Setelah membaca posting sebelumnya mengenai contoh implementasi sistem informasi pada e-Commerce, sekarang saya akan menjelaskan keterkaitan antara implementasi sistem informasi dan e-Commerce.
Keterkaitan keduanya terletak pada sistem keamanan informasi, berikut penjelasan secara detail.
Tujuan-tujuan Sistem Keamanan Informasi:
- Confidentially : Menjamin apakah informasi yang dikirim tersebut tidak dapat
dibuka atau tidak dapat diketahui oleh orang lain yang tidak berhak.
- Integrity: Menjamin konsistensi data tersebut apakah masih utuh sesuai aslinya
atau tidak, sehingga upaya orang-orang yang tidak bertanggung jawab untuk
melakukan penduplikatan dan perusakan data bisa dihindari.
- Availability: Menjamin pengguna yang sah agar dapat mengakses informasi dan
sumber miliknya sendiri.
- Legitimate Use: Menjamin kepastian bahwa sumber tidak digunakan oleh orang-
orang yang tidak bertanggung jawab.
Sistem Keamanan Informasi: Merupakan penerapan teknologi untuk mencapai tujuan-
tujuan keamanan sistem informasi dengan menggunakan bidang-bidang utama yaitu:
- Sistem Keamanan Komunikasi (Communications security) merupakan
perlindungan terhadap informasi ketika di kirim dari sebuah sistem ke sistem
lainnya.
- Keamanan Komputer (Computer security) adalah perlindungan terhadap sistem
informasi komputer itu sendiri.
- Keamanan secara fisik seperti pengamanan oleh penjaga keamanan, pintu yang
terkunci, sistem control fisik lainnya, dan sebagainya.
- Keamanan Personal meliputi kepribadian orang-orang yang mengoperasikan
atau memilki hubungan langsung dengan sistem tersebut.
- Keamanan administrative contohnya mengadakan control terhadap perangkat-
perangkat lunak yang digunakan, mengecek kembali semua kejadian-kejadian
yang telah diperiksa sebelumnya dan sebagainya.
- Keamanan media yang digunakan meliputi pengontrolan terhadap media
penyimpanan yang ada dan menjamin bahwa media penyimpanan yang
mengandung informasi sensitive tersebut tidak mudah hilang begitu saja.
Konsep Dasar e-Commerce:
- Security Policy (Kebijaksanaan keamanan yang digunakan) merupakan satu set
aturan yang diterapkan pada semua kegiatan-kegiatan pengamanan dalam
security domain. Security domain merupakan satu set sistem komunikasi dan
computer yang dimiliki oleh organisasi yang bersangkutan.
- Authorization (Otorisasi) berupa pemberian kekuatan secara hukum untuk
melakukan segala aktifitasnya
- Accountability (kemampuan dapat diakses) memberikan akses ke personal
security.
- A Threat (Ancaman yang tidak diinginkan) merupakan kemungkinan-
kemungkinan munculnya seseorang, sesuatu atau kejadian yang bisa
membahayakan aset-aset yang berharga khususnya hal-hal yang berhubungan
dengan confidentiality, integrity, availability dan legitimate use.
- An Attack (Serangan yang merupakan realisasi dari ancaman), pada sistem
jaringan computer ada dua macam attack, yaitu passive attack (misalnya
monitoring terhadap segala kegiatan pengiriman informasi rahasia yang
dilakukan oleh orang-orang yang tidak berhak) dan active attack (misalnya
perusakan informasi yang dilakukan dengan sengaja dan langsung mengena
pada sasaran).
- Safeguards (Pengamanan) meliputi control fisik, mekanisme, kebijaksanaan dan
prosedur yang melindungi informasi berharga dari ancaman-ancaman yang
mungkin timbul setiap saat.
- Vulnerabilities (Lubang-lubang kemaan yang bisa ditembus)
- Risk (Resiko kerugian) merupakan perkiraan nilai kerugian yang ditimbulkan oleh
kemungkinan adanya attack yang sukses.
- Risk Analysis (Analisa Kerugian) merupakan proses yang menghasilkan suatu
keputusan apakah pengeluaran yang dilakukan terhadap safeguards benar-
benar bisa menjamin tingkat keamanan yang diinginkan.
Threats (Ancaman):- System Penetration : orang-orang yang tidak berhak, mendapatkan akses ke
sistem computer dan diperbolehkan melakukan segalanya.
- Authorization Violation: Ancaman berupa pelanggaran atau penayalahgunaan
wewenang legal yang dimiliki oleh seseoarang yang berhak.
- Planting: Ancaman yang terencana misalnya Trojan horse yang masuk secara
diam-diam yang akan melakukan penyerangan pada waktu yang telah
ditentukan.
- Communications Monitoring: penyerang dapat melakukan monitoring semua
informasi rahasia.
- Communications Tampering: penyerang mengubah informasi transaksi di tengah
jalan pada sebuah jaringan komunikasi dan dapat mengganti sistem server
dengan yang palsu.
- Denial of Service (DoS): Penolakan service terhadap client yang berhak.
- Repudiation: Penolakan terhadap sebuah aktivitas transaksi atau sebuah
komunikasi yang terjadi dikarenakan sesuatu yang bersifat senagja, kecelakaan
ataupun kesalahan teknis lainnya.
Safeguards:
Yang dilakukan safeguards yaitu:
- Mencegah munculnya threats (ancaman) sebelum benar-benar terealisasi
- Meminimalisasikan kemungkinan terjadinya ancaman tersebut.
- Mengurangi akibat yang timbul karena ancaman yang sudah terealisasi.
Security service safe guards:
- Authentication Service: Memberikan kepastian identitas pengguna.
o Entity authentication: contohnya password.
o Data origin authentication: membuktikan sah tidaknya identitas dalam
bentuk pesna tertulis.
Access Control Services: Melindungi semua fasilitas dan sumber-sumber yang
ada dari akses-akses yang tidak berhak.
- Confidentiality Service: Memberikan perlindungan terhadap informasi yang
berusaha disingkap oleh orang lain yang tidak berhak.
- Data Integrity Srevice: Perlindungan terhadap ancaman yang dapat mengubah
data item seandainya ini terjadi di dalam lingkungan security policy.
- Non-Repudiation Service: Melindungi user melawan ancaman yang berasal dari
user berhak lainnya. Ancaman tersebut dapat berupa kesalahan penolakan
ketika transaksi atau komunikasi sedang terjadi.
sumber diperoleh dari:bovieshare.blogspot.com
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar