Resiko & Security Models

Resiko & Security Models

Attack (Serangan) untuk keamanan dapat dikategorikan ke dalam empat kategori utama :

·         Gangguan  (Interruption)

Aset dari sistem di bawah serangan sehingga menjadi tidak tersedia atau tidak dapat digunakan oleh pihak berwenang. Contohnya adalah perusakan / modifikasi perangkat keras atau jaringan saluran.

·         Intersepsi (Interception)

Orang yang tidak berwenang mendapatkan akses ke aset. Pihak bersangkutan dimaksud bisa orang, program, atau sistem lain. Contohnya adalah penyadapan data dalam jaringan.

·         Modifikasi (Modification)

Orang yang tidak berwenang dapat membuat perubahan pada aset. Contohnya adalah perubahan nilai file data, memodifikasi program sehingga tidak beres, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan.

·         Fabrikasi (Fabrication)

Sebuah pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contohnya adalah mengirimkan pesan palsu kepada orang lain.

Beberapa faktor Penyebab Resiko Dalam Jaringan Komputer adalah sebagai berikut :

·         Kelemahan manusia (human error)

·         Kelemahan perangkat keras komputer

·         Kelemahan sistem operasi jaringan

·         Kelemahan sistem jaringan komunikasi

Langkah dasar untuk melakukan Penilaian Resiko:

1.       Melakukan identifikasi dan skala prioritas asset-asset yang dimiliki.

2.       Melakukan identifikasi kelemahan.

3.       Melakukan identifikasi penyusup dan kemungkinan akibat dari penyusupan.

4.       Melakukan identifikasi tindakan balasan.

5.       Mengembangkan analisis biaya keuntungan.

6.       Mengembangkan kebijakan aturan pengamanan.Agar dapat melaksanakan langkah langkah diatas perlu memperhatikan pertanyaan ini:

• Apa yang anda ingin lakukan untuk melakukan usaha perlindungan.

• Mengapa anda harus melakukan perlindungan atas asset tersebut.

• Berapa nilai dari asset yang harus anda lindungi tersebut.

• Bentuk ancamannya kira-kira seperti apa.

• Seperti apa resiko yang akan dihadapi.

• Konsekuensi apa saja yang akan dihadapi bila asset tersebut hilang.

• Skenario apa saja yang telah disiapkan bila menghadapi masalah tersebut.

• Bila informasi tersebut hilang seberapa besar nilainya.

Security Models

Ada tiga pendekatan dasar yang digunakan dalam pengembangan model keamanan jaringan. Umumnya perusahaan melakukan kombinasi dari ketiga model dasar keamanan jaringan  untuk mengamankan perusahaannya. Ketiga pendekatan dasar itu adalah: security by obscurity (keamanan berdasar ketidakjelasan), the perimeter defense model (model garis pertahanan), dan the defense in depth model (model kedalaman pertahanan)

·         Security by Obscurity

Konsep dari keamanan ini adalah dengan menyembunyikan sistem atau jaringan tersebut sedemikian rupa sehingga tidak seorangpun yang tahu sehingga luput dari serangan. Harapannya adalah dengan menyembunyikan jaringan ini sedemikian rupa sehingga aman dari serangan.

·         The Perimeter Defense

Jaringan dilindungi oleh sebuah pembatas yang membatasi daerah aman dengan daerah tidak aman. Yaitu dengan memasang firewall agar penyusup tidak dapat masuk.

·         The Defense in Depth

Melakukan pemeriksaan/monitoring  sistem secara terus menerus. Setiap sistem melakukan pertahanan sendiri-sendiri. Monitoring dilakukan baik dibagian internal sistem maupun didaerah garis pertahanan.