- Government Accountability Office (GAO) adalah lembaga independen yang berfungsi untuk pemeriksaan, evaluasi, dan investigasi.
- Tujuan lain GAO, yaitu menyelidiki di pusat pemerintahan atau di tempat lain semua hal yang berkaitan dengan penerimaan, pencairan, penerapan dana public.
- GAO menyimpulkan bahwa dengan hanya mengikuti kebijakan mereka,lembaga dapat meningkatkan tingkat keamanan komputer secara signifikan.
- Gambaran Isu Keamanan Secara Online
Di masa awal penggunaan internet, salah
satu penggunaan internet yang paling populer adalah surat elektronilk(e-mail).
Meskipun begitu, masih terdapat kekhawatiran pada masyarakat mengenai
keamanannya.
Dari sisi bisnis, masyarakat khawatir
mengenai adanya kemungkinan pesaing bisnis dapat mengetahui isi pesan pada
e-mail untuk keuntungan kompetitif. Juga terdapat kemungkinan pesan-pesan
nonbisnis karyawan dapat dibaca oleh supervisor mereka. Ketakutan-ketakutan ini
merupakan hal-hal yang signifikan dan realistis.
Sedangkan dari sisi pembeli/pengunjung
web, terdapat khawatiran jika nomor kartu kredit mereka akan diketahui banyak
orang, dan memungkinkan pihak yang tidak bertanggung jawab meyalah gunakannya
untuk kepentingan pribadi mereka.
- Klasifikasi Keamanan Komputer
Keamanan komputer umumnya
diklasifikasikan menjadi tiga kategori: kerahasiaan, integritas, dan kebutuhan (juga
dikenal sebagai penolakan layanan).
- Kerahasiaan mengacu melindungi terhadap pengungkapan data yang sah dan memastikan keaslian sumber data.
- Integritas merujuk untuk mencegah modifikasi data yang tidak sah.
- Kebutuhan mengacu mencegah keterlambatan data yang atau penolakan (penghapusan).
- Kebijakan Keamanan dan Keamanan Terpadu
Sebuah kebijakan
keamanan adalah pernyataan tertulis yang menggambarkan aset untuk melindungi dan
mengapa mereka dilindungi, yang bertanggung jawab untuk perlindungan itu, dan yang
perilaku yang dapat diterima dan yang tidak. Kebijakan ini terutama membahas fisik
keamanan, keamanan jaringan, otorisasi akses, perlindungan virus, dan bencana recovery.
Kedua pedoman pertahanan dan keamanan komersial menyatakan bahwa organisasi harus
melindungi aset dari pengungkapan yang tidak sah, modifikasi, atau perusakan. Namun,
militerkebijakan keamanan berbeda dari kebijakan komersial karena aplikasi
militer menekankan pemisahan beberapa tingkat keamanan. Informasi perusahaan biasanya
diklasifikasikan sebagai "Publik" atau "rahasia
perusahaan." Kebijakan keamanan khas mengenai rahasia informasi perusahaan
sangat mudah: Jangan mengungkapkan informasi rahasia perusahaan kepada siapa
pun di luar perusahaan. Langkah pertama sebuah organisasi harus mengambil dalam
menciptakan kebijakan keamanan adalah untuk menentukan aset yang melindungi dari
mana ancaman. Sebagai contoh, sebuah perusahaan yang menyimpan pelanggan nomor
kartu kredit mungkin memutuskan bahwa angka-angka adalah aset yang harus
dilindungi dari penyadap. Kemudian, organisasi harus menentukan siapa yang seharusnya
memiliki akses ke berbagai bagian dari sistem. Selanjutnya, organisasi menentukan
apa sumber daya yang tersedia untuk melindungi aset teridentifikasi. Menggunakan
informasi yang telah diperoleh, organisasi mengembangkan kebijakan keamanan tertulis.
Akhirnya, organisasi melakukan sumber daya untuk bangunan atau perangkat lunak pembelian,
hardware, dan fisik hambatan yang menerapkan keamanan kebijakan. Sebagai
contoh, jika kebijakan keamanan melarang akses tidak sah ke pelanggan informasi,
termasuk nomor kartu kredit dan sejarah kredit, maka organisasi harus baik membuat
atau software pembelian yang menjamin end-to-end kerahasiaan untuk elektronik commerce
pelanggan. Sebuah rencana komprehensif untuk keamanan harus melindungi sistem privasi,
integritas, dan ketersediaan (kebutuhan), dan otentikasi pengguna. Ketika tujuan
ini digunakan untuk membuat keamanan kebijakan untuk operasi perdagangan
elektronik, mereka harus dipilih untuk memenuhi daftar persyaratan yang
ditunjukkan pada. Persyaratan ini memberikan tingkat minimum keamanan yang
dapat diterima untuk kebanyakan operasi perdagangan elektronik
·
Pilar
Keamanan Sistem E-Commerce
·Otentikasi:
Siapa yang mencoba untuk mengakses situs perdagangan elektronik?
