Thursday, June 6, 2013

Keamanan Dalam Aset Informasi / Data

Memahami Ancaman
Definisi keamanan:
  • Vulnerability
  • Risk
  • Threat
  • Exposure
  • Countermeasure
  • Subject
  • Object
Serangan keamanan dari luar:
Serangan dari Luar
Serangan keamanan dari dalam:
Serangan dari Dalam
Serangan terstruktur

Karakteristik serangan terstruktur:
  1. Mean
  2. Determination
  3. Knowledge
  4. Funds
  5. Time
Serangan Terstruktur
Serangan tidak struktur
Serangan Tidak Struktur
Trend Keamanan Modern
Trend Keamanan Modern
Keamanan Fundamental
Keamanan Fundamental
Kerahasiaan
Kerahasiaan
Integritas
Integritas
Ketersediaan
Ketersidiaan
Ancaman dan kejahatan komputer
  1. Pencurian
  2. Penipuan
  3. Sabotase
  4. Pemerasan
  5. Pengintaian Industri
  6. Pengungkapan yang tidak sah
  7. Kehilangan kredibilitas
  8. Kehilangan kepemilikan informasi
  9. Konsekuensi Hukum
Identifikasi Pelaku Kejahatan
  1. Hackers
  2. Crackers
  3. Script Kiddies
  4. Penghianatan Karyawan
  5. Ethical Hacker Gone Bad
  6. Third Parties
  7. Ignorance
Metode Penyerangan
  1. Penyerangan secara pasif: Analisis jaringan, Host Traffic Analysis, Eavesdropping
  2. Penyerangan secara aktif: Social Engineering, Phishing, Dumpster Diving, Virus, Worm, Logic Bomb, Trapdoor, Brute Force Attack, DoS, IP Fragmentation Attack, Crash-restart, Maintenance Account, Remote Access Attack, Source Routing, Salami Technique, Packet Replay, Message Modification, Email Spamming and Spoofing.
Menggunakan Perlindungan Administrasi
Manajemen keamanan informasi
  • Chief Security Officer
  • Chief Privacy Officer
  • Keamanan Sistem Informasi manager
Kontrol Akses
Kontrol Akses
IT Security Governance
  • Publik: Informasi untuk konsumsi publik
  • Sensitif: ada tipe data tertentu kebutuhan yang harus diungkapkan kepada pihak tertentu tetapi tidak untuk semua orang
  • Private, hanya untuk internal: klasifikasi data hanya untuk penggunaan internal biasa diterapkan untuk prosedur operasi dan kerjacatatan
  • Rahasia: ini adalah kategori tertinggi keamanan umum klasifikasi di luar pemerintah
Peran otoritas atas Data
  • Data Owner: Eksekutif atau manajer yang bertanggung jawab untuk isi data
  • Data User: orang yang mendapat manfaat dari data terkomputerisasi
  • Data Custodian: Bertanggung jawab untuk melaksanakan penyimpanan dataperlindungan dan memastikan ketersediaan data.
Peran Otoritas atas Data
Menggunakan Perlindungan Admin
  • Data Retention: prosedur untuk menyimpan data, berapa lama untuk menyimpan data dan melepas data.
  • Document Access path: Semua jalur akses dokumen dikenal seperti peta fisik.
  • Personnel Management: Setiap individu harus menjalani proses pelatihan kesadaran keamanan.
  • Physical Access: Daerah sensitif, layanan port, konsol komputer.
Melaksanakan Perlindungan Fisik
Teknik untuk Meningkatkan Perlindungan fisik
  • Televisi sirkuit tertutup
  • Penjaga
  • Kunci Khusus: Kunci elektronik , sandi kunci, biometrics
  • Pengendalian Lingkungan: Tombol darurat untuk mematikan power ,  UPS, Generator, Dual Power Lead, Power Transfer System
  • Pendeteksi asap, panas dan kebakaran
  • Percikan Api (Wet Pipe Sys, Dry Pipe Sys, Dry
    Chemical Sys)
  • Penyimpanan yang aman
  • Penyimpanan Off-site
  • Media Transportasi
  • Pelepasan Prosedur  (Overwriting, Degaussing)
Menggunakan Perlindungan Teknis
Teknis Perlindungan = Perlindungan Logis
Klasifikasi Kontrol Teknis : Discretionary Access Control
Menggunakan Perlindungan Teknis
Kewajiban Akses Kontrol
Kewajiban Kontrol Akses
Role-Based Access Control
Role-Based Access Control
Aturan Hak Minimal
Aturan Hak Minimal
Metode Otentifikasi
3 Type Otentifikasi:
  1. Type 1: Sesuatu yang diketahui seseorang
  2. Type 2: Sesuatu yang telah dimiliki seseorang
  3. Type 3: Karakteristik Fisik
2 Faktor Otentifikasi:
  1. Kartu ATM + PIN
  2. Kartu Kredit + Signature
  3. User Name + Password
3 Faktor Otentifikasi:
  1. Password + Token + Scan Sidik Jari
  2. Pin + Kartu + Scan Mata
Biometrik:
  1. Scan Sidik Jari
  2. Scan Telapak Tangan
  3. Scan Mata
  4. Scan Selaput Pelangi (di bola mata)
  5. Scan Wajah
Pelindungan Akses Jaringan:
- Single Sign On
Single Sign On
- Network Firewall: packet filter, apps proxy server filter, stateful inspection, adaptive
response, kernel process
- Wireless Access
- Remote Dial-Up Access
- Intrusion Detection System: Host Based and Network Based
- IDS Methods Detecting: Statistical, Signature, Neural
Intrusion Detection Systems
NIDS and HIDS
Honeypots and Honeynets
Enkripsi
- Private Key System/ Symmetric Key: Kunci Tunggal adalah berbagi antara pengirim dan penerima
Private Key System
- Public Key/Asymmetric Key: pasangan kunciterdiri dari kunci rahasia yang dilindungi oleh pemilik, kunci publik yang kedua adalah bebas didistribusikan.
Public Key
- Digital Signatures
Digital Signatures
Public Key Infrastructure (PKI)
  • Certify Authority (CA)
  • Registration Authority (RA)
  • Certificate Revocation List (CLR)
  • Certification Practice Statement (CPS)
Public Key Infrastructure (PKI)


Posted by at
Labels:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)
Kebahagiaan sejati bukanlah pada saat kita berhasil meraih apa yg kita perjuangkan, melainkan bagaimana kesuksesan kita itu memberi arti atau membahagiakan orang lain.