KEAMANAN
KOMPUTER
Keamanan komputer adalah suatu cabang teknologi yang dikenal dengan nama keamanan informasi yang diterapkan pada komputer. Sasaran keamanan komputer antara lain adalah sebagai
perlindungan informasi terhadap pencurian atau korupsi, atau pemeliharaan
ketersediaan, seperti dijabarkan dalam kebijakan keamanan.
Menurut Garfinkel dan Spafford, ahli
dalam computer security, komputer dikatakan aman jika bisa
diandalkan dan perangkat lunaknya bekerja sesuai dengan yang diharapkan.
Keamanan komputer memiliki 5 tujuan, yaitu:
1. Availability
2. Confidentiality
3. Data
Integrity
4. Control
5. Audit
Keamanan komputer memberikan persyaratan terhadap
komputer yang berbeda dari kebanyakan persyaratan sistem karena sering kali berbentuk pembatasan terhadap apa yang tidak boleh
dilakukan komputer. Ini membuat keamanan komputer menjadi lebih menantang
karena sudah cukup sulit untuk membuat program komputer melakukan segala apa yang sudah dirancang untuk
dilakukan dengan benar. Persyaratan negatif juga sukar untuk dipenuhi dan
membutuhkan pengujian mendalam untuk verifikasinya, yang tidak praktis bagi
kebanyakan program komputer. Keamanan komputer memberikan strategi teknis untuk
mengubah persyaratan negatif menjadi aturan positif yang dapat ditegakkan.
Pendekatan yang umum dilakukan untuk meningkatkan
keamanan komputer antara lain adalah dengan membatasi akses fisik terhadap
komputer, menerapkan mekanisme pada perangkat kerasdan sistem operasi untuk keamanan komputer, serta membuat strategi
pemrograman untuk menghasilkan program komputer yang dapat diandalkan.
Sistem Keamanan Komputer
Klasifikasi keamanan sistem informasi menurut David
Icove, yaitu :
1. Fisik ( Physical security),
2. Manusia (people/personal security),
3. Data, media, teknik komunikasi,
4. Kebijakan dan prosedur (polocy & procedure).
1. Fisik ( Physical security),
2. Manusia (people/personal security),
3. Data, media, teknik komunikasi,
4. Kebijakan dan prosedur (polocy & procedure).
Akan tetapi, kebanyakan orang hanya terfokus pada
Data, media, teknik
komunikasi. Dan berdasarkan elemen sistem terdapat
beberapa sistem keamanan, yaitu :
1. Network security, elemen ini memfokuskan pada
saluran (media) pembawa informasi atau jalur yang dilalui.
2. Application security, elemien ini memfokuskan pada
sistem tersebut serta database dan servicenya.
3. Computer security, elemen ini memfokuskan pada
keamanan dari komputer pengguna (end system) yang digunakan untuk mengakses
aplikasi, termasuk operating system(OS).
Pada suatu sistem keamanan juga mempunyai
dasar-dasarnya, yaitu :
Authentication
➔ Menyatakan bahwa data atau informasi yang digunakan atau diberikan oleh pengguna adalah asli milik orang tersebut, begitu juga dengan server dan sistem informasi yang diakses.
➔ Serangan pada jaringan berupa DNS Corruption atau DNS Poison, terminal palsu (spooffing), situs aspal dan palsu, user dan password palsu.
➔ Countermeasure : Digital Signature misalnya teknologi SSL/TLS untuk web dan mail server.
➔ Menyatakan bahwa data atau informasi yang digunakan atau diberikan oleh pengguna adalah asli milik orang tersebut, begitu juga dengan server dan sistem informasi yang diakses.
➔ Serangan pada jaringan berupa DNS Corruption atau DNS Poison, terminal palsu (spooffing), situs aspal dan palsu, user dan password palsu.
➔ Countermeasure : Digital Signature misalnya teknologi SSL/TLS untuk web dan mail server.
Authorization atau Access Control
➔ Pengaturan siapa dapat melakukan apa, atau dari mana menuju kemana. Dapat menggunakan mekanisme user/password atau mekanisme lainnya.
➔ Ada pembagian kelas atau tingkatan.
➔ Implementasi : pada “ACL” antar jaringan, pada “ACL” proxy server (misalnya Pembatasan bandwidth/delaypools).
➔ Pengaturan siapa dapat melakukan apa, atau dari mana menuju kemana. Dapat menggunakan mekanisme user/password atau mekanisme lainnya.
➔ Ada pembagian kelas atau tingkatan.
➔ Implementasi : pada “ACL” antar jaringan, pada “ACL” proxy server (misalnya Pembatasan bandwidth/delaypools).
Privacy/confidentiality
➔ Keamanan terhadap data data pribadi, messages/pesan-pesan atau informasi lainnya yang sensitif.
➔ Serangan pada jaringan berupa aktifitas sniffing (menyadap) dan adanya keylogger. Umumnya terjadi karena kebijakan/policy yang kurang jelas. Admin atau ISP nakal.
➔ Coutermeasure : gunakan teknologi enkripsi/kriptografi.
➔ Keamanan terhadap data data pribadi, messages/pesan-pesan atau informasi lainnya yang sensitif.
➔ Serangan pada jaringan berupa aktifitas sniffing (menyadap) dan adanya keylogger. Umumnya terjadi karena kebijakan/policy yang kurang jelas. Admin atau ISP nakal.
➔ Coutermeasure : gunakan teknologi enkripsi/kriptografi.
Integrity
➔ Bahwa informasi atau pesan dipastikan tidak dirubah atau berubah. Karena ketika melewati jaringan internet, sebenarnya data telah berjalan sangat jauh melintasi berbagai negara. Pada saat perjalanan tersebut, berbagai gangguan dapat terjadi terhadap isinya, baik hilang, rusak, ataupun dimanipulasi oleh orang yang tidak seharusnya.
➔ Serangan pada jaringan dapat berupa aktifitas spoofing, mail modification, trojan horse, MITM Attack.
➔ Countermeasure : dengan teknologi digital signature dan Kriptografi spt PGP, 802.1x, WEP, WPA.
➔ Bahwa informasi atau pesan dipastikan tidak dirubah atau berubah. Karena ketika melewati jaringan internet, sebenarnya data telah berjalan sangat jauh melintasi berbagai negara. Pada saat perjalanan tersebut, berbagai gangguan dapat terjadi terhadap isinya, baik hilang, rusak, ataupun dimanipulasi oleh orang yang tidak seharusnya.
➔ Serangan pada jaringan dapat berupa aktifitas spoofing, mail modification, trojan horse, MITM Attack.
➔ Countermeasure : dengan teknologi digital signature dan Kriptografi spt PGP, 802.1x, WEP, WPA.
Availability
➔ Keamanan atas ketersediaan layanan informasi.
➔ Serangan pada jaringan: DoS (denial of services) baik disadari/sengaja maupun tidak. Aktifitas malware, worm, virus dan bomb mail sering memacetkan jaringan.
➔ Countermeasure : Firewall dan router filtering, backup dan redundancy, IDS dan IPS
➔ Keamanan atas ketersediaan layanan informasi.
➔ Serangan pada jaringan: DoS (denial of services) baik disadari/sengaja maupun tidak. Aktifitas malware, worm, virus dan bomb mail sering memacetkan jaringan.
➔ Countermeasure : Firewall dan router filtering, backup dan redundancy, IDS dan IPS
Non-repudiation
➔ Menjaga agar jika sudah melakukan transaksi atau aktifitas online, maka tidak dapat di sangkal bahwa mereka telah mengirim atau menerima sebuah file mengakomodasi Perubahan.
➔ Umumnya digunakan untuk aktifitas e-commerce. Misalnya email yang digunakan untuk bertransaksi menggunakan digital signature.
➔ Pada jaringan dapat menggunakan digital signature, sertifikat dan kriptografi.
➔ Menjaga agar jika sudah melakukan transaksi atau aktifitas online, maka tidak dapat di sangkal bahwa mereka telah mengirim atau menerima sebuah file mengakomodasi Perubahan.
➔ Umumnya digunakan untuk aktifitas e-commerce. Misalnya email yang digunakan untuk bertransaksi menggunakan digital signature.
➔ Pada jaringan dapat menggunakan digital signature, sertifikat dan kriptografi.
Auditing
➔ Adanya berkas semacam rekaman komunikasi data yang terjadi pada jaringan untuk keperluan audit seperti mengidentifikasi serangan serangan pada jaringan atau server.
➔ Implementasi : pada firewall (IDS/IPS) atau router menggunakan system logging (syslog).
➔ Adanya berkas semacam rekaman komunikasi data yang terjadi pada jaringan untuk keperluan audit seperti mengidentifikasi serangan serangan pada jaringan atau server.
➔ Implementasi : pada firewall (IDS/IPS) atau router menggunakan system logging (syslog).
Disini akan diulas lebih dalam tentang AUDITING.
Tujuan keamanan komputer (security goals) adalah terjaminnya “confidentiality”, “integrity”, dan “availability” sebuah sistem komputer. Untuk menjamin supaya tujuan keamanan tersebut dapat tercapai maka diperlukan beberapa proses yang dilakukan secara bersama-sama. Salah satu proses tersebut adalah dengan melakukan audit terhadap sistem komputer dan jaringan komputer didalamnya.
Tujuan keamanan komputer (security goals) adalah terjaminnya “confidentiality”, “integrity”, dan “availability” sebuah sistem komputer. Untuk menjamin supaya tujuan keamanan tersebut dapat tercapai maka diperlukan beberapa proses yang dilakukan secara bersama-sama. Salah satu proses tersebut adalah dengan melakukan audit terhadap sistem komputer dan jaringan komputer didalamnya.
Auditing adalah sebuah untuk melacak semua
kejadian-kejadian, kesalahan-kesalahan, dan percobaan akses dan otentikasi
dalam sebuah komputer server.
Auditing membantu seorang administrator jaringan dan
analis keamanan komputer untuk mengidentifikasi kelemahan-kelemahan jaringan
komputer dalam sebuah organisasi dan sangat membantu dalam mengembangkan
kebijakan dalam keamanan jaringan komputer. Melalui proses audit, integritas
data dapat dijamin, juga dapat memelihara kerahasiaan data dan ketersediaanya
tetap terjamin. Secara garis besar, audit terhadap sebuah sistem keamanan
jaringan komputer dibagi kedalam 3 kategori yaitu: audit terhadap hak akses
(privilege audit), audit terhadap penggunaan sumber daya (usage audit), audit
terhadap eskalasi (escalation audit).
