Nama /NPM : Tuffahati Meydina W Putri (200661183)

Mata Kuliah : Manajemen Sekuriti Informasi

Dosen : Dr. Basir. S, S.E., M.M.

Hari Tanggal : Jumat, 15 Oktober 2021

TUGAS MANDIRI 4

Security Solutions

Information resources are always vulnerable one way or another to compromise, spoofing,
or denial, no matter how they are configured, no matter where they are located on the
network, and despite all traffic control security solutions adopted. With the current increase
in connectivity these security disruptions will become more and more likely. Information
security, has hence become very critical especially for those information resources with
highly sensitive information and high availability requirements. Information protection is not a
goal in itself but rather the reduction of owners harm resulting from it. Pada bab ini dijelaskan
beberapa security solutions yang dapat digunakan untuk menyelesaikan masalah keamanan
sekuriti, yaitu Security management, Cryptography, Access Control, Traffic Control, Security
analysis dan Physical.

Sumber daya informasi selalu rentan mengalami compromise, spoofing, atau denial
tidak peduli bagaimanapun informasi tersebut dikonfigurasi, letak informasi tersebut di
jaringan, dan meskipun semua solusi keamanan traffic control digunakan. Dengan
peningkatan konektivitas saat ini, gangguan keamanan ini akan semakin mungkin terjadi.
Keamanan informasi, karenanya menjadi sangat penting terutama bagi sumber daya
informasi yang tergolong informasi yang sangat sensitive dan persyaratan ketersediaan
yang tinggi. Perlindungan informasi sejatinya bertujuan untuk mengurangi kerugian pemilik
yang diakibatkan ‘harm’ terhadap informasi tersebut. Pada bab ini dijelaskan beberapa
security solutions yang dapat digunakan untuk menyelesaikan masalah keamanan sekuriti
informasi, yaitu Security management, Cryptography, Access Control, Traffic Control,
Security analysis dan Physical.

There are two main components in organizational security, yaitu effectiveness in securing
the system and information security management system. While the first component of
organizational security concerns the 12 security points enforced by ISO 27002 [4], the
second component translates all security requirements of ISO/IEC 27001 [3].

Security Management
An information security management system (ISMS) is an information assurance framework
adopted to manage information security based on a systematic business risk approach, to
establish, implement, operate, monitor, review, maintain, and improve information security.
ISO/IEC 27001 is an international standard for information security that focuses on an
organization’s ISMS. The ISO/IEC 27001 aims to ensure that adequate controls, addressing
confidentiality, integrity, and availability of information, are in place to safeguard
organizational information. The ISMS design is actually extracted from Annex A provided at
the end of the document containing the ISO/IEC 27001.

Sistem manajemen keamanan informasi (ISMS) adalah kerangka kerja jaminan informasi
yang diadopsi untuk mengelola keamanan informasi berdasarkan pendekatan risiko bisnis
yang sistematis, untuk menetapkan, menerapkan, mengoperasikan, memantau, meninjau,
memelihara, dan meningkatkan keamanan informasi. ISO/IEC 27001 adalah standar
internasional untuk keamanan informasi yang berfokus pada Sistem manajemen keamanan
informasi organisasi. ISO/IEC 27001 bertujuan untuk memastikan bahwa kontrol yang
memadai, menangani kerahasiaan, integritas, dan ketersediaan informasi, hadir serta
tersedia untuk melindungi informasi organisasi.

Sophisticated computing management systems is called as system consoles. These units

were generally hooked up to mainframes sitting in a data center and used to schedule jobs,
perform backups, and fix problems. While system management tools focus on operating
systems, transactions, data files, and databases as they exist across servers, storage
controllers, and disks, network management tools focus on packets and connections as they
exist over network devices, network interfaces, and transmission links. System and network
consoles are now converging into a single class some call enterprise system management
(ESM) tools. Simple Network Management Protocols (SNMP) is a TCP/IP protocol purpose-
built to serve as a communications channel for network management operating at the
application layer of the IP stack. SNMP has two major components: a network management
station and agents. Agents are small code components that reside on managed devices and
can be configured to collect specific pieces of information on device operation. Information
collected includes for example, total bytes, total packets, total errors, etc.

