Requirement Engineering

Pustaka :
Sommerville, Ian. "Software Engineering" .6th . Addison Wesley. 2001
Roger Pressman, “RPL Pendekatan Praktisi”, Penerbit Andi, 2002

Requirement engineering merupakan salah satu tahap yang paling penting dalam kegiatan proyek perangkat lunak. SR dibuat oleh klien yang memesan software.
Secara umum prosesnya adalah diawali dengan client menuliskan requirement sesuai kebutuhannya, lalu tim pengembang menganalisa requirement tersebut, Kemudian setelah ada persetujuan kedua pihak, pembangunan RPL pun dapat dimulai.
Dengan kata lain : Requirement adalah gambaran dari layanan (services) dan batasan bagi sistem yang akan dibangun. Atau gambaran pelayanan yang disediakan oleh sistem, batasan-batasan dari sistem dan bisa juga berupa definisi matematis fungsi-fungsi sistem.
Proses menemukan, menganalisis, mendokumentasikan dan pengujian layanan-layanan dan batasan tersebut disebut Requirement Engineering.

Manajemen Proyek Software Engineering

Rangkuman Software Engineering
Sumber : Roger Pressman-Buku I-Bagian II


Konsep Manajemen Proyek
Manajemen proyek merupakan payung dari keseluruhan kegiatan proyek. Fokus manajemen proyek yang efektif adalah terhadap People, Problem dan Proses (3P). Dari ketiga factor tersebut yang utama adalah factor People.
Dalam manajemen proyek, seorang manager proyek harus memiliki kemampuan :
• Dapat memberikan motivasi
• Mengelola organisasi
• Mendorong orang lain untuk mengemukakan gagasan dan inovasi
Terdapat 3 organisasi tim yang diusulkan Mantei (Man81), dalam manajemen proyek, yaitu :
• Demokratis terdesentralisasi (DD)
• Terkontrol terdesentralisasi (CD)
• Terkontrol tersentralisasi (CC)
Organisasi DD baik untuk masalah-masalah yang sulit, sedangkan organisasi CD dan CC baik untuk masalah yang sederhana. Biasanya proyek PL memiliki kesulitan dalam hal koordinasi dan komunikasi

Berubah ? Siapkah?

Perubahan manajemen merupakan proses alamiah dalam suatu organisasi. Hal ini merupakan akibat dari berkembangnya sebuah organisasi dan menuntut perubahan sesuai dengan kondisi dan kebutuhan organisasi (Smither).

Tugas Algoritma

TUGAS II ALGORITMA & PEMROGRAMAN

Kelas : D3/TK/1

Tugas Kerjakan di kertas folio atau boleh di ketik, dikumpulkan :
Senin, 28 September 2009
Jawaban algoritma tidak boleh sama antara 1 orang dengan yang lain

SOAL :
Buatlah algoritma dan flowchart serta proses jalannya algoritma tersebut dari kasus berikut :
1. Buat urutan bilangan n s/d 1, dan tampilkan hasil jumlah dari bilangan bilangan tersebut !
Contoh n=5, maka
Output : 5 4 3 2 1
Jumlahnya = 15

2. Cari / Hitunglah sisi segitiga siku-siku, dengan alternative :
Jika diketahui a dan b (cari c), jika diketahui a dan c (cari b), jika diketahui b dan c (cari a)

3. Hitunglah kelling dan luas sebuah lingkaran !

4. Hitunglah suatu proses penjualan barang :
Jmlharga=harga*jumlahjual
Jika jmlharga >100000, maka diskon 10 %
Jika jmlharga antara 50000 s/d 100000, maka diskon 5 %
Selain itu tidak mendapatkan diskon (diskon=0)
Bayar=jmlharga-diskon
Cetak hasilnya : namabarang, harga, jmljual, jmlharga, diskon, bayar


Selamat mengerjakan

Nilai Pemrograman Visual Basic I

Database Management System

Dosen : Prof. Dr. Kudang Boro Seminar, MSc.

1. Apa keterkaitan fungsional antara database dengan Sistem Informasi (SI)?
Jawab:
Keterkaitan fungsional antara database dengan Sistem Informasi (SI) adalah terletak pada komponen SI yaitu : brainware, software, hardware, netware, dan dataware. Data adalah bagian dari dataware. Dalam SI Data diolah atau diproses menjadi informasi yang berguna untuk user tertentu. Sistem Informasi tidak akan berarti tanpa adanya database.

2. Apa perbedaan fundamental antara data dan informasi?
Jawab :
Data adalah fakta – fakta yang masih perlu diobservasi, sedang informasi adalah data yang sudah diolah sehingga bermakna dan bermafaat untuk user tertentu. Jelas bahwa antara data dan informasi adalah berseberangan. Bisa dikatakan bahwa data adalah bahan mentah dan informasi adalah barang jadi setelah dilakukan proses.

3. Apa perbedaan mendasar sistem file dengan database?
Jawab :
Perbedaan
System file Data base
a. Media penyimpanan : hardcopy antara lain kertas, lemari arsip, dan Drektori a. Media penyimpanan : digital antara lain hardisk,cd
b. Integritas : Tidak Ada integrasi data antar file b. Integritas : database mempunyai data yang terpadu dan terintegrasi satu sama lain.
c. System file tidak memerlukan Desain. c. Pada system database memerlukan desain.

4. Apa perbedaan mendasar antara database dengan DBMS?
Jawab :
• Database adalah koleksi terpadu data – data yang saling berkaitan yang dirancang untuk suatu enterprise.
• DBMS adalah koleksi terpadu dari sekumpulan program yang digunakan untuk mengakses dan merawat database.
• Perbedaan mendasar database adalah koleksi data sedangkan DBMS adalah Koleksi Tools/aplikasi yang digunakan untuk operasional Database

5. Apa keterkaitan DBMS dengan Sistem Informasi (SI)?
Jawab :
Sistem Informasi bertujuan menghasilkan Informasi yang bermanfaat bagi user tertentu. Data perlu diolah dan dikelola untuk memperoleh Informasi dengan menggunakan DBMS.

6. Ambil kasus enterprise banking pada sub-sistem ATM banking, apakah ATM system tersebut database, DBMS, atau sistem informasi? Berikan argumentasi saudara!
Jawab :
ATM system adalah system informasi karena sesuai dengan komponen SI yaitu terdapat :
• Brainware : Nasabah
• Software : software yang digunakan untuk mengopersikan system ATM
• Hardware : ada mesin ATMnya
• Netware : mesin ATM terhubung dengan mesin – mesin ATM lain , server pusat bank tersebut ( internal), atau terhubung dengan enterprise lain (eksternal) contoh failitas system ATM untuk membayar telepon, system ATM berhubungan dengan system billingnya TELKOM.
• Dataware : terdapat data nasabah, data transaksi yang bisa dioperasikan mesin ATM.

7. Ambil kasus enterprise hotel, identifkasi data-data yang patut disimpan dalam database hotel untuk mendukung fungsi-fungsi reservasi (booking), fungsi-fungsi check-in, check-out, dan billing, fungsi-fungsi pelayanan kamar!
Jawab :
• Kamar: menyimpan data Kamar (type, kelas,tarif)
• Petugas:Front Office yang melayani tamu di dalam bertransaki reservasi (nama, alamat,no telp)
• Fasilitas_Internal: Konten-Konten yang mendukung (Kolam renang,Café/bar) berisi Nama Layanan, Waktu, namatamu dll
• Transaksi_Reservasi : nama tamu, nama kamar, tanggal cek-in dan tanggal cek-out.
• Billing : nama tamu, nama kamar, layanan tambahan, jumlah bayar

8. Merujuk jawaban soal no 7, berikan contoh informasi yang dapat dibangkitkan dari data-data tersebut untuk kebutuhan fungsi-fungsi hotel yang disebut pada soal no 7. Harus jelas membedakan data dan informasi!!!
Jawab :
• Kamar Type Apa yang sering di gunakan Tamu
• Pada saat Kapan /event apa Hotel Sering dikunjungi tamu.
• Fasilitas apa yang menjadi pavorit tamu
• Rata-rata reservasi perperiode.

9. Jelaskan sebanyak mungkin keuntungan pengelolaan data menggunakan pendekatan DBMS!
Jawab :
a. Data bisa dipakai bersama.
b. Konsisten.
c. Menghilangkan redundancy dan keberagaman data.
d. Ketergantungan data.
e. Data yang secara logic berhubungan terpelihara dengan baik.

10. Jelaskan sebanyak mungkin kerugian pengelolaan data menggunakan pendekatan DBMS!
Jawab :
a. Hardware harus Kuat, terminal yang lebih banyak, alat komunikasi
b. Biaya Performance yang lebih Besar (listrik,Personil yang lebih tinggi klasifikasinya, biaya telekomunikasi antar lokasi.)
c. Rawan terhadap kegagalan (akibat gangguan listrik dan komunikasi)
d. System terlihat lebih kompleks: banyak aspek yang harus diperhatikan.

11. Ulas mengapa permodelan diperlukan dalam pengembangan database dan DBMS?
Jawab :
Permodelan diperlukan dalam pengembangan database dan DBMS, hal ini untuk memilih dan menentukan database dan DBMS mana yang akan lebih cocok digunakan untuk suatu kasus tertentu. Baik dari segi data, performance, hardware, brainware serta biaya.

12. Mengacu pada data management life cycle yang dijelaskan di slide kuliah tahapan mana yang paling kritis? Dan mengapa harus selalu di maintain secara berkelanjutan (life)?
Jawab :
Observing dan indentifying, karena pada tahap ini sering kali terjadi analisa serta identifikasi yang baru muncul saat proses berlangsung, sehingga tahap ini harus selalu di maintain.

13. Merujuk pada soal no 6, 7 dan 8 siapakah yang seharusnya terlibat dalam penentuan aplikasi sistem informasi dan data-data yang diperlukan perusahaan atau enterprise?
Jawab : user yang menggunakan aplikasi tersebut

IT Security & Awareness

UAS
Dosen : Ir. Herman Josep K, M. Kom.,CISA,CISSP,CEI,CEH,EDRP

1. Ceritakan secara singkat perihal Least Priviledge Principle dan contoh2 pengetrapannya.dalam IT Security.
Jawab:
Least Priviledge Principle adalah memberikan hak bagi user sesuai dengan tugasanya masing-masing. Hal ini dilakukan agar tidak terjadi hal-hal yang tidak diinginkan (tindakan akses data tanpa izin).
Contoh :
• Sorang user hanya boleh melakukan input data dan browsing data saja.
• Seorang database administrator hanya berhak mengontrol dan memaintaince database tanpa mempunyai kekuasaan updating(memanipulasi) data.
• Seorang network enginer hanya berhak mengontrol dan memaintenance jaringan saja.

2. Ceritakan pengertian2 berikut: MAC (Mandatory Access Control), DAC ( Discritionary Access Control) dan RBAC ( Role Based Access Control ) dan berikan contoh2nya masing2.
Jawab:
• MAC (Mandatory Access Control) : jenis kontrol akses dimana sistem yang memutuskan bagaimana data akan di akses atau di share atau melakukan beberapa jenis operasi pada obyek. Pada MAC user diklasifikasi berdasarkan level dan lebih aman dibanding DAC
Contoh :
MAC akan mengantisipasi Pengaksesan terhadap File yang rahasia.

• DAC ( Discritionary Access Control) : jenis kontrol akses dimana user yang memutuskan bagaimana user memprotek dan men share datanya, melalui sistem komputer untuk membatasi akses ke suatu objek berdasarkan identitas dan / atau kelompok yang di miliki. Pada DAC user diklasifikasikan berdasarkan kepemilikan atu kelompok.
Contoh :
akses ke program aplikasi / database, share resource.

• RBAC ( Role Based Access Control ) : adalah control aksesyang merupakan alternative baru yang merupakan perpaduan mandatory access control (MAC) dan discretionary access control (DAC). RBAC mengacu pada role based security. RBAC bersifat netral dan merupakan teknologi control akses yang flexible untuk siimulasi DAC dan MAC. Conversely, MAC can simulate RBAC if the role graph is restricted to a tree rather than a partially ordered set. Dalam organisasi, roles dibuat untuk fungsi kerja yang berbeda. Dengan kata lain peran keanggotaan didasarkan pada kompetensi, tugas, dan kewenangan.

3. Dalam pengetrapan Database Security, apa artinya Referential Integrity, Granular Access Control dan Inference Control, jelaskan dan berikan contoh2nya.
Jawab:
• Referential Integrity : adalah integritas/kesatuan data dalam suatu database. Referential integrity ini untuk menghindari proses manipulasi (baik edit maupun hapus data) yang tidak sesuai.
Contohnya :
data-data yang merupakan file master dalam suatu sistem tidak dapat dihapus selama data tersebut digunakan dalam table transaksi. Contoh lain file data header suatu transaksi tidak dapat di hapus selama data detailnya ada dan masih digunakan

• Granular Access Control : adalah kontrol akses terhadap data berdasarkan tugas, wewenang dan fungsi kerja. Seorang user akan dikelompokan dan diberikan akses sesuai dengan tugasnya masing-maisng melalui suatu aturan tertentu.

Contoh :
Bagian penerimaan barang hanya dapat memeasukan data barang yang diterimanya
Bagian SDM hanya dapat mengakses data karyawan/SDM saja
Bagian finance hanya dapat mengakses data finance saja

• Inference Control : adalah kontrol yang berfungsi memproteksi data dari permintaan/pendeteksian tidak langsung. Dengan kata lain menunjukan bahwa seorang user tidak bisa mendapatkan informasi yang melalui beberapa klasifikasi query database secara langsung.