• Privilege Audit, Audit jenis ini tujuannya adalah
untuk melakukan verifikasi apakah “group”, “roles” dan “account” sudah
diterapkan dengan tepat dalam sebuah organisasi dan keamanan yang di terapkan
didalamnya juga sudah tepat. Audit ini juga melakukan verifikasi apakah
kebijakankebijakan yang di terapkan dalam sebuah organisasi sudah diikuti
dengan benar atau belum, sudah akurat atau belum, dan apakah akses ke sistem
sudah di terapkan dengan benar. Privilege audit dilakukan dengan cara melakukan
review secara lengkap terhadap semua “group” dan “account” dalam sebuah sistem
jaringan untuk sebuah organisasi. Misalnya,ketika seorang karyawan di mutasi
dalam sebuah organisasi, maka nama karyawan tersebut seharusnya di hapus dari
grupnya yang lama. Kesalahan dalam melakukan hal tersebut dapat menyebabkan
seorang user bisa mendapatkan akses lebih tinggi dari yang seharusnya didapatkan
oleh user tersebut.
• Usage Audit, Audit jenis ini melakukan verifikasi
apakah perangkat lunak dan sistem yang digunakan dalam sebuah organisasi
dipakai secara konsisten dan tepat sesuai dengan kebijakan yang berlaku dalam
organisasi tersebut. Audit ini akan melakukan review secara lengkap dari sisi
fisik sebuah sistem, mem-verifikasi konfigurasi perangkat lunak, dan
aktifitas-aktifitas sistem yang lain. Perhatian yang utama dari audit jenis ini
adalah bagaimana penginstalan dan lisensi perangkat lunak dengan benar.
Organisasi harus menguji sistem secara berkala untuk melakukan verifikasi
bahwahanya perangkat lunak yang di lisensi oleh organisasi tersebut yang boleh
di instal di setiap komputer yang ada dalam organisasi tersebut. Selain masalah
perangkat lunak dan keamanan fisik sistem yang di audit, hal yang juga menjadi
pertimbangan adalah masalah lubang keamanan yang mungkin saja di timbulkan oleh
perangkat lunak yang di instal di dalam sistem organisasi tersebut. Sehingga
harus dapat dipastikan bahwa perangkat lunak-perangkat lunak yang di instal
tersebut sudah di update sesuai dengan kebutuhannya. Audit ini juga melakukan
pengujian terhadap penggunaan jaringan komputer dalam sebuah organisasi.
Pengecekan dilakukan untuk mengetahui apakah sumber daya jaringan komputer
digunakan sesuai dengan peruntukannya atau tidak. Setiap penggunaan jaringan
yang tidak sesuai penggunaannya akan diberi tanda oleh proses audit ini dan
dapat di hentikan sebelum hal ini menjadi masalah di kemudian hari.
• Escalation Audit, Eskalasi audit mem-fokuskan
seputar bagaimana pihak manajemen/decision-makers mengendalikan sistem jaringan
jika menemukan masalah darurat terhadap sistem tersebut. Jenis audit ini akan
melakukan pengujian bagaimana sebuah organisasi mampu menghadapi masalah-masalah
yang mungkin muncul ketika keadaan darurat terjadi. Misalnya, pengujian dan
proses verifikasi sistem terhadap “disaster recovery plans” dan “business
continuity plans”. Jenis-jenis perencanaan ini dapat menjadi “outdated” secara
cepat dan sebuah proses audit dapat digunakan untuk menjamin bahwa segala
sesuatunya dapat di selesaikan dan rencana-rencana tersebut dapat sukses di
terapkan jika masalah terjadi pada sistem jaringan komputer organisasi
tersebut.
Sistem Keamanan Komputer
Keamanan
sistem komputer adalah untuk menjamin sumber daya sistem tidak digunakan /
dimodifikasi, diinterupsi dan diganggu oleh orang yang tidak diotorisasi.
Pengamanan termasuk masalah teknis, manajerial, legalitas dan politis.
3 macam keamanan sistem, yaitu :
1.
Keamanan eksternal / external security
Berkaitan
dengan pengamanan fasilitas komputer dari penyusup dan bencana seperti
kebakaran /kebanjiran.
2.
Keamanan interface pemakai / user interface security
Berkaitan
dengan indentifikasi pemakai sebelum pemakai diijinkan mengakses program dan
data yang disimpan
3.
Keamanan internal / internal security
Berkaitan
dengan pengamanan beragam kendali yang dibangun pada perangkat keras dan sistem
operasi yang menjamin operasi yang handal dan tak terkorupsi untuk menjaga
integritas program dan data.
2 masalah penting keamanan, yaitu :
1. Kehilangan data / data loss
1. Kehilangan data / data loss
Yang
disebabkan karena :
·
Bencana, contohnya kebakaran, banjir, gempa bumi, perang, kerusuhan, tikus,
dll.
· Kesalahan perangkat keras dan perangkat lunak, contohnya ketidak berfungsinya pemroses, disk / tape.
· Kesalahan perangkat keras dan perangkat lunak, contohnya ketidak berfungsinya pemroses, disk / tape.
yang
tidak terbaca, kesalahan komunikasi, kesalahan program / bugs.
·
Kesalahan / kelalaian manusia, contohnya kesalahan pemasukkan data, memasang
tape / disk yang salah, kehilangan disk / tape.
2.
Penyusup / intruder
·
Penyusup pasif, yaitu yang membaca data yang tidak terotorisasi
· Penyusup aktif, yaitu mengubah data yang tidak terotorisasi.
· Penyusup aktif, yaitu mengubah data yang tidak terotorisasi.
Contohnya
penyadapan oleh orang dalam, usaha hacker dalam mencari uang, spionase militer
/ bisnis, lirikan pada saat pengetikan password.
Sasaran
keamanan adalah menghindari, mencegah dan mengatasi ancaman terhadap sistem.
3 aspek kebutuhan keamanan sistem komputer,
yaitu :
1.
Kerahasiaan / secrecy, diantaranya privasi
Keterjaminan
bahwa informasi di sistem komputer hanya dapat diakses oleh pihak-pihak yang
terotorisasi
dan
modifikasi tetap menjaga konsistensi dan keutuhan data di sistem
2.
Integritas / integrity
Keterjaminan
bahwa sumber daya sistem komputer hanya dapat dimodifikasi oleh pihak-pihak
yang
terotorisasi
3.
Ketersediaan / availability
Keterjaminan
bahwa sumber daya sistem komputer tersedia bagi pihak-pihak yang diotorisasi
saat diperlukan.
Tipe ancaman terhadap keamanan sistem komputer
dapat dimodelkan dengan memandang fungsi sistem
komputeer sebagai penyedia informasi.
Berdasarkan
fungsi ini, ancaman terhadap sistem komputeer dikategorikan menjadi 4 ancaman,
yaitu :
1.
Interupsi / interuption
Sumber
daya sistem komputer dihancurkan / menjadi tak tersedia / tak berguna.
Merupakan ancaman
terhadap
ketersediaan. Contohnya penghancuran harddisk, pemotongan kabel komunikasi.
2.
Intersepsi / interception
Pihak
tak diotorisasi dapat mengakses sumber daya. Merupakan ancaman terhadap
kerahasiaan. Pihak tak
diotorissasi
dapat berupa orang / program komputeer. Contohnya penyadapan, mengcopy file
tanpa
diotorisasi.
3.
Modifikasi / modification
Pihak
tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya. Merupakan
ancaman
terhadap
integritas. Contohnya mengubah nilai file, mengubah program, memodifikasi pesan
4.
Fabrikasi / fabrication
Pihak
tak diotorisasi menyisipkan / memasukkan objek-objek palsu ke sistem. Merupakan
ancaman terhadap integritas. Contohnya memasukkan pesan palsu ke jaringan,
menambah record file.
Petunjuk prinsip-prinsip pengamanan sistem
komputer, yaitu :
1. Rancangan sistem seharusnya publik
1. Rancangan sistem seharusnya publik
Tidak
tergantung pada kerahasiaan rancangan mekanisme pengamanan. Membuat proteksi
yang bagus
dengan
mengasumsikan penyusup mengetahui cara kerja sistem pengamanan.
2.
Dapat diterima
Mekanisme
harus mudah diterima, sehingga dapat digunakan secara benar dan mekanisme
proteksi tidak
mengganggu
kerja pemakai dan pemenuhan kebutuhan otorisasi pengaksesan.
3.
Pemeriksaan otoritas saat itu
Banyak
sisten memeriksa ijin ketika file dibuka dan setelah itu (opersi lainnya) tidak
diperiksa.
4.
Kewenangan serendah mungkin
Program
/ pemakai sistem harusnya beroperasi dengan kumpulan wewenang serendah mungkin
yang
diperlukan
untuk menyelesaikan tugasnya.
5.
Mekanisme yang ekonomis
Mekanisme
proteksi seharusnya sekecil dan sesederhana mungkin dan seragam sehingga mudah
untukverifikasi.
Otentifikasi pemakai / user authentification
adalah identifikasi pemakai ketika login.
3 cara otentifikasi :
1.
Sesuatu yang diketahui pemakai, misalnya password, kombinasi kunci, nama kecil
ibu mertua, dll
Untuk
password, pemakai memilih suatu kata kode, mengingatnya dan menggetikkannya
saat akan mengakses sistem komputer, saat diketikkan tidak akan terlihat dilaya
kecuali misalnya tanda *. Tetapi banyak kelemahan dan mudah ditembus karena
pemakai cenderung memilih password yang mudah diingat,
misalnya
nama kecil, nama panggilan, tanggal lahir, dll.
Upaya pengamanan proteksi password :
a.
Salting, menambahkan string pendek ke string password yang diberikan pemakai
sehingga mencapai
panjang
password tertentu
b.
one time password, pemakai harus mengganti password secara teratur, misalnya
pemakai mendapat 1
buku
daftar password. Setiap kali login pemakai menggunakan password berikutnya yang
terdapat pada
daftar
password.
c.
satu daftar panjang pertanyan dan jawaban, sehingga pada saat login, komputer
memilih salah satu dari
pertanyaan
secara acak, menanyakan ke pemakai dan memeriksa jawaban yang diberikan.
d.
tantangan tanggapan / chalenge respone, pemakai diberikan kebebasan memilih
suatu algoritma
misalnya
x3, ketika login komputer menuliskan di layar angka 3, maka pemakai harus
mengetik angka 27.
2.
Sesuatu yang dimiliki pemakai, misalnya bagde, kartu identitas, kunci, barcode
KTM, ATM.
Kartu
pengenal dengan selarik pita magnetik. Kartu ini disisipkan de suatu perangkat
pembaca kartu
magnetik
jika akan mengakses komputer, biasanya dikombinasikan dengan password.