Sistem manajemen komputasi yang canggih disebut sebagai system consoles. Unit-unit ini
umumnya terhubung ke mainframe yang ada di pusat data dan digunakan untuk
menjadwalkan pekerjaan, melakukan pencadangan, dan memperbaiki masalah. Alat
manajemen sistem fokus pada sistem operasi, transaksi, file data, dan basis data seperti
yang ada di server, pengontrol penyimpanan, dan disk, sementara Alat manajemen jaringan
fokus pada paket dan koneksi karena ada melalui perangkat jaringan, antarmuka jaringan,
dan link transmisi.saat ini system and network consoles berkembang menjadi satu kelas
yang sering disebutkan sebagai alat manajemen sistem perusahaan (Enterprise system
management). Simple Network Management Protocols (SNMP) adalah protokol TCP/IP
yang dibuat khusus untuk berfungsi sebagai saluran komunikasi untuk manajemen jaringan
yang beroperasi pada application layer of the IP stack. SNMP memiliki dua komponen
utama, yaitu stasiun manajemen jaringan dan agen. Agen adalah komponen kode kecil
yang berada di perangkat yang dikelola dan dapat dikonfigurasi untuk mengumpulkan
informasi tertentu mengenai pengoperasian perangkat. contoh Informasi yang dikumpulkan
misalnya, total byte, total paket, total kesalahan, dll.

Cryptograpic Solutions

The plaintext message is transformed using a set of mathematical algorithms into a new
message in a ciphertext form that reveals no meaningful information to a viewer who does
not know how to decrypt it.The plaintext message is transformed using a set of mathematical
algorithms into a new message in a ciphertext form that reveals no meaningful information to
a viewer who does not know how to decrypt it. Cryptography is the science and art of writing
in secret code.

Kriptografi adalah ilmu dan seni menulis dalam kode rahasia. Kriptografi adalah penggunaan
teknik matematika untuk meningkatkan keamanan informasi seperti aspek kerahasiaan,
integritas data, otentikasi, dan nonrepudiation. Cara kerja Kriptografi adalah dengan
metransformasikan Pesan plaintext menggunakan seperangkat algoritma matematika
menjadi pesan baru dalam bentuk ciphertext yang mengungkapkan tidak ada informasi yang
berarti bagi mereka yang tidak tahu cara mendecrypt pesan tersebut.

This class of solutions contains mainly five groups of security tools: hash functions,
symmetric cryptography, public-key cryptography, digital signatures, and virtual private
networks.

Solusi kriptografi memiliki lima kelompok alat keamanan, yaitu fungsi hash, kriptografi
simetris, kriptografi public-key, tanda tangan digital, dan virtual private networks (VPN).

Cryptography is the use of mathematical techniques to enhance information secu rity such
as confidentiality, data integrity, authentication, and nonrepudiation. Two cryptographic
methods are very popular: private-key (symmetric cryptography) and public-key (asymmetric
cryptography) methods.

. Dua metode kriptografi yang sangat popular antara lain adalah metode kunci privat
(kriptografi simetris) dan kunci publik (kriptografi asimetris).
Private-key algorithms utilize a single key when encrypting or decrypting information. A
public-key encryption uses a pair of keys to encrypt and decrypt messages exchanged
between senders and receivers. Both keys are independent in terms of that one cannot be
feasibly computed from the other. The pair of keys consists of (1) a public key that should be
published and is useful to encrypt the message and (2) a private key that remains private to
the receiver and that is used to decrypt the message.

Algoritme kunci pribadi (private key) menggunakan satu kunci saat mengenkripsi atau
mendekripsi informasi. Enkripsi kunci publik menggunakan sepasang kunci untuk
mengenkripsi dan mendekripsi pesan antara pengirim dan penerima. Kedua kunci tersrbut
independen dalam hal yang satu tidak dapat dihitung dari yang lainnya. Sepasang kunci
terdiri dari (1) kunci publik yang harus dipublikasikan dan berguna untuk mengenkripsi
pesan dan (2) kunci pribadi yang bersifat tetap pribadi hanya untuk penerima dan digunakan
untuk mendekripsi pesan.

