Senin, 24 Oktober 2016

Pertemuan 7. e-commerce


1. Pengertian E-Commerce
Pengertian E-Commerce atau definisi e-commerce adalah kegiatan komersial dengan penyebaran, pembelian, penjualan, pemasaran barang dan jasa melalui sistem elektronik seperti internet atau televisi, www, atau jaringan komputer lainnya. E-commerce dapat melibatkan transfer dana elektronik, pertukaran data elektronik, sistem manajemen inventori otomatis, dan sistem pengumpulan data otomatis.
Kegiatan e-commerce ini sebagai aplikasi dan penerapan dari e-bisnis (e-business) yang berkaitan dengan transaksi komersial, seperti: transfer dana secara elektronik, SCM (supply chain management), e-pemasaran (e-marketing), atau pemasaran online (online marketing), pemrosesan transaksi online (online transaction processing), pertukaran data elektronik (electronic data interchange /EDI), dll.

2 E-Business Vs E-Commerce
Perbedaan yang mendasar antara e-commerce dan e-business adalah bahwa tujuan e-commerce memang benar-benar money oriented (berorientasi pada perolehan uang), sedangkan e-business berorientasi pada kepentingan jangka panjang yang sifatnya abstrak seperti kepercayaan konsumen, pelayanan terhadap konsumen, peraturan kerja, relasi antar mitra bisnis, dan penanganan masalah sosial lainnya. Selain perbedaan seperti yang telah disebutkan, e-commerce dan e-business juga memiliki kesamaan tujuan utama yaitu memajukan perusahaan yang lebih besar dari sebelumnya. E-commerce dan e-business merupakan terobosan yang dapat mendongkrak penjualan melalui online marketing dan sebagai sarana mempromosikan produk melalui media Internet.

3. E-Commerce
B. Manfaat E-Commerce
Secara umum e-commerce merupakan aktivitas perdagangan melalui media internet. Manfaatnya dan keuntungannya banyak sekali yang dapat dihasilkan, antara lainnya :
1. Manfaat e-commerce bagi konsumen :
  • Electronic commerce memungkinkan pelanggan untuk berbelanja atau melakukan transaksi lain selama 24 jam sehari sepanjang tahun dari hamper setiap lokasi.
  • Electronic commerce memberikan lebih banyak pilihan kepada pelanggan mereka bisa memilih berbagai produk dari banyak vendor.
  • Electronic commerce menyediakan produk-produk dan jasa yang tidak mahal kepada pelanggan dengan cara mengunjungi banyak tempat dan melakukan perbandingan secara cepat.
  • Dalam beberapa kasus, khususnya pada produk-produk yang digitized, electronic commerce menjadikan pengiriman menjadi sangat cepat.
  • Pelanggan bisa menerima informasi relevan secar detail dalam hitungan detik, bukan lagi menjadi hari.
  • Electronic commerce memungkinkan partisipasi dalam pelelangan maya (virtual auction).
  • Electronic commerce memberi tempat bagi para pelanggan untuk berinteraksi dengan pelanggan lain di electronic community dan bertukar pikiran serta berbagai pengalaman.
  • Electronic commerce memudahkan persaingan yang pada akhirnya akan menghasilkan diskon secara substansial.
2. Manfaat e-commerce bagi masyarakat :
  • Electronic commerce memungkinkan orang untuk bekerja didalam rumah dan tidak banyak keluar untuk berbelanja, akibatnya ini akan menurunkan arus kepadatan lalu lintas di jalan serta mengurangi polusi udara.
  • Electronic commerce memungkinkan sejumlah barang dagangan dijual dengan harga lebih rendah,sehingga orang yang kurang mampu bisa membeli lebih banyak dan meningkatkan taraf hidup mereka.
  • Electronic commerce memungkinkan orang di Negara-negara dunia ketiga dan wilayah pedesaan untuk menikmati aneka produk dan jasa yang akan susah mereka dapatkan tanpa Electronic commerce. Ini juga termasuk peluang untuk belajar berprofesi serta mendapatkan gelar akademik.
  • Electronic commerce memfasilitsi layanan public, seperti perawatan kesehatan, pendidikan, dan pemerataan layanan sosial yang dilaksanakan pemerintah dengan biaya yang lebih rendah, dan atau dengan kualitas yang lebih baik. Layanan perawatan kesehatan, misalnya bisa menjangkau pasien daerah pedesaan.
3. Manfaat e-commerce bagi bisnis :
  • Perusahaan-perusahaan dapat menjangkau pelanggan diseluruh dunia. Oleh karena itu dengan memperluas bisnis mereka, sama saja dengan meningkatkan keuntungan.
  • E-commerce menawarkan pengurangan sejumlah biaya tambahan. Sebuah perusahaan yang elakukan bisnis diinternet akan mengurangi biaya tersebut tidak digunakan untuk gedung dan pelayanan pelanggan (customer service), jika dibandingkan dengan jenis bisnis tradisional.
Singkatnya dari semua yang telah dijelaskan dibagian atas tersebut manfaat dan keuntungan yang didapatkan dari E-COMMERCE adalah sebagai berikut :

  1. Bagi Konsumen : harga lebih murah, belanja cukup pada satu tempat.
  2. Bagi Pengelola bisnis : efisiensi, tampa kesalahan, tepat waktu.
  3. Bagi Manajemen : peningkatan pendapatan, loyalitas pelanggan.

Beberapa faktor yang mempengaruhi E-commerce
  1. menyediakan harga kompetitif
  2. menyediakan jasa pembelian yang tanggap
  3. menyediakan informasi barang dan jasa yang lengkap dan jelas
  4. menyeddiakan banyak bonus seperti kupon, penawaran istimewa dan diskon
  5. memberikan perhatian khusus seperti ususlan pembelian
  6. menyediakan rasa komunitas untuk berdiskusi, masukan dari pelanggan dll
  7. mempermudah kegiatan perdagangan
Beberapa aplikasi umum yang mendukung e-commerce
  • E-mail dan messaging
  • Content Management System
  • Dokumen, spreadsheet, database
  • Akunting dan sistem keuangan
  • Informasi pengiriman dan pemesanan
  • Pelaporan informasi dari klien dan enterprise
  • Sistem pembayaran domestik dan internasional
  • newsgroup
  • On-line Shopping
  • Conferencing
  • Online banking
Faktor Pendukung E-Cmmerce
  1. Cakupan yang luas
  2. Proses transaksi yang tepat
  3. E-Commerce dapat mendorong kreatifitas dari pihak penjual secara cepat dan tepat dan pendistribusian yang disampaikan berlangsung secara periodik
  4. E-Commerce dapat menciptakan efisiensi yang tinggi, murah serta informatif .
  5. E-Commerce dapat meningkatkan kepuasan pelanggan, dengan pelayanan yang cepat, mudah, aman dan akurat

