Jumat, 02 Januari 2015

posttest manajemen kontrol keamanan

Mengamankan suatu Sistem Informasi Pengamanan dapat dikategorikan menjadi dua jenis: pencegahan (preventif) dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem informasi tidak memiliki lubang keamanan, sementara usaha-usaha pengobatan dilakukan apabila lubang keamanan sudah dieksploitasi
Pentingnya Keamanan Sistem Sistem informasi rentan terhadap gangguan keamanan karena:
1. Sistem yang dirancang bersifat terbuka, mis : internet (tidak ada batasan fisik dan kontrol)
2. Sikap dan pandangan pemakai (aspek hukum belo\um dimengerti, menempatksn keamanan sistem pada prioritas rendah)
3. Keterampilan pengamanan kurang

Beberapa cara melakukan serangan :
- Sniffing adalah memfaatkab metode broadcasting dalam LAN, membuat network interface bekerja dalam metode promiscuocus
- Spoofing atau pemalsuan. Memperoleh akses secara berpura - pura menjadi seseorang atau sesuatu yang memiliki hak akses yang valid. Spoofer mencoba mencari data dari user yang sah agar bisa masuk kedalam sistem
- Man-in-the-middle. Membuat client dan server sama - sama mengira bahwa mereka berkomunikasi dengan pihak yang semestinya.
- Menebak password. dilakukan dengan sistematis dengan teknik brute-force yaitu teknik mencoba semua kemungkinan password.
- Modification Attacks. Biasanya didahului oleh access attack untuk mendapatkan akses, dilakukan untuk mendapatkan keuntungan dari berubahnya informasi.
- Denail of Service Attacks. Berusaha mencegah pemakai yang sah untuk mengakses informasi.

Cara mengamankan informasi:
* Mengatur akses
* setting user dan password
* merubah properti user
* pengaturan user
* merubah password secara berkala
* mentup service yang tidak digunakan
* memasang proteksi

evaluasi Keamanan Sistem Informasi
Meski sebuah sistem sudah dirancang memiliki perangkat keamanan yang sedemikian rupa, tetap saja sistem itu perlu dan harus selalu dimonitor, hal ini disebabkan :
1. Ditemukan security hole
2. Kesalahan Konfigurasi
3. Penambahan perangkat baru (software dan hardware) yang menyebabkan menurunnya tingkat security

Penguji Keamanan Sistem
Yang berhak menguji keamanan dari sebuah sistem yang telah dibangun adalah administrator dari perusahaan tersebut. Apabila orang lain yang melakukan pengujian sistem dapat diapastika informasi perusahaan dapat bocor.

- Administrator dari sistem informasi membutuhkan sebuah software untuk menguji dan mengevaluasi sistem ysng dikelola. Pengujiannya bernama administration test dan softwarenya bernama administration test

* Untuk sistem sistem berbasis UNIX bisa menggunakan : Cops, Tripware, Satan
* Untuk sistem sistem berbasis Windows NT menggunakan Ballista

- Probing Service
Service di internet menggunakan port yang berbeda - beda, misalnya
* SMTP, untuk mengirim dan menerima email, TCP, port 25
* DNS, untuk domain, TCP port 53
* HTTP, untuk server, TVP, port 80
* POP3 , untuk mengambil email, TCP, port 110

- Mendeteksi Probing
Untuk mendeteksi adanya probing ke sistem dapat dipasang suatu program yang memonitorinya. Probing biasanya meninggalkan jejak di berkas loh di sistem.

- OS Fingerprinting
Fingerprinting merupakan istilah untuk menganalisa OS sistem yang dituju
Cara yang paling umum adalah melalaui telnet server yang dituju, Service FTP di port 21, menggunakan program netcat.

- Kegunaan Program Penyerang
Salah satu cara mengetahui ketahanan sistem ialah dengan menyerang diri sendiri dengan paket - paket program yabg tersedia di internet.

- Penggunaan Sistem Pemantau Jaringan
Sistem pemantau jaringan dapat digunakan untuk memantau adanya lubang keamanan

- Pemantau adanya serangan
Sistem pemantau digunakan untuk mengetahui adanya tamu tak diundang atau serangan. Nama lain dari sistem ini adalah "intruder detection system" (IDS). Sistem ini dapat memberitahu administrator memalui email.

pretest manajemen kontrol keamanan

Untuk mengamankan suatu Sistem Informasi menurut anda apa saja yang perlu dilindungi?

Informasi, perlu dilindungi keamanannya.

Informasi adalah salah satu aset bagi sebuah perusahaan atau organisasi, yang sebagaimana aset lainnya memiliki nilai tertentu bagi perusahaan atau organisasi tersebut sehingga harus dilindungi, untuk menjamin kelangsungan perusahaan atau organisasi, meminimalisir kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinya investasi dan memperluas peluang usaha. Strategi keamanan informasi memiliki fokus dan dibangun pada masing-masing ke-khusus-annya. Contoh dari tinjauan keamanan informasi adalah:

·         Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.

·         Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi.

·         Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.

·         Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.

·         Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.