Block cipher is an encryption scheme that breaks up the plaintext messages to be

transmitted into strings, called blocks, of a fixed length over a given alphabet, and encrypts
one block at a time. Two important classes of block ciphers are substitution ciphers and
transposition ciphers. Substitution ciphers are block ciphers that replace symbols, or groups
of symbols, by other symbols or groups of symbols. Transposition ciphers are another class
of symmetric-key ciphers that simply permutes the symbols in a block. Stream ciphers,
which are simply block ciphers having block length equal to one, form an important class of
symmetric-key encryption scheme.

Block cipher adalah skema enkripsi yang memecah pesan plaintext untuk ditransmisikan
menjadi string, yang disebut sebagai blocsk, dengan panjang tetap di atas alfabet tertentu,
dan mengenkripsi satu blok pada satu waktu. Dua kategori penting dari cipher blok adalah
substitution ciphers dan transposition ciphers. substitution ciphers adalah sandi blok yang
menggantikan simbol, atau kelompok simbol, dengan simbol atau kelompok simbol lain.
transposition ciphers adalah kelas lain dari cipher kunci simetris yang hanya mengubah
simbol dalam sebuah blok. Stream cipher adalah cipher blok yang memiliki panjang blok
sama dengan satu, membentuk kelas penting dari skema enkripsi kunci simetris.

digital signature is an authentication method that aims at providing undisputed evidence that
the email sender is the digital signer. A digital signature method uses the public key
cryptograph. The receiver has to know the signer’s public key and a copy of the digital
signature software in order to verify the sender’s authenticity. Digital signatures used in
performing authentication tasks and in certifying electronic documents are needed to secure
communications on the network and are certainly necessary for the growth of the electronic
commerce on the global network.

tanda tangan digital adalah metode otentikasi yang bertujuan memberikan bukti tak
terbantahkan bahwa pengirim email adalah penandatangan digital. Metode tanda tangan
digital menggunakan kriptografi public key. Penerima harus mengetahui kunci publik
penandatangan dan salinan software tanda tangan digital untuk memverifikasi keaslian
pengirim. Tanda tangan digital yang digunakan dalam melakukan tugas otentikasi dan
sertifikasi dokumen elektronik diperlukan untuk mengamankan komunikasi di jaringan dan
tentu saja diperlukan untuk pertumbuhan perdagangan elektronik dalam jaringan global.

virtual private network (VPN) allows business partners to exchange secure communications
between their intranets over the Internet. This security solution will allow partners to link their
branch offices in a secure manner (nobody outside the VPN can read the traveling data)
without the need to lease private communication lines. Virtual private network (VPN) is
intended to allow remote users to access their network using the Internet without any fear of
security. Data is first preprocessed and sent through the Internet to ensure privacy. VPN
provides a cost-effectiv approach to use the company’s network to send encrypted data to
distributes company branches. The VPN provides reasonable secure transmission with little
fear of interception by intruders due to the cryptographic capability applied to all data
exchanged on the VPN. VPN dapat dikategorikan menjadi Intranet VPN, Remot Access
VPN, dan Extranet VPN.

virtual private network (VPN) memungkinkan mitra bisnis untuk bertukar komunikasi yang
aman antara intranet mereka melalui Internet. Solusi keamanan ini akan memungkinkan
mitra untuk menghubungkan kantor cabang mereka dengan cara yang aman (tidak ada
orang di luar VPN yang dapat membaca data perjalanan) tanpa perlu menyewa jalur
komunikasi pribadi. Jaringan pribadi virtual (VPN) dimaksudkan untuk memungkinkan
pengguna jarak jauh mengakses jaringan mereka menggunakan Internet tanpa rasa takut
akan ancaman keamanan. Data, awalnya diproses dan dikirim melalui Internet untuk
memastikan privasi. VPN menyediakan pendekatan biaya-efektif dengan menggunakan
jaringan perusahaan untuk mengirim atau mendistribusikan data terenkripsi ke cabang-
cabang perusahaan. VPN menyediakan transmisi aman yang wajar dengan sedikit
ketakutan akan intersepsi penyusup karena VPN menerapkan kriptografi pada semua data
yang dipertukarkan di VPN. VPN dapat dikategorikan menjadi Intranet VPN, Remote Access
VPN, dan Extranet VPN

Access control
Access control is the mechanism that systems use to identify users and grant them their
assigned privileges to access information, systems, or resources. Access control devices
properly identify people and verify their identity through identification and authentication
processes so they can stop any attempts of unauthorized access, catch intruders, and hold
them accountable for their actions.

