03 Keselamatan Kawalan

Topik
KESELAMATAN SISTEM
MAKLUMAT
10.1
2006 by Prentice Hall
Pengurusan Sistem Maklumat

Topik 4 Keselamatan & Kawalan
OBJECTIVES
Menerangkan kenapa Sistem Maklumat

memerlukan perlindungan khas daripada
kemusnahan, kesalahan dan penyalahgunaan
Assess the business value of Keselamatan &
Kawalan
Evaluate elements of an organizational and
managerial framework for security and control
10.2

OBJECTIVES (Continued)
Evaluate the most important tools and

technologies for safeguarding information
resources
Identify the challenges posed by Sistem
Maklumat Keselamatan & Kawalan and
management solutions
10.3

Wesfarmers Limited Case
Challenge: provide network and infrastructure

security to a financial services firm in a Web-enabled
high-threat environment
Solutions: outsource to a well-known security firm the
task of providing 24 x 7 network and infrastructure
monitoring and reporting
Real-time security monitoring 24 x 7, best practices,
online security portal, data mining of network
transactions
Illustrates the role of system and network security in
providing customers with service and managing
corporate risk in online environments
10.4

SYSTEM VULNERABILITY AND ABUSE
Kenapa Sistem Mudah Terdedah Kepada Bahaya

Cabaran Keselamatan Masa Kini dan Kebolehan Diancam
10.5
Rajah 4-1

KenapaSistem Mudah Terdedah Kepada Bahaya

Kebolehan Internet Diancam :
Penggunaan alamat internet tetap menggunakan
modem kabel atau DSL (Digital Subscriber Line)
Kelemahan encryption dengan kebanyakan Voice
over IP (VoIP)
Penyebaran meluas emel dan instant messaging
(IM)
10.6

Wireless Security Challenges:

Gelombang frekuensi radio mudah di kesan
Service Set Identifiers (SSID) mampu
mengenalpasti/memperkenal identiti penyiaran di
access points
10.7

Wi-Fi Security Challenges
10.8
Rajah 4-2

Hackers
Seorang pakar komputer yang berkemahiran tinggi
dalam bidang pengkomputeran yang mempelajari,
menganalisis, mengubahsuai perisian dan menceroboh
masuk ke dalam komputer atau rangkaian computer.
10.9

Trojan Horses
Sejenis atur cara yang mengandungi helah di dalamnya.
Atur cara ini kononnya berfaedah atau menarik tetapi
sebenarnya mengandungi fungsi yang diletakkan oleh
pencipta atur cara untuk menceroboh keselamatan
sistem komputer apabila atur cara tersebut dijalankan.
10.10

Viruses, Worms, Trojan Horses, danSpyware
10.11
Hackers dan Cybervandalism

Computer viruses, worms, trojan horses
Spyware
Spoofing and Sniffers
Denial of Service (DoS) Attacks
Identity theft
Cyberterrorism and Cyberwarfare
Vulnerabilities from internal threats (employees);
software flaws
Phishing

10.12

10.13

10.14

Kemusnahan di peringkat dunia terhadap serangan digital
10.15
Rajah 4-3

BUSINESS VALUE OF Keselamatan & Kawalan
Keselamatan & Kawalan yang tidak cukup boleh

menyebabkan masalah perundangan yang besar.
Perniagaan/urusanperlu dilindungi bukan sahaja
maklumat syarikat malahan juga maklumat pelanggan,
pekerja dan rakan niaga. Kegagalan berbuat demikian
akan mendedahkan kepada masalah dan kecurian
maklumat.
10.16

Trend Insiden Keselamatan yang meningkat
10.17
Source: CERT Coordination

Center, www.cert.org, accessed
July 6, 2004.
Rajah 4-4

BUSINESS VALUE OF SECURITY AND CONTROL
Legal and Regulatory Requirements for Electronic

Records Management
Electronic Records Management (ERM): Policies,
procedures and tools for managing the retention,
destruction, and storage of electronic records
10.18

