berkas lain yang mengandung teks, image, bahkan audio tanpa menunjukan ciri perubahan yang nyata atau terlihat dalam kualitas dan struktur dari berkas semula.
  • 186. STEGANOGRAFI • Tujuan dari steganografi adalah merahasiakan atau menyembunyikan keberadaandari sebuah pesan tersembunyi atau sebuah informasi. • Format yang biasas digunakan diantaranya : – Format image : bitmap(bmp), gif, pcx, jpeg,dll – Format audio : wav, voc, mp3, dll – Format lain : teks file, html, pdf, dll • Kelebihan steagnografi jika dibandingkan dengan kriptografi adalah pesan-pesannya tidak menarik perhatian orang lain.
  • 188. ALGORITMA KRIPTOGRAFI MODERN MACAM-MACAM ALGORITMA KRIPTOGRAFI MODERN STANDAR ENKRIPSI DATA (DES) ADVANCE ENCRYPTION STANDARD (AES)
  • 189. Pendahuluan • Enkripsi modern berbeda dengan enkripsi konvensional. • Enkripsi modern sudah menggunakan komputer untuk pengoperasiannya. • Berfungsi untuk mengamankan data baik yang ditransfer melalui jaringan komputer maupun yang bukan. • Hal ini sangat berguna untuk melindungi privacy, data integrity, authentication dan non-repudiation.
  • 190. MACAM-MACAM ALGORITMA KRIPTOGRAFI MODERN • Pada kriptografi modern terdapat berbagai macam algoritma, secara umum algoritma kriptografi modern dibagi tiga bagian yaitu : 1. Algoritma Simetris adalah algoritma yang menggunakan kunci yang sama untuk melakukan enkripsi dan deskripsi. Aplikasi dari algoritma simetris digunakan oleh beberapa algoritma : – Data Encryption Standard (DES) – Advance Encryption Standard (AES) – International Data Encryption Algortma (IDEA) – A5 – RC4
  • 191. MACAM-MACAM ALGORITMA KRIPTOGRAFI MODERN 2. Algoritma Asimetris adalah pasangan kunci kriptografi yang salah satunya digunakan untuk proses enkripsi dan yang satu lagi digunakan untuk deskripsi. Beberapa contoh algoritma yang menerapkan asimetris diantaranya : – Digital Signature Logartihm – RSA – Diffie-Hellman (DH) – Elliptic Curve Cryptiography (ECC) – Kripto Quantum 3. Fungsi Hash juga sering disebut fungsi Hash satu arah (One-Way Function), message digest, fingerprint, fungsi kompresi dan message authentication cod (MAC), merupakan fungsi matematika yang mengambil masukan panjang variabel dan mengubahnya kedalam urutan biner dengan panjang yang tetap.
  • 192. STANDAR ENKRIPSI DATA • Standar enkripsi data (Data Encrytion Standard - DES) merupakan algoritma enkripsi yang paling banyak dipakai didunia, yang diadopsi oleh NIST (Nasional Institue of Standards and Technology) sebagai standar pengolahan informasi Federal AS. • Secara umum standar enkripsi data terbagi menjadi tiga kelompok, yaitu pemrosesan kunci, enkripsi data 64 bit dan deskripsi data 64 bit yang mana satu kelompok saling berinteraksi satu sama lain. • Skema global dari algoritma DES adalah sebagai berikut : 1. Blok teks-asli dipermutasi dengan matriks permutasi awal(initial permutation atau IP). Bisa ditulis X0 = IP (x) = L0R0, dimana L0 terdiri dari 32 bit pertama dari X0 dan 32 bit terakhir dari R0.
  • 194. STANDAR ENKRIPSI DATA  Secara umum skema Data Encrytion Standard (DES) mempunyai dua fungsi masukan, yaitu : 1. Teks-asli untuk dienkripsi dengan panjang 64 bit 2. Kunci dengan panjang 56 bit.