Kontrol akses adalah mekanisme yang digunakan oleh sistem untuk mengidentifikasi
pengguna dan memberi mereka hak yang ditetapkan untuk mengakses informasi, sistem,
atau sumber daya. Perangkat kontrol akses mengidentifikasi orang dengan benar dan
memverifikasi identitas mereka melalui proses identifikasi dan otentikasi sehingga mereka
dapat menghentikan upaya atau akses yang tidak sah, menangkap penyusup, dan meminta
pertanggungjawaban mereka atas tindakan mereka.

Sound access control systems often provide authentication, authorization, and

administration. Authentication is the process by which users are challenged for identity
credentials so that it is possible to verify that they are who they say they are. authorization
determines what resources the user is allowed to access. Administration refers to the ability
to manage user accounts by adding, deleting, and modifying user accounts and/or user
account privileges. There are mainly three types of access control systems: discretionary
access systems, mandatory access systems, and role-based access systems. The most
common types of access control technologies often employed to implement enterprise
access control solutions are tokens, smart cards, encrypted keys, and passwords. Biometric
devices authenticate users to access control systems based on unique personal physical
properties of users, like fingerprint, voiceprint, iris scan, retina scan, facial scan, hand
geometry, or signature dynamics.

Sound access control systems sering menyediakan otentikasi, otorisasi, dan administrasi.
Otentikasi adalah proses di mana pengguna diminta kredensial identitas sehingga
memungkinkan untuk memverifikasi bahwa mereka adalah siapa yang mereka katakan.
Otorisasi menentukan sumber daya apa saja yang diizinkan untuk diakses oleh pengguna.
Administrasi mengacu pada kemampuan untuk mengelola akun pengguna dengan
menambahkan, menghapus, dan memodifikasi akun pengguna dan/atau hak istimewa akun
pengguna. Ada tiga jenis sistem kontrol akses utama, yaitu sistem akses diskresioner,
sistem akses wajib, dan sistem akses berbasis peran. Jenis teknologi kontrol akses yang
paling umum digunakan untuk mengimplementasikan solusi kontrol akses perusahaan
adalah token, kartu pintar, kunci terenkripsi, dan kata sandi. Perangkat biometrik
mengautentikasi pengguna yang mengakses sistem kontrol berdasarkan sifat fisik pribadi
pengguna yang unik, seperti sidik jari, voice print, pemindaian iris, pemindaian retina,
pemindaian wajah, hand geometry, atau dinamika tanda tangan.

Data traffic control

The security policy that is relevant to the implementation of a firewall requires at least the
following three concepts: Trust Inside, Least Privilege, dan Selective blocking. Trust inside
security policy is often enforced by implementing firewall rules that permit all outbound
connections, originating from the inside, and block connections initiated from the outside.
Least privilege concept assumes that all network connections are blocked in both directions
as a starting point, and the policy is incrementally opened to define precisely what needs to
be allowed. Selective blocking starts with allowing everything, and then rules are added to
the firewall to block any connections that are not desired.

Kebijakan keamanan yang relevan dengan penerapan firewall setidaknya memerlukan tiga
konsep berikut: Trust Inside, Least Privilege, dan Selective blocking. Kebijakan keamanan
trust inside sering ditegakkan dengan menerapkan aturan firewall yang mengizinkan semua
koneksi yang berasal dari dalam keluar dan memblokir koneksi yang dimulai dari luar.
Konsep Least privilege mengasumsikan bahwa semua koneksi jaringan diblokir di kedua
arah sebagai titik awal, dan kebijakan dibuka secara bertahap untuk menentukan dengan
tepat apa yang perlu diizinkan. Selective blocking dimulai dengan mengizinkan semuanya,
dan kemudian ditambahkan aturan ke firewall untuk memblokir koneksi apa pun yang tidak
diinginkan