4. Apakah yang anda ketahui perihal LAN Topology? Type2nya dan type mana yang paling mudah mengalami Single Point of Failures?
Jawab :
LAN Topology : adalah bentuk koneksi, pengaturan atau pemetaan dari komponen-komponen jaringan, berupa koneksi fisik dan logic antar komponen tersebut. Pemilihan topologi tergantung pada beberapa faktor, termasuk reliability, expandibility, dan performance.

Type LAN Topology : Point to point, bus/tree, ring, star, mesh
Penjelasan :
• Point to point : topologi berupa hubungan langsung dari satu komputer ke satu computer
• Topologi Bus : pada topologi bus digunakan sebuah kabel tunggal atau kabel pusat di mana seluruh workstation dan server dihubungkan.

Keunggulan Kelemahan
pengembangan jaringan atau penambahan workstation baru dapat dilakukan dengan mudah tanpa mengganggu workstation lain bila terdapat gangguan di sepanjang kabel pusat maka keseluruhan jaringan akan mengalami gangguan
• Mudah dikembangkan
• Jarak LAN yang tidak terbatas
• Keterhandalan yang tinggi
• Kecepatan pengiriman yang tinggi
• Jumlah terminal dapat berkurang atau bertambah tanpa mengganggu operasional jaringan
• Tidak diperlukan pengendali pusat
• Kondusif untuk koneksi antar tingkat didalam sebuah gedung • Jika lalu lintas data terlalu tinggi dapat terjadi kemacetan data
• Diperlukan repeater untuk memperkuat sinyal pada transmisi dengan jarak yang jauh.
• Operasional jaringan LAN bergantung pada setiap terminal.


Gambar Topologi Bus

• Topologi Ring, dalam topologi ring semua workstation dan server dihubungkan sehingga terbentuk suatu pola lingkaran atau cincin. Tiap workstation ataupun server akan menerima dan melewatkan informasi dari satu komputer ke komputer lain.

Keunggulan Kelemahan
tidak terjadinya collision atau tabrakan pengiriman data seperti pada topologi Bus, karena hanya satu node dapat mengirimkan data pada suatu saat setiap node dalam jaringan akan selalu ikut serta mengelola informasi yang dilewatkan dalam jaringan, sehingga bila terdapat gangguan di suatu node maka seluruh jaringan akan terganggu
• Laju transfer data tinggi
• Dapat melayani lalu lintas data yang padat/tinggi
• Dapat melayani berbagai media pengirim
• Waktu akses data optimal • Penambahan atau pengurangan terminal sangat sulit
• Kerusakan pada media pengirim dapat menghentikan kerja keseluruhan jaringan
• Harus ada metode mendeteksi kesalahan dan pengisolasian kerusakan
• Kerusakan salah satu terminal mengakibatkan kelumpuhan keseluruhan jaringan


Gambar Topologi Ring

• Topologi Star, pada topologi star, masing-masing workstation dihubungkan secara langsung ke server atau hub.
Keunggulan Kelemahan
dapat meningkatkan unjuk kerja jaringan secara keseluruhan kebutuhan kabel yang lebih besar dibandingkan dengan topologi lainnya
• Keterhandalan paling tinggi
• Mudah dikembangkan
• Keamanan data tinggi
• Kemudahan akses ke jaringan yang lain • Lalu lintas data dapat menyebabkan jaringan menjadi lambat
• Jaringan tergantung pada terminal pusat


Gambar Topologi Star

Yang paling mudah mengalami Single Point of Failures adalah Topology Ring, karena setiap node dalam jaringan akan selalu ikut serta mengelola informasi yang dilewatkan dalam jaringan, sehingga bila terdapat gangguan di suatu node maka seluruh jaringan akan terganggu

5. Apakah yang anda ketahui perihal Message Authentication? Berikan contohnya dan jelaskan step2nya.
Jawab :
Message Authentication adalah autentikasi pesan yang menyatakan keaslian suatu pesan.
Langkah-langkahnya adalah sebagai berikut : pertama transmisi pesan dari satu perangkat ke perangkat kedua; transmisi pesan kedua dari perangkat kedua ke perangkat yang pertama, pesan kedua termasuk kode pesan otentikasi , yang ditentukan menggunakan kata pertama dan kedua dari pesan; transmisi pesan ketiga dari perangkat pertama ke perangkat yang kedua, ketiga pesan termasuk kode pesan otentikasi ditentukan menggunakan pesan ketiga. kode Pesan otentikasi yang ketiga menjadi dasar pada pesan kedua atau pesan kedua dan pertama.

6. Bila suatu password terdiri atas alphabetic character saja, dan terdiri atas 8 characters, berapa lama diperlukan untuk brute force attack dengan menggunakan CPU power sebesar 10 MIPS (Millions Instructions Per Second), bila dianggap setiap trial butuh 2 instuctions CPU?
Jawab :
Diketahui:
a. Upper Case = 26 karakter
b. Lower Case = 26 karakter
c. Jadi jumlah kombinasi = 52 karakter (Lower Case + Upper case)
d. Panjang karakter = 8 karakter
e. Trial = 2 Instruksi
f. Power CPU = 10 Mps

Ditanya :
berapa lama diperlukan untuk brute force attack ?

Jawab :
• Jumlah karakter dengan panjang 8 karakter = 52 8 = 53.459.728.531.456 Karakter
• Dengan trial 2 instruksi = 53.459.728.531.456 x 2 = 106.919.457.062.912 Karakter
• CPU power 10 Mbps = 106.919.457.062.912 / 10000000 = 10.691.945,71 detik
Sama dengan 2.969,985 jam

7. Ceritakan langkah2 yang perlu dilakukan oleh sender dan receiver dari pengiriman suatu message yang besar ( 10 ribu characters) yang bersifat NON-Confidential dan melalui Internet, dengan menggunakan digital signature dan sebagainya supaya mencegah non-repudiation dan memastikan bahwa message integitynya?
Diketahui :
Besar message = 10 ribu karakter, sifat : rahasia
Transmisi menggunakan internet dengan menggunakan digital signature
Soal :
Langkah langkah yang perlu dilakukan oleh sender dan receiver dari pengiriman supaya mencegah non-reputation dan memastikan bahwa message integritynya dan confidentialitynya :

Jawaban :
Karena ukuran messagenya besar, termasuka didalamnya ada autentikasi dengan digital signature dan ditransmisikan melalui internet maka metodeyang cocok adalah dengan menggunakan kombinasi public dan symmetric key cryptography.
Langkah langkahnya adalah sebagai berikut :
• Pengirim mengirim sebuah dokumen message berbentuk plaintext
• Kemudian lakukan enkripsi dengan method public key – dihasilkan ciphertext
• Ciphertext ini lalu ditransmisikan melalui internet.
• Si penerima menerima dokumen message dalam bentuk ciphertext
Kemudian dokumen message ciphertext tersebut di dekripsi menggunakan symmetric session key, dan kembali menjadi plaintext, dan dapat di baca oleh penerima.

8. Bila suatu perusahaan Departemen IT nya, menggunakan LAN dan bisa access ke Internet, apa alasannya semua users dilarang connect ke Internet lewat MODEM langsung?
Jawab :
Alasan semua users dilarang connect ke Internet lewat MODEM langsung :
Alasan keamanan sistem dan data, efektifitas koneksi dengan penggunaan ICS, penghematan biaya untuk pembelian modem, serta kontrol akses dan batasan koneksi internet bagi para user/karyawan. Penjelasan :
• Keamanan komputer, karena koneksi ke internet banyak sekali celah yang mengancam keamanan komputer, baik sistem maupun data, dari mulai hacker, virus, worm, trojan, sehingga jika langsung terkoneksi modem khawatir akan mengancam keamanan masing-masing komputer. Dengan hanya 1 komputer server yang terkoneksi melalui modem ke internet, maka dapat memfilter ancaman-ancaman terhadap keamanan sistem dan data, misanya dengan mengaktifkan filewall dan antispyware.
• Internet Sharing Connection, dengan koneksi modem hanya satu komputer, maka komputer lain dapat melakukan akses dengan sharing koneksi internet dari komputer server. Ini berarti hanya dibutuhkan satu modem, dan satu line koneksi komunikasi internet (misal line telepon), hal ini juga akan menghemat biaya dan dapat dilakukan kontrol dan batasan terhadap akses internet oleh user lain, jangan sampai dengan adanya konekeksi internet malah mengganggu kinerja pekerjaan pokok tiap user.

9. Ceritakan perihal perusahaan dimana anda kini bekerja, nama entitinya, mission dan Goals dan vision perusahaan, dan berikan contoh masing2 dari strategic planning, tactical planning dan operational planningnya masing2 utk IT Deparmentnya, dan contoh IT policynya dan berikan pula List dari Vulnerabilities, Threads atau Thread Agents dan katagory dari Risknya, berdasarkan Quantitative Risk Analysis.
Vulnerabilities Hal 251
Risk hal hal 276
Thread agents
Jawab :
Saya bekerja di STMIK Bani Saleh sebagai staf Program Studi. Disini saya akan sampaikan dari sisi puskom mengenai IT-nya.
• Nama entitinya : Puskom STMIK Bani Saleh
• Visi : IT sebagai modal utama dalam mengembangkan sistem informasi
• Misi : Membangun sistem informasi yang kredible dan akurat
• Goals : sistem informasi yang kredible, akurat dan integrated


• Strategic planning :
• Membangun infrastruktur baik software maupun hardware yang mampu melayani kepentingan customer (mahasiswa, dosen, staf)
• Membangun sistem informasi yang terintegrasi
• Tactic planning :
• Memperbaiki kemampuan perangkat (hardware & software yang ada)
• Membuat network security
• Melengkapi sistem informasi yang belum ada
• Operational planning :
• Pelatihan user
• Contoh IT policy :
• Authorisasi User (level mahasiswa, dosen, staf)
• Confidentiality
• Integrity (konsistensi data mahasiswa, dosen dan HRD
• List dari Vulnerabilities :
• Penyusupan mahasiswa atau dosen terhadap data
• Virus-virus
• Threads atau Thread Agents :
• Hambatan manajemen (kurang proaktif)
• Hambatan eksternal
• Software dan hardware (Sistem kemananan fisik belum memadai, seperti UPS) dan usia hardware yang rata-rata sudah lama.
• katagory dari Risknya berdasarkan Quantitative Risk Analysis :
jika dilihat dari QRA, kategori risknya adalah sulit melakukan koordinasi, pengerjaan sistem informasi
tepat waktu dan terbentur biaya serta SOP yang belum jelas.

10. Mengapa 100% Quantitative analysis tak mungkin dilakukan dalam hal utk IT Assets?
Jawab :
100% Quantitative analysis tak mungkin dilakukan dalam hal utk IT Assets, karena :
Dalam IT asset, tidak dapat dilakukan penghematan biaya dan efektifitas yang lebih. Sehingga ini yang menyebabkan tidak semuanya bisa dilakukan dalam IT asset.

Summary IT Security Chap 10-14

Dosen : Ir. Herman Josep K, M. Kom.,CISA,CISSP,CEI,CEH,EDRP

Perencanaan Kontinyuitas Bisnis

Pendahuluan :
• Problem - Reasons untuk BCP
• Prinsip BCP
• Melakukan BCP

Definisi :
• Sebuah rencana darurat :
• “Sebuah rencana untuk respon darurat, operasi backup, dan pemulihan bencana/kecelakaan-pos dirawat oleh satu aktivitas sebagai sebuah bagian dari program keamanan nya dimana akan memastikan ketersediaan [dari] sumber-sumber daya kritis serta memberikan fasilitas kontinyuitas [dari] operasi dalam satu situasi darurat…”
• (Computer Nasional Security Center 1988)
• Tahun 1997-1998 survey menunjukan bahwa >35% dari perusahaan tidak mempunyai rencana

Definisi dari BCP
BCP dapat didefinisikan sebagai berikut :
• Recovery Bencana/kecelakaan
• Perencanaan Kontinyuitas Bisnis
• Perencanaan Recovery End user
• Ketidaktentuan Planning
• Response darurat
• Manajemen krisis

Gol-nya adalah membantu organisasi/bisnis untuk melanjutkan fungsi walaupun operasi normal terganggu
Langkah-langkahnya meliputi :
– Sebelum gangguan
– Selama gangguan
– Setelah gangguan

Alasan BCP
• lebih baik untuk merencanakan aktivitas-aktivitas sebelum waktu ditetapkan dari pada bereaksi ketika waktunya tiba, yaiut dengan melakukan :
• Pertahankan operasi bisnis
• Efek terhadap pelanggan
• Ketentuan hukum

Definisi terkait BCP :
• Hak Care
– praktek minimum dan perlindungan terhadap tanggungjawab proteksi asset yang merefleksikan satu komunitas atau norma bermasyarakat
• Penelitian
– manajemen dan eksekusi bijaksana kepedulian hak

Problem pada BCP :
• Kegagalan Kegunaan
• Pengganggu
• Api/Asap
• Air
• Bencana alam (gempabumi, salju/salam/es, kilat, angin topan)
• Panas/Kelembaban
• Pancaran Elektromagnetik
• Aktivitas Tidak bersahabat
• Kegagalan Teknologi

Disaster saat ini :
• Pengeboman, ‘95 Oklahoma City
• Gempabumi, ‘95 Kobe, JP
• Api, ‘97 Iron Mountain Record Center, Brunswick, NJ
• Tenaga, ‘99 pantai East panas/[musim] kering brownouts
• Banjir, ‘97 banjir Midwest
• Badai, ‘98 angin topan Florida
• Perangkat keras/Perangkat lunak, Tahun 2000