  • 195. STANDAR ENKRIPSI DATA • Skema dari pemrosesa n Data Encytion Standard (DES) seperti gambar berikut ini :
  • 196. STANDAR ENKRIPSI DATA • Proses dari permutasi inisial (IP) teks-asli ada tiga : 1. Teks-asli 64-bit diperoses dipermutasi inisial (IP) dan menyusun kembali bit untuk menghasilkan permutasi masukan. 2. Langkah untuk melakukan perulangan kata dari teks-asli sebanyak 16 dengan melakukan fungsi yang sama, yang menghasilkan fungsi permutasi subtitusi, yang mana keluaran akhir dari hal tersebut berisi 64-Bit (fungsi dari teks-asli dan kunci), masuk ke swap dan menghasilkan pre-output. 3. Pre-output diproses dan permutasi diiversi dari permutasi inisial yang akan menghasilkan teks-kode 64-Bit
  • 197. STANDAR ENKRIPSI DATA • Contoh algoritma DES seperti dibawah ini : • Diberikan teks-asli : “COMPUTER”  Teks-asli heksa : 43 4F 4D 50 55 54 45 52  Teks-asli biner : xo = 01000011 01001111 01001101 01010000 01011010 01010100 01000101 01010010
  • 198. STANDAR ENKRIPSI DATA • Misalkan kunci heksa : – 13 34 57 79 9B BC DF F1 Kunci biner : K = 00010011 00110100 01010111 01111001 10011011 10111100 11011111 11110001 Dengan initial permutaion (IP) diperoleh : x0= IP (x) = L0R0 Dimana L0 : 11111111 10111000 01110110 01010111 R0 : 00000000 00000000 00000110 10000011 Enkripsi DES 16 putaran
  • 199. STANDAR ENKRIPSI DATA • MODE OPERASI DES • DES dapat dioperasikan dengan mode ECB, CBC, OFC DAN CFB. • Namun karena kesederhanaanya, mode ECB lebih sering digunkaan pada paket program komersial meskipun sangat rentan terhadap serangan. • Mode CBC lebih kompleks daripada EBC namun memberikan tingkat keamanan yang lebih bagus. • Mode CBC kadang- kadang saja digunakan. • Mode EBC cocok digunakan untuk blok kode. Diberikan urutan x1x2 … 64-bit blok teks-asli. Setiap xi adalah enkripsis dengan kunci K. • Secara formal initial aturan
  • 200. STANDAR ENKRIPSI DATA • Penggunaan mode CBC dapat dilihat pada gambar dibawah ini :
  • 201. STANDAR ENKRIPSI DATA • Pada CFB, dimulai dari y0 = IV (64-bit vektor inisiasi) dan akan dihasilkan elemen kunci aliran zi dari enkripsi sebelum blok teks-kode, kemudian • Untuk lebih detailnya dapat dilihat pada gambar dibawah ini :
  • 202. ADVANCE ENCRYPTION STANDARD (AES) • Advance Encryption Standard (AES) merupakan algoritma kriptografi yang dapat digunakan untuk mengamankan data. • Algoritma AES adalah blok ciphertext simetrik yang dapat mengenkripsi dan dekripsi. • Pada tahun 1997, National Institute of Standard and Technology (NIST) of United States mengeluarkan Advance Encryption Standard (AES) untuk menggantikan Data Encryption STANDARD (DES). • AES ini dibangun dengan maksud untuk mengamankan pemerintahan diberbagai bidang. • Algoritma AES di design menggunakan blok cipher minimal dari blok 128 bit input dan mendukung ukuran 3 kunci (3-key-
  • 203. METODE ALGORITMA AES • Algoritma Rijndael kemudian dikenal dengan Advanced Encryption Standard (AES) kemudian diadopsi menjadi standard algoritma kriptografi secara resmi pada 22 Meil 2002. • Jenis AES terbagi 3, yaitu : – AES-128 – AES-192 – AES-256 • Garis besar Algoritma Rijndael yang beroperasi pada blok 128-bit dengan kunci 128-bit adalah sebagai berikut (diluarproses pembangkitan round key): 1. AddRoundKey : melakukan XOR antara state awal
  • 204. METODE ALGORITMA AES 2. Putaran sebanyak Nr-1 kali. Proses yang dilakukan pada setiap putaran adalah : – subBytes : subtitusi byte dengan menggunakan tabel subtitusi (S-box). – shiftRows : pergeseran baris-baris array state secara wrapping. – MixColumns : mengacak data dimasing-masing kolom array state. – AddRoundKey : melakukan XOR antara state sekarang round key. 3. Final Round : proses untuk putaran terkhir. – SubBytes – ShiftRows – AddRoundKey 4. AES memiliki ukuran blok yang tetap sepanjang 128 bit dan ukuran kunci sepanjang 128, 192, atau 256. 5. Berdasarkan ukuran blok yang tetap, AES bekerja pada matriks berukuran 4x4 diaman tiap-tiap sel matriks terdiri atas 1 byte (8 bit). Sedangkan Rijndael sendiri dapat mempunyai ukuran matriks yang lebih dari itu dengan menmbahkan kolom sebanyak yang diperlukan.