·Kontrol
akses: Siapa yang diperbolehkan untuk log on ke dan mengakses elektronik
commerce?
·Kerahasiaan:
Siapa yang diizinkan untuk melihat informasi yang dipilih?
· Integritas
data: Siapa yang diperbolehkan untuk mengubah data?
- Audit: Siapa atau apa yang menyebabkan peristiwa tertentu terjadi, dan kapan?
·
Keamanan
untuk Komputer Client
Komputer klien, biasanya PC, harus
dilindungi dari ancaman yang berasal dari perangkat lunak dan data yang
di-download ke komputer klien dari Internet. Ancaman lain untuk komputer klien
dapat timbul ketika sebuah server situs jahat menyamar sebagai situs Web yang
sah. Pengguna dan komputer klien mereka dapat ditipu mengungkapkan informasi ke
situs-situs Web. Bagian ini menjelaskan ancaman tersebut, menjelaskan bagaimana
mereka bekerja, dan menguraikan beberapa mekanisme perlindungan yang dapat
mencegah atau mengurangi ancaman mereka berpose untuk komputer klien.
·
Cookies
Cookies diciptakan untuk
memecahkan masalah koneksi bernegara oleh menyimpan informasi tentang pengguna Web
dari satu set pertukaran pesan server-client untuk lain.
Jenis Cookies
- Non persistent (session) cookies : Suatu cookies yang akan hilang sewaktu user menutup browser dan biasanya digunakan pada 'shopping carts' di toko belanja online untuk menelusuri item-item yang dibeli,
- Persistent cookies : Diatur oleh situs-situs portal, banner / media iklan situs dan lainnya yang ingin tahu ketika user kembali mengunjungi site mereka. (misal dengan cara memberikan opsi ”Remember Me” saat login). File file ini tersimpan di hardisk user
·
Web
bugs
Web Bug disampaikan oleh
situs pihak ketiga, yang kemudian dapat menempatkan cookie di komputer
pengunjung. Tujuan Web bug adalah
untuk memberikan jalan untuk situs
web pihak ketiga (identitas yang tidak diketahui pengunjung) untuk menempatkan cookie
dari situs pihak ketiga pada computer
pengunjung. Web bug berupa
gambar dengan format GIF.
·
Konten
Aktif
Selama debut konten Web dieksekusi,
halaman Web bisa melakukan sedikit lebih dari tampilan konten dan
memberikan link ke halaman terkait dengan informasi tambahan. Meluasnya
penggunaan konten aktif telah
mengubah situasi. Konten aktif mengacu pada program yang tertanam transparan dalam
halaman Web. Contoh konten
aktif adalah dapat menampilkan grafis bergerak, download dan memutar audio, serta yang lainnya.
·
Java
Applet
Java adalah bahasa pemrograman yang dikembangkan oleh Sun Microsystems yang digunakan secara luas dalam halaman web untuk menyediakan konten aktif. Web server mengirimkan applet Java bersama dengan halaman web yang diminta oleh klien Web. Dalam kebanyakan kasus, operasi Java applet akan dapat dilihat oleh pengunjung situs. Java juga dapat berjalan di luar batas-batas browser Web. Java adalah platform independen; yaitu, dapat berjalan pada banyak komputer yang berbeda. "Mengembangkan sekali, menyebarkan di mana-mana" fitur ini mengurangi biaya pengembangan karena hanya satu program perlu dikembangkan untuk semua sistem operasi. Java menambahkan fungsi untuk aplikasi bisnis dan dapat menangani transaksi dan lebar berbagai tindakan pada komputer klien. Itu mengurangi program server-side jika tidak sibuk dari penanganan ribuan transaksi secara bersamaan. Setelah di-download, kode Java tertanam dapat dijalankan pada komputer klien, yang berarti bahwa pelanggaran keamanan dapat terjadi. Untuk mengatasi kemungkinan ini, model keamanan yang disebut sandbox Jawa telah dikembangkan. The Java sandbox membatasi tindakan applet Java untuk satu set aturan yang ditetapkan oleh model keamanan. Aturan-aturan ini berlaku untuk semua applet Java dipercaya.
·
JavaScript
