P. 1
Sistem Keamanan Komputer

Sistem Keamanan Komputer

|Views: 777|Likes:
Published by Yusran Sangadji

More info:

Published by: Yusran Sangadji on Aug 11, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOC, PDF, TXT or read online from Scribd
See more
See less

01/13/2013

pdf

text

original

Sections

  • Sistem Keamanan Komputer
  • Keamanan Dan Manajemen Perusahaan
  • Nama Komponen Contoh & Keterangan Lebih Lanjut
  • ?? Nasib (Acts Of God)
  • ?? Intel Luar Negeri (Foreign Intelligence)
  • Klasifikasi Kejahatan Komputer
  • World Trade Center yang dianggap sangat aman dihantam oleh pesawat terbang yang
  • Aspek / Service Dari Keamanan (Security)
  • Salah satu contoh kasus trojan horse adalah distribusi paket program TCP
  • Contoh serangan lain adalah yang disebut “man in the middle attack” dimana
  • ATM yang sedang kita gunakan memang benar-benar milik bank yang bersangkutan?
  • Bagaimana jika ada orang nakal yang membuat mesin seperti ATM sebuah bank dan
  • Banking. (Ini yang terjadi dengan kasus klikBCA.com.)
  • Pentingnya Akses Kontrol
  • Penjelasan Akses Kontrol
  • Model Kontrol Akses

Sistem Keamanan Komputer

Pokok masalah keamanan sistem salah satunya disebabkan karena sistem time sharing dan akses jarak jauh, apalagi dengan meningkatnya perkembangan jaringan komputer.

Keamanan sistem komputer adalah untuk menjamin sumber daya sistem tidak digunakan / dimodifikasi, diinterupsi dan diganggu oleh orang yang tidak diotorisasi. Pengamanan termasuk masalah teknis, manajerial,

legalitas dan politis.

3 macam keamanan sistem, yaitu :

1. Keamanan eksternal / external security

Berkaitan dengan pengamanan fasilitas komputer dari penyusup dan bencana seperti kebakaran /kebanjiran.

2. Keamanan interface pemakai / user interface security

Berkaitan dengan indentifikasi pemakai sebelum pemakai diijinkan mengakses program dan data yang

disimpan

3. Keamanan internal / internal security

Berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat keras dan sistem operasi yang menjamin operasi yang handal dan tak terkorupsi untuk menjaga integritas program dan data.

2 masalah penting keamanan, yaitu :

1. Kehilangan data / data loss

Yang disebabkan karena :

· Bencana, contohnya kebakaran, banjir, gempa bumi, perang, kerusuhan, tikus, dll.

· Kesalahan perangkat keras dan perangkat lunak, contohnya ketidak berfungsinya pemroses, disk / tape.

yang tidak terbaca, kesalahan komunikasi, kesalahan program / bugs.

· Kesalahan / kelalaian manusia, contohnya kesalahan pemasukkan data, memasang tape / disk yang salah, kehilangan disk / tape.

2. Penyusup / intruder

· Penyusup pasif, yaitu yang membaca data yang tidak terotorisasi

· Penyusup aktif, yaitu mengubah data yang tidak terotorisasi.

Contohnya penyadapan oleh orang dalam, usaha hacker dalam mencari uang, spionase militer / bisnis, lirikan pada saat pengetikan password.

Sasaran keamanan adalah menghindari, mencegah dan mengatasi ancaman terhadap sistem.

3 aspek kebutuhan keamanan sistem komputer, yaitu :

1. Kerahasiaan / secrecy, diantaranya privasi

Keterjaminan bahwa informasi di sistem komputer hanya dapat diakses oleh pihakpihak yang terotorisasi

dan modifikasi tetap menjaga konsistensi dan keutuhan data di sistem

2. Integritas / integrity

Keterjaminan bahwa sumber daya sistem komputer hanya dapat dimodifikasi oleh pihak-pihak yang

terotorisasi

3. Ketersediaan / availability

Keterjaminan bahwa sumber daya sistem komputer tersedia bagi pihak-pihak yang diotorisasi saat diperlukan.

Tipe ancaman terhadap keamanan sistem komputer dapat dimodelkan dengan memandang fungsi sistem

komputeer sebagai penyedia informasi.

Berdasarkan fungsi ini, ancaman terhadap sistem komputeer dikategorikan menjadi 4 ancaman, yaitu :

Fabrikasi / fabrication . Contohnya mengubah nilai file. Intersepsi / interception Pihak tak diotorisasi dapat mengakses sumber daya. Merupakan ancaman terhadap kerahasiaan. mengubah program. 3. mengcopy file tanpa diotorisasi. Merupakan ancaman terhadap ketersediaan. Merupakan ancaman terhadap integritas. Pihak tak diotorissasi dapat berupa orang / program komputeer.1. memodifikasi pesan 4. Interupsi / interuption Sumber daya sistem komputer dihancurkan / menjadi tak tersedia / tak berguna. pemotongan kabel komunikasi. Modifikasi / modification Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya. 2. Contohnya penyadapan. Contohnya penghancuran harddisk.

Pihak tak diotorisasi menyisipkan / memasukkan objek-objek palsu ke sistem. 3. Membuat proteksi yang bagus dengan mengasumsikan penyusup mengetahui cara kerja sistem pengamanan. sehingga dapat digunakan secara benar dan mekanisme proteksi tidak mengganggu kerja pemakai dan pemenuhan kebutuhan otorisasi pengaksesan. Petunjuk prinsip-prinsip pengamanan sistem komputer. Dapat diterima Mekanisme harus mudah diterima. Rancangan sistem seharusnya publik Tidak tergantung pada kerahasiaan rancangan mekanisme pengamanan. menambah record file. 2. yaitu : 1. Pemeriksaan otoritas saat itu . Contohnya memasukkan pesan palsu ke jaringan. Merupakan ancaman terhadap integritas.