Ancaman :
• Dari Data Pro melaporkan bahwa :
– Error & penghilangan 50%
– Api, air, elektrik 25%
– Karyawan Tak jujur 10%
– Karyawan Tidak puas 10%
– Ancaman Orang luar 5%

Control
• Paling tidak Privilege
– Keamanan Informasi
• Pemborosan
– Backup data
– Peralatan alternatif
– Komunikasi alternatif
– Fasilitas alternatif
– Personil alternatif
– Prosedur-prosedur alternatif

Step dalam satu BCP-Initation
• Memproyeksikan inisiasi
• Berdampak pada Assessment (Berdampak pada Analysis/Sifat mudah kena luka Assessment/Negara Bagian Saat ini Assessment/Mengambil resiko Assessment)
• Mengambil resiko Assessment/Analisa
• Kunci

Definisi
• Ancaman : peristiwa apapun mana bisa mempunyai satu dampak tidak diinginkan
• Vulnerability : ketidakhadiran atau kelemahan satu mengambil resiko-mengurangi melindungi, potensial untuk memungkinkan suatu ancaman untuk terjadi dengan lebih besar frekuensi, lebih besar dampak, atau keduanya
• Resiko
• Analisis risiko Kuantitatif
• Analisis risiko Kualitatif
• Analisis risiko adalah melakukan sebagai sebuah malaran dari secara penuh kualitatif ke/pada lebih sedikit dari penuh kuantitatif

Hasil
• Kerugian berdampak pada analisa
• Bingkai Waktu pulih
• Prioritas pemulihan merekomendasikan & strategi
• Gol
– Memahami ekonomi & dampak operasional
– Tentukan bingkai waktu pulih (bisnis/DP/Jaringan)
– Mengidentifikasikan strategi paling sesuai
– Harga/mengisolasi perencanaan pemulihan
– Meliputi BCP di/dalam proses pengambilan-keputusan normal

Manajemen resiko Team
• Manajemen - Support
• DP Operations
• Sistem Programming
• Audit internal
• Security Fisik
• Pemilik Aplikasi
• Programmer Aplikasi

Ancaman
• Akses tidak syah
• Kegagalan Perangkat keras
• Kegagalan Kegunaan
• Bencana alam
• Tingkat kerugian personil kunci
• Error Manusia
• Bahaya Lingkungan
• Merusakkan
• Karyawan Tidak puas
• Pancaran
• Keselamatan
• Tidak pantas penggunaan teknologi
• Pengulangan [dari] error
• Penggandengan [dari] error
• Pemrosesan Tidak masuk akal
• Translasi [dari] kebutuhan pemakai (persyaratan teknis)
• Ketidak-mampuan untuk mengendalikan teknologi
• Kegagalan Peralatan
• Salah masuknya data
• Konsentrasi [dari] data
• Ketidak-mampuan untuk bereaksi dengan cepat
• Ketidak-mampuan untuk memperkuat pemrosesan
• Konsentrasi [dari] tanggung-jawab
• Salah/data memalsukan
• Penggunaan dengan cara salah
• Akses sistem Tak terkendalikan
• Keamanan aplikasi Tidak efektip
• Kesalahan prosedur operasi
• Mem-program error
• Kekurangan Sistem operasi
• Kegagalan sistem komunikasi
• Kegagalan Kegunaan

Langkah-langkah analisis risiko :
• 1 - Identify penting fungsi bisnis
• 2 - rencana pemulihan Establish parameter
• 3 - Gather berdampak pada data/Analisa Ancaman
• 4 - Analyze dan meringkas

Nilai Informasi
• Informasi memerlukan biaya/nilai
• Apakah biaya/nilai memperkirakan untuk
– Harga/analisa manfaat
– Integrasikan keamanan di/dalam sistem
– Hindari hukuman
– Informasi kepemilikan cagar alam
– Kontinyuitas Bisnis
• Keadaan mempengaruhi pemilihan waktu valuasi
• Kewajiban Etis perangkat (tools) yang untuk menggunakan dapat dipertimbangkan/teknik

Kondisi dari value
• Pemilikan Eksklusif
• Kegunaan
• Biaya kreasi/rekreasi
• Liabilitas
• Konvertibilitas/negotiability
• Dampak Operasional
• Kekuatan pasar
• Nilai Resmi
• Opini Pakar/penilaian
• Perjanjian bilateral/kontrak

Skenario
• Sebuah ancaman spesifik (peristiwa potensial/tindakan) dimana asset adalah tunduk kepada kerugian
• Menulis skenario untuk setiap ancaman utama
• Kredibilitas/review fungsionalitas
• Mengevaluasi arus melindungi
• Membereskan/Lelah/habis
• Siapkan penemuan

Steps dalam satu BCP - 2
• Strategi Development (Alternatif Selection)
• Implementasi (Rencanakan Development)
• Mengambil resiko Prevention/Peringanan
• Pengambilan-keputusan

Measures Mengenai perbaikan
• Ubah lingkungan
• Mendirikan penghalang
• Tingkatkan prosedur-prosedur
• Pendeteksian Awal
• Rencana darurat
• Penugasan/penentuan resiko (asuransi)
• Perjanjian
• Penimbunan barang
• Penerimaan resiko
• Api
• Air
• Elektrik
• Lingkungan
• Kerumah-tanggaan
• Prosedur-prosedur Backup
• Keadaan darurat menanggapi prosedur-prosedur
• Rencanakan Development
– Tetapkan sumber-sumber daya perlu untuk pemulihan
– Tim-mendasarkan
– Rencana pemulihan
– Tahap Peringanan
– Rencana pengujian
– Disiapkan oleh itu yang akan membawa mereka keluar

Tercakup di satu BCP
• Tempat penyimpanan terlepas dari-lokasi
• Lokasi alternatif
• Pemrosesan Backup
• Tempat penyimpanan terlepas dari-lokasi
• Komunikasi
• Ruang/spasi pekerjaan
• Peralatan kantor/suplai/dokumentasi
• Keamanan
• Proses bisnis Kritis/Manajemen
• Pengujian
• Vendor - Contact info, perjanjian
• Tim - Contact info, transportasi
• Kembali ke operasi normal
• Sumber-sumber daya perlu

Komplikasi
• Media/Polisi/Publik
• Keluarga
• Penipuan
• Merampas/Sifat suka merusak
• Keselamatan/Isu Hukum
• Biaya/Persetujuan

Steps dalam satu BCP – Finally
• Rencanakan Testing
• Test
• Mengubah Site Test
• Mengaktifkan keadaan darurat mengendalikan pusat
• Memberitahu & mengerahkan personil
• Memberitahu vendor
• Pickup/seadanya dan pengangkutan
• Pasang (install) (Dingin dan lokasi Warm)
• IPL
• Memverifikasi
• Dijalankan
• Menutup/Menyapu bersih
• Dokumen/Laporan
• Rencanakan Update dan Retest beredar (Rencanakan Maintenance)

Tahapan-tahapan BCP :
• Inisiasi
• Arus menyatakan pengkajian
• Kembangkan dukungan proses
• Pelatihan
• Berdampak pada Assessment
• Pemilihan Alternatif
• Pengembangan Rencana pemulihan
• Pengembangan rencana kontinyuitas Dukungan pelayanan
• Konsolidasi Rancangan induk
• Pengembangan strategi pengujian
• Rencana transisi transisi pos pengembangan
• Perencanaan Implementasi
• Hits Cepat
• Implementasi, pengujian, pemeliharaan

End user Planning
• DP adalah kritis ke/pada end user
• Sulit prosedur-prosedur yang untuk menggunakan manual
• Pemulihan adalah kompleks
• Perlu untuk merencanakan


Langkah-langkah dalam satu Incident
• Bencana/kecelakaan
• Awal respon
• Pengkajian dampak
• Bencana/kecelakaan
• Awal pemulihan
• Bencana/kecelakaan
• Awal respon
• Pengkajian dampak
• Awal pemulihan
• Kembali ke normal/Penerusan Bisnis

Cases Khusus
• Y2K

Thoughts Akhir
• Apakah anda benar-benar ingin mengaktifkan satu DR/Rencana BCP?
– Pencegahan
– Perencanaan

Recovery Point Objective (RPO)
RPO menjelaskan jumlah data yang dapat diukur pada waktu kerugian.
RPO adalah titik waktu yang harus kembali data yang ditetapkan oleh organisasi Anda.
Hal ini umumnya definisi dari apa yang menentukan suatu organisasi adalah "kerugian yang dapat diterima" dalam situasi bencana.
Jika RPO dari perusahaan hanya 2 jam dan waktu yang diperlukan untuk mendapatkan data kembali ke dalam produksi adalah 5 jam, RPO masih 2 jam. Berdasarkan data ini RPO harus dikembalikan ke dalam waktu 2 jam dari bencana.

The Recovery Time Objective (RTO)
RTO adalah durasi waktu dan layanan tingkat dalam proses bisnis yang harus dikembalikan setelah bencana (atau gangguan) agar tidak dapat diterima konsekuensi yang terkait dengan istirahat dalam usaha.
Termasuk waktu untuk mencoba memecahkan masalah tanpa pemulihan, pemulihan itu sendiri, tes dan komunikasi dengan pengguna. Keputusan waktu bagi pengguna tidak disertakan.

Usaha kontinuitas waktu biasanya berjalan paralel dengan manajemen waktu kejadian dan mulai pada saat yang sama, atau berbeda, poin.

Perlu dicatat bahwa RTO attaches kepada proses bisnis dan sumber daya yang tidak diperlukan untuk mendukung proses.

Penting untuk diingat bahwa "O" di RTO berdiri untuk tujuan, bukan amanat. Dalam kenyataannya, adalah strategi yang akan dipilih sering tidak memenuhi RTO. Dalam hal ini RTO tidak akan bertemu, tetapi seharusnya masih tetap merupakan tujuan masa depan strategi revisi


KEAMANAN JARINGAN

OSI Reference Model
• Sistem terbuka Interconnection Reference Model
• Segalanya diperlukan adalah melindungi/menutupi oleh model OSI
• Tetap membentak pikiran untuk istirahat tentu saja
• Semua lapisan untuk diselidiki secara lebih detil

Diagram model OSI



Aliran data




LAN Topologies
• Star
• Bus
• Tree
• Ring

Topology Star
• Contoh pengunakan kabel telepon
• mudahkan dipelihara

Topology Bus
• satu kabel menjadi basic dari banyak device
• dapat menjadi satu konfigurasi “mata rantai”

Topology Tree
• perluasan [dari] bus dan topologi star
• Pohon tidak mempunyai pengulangan/jerat tertutup

Topology Ring
• Jalur tertutup yang Kontinyu antara device
• Sebuah cincin/arena logis adalah biasanya satu bintang fisik
• Jangan mengacaukan topologi logis dan fisik














Metode akses LAN
• Carrier Sense Multiple Access with Collision Detection (CSMA/CD)
– Berbicara ketika tidak ada lain sedang berbicara
• Token
– Berbicara ketika anda mempunyai tanda
• Slotted
– Serupa dengan token, berbicara dalam membebaskan “slot”

LAN Signaling Types
• Baseband : sinyal digital, bit serial aliran (stream)
• Broadband : sinyal analog, contoh : teknologi TV kabel

Fiber Distributed Data Interface (FDDI)
• Konter Rangkap ring berputar
• Menggunakan passing token
• Secara logika dan secara fisik satu cincin
• aturan ANSI

WAN
• WAN menghubungkan LAN
• Secara umum satu data link
• link dari Regional Bell Operating Companies (RBOCs) atau Post, Telepon, dan Telegraph (PTT) agensi
• Hubungan WAN berisi Data Terminal Equipment (DTE) di atas/terhadap sisi pemakai dan Data Circuit-Terminating Equipment (DCE) pada/di penyedia WAN berakhir
• MAN - Metropolitan Area Network

Kelas IP Adress
• Kelas A menggunakan 1 oktet untuk jaringan
• Kelas B menggunakan 2 oktet untuk jaringan
• Kelas C menggunakan 3 oktet untuk jaringan
• Kelas D adalah digunakan untuk multicast pengalamatan

Kelas A
• Digunakan dalam satu antar-jaringan itu mempunyai beberapa jaringan dan sejumlah besar 'host'
• 24 bit
• Sampai dengan 128 Class Domains
• Sampai dengan 16,777,216 host setiap domain

Kelas B
• Digunakan untuk sejumlah jaringan mempunyai sejumlah 'host'
• 16 bit
• 16384 Class B Domains
• Sampai dengan 65536 host setiap domain

Kelas C
• Digunakan untuk jaringan mempunyai satu sejumlah 'host' kecil
• 8 bit
• Sampai dengan 2,097,152 Class Domains
• Sampai dengan 256 host setiap domain

IP Addresses
• Sebuah alamat host menghadapi dari semua orang-orang adalah satu siaran
• Sebuah alamat host menghadapi dari nol berarti kawat diri sendiri
• host ini selalu dipesan dan tidak pernah dapat digunakan

Subnets & Subnet Masks
• Setiap 'host' di atas jaringan (, misalnya. segmen kabel sama) harus mengatur dengan ID subnet sama.
• Komposisi music 8 suara pertama di atas/terhadap kelas A menghadapi
• Pertama & komposisi music 8 suara kedua di atas/terhadap kelas B menghadapi
• Pertama, detik, & komposisi music 8 suara ketiga di atas/terhadap kelas C menghadapi
• A Subnet Mask (Netmask) adalah satu bit mempola [yang] mendefinisikan [yang] bagian 32 bit merepresentasikan satu subnet menghadapi.
• Divais Jaringan menggunakan subnet menyembunyikan untuk mengidentifikasikan bagian mana dari alamat adalah jaringan dan bagian mana adalah 'host'