a firewall should be viewed simply as a device or a program designed to prevent

unauthorized access to or from an internal network. Firewalls also play an important role in
security auditing because auditors can obtain detailed information about the types of traffic
processed through firewall interfaces. Firewalls are often organized into three types: packet
filters, application-layer firewalls, and stateful inspection firewall. Network firewalls generally
make their decisions based on the source address, destination address and ports in
individual IP oackets. Application layer firewalls are simply hosts running proxy servers that
permit no traffic directly between networks, and which have the capability of performing
detailed logging and assessment of traffic passing through them. Stateful inspection firewalls
intercept packets at the network layer, as in network layer firewalls, but access, derive, and
analyze data from all communication layers.

firewall harus dilihat hanya sebagai perangkat atau program yang dirancang untuk
mencegah akses tidak sah dari atau ke jaringan internal. Firewall juga memiliki peran
penting dalam audit keamanan karena auditor dapat memperoleh informasi terperinci
mengenai jenis lalu lintas yang diproses melalui firewall interfaces. Firewall sering
dikategorikan menjadi tiga jenis, yaitu packet filters, application-layer firewalls, dan stateful
inspection firewall. Firewall jaringan umumnya membuat keputusan berdasarkan alamat
sumber, alamat tujuan, dan port dalam oacket IP individual. Firewall lapisan aplikasi
hanyalah host yang menjalankan server proxy yang tidak mengizinkan lalu lintas secara
langsung antar jaringan, dan yang memiliki kemampuan melakukan pencatatan dan
penilaian rinci lalu lintas yang melewatinya. dan stateful inspection firewall mencegat paket
pada lapisan jaringan, seperti pada firewall lapisan jaringan, tetapi juga mengakses,
memperoleh, dan menganalisis data dari semua lapisan komunikasi.

Security analysis

Penetration tests perform security reviews from an attacker’s point of view, which makes
these security tests extremely valuable in protecting highly sensitive information resources.
A penetration test is a legitimate attempt to compromise the current security controls of the
system. This type of testing should at least use contemporary hacking tools and techniques
to confirm the strength of security controls. The three most commons ways to do penetration
test are external source penetration tests, internal source penetration tests, and target
system penetration tests.

Tes penetrasi meninjau keamanan dari sudut pandang penyerang sehingga membuat tes
keamanan ini sangat berharga dalam melindungi sumber daya informasi yang sangat
sensitif. Tes penetrasi adalah upaya yang sah untuk mengkompromikan kontrol keamanan
sistem yang diterapkan saat ini. Jenis pengujian ini setidaknya harus menggunakan alat dan
teknik peretasan terbaru untuk mengonfirmasi kekuatan kontrol keamanan. Tiga cara paling
umum digunakan untuk melakukan uji penetrasi adalah uji penetrasi sumber eksternal, uji
penetrasi sumber internal, dan uji penetrasi sistem target.

vulnerability assessment test is an extended system security test with specific scope and
objectives. The intention of the vulnerability assessment test is, however, not to eliminate all
vulnerabilities (there will be always some) but to minimize risks. security review is a formal
analysis of the security controls within a given environment. It primarily identifies all factors
that can potentially affect the enforcement of security policies. forensic test is usually
initiated after a crime has taken place or following a serious security disruption. Security
audit is an independent review and examination of systems records and activities in order to
test for the adequacy of security controls. The goal is to to ensure compliance with
established security policy and operational procedures, to detect breaches in security, and to
recommend any indicated changes in control, policy, and procedures. There are usually
three main types of audits: internal audits, external audits, and target audit.
uji penilaian kerentanan adalah uji keamanan sistem yang diperluas dengan cakupan dan
tujuan tertentu. Namun, maksud dari tes penilaian kerentanan adalah bukan untuk
menghilangkan semua kerentanan (akan selalu ada beberapa) tetapi untuk meminimalkan
risiko. Tinjauan keamanan (security review) adalah analisis formal terhadap kontrol
keamanan dalam lingkungan tertentu. vulnerability assessment terutama mengidentifikasi
semua faktor yang berpotensi mempengaruhi penegakan kebijakan keamanan. tes forensik
biasanya dimulai setelah kejahatan telah terjadi atau setelah adanya gangguan keamanan
yang serius. Audit keamanan adalah tinjauan independen dan pemeriksaan terhadap
catatan sistem dan aktivitas untuk menguji kecukupan kontrol keamanan. Tujuannya adalah
untuk memastikan kepatuhan terhadap kebijakan keamanan dan prosedur operasional yang
telah ditetapkan, untuk mendeteksi adanya pelanggaran dalam keamanan, dan untuk
merekomendasikan setiap perubahan yang ditunjukkan dalam kontrol, kebijakan, dan
prosedur. Biasanya ada tiga jenis audit utama, yaitu audit internal, audit eksternal, dan audit
target.

