E-Commerce
E-Commerce (Electronic Commerce) adalah satu set dinamis teknologi, aplikasi dan proses bisnis yang menghubungkan perusahaan, konsumen dan komunitas tertentu melalui transaksi elektronik dan perdagangan barang, pelayanan dan informasi yang dilakukan secara elektronik misalnya transaksi jual-beli barang dan jasa secara online.
E-Commerce (Electronic Commerce) adalah satu set dinamis teknologi, aplikasi dan proses bisnis yang menghubungkan perusahaan, konsumen dan komunitas tertentu melalui transaksi elektronik dan perdagangan barang, pelayanan dan informasi yang dilakukan secara elektronik misalnya transaksi jual-beli barang dan jasa secara online.
Jenis e-commerce yaitu :
—
Business to business (B2B)
—
Business to consumer (B2C)
—
Consumer to consumer (C2C)
Faktor
Keamanan
—
Pengelolaan dan penjagaan keamanan secara fisik.
Penambahan
perangkat-perangkat elektronik (perangkat lunak dan perangkat keras) untuk
melindungi data, sarana komunikasi serta transaksi
Pilar Keamanan Sistem E-Commerce
—
Authentication (keabsahan pengirim)
—
Identitas pengguna/pengirim data teridentifikasi (tidak ada kemungkinan
penipuan)
—
Confidentiality (kerahasiaan data)
—
data tidak dapat dibaca oleh pihak yang tidak berhak
—
Integrity (keaslian data)
—
data tidak dapat diubah secara tidak sah
—
Non-Repudiation (anti-penyangkalan)
—
tidak ada penyangkalan pengiriman data (dari pihak penerima terhadap pihak
pengirim)
Ancaman
Keamanan dan Solusi
- Pencegatan data , pembacaan dan modifikasi data secara tidak sah
- Kecurangan (fraud) yang dilakukan oleh orang-orang yang identitasnya tidak diketahui
- Akses yang tidak sah oleh seseorang terhadap data milik orang lain.
Solusi
- Enkripsi (Menyandikan data)
- Otentifikasi (Melakukan verifikasi terhadap identitas pengirim dan penerima)
- Firewall ( Menyaring serta Melindungi lalu lintas data di jaringan atau server)
Meningkatkan
keamanan (sisi bisnis)
—
Risk analysis untuk menentukan aset dan resiko
—
Bagaimana dampak lubang keamanan terhadap bisnis?
—
Buat rencana (plan) dan alokasikan dana (budget)
—
Tentukan kebijakan
Meningkatkan
keamanan (sisi teknis)
Didalam transaksi e-commerce bisa terjadi penyadapan, misalnya penyadapan
informasi kartu kredit cardholder. Untuk mengatasi hal tersebut, dikembangkan
beberapa bentuk sistem pengamanan dalam bertransaksi. Sistem tersebut
menggunakan metode enkripsi atau yang lebih dikenal dengan kriptografi yaitu
metode penyajian suatu pesan atau data yang terkirim melalui jaringan publik
dengan kunci – kunci (keys) tertentu yaitu :
—
Penggunaan kunci publik (public key)
—
Kebutuhan Infrastruktur Kunci Publik (IKP)/ [Public Key Infrastructure -
PKI]
—
Certification Authority (CA)
—
Public key server, Certificate Repository
—
Certificate Revocation Lists (CRL)
—
Penggunaan smartcard dapat membantu
Ada beberapa teknologi enkripsi yang cukup popular diantaranya:
Secure
Socket Layer(SSL)
Digunakan
untuk mengamankan komunikasi web HTTP antara browser dan web browser. SSL
menggunakan tiga protocol yaitu SSL Handshake Protokol(tempat berlangsungnya
session yang terjadi antara client dan SSL server),SSL Change Chiper Spec
Protocol (memberikan persetujuan kepada chippersuite ketika session sedang
berlangsung), SSL Alert Protokol(menyampaikan pesan error SSL antara SSL server
dengan client).
Kombinasi Publik Key/Private Key Publik key
Kombinasi Publik Key/Private Key Publik key
adalah
kunci yang dikenal oleh umum,sedangkan private key merupakan kunci yang
diketahui oleh pemiliknya. Ada perbedaaan dalam private key dan public key
yaitu private key menggunakan satu kunci untuk melakukan proses enkripsi dan
deskripsi,sedangkan public key mengunakan kunci yang berbeda.
