Sabtu, 22 Mei 2010

Seputar Keamanan E-Commerce


Seputar Keamanan E-Commerce

  • E-Commerce (Electronic Commerce) adalah satu set dinamis teknologi, aplikasi dan proses bisnis yang menghubungkan perusahaan, konsumen dan komunitas tertentu melalui transaksi elektronik dan perdagangan barang, pelayanan dan informasi yang dilakukan secara elektronik.



  • KONSEP DASAR KEAMANAN e-Commerce
  1. Secure Socket Layer
  • Informasi yang dikirim melalui Internet biasanya menggunakan seperangkat aturan yang disebut TCP / IP (Transmission Control Protocol / Internet Protocol). Informasi ini dibagi menjadi paket-paket dan bernomor secara berurutan. Masing-masing paket dikirim melalui rute yang berbeda. PKI dan SSL menggunakan sertifikat digital untuk memastikan privasi dan otentikasi. Prosedur adalah seperti client mengirimkan pesan ke server, yang menjawab dengan sertifikat digital. Menggunakan PKI, server dan client bernegosiasi untuk membuat sesi kunci, yang merupakan kunci rahasia simetris khusus diciptakan untuk transmisi tertentu. Setelah sesi kunci sepakat, komunikasi berlanjut dengan sesi ini kunci dan sertifikat digital.
  • PCI, SET, Firewalls and Kerberos : PCI, SET, Firewall dan Kerberos
  • Standar enkripsi yang digunakan e-commerce saat ini adalah SET (Secure Electronic Transaction). Selain digunakan untuk pembayaran dengan credit card, SET juga digunakan untuk pembayaran dengan smartcard. Dengan menggunakan SET, kerahasiaan informasi customer (berupa nama dan nomor kartunya) bisa terjaga dengan baik. SET juga bisa menjaga autotentifikasi atau identitas penjual dan customer, sehingga tidak bisa disalahgunakan oleh sembarang orang.
  • SET menggunakan suatu kriptografi khusus bernama asymmetric cryptography untuk menjamin keamanan transaksi. Asymmetric cryptography ini juga disebut dengan nama Public-key Cryptography. Enkripsi ini menggunakan dua kunci/key (yaitu kode), satu kunci digunakan untuk meng-enkripsi data, dan kunci lainnya untuk men-dekripsi data tersebut. Kedua kunci tersebut terhubung secara matematis dengan rumus tertentu, sehingga data yang telah di-enkripsi oleh suatu kunci hanya bisa di-dekripsi dengan menggunakan kunci pasangannya.
  • Rincian kartu kredit dapat dikirim secara aman dengan SSL, tetapi sekali tersimpan di server mereka rentan terhadap luar hacking ke server dan jaringan yang menyertainya. Kartu PCI (peripheral component interconnect: hardware) sering ditambahkan untuk perlindungan, oleh karena itu, atau pendekatan lain sama sekali diterapkan: SET (Secure Electronic Transaction). Dikembangkan oleh Visa dan Mastercard, SET menggunakan PKI untuk privasi, dan sertifikat digital untuk autentikasi yang tiga pihak: pedagang, nasabah dan bank. Lebih penting lagi, informasi yang sensitif tidak dilihat oleh para pedagang, dan tidak disimpan di server pedagang.
  • Firewall (perangkat lunak / perangkat keras) melindungi server, jaringan dan individu PC dari serangan virus dan hacker. Tidak kalah pentingnya adalah perlindungan dari kejahatan atau kecerobohan dalam sistem, dan banyak perusahaan yang menggunakan protokol Kerberos, yang menggunakan kriptografi kunci rahasia simetrik untuk membatasi akses ke karyawan yang berwenang.
  • Faktor pendorong muncul dan berkembangnya keamanan e-Commerce:
  1. Kemajuan infrasutruktur sistem komunikasi
  2. Meledaknya sistem perdagnagn global
  3. Sistem perdagangan real time
  4. Meningkatkan rasa pengertian/penghargaan terhadap segala resiko yang mungkin terjadi
  5. Tersedianya teknologis sistem keamanan (security)
  6. Sistem keamanan sebagai aset yang berharga
  7. Politik
  8. Pengakuan terhadap pernyataan sah
  • Tujuan-tujuan Sistem Keamanan Informasi:
- Confidentially : menjamin apakah informasi yang dikirim tersebut tidak dapat dibuka atau tidak dapat diketahui oleh orang lain yang tidak berhak.
- Integrity : menjamin konsistensi data tersebut apakah masih utuh sesuai aslinya atau tidak, sehingga upaya orang-orang yang tidak bertanggung jawab untuk melakukan penduplikatan dan perusakan data bisa dihindari.
- Availability : menjamin pengguna yang sah agar dapat mengakses informasi dan sumber miliknya sendiri.
- Legitimate Use: menjamin kepastian bahwa sumber tidak digunakan oleh orang-orang yang tidak bertanggung jawab.
  • Sistem Keamanan Informasi:
Merupakan penerapan teknologi untuk mencapai tujuan-tujuan keamanan system informasi dengan menggunakan bidang-bidang utama yaitu:
- Sistem Keamanan Komunikasi (Communications security) merupakan perlindungan terhadap informasi ketika di kirim dari sebuah sistem ke sistem lainnya.
- Keamanan Komputer (Computer security) adalah perlindungan terhadap sistem informasi komputer itu sendiri.
- Keamanan secara fisik seperti pengamanan oleh penjaga keamanan, pintu yang terkunci, sistem control fisik lainnya, dan sebagainya.
- Keamanan Personal meliputi kepribadian orang-orang yang mengoperasikan atau memilki hubungan langsung dengan sistem tersebut.
- Keamanan administrative contohnya mengadakan control terhadap perangkat-perangkat lunak yang digunakan, mengecek kembali semua kejadian-kejadian yang telah diperiksa sebelumnya dan sebagainya.
- Keamanan media yang digunakan meliputi pengontrolan terhadap media penyimpanan yang ada dan menjamin bahwa media penyimpanan yang mengandung informasi sensitive tersebut tidak mudah hilang begitu saja.