Karakteristik E-Commerce
  • Terjadinya transaksi antar dua belah pihak
  • Adanya pertukaran barang, jasa dan informasi
  • Tersedianya Internet yang memadai
Masalah-masalah dalam E-commerce
  • Keaslian data
  • Keabsahan data
  • kerahasiaan data
  • Keberadaan barang
  • Pembuktian kecakapan para pihak
  • Yurisdiksi
Pilar-Pilar E-Commerce
  • Pilar Orang terdiri dari penjual, pembeli, perantara jasa dan manajemen
  • Pilar kebijakan publik meliputi pajak, hukum, dan isu privasi
  • Pilar Standar teknis Meliputi dokumen, keamanan dan protokol jaringan dan sistem pembayaran
  • Pilar organisasi Meliputi patner, asosiasi dan pelayanan pemerintah
INFRASTRUKTUR E-COMMERCE
  • Infrastruktur jasa bisnis : Keamanan kartu cerdas, pembayaran elektronik, dan direktori/katalog
  • Infrastruktur distribusi informasi dan pesan: EDI (electronic data interchange), email, hypertext transfer protocol.
  • Infrastruktur publikasi jaringan dan kandungan multimedia :HTML, Java, Flash, WWW, VRML, PHP, dan ASP
  • Infrastruktur Jaringan : Telekom, TV Kabel, Wireless, Internet (VAN, WAN, LAN, Intranet dan ekstranet)
E-mall
Sebelum mempelajari lebih lanjut tentang E mall, sebelumnya disini akan dejelaskan mengenai e Mall terlebih dahulu. Secara umum e_commerce dapat diklasifikasikan menjadi 2 jenis yaitu business to business (B2B) dengan business to customer (B2C). B2B adalah sistem komunikasi bisnis on line antar pelaku bisnis, sedangakan B2C merupakan mekanisme toko on Line (electronic shopping Mall) yaitu transaksi antara e_merchant dengan e_customer. Dalam business to business pada umumnya transaksi dilakukan oleh para crading partners yang sudah saling kenal dengan format data yang telah disepakati bersama. Sedangkan dalam business to customer sifatnya terbuka untuk public sehingga setiap individu dapat mengaksesnya melalui suatu web server. Jadi e mall merupakan bagian dari e-commerce yang berupa toko atau mall online / maya di dunia internet.
Tipe E-mall
  1. Mall umum/generalized
Market place yang menjual semua tipe produk contoh amazon.com,choicemall.com, shop4.com, spree.com, dan portal publik yang besar
  1. Mall spesial/specialized
mereka hanya menjual satu tipe atau beberapa tipe produk seperti buku, bunga, anggur, mobil, atau hewan. Contohnya: amazon.com, cattoys.com, flowers.com, beautyjungle.com, Uvine.com
  1. Regional vs Toko global
Beberapa toko, seperti e-grocers atau penjual furnitur, melayani customer yang berada pada lingkungannya saja
Komponen utama dalam Emall
  1. Customer
  2. penjual
  3. barang dan jasa (fiskal atau digital)
  4. Infrastruktur
  5. Front end
  6. Back end
  7. Perantara
  8. Partner bisnis
  9. Dan jasa pendukung




Diposting oleh di Tidak ada komentar:

pertemuan 6. Authentication, Encryption, Digital Payments, and Digital Money • Jenis-jenis enkripsi symmetric dan asymmetric encryption. • security pada e-mail,Web, intranet dan extranet.

Authentication is a process in which the credentials provided are compared to those on file in a database of authorized users' information on a local operating system or within an authentication server. If the credentials match, the process is completed and the user is granted authorization for access.

Encryption is the most effective way to achieve data security. To read an encrypted file, you must have access to a secret key or password that enables you to decrypt it. Unencrypted data is called plain text ; encrypted data is referred to as cipher text.

How to define digital payments?

Payments are made using payment instruments. Cash, for example, is a payment instrument. So too are checks. However, digital payments are not one instrument but rather an umbrella term applied to a range of different instruments used in different ways. In this section, we provide some parameters for creating this definition.
Since there is no one standard definition of a digital or e-payment, you should settle on a clear and implementable definition at the start of any measurement exercise. The subject matter is complex, but there are two key dimensions of categorization that are most important:
  1. the nature of the payment instrument: through which means—paper or digital—are the instructions carried.
  2. the payer-payee interface: whether the payer, payee, or both use an electronic medium in a payment transaction.
    DEFINITION of 'Digital Money'
Any means of payment that exists purely in electronic form. Digital money is not tangible like a dollar bill or a coin. It is accounted for and transferred using computers. Digital money is exchanged using technologies such as smartphones, credit cards and the internet. It can be turned into physical money by, for example, withdrawing cash at an ATM.

BREAKING DOWN 'Digital Money'

Financial services companies facilitate digital money transfers and foster online transactions between complete strangers across long distances. Without digital money, many online retail websites would operate much less efficiently. Digital money also makes it possible to bank online or via smartphone, eliminating the need to use cash or to visit a bank in person.

Symmetric and Asymmetric Algorithm

Symmetric and Asymmetric Cryptography is a type of cryptographic algorithms based on key usage. In short, symmetric cryptography uses the same key to perform encryption and decryption while asymmetric cryptography uses different keys to encrypt and decrypt. Examples of symmetric algorithm is AES, DES, RC4, etc. while the asymmetric are RSA, ElGamal etc. Picture below is an encryption and decryption process symmetric and asymmetric algorithms.



Symmetric Asymmetric Algorithm
In asymmetric algorithms, there are two keys that public key to encrypt and the private key to decrypt. When a person (eg Alice) sends a message to Bob, then Alice will encrypt the message using the public key Bob and Bob will open a received message using the private key. This is an advantage in asymmetric systems because sufficient user store his private key secret, while the public key can be distributed to all users who want to communicate with him without worrying about unauthorized person can open the message using the public key that has been deployed it.
In symmetric systems, the key used to encrypt and decrypt are the same, so users who communicate with each other using symmetric system should be exchanging a common key because if they do not use the same key, the message can not be open at the receiver side. If there is someone who is in the process send thank tengah2 key and managed to get the key then all the messages can be opened. Unlike the asymmetric system, the user only needs to send a public key so that other people can communicate with him. Users do not need to fear the attacker can reconstruct the private key from the public key acquired.
The complexity of the symmetric key distribution higher than asymmetric. Each one on a symmetric key used by two users or a group to communicate. Me illustrate as follows, when the user A will communicate with user B they use the key X, and when the user A to communicate with the user C they would use the keys Y. Then, when the user B, C, D will send a message to a user A, user A will use 3 pieces of different keys to open a received message. Unlike the asymmetric system, user B, C, D can simply use a public key to send messages and A fairly use its private key to open the message.
However, symmetric systems faster in computing and the resulting ciphertext less so as not to burden the bandwidth during the process of sending messages. Usually symmetric and asymmetric often used together in a system. For example in the video conference system Agievic, asymmetric used for symmetric key distribution, symmetric key is used to encrypt communications for video conferencing.