3.
Sesuatu mengenai / merupakan ciri pemakai yang di sebut biometrik, misalnya
sidik jari, sidik suara, foto, tanda tangan, dll. Pada tanda tangan, bukan
membandingkan bentuk tanda tangannya (karena mudah ditiru) tapi gerakan / arah
dan tekanan pena saat menulis (sulit ditiru).
Untuk memperkecil peluang penembusan keamanan sistem komputer harus diberikan pembatasan,
Untuk memperkecil peluang penembusan keamanan sistem komputer harus diberikan pembatasan,
misalnya
:
1.
Pembatasan login, misalnya pada terminal tertentu, pada waktu dan hari
tertentu.
2.
Pembatasan dengan call back, yaitu login dapat dilakukan oleh siapapun, bila
telah sukses, sistemmemutuskan koneksi dan memanggil nomor telepon yang
disepakati. Penyusup tidak dapat menghubungkan lewat sembarang saluran telepon,
tapi hanya pada saluran tetepon tertentu.
3.
Pembatasan jumlah usaha login, misalnya dibatasi sampai 3 kali, dan segera
dikunci dan diberitahukan keadministrator.
Objek
yang perlu diproteksi :
1.
Objek perangkat keras, misalnya pemroses, segment memori, terminal, diskdrive,
printer, dll
2.
Objek perangkat lunak, misalnya proses, file, basis data, semaphore, dll
Masalah
proteksi adalah mengenai cara mencegah proses mengakses objek yang tidak
diotorisasi. Sehingga dikembangkan konsep domain. Domain adalah himpunan
pasangan (objek,hak). Tiap pasangan menspesifikasikan objek dan suatu subset
operasi yang dapat dilakukan terhadapnya. Hak dalam konteks ini berarti ijin melakukan
suatu operasi.
Cara
penyimpanan informasi anggota domain beerupa satu matrik besar, dimana :
·
baris menunjukkan domain
· kolom menunjukkan objek
· kolom menunjukkan objek
Pendahuluan Kriptografi
Kriptografi,
secara umum adalah ilmu dan seni untuk menjaga kerahasiaan berita [bruceSchneier
- Applied Cryptography]. Kata cryptography berasal dari kata Yunani kryptos
(tersembunyi) dan graphein (menulis). Selain pengertian tersebut terdapat pula
pengertian ilmuyang mempelajari teknik-teknik matematika yang berhubungan
dengan aspek keamananinformasi seperti kerahasiaan data, keabsahan data,
integritas data, serta autentikasi data [A.Menezes, P. van Oorschot and S.
Vanstone - Handbook of Applied Cryptography]. Cryptanalysis adalah aksi untuk
memecahkan mekanisme kriptografi dengan cara mendapatkanplaintext atau kunci
dari ciphertext yang digunakan untuk mendapatkan informasi berhargakemudian
mengubah atau memalsukan pesan dengan tujuan untuk menipu penerima yang
sesungguhnya,
memecahkan ciphertext. Cryptology adalah ilmu yang mencakup cryptography dan
cryptanalysis. Tidak semua aspek keamanan informasi ditangani oleh kriptografi.
Tujuan mendasar dari ilmu kriptografi ini yang
juga merupakan aspek keamanan informasi yaitu :
Kerahasiaan, adalah layanan yang digunakan untuk menjaga isi dari informasi dari siapapun kecuali yang memiliki otoritas atau kunci rahasia untuk membuka/mengupas informasi yang telah disandi. Integritas data, adalah berhubungan dengan penjagaan dari perubahan data secara tidak sah. Untuk menjaga integritas data, sistem harus memiliki kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data lain kedalam data yang sebenarnya.
Kerahasiaan, adalah layanan yang digunakan untuk menjaga isi dari informasi dari siapapun kecuali yang memiliki otoritas atau kunci rahasia untuk membuka/mengupas informasi yang telah disandi. Integritas data, adalah berhubungan dengan penjagaan dari perubahan data secara tidak sah. Untuk menjaga integritas data, sistem harus memiliki kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data lain kedalam data yang sebenarnya.
Autentikasi, adalah berhubungan dengan identifikasi/pengenalan, baik secara
kesatuan sistem maupun informasi itu sendiri. Dua pihak yang saling
berkomunikasi harus saling memperkenalkan diri. Informasi yang dikirimkan
melalui kanal harus diautentikasi keaslian, isi datanya, waktu pengiriman, dan
lain-lain.
Non-repudiasi., atau nir penyangkalan adalah usaha untuk mencegah terjadinya
penyangkalan
terhadap pengiriman/terciptanya suatu informasi oleh yang mengirimkan/membuat.
Enkripsi adalah transformasi data kedalam bentuk yang tidak dapat terbaca tanpa
sebuah kunci tertentu. Tujuannya adalah untuk meyakinkan privasi dengan
menyembunyikan informasi dari orang-orang yang tidak ditujukan, bahkan mereka
mereka yang memiliki akses ke data terenkripsi. Dekripsi merupakan kebalikan
dari enkripsi, yaitu transformasi data terenkripsi kembali ke bentuknya semula.
Keamanan Dan Manajemen Perusahaan
Seringkali
sulit untuk membujuk manajemen perusahaan atau pemilik sistem informasi untuk
melakukan investasi di bidang keamanan. Di tahun 1997 majalah Information Week
melakukan survey terhadap 1271 system atau network manager di Amerika Serikat.
Hanya 22% yang menganggap keamanan sistem informasi sebagai komponen sangat
penting (“extremely important”). Mereka lebih mementingkan “reducing cost” dan
“improvingcompetitiveness” meskipun perbaikan sistem informasi setelah dirusak
justru dapat menelan biaya yang lebih banyak. Keamanan itu tidak dapat muncul
demikian saja. Dia harus direncanakan. Ambil contoh berikut. Jika kita
membangun sebuah rumah, maka pintu rumah kita harus dilengkapi dengan kunci
pintu. Jika kita terlupa memasukkan kunci pintu pada budget perencanaan rumah,
maka kita akan dikagetkan bahwa ternyata harus keluar dana untuk menjaga
keamanan. Kalau rumah kita hanya memiliki satu atau dua pintu, mungkin dampak
dari budget tidak seberapa. Bayangkan bila kita mendesain sebuah hotel dengan
200 kamar dan lupa membudgetkan kunci pintu. Dampaknya sangat besar. Demikian
pula di sisi pengamanan sebuah sistem informasi. Jika tidak kita budgetkan di
awal, kita akan dikagetkan dengan kebutuhan akan adanya perangkat pengamanan
(firewall, Intrusion Detection System, anti virus, DissasterRecoveryCenter, dan
seterusnya). Meskipun sering terlihat sebagai besaran yang tidak dapat langsung
diukur dengan uang (intangible), keamanan sebuah sistem informasi sebetulnya
dapat diukur dengan besaran yang dapat diukur dengan uang (tangible). Dengan
adanya ukuran yang terlihat, mudah-mudahan pihak manajemen dapat mengerti
pentingnya investasi di bidang keamanan.
Berikut ini adalah berapa contoh kegiatan yang
dapat kita lakukan :
Hitung kerugian apabila sistem informasi kita tidak bekerja selama 1 jam,
selama 1 hari, 1 minggu, dan 1 bulan. (Sebagai perbandingkan, bayangkan jika
server Amazon.com tidak dapat diakses selama beberapa hari. Setiap harinya dia
dapat menderita kerugian beberapa juta dolar.)
Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi
anda. Misalnya web site anda mengumumkan harga sebuah barang yang berbeda
dengan harga yang ada di toko kita.
Hitung kerugian apabila ada data yang hilang.
Misalnya
berapa kerugian yang diderita apabila daftar pelanggan dan invoice hilang dari
sistem kita. Berapa biaya yang dibutuhkan untuk rekonstruksi data.
Apakah nama baik perusahaan kita merupakan sebuah hal yang harus dilindungi?
Bayangkan
bila sebuah bank terkenal dengan rentannya pengamanan data-datanya, bolak-balik
terjadi security incidents. Tentunya banyak nasabah yang pindah ke bank lain
karena takut akan keamanan uangnya. Pengelolaan terhadap keamanan dapat dilihat
dari sisi pengelolaan resiko (risk management). Lawrie Brown dalam menyarankan
menggunakan “Risk Management Model” untuk menghadapi ancaman (managing
threats). Ada tiga komponen yang memberikan kontribusi kepada Risk, yaitu
Asset, Vulnerabilities, dan Threats.
Nama Komponen Contoh & Keterangan Lebih
Lanjut
Asset
(Aset)
Hardware
Software
Dokumentasi
Data
Komunikasi
Lingkungan
Manusia
Threats
(Ancaman)
Pemakai (Users)
Teroris
Kecelakaan (Accidents)
Crackers
Penjahat Kriminal
Nasib (Acts Of God)
Intel Luar Negeri (Foreign Intelligence)
Vulnerability
(Kelemahan)
Software Bugs
Hardware Bugs
Radiasi (dari layar, transmisi)
Tapping, Crosstalk
Unauthorized Users
Cetakan, Hardcopy
Keteledoran (Oversight)
Cracker via telepon
Strorage media
Untuk menanggulangi resiko (Risk) tersebut
dilakukan apa yang disebut “countermeasures” yang dapat berupa :
Usaha untuk mengurangi Threat
Usaha untuk mengurangi Vulnerability
Usaha untuk mengurangi impak (impact)
Mendeteksi kejadian yang tidak bersahabat (hostile event)
Kembali (recover) dari kejadian
MeningkatnyaMeningkatnya Kejahatan Komputer
Jumlah
kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi,
akan terus meningkat dikarenakan beberapa hal, antara lain :
Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan
komputer semakin meningkat.
Sebagai
contoh saat ini mulai bermunculan aplikasibisnis seperti on-line banking,
electronic commerce (e-commerce), Electronic DataInterchange (EDI), dan masih
banyak lainnya. Bahkan aplikasi e-commerce akan menjadi salah satu aplikasi
pemacu di Indonesia (melalui “Telematika Indonesia” dan Nusantara 21). Demikian
pula di berbagai penjuru dunia aplikasi ecommerce terlihat mulai meningkat.
Desentralisasi (dan distributed) server menyebabkan lebih banyak sistem yang
harus ditangani.
