Dudy

Fat

han

Ali,

2013Information System

SecurityPertemuan ke-3, Akuntabilitas dan Akses Kontrol.

Dudy

Fat

han

Ali,

2013

SubjectObject

MANAJEMEN KEAMANAN

Dudy

Fat

han

Ali,

2013

Prinsip Keamanan

• Confidentiality :• Obyek hanya diperbolehkan di akses oleh yang berhak

saja

• Integrity :• Subyek diijinkan mengakses namun tetap menjaga

kepastian data dan kebenaran data

• Availability :• Subyek diberikan ijin tanpa mengurangi ketersediaan

obyek jikalau terdapat subyek lain yang juga mengakses obyek

Dudy

Fat

han

Ali,

2013

Akses Kontrol• Suatu bentuk implementasi keamanan dari hubungan antara

subject dan object.• 7 jenis akses kontrol berdasarkan kegunaan :• Preventive Access Control

• Suatu akses kontrol yang digunakan untuk menghentikan dan mencegah munculnya aktivitas yang tidak diinginkan atau tidak diijinkan.

• Deterrent access control• Suatu akses kontrol yang digunakan untuk menghentikan adanya

pelanggaran dan mempersempit kemungkinan terjadinya pelanggaran.

• Detective access control• Suatu akses kontrol yang digunakan untuk menemukan aktivitas yang

tidak berijin atau tidak diinginkan.

Dudy

Fat

han

Ali,

2013

Akses Kontrol• Corrective access control

• Suatu akses kontrol yang digunakan untuk mengembalikan sistem kembali ke keadaan normal sebelum terjadi aktivitas yang tidak diinginkan.

• Recovery access control• Suatu akses kontrol yang digunakan untuk memperbaiki atau

mengembalikan sumber daya, fungsi, dan kemampuan setelah terjadinya pelanggaran keamanan.

• Compensation access control• Suatu akses kontrol yang digunakan untuk menyediakan berbagai opsi

alternatif untuk mendukung kebijakan keamanan bilamana perangkat lain tidak dapat diimplementasikan karena keadaan yang tidak memungkinkan.

• Directive access control• Suatu akses kontrol yang digunakan untuk mengarahkan, membatasi,

mengendalikan aksi yang dilakukan oleh subyek agar sesuai dengan kebijakan keamanan.

Dudy

Fat

han

Ali,

2013

Akses Kontrol• 3 jenis akses kontrol berdasarkan penerapan :• Administrative access control

• Kebijakan dan prosedur yang didefinisikan oleh organisasi untuk mengimplementasikan dan memastikan keseluruhan akses kontrol.

• Logical / technical access control• Mekanisme perangkat lunak atau perangkat keras yang digunakan

untuk mengatur akses pada sumber daya dan sistem serta memberikan perlindungan pada sumber daya dan sistem tersebut.

• Physical access control• Penghalang secara fisik yang digunakan untuk mencegah terjadinya

kontak fisik antara subyek dengan obyek.

Dudy

Fat

han

Ali,

2013

Proses Akuntabilitas

Identification

Authentication

Authorization

Audit & Accountability

User

Dudy

Fat

han

Ali,

2013

Proses Akuntabilitas• Identifikasi• Proses pengenalan suatu subyek dengan sebuah identitas dan

mengkaitkan identitas tersebut dengan haknya. Sehingga dapat dikatakan ketika subyek diidentifikasi, identitasnya dapat digunakan untuk memproses tindakan selanjutnya.

• Otentikasi• Proses verifikasi atau pengujian apakah identitas yang diberikan

merupakan identitas yang valid.• 3 tipe otentikasi :

• Something you know, co: password, pin, nama ibu kandung, dst.• Something you have, co: smartcard, mmc, flashdisk, dst.• Something you are, co: sidik jari, suara, pola retina, bentuk muka, dst

Dudy

Fat

han

Ali,

2013

Proses Akuntabilitas• Otorisasi• Proses yang memastikan si pengguna melakukan suatu tindakan

yang sesuai dengan hak akses nya.• Access Control Matrix, suatu tabel yang terdiri dari subyek,

obyek, dan aksi yang dapat dilakukan pada subyek maupun obyek.

Dudy

Fat

han

Ali,

2013

Proses Akuntabilitas• Audit dan Akuntabilitas.• Audit merupakan proses mencatat dan menelusuri aktivitas dan

proses yang dilakukan atau dieksekusi oleh pengguna.• Pengguna yang terotentikasi bisa dikatakan akuntabel dalam

menggunakan akunnya untuk beraktifitas jika audit trail dan hak akses nya sesuai.

• Ketentuan audit :• Sistem harus menyediakan mekanisme untuk menghasilkan rekam

jejak keamanan yang mengandung informasi untuk mendukung penyelidikan setelah terjadinya kejadian sebagai respon dari pihak manajemen.

• Sistem harus menyediakan akuntabilitas dalam aplikasi untuk seluruh kejadian yang dialami oleh suatu aplikasi.

• Sistem harus melindungi rekam jejak dari akses yang tidak berijin.

Dudy

Fat

han

Ali,

2013

Proses Akuntabilitas• Ketika beroperasi dalam keadaan normal, sistem harus menyediakan

mekanisme untuk mengendalikan secara dinamis jenis kejadian yang direkam dalam rekam jejak.

• Sistem harus melindungi mekanisme kontrol audit dari akses yang tidak berijin.

• Ketika beroperasi dalam keadaan normal, sistem harus mampu menuliskan rekam jejak kejadian (untuk berbagai hal yang terkait dengan keamanan)

• Untuk setiap rekaman kejadian, rekaman audit harus memenuhi standar kriteria minimum

• Masukan berupa karakter string yang merupakan respon dari pengguna untuk mengisi password tidak boleh disimpan dalam audit trail (rekam jejak)

• Mekanisme kontrol audit harus menyediakan fasilitas untuk merekam atau tidak merekam data pengguna yang tidak valid ketika melakukan proses otentikasi.

