INFORMATION SYSTEM SECURITYKonsep dan Kebijakan Keamanan

Dudy Fathan Ali, 2013.

Mekanisme Kebijakan Keamanan

Dudy Fathan Ali, 2013.

Informasi Aturan Prosedur• Metode untuk mengimplementasikan berbagai aturan dan

hak pada suatu sistem kepada pengguna.• Kebijakan keamanan yang mencegah arus informasi dari

tingkat keamanan tinggi ke tingkat keamanan rendah disebut sebagai kebijakan keamanan multilevel.

Prinsip Desain KeamananDudy Fathan Ali, 2013.

Least Privilege

Economy of Mechanisms

Complete of Mediation

Open Design

Least Common Mechanisms

Separation of Privilege

Psychological Acceptability

Prinsip Desain KeamananDudy Fathan Ali, 2013.

Least PrivilegeSetiap proses hanya memiliki

hak akses yang memang

dibutuhkan

Hak akses harus secara eksplisit diminta, bukan secara default

diberikan.

Dilakukan untuk mengantisipasi kerusakan oleh penyerangan.

Economy of MechanismsMekanisme harus

sederhana sehingga dapat

diverifikasi dengan benar. 

Mekanisme merupakan

bagian yang tidak terpisahkan

dari desain sistem.

Complete of MediationSetiap akses harus

dicek ke dalam informasi kendali

akses untuk otorisasi yang

tepat. 

Hal ini juga berlaku untuk kondisi-

kondisi khusus seperti pada saat

recovery atau pemeliharaan.

Prinsip Desain KeamananDudy Fathan Ali, 2013.

Least Common MechanismsPrinsip ini menyatakan

bahwa antar pengguna harus terpisah dalam

sistem. 

Dapat di implementasikan dengan sistem akses

bertingkat.

Psychological AcceptabilityMekanisme pengendalian sistem

keamanan harus mudah digunakan oleh pengguna. 

Dapat dilakukan dengan mengadakan survei mengenai perilaku pengguna yang akan

menggunakan sistem.

Prinsip Desain KeamananDudy Fathan Ali, 2013.

Open DesignMekanisme harus dapat diinformasikan dengan

baik sehingga memungkinkan adanya

umpan balik yang dapat dimanfaatkan untuk

perbaikan sistem keamanan. 

Separation of Privilegeseseorang pengguna harus

memenuhi beberapa persyaratan tertentu untuk

melakukan pengaksesan

Di implementasikan dengan menerapkan sistem akses

bertingkat.

Pengguna dibagi dalam beberapa tingkatan dan

mempunyai hak akses yang berbeda.

Arsitektur Terdistribusi

Dudy Fathan Ali, 2013.

Suatu jenis penyebaran informasi yang terkomputasi.Penyebaran dilakukan dengan memisahkan komponen-komponen jaringan secara fisik.Tujuannya adalah menyatukan kemampuan dari sumber daya (sumber komputasi atau sumber informasi) yang terpisah secara fisik, ke dalam suatu sistem gabungan yang terkoordinasi dengan kapasitas yang jauh melebihi dari kapasitas individual komponen-komponennya.

Arsitektur Terdistribusi (Client-Server)

Dudy Fathan Ali, 2013.

Client

Client

Client

ClientServer

InvocationResultInvocation

Invocation

InvocationResult

Result

Result

Arsitektur Terdistribusi (Multiple-Server)

Dudy Fathan Ali, 2013.

Client

Client

Server

Server

Server

InvocationResult

InvocationResult

InvocationResult

Invocation

Result

Arsitektur Terdistribusi (Proxy-Server)

Dudy Fathan Ali, 2013.

Client

ClientProxyServer

WebServer

WebServer

InvocationResultInvocationResult

Result

Invocation

InvocationResult

Arsitektur Terdistribusi (Peer-to-Peer)

Dudy Fathan Ali, 2013.

ClientClient Client

Client

InvocationResult

InvocationResult

InvocationResult

InvocationResultInvocationResultInvocationResult

Komponen Arsitektur Terdistribusi

Dudy Fathan Ali, 2013.

PC Firewall

DatabaseServer

Handphone Router

ProxyServerWebServer

Laptop

Etc

Permasalahan Arsitektur Terdistribusi

Dudy Fathan Ali, 2013.

Router • Akan sangat berbahaya jika menggunakan konfigurasi default.Firewall

• Bisa di bypass jika menggunakan tunneling protokol.DHCP • Berbagai macam serangan bisa terjadi. (co: DHCP Flooding)DNS • Serangan DNS Spoofing bisa terjadi.IDS

• Gangguan bisa terjadi ketika mengimplementasikan IDS. (co: DDOS, SYN Attack, dll.)

Penerapan Keamanan Pada Aplikasi

Dudy Fathan Ali, 2013.

Bentuk• Kualitatif• KuantitatifSkala Pengukuran• Nominal• Ordinal• Interval• Rasio

Jenis• Internal• EkternalSumber• Primer• SekunderWaktu• Data Acak• Data Berkala

• Data Inputan :

Penerapan Keamanan Pada Aplikasi

Dudy Fathan Ali, 2013.

CaptchaMetode uji respon untuk menentukan apakah seorang pengguna adalah manusia atau bot otomatis.

Penerapan Keamanan Pada Database

Dudy Fathan Ali, 2013.

• Constraint• Menjaga integritas data.

• DB Transactions• Menjaga konsistensi data.

• View• Membatasi penerimaan data.

• Log• Mencatat aktifitas.

• Concurrency• Penerapan “locking”.

• Etc..

Latihan

Dudy Fathan Ali, 2013.

1. Sebutkan dan jelaskan 7 prinsip desain keamanan.2. Apa yang dimaksud dengan Arsitektur Sistem Terdistribusi?3. Sebutkan dan jelaskan contoh dari penerapan Arsitektur Sistem Terdistribusi.4. Apa saja keamanan yang bisa diterapkan pada Aplikasi?5. Sebutkan penerapan keamanan yang bisa dilakukan pada Database.

Dudy Fathan Ali, 2013.

TERIMA KASIHInformation System Security.Dudy Fathan Ali, 2013.- dudy.fathan@eng.ui.ac.id- dudyali@gmail.com