Dudy
Fat
han
Ali,
2013Information System
SecurityPertemuan ke-3, Akuntabilitas dan Akses Kontrol.
Dudy
Fat
han
Ali,
2013
SubjectObject
MANAJEMEN KEAMANAN
Dudy
Fat
han
Ali,
2013
Prinsip Keamanan
• Confidentiality :• Obyek hanya diperbolehkan di akses oleh yang berhak
saja
• Integrity :• Subyek diijinkan mengakses namun tetap menjaga
kepastian data dan kebenaran data
• Availability :• Subyek diberikan ijin tanpa mengurangi ketersediaan
obyek jikalau terdapat subyek lain yang juga mengakses obyek
Dudy
Fat
han
Ali,
2013
Akses Kontrol• Suatu bentuk implementasi keamanan dari hubungan antara
subject dan object.• 7 jenis akses kontrol berdasarkan kegunaan :• Preventive Access Control
• Suatu akses kontrol yang digunakan untuk menghentikan dan mencegah munculnya aktivitas yang tidak diinginkan atau tidak diijinkan.
• Deterrent access control• Suatu akses kontrol yang digunakan untuk menghentikan adanya
pelanggaran dan mempersempit kemungkinan terjadinya pelanggaran.
• Detective access control• Suatu akses kontrol yang digunakan untuk menemukan aktivitas yang
tidak berijin atau tidak diinginkan.
Dudy
Fat
han
Ali,
2013
Akses Kontrol• Corrective access control
• Suatu akses kontrol yang digunakan untuk mengembalikan sistem kembali ke keadaan normal sebelum terjadi aktivitas yang tidak diinginkan.
• Recovery access control• Suatu akses kontrol yang digunakan untuk memperbaiki atau
mengembalikan sumber daya, fungsi, dan kemampuan setelah terjadinya pelanggaran keamanan.
• Compensation access control• Suatu akses kontrol yang digunakan untuk menyediakan berbagai opsi
alternatif untuk mendukung kebijakan keamanan bilamana perangkat lain tidak dapat diimplementasikan karena keadaan yang tidak memungkinkan.
• Directive access control• Suatu akses kontrol yang digunakan untuk mengarahkan, membatasi,
mengendalikan aksi yang dilakukan oleh subyek agar sesuai dengan kebijakan keamanan.
Dudy
Fat
han
Ali,
2013
Akses Kontrol• 3 jenis akses kontrol berdasarkan penerapan :• Administrative access control
• Kebijakan dan prosedur yang didefinisikan oleh organisasi untuk mengimplementasikan dan memastikan keseluruhan akses kontrol.
• Logical / technical access control• Mekanisme perangkat lunak atau perangkat keras yang digunakan
untuk mengatur akses pada sumber daya dan sistem serta memberikan perlindungan pada sumber daya dan sistem tersebut.
• Physical access control• Penghalang secara fisik yang digunakan untuk mencegah terjadinya
kontak fisik antara subyek dengan obyek.
Dudy
Fat
han
Ali,
2013
Proses Akuntabilitas
Identification
Authentication
Authorization
Audit & Accountability
User
Dudy
Fat
han
Ali,
2013
Proses Akuntabilitas• Identifikasi• Proses pengenalan suatu subyek dengan sebuah identitas dan
mengkaitkan identitas tersebut dengan haknya. Sehingga dapat dikatakan ketika subyek diidentifikasi, identitasnya dapat digunakan untuk memproses tindakan selanjutnya.
• Otentikasi• Proses verifikasi atau pengujian apakah identitas yang diberikan
merupakan identitas yang valid.• 3 tipe otentikasi :
• Something you know, co: password, pin, nama ibu kandung, dst.• Something you have, co: smartcard, mmc, flashdisk, dst.• Something you are, co: sidik jari, suara, pola retina, bentuk muka, dst
Dudy
Fat
han
Ali,
2013
Proses Akuntabilitas• Otorisasi• Proses yang memastikan si pengguna melakukan suatu tindakan
yang sesuai dengan hak akses nya.• Access Control Matrix, suatu tabel yang terdiri dari subyek,
obyek, dan aksi yang dapat dilakukan pada subyek maupun obyek.
Dudy
Fat
han
Ali,
2013
Proses Akuntabilitas• Audit dan Akuntabilitas.• Audit merupakan proses mencatat dan menelusuri aktivitas dan
proses yang dilakukan atau dieksekusi oleh pengguna.• Pengguna yang terotentikasi bisa dikatakan akuntabel dalam
menggunakan akunnya untuk beraktifitas jika audit trail dan hak akses nya sesuai.
• Ketentuan audit :• Sistem harus menyediakan mekanisme untuk menghasilkan rekam
jejak keamanan yang mengandung informasi untuk mendukung penyelidikan setelah terjadinya kejadian sebagai respon dari pihak manajemen.
• Sistem harus menyediakan akuntabilitas dalam aplikasi untuk seluruh kejadian yang dialami oleh suatu aplikasi.
• Sistem harus melindungi rekam jejak dari akses yang tidak berijin.
Dudy
Fat
han
Ali,
2013
Proses Akuntabilitas• Ketika beroperasi dalam keadaan normal, sistem harus menyediakan
mekanisme untuk mengendalikan secara dinamis jenis kejadian yang direkam dalam rekam jejak.
• Sistem harus melindungi mekanisme kontrol audit dari akses yang tidak berijin.