Dudy

Fat

han

Ali,

2013

Proses Akuntabilitas• Data kontrol audit harus non volatile (tidak hilang ketika

komputer/sistem restart)• Sistem harus menyediakan mekanisme untuk mengkopi rekam jejak

keamanan ke dalam file dan dapat menyimpannya pada media penyimpanan yang diinginkan serta mampu disimpan dalam waktu yang relatif lama.

• Sistem harus menyediakan mekanisme untuk menghapus otomatis file rekam jejak yang telah usang atau rentang waktu tertentu.

• Sistem harus mempersilahkan fitur untuk mengendalikan suatu prosedur penyelamatan bilamana suatu kejadian tidak dapat terekam dengan baik (sistem rekam jejak bermasalah)

• Sistem harus menyediakan sarana untuk memonitor aktivitas sistem pada suatu terminal.

Dudy

Fat

han

Ali,

2013

Teknik Identifikasi dan Otentikasi• Identifikasi• Proses mengenali identitas suatu subyek yang telah ditunjukkan

sebelum sistem memulai proses otentikasi, otorisasi dan akuntabilitas.

• Otentikasi• Proses verifikasi atau pengujian apakah identitas yang diberikan

merupakan identitas yang valid.• Identifikasi dan otentikasi selalu bersama-sama sebagai suatu

proses tunggal yang menyediakan identitas dan menyediakan otentikasi untuk mendapatkan akses pada sistem.

Dudy

Fat

han

Ali,

2013

Teknik Identifikasi dan Otentikasi• Password• 2 jenis password berdasarkan lama waktu penggunaan :

• Statis, password yang tetap sama hingga waktu yang lama tanpa ada mekanisme yang bekerja secara otomatis mengganti password

• Dinamis, password yang dapat berubah secara otomatis atau mengharuskan pengguna untuk mengganti password setelah rentang waktu tertentu.

• Computer Generated Password• Tipe password yang dihasilkan oleh komputer sehingga menghasilkan

suatu password yang sangat unik.• Pass Phrase

• Sekumpulan karakter yang dimodifikasi sehingga menjadi unik. Co : “iN1 ad4l4H p4s5w0rd s4yA”

Dudy

Fat

han

Ali,

2013

Teknik Identifikasi dan Otentikasi

• Cognitive Password :• Password dengan sekumpulan pertanyaan tentang fakta tentang

pengguna yang telah disimpan dalam sistem. Co : security questions.• Biasa digunakan dalam komunikasi melalui telepon.• Rentan Eavesdropping.

• Account Lockout• Proses menonaktifkan akun pengguna setelah beberapa kali

memasukan password yang salah.• Mekanisme ini akan otomatis mencatat identitas dari pengguna

yang mencoba memasukan password.

Dudy

Fat

han

Ali,

2013

Teknik Identifikasi dan Otentikasi

Crypto-hashes.

Dudy

Fat

han

Ali,

2013

Teknik Identifikasi dan Otentikasi• Biometric• Teknik identifikasi dan otentikasi yang menggunakan karakteristik

perilaku dan fisiologis yang bersifat unik dari subyek.

Dudy

Fat

han

Ali,

2013

Teknik Identifikasi dan Otentikasi• Jenis-jenis biometric• Fingerprint• Face Recognition• Iris Scan• Retina Scan• Palm Recognition• Palm Geometric• Voice Pattern Recognition• Signature Dynamics• Keystroke Pattern

Dudy

Fat

han

Ali,

2013

Teknik Identifikasi dan Otentikasi

Zephyr Chart

Dudy

Fat

han

Ali,

2013

Teknik Identifikasi dan Otentikasi• Token• Perangkat yang mampu menghasilkan password dan harus

dibawa oleh pengguna.

Token untuk e-banking.

Dudy

Fat

han

Ali,

2013

Teknik Identifikasi dan Otentikasi

• Jenis-jenis token :• Static Token• Menawarkan bentuk fisik untuk membuktikan identitas.• Diperlukan metode lain untuk memastikan keamanan yang maksimum.• Digunakan sebagai perangkat untuk mengidentifikasi daripada perangkat

untuk otentikasi.• Synchronous Dynamic Password Token• Menghasilkan password dalam interval yang tetap berdasarkan jam yang

ada pada server otentikasi dan jam pada perangkat untuk disinkronkan.• Asynchronous Dynamic Password Token• Menghasilkan password berdasarkan munculnya suatu kejadian.• Suatu kejadian akan meminta pengguna menekan tombol tertentu pada

token dan selanjutnya menekan tombol tertentu pada server otentikasi

Dudy

Fat

han

Ali,

2013

Teknik Identifikasi dan Otentikasi

• Challenge – response token• Menghasilkan password atau respon berdasarkan instruksi dari sistem

otentikasi.• Sistem otentikasi akan menampilkan kode atau pass frase yang harus

dimasukan kedalam perangkat token.

• Ticket• Mekanisme yang mempekerjakan perangkat lain untuk

membuktikan dan menyediakan otentikasi. • Single Sign On• Mekanisme yang mempersilahkan subyek diotentikasi hanya

sekali pada suatu sistem dan selanjutnya dapat mengakses sumber daya tanpa mekanisme otentikasi yang berulang.

Dudy

Fat

han

Ali,

2013

Terima KasihDudy Fathan Ali.Akuntabilitas dan Akses Kontrol.Email : - dudy.fathan@eng.ui.ac.id

- dudyali@gmail.com