Upload
dudy-ali
View
41
Download
2
Embed Size (px)
Citation preview
INFORMATION SYSTEM SECURITYKonsep dan Kebijakan Keamanan
Dudy Fathan Ali, 2013.
Mekanisme Kebijakan Keamanan
Dudy Fathan Ali, 2013.
Informasi Aturan Prosedur• Metode untuk mengimplementasikan berbagai aturan dan
hak pada suatu sistem kepada pengguna.• Kebijakan keamanan yang mencegah arus informasi dari
tingkat keamanan tinggi ke tingkat keamanan rendah disebut sebagai kebijakan keamanan multilevel.
Prinsip Desain KeamananDudy Fathan Ali, 2013.
Least Privilege
Economy of Mechanisms
Complete of Mediation
Open Design
Least Common Mechanisms
Separation of Privilege
Psychological Acceptability
Prinsip Desain KeamananDudy Fathan Ali, 2013.
Least PrivilegeSetiap proses hanya memiliki
hak akses yang memang
dibutuhkan
Hak akses harus secara eksplisit diminta, bukan secara default
diberikan.
Dilakukan untuk mengantisipasi kerusakan oleh penyerangan.
Economy of MechanismsMekanisme harus
sederhana sehingga dapat
diverifikasi dengan benar.
Mekanisme merupakan
bagian yang tidak terpisahkan
dari desain sistem.
Complete of MediationSetiap akses harus
dicek ke dalam informasi kendali
akses untuk otorisasi yang
tepat.
Hal ini juga berlaku untuk kondisi-
kondisi khusus seperti pada saat
recovery atau pemeliharaan.
Prinsip Desain KeamananDudy Fathan Ali, 2013.
Least Common MechanismsPrinsip ini menyatakan
bahwa antar pengguna harus terpisah dalam
sistem.
Dapat di implementasikan dengan sistem akses
bertingkat.
Psychological AcceptabilityMekanisme pengendalian sistem
keamanan harus mudah digunakan oleh pengguna.
Dapat dilakukan dengan mengadakan survei mengenai perilaku pengguna yang akan
menggunakan sistem.
Prinsip Desain KeamananDudy Fathan Ali, 2013.
Open DesignMekanisme harus dapat diinformasikan dengan
baik sehingga memungkinkan adanya
umpan balik yang dapat dimanfaatkan untuk
perbaikan sistem keamanan.
Separation of Privilegeseseorang pengguna harus
memenuhi beberapa persyaratan tertentu untuk
melakukan pengaksesan
Di implementasikan dengan menerapkan sistem akses
bertingkat.
Pengguna dibagi dalam beberapa tingkatan dan
mempunyai hak akses yang berbeda.
Arsitektur Terdistribusi
Dudy Fathan Ali, 2013.
Suatu jenis penyebaran informasi yang terkomputasi.Penyebaran dilakukan dengan memisahkan komponen-komponen jaringan secara fisik.Tujuannya adalah menyatukan kemampuan dari sumber daya (sumber komputasi atau sumber informasi) yang terpisah secara fisik, ke dalam suatu sistem gabungan yang terkoordinasi dengan kapasitas yang jauh melebihi dari kapasitas individual komponen-komponennya.
Arsitektur Terdistribusi (Client-Server)
Dudy Fathan Ali, 2013.
Client
Client
Client
ClientServer
InvocationResultInvocation
Invocation
InvocationResult
Result
Result
Arsitektur Terdistribusi (Multiple-Server)
Dudy Fathan Ali, 2013.
Client
Client
Server
Server
Server
InvocationResult
InvocationResult
InvocationResult
Invocation
Result
Arsitektur Terdistribusi (Proxy-Server)
Dudy Fathan Ali, 2013.
Client
ClientProxyServer
WebServer
WebServer
InvocationResultInvocationResult
Result
Invocation
InvocationResult
Arsitektur Terdistribusi (Peer-to-Peer)
Dudy Fathan Ali, 2013.
ClientClient Client
Client
InvocationResult
InvocationResult
InvocationResult
InvocationResultInvocationResultInvocationResult
Komponen Arsitektur Terdistribusi
Dudy Fathan Ali, 2013.
PC Firewall
DatabaseServer
Handphone Router
ProxyServerWebServer
Laptop
Etc
Permasalahan Arsitektur Terdistribusi
Dudy Fathan Ali, 2013.
Router • Akan sangat berbahaya jika menggunakan konfigurasi default.Firewall
• Bisa di bypass jika menggunakan tunneling protokol.DHCP • Berbagai macam serangan bisa terjadi. (co: DHCP Flooding)DNS • Serangan DNS Spoofing bisa terjadi.IDS
• Gangguan bisa terjadi ketika mengimplementasikan IDS. (co: DDOS, SYN Attack, dll.)
Penerapan Keamanan Pada Aplikasi
Dudy Fathan Ali, 2013.
Bentuk• Kualitatif• KuantitatifSkala Pengukuran• Nominal• Ordinal• Interval• Rasio
Jenis• Internal• EkternalSumber• Primer• SekunderWaktu• Data Acak• Data Berkala
• Data Inputan :
Penerapan Keamanan Pada Aplikasi
Dudy Fathan Ali, 2013.
CaptchaMetode uji respon untuk menentukan apakah seorang pengguna adalah manusia atau bot otomatis.
Penerapan Keamanan Pada Database
Dudy Fathan Ali, 2013.
• Constraint• Menjaga integritas data.
• DB Transactions• Menjaga konsistensi data.
• View• Membatasi penerimaan data.
• Log• Mencatat aktifitas.
• Concurrency• Penerapan “locking”.
• Etc..
Latihan
Dudy Fathan Ali, 2013.
1. Sebutkan dan jelaskan 7 prinsip desain keamanan.2. Apa yang dimaksud dengan Arsitektur Sistem Terdistribusi?3. Sebutkan dan jelaskan contoh dari penerapan Arsitektur Sistem Terdistribusi.4. Apa saja keamanan yang bisa diterapkan pada Aplikasi?5. Sebutkan penerapan keamanan yang bisa dilakukan pada Database.
Dudy Fathan Ali, 2013.
TERIMA KASIHInformation System Security.Dudy Fathan Ali, 2013.- [email protected] [email protected]