• Ketika beroperasi dalam keadaan normal, sistem harus mampu menuliskan rekam jejak kejadian (untuk berbagai hal yang terkait dengan keamanan)
• Untuk setiap rekaman kejadian, rekaman audit harus memenuhi standar kriteria minimum
• Masukan berupa karakter string yang merupakan respon dari pengguna untuk mengisi password tidak boleh disimpan dalam audit trail (rekam jejak)
• Mekanisme kontrol audit harus menyediakan fasilitas untuk merekam atau tidak merekam data pengguna yang tidak valid ketika melakukan proses otentikasi.
Dudy
Fat
han
Ali,
2013
Proses Akuntabilitas• Data kontrol audit harus non volatile (tidak hilang ketika
komputer/sistem restart)• Sistem harus menyediakan mekanisme untuk mengkopi rekam jejak
keamanan ke dalam file dan dapat menyimpannya pada media penyimpanan yang diinginkan serta mampu disimpan dalam waktu yang relatif lama.
• Sistem harus menyediakan mekanisme untuk menghapus otomatis file rekam jejak yang telah usang atau rentang waktu tertentu.
• Sistem harus mempersilahkan fitur untuk mengendalikan suatu prosedur penyelamatan bilamana suatu kejadian tidak dapat terekam dengan baik (sistem rekam jejak bermasalah)
• Sistem harus menyediakan sarana untuk memonitor aktivitas sistem pada suatu terminal.
Dudy
Fat
han
Ali,
2013
Teknik Identifikasi dan Otentikasi• Identifikasi• Proses mengenali identitas suatu subyek yang telah ditunjukkan
sebelum sistem memulai proses otentikasi, otorisasi dan akuntabilitas.
• Otentikasi• Proses verifikasi atau pengujian apakah identitas yang diberikan
merupakan identitas yang valid.• Identifikasi dan otentikasi selalu bersama-sama sebagai suatu
proses tunggal yang menyediakan identitas dan menyediakan otentikasi untuk mendapatkan akses pada sistem.
Dudy
Fat
han
Ali,
2013
Teknik Identifikasi dan Otentikasi• Password• 2 jenis password berdasarkan lama waktu penggunaan :
• Statis, password yang tetap sama hingga waktu yang lama tanpa ada mekanisme yang bekerja secara otomatis mengganti password
• Dinamis, password yang dapat berubah secara otomatis atau mengharuskan pengguna untuk mengganti password setelah rentang waktu tertentu.
• Computer Generated Password• Tipe password yang dihasilkan oleh komputer sehingga menghasilkan
suatu password yang sangat unik.• Pass Phrase
• Sekumpulan karakter yang dimodifikasi sehingga menjadi unik. Co : “iN1 ad4l4H p4s5w0rd s4yA”
Dudy
Fat
han
Ali,
2013
Teknik Identifikasi dan Otentikasi
• Cognitive Password :• Password dengan sekumpulan pertanyaan tentang fakta tentang
pengguna yang telah disimpan dalam sistem. Co : security questions.• Biasa digunakan dalam komunikasi melalui telepon.• Rentan Eavesdropping.
• Account Lockout• Proses menonaktifkan akun pengguna setelah beberapa kali
memasukan password yang salah.• Mekanisme ini akan otomatis mencatat identitas dari pengguna
yang mencoba memasukan password.
Dudy
Fat
han
Ali,
2013
Teknik Identifikasi dan Otentikasi
Crypto-hashes.
Dudy
Fat
han
Ali,
2013
Teknik Identifikasi dan Otentikasi• Biometric• Teknik identifikasi dan otentikasi yang menggunakan karakteristik
perilaku dan fisiologis yang bersifat unik dari subyek.
Dudy
Fat
han
Ali,
2013
Teknik Identifikasi dan Otentikasi• Jenis-jenis biometric• Fingerprint• Face Recognition• Iris Scan• Retina Scan• Palm Recognition• Palm Geometric• Voice Pattern Recognition• Signature Dynamics• Keystroke Pattern
Dudy
Fat
han
Ali,
2013
Teknik Identifikasi dan Otentikasi
Zephyr Chart
Dudy
Fat
han
Ali,
2013
Teknik Identifikasi dan Otentikasi• Token• Perangkat yang mampu menghasilkan password dan harus
dibawa oleh pengguna.
Token untuk e-banking.
Dudy
Fat
han
Ali,
2013
Teknik Identifikasi dan Otentikasi
• Jenis-jenis token :• Static Token• Menawarkan bentuk fisik untuk membuktikan identitas.• Diperlukan metode lain untuk memastikan keamanan yang maksimum.• Digunakan sebagai perangkat untuk mengidentifikasi daripada perangkat
untuk otentikasi.• Synchronous Dynamic Password Token• Menghasilkan password dalam interval yang tetap berdasarkan jam yang
ada pada server otentikasi dan jam pada perangkat untuk disinkronkan.• Asynchronous Dynamic Password Token• Menghasilkan password berdasarkan munculnya suatu kejadian.• Suatu kejadian akan meminta pengguna menekan tombol tertentu pada
token dan selanjutnya menekan tombol tertentu pada server otentikasi
Dudy
Fat
han
Ali,
2013
Teknik Identifikasi dan Otentikasi
• Challenge – response token• Menghasilkan password atau respon berdasarkan instruksi dari sistem
otentikasi.• Sistem otentikasi akan menampilkan kode atau pass frase yang harus
dimasukan kedalam perangkat token.
• Ticket• Mekanisme yang mempekerjakan perangkat lain untuk
membuktikan dan menyediakan otentikasi. • Single Sign On• Mekanisme yang mempersilahkan subyek diotentikasi hanya
sekali pada suatu sistem dan selanjutnya dapat mengakses sumber daya tanpa mekanisme otentikasi yang berulang.
Dudy
Fat
han
Ali,
2013
Terima KasihDudy Fathan Ali.Akuntabilitas dan Akses Kontrol.Email : - [email protected]