OSI Reference Model Protocol Mapping
Jaringan-level Protocols
• IPX (Internet Packet Exchange protokol)
• Novell Netware & lain
• 'Works' dengan protokol Session-layer SPX (Percontohan Packet Exchange Protocol)
• NETBEUI (NetBIOS Extended User Interface)
• Windows untuk Workgroups & Windows NT
• IP ('Internet Protocol')
• Memenangkan NT, Kemenangan 95, Unix, dan lain-lain…
• 'Works' dengan protokol Transport-layer TCP ('Transmission Control Protocol') dan UDP (Pemakai Datagram Protocol)
• SLIP (Serial-berjajar sepanjang Input Protocol) & PPP (Point-to-Point Protocol)

TCP/IP
• Terdiri dari satu deretan [dari] protokol (TCP & IP)
• Data 'handle' dalam bentuk paket
– Simpan jalur [dari] paket [yang] mungkin menjadi Rusak, Dirusakkan, Kehilangan
• Sediakan konektivitas universal
• Services Primer (aplikasi) menggunakan TCP/IP (FTP, Telnet, SMTP)
• Sekarang ini protokol paling banyak digunakan (terutama di Internet)
• Gunakan skema 'alamat IP'

Aplikasi-level Protocols
• FTP (File Transfer Protocol)
• TFTP (File Transfer Protocol Sepele)
– Digunakan oleh beberapa sistem x-terminal
• HTTP (HyperText Transfer Protocol)
• SNMP (Network Sederhana Management Protocol
– Membantu para manajer jaringan menempatkan dan mengoreksi permasalahan dalam satu TCP/Jaringan IP
– Digunakan untuk meningkatkan informasi dari divais jaringan seperti gelar ningrat [dari] paket menerima dan tabel penaklukan
• SMTP (Mail Sederhana Transfer Protocol)
– Digunakan oleh banyak aplikasi surat elektronik (email)

Identifikasi & Pengesahan
• Mengidentifikasikan who are menghubungkan - userid
• Buktikan keaslian who are menghubungkan
– kata sandi (statis) - sesuatu yang anda tahu
– tanda (SecureID) - sesuatu anda mempunyai
– biometric - sesuatu anda
– RADIUS, TACACS, BUBUR, CELAH/PENGIKUT

Firewall Terms
• Jaringan menghadapi translasi (NAT)
• DMZ - De-Militarized Zone
• ACL - 'Access' Control List
• Mencekik, Mencekik router
• Gerbang, Tuan rumah (host) Baluarti/ benteng, Homed Rangkap Host
• 'proxy server'

Jenis Firewall
• Router paket-menyaring
• Tuan rumah (host) menyaring
• Subnet menyaring (DMZ)

Mekanisme Firewall
• 'proxy server'
• Stateful Inspection

Penggangguan Detection (ID)
• 'host' atau jaringan mendasarkan
• Konteks dan isi monitoring
• Diposisikan pada/di batasan-batasan jaringan
• Pada dasarnya satu sniffer dengan kemampuan untuk mendeteksi pola lalu lintas dikenal sebagai serangan tandatangan

Web (jaringan laba-laba) Security
• Mengamankan stop kontak Layer (SSL)
• Mengamankan Hypertext Transfer Protocol (S-http)
• Mengamankan transaksi secara elektronik (DITETAPKAN)

IPSEC
• IP Security

Attacks Umum
• Bagian ini mencakup hacker umum menyerang
• Tidak usah untuk memahami mereka seluruhnya, diperlukan mampu untuk mengenali nama dan pendapat dasar

Spoofing
• TCP Sequence menomori ramalan
• UDP - sepele ke/pada lelucon (CL)
• DNS - lelucon/memanipulasi IP/hostname
• Sumber Routing

Sniffing
• Serangan Pasif
• Monitor “kawat” untuk semua lalu lintas - paling efektif dalam jaringan media dibagi bersama
• Sniffers digunakan untuk adalah “perangkat keras”, saat ini adalah satu perangkat (tool) perangkat lunak standar

Sesi Hijacking
• Gunakan sniffer untuk mendeteksi sesi, menjadi sesi bersangkutan info (nomor urutan, 'alamat-alamat IP')
• Dengan aktif menyemprot/menyuntik paket, spoofing sisi klien [dari] koneksi, mengambil alih sesi dengan server
• Membypass I&Sebuah kontrol
• Enkripsi adalah satu tindakan balasan, inspeksi stateful mungkin menjadi satu tindakan balasan

IP Fragmentation
• Gunakan pilihan pemecahan menjadi kepingan dalam bagian awal (header) IP untuk memaksa data dalam paket untuk ditulis kembali atas/ketika reassembly
• Digunakan untuk berbelit-belit filter paket

ID Attacks
• Penyisipan Attacks
• Pengelakan Attacks

Syn Floods
• Ingat jabatan tangan TCP?
• Kirimkan banyak Syns
• Jangan mengirimkan Acks
• Korban mempunyai banyak membuka koneksi, tidak bisa menerima koneksi yang lagi datang
• Pengingkaran [dari] Service

Telekomunikasi/'Access' Jarak jauh Security
• Garis 'dial-up' adalah favorit hacker targetkan
• PBX adalah satu favorit phreaker targetkan

'Access' Jarak jauh Security
• SLIP - Serial Line 'Internet Protocol'
• PPP – Point to Point Protocol
• PAP - pengesahan Password protokol
• CHAP - Challenge Handshake Auth. Prot.
• TACACS, TACACS+
• Radius


Private Virtual Networks
• PPTP - Point to Point Tunneling Protocol
– Microsoft men-standar-kan
– menciptakan VPN untuk para pemakai dial-up untuk meng-akses Intranet
• SSH - Secure Shell
– memungkinkan sesi meng-enkripsi, berkas (file) men-transfer
– mungkin menjadi digunakan sebagai satu VPN

RAID
• Redundant Array of Inexpensive(or Independent) Disks - 7 levels
– Level 0 - Data striping (blok sebaran masing-masing berkas (file) melintasi berbagai disk)
– Level 1 - pencerminan disk provides
– Level 3 - Sama seperti 0, tetapi menambahkan satu disk untuk koreksi error
– Level 5 - Data striping pada/di byte level, koreksi error juga

Pemrograman Object Oriented-Java

Dosen : Dr. Rufman Iman A, M.Kom.

//Contoh Program membuat event pada button

import java.awt.*;
import java.awt.event. *;


public class event1 {
private Frame fr1;
private Button btn1;
private Button btn2;
private Button btn3;
private Label lbl1;
private TextField text1;

public event1() {
fr1 = new Frame("Tugas OOP - Java Programming");
btn1 = new Button("BIRU");
btn2 = new Button("HIJAU");
btn3 = new Button("MERAH");
lbl1 = new Label("Label1" );
}

public void launchFrame( ){
btn1.addActionListener (new ActionListener( ){

public void actionPerformed( ActionEvent e) {
lbl1.setText("Tulisan Ini Berwarna BIRU");
lbl1.setForeground(Color.blue);
lbl1.getText();
}
});
btn2.addActionListener (new ActionListener( ){
public void actionPerformed( ActionEvent e) {
lbl1.setText("Tulisan ini berwarna HIJAU");
lbl1.setForeground(Color.GREEN);
lbl1.getText();
}
});

btn3.addActionListener (new ActionListener( ){
public void actionPerformed( ActionEvent e) {
lbl1.setText("Tulisan ini berwarna MERAH");
lbl1.setForeground(Color.RED);
lbl1.getText();
}
});

btn1.setSize(50, 30);
btn2.setSize(50, 30);
btn3.setSize(50, 30);
lbl1.setSize(50, 30);

fr1.add(btn1).setBounds( 100, 50, 100, 50);
fr1.add(btn2).setBounds( 220, 50, 100, 50);
fr1.add(btn3).setBounds( 340, 50, 100, 50);
fr1.add(lbl1).setBounds( 360, 50, 100, 50);

fr1.pack();
fr1.setSize(500, 300);
fr1.setVisible( true);
}

public static void main(String[ ] args){
event1 guiApp = new event1() ;
guiApp.launchFrame( );
}
}

Output :

Manajemen Proyek IT

Dosen : Prof. (R.) Drs. Nazir Harjianto, M.Sc., MA

1. Bagaimana Model Proyek Pengelolaan Teknologi Informasi yang harus memperhatikan ke tiga issue dalam proyek yaitu Teknologi (THIO), organisasi dan bisnis, agar pengelolaan tersebut dapat mencapai kesuksesan proyek dan keunikan proyek? Mohon diberi contoh tiap issue tersebut!
Jawaban :
Model proyek pengelolaan TI yang memperhatikan Teknologi (THIO) agar kesuksesan dan keunikan proyek tercapai : model proyek yang harus memperhatikan kemampuan/kapasitas alat, kemampuan manusianya, informasi dan pengelolaan yaitu dengan memperhatikan kemampuan dari semua itu, mulai dari alat, maintenance, hasil produksi sampai dengan pengelolaan nya. Sehingga dengan demikian proyek akan terselesaikan dengan baik dan unik. Contohnya : Pengelolaan TI dengan software monitoring dan mendata teknologi (THIO)
Model proyek pengelolaan TI yang memperhatikan organisasi agar kesuksesan dan keunikan proyek tercapai : organisasi sebagai pelaksana / pengelola proyek pun harus dikelola dengan baik, karena dengan memperhatikan organisasi, maka proyek dapat selesai sesuai target dan dapat menghasilkan proyek yang unik.
Contohnya : Pengelolaan dalam hal TI yang langsung berhubungan dengan organisasi, misalnya TI untuk system kepegawaian, system penggajian, dll.
Model proyek pengelolaan TI yang memperhatikan bisnis agar kesuksesan dan keunikan proyek tercapai : yaitu dengan melakukan analisa bisnis baik dari lingkungan internal maupun eksternal, sehingga dengan demikian factor bisnis dapat dimonitoring.
Contohnya : dengan pengelolaan TI mengarah kepada aplikasi analisa kondisi internal, transaksi dan kondisi eksternal, dengan demikian proyek dapat sukses dan kunikannya tercapai.

2. Seperti halnya organisasi, maka individu juga memerlukan dukungan teknologi informasi (TI), dengan demikian jenis TI baru yang diarahkan untuk individu menjadi lebih terkenal dan populer. Hal tersebut disebut “peer-to-peer computing” (P2P), yang merupakan pilihan anda dan perlu anda pertimbangkan untuk mengelola personal knowledge anda, termasuk sharing resources dan komunikasi di antara individual computers. Mohon dijelaskan hal tersebut termasuk sharing dari apa saja dan mohon diberi contoh!
Jawaban :
Penjelasan : memang benar seorang individu juga memerlukan dukungan TI agar orang tersebut menjadi lebih terkenal dan lebih popular, Hal ini terjadi karena setiap individu memerlukan orang lain untuk hidup, sharing knowledge, komunikasi dan memenuhi kebutuhan serta mengisi kekurangan-kekurangan dirinya (sifat dasar manusia) untuk mencapai tujuannya, diantaranya adalah untuk tujuan bisnis dan komunitas.
Sharing knowledge disini banyak sekali bentuknya, mulai sharing iptek, pengalaman, pekerjaan, kesehatan, problem solving dll.
Contoh : Seseorang memiliki kemampuan IT, dari kemampuan IT yang dimilikinya tersebut orang itu merasa :
• Memiliki kekurangan akan pengetahuan IT
• Memiliki kelebihan pengetahuan
• Ingin tahu pendapat orang lain tentang apa yang diketahuinya
• Ingin menunjukan bahwa dia bisa
• Promosi bisnis bahwa dia dapat mengerjakan proyek IT
• Ingin menjadi terkenal dan menjadi source knowledge bagi orang lain

Maka untuk itu ia ingin melakukan sharing knowledge dengan cara memanfaatkan teknologi IT untuk mencapai tujuannya tersebut, yaitu dengan cara membuat web site, dan ikut komunitas IT. Dengan aktif di web site dan komunitas ini lah ia dapat mencapai tujuannya, knowlwdgenya bertambah, apa yang dia tidak tahu dia dapatkan dari sharing dengan orang lain, menjadi lebih terkenal, orang lain tahu bahwa dia bisa, bahkan mungkin dia akan mendapat tawaran juga untuk mengejakan proyek IT.