Hal
ini membutuhkan lebih banyak operator dan administrator yang handal yang juga
kemungkinan harus disebar di seluruh lokasi. Padahal mencari operator dan
administrator yang handal adalah sangat sulit, apalagi jika harus disebar di
berbagai tempat. Akibat dari hal ini adalah biasanya server-server di daerah
(bukan pusat) tidak dikelola dengan baik sehingga lebih rentan terhadap
serangan. Seorang cracker akan menyerang server di daerah lebih dahulu sebelum
mencoba menyerang server pusat. Setelah itu dia akan menyusup melalui jalur
belakang. (Biasanya dari daerah / cabang ke pusat ada routing dan tidak dibatasi
dengan firewall.)
Transisi dari single vendor ke multi-vendor
Sehingga
lebih banyak sistem atau perangkat yang harus dimengerti dan masalah
interoperability antar vendor yang lebih sulit ditangani. Untuk memahami satu
jenis perangkat dari satu vendor saja sudah susah, apalagi harus menangani
berjenis-jenis perangkat. Bayangkan, untuk router saja sudah ada berbagai
vendor; Cisco, Juniper Networks, Nortel, Linux-based router, BSDbased router,
dan lain-lain. Belum lagi jenis sistem operasi (operating system) dari server,
seperti Solaris (dengan berbagai versinya), Windows (NT, 2000, 2003), Linux
(dengan berbagai distribusi), BSD (dengan berbagai variasinya mulai dari
FreeBSD, OpenBSD, NetBSD). Jadi sebaiknya tidak menggunakan variasi yang
terlalu banyak.
Meningkatnya kemampuan pemakai di bidang komputer
Sehingga
mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang
digunakanny (atau sistem milik orang lain). Jika dahulu akses ke komputer
sangat sukar, maka sekarang komputer sudah merupakan barang yang mudah
diperoleh dan banyak dipasang di sekolah serta rumah-rumah.
Mudahnya diperoleh software untuk menyerang komputer dan jaringan komputer.
Banyak
tempat di Internet yang menyediakan software yang langsung dapat diambil
(download) dan langsung digunakan untuk menyerang dengan Graphical User
Interface (GUI) yang mudah digunakan. Beberapa program, seperti SATAN,
bahkanhanya membutuhkan sebuah web browser untuk menjalankannya. Sehingga,
seseorangyang hanya dapat menggunakan web browser dapat menjalankan program
penyerang(attack). Penyerang yang hanya bisa menjalankan program tanpa mengerti
apamaksudnya disebut dengan istilah script kiddie.
Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan
telekomunikasi yang sangat cepat.
Hukum
yang berbasis ruang dan waktu akan mengalami kesulitan untuk mengatasi masalah
yang justru terjadi pada sebuah system yang tidak memiliki ruang dan waktu.
Barang bukti digital juga masih sulit diakui oleh pengadilan Indonesia sehingga
menyulitkan dalam pengadilan. Akibatnya pelaku kejahatan cyber hanya dihukum
secara ringan sehingga ada kecenderungan mereka melakukan hal itu kembali.
Semakin kompleksnya sistem yang digunakan,
Seperti
semakin besarnya program (source code) yang digunakan sehingga semakin besar
probabilitas terjadinya lubang keamanan (yang disebabkan kesalahan pemrograman,
bugs).
Klasifikasi Kejahatan Komputer
Kejahatan
komputer dapat digolongkan kepada yang sangat berbahaya sampai ke yang hanya
mengesalkan (annoying). Menurut David Icove berdasarkan lubang keamanan, dapat
diklasifikasikan menjadi empat, yaitu :
1.
Keamanan yang bersifat fisik (physical security)
Termasuk
akses orang ke gedung, peralatan, dan media yang digunakan. Beberapa bekas
penjahat komputer (crackers) mengatakan bahwa mereka sering pergi ke tempat
sampah untuk mencari berkas-berkas yang mungkin memiliki informasi tentang
keamanan. Misalnya pernah diketemukan coretan password atau manual yang dibuang
tanpa dihancurkan. Wiretapping atau hal-hal yang berhubungan dengan akses ke
kabel atau computer yang digunakan juga dapat dimasukkan ke dalam kelas ini.
Pencurian komputer dan notebook juga merupakan kejahatan yang besifat fisik.
Menurut statistik, 15% perusahaan di Amerika pernah kehilangan notebook. Padahal
biasanya notebook ini tidak dibackup (sehingga data-datanya hilang), dan juga
seringkali digunakan untuk menyimpan data-data yang seharusnya sifatnya
confidential (misalnya pertukaran email antar direktur yang menggunakan
notebook tersebut).
Denial
of service, yaitu akibat yang ditimbulkan sehingga servis tidak dapat diterima
oleh pemakai juga dapat dimasukkan ke dalam kelas ini. Denial of service dapat
dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran
komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang
diutamakan adalah banyaknya jumlah pesan). Beberapa waktu yang lalu ada lubang
keamanan dari implementasi protokol TCP/IP yang dikenal dengan istilah Syn
Flood Attack, dimana sistem (host) yang dituju dibanjiri oleh permintaan
sehingga dia menjadi terlalu sibuk dan bahkan dapat berakibat macetnya sistem
(hang). Mematikan jalur listrik sehingga sistem menjadi tidak berfungsi juga
merupakan serangan fisik. Masalah keamanan fisik ini mulai menarik perhatikan
ketika gedung WorldTradeCenter yang dianggap sangat aman dihantam oleh pesawat
terbang yang dibajak oleh teroris. Akibatnya banyak sistem yang tidak bisa
hidup kembali karena tidak diamankan. Belum lagi hilangnya nyawa.
2.
Keamanan yang berhubungan dengan orang (personel)
Termasuk
identifikasi, dan profil resiko dari orang yang mempunyai akses (pekerja).
Seringkali kelemahan keamanan sistem informasi bergantung kepada manusia
(pemakai dan pengelola). Ada sebuah teknik yang dikenal dengan istilah “social
engineering” yang sering digunakan oleh kriminal untuk berpura-pura sebagai
orang yang berhak mengakses informasi. Misalnya kriminal ini berpura-pura
sebagai pemakai yang lupa passwordnya dan minta agar diganti menjadi kata lain.
3.
Keamanan dari data dan media serta teknik komunikasi (communications).
Yang
termasuk di dalam kelas ini adalah kelemahan dalam software yang digunakan
untuk mengelola data. Seorang kriminal dapat memasang virus atau trojan horse
sehingga dapat mengumpulkan informasi (seperti password) yang semestinya tidak
berhak diakses. Bagian ini yang akan banyak kita bahas dalam buku ini.
4.
Keamanan dalam operasi
Termasuk
kebijakan (policy) dan prosedur yang digunakan untuk mengatur dan mengelola
sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack
recovery). Seringkali perusahaan tidak memiliki dokumen kebijakan dan prosedur.
Aspek / Service Dari Keamanan (Security)
Garfinkel
mengemukakan bahwa keamanan komputer (computer security) melingkupi empat
aspek,
yaitu privacy, integrity, authentication, dan availability.
1.
Privacy / Confidentiality
Inti
utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi
dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang
sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang
diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari
pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu
tersebut. Contoh hal yang berhubungan dengan privacy adalah e-mail seorang
pemakai (user) tidak boleh dibaca oleh administrator.
Contoh confidential information adalah data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari confidentiality adalah daftar pelanggan dari sebuah Internet Service Provider (ISP). Untuk mendapatkan kartu kredit, biasanya ditanyakan data-data pribadi. Jika saya mengetahui data-data pribadi anda, termasuk nama ibu anda, maka saya dapat melaporkan melalui telepon (dengan berpura-pura sebagai anda) bahwa kartu kredit anda hilang dan mohon penggunaannya diblokir. Institusi (bank) yang mengeluarkan kartu kredit anda akan percaya bahwa saya adalah anda dan akan menutup kartu kredit anda. Masih banyak lagi kekacauan yang dapat ditimbulkan bila data-data pribadi ini digunakan oleh orang yang tidak berhak. Ada sebuah kasus dimana karyawan sebuah perusahaan dipecat dengan tidak hormat dari perusahaan yang bersangkutan karena kedapatan mengambil data-data gaji karyawan di perusahaan yang bersangkutan. Di perusahaan ini, daftar gaji termasuk informasi yang bersifat confidential /rahasia.
Contoh confidential information adalah data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari confidentiality adalah daftar pelanggan dari sebuah Internet Service Provider (ISP). Untuk mendapatkan kartu kredit, biasanya ditanyakan data-data pribadi. Jika saya mengetahui data-data pribadi anda, termasuk nama ibu anda, maka saya dapat melaporkan melalui telepon (dengan berpura-pura sebagai anda) bahwa kartu kredit anda hilang dan mohon penggunaannya diblokir. Institusi (bank) yang mengeluarkan kartu kredit anda akan percaya bahwa saya adalah anda dan akan menutup kartu kredit anda. Masih banyak lagi kekacauan yang dapat ditimbulkan bila data-data pribadi ini digunakan oleh orang yang tidak berhak. Ada sebuah kasus dimana karyawan sebuah perusahaan dipecat dengan tidak hormat dari perusahaan yang bersangkutan karena kedapatan mengambil data-data gaji karyawan di perusahaan yang bersangkutan. Di perusahaan ini, daftar gaji termasuk informasi yang bersifat confidential /rahasia.
2.
Integrity
Aspek
ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik
informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah
informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah
e-mail dapat saja “ditangkap” (intercept) di tengah jalan, diubah isinya
(altered, tampered, modified), kemudian diteruskan ke alamat yang dituju.
Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan
enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini.
Salah
satu contoh kasus trojan horse adalah distribusi paket program TCP Wrapper
(yaitu program populer yang dapat digunakan untuk mengatur dan membatasi akses
TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggung jawab. Jika anda
memasang program yang berisi trojan horse tersebut, maka ketika anda merakit
(compile) program tersebut, dia akan mengirimkan eMail kepada orang tertentu
yang kemudian memperbolehkan dia masuk ke sistem anda. Informasi ini berasal
dari CERT Advisory, “CA-99-01 Trojan-TCP-Wrappers” yang didistribusikan 21
Januari 1999.
Contoh
serangan lain adalah yang disebut “man in the middle attack” dimana seseorang
menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.
3.
Authentication
Aspek
ini berhubungan dengan metoda untuk menyatakan bahwa informasi betulbetul asli,
orang yang mengakses atau memberikan informasi adalah betul-betul orang yang
dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli.
Masalah
pertama, membuktikan keaslian dokumen, dapat dilakukan dengan teknologi
watermarking dan digital signature. Watermarking juga dapat digunakan untuk
menjaga “intelectual property”, yaitu dengan menandai dokumen atau hasil karya
dengan “tanda tangan” pembuat.