Undang-undang dan Data Keselamatan & Kawalan

The Health Insurance Portability and Accountability
Act (HIPAA)
Gramm-Leach-Bliley Act
Sarbanes-Oxley Act of 2002
10.19

Electronic Evidence dan Computer Forensics

Electronic Evidence: Data komputer disimpan di
dalam cakera, e-mail, instant messages, dan
transaksi e-commerce
Computer Forensics: Pengumpulan saintifik,
examination, authentication (penulenan),
preservation(pemeliharaan), dan analisis data
komputer untuk kegunaan di mahkamah
10.20

ESTABLISHING A MANAGEMENT FRAMEWORK FOR
Keselamatan & Kawalan
Jenis kawalan Sistem maklumat

Kawalan am:
Software dan hardware
Operasi komputer
Keselamatan data
Proses penggunaan sistem
10.21

Kawalan Aplikasi
Input
Processing
Output
10.22

Risiko
Kenalpasti tahap risiko kepada sesebuah firma
sekiranya aktiviti atau proses tidak dikawal dengan
baik
10.23

Security Profiles for a Personnel System
10.25
Rajah 4-5

Memastikan Hayat Perniagaan

Downtime: tempoh masa sistem tidak boleh
beroperasi
Fault-tolerant computer systems: Pengulangan
hardware, software, dan bekalan kuasa untuk
kesinambungan operasi, perkhidmatan tidak
disampuk (uninterrupted service)
High-availability computing: Rekabentuk untuk
memaksimakan aplikasi dan kebolehan sistem
10.26


Load balancing: Pengedaran permohonan capaian
menerusi pelbagai pelayan.
Mirroring: Pelayan sokongan yang menduakan proses
dan pelayan utama. Backup-Restore Windows
Recovery-oriented computing: Rekabentuk sistem
komputer untuk memulihkan kejadian yang tidak
diingini. Cth. Just reboot
10.27


Disaster recovery planning: Rancangan untuk
memasukkan kembali data dan maklumat yang
telah dimusnahkan oleh bencana alam atau
serangan manusia
Business continuity planning: Rancangan untuk
mengendalikan fungsi mission-critical jika sistem
bermasalah
10.28

Audit:
Audit MIS: kenalpasti semua kawalan yang
memberi arahan kepada Sistem Maklumat dan
keberkesanannya
Audit Keselamatan: Kaji kembali teknologi,
prosedur, documentasi, latihan dan, personal
10.29

Sample Auditors List of Control Weaknesses
10.30
Rajah 4-6

TECHNOLOGIES AND TOOLS FOR Keselamatan & Kawalan
Kawalan Capaian
Kawalan Capaian: mengandungi semua polisi dan
prosedur syarikat yang digunakan untuk mengelakkan
capaian yang tidak betul kepada sistem oleh kakitangan
dalaman/luaran yang tidak dibenarkan
Authentication:
Passwords
Tokens, smart cards
Biometric authentication
10.31

Firewalls, Intrusion Detection Systems, dan

Antivirus Software
Firewalls: Hardware dan software yang mengawal
aliran masuk dan keluar sestautu trafik rangkaian
Intrusion detection systems: Pencerapan sepenuh
masa yang ditempatkan di lokasipaking berisiko
dalam rangkaian untuk mengenalpasti sebarang
gangguan
10.32

Firewalls, Intrusion Detection Systems, dan

Antivirus Software (Continued)
Antivirus software: Software yang memeriksa sistem
komputer untuk menjaga dan menghapuskan daripada
serangan virus komputer
Wi-Fi Protected Access specification
10.33

A Corporate Firewall
10.34
Rajah 4-7

Encryption and Public Key Infrastructure

Public key encryption: Menggunakan dua kekunci
yang berbeza, private dan public. Ia saling berkait dan
data yang di dengan satu kekunci boleh di decrypt
menggunakan kekunci yang satu lagi.
Message integrity: Kebolehan khusus sesuatu mesej
yang dihantar ke destinasi tanpa sebarang usaha
disalin atau diubah
10.35