3. Faktanya di dalam knowledge management (KM) mempunyai dampak langsung pada bisnis, tetapi investasi di dalam KM secara tidak langsung mengarah pada peningkatan outcomes dari bisnis. Mohon dijelaskan pengertian tersebut! Mohon juga diberi contoh!
Jawaban :
Penjelasan : knowledge management (KM) mempunyai dampak langsung pada bisnis, tetapi di dalam KM secara tidak langsung mengarah pada peningkatan outcomes dari bisnis, hal ini benar. Dengan melakukan manajemen knowledge, akan berdampak langsung pada bisnis, yaitu terjadinya semangat dan loyalitas yang makin meningkat dari setiap staf, karena mereka merasa lebih dihargai oleh manajemen. Dengan demikian akan meningkatkan kinerja mereka, Dan hal ini secara tidak langsung investasi KM ini nantinya akan mengarah pada peningkatan outcomes dari bisnis itu sendiri. Sehingga orang/pelanggan akan merasa senang, nyaman dan merasa dilayani dengan baik, dan ini yang akan menjadikan keuntungan & outcomes bisnis menjadi lebih meningkat.
Contoh :
Sebuah club golf dapat menerapkan knowlegde manajemen sebagai berikut :
• Setiap kedy diharapkan dapat memberikan nasehat/tip dan trik tentang kondisi lapangan bagi pemain golf, dengan demikian pemain merasa dilayani dengan baik dan diuntungkan sehingga kedy tersebut diberi tips.
• Setiap kedy harus sharing tentang tip & trik tersebut dengan kedy yang lain, dengan demikian para kedy yang lain pun mendapat tips juga dari para pemain. Dan pemain yang merasa untung dan dilayani dengan baik tersebut akan bermain lagi di club tersebut.
• Nasihat/trip & trik para kedy tersebut dikumpulkan dan diterbitakn dalam bentuk buku dan diberikan kepada seluruh caddi.
• Kemudian Club akan memberikan reward bagi kedy yang berprestasi, dengan memberikan kredit barang di merchandise.
Dari KM ini terdapat beberapa keuntungan, yaitu :
• Para kedy akan memeperoleh tips yang banyak dari para pemain, dan bisa kredit barang di merchandise,
• Para pemain golf memperoleh manfaat dari knowledge kolektif caddi sehingga menang dan
• Club golf akan mendapatkan keuntungan, karena para pemain akan kembali bermain golf di club tersebut dan menginformasikannya ke teman-temannya sesama pemain.
Dengan demikian dapat dilihat bahwa investasi di dalam KM secara tidak langsung mengarah peningkatan outcomes bisnis.

4. Semua proyek mempunyai elemen resiko dan beberapa proyek lebih beresiko daripada yang lainnya. Resiko muncul dari banyak sumber, baik internal maupun eksternal dari proyek. Mohon dijelaskan bagaimana resiko eksternal dapat timbul dan apa akibatnya pada proyek TI! Mohon diberi contoh!
Jawaban :
Dalam pengerjaan proyek, resiko eksternal dapat timbul, hal ini terjadi karena, factor eksternal lingkungan mempengaruhi kondisi dan menimbulkan dampak bagi pelaksanaan proyek. factor eksternal ini adalah factor yang sulit untuk dikendalikan.
Contoh nya :
• Kondisi perekonomian dengan adanya inflasi, naiknya harga-harga
• Kondisi politik
• Kondisi social
• Kondisi UU/hukum

5. Peningkatan knowledge processing seseorang akan mengarah pada peningkatan kapasitas untuk memproduksi dan mengintegrasikan knowledge baru., dan yang kemudian akan mengarah ke strategi bisnis dan model operasionalnya, Peningkatan tersebut seharusnya diarahkan ke outcomes dari proyek TI yang lebih baik. Berarti peningkatan tersebut akan mempunyai makna bahwa kami mampu untuk belajar (learn) dan share knowledge secara efektif. Mohon dijelaskan maksud dari belajar dan share knowledge yang efektif sehingga menghasilkan outcome bisnis TI yang lebih baik.
Jawaban :
Belajar dan share knowledge yang efektif adalah aktifitas share knowledge yang kemudian knowledge yang di dapat tersebut di pelajari, didiskusikan, dianalisa kemudian diintegrasikan dengan knowledge yang dimiliki, lalu diterapkan mengarah ke strategi bisnis untuk meningkatkan outcme. Dengan demikian individu mampu belajar dan mengintegrasikan knowledge baru dengan knowledge yang dimilikinya., sehingga dengan demikian aktifitas sharing knowledge terbukti efektif untuk menghasilkan outcomes bisnis TI yang lebih baik.

Jawaban Pemrog. I

Berikut adalah jawaban UAS Pemrog. I
Untuk program, merupakan salah satu contoh saja, model lain dengan logika dan hasil yang sama, dibenarkan.

1. Data Base : sekumpulan data yang terintegrasi yang diorganisasi untuk memenuhi kebutuhan para pemakai di dalam suatu organisasi. Sebuah database memiliki hirarki sebagai berikut :
Database terdiri dari beberapa tabel, table tersusun dari field-field, field tersusun atas beberapa karakter, isi dari field-field yang menjadi satu kesatuan disebut record
Contoh software database : Microsoft Accesss, Microsoft SQL Server, MySQL, Oracle, Interbase, paradox

2. Secara konsep program transaksi adalah sebagai berikut :
Program transaksi merupakan program yang melibatkan beberapa table master dan table transaksi.
Data yang terisi pada table transaksi merupakan data yang ditransaksikan dari table-tabel master.
Ini dapat digambarkan sebagai berikut :




3. a. Daftar class dan objek dari desain tersebut :
• Objek label1, label2, label3, label4, label5, class-nya label
• Objek edit1, edit2, edit3, edit4, class-nya edit
• Objek btnsimpan, btnlagi, class-nya button
• Objek datasource1, class-nya datasource
• Objek tabel1, class-nya table
• Objek dbgrid1, class-nya dbgrid

b. Algoritmanya :
• Berikan nilai awal pada setiap objek edit
• Masukan nilai/angka pada edit1, edit2, edit3, satu persatu atau semuanya, otomatis akan menghitung energi listrik dan hasilnya akan tampil pada edit4
• Klik simpan untuk menyimpan data pada edit1 s/d 4 ke database
• Klik input lagi jika akan menginputkan nilai/angka yang lain

Program perhitungannya :

Edit4.text:=floattostr(((strtoint(edit1.text))*(strtoint(edit1.text))
/(strtoint(edit2.text)))*(strtoint(edit3.text))

atau seperti ini :

---------
Var V,R,T : Integer ;
W : Real ;
begin
V := StrtoInt (Edit1.Text);
W := ((V*V)/R)*T;
Edit4.Text := FloattoStr(W);
end;
--------

Program ini ditulis pada prosedur edit1.change, edit2.change, edit3.change

c. Program simpan :
procedure Tform1.SimpanClick(sender:tobject);
begin
Table1.Append;
Table1.fieldvalues[‘V’]:=edit1.text;
Table1.fieldvalues[‘R’]:=edit2.text;
Table1.fieldvalues[‘T’]:=edit3.text;
Table1.fieldvalues[‘W’]:=edit4.text;
Table1.post;
End;

Program input lagi :
procedure Tform1.LagiClick(sender:tobject);
begin

edit1.text:=’1’;
edit2.text:=’1’;
edit3.text:=’1’;
edit4.text:=’0’;
edit1.setfocus;
End;

IT Security - Task

Dosen : Ir. Herman Josep K, M. Kom.,CISA,CISSP,CEI,CEH,EDRP

1. Ceritakan secara singkat (dalam satu halaman) perihal CIA (Confidentiality, Integrity, dan Avaibility) dalam kaitannya dengan IT Security.

Jawab:
Dalam IT security CIA merupakan suatu syarat yang harus terpenuhi bahwa sebuah IT tersebut tersecurity/aman.
Confidentiality /kerahasiaan, dalam keamanan IT jelas sesuatu yang berkaitan dengan keamanan harus merupakan rahasia dari pihak-pihak yang tidak berhak mengakses IT (baik data, hardware maupun software). Kerahasiaan ini begitu pentingnya karena, setiap data/informasi sangat bernilai bagi pihak tertentu, dan merupakan modal bagi pihak tersebut untuk melakukan sesuatu.
Kerahasiaan ini salah satu implementasinya adalah dengan memberikan hak akses tertentu bagi pihak-pihak yang terkait dengan memberikan key/password untuk mengakses IT. Dan ini akan melindungi pihak yang memiliki data tersebut, dan merasa aman.
Data/alat IT yang dirahasiakan tersebut dilindungi tidak hanya dari sisi agar data tersebut tidak hilang saja, tetapi terlindungi juga dari modifikasi data dan kerusakan data. Selain confientialy/kerahasiaan, factor lain yang menjadikan suatu informasi akan lebih bernilai adalah integritas.
Integritas, yaitu informasi harus akurat, lengkap dan dilindungi dari modifikasi yang tidak syah, jadi informasi yang ada harus merupakan informasi yang akurat, yang benar serta lengkap dan terlindung dari modifikasi yang tidak syah. Suatu informasi yang terintegritas sangat bernilai bagi pemilik informasi tersebut, tingkat intgeritas sautu informasi merupakan harga mati, mau tidak mau informasi yang baik adalah yang memenuhi criteria tersebut. Selain kerahasiaan dan integritas factor lain yang mendukung adalah avaibility.
Avaibility / ketersediaan, dalam hal ini yaitu ketersediaan informasi, system dan sumber daya yang diperlukan dalam suatu waktu sehingga produktivitas tidak terpengaruh, dengan kata lain Informasi siap dan dapat digunakan ketika diperlukan. Ketersediaan ini mutlak diperlukan, dengan tersedianya informasi, system dan sumberdaya, maka kebutuhan akan informasi akan dengan mudah terpenuhi, sehingga dapat membantu pihak terkait untuk melakukan sesuatu atau mengambil suatu keputusan.
Ketiga factor di atas, yaitu confidentiality/kerahasiaan, integritas dan avaibility (CIA) merupakan factor mutlak yang harus dipenuhi dalam menjaga data/informasi serta sumber daya IT(hardware/software) agar lebih bernilai. Ketiganya sangat erat kaitannya. Tanpa salah satu dari ketiga tersebut, nilai nya akan berkurang. Jadi inti atau kesimpulannya adalah bahwa data / informasi tersebut harus memenuhi syarat di atas, yaitu :
- Informasi hanya untuk mereka yang berhak untuk mengetahui
- Informasi benar, akurat, lengkap dan terlindung dari modifikasi yang tidak syah
- Pertukaran informasi yang mencakup transaksi bisnis yang dapat dipercaya
- Informasi yang siap dan dapat dipakai ketika diperlukan


2. Ceritakan pengertian Identification, Authentification, dan Authorization
Jawab:
a. Identifikasi merupakan proses pengenalan apakah seorang user tersebut terdaftar dalam directory user yang sudah dibuat sebelumnya oleh DBA atau belum.
b. Authentifiacation adalah proses pengecekan apakah user tersebut benar – benar user yang sudah terdaftar atau tidak, caranya yaitu dengan memasukkan password. Jika password tidak dikenal user walaupun sudah memasukkan user_id, user tersebut tidak bisa masuk ke sebuah aplikasi atau system jaringan, apalagi jika memang user tersebut tidak terdaftar, jelas user ini tidak akan dapat masuk ke dalam system aplikasi.
c. Authorize adalah izin bahwa seorang user boleh masuk atau mengakses apa saja ke dalam sebuah aplikasi. Baik mengakses suatu system/file/data tertentu ataupun hak akses terhadap operasi system/file/data tersebut. Misalnya seorang user hanya dapat mengakses data produk saja, dan pada data produk tersebut user tersebut hanya dapat melihat dan membeli produk tersebut, tidak bias menambah, manghapus atau mengubah data nya.

3. Apa perbedaan antara Symmetric key cryptography dan public key cryptography. Beri contoh masing – masing dua.
Jawab:
Symmetric key cryptography adalah kunci yang digunakan untuk proses enkripsi dan dekripsi, Kunci-kunci ini harus dirahasiakan. Oleh karena itulah sistem ini sering disebut sebagai secret-key ciphersystem. Pada Symmetric key cryptography kedua pihak menggunakan satu kunci untuk meng-enkripsi & men-dekripsi..



Pada method ini dibutuhkan sekumpulan kunci yang berbeda untuk setiap pengguna/mitra bisnis yang berbeda, dan jumlah kunci yang dibutuhkan adalah : N * (N-1) / 2 dengan n menyatakan banyaknya pengguna.


Contoh :
1. DES (Data Encryption Standard) merupakan salah satu metode lama yang digunakan dalam penyimpanan password, metoda ini sudah tidak biasa digunakan lagi, karena dengan mesin-mesin modern saat ini akan didapat kecepatan cracking yang tinggi, sekitar 800.000 lebih kombinasi password per detik pada komputer dengan prosessor Pentium 4 - 2,4 GHz, sehingga bila menggunakan metoda ini password akan relatif lebih mudah di-crack.
2. Advanced Encryption Standard (AES) menggantikan DES (launching akhir 2001), menggunakan variable length block chipper, key length : 128-bit, 192-bit, 256-bit, dapat diterapkan untuk smart card

Public key cryptography, metode kriptografi dengan menggunakan kunci yang berbeda untuk melakukan enkripsi dan dekripsi.
Untuk melakukan enkripsi menggunakan public key penerima
Untuk melakukan dekripsi menggunakan private key penerima

Setelah meng-enkripsi, pengirim tidak dapat melakukan dekripsi, dekripsi hanya dapat dilakukan oleh menerima. Dapat digambarkan sebagai berikut :



Contoh :
1. RSA
2. elliptical curve cryptosystem (ECC)





4. Apakah yang dimaksud dengan digital signature, digital certificate, certificate revocation list, dan certificate authority?
Jawab:
• Digital signature atau tanda tangan digital adalah kode digital yang dapat ditempelkan pada pesan dikirim secara elektronis yang menjadi identifikasi dari si pengirim pesan. Tujuan tanda tangan digital adalah untuk menjamin bahwa yang mengirimkan pesan itu memang benar-benar orang yang seharusnya.

• Digital certificate adalah sertifikat yang dikeluarkan oleh pihak yang dipercaya, misalnya Certificate Authority atau CA, yang berfungsi untuk mengenali identitas sebuah perusahaan atau individu dalam suatu jaringan. Sertifikat digital mengandung informasi nama identitas, kunci dasar (untuk enkripsi), dan pengesahan bentuk lain. Kunci dasar untuk CA turut disediakan untuk mengesahkan kebenaran sertifikat yang dikeluarkan tersebut. Sertifikat digital ini perlu terutama untuk membantu memberikan kepercayaan dengan melalui lembaga yang dipercayai tersebut.