Masalah
kedua biasanya berhubungan dengan access control, yaitu berkaitan dengan
pembatasan orang yang dapat mengakses informasi. Dalam hal ini pengguna harus
menunjukkan bukti bahwa memang dia adalah pengguna yang sah, misalnya dengan
menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya. Ada
tiga hal yang dapat ditanyakan kepada orang untuk menguji siapa dia :
•
What you have (misalnya kartu ATM)
•
What you know (misalnya PIN atau password)
•
What you are (misalnya sidik jari, biometric)
Penggunaan
teknologi smart card, saat ini kelihatannya dapat meningkatkan keamanan aspek
ini. Secara umum, proteksi authentication dapat menggunakan digital
certificates. Authentication biasanya diarahkan kepada orang (pengguna), namun
tidak pernah ditujukan kepada server atau mesin. Pernahkan kita bertanya bahwa
mesin ATM yang sedang kita gunakan memang benar-benar milik bank yang
bersangkutan?
Bagaimana
jika ada orang nakal yang membuat mesin seperti ATM sebuah bank dan
meletakkannya di tempat umum? Dia dapat menyadap data-data (informasi yang ada
di magnetic strip) dan PIN dari orang yang tertipu. Memang membuat mesin ATM
palsu tidak mudah. Tapi, bisa anda bayangkan betapa mudahnya membuat web site
palsu yang menyamar sebagai web site sebuah bank yang memberikan layanan Internet
Banking. (Ini yang terjadi dengan kasus klikBCA.com.)
4.
Availability
Aspek
availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika
dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau
meniadakan akses ke informasi. Contoh hambatan adalah serangan yang sering
disebut dengan “denial of service attack” (DoS attack), dimana server dikirimi
permintaan (biasanya palsu) yang bertubitubi atau permintaan yang diluar
perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai
down, hang, crash. Contoh lain adalah adanya mailbomb, dimana seorang pemakai
dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar
sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses
e-mailnya (apalagi jika akses dilakukan melalui saluran telepon).
Pentingnya Akses Kontrol
Bagi
para profesional keamanan sistem/teknologi informasi, perhatian harus diberikan
pada kebutuhan akses kontrol dan metode-metode implementasinya untuk menjamin
bahwa sistem memenuhi availability (ketersediaan), confidentiality
(kerahasiaan), dan integrity (integritas). Dalam komputer jaringan, juga
diperlukan pemahaman terhadap penggunaan akses kontrol pada arsitektur
terdistribusi dan terpusat. Melakukan kontrol akses pada sistem informasi dan
jaringan yang terkait juga merupakan hal penting untuk menjaga confidentiality,
integrity, dan availability.Confidentiality atau kerahasiaan memastikan bahwa
informasi tidak terbuka ke individu, program atau proses yang tidak berhak.
Beberapa informasi mungkin lebih sensitive dibandingkan informasi lainnya dan
memerlukan level kerahasiaan yang lebih tinggi. Mekanisme kontrol perlu
ditempatkan untuk mendata siapa yang dapat mengakses data dan apa yang orang
dapat lakukan terhadapnya saat pertama kali diakses. Aktivitas tersebut harus
dikontrol, diaudit, dan dimonitor. Beberapa tipe informasi yang dipertimbangkan
sebagai informasi rahasia adalah misalnya catatan kesehatan, informasi laporan
keuangan, catatan kriminal, kode sumber program, perdagangan rahasia, dan
rencana taktis militer. Sedangkan beberapa mekanisme yang memebrikan kemampuan
kerahasiaan sebagai contoh yaitu enkripsi, kontrol akses fisikal dan logikal,
protokol transmisi, tampilan database, dan alur trafik yang terkontrol. Bagi
suatu institusi (skala besar, menengah maupun kecil), adalah merupakan hal
penting untuk mengidentifikasi data dan kebutuhan-kebutuhan yang terklasifikasi
sehingga dapat dipastikan bahwa suatu peringkat prioritas akan melindungi data
dan informasi serta terjaga kerahasiaannya. Jika informasi tidak terklasifikasi
maka akan diperlukan banyak waktu dan biaya yang dikeluarkan saat
mengimplementasikan besaran yang sama pada tingkat keamanan untuk informasi
kritis maupun informasi tidak penting. Integritas memiliki tujuan mencegah
modifikasi pada informasi oleh user yang tidak berhak, mencegah modifikasi yang
tidak sengaja atau tidak berhak pada informasi oleh orang yang tidak
berkepentingan, dan menjaga konsistensi internal maupun eksternal. Konsistensi
internal memastikan bahwa data internal selalu konsisten. Misalnya, diasumsikan
sebuah database internal memiliki jumlah unit suatu komponen tertentu pada tiap
bagian suatu organisasi. Jumlah bilangan dari komponen di tiap bagian tersebut
harus sama dengan jumlah bilangan komponen pada database yang terekam secara
internal pada keseluruhan organisasi. Konsistensi eksternal menjamin bahwa data
yang tersimpan pada database konsisten dengan fisiknya. Sebagai contoh dari
konsistensi internal di atas, konsistensi eksternal berarti bahwa besarnya
komponen yang tercatat pada database untuk setiap bagian adalah sama dengan
banyaknya komponen secara fisik di tiap bagian tersebut. Informasi juga harus
akurat, lengkap, dan terlindungi dari modifikasi yang tidak berhak. Ketika
suatu mekanisme keamanan memberikan integritas, ia akan melindungi data dari
perubahan yang tidak lazim, dan jika memang terjadi juga modifikasi ilegal pada
data tersebut maka mekanisme keamanan harus memperingatkan user atau membatalkan
modifikasi tersebut. Availability (ketersediaan) memastikan bahwa untuk user
yang berhak memakai sistem, memiliki waktu dan akses yang bebas gangguan pada
informasi dalam sistem. Informasi,sistem, dan sumberdaya harus tersedia untuk
user pada waktu diperlukan sehingga produktifitas tidak terpengaruh. Kebanyakan
informasi perlu untuk dapat diakses dan tersedia bagi user saat diminta
sehingga mereka dapat menyelesaikan tugas-tugas dan memenuhi tanggung jawab
pekerjaan mereka. Melakukan akses pada informasi kelihatannya tidak begitu
penting hingga pada suatu saat informasi tersebut tidak dapat diakses.
Administrator sistem mengalaminya saat sebuah file server mati atau sebuah
database yang pemakaiannya tinggi tiba-tiba rusal untuk suatu alasan dan hal
lainnya. Fault tolerance dan mekanisme pemulihan digunakan untuk menjamin
kontinuitas
ketersediaan sumberdaya. Produktifitas user dapat terpengaruh jika data tidak
siap tersedia. Informasi memiliki atribut-atribut yang berbeda seperti akurasi,
relevansi, sesuai waktu, privacy, dan keamanan. Mekanisme keamanan yang berbeda
dapat memberikan tingkat kerahasiaan, integritas, dan ketersediaan yang berbeda
pula. Lingkungan, klasifikasi data yang dilindungi, dan sasaran keamanan perlu
dievaluasi untuk menjamin mekanisme keamanan yang sesuai dibeli dan digunakan
sebagaimana mestinya. Tujuan kontrol akses lainnya adalah reliability dan
utilitas. Tujuan-tujuan tersebut mengalir dari kebijakan keamanan suatu
organisasi. Kebijakan ini merupakan pernyataan tingkat tinggi dari pihak
manajemen berkaitan dengan kontrol pada akses suatu informasi dan orang yang
berhak menerima informasi tersebut. Tiga hal lainnya yang patut dipertimbangkan
untuk perencanaan dan implementasi mekanisme kontrol akses adalah ancaman pada
sistem (threats), kerawanan sistem pada ancaman (vulnerabilities), dan resiko
yang ditimbulkan oleh ancaman tersebut. Ancaman (threats) adalah suatu kejadian
atau aktivitas yang memiliki potensi untuk menyebabkan kerusakan pada sistem
informasi atau jaringan. Kerawanan (vulnerabilities) adalah kelemahan atau
kurangnya penjagaan yang dapat dimanfaatkan oleh suatu ancaman, menyebabkan
kerusakan pada sistem informasi atau jaringan. Sedangkan resiko adalah potensi
kerusakan atau kehilangan pada sistem informasi atau jaringan; kemungkinan
bahwa ancaman akan terjadi.
Penjelasan Akses Kontrol
Akses
kontrol merupakan fitur-fitur keamanan yang mengontrol bagaimana user dan
sistem berkomunikasi dan berinteraksi dengan sistem dan sumberdaya lainnya.
Akses control melindungi sistem dan sumberdaya dari akses yang tidak berhak dan
umumnya menentukan tingkat otorisasi setelah prosedur otentikasi berhasil
dilengkapi.
Akses
adalah aliran informasi antara subjek dan objek. Sebuah subjek merupakan
entitas aktif yang meminta akses ke suatu objek atau data dalam objek tersebut.
Sebuah subjek dapat berupa user, program, atau proses yang mengakses informasi
untuk menyelesaikan suatu tugas tertentu. Ketika sebuah program mengakses
sebuah file, program menjadi subjek dan filemenjadi objek. Objek adalah entitas
pasif yang mengandung informasi. Objek bisa sebuah komputer, database, file,
program komputer, direktori, atau field pada tabel yang berada di dalam
database. Kontrol akses adalah sebuah term luas yang mencakup beberapa tipe
mekanisme berbeda yang menjalankan fitur kontrol akses pada sistem komputer,
jaringan, dan informasi. Kontrol akses sangatlah penting karena menjadi satu
dari garis pertahanan pertama yang digunakan untuk menghadang akses yang tidak
berhak ke dalam sistem dan sumberdaya jaringan. Saat user diminta memasukan
username dan password hal ini disebut dengan control akses. Setelah user log in
dan kemudian mencoba mengakses sebuah file, file ini dapat memiliki daftar user
dan grup yang memiliki hak akses ke file tersebut. Jika user tidak termasuk
dalam daftar maka akses akan ditolak. Hal itu sebagai bentuk lain dari kontrol
akses. Hak dan ijin user adalah berdasarkan identitas, kejelasan, dan atau
keanggotaan suatu grup. Kontrol akses memberikan organisasi kemampuan melakukan
kontrol, pembatasan, monitor, dan melindungi ketersediaan, integritas, dan
kerahasiaan sumberdaya. Kontrol diimplementasikan untuk menanggulangi resiko
dan mengurangi potensi kehilangan. Kontrol dapat bersifat preventif, detektif,
atau korektif. Kontrol preventif dipakai untuk mencegah kejadian-kejadian yang
merusak. Kontrol detektif diterapkan untuk menemukan kejadian-kejadian yang
merusak. Kontrol korektif digunakan untuk memulihkan sistem yang menjadi korban
dari serangan berbahaya. Untuk menerapkan ukuran-ukuran tersebut, kontrol
diimplementasikan secara administratif, logikal atau teknikal, dan fisikal.