Private key memiliki keuntungan yaitu operasinya cepat, sedangkan public key mempunyai kekurangan yaitu membutuhkan komputasi yang tinggi dan membutuhkan key repository.
Certification Authority(CA)/digital signature Digital signature
Private key memiliki keuntungan yaitu operasinya cepat, sedangkan public key mempunyai kekurangan yaitu membutuhkan komputasi yang tinggi dan membutuhkan key repository.
Certification Authority(CA)/digital signature Digital signature
adalah
suatu konsep yang memungkinkan penerima informasi untuk menguji terlebih dahulu
keaslian informasi yang didapat dan juga untuk menyediakan bahwa data yang diterimanya
dalam keadaan utuh. Digital signature sebenarnya bukan merupakan tanda tangan
yang kita kenal melainkan suatu cara untuk menandai suatu dokumen sehingga
dokumen atau data tersebut tidak hanya mengidentifikasi pengirim, namun
memastikan keutuhan dokumen sehingga tidak berubah selama proses transmisi.
Certification Authority merupakan pihak ketiga yang dipercaya untuk membangun
antara sepasang public atau private key dangan individu. Certification
Authority ini akan memberikan suatu sertifikat digital yang menunjukkan
identitas dari pengguna.
Secure Electronic Transactions(SET) SET
Secure Electronic Transactions(SET) SET
merupakan
gabungan antara teknologi public/ private key dengan digital signature. Pada
enkripsi, public key menggunakan enkripsi 56 bit sampai dengan 1024 bit,
sehingga tingkat kombinasi enkripsinya pun sangat tinggi. Didalam bertransaksi,
CA membuatkan sertifikat digital yang berisi informasi jati diri dan kunci
publik cardholder, berikut informasi nomor kartu kredit yang
‘disembunyikan’,sehingga cardholder seperti mempunyai “KTP” digital. Biaya
pengembangan infrastruktur SET relative sangat mahal, sehingga ini merupakan
salah satu kerugiannya.
Keamanan
untuk Jaringan: Firewall
—
Saat kita menghubungkan sumberdaya perusahaan ke jaringan publik seperti
internet, kita meletakkan data-data & sistem komputer kita dlm keadaan yg
beresiko tinggi. Tanpa menggunakan firewall, baik keamanan data maupun
integritas data merupakan sasaran serangan bagi para hacker.
—
Firewall dpt melindungi serangan-serangan pada protokol individual atau
aplikasi, dan dapar secara efektif melindungi sistem komputer dari spoofing
(program2 merusak yg menyamar sebagai aplikasi2 yg bermanfaat)
Audit Keamanan Jaringan Komputer
Secara garis besar, audit terhadap sebuah sistem keaman
jaringan komputer kedalam kategori yaitu: aduti terhadap hak ases (privilege
audit), audit terhadap penggunaan sumber daya (usage audit), audit terhadapt
eskaliasi (escalation audit).
1. Privilage Audit
Audit jenis ini tujuannya adalah untuk melakukan verifikasi
apakah “group”, “roles” dan “account” sudah diterapkan dengan tepat dalam
sebuah organisasi dan keamanan yang diterapkan didalamnya juga sudah tepat.
Audit ini juga melakukan verifikasi apakah kebijakan – kebijakan yang
diterapkan dalam sebuah organisasi diikuti dengan benar atau belum sudah akurat
atau belum dan apakah akses ke sistem sudah di terapkan dengan benar.
Privilege audit dilakukan dengan cara melakukan review
secara lengkap terhadap semua “group” dan “accont” dalam sebuah sistem jaringan
untuk sebuah organisasi. Misalnya, ketika seseorang karyawan dimutasi dalam
sebuah organisasi, maka nama karyawan tersebut seharusnya dihapus dari grup
yang sama. Kesalahan dalam melakukan hal tersebut dapat menyebabkan seseorang
user bisa mendapatkan akses lebih tinggi yang seharusnya didapatkan oleh user
tersebut.