• Certificate revocation list adalah : daftar sertifikat (lebih spesifiknya sebuah list dari nomor seri sertifikat-sertifikat) yang telah ditarik kembali/tidak sah lagi, dengan kata lain suatu dokumen yang dijaga dan publikasi oleh certification authority (CA) dan menampilkan daftar-daftar sertifikat yang ditarik kembali oleh certification authority (CA)

• Certificate authority adalah suatu lembaga yang bertugas dalam hal mempublikasi, mengatur, dan menarik suatu sertifikat yang digunakan dalam proses transfer data melalui internet.

5. Apakah bedanya antara Trivial Password dan Strong Password? Beri contoh masing – masing dua.
Jawab:
a. Trivial password adalah password yang dengan mudah ditebak oleh orang lain, karena password yang dibuat merupakan sesuatu yang dekat dengan user. Contohnya nama anak, tempat lahir, atau tanggal lahir.
b. Strong password adalah password yang kuat atau sulit untuk ditebak, karena password yang dibuat merupakan perpaduan antara berbagai karakter, kombinasi upper case dan lower case, angka serta symbol. Contohnya : buDimAn78?, AsC28He1Se.

6. Bila suatu password terdiri atas alphabetic, numeric , upper case, dan lower case character combination dan panjangnya 8 character, berapa lama diperlukan untuk brute force attack dengan menggunkan CPU power sebesar 10 MPS, bila dianggap setiap trial butuh 2 instructions CPU?

Jawab:
Dari soal di atas diketahui:
a. Panjang password = 8 karakter
b. Trial = 2 Instruksi
c. Power CPU = 10 MPS
Diketahui pula, jumlah numeric, alphabet capital dan alphabet kecil sebagai berikut :
a. Numeric = 10 angka
b. Alphabetic uppercase = 26 karakter
c. Alphabetic lowercase = 26 karakter
d. Sehingga jumlah kombinasi karakter = 62 karakter

Soal :
berapa lama diperlukan untuk brute force attack ?

Jawab :
• Jumlah karakter dengan panjang 8 karakter = 62 8 = 218340105584896 Karakter
• Dengan trial 2 instruksi = 218340105584896 x 2 = 436680211169792 Karakter
• CPU power 10 Mbps = 436680211169792 / 10000000 = 43668021.12 detik
= 12130,00587 jam



7. Ceritakan langkah langkah yang perlu dilakukan oleh sender dan receiver dari pengiriman suatu messege yang besar (10.000 characters) yang bersifat confidential dan melalui internet, dengan menggunakan digital signature dan sebagainya supaya mencegah non-reputation dan memastikan bahwa message integritynya dan confidentialitynya? (menggunakan symetric key atau sesion key maupun public key cryptography dan sebagainya)

Jawab:

Diketahui :
Besar message = 10 ribu karakter, sifat : rahasia
Transmisi menggunakan internet dengan menggunakan digital signature
Soal :
Langkah langkah yang perlu dilakukan oleh sender dan receiver dari pengiriman supaya mencegah non-reputation dan memastikan bahwa message integritynya dan confidentialitynya :

Jawaban :
Karena ukuran messagenya besar, termasuka didalamnya ada autentikasi dengan digital signature dan ditransmisikan melalui internet maka metodeyang cocok adalah dengan menggunakan kombinasi public dan symmetric key cryptography.
Langkah langkahnya adalah sebagai berikut :
• Pengirim mengirim sebuah dokumen message berbentuk plaintext
• Kemudian lakukan enkripsi dengan method public key – dihasilkan ciphertext
• Ciphertext ini lalu ditransmisikan melalui internet.
• Si penerima menerima dokumen message dalam bentuk ciphertext
• Kemudian dokumen message ciphertext tersebut di dekripsi menggunakan symmetric session key, dan kembali menjadi plaintext, dan dapat di baca oleh penerima.

IT Security

Sharing by:Hudi Kusuma B

Latar Belakang Masalah
Dalam era globalisasi informasi saat ini, penyebaran informasi membutuhkan pengamanan yang memadai agar hanya dapat dinikmati oleh pengguna yang berhak. Adapun prinsip-2 keamanan informasi meliputi:
Kerahasiaan
Adalah jaminan bahwa informasi tidak akan dibuka kepada individu, program atau proses yang tidak berwenang. Informasi hanya akan dibuka kepada siapapun yang memiliki hak untuk tahu
Integritas (Keutuhan)
Informasi harus akurat, lengkp dan dilindungi dari modifikasi yang tidak sah. Informasi terlindung dari modifikasi tidak sah

Availability (Ketersediaan)
Informasi, system dan resource harus tersedia untuk user setiap saat dibutuhkan agar tidak mempengaruhi produktifitas. Informasi siap dan dapt dipakai pada saat dibutuhkan.
Tujuan
Mengenali aspek-2 kebutuhan pengamanan informasi yang meliputi konsep keamanan informasi, jenis-2 ancaman, resiko, domain keamanan informasi serta praktek-2 pengamanan informasi

Pembahasan Masalah
Paper ini akan membahas secara garis besar domain keamanan informasi dan implementasinya dalam keamanan pengembangan aplikasi yang meliputi a.l:
Domain Keamanan Informasi
 Kontrol Akses
Proses pembatasan akses ke resources penting dengan hanya mengijinkan user-user, program, proses atau system lain yang sah. Adapun Layer kontrol meliputi:
1. Fisik dan lingkungan, misalnya keamanan bagunan, badge, pengamanan kabel serta pemisahan tugas dan area kerja
2. Adminsitratif, misalnya supervisor, personil pengendali, training kepedulian keamanan, prosedur dan kebijakan testing
3. Logical atau Technical (Software dan Hardware), misalnya login user, password, tingkat sensitivitas data, dan segmentasi jaringan
Sedangkan jenis-2 kontrol meliputi:
1. Preventif (menghidari kejadian)
2. Detective (Indetifikasi kejadian)
3. Corrective (Memperbaiki situasi dan mengembalikan kendali)
4. Deterrent (menakut-2i pelanggaran)
5. Recovery (mengembalikan resources, kemampuan atau kerugian)
6. Compensating (control alternative)

 Kriptografi
Seni atau Teknik penulisan rahasia yang bertujuan untuk menyimpan dan menyalurkan informasi dalam suatu bentuk yang hanya bisa dibaca oleh yang dituju. Diselesaikan menggunakan Sistem Kripto

 Telekomunikasi dan Jaringan

Macam-2 Ancaman terhadap Jaringan
• Spoofing, yaitu meniru source original
• Sniffing, mendengarkan apapun yang lewat didalam jaringan
• Session Hijacking, mengambil alih transaksi didalam jaringan setelah sniffing)
Untuk mencegah ancaman-2 tersebut biasanya dilakukan Enkripsi terhadap data.

Peralatan Keamanan Network
1. Firewall
Adalah suatu alat yang melindungi area jaringan yang rentan dari akses jaringan diluar perusahaan. Secara spesifik diatur untuk menterjemahkan aktivitas network dan melindungi akses berdasarkan pengaturan rule

2. Sistem Pencegahan dan Deteksi Penyusupan
Peralatan yang mampu “mengendus” jaringan dengan kemampuan untuk mendeteksi pola lalu lintas jaringan yag dikenali sebagai tanda-2 serangan dengan carak memeriksa apapun yang melewati jaringan

 Aplikasi dan Sistem
Aplikasi sistem yang memilki ancaman keamanan tersendiri, antara lain:
1. Tidak mampu mengidentifikasi / melacak akses / update (accountability)
2. Memiliki kelemahan sehingga memungkinkan terjadinya pencurian informasi atau asset fisik
3. Akses informasi secara tidak sepatutnya
4. Update informasi secara tidak sepatutnya
5. Perusakan informasi secara tidak patut
6. Kurangnya validasi data yang sepantasnya
7. Data overwriting
8. Pemrosesan internal salah
9. Akses data langsung
Selain ancaman dikarenakan pengembangan sistem, terdapat juga ancaman lain , diantaranya:
Virus : program yang mampu mencari program lain serta menginfeksi nya dengan menempelkan salinan diri sendiri
Backdoor : jalan pintas keamanan yang ditinggalan disainer / developer
Kuda Trojan: program yang mengandung perintah-2 tersembunyi untuk mengeksploitasi proses terotorisasi dengan tujuan melanggar keamanan
Bom logika: secara rahasia menyisipkan perintah-2 yang mengakibatkan aplikasi atau OS untuk melakukan aktvitas kompromi keamanan pada saat suatu kondisi spesifik ditemui
Worm: program yang menyebarkan dirinya sendiri kedalam jaringan dan mampu mereproduksi dengan sendirinya
Buffer overrun / Buffer overflow:
menghabiskan limitasi entry atau service yang sah dengan tujuan menciptakan ketidak stabilan
Praktek-2 yang baik
1. Menempelkan keamanan kedalam pengembangan system / aplikasi
2. Pengawasan tergadap pemisahan tugas
3. Penilaian kerentanan
4. Pengujian
5. Manajemen Perubahan
6. Manajemen Konfigurasi
7. Otentifikasi dua factor
8. Penyandian pada saat transmisi dan atau penyimpanan data

 Keamanan fisik
1. Manajemen Fasilitas
2. Personil Keamanan
3. Pengendalian Fisik

 Keamanan Operasional
Untuk melindungi resource hardware, software serta media dari:
1. Ancaman terhadap lingkungan operasional
2. Penyusup internal atau eksternal
3. Operator yang mengakses resources secara tidak semestinya

 Perencanaan Kelangsungan BIsnis dan Pemulihan Bencana
Business Continuity Plan
Menjamin kelangsungan fungsi bisnis yang kritis

Disaster Recovery Plan
Prosedur response darurat, meningkatkan operasi backup dan pemulihan pasca bencana pada saat suatu organisasi menderita kerugian resource computer dan fasilitas fisik

Tujuan Rencana Pemulihan
• Melindungi organisasi bila sebagian atau seluruh lingkungan komputerisasi menjadi tidak bisa dipergunakan
• Menghasilkan sense keamanan
• Memperkecil resiko penundaan pelayanan
• Menjamin kehandalan system siaga
• Menghasilkan standard rencana pengujian
• Meminimalisir pengambilan keputusan pada saat bencana

Alternatif backup
Backup yang saling menguntungkan


Jasa berlangganan:
• Hot Site
• Warm Site
• Cold Site
• Pemusatan berlapis
• Opsi Backup system yang terdistribusi

 Hukum dan Penyelidikan
Relevansi
1. Isu-2 hukum penting yang mendefinisikan pendekatan keamanan informasi yang diperlukan
2. Menentukan bagaimana suatu organisasi harus mencegah, mendeteksi dan melaporkan kejadian-2 kriminal
3. Memberikan pedoman praktek-2 keamanan informasi yang diperlukan

Contoh-2 Issue Legal
• Virus dan kode-2 jahat
• Pembajakan software
• Problem jurisdiksi silang Internet
• Issue konten illegal (pornografi anak-2)
• Pemalsuan kawat dan surat sering dipakai di kasus2 kriminal Amerika
• Berbagai hukum criminal ekonomis atau keuangan (kejahatan kerah putih)
• Penolakan services
• Penggunaan kartu kredit secara tidak sah untuk transaksi elektronik
• Pemalsuan URL

Kesulitan Investigasi Kejahatan Komputer
• Properti yang tidak terdefinisikan
• Kerjasama Organisasi
• Definisi yang tidak jelas aktivitas yang terotorisasi atau tidak terotorisasi
• Transaksi dan lingkungan teknis yang rumit
• Pengumpulan bukti-2 komputer

 Arsitektur dan Model-2 Keamanan

Arsitektur IT
Arsitektur IT sebagai suatu framework terpadu dalam mengelola bisnis dan tujuan IT

Arsitektur Logika
Memberikan penjelasan high-level kebutuhan fungsional perusahaan dalam proses system dan informasi

Arsitektur teknis
Mendefiniskan standard dan aturan IT spesifik yang secara fisik dipakai untuk implementasi arsitektur logika

Arsitektur Keamanan
Disain / Rencana yang menghasilkan perlindungan kerahasiaan, keutuhan dan kesiapan dalam Arsitektur Logis dan Teknis. Contoh:
• Domain (area jaringan / system terlindung)
• Hak user (diatur dengan minimal privilege)
• Isolasi proses
• Kontrol akses resources
• Pelapisan, abstraksi dan penyembunyian data

Jaringan / Sistem Terbuka dan tertutup
• Jaringan / Sistem Terbuka bukan system yang aman karena:
• Sistem / Jaringan menggunakan interface standard
• User diberikan akses total ke kemampuan system / jaringan
• Sistem / Jaringan terbuka untuk berbagai tindakan
• Hampir seluruh system computer beroperasi dalam lingkungan terbuka

Sistem Tertutup adalam system yang aman
• Sistem / Jaringan tanpa interfase user standard
• User dibatasi pada bahasa atau aplikasi tunggal

Sistem dan Metodologi Kontrol Akses
Access control adalah jantung dari security
Definisi
• Kemampuan untuk hanya mengijinkan user yang sah, program, system pemrosesan serta akses resources
• Pemberian atau penolakan hak, sesuai dengan model keamanan khusus atau ijin khusus untuk mengakses resources
• Seluruh kumpulan prosedur yang dilaksanakan oleh hardware, software dan administrator untuk memantau akses, indetifikasi user yang membutuhkan akses, merekam percobaan akses dan memberikan atau menolak akses berdasarkan rule yang telah ditentukan sebelumnya