Kontrol administratif termasuk kebijakan dan prosedur, pelatihan perhatian
terhadap keamanan, pemeriksaan latar belakang, pemeriksaan kebiasaan kerja,
tinjauan riwayat hari libur, dan supervisi yang ditingkatkan. Kontrol logikal
atau teknikal mencakup pembatasan akses ke sistem dan perlindungan informasi.
Contoh kontrol pada tipe ini adalah enkripsi, smart cards, daftar kontrol
akses, dan protokol transmisi. Sedangkan kontrol fisikal termasuk penjagaan dan
keamanan bangunan secara umum seperti penguncian pintu, pengamanan ruang server
atau laptop, proteksi kabel, pemisahan tugas kerja, dan backup data. Kontrol
fisikal merupakan penempatan penjaga dan bangunan secara umum, seperti
penguncian pintu, pengamanan ruang server atau laptop, perlindungan pada kabel,
pembagian tanggung jawab, dan backup file.
Model Kontrol Akses
Penerapan
akses kontrol pada subjek sistem (sebuah entitas aktif seperti individu atau
proses) terhadap objek sistem (sebuah entitas pasif seperti sebuah file)
berdasarkan aturan (rules). Model kontrol akses merupakan sebuah framework yang
menjelaskan bagaimana subjek mengakses objek. Model ini menggunakan teknologi
kontrol akses dan mekanisme sekuriti untuk menerapkan aturan dan tujuan suatu
model. Ada tiga tipe utama model kontrol akses yaitu mandatory, discretionary,
dan nondiscretionary (sering disebut juga role-based). Tiap tipe model memakai
metode berbeda untuk mengkontrol bagaimana subjek mengakses objek dan mempunyai
kelebihan serta keterbatasan masing-masing. Tujuan bisnis dan keamanan dari
suatu organisasi akan membantu menjelaskan model kontrol akses mana yang
sebaiknya digunakan, bersamaan dengan budaya perusahaan dan kebiasaan menjalankan
bisnisnya. Beberapa model dipakai secara ekslusif dan kadang-kadang model
tersebut dikombinasikan sehingga mampu mencapai tingkat keperluan kemanan
lingkungan yang dibutuhkan.
Aturan pada akses kontrol diklasifikasikan
menjadi :
Mandatory access control
Otorisasi
suatu akses subjek terhadap objek bergantung pada label, dimana label ini
menunjukan ijin otorisasi suatu subjek dan klasifikasi atau sensitivitas dari
objek.
Misalnya, pihak militer mengklasifikasikan dokumen sebagai unclassified, confidential, secret, dan top secret. Untuk hal yang sama, individu dapat menerima ijin otorisasi tentang confidential, secret, atau top secret dan dapat memiliki akses ke dokumen bertipe classified atau tingkatan di bawah status ijin otorisasinya. Sehingga individu dengan ijin otorisasi secret dapat mengakses tingkatan secret dan confidential dokumen dengan suatu batasan. Batasan ini adalah bahwa individu memiliki keperluan untuk mengetahui secara relatif classified dokumen yang dimaksud. Meskipun demikian dokumen yang dimaksud harus benar-benar diperlukan oleh individu tersebut untuk menyelesaikan tugas yang diembannya. Bahkan jika individu memiliki ijin otorisasi untuk tingkat klasifikasi suatu informasi, tetapi tidak memiliki keperluan untuk mengetahui maka individu tersebut tetap tidak boleh mengakses informasi yang diinginkannya. Pada model mandatory access control, user dan pemilik data tidak memiliki banyak kebebasan untuk menentukan siapa yang dapat mengakses file-file mereka. Pemilik data dapat mengijinkan pihak lain untuk mengakses file mereka namun operating system (OS) yang tetap membuat keputusan final dan dapat membatalkan kebijakan dari pemilik data. Model ini lebih terstruktur dan ketat serta berdasarkan label keamanan sistem. User diberikan ijin otorisasi dan data diklasifikasikan. Klasifikasi disimpan di label sekuriti pada sumber daya. Klasifikasi label menentukan tingkat kepercayaan user yang harus dimiliki untuk dapat mengakses suatu file. Ketika sistem membuat keputusan mengenai pemenuhan permintaan akses ke suatu objek, keputusan akan didasarkan pada ijin otorisasi subjek dan klasifikasi objek. Aturan-aturan bagaimana subjek mengakses data dibuat oleh manajemen, dikonfigurasikan oleh administrator, dijalankan oleh operating system, dan didukung oleh teknologi sekuriti.
Misalnya, pihak militer mengklasifikasikan dokumen sebagai unclassified, confidential, secret, dan top secret. Untuk hal yang sama, individu dapat menerima ijin otorisasi tentang confidential, secret, atau top secret dan dapat memiliki akses ke dokumen bertipe classified atau tingkatan di bawah status ijin otorisasinya. Sehingga individu dengan ijin otorisasi secret dapat mengakses tingkatan secret dan confidential dokumen dengan suatu batasan. Batasan ini adalah bahwa individu memiliki keperluan untuk mengetahui secara relatif classified dokumen yang dimaksud. Meskipun demikian dokumen yang dimaksud harus benar-benar diperlukan oleh individu tersebut untuk menyelesaikan tugas yang diembannya. Bahkan jika individu memiliki ijin otorisasi untuk tingkat klasifikasi suatu informasi, tetapi tidak memiliki keperluan untuk mengetahui maka individu tersebut tetap tidak boleh mengakses informasi yang diinginkannya. Pada model mandatory access control, user dan pemilik data tidak memiliki banyak kebebasan untuk menentukan siapa yang dapat mengakses file-file mereka. Pemilik data dapat mengijinkan pihak lain untuk mengakses file mereka namun operating system (OS) yang tetap membuat keputusan final dan dapat membatalkan kebijakan dari pemilik data. Model ini lebih terstruktur dan ketat serta berdasarkan label keamanan sistem. User diberikan ijin otorisasi dan data diklasifikasikan. Klasifikasi disimpan di label sekuriti pada sumber daya. Klasifikasi label menentukan tingkat kepercayaan user yang harus dimiliki untuk dapat mengakses suatu file. Ketika sistem membuat keputusan mengenai pemenuhan permintaan akses ke suatu objek, keputusan akan didasarkan pada ijin otorisasi subjek dan klasifikasi objek. Aturan-aturan bagaimana subjek mengakses data dibuat oleh manajemen, dikonfigurasikan oleh administrator, dijalankan oleh operating system, dan didukung oleh teknologi sekuriti.
Discretionary access control
Subjek
memiliki otoritas, dengan batasan tertentu, untuk menentukan objek-objek apa
yang dapat diakses. Contohnya adalah penggunaan daftar kontrol akses (access
control list). Daftar kontrol akses merupakan sebuah daftar yang menunjuk
user-user mana yang memiliki hak ke sumber daya tertentu. Misalnya daftar
tabular akan menunjukan subjek atau user mana yang memiliki akses ke objek
(file x) dan hak apa yang mereka punya berkaitan dengan file x tersebut.
Kontrol
akses triple terdiri dari user, program, dan file dengan hubungan hak akses
terkait dengan tiap user. Tipe kontrol akses ini digunakan secara lokal, dan
mempunyai situasi dinamis dimana subjek-subjek harus memiliki pemisahan untuk
menentukan sumber daya tertentu yang user diijinkan untuk mengakses. Ketika
user dengan batasan tertentu memiliki hak untuk merubah kontrol akses ke
objek-objek tertentu, hal ini disebut sebagai user-directed discretionary
access control.
Sedangkan kontrol akses berbasis identitas (identity-based access control) adalah tipe kontrol akses terpisah berdasarkan identitas suatu individu.
Sedangkan kontrol akses berbasis identitas (identity-based access control) adalah tipe kontrol akses terpisah berdasarkan identitas suatu individu.
Dalam
beberapa kasus, pendekatan hybrid juga digunakan, yaitu yang mengkombinasi-kan
fitur-fitur user-based dan identity-based discretionary access control. Jika
user membuat suatu file, maka ia merupakan pemilik file tersebut. Kepemilikan
juga bisa diberikan kepada individu spesifik. Misalnya, seorang manager pada
departemen tertentu dapat membuat kepemilikan suatu file dan sumber daya dalam
domain-nya. Pengenal untuk user ini ditempatkan pada file header. Sistem yang
menerapkan model discretionary access control memungkinkan pemilik sumber daya
untuk menentukan subjek-subjek apa yang dapat mengakses sumber daya spesifik.
Model ini dinamakan discretionary karena kontrol akses didasarkan pada
pemisahan pemilik. Pada model ini, akses dibatasi berdasarkan otorisasi yang
diberikan pada user. Ini berarti bahwa subjek-subjek diijinkan untuk menentukan
tipe akses apa yang dapat terjadi pada objek yang mereka miliki. Jika
organisasi menggunakan model discretionary access control, administrator
jaringan dapat mengijinkan pemilik sumber daya mengkontrol siapa yang dapat
mengakses file/sumber daya tersebut.
Implemetasi
umum dari discretionary access control adalah melalui access control list yang
dibuat oleh pemilik, diatur oleh administrator jaringan, dan dijalankan oleh
operating system. Dengan demikian kontrol ini tidak termasuk dalam lingkungan
terkontrol terpusat dan dapat membuat kemampuan user mengakses informasi secara
dinamis, kebalikan dari aturan yang lebih statis pada mandatory access control.
Non-Discretionary access control
Otoritas
sentral menentukan subjek-subjek apa yang mempunyai akses ke objekobjek
tertentu berdasarkan kebijakan keamanan organisasi. Kontrol akses bisa
berdasarkan peran individu dalam suatu organisasi (role-based) atau tanggung
jawab subjek dan tugasnya (task-based). Dalam organisasi dimana sering terdapat
adanya perubahan/pergantian personel, nondiscretionary access control merupakan
model yang tepat karena kontrol akses didasarkan pada peran individu atau
jabatan dalam suatu organisasi. Kontrol akses ini tidak perlu dirubah saat
individu baru masuk menggantikan individu lama. Tipe lain dari
non-discretionary access control adalah kontrol akses lattice-based. Dalam
model lattice (lapis tingkatan), terdapat pasangan-pasangan elemen yang
memiliki batas tertinggi terkecil dari nilai dan batas terendah terbesar dari
nilai. Untuk menerapkan konsep kontrol akses ini, pasangan elemen adalah subjek
dan objek, dan subjek memiliki batas terendah terbesar serta batas tertinggi
terkecil untuk hak akses pada suatu objek.