security on email
Securing your email
There are several important steps you can take to improve the security of your email communications. 
First, you must make sure that only the people you're emailing the one who can read the message. 
This is discussed in the section fixed Keeping your webmail private and Switching to a more secure email account. 
Sometimes it is important for the recipient to be able to verify that the received message actually came from you, instead of someone else posing as you. 
One way to do it is described in the Email Security on the Advanced Encryption and authentication of individual email messages
You also need to know what to do if your confidentiality of your email uncovered. 
Tips section responds to emails suspected email surveillance will answer these questions
Remember also that secure email will not be useful if what you type is recorded by spyware and periodically sent to third parties over the Internet. 
Chapter 1: How to protect your computer from malware and hacker / hacker provides several ways to prevent such things, and 
Chapter 3: How to create and care for a secure password to protect your account your email and instant messaging, as described below
Make your webmail remain private
The Internet is an open network where information can be sent in a readable form. If an email message hijacked before it gets to the recipient, it can be easily read. 
And since the Internet is a global network that relies on a lot of computer traffic intermediaries as a director,
 then a lot of people who had the opportunity to hijack your message in this way. Internet Service Provider (Internet Service Provider ISP) 
is the first recipient of an email message that you send, on its way to the recipient. 
Likewise with email being sent to you, ISP is the last stop before the message gets into your hands.
 If you do not do certain steps, your message can be read or bothered at both time points, or in between.It's been a long time 
we could secure the Internet connection between our computers with web sites that we visit. 
This usually encountered when we have to enter a password or credit card information into the website. 
The technology used is called the Secure Socket Layer encryption / SSL. We can know when we use SSL or not to look into the address bar of the browser we use.
All web addresses usually begins with the letters HTTP, as shown in the example below:

When you visit a secure site, its address will begin with HTTPS

Additional letter S at the end indicates that your computer has opened a secure connection (secure) to the website. 
There can also see the symbol 'lock / padlock' in the address bar or in the status bar in the bottom of your browser window. 
This is a sign that anyone who might want to monitor your Internet connection will not be able to 'eavesdrop' your communication with the website
In addition to protecting passwords and financial transactions you, this kind of encryption can also protect your webmail perfectly. 
However, many webmail providers do not offer secure access, while others require you to activate it explicitly, 
by selecting it in the settings section, or by typing in the HTTPS manually. 
You should always make sure that your connection is secure before entering, reading or sending email messages.
Notice when your browser security flaw complained certificate when you try to access a secure webmail account. 
This can mean that someone breaks the communication between your computer and the server to hijack your message. 
Then, if you rely on webmail to exchange confidential information, it is important to ensure that you are using a browser that is reliable. 
Consider installing Mozilla Firefox and its annexes relating to security.
Switching to a more secure email account
Only slight webmail providers offer SSL access to your email. For example Yahoo and Hotmail, both provide a secure connection to protect password when you sign in, but your messages are not sent and received securely. Besides Yahoo, Hotmail and some providers of free webmail service to include the IP address of the computer that you use in all of the messages you send
In contrast, Gmail accounts can be used entirely through a secure connection, as long as you sign in to your account through https://mail.google.com (using HTTPS), compared to http://mail.google.com. In fact, you can now set the options so that Gmail always use a secure connection. Unlike Yahoo or Hotmail, Gmail does not tell you the IP address to the recipient. However, you are advised not to rely on Google fully to maintain the confidentiality of your email communications. Google to scan and record the contents of messages of users for various purposes, and in the past they've been given on demand governments that restrict digital freedom. For more information about Google's privacy policy, see Further Reading
If possible create new RiseUp email account by visiting https://mail.riseup.net. RiseUp offers free email to activists around the world and as best as possible to protect the information housed in their servers. RiseUp has been believed since long ago as a resource for those who need a secure email solution. Unlike Google, RiseUp has a very strict policy with regard to users' privacy and does not have a commercial interest in that one day may be contrary to the policy. To create a new RiseUp account you need two 'invite codes'. This code can be provided by someone who already has a RiseUp account. If you have a print version of the booklet means that you have received the 'invite codes' along with the book. If not, you have to find two RiseUp users and ask him to send the code to you.

WEB
The web site (English: website) is an interconnected web pages which are generally located on the same servant contains a collection of information provided by individuals, groups, or organizations. [1] A web site is usually placed at least on a web server that can be accessed over a network such as the Internet, or a local area network (LAN) via the Internet addresses known as URLs. Combined all publicly accessible sites on the Internet also referred to as the World Wide Web, or better known by the acronym WWW. Although at least the home page of the Internet site is generally accessible to the public freely, in practice not all sites provide freedom for the public to access it, some web sites require visitors to register as a member, or even ask for payment to be aggota to be able to access content contained the web site, such as sites that feature pornography, news websites, e-mail services (e-mail), and others. These restrictions generally done for reasons of security, respect for privacy, or for certain commercial purposes.A web page is a file written as a plain text file (plain text) are arranged and combined in such a way with instructions based on HTML or XHTML, sometimes also inserted with a little scripting language. The file is then translated by your Web browser and displayed like a page on a computer monitor.The web pages accessed by the user via the network communication protocol known as HTTP, in addition to improving the safety and privacy aspects better, the website can also implement a mechanism of accessing via HTTPS protocol.


HISTORY
The inventor of the web site is Sir Timothy John "Tim" Berners-Lee, while web sites connected to the network first emerged in 1991. 
The purpose of the team when designing a website is to facilitate exchange and update information on fellow investigators in which he worked. 
On April 30, 1993, CERN (the place where Tim works) 
announced that WWW can be used freely by the public.
A web site may be the work of an individual or individuals, or show ownership of an organization, company. usually the discussion in a website refers to a or some particular topic or purpose. A web site may contain links that connect to other web sites, demkian also with other web sites. This sometimes makes the difference between a website that is created by the individual or individuals with web sites created by business organizations to be not so clear.
They are usually placed on a web server. A web server is generally equipped with a device-specific software to handle the domain name settings, as well as handle the service on the HTTP protocol called HTTP Server (English: HTTP Server) such as the Apache HTTP Server, or Internet Information Services (IIS).