  • Threats(ancaman):
- System Penetration: orang-orang yang tidak berhak, mendapatkan akses ke sistem computer dan diperbolehkan melakukan segalanya.
- Authorization Violation: Ancaman berupa pelanggaran atau penayalahgunaan wewenang legal yang dimiliki oleh seseoarang yang berhak.
- Planting: Ancaman yang terencana misalnya Trojan horse yang masuk secara diam-diam yang akan melakukan penyerangan pada waktu yang telah ditentukan.
- Communications Monitoring: penyerang dapat melakukan monitoring semua informasi rahasia.
- Communications Tampering: penyerang mengubah informasi transaksi di tengah jalan pada sebuah jaringan komunikasi dan dapat mengganti sistem server dengan yang palsu.
- Denial of Service (DoS): Penolakan service terhadap client yang berhak.
- Repudiation: Penolakan terhadap sebuah aktivitas transaksi atau sebuah komunikasi yang terjadi dikarenakan sesuatu yang bersifat senagja, kecelakaan ataupun kesalahan teknis lainnya.
  • Safeguards:
Yang dilakukan safeguards yaitu:
- Mencegah munculnya threats (ancaman) sebelum benar-benar terealisasi
- Meminimalisasikan kemungkinan terjadinya ancaman tersebut.
- Mengurangi akibat yang timbul karena ancaman yang sudah terealisasi.
  • Security service safe guards:
- Authentication Service: memberikan kepastian identitas pengguna.
a. Entity authentication: contohnya password.
b. Data origin authentication: membuktikan sah tidaknya identitas dalam bentuk pesan tertulis.
- Access Control Services: melindungi semua fasilitas dan sumber-sumber yang ada dari akses-akses yang tidak berhak.
- Confidentiality Service: memberikan perlindungan terhadap informasi yang berusaha disingkap oleh orang lain yang tidak berhak.
- Data Integrity Srevice: perlindungan terhadap ancaman yang dapat mengubah data item seandainya ini terjadi di dalam lingkungan security policy.
- Non-Repudiation Service: melindungi user melawan ancaman yang berasal dari user berhak lainnya seperti kesalahan penolakan ketika transaksi atau komunikasi sedang terjadi

0 komentar on "Seputar Keamanan E-Commerce"

Posting Komentar

Sabtu, 22 Mei 2010

Seputar Keamanan E-Commerce

Seputar Keamanan E-Commerce

  • E-Commerce (Electronic Commerce) adalah satu set dinamis teknologi, aplikasi dan proses bisnis yang menghubungkan perusahaan, konsumen dan komunitas tertentu melalui transaksi elektronik dan perdagangan barang, pelayanan dan informasi yang dilakukan secara elektronik.