Selain
itu terdapat model role-based access control yang juga sebagai nondiscretionary
access control. Model ini menerapkan seperangkat aturan terpusat pada kontrol
untuk menentukan bagaimana subjek dan objek berinteraksi. Tipe model ini
mengijinkan akses ke sumber daya berdasarkan peran yang user tangani dalam
suatu organisasi. Administrator menempatkan user dalam peran dan kemudian
memberikan hak akses pada peran tersebut.peran dan kelompok merupakan hal
berbeda meskipun mereka mempunyai tujuan yang sama. Mereka bekerja sebagai
penampungan untuk para user. Perusahaan mungkin memiliki kelompok auditor yang
terdiri dari beberapa user yang berbeda. Para user ini dapat menjadi bagian
suatu kelompok lain dan biasanya memiliki hak individunya masing-masing serta
ijin yang diberikan kepada mereka. Jika perusahaan menerapkan peran, tiap user
yang ditugaskan pada peran tertentu yang hanya memiliki hak pada peran
tersebut. Hal ini menjadikan kontrol yang lebih ketat.
Ringkasan
Aspek keamanan komputer meliputi empat aspek di antaranya:
·
Authentication: agar penerima informasi
dapat memastikan keaslian pesan tersebut datang dari orang yang dimintai
informasi, dengan kata lain informasi tersebut benar-benar dari orang yang
dikehendaki.
·
Integrity: keaslian pesan yang dikirim
melalui sebuah jaringan dan dapat dipastikan bahwa informasi yang dikirim tidak
dimodifikasi oleh orang yang tidak berhak dalam perjalanan informasi tersebut.
·
Nonrepudiation: merupakan hal yang yang
bersangkutan dengan sipengirim, sipengirim tidak dapat mengelak bahwa dia lah
yang mengirim informasi tersebut
·
Authority: Informasi yang berada pada
sistem jaringan tidak dapat dimodifikasi oleh pihak yang tidak berhak atas
akses tersebut.
·
Confidentiality: merupakan usaha untuk
menjaga informasi dari orang yang tidak berhak mengakses. Confidentiality
biasanya berhubungan dengan informasi yang diberikan ke pihak lain
·
Privacy : merupakan lebih kearah
data-data yang sifatnya privat (pribadi)
·
Availability: Aspek availability atau
ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan.
Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan
akses ke informasi.
·
Access Control: Aspek ini berhubungan
dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan
dengan masalah authentication dan juga privacy. Access control seringkali
dilakukan dengan menggunakan kombinasi user id dan password atau dengan
menggunakan mekanisme lainnya.
Keamanan Komputer
Keamanan komputer
Keamanan komputer adalah
suatu cabang teknologi yang dikenal dengan nama keamanan informasi yang
diterapkan pada komputer. Sasaran keamanan komputer antara lain adalah sebagai
perlindungan informasi terhadap pencurian atau korupsi, atau pemeliharaan
ketersediaan, seperti dijabarkan dalam kebijakan keamanan.
Menurut Garfinkel dan Spafford, ahli
dalam computer security,
komputer dikatakan aman jika bisa diandalkan dan perangkat lunaknya bekerja
sesuai dengan yang diharapkan. Keamanan komputer memiliki 5 tujuan, yaitu:
1.
Availability
2.
Confidentiality
3.
Data
Integrity
4.
Control
5.
Audit
Keamanan komputer memberikan persyaratan
terhadap komputer yang berbeda dari kebanyakan persyaratan sistem karena sering
kali berbentuk pembatasan terhadap apa yang tidak boleh dilakukan komputer. Ini
membuat keamanan komputer menjadi lebih menantang karena sudah cukup sulit
untuk membuat program komputer melakukan segala apa yang sudah dirancang untuk
dilakukan dengan benar. Persyaratan negatif juga sukar untuk dipenuhi dan
membutuhkan pengujian mendalam untuk verifikasinya, yang tidak praktis bagi
kebanyakan program komputer. Keamanan komputer memberikan strategi teknis untuk
mengubah persyaratan negatif menjadi aturan positif yang dapat ditegakkan.
Pendekatan yang umum dilakukan untuk
meningkatkan keamanan komputer antara lain adalah dengan membatasi akses fisik
terhadap komputer, menerapkan mekanisme pada perangkat keras dan sistem operasi
untuk keamanan komputer, serta membuat strategi pemrograman untuk menghasilkan
program komputer yang dapat diandalkan.
Tujuan Keamanan Jaringan Komputer
•Availability / etersediaan
•Reliability /Kehandalan
•Confidentiality/ Kerahasiaan
•Cara PengamananJaringanKomputer:
–Autentikasi
–Enkripsi
Penjelasan Lapisan-lapisan jaringan
komputer menurut ISO/OSI
Untuk dapat dengan jelas mengerti mengenai keamanan jaringan komputer, kita harus terlebih dahulu mengerti bagaimana jaringan komputer bekerja. Untuk mempermudah pemeliharaan serta meningkatkan kompabilitas antar berbagai pihak yang mungkin terlibat, jaringan computer terbagi atas beberapa lapisan yang saling independen satu dengan yang lainnya. Menurut standard ISO/OSI, lapisan-lapisan tersebut adalah :
Untuk dapat dengan jelas mengerti mengenai keamanan jaringan komputer, kita harus terlebih dahulu mengerti bagaimana jaringan komputer bekerja. Untuk mempermudah pemeliharaan serta meningkatkan kompabilitas antar berbagai pihak yang mungkin terlibat, jaringan computer terbagi atas beberapa lapisan yang saling independen satu dengan yang lainnya. Menurut standard ISO/OSI, lapisan-lapisan tersebut adalah :
• Physical
• Data Link
• Network
• Transport
• Session
• Presentation
• Application
Setiap lapisan memiliki tugas yang
independen dari lapisan lainnya.
Tipe-tipe proteksi jaringan komputer
Pada bagian ini akan dijelaskan mengenai
perlindungan terhadap jaringan komputer yang bias dilakukan pada setiap lapisan
jaringan komputer, mulai dari lapisan terbawah sampai dengan lapisan teratas.
– Layer
2
Dalam usaha mengamankan sebuah gedung
tahap paling mendasar dalam adalah dengan menjaga titik akses ke gedung tersebut.
Begitu juga dengan pengamanan jaringan komputer, tahap paling mendasar adalah
menjaga titik akses yang dapat digunakan seseorang untuk terhubung ke dalam
jaringan. Pada umumnya, titik akses jaringan komputer adalah berupa hub atau
switch. Dengan berkembangnya wireless network,
maka peralatan access-point juga
termasuk dalam titik akses jaringan yang perlu dilindungi. Saat ini ada dua
mekanisme umum yang biasa digunakan dalam mengamankan titik akses ke jaringan
komputer, yaitu :
– 802.1x
– 802.1x
Protokol 802.1x adalah sebuah protokol
yang dapat melakukan otentikasi pengguna dari peralatan yang akan melakukan
hubungan ke sebuah titik-akses
– Mac Address
– Mac Address
Mac Address Authentication adalah
sebuah mekanisme, dimana sebuah peralatan yang akan melakukan akses pada sebuah
titik-akses sudah terdaftar terlebih dahulu.
– Layer 3
– Layer 3
Pada lapisan ini, sebuah koneksi akan
dikenali dengan alamat IP. Oleh karena itu pengaman yang akan dilakukan pada
lapisan ini akan berbasiskan pada alamat IP tersebut. Pengamanan pada lapisan ini
dapat lebih spesifik dan terlepas dari peralatan yang digunakan.
– Layer 4 /5
– Layer 4 /5
Pada lapisan ini, metode pengamanan
lebih difokuskan pada pengamanan data. Dua metode pengamanan yang banyak
digunakan adalah :
– VPN
– VPN
Virtual Private Network adalah
sebuah sistem yang memungkinkan dibangunnya sebuah jaringan privat diatas
infrastruktur publik.
– WEP
Sebagai sebuah jaringan komputer yang
berbasiskan gelombang radio, jaringan nir-kabel memiliki kelemahan dalam
keamanan, yaitu data dari seorang pengguna dapat dengan mudah dicuri oleh pihak
lain.Untuk itulah dikembangkan WEP – Wired
Equivalent Privacy.
– Layer 7
– Layer 7
Lapisan paling atas dari jaringan
komputer adalah lapisan applikasi. Oleh karena itu perlu diperhatikan juga
pengamanan yang dilakukan oleh sebuah applikasi jaringan komputer.
– SSL
– SSL
Secure Socket Layer adalah
sebuah kumpulan library yang
dapat digunakan oleh pengembang applikasi untuk melindungi applikasi-nya dari
serangan pembajak data.
– Application Firewall
– Application Firewall
Dengan berkembangnya virus dan worm yang
menyerang kelemahan-kelemahan yang ada pada applikasi jaringan komputer, maka
diperlukan keamanan lebih pada lapisan ini. Pada lapisan ini, seluruh paket
data yang lewat akan diperiksa dengan lebih mendalam sehingga dapat dideteksi
apabila ada paket-paket yang berbahaya didalamnya. Mekanisme pertahanan
– IDS / IPS
– IDS / IPS
Intrusion Detection System dan Intrusion
Prevention System adalah sistem-sistem yang banyak digunakan untuk
mendeteksi dan melindungi sebuah sistem keamanan dari serangan. Mekanisme
pertahanan ini dilakukan dengan cara membandingkan paket yang masuk dengan
data-data signature yang
ada.
– Network Topology
– Network Topology
Topologi jaringan komputer memiliki
peranan yang sangat penting dalam keamanan jaringan komputer. Pembagian
kelompok komputer sesuai dengan peranannya adalah suatu hal yang perlu
dilakukan.
– Port Scanning
– Port Scanning
Metode Port
Scanning biasanya digunakan oleh penyerang untuk mengetahui port apa
saja yang terbuka dalam sebuah sistem jaringan komputer. Tetapi metode yang
sama juga dapat digunakan oleh pengelola jaringan komputer untuk memeriksa
apakah port-port yang
terbuka sesuai dengan rancangan awal jaringan komputer.
– Packet Fingerprinting
– Packet Fingerprinting
Karena keunikan setiap vendor peralatan
jaringan komputer dalam melakukan implementasi protokol TCP/IP, maka paket-paket
data yang dikirimkan setiap peralatan menjadi unik peralatan tersebut. Dengan
melakukan Packet Fingerprinting, kita
dapat mengetahui peralatan apa saja yang ada dalam sebuah jaringan komputer.