DESCRIPTION
To be able to communicate with all computers connected to the Internet, use a communication protocol that uses TCP / IP (Transmission Control Protocol / Internet Protocol).
 Every computer connected to the Internet has an address, such as 192.168.14.96. To obtain information or data on the Internet, 
we can access it by typing a web address in the address bar. 
Address of a site on the Internet called the domain name. So the domain name is a permanent address seen on the Internet site that is used to identify a site. 
In other words, the Domain Name is the address used to find a site on the Internet.
Relation to the communication protocol TCP / IP, domain name can be likened to a phone book, we use a number to call someone. 
for example when we mengekses www.wikipedia.com sites then the web browser Internet Explorer will contact an example IP 202.68.0.134.
General terms and the domain name is the URL (uniform resource locator), which is a means for determining the address that will be used to access the Internet.
 The URL address is a special address for a particular file that can be accessed by Internet. 
The URL address covers all other file types that can be accessed by the Internet, such as html files, 
zip, rar, jpg, gif, and png.
Broadly speaking, web sites can be classified into 3 parts:
  1. Static web sites
  2. Dynamic website
  3. Interactive website
INTRANET AND EXTRANET
Definition Intranet
intranet is a private network (private network) that uses Internet protocol (TCP / IP), to share confidential information about the company or operating company to its employees. Sometimes, the term refers only to intranet services visible, namely the company's internal Web site.
To build an intranet, then the network should have some components that build the Internet, the Internet Protocol (TCP / IP, IP addresses, and other protocols), the client and the server. HTTP and other Internet protocols (FTP, POP3, SMTP or) is generally a component of a protocol used.
Definition Extranet
Extranet or Extranet is a private network that uses Internet protocols and the public telecommunication system to share some information securely business or operations to the dealer (supplier), the seller (vendor), partner (partner), customers and others.
Virtual Private Network yang digunakan pada e-commerce
  1. Point to Point Protocol VPN
  2. Site to Site
  3. L2TP VPN
  4. SSL
  5. MPLS VPN
  6. Hybrid VPN
Merancang strategi untuk menghadapi ancaman security
Under the system, a computer security strategy is divided into several sections, among others:
  1. Network Topology
  2. Security Information Management
  3. IDS/IPS
  4. Port Scanning
  5. Packet Fingerprinting
Jenis jenis pembayaran dalam e-commerce
types of payments in e-commerce, among others:
  1. Paypal
  2. Alertpay
  3. liberty Reserve
  4. watern union
  5. Cek
  6. Credit Card
  7. Transfer via bank
  8. Joint Account
  9. COD (Cash on delivery
  10. . Pulsa
  11. Cash
  12. Debit card





































































Diposting oleh di Tidak ada komentar:

pertemuan 5. Network Security dan E-Commerce • Business impact security . • Merancang sebuah security audit pada jaringan. • Akses control pada sumber komputasi. • Menerapkan security solution

KEAMANAN JARINGAN DAN E-COMMERCE
Keamanan Jaringan dalam jaringan komputer sangat penting dilakukan untuk memonitor akses jaringan dan mencegah penyalahgunaan sumber daya jaringan yang tidak sah. Tugas keamanan jaringan dikontrol oleh administrator jaringan.
Segi-segi keamanan didefinisikan dari sembilan point ini.
  • Confidentiality Mensyaratkan bahwa informasi (data) hanya bisa diakses oleh pihak yang memiliki wewenang
  • integrity Mensyaratkan bahwa informasi hanya dapat diubah oleh pihak yang memiliki wewenang
  • Availability Mensyaratkan bahwa informasi tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan.
  • Authentication Mensyaratkan bahwa pengirim suatu informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu
  • Nonrepudiation Mensyaratkan bahwa baik pengirim maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan.
  • Interruption suatu aset dari suatu sistem diserang sehingga menjadi tidak tersedia atau tidak dapat dipakai oleh yang berwenang. Contohnya adalah perusakan/modifikasi terhadap piranti keras atau saluran jaringan
  • Interception Suatu pihak yang tidak berwenang mendapatkan akses pada suatu aset. Pihak yang dimaksud bisa berupa orang, program, atau sistem yang lain. Contohnya adalah penyadapan terhadap data dalam suatu jaringan.
  • Modification Suatu pihak yang tidak berwenang dapat melakukan perubahan terhadap suatu aset. Contohnya adalaah perubahan nilai pada file data, modifikasi program sehingga berjalan dengan tidak semestinya, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan.
  • Fabrication suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contohnya adalah pengiriman pesan kepada oraang lain
    Ada beberapa prinsip yang perlu dihindari dalam menangani masalah keamanan, diam dan semua akan baik-baik saja, sembunyi dan mereka tidak akan dapat menemukan anda, teknologi yang digunakan kompleks/rumit, artinya aman.
Apa itu administrator jaringan?
Administrator jaringan komputer adalah sebuah jenis pekerjaan yang banyak dibutuhkan saat ini terutama pada perusahaan/instansi yang telaah mengimplentasikan teknologi komputer dan internet untuk menunjang pekerjaan.
Penggunaan sistem jaringan komputer dalam sekala kecil maupun luas akan membutuhkan pengaturan-pengaturan mulai dari tingkat fisik maupun non fisik. Pengaturan-pengaturan tersebut melibatkan proses pengontrolan. Ada beberapa definisi mengenai administrasi jaringan ini antara lain
  1. controlling corporate strategic (assets)
  2. controlling compleksity
  3. improving service
  4. balancing various needs
  5. reducing downtime
  6. controlling costs
Pada intinya administrator network bertugas mengelola serta menjaga seluruh sumber daya pada sistem jaringan agar kinerja jaringan lebih efektif dan efisien dilihat dari fungsi, struktur dan keamanan jaringan itu sendiri
Fungsi dan Tugas Network Administrator
Ada beberapa fungsi dan kerja administrator, namun secara garis besar dapat dinyatakan dari irisan antara network, hardware, dan application. Tugas dari administrator jaringan adalah :
Security Management: menitik beratkan kerja mencakup masalah network administrator keamanan mencakup hal-hal berikut:
  • Firewall
  • Username
  • Resource access
KEAMANAN E-COMMERCE
Pada tahun 1990-an, peran penting sistem keamanan pada e-commerce telah berkembang dengan pesat yang menyebabkan pusat perhatian bisnis makin lama makin terfokus pada sistem keamanan informasi dan segala kaitan yang dengan pentingnya pengakuan sah terhadap sesuatu(legal significan)
A. Faktor-faktor yang mendukung terjadinya perubahan-perubahan tersebut adalah
  • kemajuan infrastruktur sistem komunikasi
  • meledaknya sistem perdagangan global
  • Sistem perdagangan real time
  • Meningkatkan rasa pengertian/penghargaan terhadap segala resiko yang mungkin terjadi
  • Tersedianya teknologi sistem keamanan (security)
  • Sistem keamanan sebagai aset yang berharga
  • politik
  • pengaturan terhadap pernyataan sah
Faktor-faktor itulah yang mendukung arus perkembangan e-commerce dimana segi keamanan (security) menjadi bagian yang terpenting