Komponen control Akses
Otentifikasi: Pemrosesan untuk membuktikan dan verifikasi informasi tertentu
Identifikasi: Pemrosesan untuk menetukan identitas seseorang atau entitas
Kerahasiaan: Melindungi data privat agar tidak dapat dilihat oleh yang tidak berhak
Keutuhan: Data tidak terkorupsi atau dimodifikasi dengan cara tidak sah
Ketersediaan: Sistem dapat dipakai. Lawannya adalah DoS (Denial of Service)

Bagaimana Kontrol Akses dapat diimplementasikan?
• Hardware
• Software
• Aplikasi
• Protokol (Kerberos, IPSec)
• Fisik
• Logical (Kebijakan)

Perlindungan yang diharapkan dari control access antara lain:
• Data dari pemeriksaan, modifikasi serta penyalinan yang tidak terotorisasi
• System dari pemakaian, modifikasi atau penolakan pelayanan yang tidak terotorisasi
• Perlu dicatatat bahwa hampir seluruh system operasi jaringan (NT, Unix, Vines, Netware) didasarkan pada infrastruktur fisik yang aman

Kontrol Akses Proaktif
• Traning Kepedulian
• Pemerksaan latarbelakang
• Pemisahan Tugas
• Knowledge sharing
• Kebijakan
• Klasifikasi Data
• Pendaftaran user yang efektif
• Prosedur pemberhentian
• Prosedur pergantian control

Kontrol akses fisik
• Penjaga
• Kunci
• Perangkap
• Badge ID
• CCTV, sensor, alarm
• Biometrik
• Pagar beraliran listrik, semakin tinggi voltasenya semakin baik
• Kunci kartu atau token
• Anjing penjaga

Berbagai Jenis Kontrol Akses
• Discretionary (DAC)
• Mandatory (MAC)
• Lattice / Role / Task
• Model formal:
• Biba
• Take / Grant
• Clark / Wilson
• Bell / Lapadula

Menggunakan kumpulan teori untuk mendefinisikan konsep kondisi yang secure, mode akses dan rule untuk memberikan akses

MAC vs DAC
Mandatory Access Control (MAC)
• Sistem memutuskan bagaimana data akan di share (mandatory)


Ciri-2 Mandatory Access Control (MAC)
• Menentukan tingkat sensitivitas alias label
• Setiap obyek diberikan label sensitivitas dan hanya dapat diakses oleh user yang sudah memperoleh klarifikasi di level tsb
• Hanya administrator yang diperbilehkan mengganti level obyek, bukan pemilik obyek
• Secara umum lebih aman dibanding DAC
• Level buku B (Oranye)
• Dipakai oleh system dimana keamanan adalah sangat critical
• Sulit diprogram konfigurasi serta implementasinya
• Performa berkurang
• Bergantung pada system untuk akses control
• Sebagai contoh: Bila suatu file diklasifikasikan sebagai rahasia, MAC akan mencegah setiap orang untuk menuliskan informasi rahasia atau sangat rahasia kedalam file tersebut
• Seluruh output, spt print job, flopy disk, media magnetic lainnyaharus dilabel tingkat sensitivisme nya.

Discretionary Access Control (DAC)
• Anda yang memutuskan bagaimana melindungi dan membagi data sesuai kebutuhan
Ciri-2 DAC
• Akses dibatasi oleh hak yang diberikan ke masing-2 user
• Level Buku C – Orange
• Penggunaan utama untuk memisahkan dan melindungi user dari data yang tidak terotorisasi
• Dipakai di Unix, NT, Netware, Linux, Vines dll
• Bergantung pada pemilik obyek untuk control akses

Kontrol Akses Role-based, Strategi Managemen Kebijakan Keamanan
• Administrasi terpusat dan secara local menggunaan kebijakan control akses berdasarkan role
• Kaya kebijakan: sangat konfiguratif (kaya parameter)
• Memaksa control akses keseluruh enterprises virtual
 Karyawan
 Supplier
 Konsultan
• Keanggotaam role berbasiskan kompetensi, penugasan dan otoritas akan memberikan user potensi untuk eksekusi hak-2 istimewanya
• Berpusat pada role (role bersifat global dan memaksa)

Daftar Kontrol Akses
• File yang digunakan system control akses untuk menentukan siapa saja yang dapat mengakses program dan file apa saja, dengan metode apa dan pada waktu yang ditentukan
• Setiap OS memiliki batasan Daftar Kontrol Akses yang berbeda
• Jenis-2 akses:
 Read / Write / Create / Execute / Modify / Delete / Rename
• Setiap obyek menangani suatu daftar hak akses principal, sebagai contoh: suatu Daftar Kontrol Akses adalah beberapa kolom didalam Matriks M dengan entry-2 kosong dibuang
Server dapat menginformasikan ke masing-2 principal daftar kemampuannya.
• Suatu daftar kemampuan berhubungan dengan suatu entry didalam matriks control akses

Untuk memperkecil DKA, diperkenalkan suatu konsep wilayah perlindungan
• Wilayah perlindungan adalah sekumpulan pasangan obyek dan akses yang disimpan oleh server
• Setiap kali principal menghendaki suatu operasi diberikan kepada obyek, monitor control akses akan memeriksa apakah principal milik dari wilayah tersebut, baru kemudian diperiksa apakah permintaannya diijinkan untuk obyek tersebut

Setiap principal dapat membawa daftar sertifikat kepemilikan groupnya
• Sertifikat harus dilindungi oleh tandatangan digital

Kontrol Akses
• Kontrol Akses ke resources server
• Bentuk dasar control akses akan memeriksa permintaan untuk:
 Keotentikan principal atau kemampuannya
 Hak akses untuk resources & op yang diminta

Matriks control Akses M
• Setiap principal diwakili oleh baris, dan setiap obyek resource diwakili oleh kolom
• Daftar M[s,o] secara tepat menggambarkan operasi principal s diminta yang dapat dikerjakan di resource o
• Dapat tersebar

Otentifikasi
3 Jenis otentifikasi:
• Sesuatu yang anda ketahui: Password, PIN, nama gadis ibu, passcode, slogan kelompok
• Sesuatu yang anda miliki: kartu ATM, smart card, token, kunci, ID Badge, SIM, passport
• Sesuatu tentang anda: sidik jari, scan suara, scan kelopak mata, scan retina mata, bau badan, DNA

Otentifikasi Multi factorial
• Otentifikasi 2 faktor. Untuk meningkatkan level keamanan, beberapa system meminta user untuk menyediakan 2 dari 3 jenis otentifikasi
• ATM Card + PIN
• Kartu Kredit + Tandatangan
• PIN + Sidik jari
• Username + Password (default Netware, UNIX, NT)
• Otentifikasi 3 faktor, untuk security tertinggi
• Username + Password + Sidik jari
• Username + Passcode + token

Metodologi dan Sistem Kontrol Akses
Problem Password
• Keamanan Kurang: Pada saat diberikan pilihan, orang cenderung akan memilih hal-2 yang mudah diingat dan berarti password yang mudah ditebak seperti nama keluarga, peliharaan, no telepon, ulang tahun, hobi dlsb
• Mudah dipatahkan: Program-2 seperti crack, SmartPass, PWDUMP, NTCrack & 10phtcrack dapat secara mudah dekrip password-2 UNIX, NetWare dan NT
• Serangan terhadap daftar password hanya dimunkinkan karena user memilih password yang mudah ditebak
• Tidak nyaman – Untuk meningkatkan keamanan, perusahaan serinf member user password yang computer-generated yang susah dan tidak mungkin ditebak
• Berbeda dengan tandatangan tertulis, bila suatu transaksi ditandatangani hanya oleh password, tidak akan ada bukti nyata bahwa individu tersebut yang melakukan transaksi

Rule Password Klasik
• Password terbaik adalah yang mudah diingat tetapi sulit untuk dipecahkan menggunakan serangan dictionary. Cara terbaik untuk membuat password yang memenuhi criteria tersebut adalah menggunakan 2 kata atau kalimat kecil yang tidak saling berhubungan, idealnya dengan karakter special atau angka. COntoh yang baik adalah sbb: hex7goop atau –typetin
• Jangan gunakan:
 Nama umum, Tanggal lahir, nama keluarga, no telepon dlsb
 Kalimat yang bisa ditemukan dalam kamus
 Passwordnya “password”
 Default system

Manajemen Password
• Sistem dikofigurasi untuk menggunakan password berbentuk kalimat
• Tentukan panjang dan umur password
• Batas login yang tidak berhasil
• Batasi koneksi yang bersamaan
• Atur agar mampu diaudit
• Tentukan kebijakan reset dan perubahan password
• Gunakan tanggal login terakhir sebagai banner

Biometrik
• Otentifikasi menggunakan karakteristik masing-2 orang
• Menggunakan karakteristik fisik terukur masing-2 orang untuk membuktikan identitasnya:
 Sidik jari
 Tandatangan dinamis
 Kelopak Mata
 Retina Mata
 Suara
 Wajah
 DNA, Golongan darah

Token
Digunakan untuk memfasilitasi password sekali pakai
• Kartu fisik
• SecurID
• S/Key
• Smartcard
• Token Akses

Single sign-on
• User memiliki satu password untuk seluruh system dan aplikasi enterprise
• Dengan bergitu satu password yang kuat dapat diingat dan dipergunakan
• Seluruh account user dapat dibuat secara cepat pada saat karyawan masuk, penghapusan dan penghilangan
• Susah diimplementasikan dan mulai bekerja
• Kerberos, CA-Unicenter, Memco Proxima, IntelliSoft, SnareWorks, Tivoli Global Sign-on, X.509

Vulnerability
• Fisik
• Alami
 Banjir, gempabumi, teroris, kerusakan power, halilintar
• Hardware / Software
• Media
o Media elektronik yang rusak, disk drive yang dicuri
• Pelepasan
• Komunikasi
• Kemanusiaan
 Rekayasa sosial, staff yang tidak puas

Monitoring
• IDS
• Logs
• Audit trail
• Netwotk tools
 Tivoli
 Spectrum
 OpenView
Sistem Deteksi Penyusupan
• IDS memonitor serangan terhadap system atau jaringan
• IDS memiliki kepustakaan dan kumpulan tanda-2 identitas serangan
• Menambahkan pertahanan pada kedalaman
• Dipergunakan bersama scanner system untuk keamanan maksimal


TEMPEST
• Pemantauan elektromagnetik dari keyboard, kabel, printer, modem, monitor dan seluruh perangkat elektronik. Dengan seperangkat alat yang tepat dan canggih, data dapat dibaca dari jarak beberapa puluh meter
• Peralatan TEMPEST yang bersertifikat dibungkus dengan konstruksi metal untuk melindungi pelepasan elektromagnetik
• WANG adalah leading dalam hardware TEMPEST
• Hardware TEMPEST sangat mahal dan hanya bisa diservis oleh teknisi yang bersertifikat
• Ruang dan bangunan dapat disertifikat TEMPEST
• Standard TEMPEST NACSEM 5100 A NACSI 5004 adalah dokumen rahasia

Banner
• Banner yang ditampilkan pada saat login atau koneksi tersambung menyatakan bahwa system sedang dipakai secara ekslusif oleh user terotorisasi dan bahwa aktivitas mereka sedang dimonitor
• Tidak bebas kesalahan, tetapi suatu awal yang baik terutama dari perpektif legal
• Pastikan bahwa banner tidak menampilkan informasi system, mis, OS, versi, hardware dlsb

Kontrol Akses RAS (remote Access Service)
• Software dan protocol client / server RADIUS (Remote Authentication Dial-In User Service) yang memungkinkan RAS untuk berkomunikasi dengan server pusat untuk otentifikasi user yang dial-in dan mengotorisasi akses mereka kedalam system yang diinginkan
• TACACS/TACACS+ (Terminal Access Controller Access Control System) – Protokol Otentifikasi yang mengijinkan RAS memforward password logon user kedalam server otentifikasi. TACACS adalah protocol yang tidak disandikan oleh karena itu tidak begitu aman dibandingkan TACACS+ dan protocol RADIUS terbaru. Versi terbaru TACACS adalah XTACACS

Testing Penetrasi
• Pada dasarnya Meningkatkan Keamanan Site anda dengan Menyusupinya, oleh Dan Varmer / Wietse Venema
• Identifikasi kelemahan di Internet, Intranet, Extranet dan teknologi RAS
 Analisa Penjelajahan dan Jejak
 Ekploitasi
 Asesment Keamanan Fisik
 Rekayasa Sosial
• Percobaan identifikasi kerentanan dan mengakses keuntungan terhadap system kritis didalam organisasi
• Identifikasi dan rekomendasi tindakan perbaikan untuk problem kesisteman yang mungkin bisa membantu menghasilan kerentanan ini melalui organisasi
• Asesment memungkinkan klien untuk menampilkan tambahan kebutuhan keamanan resources dengan menterjemahkan kerentanan yang ada kedalam resiko bisnis yang sesungguhnya


Rule privilege minimum
• Salah satu prinsip dasar keamanan security
• Dinyatakan bahwa: Setiap obyek (user, administrator, program, system) harus hanya memiliki privilege minimal untuk mengerjakan tugasnya, tidak lebih
• Suatu system control akses hanya memberikan hak yang dibutuhkan user untuk menyelesaikan pekerjaannya
• Membatasi perhatian kepada serangan dan kerusakan akibat serangan
• Contoh keamanan fisik: kunci starter mobil vs kunci pintu mobil