Hal ini menjadi penting, sehingga kita dapat mengetahui bagaimana cara
melindungi jaringan komputer tersebut.
Jenis-jenis ancaman
Jenis-jenis ancaman
– DOS/DDOS
Denial of Services dan Distributed
Denial of Services adalah sebuah metode serangan yang bertujuan untuk
menghabiskan sumber-daya sebuah peralatan jaringan komputer, sehingga layanan
jaringan komputer menjadi terganggu.
– Packet Sniffing
– Packet Sniffing
Packet Sniffing adalah
sebuah metode serangan dengan cara mendengarkan seluruh paket yang lewat pada
sebuah media komunikasi, baik itu media kabel maupun radio. Setelah paket-paket
yang lewat itu didapatkan, paket-paket tersebut kemudian disusun ulang sehingga
data yang dikirimkan oleh sebuah pihak dapat dicuri oleh pihak yang tidak
berwenang.
– IP Spoofing
– IP Spoofing
IP Spoofing dilakukan
dengan cara merubah alamat asal sebuah paket, sehingga dapat melewati
perlindungan firewall.
– Forgery
Salah satu cara yang dapat dilakukan
oleh seseorang untuk mencuri data-data penting orang lain adalah dengan cara
melakukan penipuan. Salah satu bentuk penipuan yang bisa dilakukan adalah
dengan cara membuat sebuah website tiruan
(misalkan meniru klikbca.com), lalu memancing pihak yang ingin ditipu untuk
meng-akses website palsu
tersebut. Setelah kita memiliki data-data yang diperlukan, kita dapat melakukan
akses ke website yang
asli sebagai pihak yang kita tipu.
Sistem Keamanan Komputer
Sistem keamanan komputer bermanfaat
menjaga suatu sistem komputer dari pengaksesan seseorang yang tidak berhak.
Sistem keamanan komputer semakin dibutuhkan seiring dengan meningkatnya
pengguna komputer saat ini. Selain itu makin meningkatnya para pengguna yang
menghubungkan jaringan LANnya ke internet, namun tidak diimbangi dengan SDM
yang dapat menjaga keamanan data dan infomasi yang dimiliki. Sehingga keamanan
data yang ada menjadi terancam untuk diakses dari orang-orang yang tidak
berhak. Keamanan komputer menjadi penting karena ini terkait dengan Privacy,
Integrity, Autentication, Confidentiality dan Availability. Beberapa ancaman keamanan komputer adalah virus, worm,
trojan, spam dan lain-lain. Masing-masingnya memiliki cara untuk mencuri data
bahkan merusak sistem komputer yang ada. Ancaman bagi keamanan sistem komputer
ini tidak bisa dihilangkan begitu saja, namun kita dapat meminimalisasi hal ini
adalah dengan menggunakan software keamanan sistem antara lain antivirus, antispam
dan sebagainya.
Pengertian
Sistem adalah suatu
sekumpulan elemen atau unsur yang saling berkaitan dan memiliki tujuan yang
sama. Keamanan adalah suatu kondisi
yang terbebas dari resiko. Komputer adalah suatu perangkat
yang terdiri dari software dan hardware serta dikendalikan oleh brainware
(manusia). Dan jika ketiga kata ini dirangkai maka akan memiliki arti suatu
sistem yang mengkondisikan komputer terhindar dari berbagai resiko.
Selain itu, sistem keamanan komputer
bisa juga berarti suatu cabang teknologi yang dikenal dengan
nama keamanan informasi yang diterapkan pada komputer. Sasaran
keamanan komputer antara lain adalah sebagai perlindungan informasi terhadap
pencurian atau korupsi, atau pemeliharaan ketersediaan, seperti dijabarkan dalam
kebijakan keamanan.
Menurut John
D. Howard dalam bukunya “An Analysis of security incidents on
the internet” menyatakan bahwa : Keamanan komputer adalah tindakan pencegahan
dari serangan pengguna komputer atau pengakses jaringan yang tidak bertanggung
jawab.
Sedangkan menurut Gollmann pada tahun 1999 dalam
bukunya “Computer Security” menyatakan bahwa : Keamanan komputer adalah
berhubungan dengan pencegahan diri dan deteksi terhadap tindakan pengganggu
yang tidak dikenali dalam system komputer.
Dalam keamanan sistem komputer yang
perlu kita lakukan adalah untuk mempersulit orang lain mengganggu sistem yang kita
pakai, baik kita menggunakan komputer yang
sifatnya sendiri, jaringan local maupun jaringan global. Harus dipastikan
system bisa berjalan dengan baik dan kondusif, selain itu program aplikasinya
masih bisa dipakai tanpa ada masalah.
Beberapa hal yang menjadikan kejahatan
komputer terus terjadi dan cenderung meningkat adalah sebagai berikut :
1.
Meningkatnya
pengguna komputer dan internet
2.
Banyaknya
software yang pada awalnya digunakan untuk melakukan audit sebuah system dengan
cara mencari kelemahan dan celah yang mungkin disalahgunakan untuk melakukan
scanning system orang lain.
3.
Banyaknya
software-software untuk melakukan penyusupan yang tersedia di Internet dan bisa
di download secara gratis.
4.
Meningkatnya
kemampuan pengguna komputer dan internet
5.
Desentralisasi
server sehingga lebih banyak system yang harus ditangani, sementara SDM
terbatas.
6.
Kurangnya
hukum yang mengatur kejahatan komputer.
7.
Semakin
banyaknya perusahaan yang menghubungkan jaringan LAN mereka ke Internet.
8.
Meningkatnya
aplikasi bisnis yang menggunakan internet.
9.
Banyaknya
software yang mempunyai kelemahan (bugs).
Ada beberapa hal yang bisa menjawab
diperlukannya pengamanan sistem komputer, antara lain :
Menghindari resiko penyusupan, harus
dipastikan bahwa system tidak ada penyusup yang bisa membaca, menulis dan
menjalankan program-program yang bisa mengganggu atau menghancurkan system.
1.
Mengurangi
resiko ancaman, hal ini biasa berlaku di institusi dan perusahaan swasta. Ada
beberapa macam penyusup yang bisa menyerang system yang dimiliki, antara lain :
1.
Ingin
Tahu, jenis penyusup ini pada dasarnya
tertarik menemukan jenis system yang digunakan.
2.
Perusak, jenis penyusup ini ingin merusak system yang digunakan
atau mengubah tampilan layar yang dibuat.
3.
Menyusup
untuk popularitas, penyusup ini menggunakan system untuk
mencapai popularitas dia sendiri, semakin tinggi system keamanan yang kita
buat, semakin membuatnya penasaran. Jika dia berhasil masuk ke sistem kita maka
ini menjadi sarana baginya untuk mempromosikan diri.
4.
Pesaing, penyusup ini lebih tertarik pada data yang ada dalam
system yang kita miliki, karena dia menganggap kita memiliki sesuatu yang dapat
menguntungkannya secara finansial atau malah merugikannya (penyusup).
2.
Melindungi
system dari kerentanan, kerentanan akan menjadikan system berpotensi untuk
memberikan akses yang tidak diizinkan bagi orang lain yang tidak berhak.
3.
Melindungi
system dari gangguan alam seperti petir dan lain-lainnya.
Aspek-aspek keamanan komputer
Inti dari keamanan komputer adalah
melindungi komputer dan jaringannya dengan tujuan mengamankan informasi yang
berada di dalamnya. Keamanan komputer sendiri meliputi beberapa aspek , antara
lain :
1.
Privacy
: adalah sesuatu yang bersifat rahasia
(private). Intinya adalah pencegahan agar informasi tersebut tidak diakses oleh
orang yang tidak berhak. Contohnya adalah email atau file-file lain yang tidak
boleh dibaca orang lain meskipun oleh administrator.
2.
Confidentiality
: merupakan data yang diberikan ke pihak lain untuk
tujuan khusus tetapi tetap dijaga penyebarannya. Contohnya data yang bersifat
pribadi seperti : nama, alamat, no ktp, telpon dan sebagainya.
3.
Integrity
: penekanannya adalah sebuah informasi tidak boleh
diubah kecuali oleh pemilik informasi. Terkadang data yang telah
terenskripsipun tidak terjaga integritasnya karena ada kemungkinan chapertext
dari enkripsi tersebut berubah. Contoh : Penyerangan Integritas ketika sebuah
email dikirimkan ditengah jalan disadap dan diganti isinya, sehingga email yang
sampai ketujuan sudah berubah.
4.
Autentication
: ini akan dilakukan sewaktu user login dengan
menggunakan nama user dan passwordnya. Ini biasanya berhubungan dengan hak
akses seseorang, apakah dia pengakses yang sah atau tidak.
5.
Availability
: aspek ini berkaitan dengan apakah sebuah data tersedia
saat dibutuhkan/diperlukan. Apabila sebuah data atau informasi terlalu ketat
pengamanannya akan menyulitkan dalam akses data tersebut. Disamping itu akses
yang lambat juga menghambat terpenuhnya aspek availability. Serangan yang
sering dilakukan pada aspek ini adalah denial of service (DoS), yaitu
penggagalan service sewaktu adanya permintaan data sehingga komputer tidak bisa
melayaninya. Contoh lain dari denial of service ini adalah mengirimkan request
yang berlebihan sehingga menyebabkan komputer tidak bisa lagi menampung beban
tersebut dan akhirnya komputer down.
Keamanan komputer memberikan persyaratan
terhadap komputer yang berbeda dari kebanyakan persyaratan sistem karena
sering kali berbentuk pembatasan terhadap apa yang tidak boleh dilakukan
komputer. Ini membuat keamanan komputer menjadi lebih menantang karena sudah
cukup sulit untuk membuat program komputer melakukan segala apa yang sudah
dirancang untuk dilakukan dengan benar. Persyaratan negatif juga sukar untuk
dipenuhi dan membutuhkan pengujian mendalam untuk verifikasinya, yang tidak
praktis bagi kebanyakan program komputer. Keamanan komputer memberikan strategi
teknis untuk mengubah persyaratan negatif menjadi aturan positif yang dapat
ditegakkan.
Pendekatan yang umum dilakukan untuk
meningkatkan keamanan komputer antara lain adalah dengan membatasi akses fisik
terhadap komputer, menerapkan mekanisme pada perangkat keras
dan sistem operasi untuk keamanan komputer, serta membuat strategi
pemrograman untuk menghasilkan program komputer yang dapat diandalkan
0 komentar:
Posting Komentar