Keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik (G.J. Simons).

Komponen yang memberikan kontribusi terhadap keamanan:

  • Asset, contoh: hardware, software, dokumentasi, data, komunikasi, lingkungan dan manusia.
  • Vulnerabilities, contoh: user, teroris, kecelakaan, cracker, penjahat, nasib dan intelijen.
  • Threats, contoh: bugs, radiasi transmisi, tapping, unauhorized user, hardcopy, keteledoran dan media penyimpanan.

Usaha menanggulangi resiko keamanan:

  • Mengurangi Threats.
  • Mengurangi Vulnerabilities.
  • Mengurangi impact.
  • Mendeteksi kejadian yang tidak bersahabat.
  • Me-recover dari kejadian.

Faktor yang mendukung meningkatnya kejahatan komputer:

  • Semakin banyak perusahaan yang menggunakan aplikasi bisnis berbasis internet.
  • Desentralisasi server.
  • Transisi dari single vendor ke multi vendor.
  • Meningkatnya kemampuan pemakai.
  • Kemudahan mendapatkan software.
  • Hambatan dalam penegakan hukum.
  • Sistem semakin rumit dan besar sehingga menimbulkan celah keamanan.

Pengelompokan kejahatan komputer:

  • Keamanan bersifat fisik (physical security), misal:
    • Akses gedung, alat dan media.
    • Wiretapping (akses kabel).
    • Membanjiri sistem komunikasi (Denial of Service).
    • Membanjiri sistem target (host) sehingga sistem menjadi hang.
    • Mematikan jalur listrik.
  • Keamanan yang berhubungan dengan orang (personal), misal:
    • Berpura – pura mempunyai hak akses (Social engineering).
  • Keamanan data, media dan teknik komunikasi, misal:
    • Kelemahan software pengolah data memungkinkan penjahat memasukan virus maupun trojan.
  • Keamanan dalam operasi, misal:
    • Kebijakan privasi (privacy policy).
    • Prosedur setelah serangan (post attack recovery).

Aspek keamanan komputer:

  • Privacy / Confidentiality
    • Privacy, menjaga informasi dari orang yang tidak berhak mengakses (enkripsi data).
    • Confidentiality, data yang diberikan kepada pihak lain untuk kepentingan tertentu (misal: data pendaftaran).
  • Integrity
    • Informasi tidak boleh diubah tanpa seizin pemilik informasi (misal oleh: virus, trojan / man in the middle attack atau user lain).
  • Authentication
    • Metode untuk menyatakan bahwa data yang kita terima atau host yang kita akses benar – benar asli.
  • Availability
    • Ketersedian informasi ketika dibutuhkan. Contoh hambatan dari aspek ini adalah terjadinya DoS (Denial of Service) attack dan Mailbomb.

Aspek kemananan komputer tambahan (e-commerce):

  • Access Control
    • Cara pengaturan akses kepada informasi misal berdasarkan klasifikasi data (public, private, confidential, top secret)  dan user (guest, admin, top manager).
    • Umumnya menggunakan kombinasi user id dan password atau mekanisme lain misal: kartu, biometrics.
  • Non-repudiation
    • Menjaga agar seseorang menyangkal telah melakukan transaksi.
    • Umumnya menggunakan digital signature, certificates dan teknologi kriptografi.

Tipe serangan keamanan sistem informasi:

  • Interuption, perangkat sistem menjadi rusak atau tidak tersedia. Contoh: DoS (Denial of Service) attack.
  • Modification, pihak yang tidak berwenang tidak saja berhasil mengakses tetapi juga dapat mengubah aset. Contoh: Web deface.
  • Fabrication, pihak yang tidak tidak berwenang berhasil menyisipkan objek palsu ke dalam sistem.

 

 

 

Advertisements