B. Secure Electronis commerce secara umum menggunakan fungsi-fungsi sistem keamanan informasi seperti:
  • Authentication (pembuktian keaslian)
  • Confidentiality (kerahasiaan)
  • Data integrity (integritas data
Ancaman Dan Solusi Keamanan Sistem E-Commerce
Keamanan adalah sebuah upaya yang dilakukan untuk meminimalisir sebuah kerusakan yan terjadi pada sebuah sistem. Keamanan juga di buat
Ancaman Keamanan pada sistem E-commerce
  1. Pencegatan data
  2. pencurian data
  3. kecurangan (fraud)
  4. akses yang tidak sah oleh seseorang terhadap data milik orang lain
Solusi Ancaman Keamanan Sistem E-commerce
  1. Enkripsi (penyedia data)
  2. Otentifikasi
  3. Firewall
Lima Tips Keamanan dalam Transaksi E-Commerce
  • Kehati-hatian
  • verifikasi semua URL
  • Tanyakan Sebelum membeli
  • Gunakan metode pembayaran yang terpisah dari rekening bank
  • Hanya memiliki satu identitas online
PERMASALAHAN DALAM E-COMMERCE
  1. Penipuan dengan cara pencurian identitas dan membohongi pelanggan
  2. Hukum yang kurang berkembang dalam bidang e-commerce
  3. Phising atau pengelabuan
Business Impact Security ( Keamanan dampak bisnis)
Pengertian Cloud Computing dan perkembangannya
Cloud Computing adalah kumpulan dari beberapa resources yang terintegrasi menjadi satu dan digunakan melalui web. Cloud Computing didasarkan pada teknologi grid computing yang membuat skalabilitas suatu sistem kumputasi menjadi sangat besar dengan cara menggabungkan beberapa sumber daya komputer menjadi satu resource
Alasan Penggunaan Cloud Computing
  1. Cloud Computing sebuah modul layanan berbasis internet untuk menampung sumber daya sebuah perusahaan yang mana artinya perusahaan tidak perlu lagi memiliki infrastruktur.
  2. Ekonomis: melakukan penekanan biaya yang harus dikeluarkan untuk pembelian infrastruktur dan sofware
  3. Perusahaan tidak memerlukan pengetahuan yang mendalam mengenai IT
Karakteristik Cloud Computing
  1. Broad network access
  2. on-demand self-service
  3. rapid elasticity
  4. measured service
  5. resource pooling
Model Penyebaran Cloud Computing
  1. Hybrid cloud
  2. public cloud
  3. community cloud
  4. private cloud
Alasan Tidak dapat menolak Cloud Computing
Cloud Computing merupakan bagian yang pentin bagi bisnis. Kebanyakan ahli IT pada saat ini menyatakan bahwa Cloud Computing merupakan bagian yang paling penting bagi industri dan perubahan yang paling revolusioner.

Keuntungan Cloud Computing bagi bisnis
Cloud Computing memunginkan staff untuk mengakses file dan data yang mereka inginkan baik saat mereka sedang bekerja di dalam kantor atau sedang di luar kantor. selama mereka memiliki akses internet, staff dapat mengakses informasi dari rumah, di jalan, dari kantor klien atau bahkan melalui smartphone seperti blackberry atau iphone. Cloud Computing tidak perlu membeli dan meng-Install sofware yang mahal karena Cloud Computing Sudah ter-Install secara Online dan dapat dijalankan darimana saja menggunakan jaringan internet. Cloud Computing juga memiliki keuntungan lainnya di antara lain :
  • Efektifitas Biaya
  • Skala dan Kecepatan
  • Stabilitas dan Kemampuan Sistem yang Handal
  • Inovasi
  • Lokasi
  • Tidak Terbatas Tempat dan Waktu
  • Dapat Digunakan Secara Bersamaan
  • Ruang Penyimpanan Besar
Resiko Dari Cloud Computing
  1. User tidak mengetahui secara fisik apa yang terjadi pada data nya, hanya berharap pada tanggung jawab provider.
  2. Ketika data tersimpan secara eksternal, bencana sulit dihadapi karena hanya mengandalkan Provider dalam pemulihan
  3. Ketika Provider mengalami kepailitan
Peluang Dan Hambatan Cloud Computing
  1. Availability/Business Continuity
  2. Data Lock-In
  3. Data Confidentiality and Auditability
  4. Data Transfer Bottlenecks
  5. Performance Unpredictability
  1. Scalavle Storage
  2. Bugs InLarge Distributed System
  • Scaling Quickly
  • Reputation Fate Sharing
  • Sofware Licensing
Cloud Computing merupakan teknologi yang harus diperimbangkan oleh perusahaan-perusahaan baik kecil,menengah atau besar dikarenakan penggunaan nya relatif murah dan fasilitasnya lebih besar

