PowerPoint Presentation

Eng Ing Eeeng1

KarjonoMelindaAmin FauziPRESENTASI KEAMANAN SISTEM KOMPUTER

Ikmal

1

Analisa Kebutuhan Keamanan Aplikasi E-Commerce dengan Menggunakan Metode SQUAREStudi Kasus pada website www.terrypalmercollection.comDefinisi E-Commercemerupakan satu set dinamis teknologi, aplikasi, dan proses bisnis yang menghubungkan perusahaan, konsumen, dan komunitas tertentu melalui transaksi elektronik dan perdagangan barang, pelayanan dan informasi yang dilakukan secara elektronik (David Baum, Business Links, Oracle Magazine, No 3, Vol XIII, May/June 1999, pp. 36-44)

Agree Definition1Identify Assets and Security Goals2Develop Artifact3Perform Risk Assessment4Select Elicitation Techniques5

SQUAREPROSESengingeeeng.comElicit Security Requirements56

Categorize Requirements 57

Prioritize Requirements8Requirements Inspection9Review of Requirements10Tim kami bekerja sama dengan klien untuk menyepakati dan mengatur definisi keamanan. Berikut ini adalah definisi yang disepakati :Serangan Injeksi SQL : memungkinkan penyerang bisa mendapatkan akses ke basis data di dalam sistem.Access Control : Access Control memastikan bahwa sumber daya yang hanya diberikan kepada para pengguna yang berhak.

Agree Definition1Identify Assets and Security GoalsDi sini tim proyek bekerja sama dengan klien untuk menyempurnakan keselamatan dan tujuan keamanan yang dipetakan ke bisnis perusahaan secara keseluruhan Tujuan. Tujuan bisnis dan keamanan didefinisikan sebagai berikut :Business Goal : Memperluas jaringan penjualan.Identify Assets and Security Goals2Identify Assets and Security GoalsSafety and Security GoalsPrivacyWebsite ini memiliki Confidentiality yang terjamin, karena memiliki perlindungan data-data pelanggan serta kerahasiaan data-data pribadi berupa nomor rekening/nomor kartu kredit dll.CredibilityWebsite terrypalmercollection.com memiliki kredibilitas yang baik, karena untuk domain dan hostingnya dikelola oleh MasterWeb yang sudah terjamin kredibilitasnya.IntegrityInformasi atau pesan dari customer dipastikan tidak diubah atau berubah dan integrity pun terjamin.Identify Assets and Security GoalsAvailabilityKeamanan atas ketersediaan layanan informasi serta website ini memiliki availability yang terjamin, yang dapat terlihat dari beberapa fasilitas yang ada pada website ini seperti availability produk, availability data pelanggan dengan Login.Non-RepudiationMenjaga agar jika sudah melakukan transaksi atau aktifitas online, maka tidak dapat di sangkal.AuditingAdanya berkas semacam rekaman komunikasi data yang terjadi pada jaringan untuk keperluan audit seperti mengidentifikasi serangan serangan pada jaringan atau server.Identify Assets and Security GoalsKeamanan Terhadap DataUntuk keamanan terhadap datanya, terrypalmercollection.com menyediakan akun untuk pelanggan-pelanggannya yang data-datanya tersimpan dan aman dengan security yang terjaga melalui login, karena dalam akun tersebut pelanggan baru harus mendaftar dahulu melalui formulir pendaftaran dan kemudian memiliki Login yang dilengkapi Password tersendiri.

Architectural Diagrams

Develop Artifact3Develop ArtifactsUse Case

Develop ArtifactsMisuse Case

Develop ArtifactsAttack TreeDevelop Artifacts

Ada beberapa teknik Risk Assessment. Berikut ini adalah list berdasarkan [Mead 2005], dengan referensi untuk informasi lebih lanjut :

General Accounting Offices (GAOs) models [USGA 1999]National Institute of Standards and Technologys (NISTs) models [Stoneburner 2002]National Security Agencys INFOSEC Assessment Methodology (IAM) [NSA 2004]Shawn Butlers Security Attribute Evaluation Method (SAEM) [Butler 2002]CERT/CCs Vendor Risk Assessment & Threat Evaluation (V-RATE) [Lipson 2001]Yacov Haimes Risk Filtering, Ranking, and Management (RFRM) Framework [Haimes 2004]CERT/CCs Survivable Systems Analysis (SSA) Method [CERT/CC 2002]Martin Feathers Defect Detection and Prevention (DDP) Process [Cornford 2004]Perform Risk Assessment4Perform Risk Assessment

Pada table di atas, dapat disimpulkan bahwa model NSA/IAM dan DDP/Feather yang cocok pada kasus iniElicitation techniques yang dipakai adalah misuse case, seperti yang sudah dijabarkan pada step ke 3.Select Elicitation Techniques5

Requirement#RequirementR01Penggunaan firewall pada serverR02Penggunaan protocol HTTPSR03Aplikasi harus dipatch secara berkalaR04Penggantian password admin secara berkalaR05Enkripsi PasswordElicity Security Requirements56

Requirement#ClassificationR01System LevelR02Software LevelR03System LevelR04System LevelR05Software LevelCategorize Requirements 57

Requirement#DescriptionPriorityR01Penggunaan firewall pada serverHighR02Penggunaan protocol HTTPSHighR03Aplikasi harus dipatch secara berkalaMediumR04Penggantian password admin secara berkalaMediumR05Enkripsi PasswordHighPrioritize Requirements8Step NumberDescription of DefectSeveritySuggested Changes4Score dinilai kurang sesuaiPembuatan score lebih sesuai5Hanya memiliki satu elisitasiPemilihan elisitasinya ditambah.Requirements Inspection9Keamanan data user sangat diutamakan begitu juga dengan hak akses dari administrator itu sendiri.Enkripsi password dan penggunaan firewall adalah salah satu contoh pengamanan data yang dibutuhkan oleh sistem ini.Review of Requirements10Terima Kasih

www.terrypalmercollection.com