Physical Security solution

Physical security is the protection of the computing environment, namely people, activities,
technology, data, and networks, from physical conditions and incidents that could cause
serious losses or damage to an organization. For example, physical security includes
protection from theft, vandalism, fire, and natural disasters. The main physical solutions
include isolated data backup centers, barriers, locks, surveillance, natural disaster sensors
and preventive measures.

Keamanan fisik adalah perlindungan terhadap lingkungan komputasi, yaitu orang, aktivitas,
teknologi, data, dan jaringan, dari kondisi fisik dan insiden yang dapat menyebabkan
kerugian atau kerusakan serius pada suatu organisasi. Misalnya, keamanan fisik meliputi
perlindungan dari pencurian, perusakan, kebakaran, dan bencana alam. Solusi fisik utama
termasuk pusat pencadangan data terisolasi, penghalang, kunci, pengawasan, sensor
bencana alam, dan tindakan pencegahan

The NIST Security Solution Taxonomy

NIST proposes seventeen security control families, in NIST Special Publication 800-53, that
are strongly aligned with the 17 security-related areas in FIPS 200, specifying the minimum
security requirements for protecting federal information and information systems. This
standard presents the fundamental concepts associated with security control selection and
specification. There are three general classes of security controls (i.e., management,
operational, and technical) and 17 security control families. Management controls focus on
the management of the information system and the management of risk for a system.
Operational controls address security methods focusing on 17 security control families in
NIST SP 800-53 [5], and are associated with one of three security control classes (i.e.,
management, operational, technical). Operational security controls concern mechanisms
primarily implemented and executed by people (as opposed to systems). Technical controls
focus on security controls that the computer system executes.

NIST mengusulkan tujuh belas kategori kontrol keamanan, dalam Publikasi Khusus NIST
800-53, yang sangat selaras dengan 17 bidang terkait keamanan dalam FIPS 200, yang
menetapkan persyaratan keamanan minimum dalam melindungi informasi federal dan
sistem informasi. Standar NIST ini menyajikan konsep dasar yang terkait dengan pemilihan
dan spesifikasi kontrol keamanan. Ada tiga kategori umum kontrol keamanan (yaitu,
manajemen, operasional, dan teknis) dan 17 kategori kontrol keamanan. Kontrol manajemen
fokus pada manajemen sistem informasi dan manajemen risiko pada suatu sistem. Kontrol
operasional menangani metode keamanan yang berfokus pada 17 kategori kontrol
keamanan di NIST SP 800-53, dan terkait dengan salah satu dari tiga kategori kontrol
keamanan (yaitu, manajemen, operasional, teknis). Kontrol keamanan operasional
menyangkut mekanisme yang terutama diterapkan dan dijalankan oleh orang-orang
(sebagai lawan dari sistem). Kontrol teknis fokus pada kontrol keamanan yang dijalankan
oleh sistem computer.

The ISO Security Solution Taxonomy

The ISO/IEC 27002 Code of Practice for Information Security Management establishes
guidelines and general principles for organizations to initiate, implement, maintain, and
improve information security management.

Kode Praktik ISO/IEC 27002 untuk Manajemen Keamanan Informasi menetapkan pedoman
dan prinsip umum bagi organisasi untuk memulai, menerapkan, memelihara, dan
meningkatkan manajemen keamanan informasi yang diterapkan organisasi atau
perusahaan.