Merancang Sebuah Security audit pada jaringan
1. Audit
audit adalah suatu proses yang sistematik untuk mendapatkan dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan mengenai kegiatan dan kejadian, dengan tujuan untuk menentukan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah di tetapkan, sera menyampaikan hasil-hasilnya kepada pihak-pihak yang berkepentingan.
2. Sasaran
  • Dapat mengidentifikasi kelebihan dan kekurangan suatu jaringan
  • Dapat mengevaluasi sistem keamanan pada jaringan komputer
  • Mengetahui dan memahami fasilitas yang sudah ada, dan untuk lebih di tingkatkan
3. Jenis Audit
audit jaringan komputer secara umum dapat dibagi menjadi dua bagian, yaitu performance audit dan Security audit. Performance audit lebih menitikberatkan pada peningkatan kinerja jaringan komputer, sedangkan Security Audit lebih menitikberatkan pada sistem keamanan jaingan komputer.
  • Performance Audit
Performance audit adalah sebuah audit dalam rangka mendapatkan gambaran mengenai kinerjasebuah organisasi/perusahaan secara keseluruhan. Performance audit lebihmenekankan padaaspek kebutuhan organisasi dalam meningkatkan proses bisnis dan memenangkan kompetisi.Performance audit akan menghasilkan angka-angka yang dengan diolah menggunakan metode statistik akan memberikan gambaran langkah-langkah yang harusdi ambil oleh organisasi/perusahaan
  • Security Audit
security audit adalah penilaian atau evaluasi teknis yang sistematis dan terukur mengenai keamanan komputer dan aplikasinya. Audit keamanan komputer ini terdiri dari dua bagian, yaitu.
  1. Penilaian Otomatis
  2. Penilaian non-otomatis
sistem yang dinilai dan dievaluasi tidak hanya komputernya saja, tetapi meliputi semua PC, server, mainframe, jaringan komputer, router, saklar data, serta segala macam software yang dipakai oleh organisasi atau perusahaan yang bersangkutan
4 Metode Audit Jaringan
Proses audit untuk jaringan komputer akan semakin kompleks jika sistemnya semakin besar dan terintegrasi satu sama lainnya, teknik audit terhadap jaringan komputer harus di break-down berdasarkan layer-layerdari 7-layer pada open system interconnection (OSI), pendekatan auditnya dapat dilakukan dari dua arah, yaitu pendekatan Top-down dan pendekatan bottom-up
5 Identifikasi melalui layer OSI
Sebelum melakukan audit, ada baiknya terlebih dulu mengetahui mengenai komponen apa saja yang terdapat di tiap-tiap layer. Hal ini berfungsi untuk memudahkan kita dalam menetukan target audit (obyek yang akan di audit)
6 Pendekatan Top-down
Audit dengan pendekatan Top-down adalah memulai melakukan identifikasi dari layer OSI yang tertinggi, yaitu Application Layer menuju ke layer yang terendah, yaitu Physical Layer, berarti audit dilakukan dari perangkat lunak (software) aplikasi komunikasi dan berakhir di infrastruktur komunikasi.
7 Pendekatan Bottom-up
Audit dengan pendekatan Bottom-up adalah kebalikan dari pendekatan Top-down, yaitu dengan memulai melakukan identifikasi dari layer OSI yang terendah, yaitu Physical Layer menuju ke layer yang tertinggi, yaitu Applicaion Layer. Dalam hal ini audit dimulai dari infrastruktu komunikasi dan berakhir di perangkat lunak (software) aplikasi komunikasi
8. Prosedur audit
  1. Memeriksa apakah ada fungsi manajemen jaringan yang kuat dengan otoritas untuk membuat standar dan prosedur.
  2. Memeriksa apakah tersedia dokumen mengenai inventarisasi peralatan jaringan termasuk dokumen penggantian peralatan
  3. Memeriksa apakah tersedia prosedur untuk memantau network usage untuk keperluan peningkatan kinerja dan penyelesaian masalah yang timbul
  4. Memeriksa apakah ada control secara aktif mengenai pelaksanaan standar untuk aplikasi-aplikasi on-line yang baru diimplementasikan
9. Fungsi Audit jaringan
  • Untuk memonitor setiap perubahan pada konfigurasi keamanan jaringan
  • Untuk mengetahui siapa saja yang mengakses file-file tertentu
  • Untuk memonitor aktifitas dari sejumlah user jaringan
  • Untuk menyimpan rekaman kegiatan login dan logout berdasarkan tanggal dan waktu
B. Audit Keamanan Jaringan Komputer
Secara garis besar, audit terhadap sebuah sistem keamanan jaringan komputer dibagi kedalam 3 kategori yaitu: audit terhadap hak akses (privilege audit), audit terhadap penggunaan sumber daya (usage audit), audit terhadap eskalasi (escalation audit)
  1. Privilege Audit
audit jenis ini tujuannya adalah untuk melakukan verifikasi apakah “group”, “roles” dan “account” sudah diterapkan dengan tepat dalah sebuah organisasi dan keamanan yang di terapkan didalamnya juga sudah tepat. Audit ini juga melakukan verifikasi apakah kebijakan-kebijakan yang di terapkan dalam sebuah organisasi sudah diikuti dengan benar apa belum. Privilege audit dilakukan dengam cara melakukan review secara lengkap terhadap semua “group” dan “account” dalam sebuah sistem jaringan untuk sebuah organisasi

  1. Usage Audit
Audit jenis ini melakukan verifikasi apakah perangkat lunak dan sistem yang digunakan dalam sebuah organisasi dipakai secara konsisten dan tepat sesuai dengan kebijakan yang berlaku dalam organisasi tersebut. Audit ini akan melakukan review secara lengkap dari sisi fisik sebuah sistem, mem-verifikasi konfigurasi perangkat lunak, dan aktifitas-aktifitas sistem yang lain. Organisasi harus meguji sistem secara berkala untuk melakukan verifikasi bahwa perangkat lunak yang di lisensi oleh organisasi tersebut yang boleh di instal di setiap komputer yang ada dalam organisasi tersebut. Hal ini juga menjadi pertimbangan adalah masalah lubang keamanan yang mungkin saja di timbulkan oleh perangkat lunak yang di instaldi dalam sistem organisasi tersebut. Audit ini juga melakukan pengujian terhadap penggunaan jaringan komputer dalam sebuah organisasi pengcekan dilakukan untuk mengetahui apakah sumber daya jaringan komputer digunakan sesuai dengan peruntukannya atau tidak.
  1. escalation audit
Eskalasi audit mem-fokuskan seputar bagaimana pihak manajemen/decision-makers mengendalikan sistem jaringan jika menemukan masalah darurat terhadap sistem tersebut. Jenis audit ini akan melakukan pengujian bagaimana sebuah organisasi mampu menghadapi masalah-masalah yang mungkin muncul ketika keadaan darurat terjadi. Sebuah proses audit dapat di gunakan untuk menjamin bahwa segala sesuatunya dapat di selesaikan dan rencana-rencana tersebut dapat sukses di terapkan jika masalah terjadi pada sistem jaringan komputer organisasi tersebut