2. Usage Audit
Audit
jenis ini melakukan verifikasi apakah perangkat lunak dan sistem yang digunakan
dalam sebuah organisasi dipakai secara konsisten dan tepat sesuai dengan
kebijakan yang berlaku dalam organisasi tersebut. Audit ini akan melakukan
review secara lengkap dari sis fisik sebuah sistem, men-verifikasi konfigurasi
perangkat lunak dan aktifitas secara yang lain.
Perhatikan yang utama dari audit ini adalah bagaimana
peng-instalan dan lisensi perangkat lunak dengan benar. Organisasi harus
menguji secara berkala untuk melakukan verifikasi bahwa hanya perangkat lunak
yang dilisensi oleh organisasi tersebut yang boleh di install di setiap
komputer yang ada dalam organisasi tersebut.
Selain masalah perangkat lunak dan keamanan fisik sistem yang di audit, hal
yang juga menjadi perimbangan adalah masalah lubang keamanan yang mungkin saja
ditimbulkan oleh perangkat lunak yang di install di dalam sistem organisasi
tersebut. Sehingga harus dapat dipastikan bahwa perangkat lunak perangkat lunak
di install tersebut di update sesuadu dengan kebutuhanya.
Audit ini juga melakukan pengujian terhadap penggunaan jaringan komputer dalam
sebuah organisasi. Pengecekan dilakukan untuk mengetahui apakah sumber daya
jaringan komputer digunakan penggunaanya akan diberi tanda oleh proses audit
ini dan dapat dihentikan sebelum hal ini menjadi masalah di kemudian hari.
3. Escalation Audit
Eskalasi audit menfokuskan seputar bagaimana pihak
manajemen/decision makes mengendalikan sistem jaringan jika menemukan masalah
darurat terhadap sistem tersebut.
Jenis audit ini akan melakukan pengujian bagaimana sebuah
organisasi mampu menghadapi masalah – masalah yang mungkin muncul ketika
keadaan darurat terjadi. Misalnya pengujian dan proses verifikasi sistem
terhadap “disaster recovery plans” dan “business continuity plans” . jenis –
jenis perencanan ini dapat menjadi “outdated” secara cepat dan sebuah proses
audit dapat digunakan untuk menjamin bahwa segala sesuatu segala sesuatunya
dapat diselesaikan dan rencana – rencana tersebut dapat sukses diterapkan jika
masalah terjadi pada sistem jaringan komputer.
4. Tools IT Audit
Tools
yang dapat digunakan untuk membantu pelaksaan Audit Teknologi Informasi. Tidak
dapat dipungkiri, penggunaan tool – tool tersebut memang sangat membantu
Auditor Teknologi Informasi menjalankan profesinya, baik dari sisi kecepatan
maupun akurasinya.
Akses control pada sumber komputasi
Kontrol akses benar-benar teknik keamanan yang dapat dirancang untuk
mengatur siapa atau jadi apa yang dilakukan pandangan atau penggunaan sumber
daya dalam lingkungan komputasi.
Sebagai aplikasi web selalu menghadapi serangan canggih, melindungi mereka membutuhkan lebih fine-tuning dalam upaya untuk mencocokkan karakteristik yang berbeda aplikasi Anda. Mengambil keuntungan dari panduan tiga bagian untuk mengakses praktik terbaik untuk meningkatkan pertahanan web Anda dan menemukan terbaru dalam bagaimana Anda dapat mengamankan aplikasi web di jaringan perusahaan Anda.
Sebagai aplikasi web selalu menghadapi serangan canggih, melindungi mereka membutuhkan lebih fine-tuning dalam upaya untuk mencocokkan karakteristik yang berbeda aplikasi Anda. Mengambil keuntungan dari panduan tiga bagian untuk mengakses praktik terbaik untuk meningkatkan pertahanan web Anda dan menemukan terbaru dalam bagaimana Anda dapat mengamankan aplikasi web di jaringan perusahaan Anda.
Akan ada dua jenis utama dari kontrol akses: fisik dan logis. Akses fisik batas kontrol masuk ke kampus-kampus, bangunan, kamar dan properti IT fisik. Batas akses logis koneksi ke jaringan komputer, file sistem dan data.
Empat kategori utama kontrol akses adalah:
·
Kendali
akses mandatory
·
Kontrol
akses discretionary
·
Kontrol
akses berbasis peran
·
Kontrol
akses berbasis aturan
Tidak ada komentar:
Posting Komentar