  • 205. METODE ALGORITMA AES • Secara umum metode yang digunakan dalam pemrosesan enkripsi dalam algoritma ini dapat dilihat melalui gambar berikut :
  • 206. METODE ALGORITMA AES 1. ADD ROUND KEY Add Round Key pada dasarnya adalah mengkombinasikan cipherteks yang sudah ada dengan cipher key yang cipher key dengan hubunga XOR. Bagannya bisa dilihat pada gambar :
  • 207. METODE ALGORITMA AES 2. SUB BYTES Prinsip dari Sub Bytes adalah menukar ini matriks/tabel yang ada dengan matriks/tabel lain yang disebut dengan Rijndael S-Box. Dibawah ini adalah contoh Sub Bytes dan Rijndael S-Box.
  • 208. METODE ALGORITMA AES • Pada ilustrasi Sub Bytes diatas, disana terdapat nomor kolom dan nomor baris. Tiap isi kotak dari blok cipher berisi informasi dalam bentuk heksadesimal yamg terdiri dari dua digit, bida angka-angka, bisa huruf, ataupun huruf – angka yang semuanya tercantum dalam Rijndael S-Box. • Langkahnya adalah mengambil salah satu kotak matriks, mencocokannya dengan digit kiri sebagai baris dan digit kanan sebagai kolom. Kemudian dengan mengetahui kolom dan baris, kita dapat mengambil sebuah isi tabel dari Rijndael
  • 209. METODE ALGORITMA AES 3. SHIFT ROWS Shift Rows seperti namanya adalah sebuah proses yang melakukan shift atau pergeseran pada setiap elemen blok/tabel yang diperlukan per barisnya. Yaitu baris pertama tidak dilakukan pergeseran, baris kedua dilakukan pergeseran 1 byte, baris ketiga dilakukan pergeseran 2 byte, dan baris keempat dilaukan pergeseran 3 byte. – Pergeseran tersebut dilihat dalam sebuag blok adalah sebuah pergeseran tiap elemen kekiri tergantung berapa byte tergesernya, tiap pergeseran 1 byte berarti begeser ke kiri sebanyak satu kali
  • 210. METODE ALGORITMA AES 4. MIX COLUMNS Yang terjadi saat Mix Columns adalah mengalihkan tiap elemen dari blok cipher dengan matriks. Pengalian dilakukan seperti perkalian matriks biasa yaitu menggunakan dot product lalu perkalian keduanya dimasukan kedalam blok cipher baru.
  • 211. METODE ALGORITMA AES 5. DIAGRAM ALIR AES seperti yang terlihat semua proses yang telah dijelaskan sebelumnya terdapat pada diagram tersebut. Yang artinya adalah mulai dari ronde kedua, dilakukan pengulangan terus menerus dengan rangkaian proses Sub Bytes, Shift Rows, Mix Columns and Add Round Key, setelah itu dari ronde tersebut akan digunakan pada ronde berikutnya dengan metode yang sama. Namu pada ronde kesepuluh, proses Mix Columns tidak dilakukan, dengan kata lain urutan proses yang dilakukan adalah Sub Bytes, Shift Rows, and Add Round Key, hasil dari Add Round Key ini lah yang dijadikan sebagai cipherteks dari AES.
  • 213. IMPLEMENTASI ADVANCED ENCRYPTION STANDARD • AES atau Algoritma Rijndael sebagai salah satu algoritma yang penting tentu memiliki berbagai kegunaan yang sudah diaplikasikan atau diimplementasikan dikehidupan sehari-hari yang tentu saja membutuhkan suatu perlindungan atau penyembunyian informasi didalam prosesnya. • Salah satu contoh penggunaan AES adalah pada kompresi 7- Zip. • Salah satu proses didalam 7-Zip adalah mengenkripsi isi dari data dengan menggunakan metode AES-256. Yang kunci nya dihasilkan melalui fungsi Hash. • Hal yang serupa digunakan pada Winzip sebagai salah satu perangkat lunak yang digunakan untuk kompresi. • Metode enkripsi yang ditawarkan adalah menggunakan AES-