C. TOOLS IT AUDIT
Tool yang dapat digunakan untuk membantu pelaksanaan Audit Teknologi informasi. Berikut beberapa software yang dapat dijadikan alat bantu dalam pelaksanaan audit teknologi informasi.
  1. ACL
ACL (Audit Command Language) Adalah sebuah software TABK (TEKNIK AUDIT BERBASIS KOMPUTER) untuk membantu auditor dalam melakukan pemeriksaan di l ingkungan sistem informasi berbasis komputer atau Pemrosesan Data Elektronik.
  1. Picalo
Picalo adalah sebuah software CAAT (Computer Assisted Audit Techniques) yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber. Picalo bekerja dengan menggunakan GUI Front end, dan memiliki banyak fitur untuk ETL Sebagai Proses Utama dalam mengekstrak dan membukan data, kelebihan utamanya adalah fleksibilitas dan Front end yang baik hingga Libran Python numerik. Berikut ini beberapa kegunaannya :
  • Menganalisis data keuangan, data karyawan
  • Mengimport file Excel, CSV dan TSV ke dalam database
  • Analisa event jaringan yang interaktif, log server situs, dan record sistem login
  • Mengimport email kedalam relasional dan berbasis teks database
  • Menanamkan kontrol dan test rutin penipuan ke dalam sistem produksi
  1. Powertech Compliance Assessment
    Powertech Compliance Assessment adalah automated tool yang dapat digunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah serverAS/400
  1. Nipper
    Nipper (Jaringan Infrastruktur Parser) adalah alat berbasis open source untuk membantu profesional TI dalam mengaudit, konfigurasi dan mengelola jaringan komputer dan perangkat jaringan infrastruktur. Nipper juga merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan mem-benchmark konfigurasi sebuah router.
  2. Nessus
    Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat Vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan.
  3. Metasploit
    Metasploit Framework merupakan sebuah penetration testing tool, yaitu sebuah software yang digunakan untuk mencari celah keamanan.
  4. NMAP
    NMAP merupakan open source utility untuk melakukan security auditing. NMAP atau Network Mapper, adalah software untuk mengeksplorasi jaringan
  5. Wireshark
    Wireshark merupakan aplikasi analisa network protokol paling digunakan di dunia. Wireshark bisa mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan pada jaringan komputer . Berstandarkan de facto dibanyak industri dan lembaga pendidikan
C. Akses Kontrol pada sumber komputasi
Kontrol Akses
Proses ini akan diidentifikasi siapa yang sedang melakukan request untuk mengakses suatu resource tertentu dan apakah pengguna tersebut memiliki hak akses (authorized) untuk mengakses resource tersebut. Kontrol akses akan memproteksi data terhadap akses yang dilakukan oleh pengguna yang tidak memiliki hak akses terhadap resource tersebut. Kontrol akses mendukung dengan terwujudnya confidentiality dengan memastikan data hanya bisa dilihat oleh orang yang memiliki hak akses untuk melihat data tersebut, serta mendukung integrity dengan memastikan data hanya bisa ditulisi dan diubah oleh pengguna yang memiliki hak akses untuk melakukan penulisan ataupun pengubahan terhadap data tersebut.Dalam melakukan proses mediasi pada setiap permintaan ke sumber daya, dan data akan dikelola oleh sistem dengan cara menentukan apakah permintaan tersebut. harus diberikan atau ditolak. Pada model kontrol akses secara tradisional akan membatasi skenario yang akan muncul, dengan memerlukan pengembangan secara terbuka di mana keputusan yang diberikan untuk melakukan akses tergantung pada sifat (atribut) dari pemohon ketimbang identitas. Pembatasan terhadap kontrol akses akan ditegakkan, walaupun itu berasal dari otoritas yang berbeda (Linares, 2008)..
Dalam bidang komputasi akan dimotivasi oleh kebutuhan untuk membocorkan akses ke informasi yang tersedia di dalam sumber daya komputasi dan entitas sehingga mempunyai wewenang dalam mengakses informasi di sistem tersebut. Suatu entitasadalah istilah umum yang mengacu pada agen aktif yang mampu untuk memulai ataumelakukan perhitungan baik itu pengguna pada waktu memanggil program atau mengakhirinya. Agen dalam pemograman tersebut bertidak atas nama pengguna, dan arunning daemon process, a thread of execution, a hosting system, or a networking device (Benantar, 2006).Untuk mengatur segala proses yang berhubungan dengan pengontrolan akses. Sebuah entitas yang meminta akses ke sebuah sumber daya disebut sebagai akses dari subyek. Sebuah subyek merupakan entitas yang aktif karena dia menginisiasi sebuah permintaan akses. Sebuah sumber daya yang akan diakses oleh subyek disebut sebagai obyek dari akses. Obyek dari akses merupakan bagian yang pasif dari akses karena subyek melakukan aksi terhadap obyek tersebut. Tujuan dari kebijakan kontrol akses adalah mengizinkan hanya subyek yang mempunyai otorisasi yang bisa mengakses obyek yang sudah diizinkan untuk diakses. Hal ini mungkin juga ada subyek yang sudah mempunyai otorisasi tapi tidak melakukan akses terhadap spesifik obyek tertentu.
Oleh kontrol akses adalah sekumpulan metode yang dipergunakan untuk melindungi aset informasi,meskipun informasi tersebut dapat diakses oleh setiap orang tetapi akan tetap memerlukan perlindungan terhadap informasi yang lainnya. Kontrol akses akan mendukung kerahasian dan integritas dari sebuah sistem.
supaya sistem itu aman, serta melindungi kerahasian informasi dari orang yang tidak berhak untuk mendapatkan informasi tersebut. Penggunaan kontrol akses dilakukan untuk memastikan bahwa orang yang berhak saja yang dapat mengakses informasi tersebut, dan memberikan kemampuan untuk mendikte informasi yang mana saja boleh dilihat ataupun dimodifikasi oleh pengguna.
Kontrol akses terbagi menjadi 4 jenis yaitu sebagi berikut
  1. Read access
Kemampuan yang diberikan kepada pengguna untuk melihat informasi pada sumber daya sistem seperti file, data dan lain sebagainya. Kemampuan tersebut yang telah diberikan adalah tidak dapat mengubah, menghapus, ataupun menambah tetapi hanya dapat melihat serta menyalin informasi tersebut.
  1. Write access
Kemampuan yang diberikan kepada pengguna untuk dapat menambah, mengubah, atau menghapus informasi yang ada dalam sumber daya. Kemampuan untuk melakukan pembacaan informasi (read access) di dalam sumber daya juga telah dapatkan oleh pengguna yang mendapatkan hak akses ini.
  1. Execute privilege
Hak akses yang diberikan kepada pengguna untuk menjalankan program yang ada di dalam sumber daya.
  1. Delete access
Memungkinkan pengguna untuk menghapus sumber daya sistem yang ada (misalnya, file, record, direktory dan program). Namun, jika pengguna memiliki akses tulis namun tidak menghapus akses, mereka bisa menimpa field atau file tersebut
Mekanisme perlindungan yang penting dalam komputer dan berkembang sesuai dengan perkembangan aplikasi dalam menjaga keamanan sistem komputasi ada tiga hal penting yang harus diterapkan (Saltzeret al, 1975) antara lain:
  1. Komputasi dasar yang terpercaya adalah perangkat keras dan perangkat lunak sistem harus mampu menjaga kerahasiaan dan integritas data.
  2. Otentikasi adalah harus diketahui siapakah yang dapat mengawasi sistem tersebut. Misalnya, pengguna jika ingin melakukan penghapusan berkasnya harus membuktikan apakah perintah tersebut itu miliknya, dan bukan pengguna lain yang tidak di ketahui identitasnya.
  3. Otorisasi atau kontrol akses adalah apakah pengguna yang melakukan kegiatan tersebut benar-benar dapat dipercaya, apakah hal itu benar perintah yang ia lakukan. Misalnya, benar bahwa pengguna tersebut yang memberikan perintah untuk melakukan penghapusan berkas itu.
2.5 Modelmodel Kontrol Akses
Model dalam kontrol akses sangat berfungsi untuk menentukan jenis kontrol akses yang diperlukan dalam mendukung kebijakan keamanan. Model kontrol akses merupakan sebuah framework yang menjelaskan bagaimana subjek mengakses objek. Ada tiga tipe utama model kontrol akses yaitu mandatory, discretionary, dan rolebased. Tiap tipe model memakai metode berbeda untuk mengkontrol bagaimana subjek mengakses objek dan mempunyai kelebihan serta keterbatasan masing- masing.
Beberapa model dipakai secara eksklusif dan kadang-kadang model tersebut dikombinasikan sehingga mampu mencapai tingkat keperluan keamanan yang dibutuhkan. Berikut ini model-model kontrol akses
  1. Mandatory Access Control (MAC)
MAC adalah sebuah mekanisme untuk mengontrol pengguna atau suatu proses yang memiliki akses ke sumber daya dalam sebuah sistem. Kebijakan yang dilakukan oleh MAC ditentukan untuk memfasilitasi pengelolaan dalam memelihara pengontrolanakses ke sumber daya.
  1. Discretionary Access Control
Discretionary Access Control (DAC) adalah model akses sumber daya berdasarkan identitas pengguna. Seorang pengguna akan diberikan hak akses ke sumber daya dengan ditempatkan pada sebuah ACL (Access Control List) yang berhubungan dengan sumber daya tersebut. Pengentrian pada sumber daya dengan ACL dikenal sebagai ACE (Access Control Entry)
  1. Role Based Access Control (RBAC)
Role Based Access Control (RBAC) telah banyak diterapkan pada aplikasi yang berhubungan dengan pengontrolan akses sumber daya. Berbeda dengan kontrol akses tradisional, RBAC tidak menerapkan hak akses para pelaku atau subjek, sebaliknya memberikan hak akses untuk peran (roles).
  1. Entitas dalam RBAC
Role adalah entitas yang sangat mendasar dalam RBAC dan mempunyai istilah sangat luas sehingga tidak ada definisi yang jelas di dalam kepustakaan. Sebenarnya role dianggap sebuah abstrak di dalam sekumpulan hak akses, sehingga jika ingin mendefinisikan role serta mengimplementasikan role dalam suatu kasus maka role merupakan suatu jembatan yang digunakan untuk menghubungkan sekumpulan hak akses pada sekumpulan pengguna