Implementasi privilege minimal
• Pastikan hanya sekumpulan kecil user saja yang memiliki akses root
• Jangan membuat suatu program hanya bisa berjalan setuid dengan akses root bila tidak diperlukan. Lebih baik membuat group yang dapat ditulis dan membuat program berjalan setgid ke group tersebut daripada setuid ke root
• Jangan menjalankan program yang tidak aman di firewall atau host yang terpercaya lainnya
Konsep Kriptografi
Enkripsi: Merubah pesan sehingga pencegat informasi tidak bisa membacanya
• Untuk kerahasiaan, jangan harapkan interceptor membaca pesan
• Text mentah (pesan asli)
• “47” tidak selalu berupa teks, dapat juga berupa grafis, dlsb:
• Pesan Asli Kunci Metode Dipancarkan Kunci Metode Pesan Asli
• Ciphertext (sudah dirubah) untuk pemancaran
• Membagi menjadi nol dan satu untuk transmisi
• Pencegat tidak dapat menebak
• Penerima mengkodekan kembali menjadi text biasa

Enkripsi membutuhkan metode dan kunci
• Metode enkripsi adalah proses transformasi spesifik
• Kunci adalah kumpulan bit yang digunakan dalam metode
• Mengambil ciphertext yang lain dengan kunci yang berbeda pula

• Methode tidak boleh dirahasiakan
• Kunci harus dirahasiakan

Panjang Kunci
• Kunci dapat “ditebak” dengan pencarian yang melelahkan
 Coba semua kunci yang memungkinkan
 Periksa yang mampu mendekrip pesan
Kunci yang panjang membuat pencarian yang panjang menjadi semakin sulit
• Kunci tersusun dari bit-2 (11000100010101)
• Apabila panjang kunci adalah n bit, dibutuhkan 2n percobaan
• Rata-2, dibutuhkan setengah dari jumlah tersebut
• Apabila panjang kunci 8 bit, hanya dibutuhkan maksimal 256 percobaan
• Keamanan yang lemah: Hari ini < 100 bit
• Keamanan yang kuat: Hari ini > 100 bit
• Kebutuhan panjang akan tumbuh sejalan waktu
• Hukum mungkin akan membatasi eksport keamanan yang kuat, mengirimkan pesan tersandi kuat secara internasional

Methode dan Algortitma
• Kategori Metode Enkripsi
 Dua cara umum pengerjaan enkripsi
 Kunci simetris vs enkripsi kunci public
• Algoritma Metode Enkripsi
 Cara spesifik enkripsi
 Dengan enkripsi kunci simetris: DES, 3DES, AES, IDEA, Blowfish dan algorima RC5
 Dengan enkripsi kunci publik: RSA, Sistem kripto kurva ellips (ECC), El Gamal
Enkripsi Kunci Simetris
• Seluruh pihak menggunakan kunci tunggal untuk enkripsi dan dekripsi
 Pada saat A mengirim ke B
 A mengenkripsi dengan suatu kunci, B dekripsi dengan suatu kunci
 Pada saat B mengirim ke A
 B mengenkripsi degan suatu kunci, A mendekripsi dengan suatu kunci

Problem:
• Kunci simetris harus didistribusikan secara rahasia ke partner atau pencegatnya akan membaca pesan-2 tersebut
• Membutuhkan kunci simetris yang berbeda untuk masing-2 partner bisnis
 Apabila terdapat sejumlah N partner
 Masing-2 butuh berkomunikasi diantaranya
 Maka sejumlah N*(N-1)/2 kunci harus didistribusikan

Triple DES (3DES)
• Menggunakan des 3 kali untuk enkripsi (menggunakan 3 kunci 56 bit dalam 3 tahap enkripsi)
• Tepat untuk jaringan keuangan
• Dengan 3 kunci, akan diperoleh panjang kunci efektif 168 bit
 Enkripsi block dengan kunci pertama
 Dekripsi hasil dengan kunci kedua
 Enkripsi hasil dengan kunci ketiga., kemudian kirim ciphertext
• Dekripsi
 Dekripsi ciphertext dengan kunci ketiga
 Enkripsi hasil dengan kunci kedua
 Dekripsi hasil dengan kunci ketiga
Metode Enkripsi Kunci Publik
• Kunci yang berbeda untuk enkripsi dan dekripsi
• Enkripsi dengan kunci public penerima
• Dekripsi dengan kunci privat penerima
• Setelah di enkripsi, pengirim tidak dapat mendekripsi ciphertext karena tidak memiliki kunci private penerima
• Setiap orang memiliki kunci private dan public
• Simpan private key secara rahasia
• Distribusikan kunci public tanpa kerahasiaan
• Maka setiap orang dapat mengenkripsikan pesan menggunakan public key tersebut
• Hanya anda yang dapat mendekripsi pesan tersebut
• Dibutuhkan 4 kunci untuk komunikasi 2 arah
• Jangan merujuk ke kunci public dan private tanpa menyebutkan kepada siapa kunci publik atau privat yang dirujuk
• Namun membutuhkan pemrosesan yan intensif
• 100 kali lebih lambat dibanding enkripsi kunci simetris
• Hanya mampu mengenkripsi pesan kecil
• Juga sering hanya mampu enkripsiseukuran kunci public (biasanya sekitar ribuan bit karena keterbatasan algoritma nya)

Kombinasi Kunci Simetris Publik
• Enkripsi Kunci Simetris dan Enkripsi kunci Publik saling melengkapi, bukan berkompetisi
• Lebih sering para pada walnya partner berkmonunkasi dengan kunci public
• Termasuk otentikasi awal
• Kemudian salah satu sisi menghasilkan kunci simetris
• Enkripsi kunci simetris dengan kunci public partner dan dikirimkan ke mitra lainnya
• Kedua belah pihak memiliki kunci simetris
• Akhirnya kedua belah pihak berkomunikasi dengan kunci simetris
• Kunci musiman simetris hanya baik untuk session ini – komunikasi alur tunggal

Algoritma Kunci Publik
• Enkripsi kunci public adalah suatu Kategori Metode
 Harus menggunakan Algoritma kunci public spesifik
• RSA
 Algortima kunci public yang luas dipakai
 Telah dipatenkan namun menjadi domain public th 2000
• Elliptical Curve Cryptosystem (ECC)
 Mampu menggunakan key yang lebih kecil dibanding RSA dengan tingkay perlindungan sama
 Lebih cepat dibanding RSA
• Kerahasiaan vs Otentikasi
• Kerahasiaan (Privacy)
1. Interceptor tidak bisa membaca pesan
 Otentikasi: pembuktian identitas pengiriman
2. Problem pemalsuan
3. Menggunakan enkripsi
4. Enkripsi tidak sekedar kerahasiaan

Otentikasi
• Metode otentikasi: Password
 Password pendek mudah ditebak dengan pencarian lengkap
 Password berupa kata-2 umum atau huruf-2 berulang lebih mudah ditebak
 Pemecahan password otomatis sangat efektif untuk password lemah
 User harus dipaksai memilih password yang berisi perubahan besar kecilnya huruf dan angka, seperti Tri6Viial
• Metode-2 Otentikasi
 Biometrik
 Analisa Sidik jari, retina mata dll
 Baru dan belum distandarisasi
 Kartu Otentikasi
 Dimasukkan ke mesin slot
 Biasanya memerlukan Password
 Otentikasi Kunci Public
 Memastikan bahwa pengirim memiliki kunci pribadinya yang seharusnya hanya diketahui dirinya sendiri.

Otentikasi Challenge Response
• Verifier mengirim pesan tantangan kepada peminta otentikasi
 Pesan ini berisi bit-2 teks
• Peminta otentikasi mengirim pesan respon
 Pesan tantangan di enkripsi dengan kunci pribadi peminta otentikasi
• Verifier mengembalikan kode enkripsi pesan respon dengan kunci public yang sesuai
 Apabila sesuai dengan pesan tantangan yang dienkripsi dengan kunci pribadi yang sesuai yang mana hanya pihak yang sesuai saja yang mengetahui
 Peminta akan dianggap otentik
• Frekuensi Otentikasi
 Otentikasi Merespon Tantangan
 Hanya dilakukan pada awal
 Atau bisa dilakukan juga beberapa kali selama session berlangsung
 Otentikasi Tandatangan Digital
 Melakukan otentikasi untuk setiap pesan masuk
 Disebut otentikasi pesan demi pesan
 Juga melakukan pemeriksaan integritas pesan untuk memastikan bahwa pesan tersebut tidak berubah rute
• Otentikasii Kunci Publik

Untuk keperluan Otentikasi, juga mengirim tanda tangan digital untuk setiap paket
• Pertama membuat Daftar Pesan (Message Digest)
• Sekelompok Teks biner dihitung berdasar seluruh bit didalam pesan
Bagaimana membuat daftar pesan
• Biasanya menggunakan proses yang disebut hashing
• Untuk pesan dengan ukuran tertentu hashing akan menghasilkan sejumlah perkiraan ukuran
• MD5: 128 BIT
• SHA-1: 160 bit
• Hashing tidak bisa dibalik
• Tidak bisa kembal ke pesan original apabila diketahui telah di hash
• Menghasilkan daftar pesan yang berkuruan cukup kecil untuk dienkripsi dengan enkripsi kuci public
• Berikutnya membuat tandatangan digital
• Enkripsi daftar pesan dengan kuci Pribadi pengirim yang seharusnya hanya dikethui pengirim
• Juga disebut menandatangai daftar pesan dengan kunci Pribadi pengirim
• Enkripsi mengkombinasikan pesan dan tanda tangan digital dengan kunci session simetris dan mengirim ke receiver
• Hal ini akan memberikan kerahasiaan selama transmisi
• Enkripsi yang mudah dilupakan bersama kunci session simetris
• Receiver akan mendekripsi ciphertext yang datang dengan kunci session simetris
• Kemudian mendekripsi tandatangan digital dengan kunci publik yang sah untuk memperoleh daftar pesan original
• Ini menjadi Daftar Pesan Terkirim
• Digital signature di dekripsi dengan kunci public yang sah untuk memperoleh daftar pesan original (daftar pesan terkirim)
• Receiver akan hash text asli seperti yang dilakukan pengirim (daftar pesan terkomputerisasi)
• Digital Signature juga menghasilkan benefit kedua: Integritas Pesan
• Membuktikn bahwa pesan belum dibelokkan
• Apabila pesan berubah karena error maupun serangan tertentu, tidak akan cocok dengan daftar pesan

Digital Certificate
• Kecurangan terhadap Kunci Publik
• Pemalsu mengklaim sebagai pihak yang sah
 Pihak yang sah memiliki kunci public dan Pribadi
 Pemalsi juga memiliki kunci public dan Pribadi
• Pemalsu mengirim kunci public miliknya ke verifier
 Menyatakan bahwa “ini adalah public key yang sah”
 Ini merupakan tahapan kritis Kecurangan
 Pemalsu akan diotentikasi menggunakan sembarang metode otentikasi kunci public

• Dibuat oleh Badan Sertifikasi
 Badan Sertifikasi adalah pihak ketiga yang dipercaya
 Saat ini belum diatur dalam regulasi
• Badan Sertifikasi
Anda sebaiknya menggunakan badan sertifikasi yang dipercaya
Perusahaan dapat memliki badan sertifikasi internal untuk otentikasi system hardware dan softwarenya

• Menegaskan bahwa pihak yang sah memiliki kunci publik dalam sertifikat digital
 Memberikan pasangan kunci nama-publik
 Untuk mencegah kecurangan menggunakan kunci public
 Field-2 dan isinya menggunakan standard ITU-T X.509
 Tidak menjamin integrity pihak-2 yang dikenal, hanya public key nya saja

• Masing-2 sertifikat digital memiliki digital signature, dienkripsi oleh kunci Pribadi badan sertifikasi (CA)
• Receiver digital signature dengan kunci public Badan sertifikasi yang dikenal baik
• Menghasilkan integritas pesan sehingga pemalsu tidak bisa merubah nama field didalam digital certificate menjadi miliknya

• Badan Sertifikasi dapat menarik digital certificate sebelum tanggal kadaluarsa yang tercantum didalam digital certificate
• Nomor ID Sertifikat yang ditarik akan dimasukkan dalam daftar penarikan sertifikat (CRL)
• Verifier harus memeriksakan kepada badan sertifikasi apakah suatu digital certificate didalam CRL
• Tanpa check CRL, digital certificate tidak mendukung otentikasi

Rekap
• Digital certificate memberikan kunci public pihak-2 yang dikenal
• Ini diperlukan pada saat otentikasi public untuk menghindarkan pemalsuan kunci public
• Namun digital certificate sendiri tidak menghasilkan otentikasi
• Harus digunakan bersama-2 dengan digital signature dan otentikasi response-tantangan

Public Key Infrastructure (PKI)
• Untuk menggunakan metode key public, suatu organisasi harus mempersiapkan Infrastruktur Kunci Publik yang komprehensif
• PKI akan mengotomatisasi hampir seluruh aspek penggunaan kunci public untuk enkripsi dan otentikasi
• Menggunakan server PKI
• Server PKI akan membuat pasangan-2 Kunci Pribadi-Kunci Publik
• Mendistribusikan kunci Pribadi ke pemohon dengan cara yang aman
• Kunci Pribadi sering disatukan dalam software yang dikirim
• Server PKI akan memeriksa CRL

Mendisitribusikan digital certificate ke verifier

Memeriksa daftar penarikan sertifikat sebelum mengirim digital certificate
• Pemeriksaan CRL
 Pada saat pemohon memberikan digital certificate kepada verifier
 Verifier kemudian akan memeriksa daftar penarikan sertifikat