  • KONSEP DASAR KEAMANAN e-Commerce
  1. Secure Socket Layer
  • Informasi yang dikirim melalui Internet biasanya menggunakan seperangkat aturan yang disebut TCP / IP (Transmission Control Protocol / Internet Protocol). Informasi ini dibagi menjadi paket-paket dan bernomor secara berurutan. Masing-masing paket dikirim melalui rute yang berbeda. PKI dan SSL menggunakan sertifikat digital untuk memastikan privasi dan otentikasi. Prosedur adalah seperti client mengirimkan pesan ke server, yang menjawab dengan sertifikat digital. Menggunakan PKI, server dan client bernegosiasi untuk membuat sesi kunci, yang merupakan kunci rahasia simetris khusus diciptakan untuk transmisi tertentu. Setelah sesi kunci sepakat, komunikasi berlanjut dengan sesi ini kunci dan sertifikat digital.
  • PCI, SET, Firewalls and Kerberos : PCI, SET, Firewall dan Kerberos
  • Standar enkripsi yang digunakan e-commerce saat ini adalah SET (Secure Electronic Transaction). Selain digunakan untuk pembayaran dengan credit card, SET juga digunakan untuk pembayaran dengan smartcard. Dengan menggunakan SET, kerahasiaan informasi customer (berupa nama dan nomor kartunya) bisa terjaga dengan baik. SET juga bisa menjaga autotentifikasi atau identitas penjual dan customer, sehingga tidak bisa disalahgunakan oleh sembarang orang.
  • SET menggunakan suatu kriptografi khusus bernama asymmetric cryptography untuk menjamin keamanan transaksi. Asymmetric cryptography ini juga disebut dengan nama Public-key Cryptography. Enkripsi ini menggunakan dua kunci/key (yaitu kode), satu kunci digunakan untuk meng-enkripsi data, dan kunci lainnya untuk men-dekripsi data tersebut. Kedua kunci tersebut terhubung secara matematis dengan rumus tertentu, sehingga data yang telah di-enkripsi oleh suatu kunci hanya bisa di-dekripsi dengan menggunakan kunci pasangannya.
  • Rincian kartu kredit dapat dikirim secara aman dengan SSL, tetapi sekali tersimpan di server mereka rentan terhadap luar hacking ke server dan jaringan yang menyertainya. Kartu PCI (peripheral component interconnect: hardware) sering ditambahkan untuk perlindungan, oleh karena itu, atau pendekatan lain sama sekali diterapkan: SET (Secure Electronic Transaction). Dikembangkan oleh Visa dan Mastercard, SET menggunakan PKI untuk privasi, dan sertifikat digital untuk autentikasi yang tiga pihak: pedagang, nasabah dan bank. Lebih penting lagi, informasi yang sensitif tidak dilihat oleh para pedagang, dan tidak disimpan di server pedagang.
  • Firewall (perangkat lunak / perangkat keras) melindungi server, jaringan dan individu PC dari serangan virus dan hacker. Tidak kalah pentingnya adalah perlindungan dari kejahatan atau kecerobohan dalam sistem, dan banyak perusahaan yang menggunakan protokol Kerberos, yang menggunakan kriptografi kunci rahasia simetrik untuk membatasi akses ke karyawan yang berwenang.
  • Faktor pendorong muncul dan berkembangnya keamanan e-Commerce:
  1. Kemajuan infrasutruktur sistem komunikasi
  2. Meledaknya sistem perdagnagn global
  3. Sistem perdagangan real time
  4. Meningkatkan rasa pengertian/penghargaan terhadap segala resiko yang mungkin terjadi
  5. Tersedianya teknologis sistem keamanan (security)
  6. Sistem keamanan sebagai aset yang berharga
  7. Politik
  8. Pengakuan terhadap pernyataan sah
  • Tujuan-tujuan Sistem Keamanan Informasi:
- Confidentially : menjamin apakah informasi yang dikirim tersebut tidak dapat dibuka atau tidak dapat diketahui oleh orang lain yang tidak berhak.
- Integrity : menjamin konsistensi data tersebut apakah masih utuh sesuai aslinya atau tidak, sehingga upaya orang-orang yang tidak bertanggung jawab untuk melakukan penduplikatan dan perusakan data bisa dihindari.
- Availability : menjamin pengguna yang sah agar dapat mengakses informasi dan sumber miliknya sendiri.
- Legitimate Use: menjamin kepastian bahwa sumber tidak digunakan oleh orang-orang yang tidak bertanggung jawab.
  • Sistem Keamanan Informasi:
Merupakan penerapan teknologi untuk mencapai tujuan-tujuan keamanan system informasi dengan menggunakan bidang-bidang utama yaitu:
- Sistem Keamanan Komunikasi (Communications security) merupakan perlindungan terhadap informasi ketika di kirim dari sebuah sistem ke sistem lainnya.
- Keamanan Komputer (Computer security) adalah perlindungan terhadap sistem informasi komputer itu sendiri.
- Keamanan secara fisik seperti pengamanan oleh penjaga keamanan, pintu yang terkunci, sistem control fisik lainnya, dan sebagainya.
- Keamanan Personal meliputi kepribadian orang-orang yang mengoperasikan atau memilki hubungan langsung dengan sistem tersebut.
- Keamanan administrative contohnya mengadakan control terhadap perangkat-perangkat lunak yang digunakan, mengecek kembali semua kejadian-kejadian yang telah diperiksa sebelumnya dan sebagainya.
- Keamanan media yang digunakan meliputi pengontrolan terhadap media penyimpanan yang ada dan menjamin bahwa media penyimpanan yang mengandung informasi sensitive tersebut tidak mudah hilang begitu saja.