Digital signature: Kod digital yang disertakan dalam
penghantaran elektronik yang digunakan untuk
mengesahkan ketulenan kandungan mesej
Digital certificates: Fail data yang digunakan untuk
mengesahkan identiti pengguna dan melindungi
transaksi elektronik
Public Key Infrastructure (PKI): Penggunaan public
key cryptograph yang memerlukan certificate
authority
10.36


Secure Sockets Layer (SSL) dan Transport Layer
Security (TLS): protocol untuk pemindahan maklumat
yang selamat menerusi internet. Ia membolehkan
pelanggan dan pelayan komputer encrypt dan decrypt
aktiviti dalam internet.
Secure Hypertext Transfer Protocol (S-HTTP):
digunakan untuk encrypt aliran data didalam Internet;
terhad untuk dokumen Web, yang mana SSL dan TLS
encrypt semua data yang diluluskan oleh pelanggan
dan pelayan.
10.37

Public Key Encryption
10.38
Rajah 4-8

Peralatan dan Teknologi untuk Keselamatan & Kawalan
Digital Certificates
10.39
Rajah 4-9

MANAGEMENT OPPORTUNITIES, CHALLENGES AND SOLUTIONS
Solution Guidelines:
Keselamatan & Kawalan mesti menjadi keutamaan

dalam Sistem Maklumat.
Sokongan dan tanggungjawab daripada pihak

pengurusan atasan diperlukan untuk
menggambarkan keselamatan menjadi aspek
utama.
Keselamatan & Kawalan perlu menjadi

tanggungjawab semua dalam organisasi.
10.40

03 Keselamatan Kawalan

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

03 Keselamatan Kawalan

Încărcat de

Drepturi de autor:

Formate disponibile

Topik

2006 by Prentice Hall

Pengurusan Sistem Maklumat

Menerangkan kenapa Sistem Maklumat

2006 by Prentice Hall

Pengurusan Sistem Maklumat

Evaluate the most important tools and

2006 by Prentice Hall

Pengurusan Sistem Maklumat

Wesfarmers Limited Case

Challenge: provide network and infrastructure

2006 by Prentice Hall

Pengurusan Sistem Maklumat

Kenapa Sistem Mudah Terdedah Kepada Bahaya

2006 by Prentice Hall

Pengurusan Sistem Maklumat

KenapaSistem Mudah Terdedah Kepada Bahaya

2006 by Prentice Hall

Pengurusan Sistem Maklumat

Wireless Security Challenges:

2006 by Prentice Hall

Pengurusan Sistem Maklumat

Wi-Fi Security Challenges

2006 by Prentice Hall

Pengurusan Sistem Maklumat

2006 by Prentice Hall

Pengurusan Sistem Maklumat

2006 by Prentice Hall

Pengurusan Sistem Maklumat

Viruses, Worms, Trojan Horses, danSpyware

Hackers dan Cybervandalism

2006 by Prentice Hall

Pengurusan Sistem Maklumat

2006 by Prentice Hall

Pengurusan Sistem Maklumat

2006 by Prentice Hall

Pengurusan Sistem Maklumat

2006 by Prentice Hall

Pengurusan Sistem Maklumat

Kemusnahan di peringkat dunia terhadap serangan digital

2006 by Prentice Hall

Pengurusan Sistem Maklumat

Keselamatan & Kawalan yang tidak cukup boleh

2006 by Prentice Hall

Pengurusan Sistem Maklumat

Trend Insiden Keselamatan yang meningkat

Source: CERT Coordination

2006 by Prentice Hall

Pengurusan Sistem Maklumat

Legal and Regulatory Requirements for Electronic

2006 by Prentice Hall

Pengurusan Sistem Maklumat

Undang-undang dan Data Keselamatan & Kawalan

2006 by Prentice Hall

Pengurusan Sistem Maklumat

Electronic Evidence dan Computer Forensics

2006 by Prentice Hall

Pengurusan Sistem Maklumat

Jenis kawalan Sistem maklumat

2006 by Prentice Hall

Pengurusan Sistem Maklumat

2006 by Prentice Hall

Pengurusan Sistem Maklumat