D. Menerapkan Security solutions (E-learning)
Aplikasi e-Learning dimanfaatkan oleh semua dosen di lingkungan perkuliahan.. Masing masing dosen dan mahasiswa dapat mengakses aplikasi e-Learning dengan menggunakan username dan password khusus. Dosen hanya dapat mengelola proses pembelajaran untuk mata kuliah yang diajarnya sesuai dengan tahun semester yang bersangkutan. aplikasi e-Learning khusus untuk mata kuliah yang ditempuhnya, sesuai dengan tahun semester yang bersangkutan. Web server aplikasi e-Learning dibangun menggunakan Apache 2.2.3 dengan sistem operasi Debian, bahasa pemrograman PHP versi 5.2.0, dan database server menggunakan PostgreSQL
  1. Keamanan Web server
Analisis keamanan pada sisi web server dalam penelitian ini dilakukan dengan menggunakan software Acunetix web vurnerability scanner. Aspek-aspek yang dianalisis meliputi:
  1. Blind injection
  2. Cgi tester
  3. Directory file
  4. File checks
  5. Google Hacking testing Database (GHDB)
  6. Parameter manipulation
  7. Sql injection
  8. Text search
  9. Version checks
  10. Web application xfs
  11. Entity encode heap overflow
Secara keseluruhan terdapat 132 peringatan terhadap keamanan web server untuk situs e-learning
Beberapa masalah yang terjadi terkait keamanan web server adalah sebagai berikut:
  1. mod_ssl version versi 2.2.3 yang digunakan mempunyai celah atau lubang keamanan, yang
memungkinkan terjadinya Denials of Service (DOS). Solusi atas masalah ini disarankan untuk melakukan upgrade ke versi yang lebih baru.
  1. PHPSESSID memiliki celah yang memungkinkan penyusup menginjeksi dengan program PHP untuk memanipulasi cookie. Solusi atas masalah ini disarankan untuk merubah nilai session.use_only_cookies=1 pada file php.ini (semula nilainya 0).
  1. web server dikonfigurasikan untuk menampilkan nama-nama file yang terdapat pada directory/css. Hal ini tidak dianjurkan karena direktori tersebut berisi file-file program yang
terhubung dalam website tersebut. Solusi atas masalah ini disarankan untuk memastikan bahwa dalam direktori tersebut tidak terdapat informasi yang penting atau rahasia atau membuat file index yang terpisah.
  1. Trace method dalam status enable, sehingga memungkinkan penyusup mengakses informasi
di http header seperti cookies dan data autentification. Solusi atas masalah ini disarankan untuk mengubah status trace method menjadi disable.
  1. Terdapat 2 broken links, yaitu php.net dan mySQL.org. Solusi atas masalah ini disarankan untuk menghapus link tersebut atau membetulkannya.
  1. Ditemukan nama file yang sensitif yaitu bashrc yang biasanya berisi file password, konfigurasi, log, data statistik, dan database dumps yang mengundang penyusup melakukan serangan. Solusi atas masalah ini disarankan untuk mengganti nama atau mengubah hak akses.
  1. Ditemukan nama direktori yang sensitif yang mengundang penyusup melakukan serangan
yaitu:
  • config (default)
  • admin
  • user/login
  • user/config
Solusi atas masalah ini disarankan untuk mengganti nama atau mengubah hak akses.
  1. Terdapat program dengan nama file yang mudah ditebak dimana data yang dikirimkan tidak dienkripsi yang mengundang penyusup melakukan serangan. Solusi atas masalah ini disarankan untuk mengganti nama file program, mengenkripsi data yang dikirimkan (misalnya pada file /index.php terdapat perintah get act=search; post kata=&search=cari).
  2. Ditemukan file yang berisi informasi yang terdapat pada google hacking database/GHD
(misalnya kata Apache, server) pada folder /css/img/image/icons yang mengundang penyusup melakukan serangan.
Solusi atas masalah ini disarankan untuk mengganti penggunaan kata-kata yang sudah umum dipakai.
  1. Terdapat alamat email dalam website yang memungkinkan penyusup mengirimkan SPAM bots.
Solusi atas masalah ini disarankan untuk memasang SPAM proofing.
2. Keamanan Program Aplikasi
  • Index vurnerability
  • Zend hash del key
Hasil analisis yang diperoleh menggunakan software tersebut telah tercakup dalam hasil analisis sebelumnya.
3. Keamanan Database Server
Analisis keamanan pada sisi database server dalam penelitian ini dilakukan dengan
menggunakan software Shadow database scanner. Aspek-aspek yang dianalisis meliputi:
  1. Audit, meliputi
  • IP address
  • Host name
  • Average ping response
  • TCP port
  1. Vurnerability
Tampilan hasil analisis pada situs e-Learning secara berturut-turut untuk Summary
Berdasarkan hasil analisis di atas maka dapat diketahui bahwa keamanan database server
untuk situs e-Learning dapat dinyatakan aman terhadap kemungkinan adanya ancaman dan akses ilegal yang berpotensi merusak
Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)