KONSEP DASAR KEAMANAN e-Commerce

Tujuan-tujuan Sistem Keamanan Informasi:

– Confidentially : Menjamin apakah informasi yang dikirim tersebut tidak dapat

dibuka atau tidak dapat diketahui oleh orang lain yang tidak berhak.

– Integrity: Menjamin konsistensi data tersebut apakah masih utuh sesuai aslinya

atau tidak, sehingga upaya orang-orang yang tidak bertanggung jawab untuk

melakukan penduplikatan dan perusakan data bisa dihindari.

– Availability: Menjamin pengguna yang sah agar dapat mengakses informasi dan

sumber miliknya sendiri.

– Legitimate Use: Menjamin kepastian bahwa sumber tidak digunakan oleh orangorang

yang tidak bertanggung jawab.

Sistem Keamanan Informasi: Merupakan penerapan teknologi untuk mencapai tujuantujuan

keamanan sistem informasi dengan menggunakan bidang-bidang utama yaitu:

– Sistem Keamanan Komunikasi (Communications security) merupakan

perlindungan terhadap informasi ketika di kirim dari sebuah sistem ke sistem

lainnya.

– Keamanan Komputer (Computer security) adalah perlindungan terhadap sistem

informasi komputer itu sendiri.

– Keamanan secara fisik seperti pengamanan oleh penjaga keamanan, pintu yang

terkunci, sistem control fisik lainnya, dan sebagainya.

– Keamanan Personal meliputi kepribadian orang-orang yang mengoperasikan

atau memilki hubungan langsung dengan sistem tersebut.

– Keamanan administrative contohnya mengadakan control terhadap perangkatperangkat

lunak yang digunakan, mengecek kembali semua kejadian-kejadian

yang telah diperiksa sebelumnya dan sebagainya.

– Keamanan media yang digunakan meliputi pengontrolan terhadap media

penyimpanan yang ada dan menjamin bahwa media penyimpanan yang

mengandung informasi sensitive tersebut tidak mudah hilang begitu saja.

Konsep Dasar e-Commerce:

– Security Policy (Kebijaksanaan keamanan yang digunakan) merupakan satu set

aturan yang diterapkan pada semua kegiatan-kegiatan pengamanan dalam

security domain. Security domain merupakan satu set sistem komunikasi dan

computer yang dimiliki oleh organisasi yang bersangkutan.

– Authorization (Otorisasi) berupa pemberian kekuatan secara hukum untuk

melakukan segala aktifitasnya

– Accountability (kemampuan dapat diakses) memberikan akses ke personal

security.

– A Threat (Ancaman yang tidak diinginkan) merupakan kemungkinankemungkinan

munculnya seseorang, sesuatu atau kejadian yang bisa

membahayakan aset-aset yang berharga khususnya hal-hal yang berhubungan

dengan confidentiality, integrity, availability dan legitimate use.

– An Attack (Serangan yang merupakan realisasi dari ancaman), pada sistem

jaringan computer ada dua macam attack, yaitu passive attack (misalnya

monitoring terhadap segala kegiatan pengiriman informasi rahasia yang

dilakukan oleh orang-orang yang tidak berhak) dan active attack (misalnya

perusakan informasi yang dilakukan dengan sengaja dan langsung mengena

pada sasaran).

– Safeguards (Pengamanan) meliputi control fisik, mekanisme, kebijaksanaan dan

prosedur yang melindungi informasi berharga dari ancaman-ancaman yang

mungkin timbul setiap saat.

– Vulnerabilities (Lubang-lubang kemaan yang bisa ditembus)

– Risk (Resiko kerugian) merupakan perkiraan nilai kerugian yang ditimbulkan oleh

kemungkinan adanya attack yang sukses.

4

– Risk Analysis (Analisa Kerugian) merupakan proses yang menghasilkan suatu

keputusan apakah pengeluaran yang dilakukan terhadap safeguards benarbenar

bisa menjamin tingkat keamanan yang diinginkan.

Threats (Ancaman):

– System Penetration : orang-orang yang tidak berhak, mendapatkan akses ke

sistem computer dan diperbolehkan melakukan segalanya.

– Authorization Violation: Ancaman berupa pelanggaran atau penayalahgunaan

wewenang legal yang dimiliki oleh seseoarang yang berhak.

– Planting: Ancaman yang terencana misalnya Trojan horse yang masuk secara

diam-diam yang akan melakukan penyerangan pada waktu yang telah

ditentukan.

– Communications Monitoring: penyerang dapat melakukan monitoring semua

informasi rahasia.

– Communications Tampering: penyerang mengubah informasi transaksi di tengah

jalan pada sebuah jaringan komunikasi dan dapat mengganti sistem server

dengan yang palsu.

– Denial of Service (DoS): Penolakan service terhadap client yang berhak.

– Repudiation: Penolakan terhadap sebuah aktivitas transaksi atau sebuah

komunikasi yang terjadi dikarenakan sesuatu yang bersifat senagja, kecelakaan

ataupun kesalahan teknis lainnya.

Safeguards:

Yang dilakukan safeguards yaitu:

– Mencegah munculnya threats (ancaman) sebelum benar-benar terealisasi

– Meminimalisasikan kemungkinan terjadinya ancaman tersebut.

– Mengurangi akibat yang timbul karena ancaman yang sudah terealisasi.

Security service safe guards:

– Authentication Service: Memberikan kepastian identitas pengguna.

o Entity authentication: contohnya password.

o Data origin authentication: membuktikan sah tidaknya identitas dalam

bentuk pesna tertulis.

– Access Control Services: Melindungi semua fasilitas dan sumber-sumber yang

ada dari akses-akses yang tidak berhak.

– Confidentiality Service: Memberikan perlindungan terhadap informasi yang

berusaha disingkap oleh orang lain yang tidak berhak.

– Data Integrity Srevice: Perlindungan terhadap ancaman yang dapat mengubah

data item seandainya ini terjadi di dalam lingkungan security policy.

– Non-Repudiation Service: Melindungi user melawan ancaman yang berasal dari

user berhak lainnya. Ancaman tersebut dapat berupa kesalahan penolakan

ketika transaksi atau komunikasi sedang terjadi.