  • Threats(ancaman):
- System Penetration: orang-orang yang tidak berhak, mendapatkan akses ke sistem computer dan diperbolehkan melakukan segalanya.
- Authorization Violation: Ancaman berupa pelanggaran atau penayalahgunaan wewenang legal yang dimiliki oleh seseoarang yang berhak.
- Planting: Ancaman yang terencana misalnya Trojan horse yang masuk secara diam-diam yang akan melakukan penyerangan pada waktu yang telah ditentukan.
- Communications Monitoring: penyerang dapat melakukan monitoring semua informasi rahasia.
- Communications Tampering: penyerang mengubah informasi transaksi di tengah jalan pada sebuah jaringan komunikasi dan dapat mengganti sistem server dengan yang palsu.
- Denial of Service (DoS): Penolakan service terhadap client yang berhak.
- Repudiation: Penolakan terhadap sebuah aktivitas transaksi atau sebuah komunikasi yang terjadi dikarenakan sesuatu yang bersifat senagja, kecelakaan ataupun kesalahan teknis lainnya.
  • Safeguards:
Yang dilakukan safeguards yaitu:
- Mencegah munculnya threats (ancaman) sebelum benar-benar terealisasi
- Meminimalisasikan kemungkinan terjadinya ancaman tersebut.
- Mengurangi akibat yang timbul karena ancaman yang sudah terealisasi.
  • Security service safe guards:
- Authentication Service: memberikan kepastian identitas pengguna.
a. Entity authentication: contohnya password.
b. Data origin authentication: membuktikan sah tidaknya identitas dalam bentuk pesan tertulis.
- Access Control Services: melindungi semua fasilitas dan sumber-sumber yang ada dari akses-akses yang tidak berhak.
- Confidentiality Service: memberikan perlindungan terhadap informasi yang berusaha disingkap oleh orang lain yang tidak berhak.
- Data Integrity Srevice: perlindungan terhadap ancaman yang dapat mengubah data item seandainya ini terjadi di dalam lingkungan security policy.
- Non-Repudiation Service: melindungi user melawan ancaman yang berasal dari user berhak lainnya seperti kesalahan penolakan ketika transaksi atau komunikasi sedang terjadi

Tidak ada komentar:

Posting Komentar

Followers

 

Welcome

Bunga Siti Anessya (Ungo) Copyright 2009 Shoppaholic Designed by Ipietoon Image by Tadpole's Notez