Sesuatu yang diketahui pemakai. 5. nama kecil ibu mertua. 4. dll . Mekanisme yang ekonomis Mekanisme proteksi seharusnya sekecil dan sesederhana mungkin dan seragam sehingga mudah untukverifikasi. Otentifikasi pemakai / user authentification adalah identifikasi pemakai ketika login. misalnya password. kombinasi kunci. 3 cara otentifikasi : 1.Banyak sisten memeriksa ijin ketika file dibuka dan setelah itu (opersi lainnya) tidak diperiksa. Kewenangan serendah mungkin Program / pemakai sistem harusnya beroperasi dengan kumpulan wewenang serendah mungkin yang diperlukan untuk menyelesaikan tugasnya.

misalnya nama kecil. menanyakan ke pemakai dan memeriksa jawaban yang diberikan. . saat diketikkan tidak akan terlihat dilaya kecuali misalnya tanda *. menambahkan string pendek ke string password yang diberikan pemakai sehingga mencapai panjang password tertentu b. sehingga pada saat login. mengingatnya dan menggetikkannya saat akan mengakses sistem komputer. satu daftar panjang pertanyan dan jawaban. pemakai memilih suatu kata kode. Setiap kali login pemakai menggunakan password berikutnya yang terdapat pada daftar password. Salting. Upaya pengamanan proteksi password : a. komputer memilih salah satu dari pertanyaan secara acak. pemakai harus mengganti password secara teratur. Tetapi banyak kelemahan dan mudah ditembus karena pemakai cenderung memilih password yang mudah diingat. tanggal lahir. nama panggilan. one time password. misalnya pemakai mendapat 1 buku daftar password. c. dll.Untuk password.

tanda tangan. maka pemakai harus mengetik angka 27. Untuk memperkecil peluang penembusan keamanan sistem komputer harus diberikan pembatasan. kartu identitas. foto. . Pada tanda tangan. bukan membandingkan bentuk tanda tangannya (karena mudah ditiru) tapi gerakan / arah dan tekanan pena saat menulis (sulit ditiru). ATM. tantangan tanggapan / chalenge respone. Kartu ini disisipkan de suatu perangkat pembaca kartu magnetik jika akan mengakses komputer. Kartu pengenal dengan selarik pita magnetik. barcode KTM. pemakai diberikan kebebasan memilih suatu algoritma misalnya x3. 2. misalnya bagde. dll. misalnya sidik jari. Sesuatu yang dimiliki pemakai. biasanya dikombinasikan dengan password. kunci. ketika login komputer menuliskan di layar angka 3. 3.d. Sesuatu mengenai / merupakan ciri pemakai yang di sebut biometrik. sidik suara.

Objek yang perlu diproteksi : 1. Pembatasan jumlah usaha login. misalnya pemroses. dll .misalnya : 1. printer. tapi hanya pada saluran tetepon tertentu. dll 2. diskdrive. file. terminal. dan segera dikunci dan diberitahukan keadministrator. 3. misalnya dibatasi sampai 3 kali. yaitu login dapat dilakukan oleh siapapun. pada waktu dan hari tertentu. sistemmemutuskan koneksi dan memanggil nomor telepon yang disepakati. 2. bila telah sukses. misalnya proses. semaphore. Objek perangkat lunak. Objek perangkat keras. basis data. segment memori. Pembatasan login. Pembatasan dengan call back. misalnya pada terminal tertentu. Penyusup tidak dapat menghibungu lewat sembarang saluran telepon.

Tiap pasangan menspesifikasikan objek dan suatu subset operasi yang dapat dilakukan terhadapnya.hak). dimana : · baris menunjukkan domain · kolom menunjukkan objek Pendahuluan Kriptografi Kriptografi.Masalah proteksi adalah mengenai cara mencegah proses mengakses objek yang tidak diotorisasi. Kata cryptography berasal dari kata Yunani kryptos (tersembunyi) dan graphein (menulis). Cara penyimpanan informasi anggota domain beerupa satu matrik besar. secara umum adalah ilmu dan seni untuk menjaga kerahasiaan berita [bruceSchneier .Applied Cryptography]. Selain pengertian tersebut terdapat pula pengertian ilmu yang mempelajari teknik-teknik matematika yang berhubungan dengan . Hak dalam konteks ini berarti ijin melakukan suatu operasi. Domain adalah himpunan pasangan (objek. Sehingga dikembangkan konsep domain.

baik secara kesatuan sistem maupun informasi itu sendiri.aspek keamanan informasi seperti kerahasiaan data. penghapusan. serta autentikasi data [A. Cryptology adalah ilmu yang mencakup cryptography dan cryptanalysis. adalah berhubungan dengan identifikasi/pengenalan. waktu pengiriman. integritas data. dan lain-lain.. Dua pihak yang saling berkomunikasi harus saling memperkenalkan diri. Untuk menjaga integritas data. isi datanya. memecahkan ciphertext. Cryptanalysis adalah aksi untuk memecahkan mekanisme kriptografi dengan cara mendapatkan plaintext atau kunci dari ciphertext yang digunakan untuk mendapatkan informasi berhargakemudian mengubah atau memalsukan pesan dengan tujuan untuk menipu penerima yang sesungguhnya. keabsahan data. Informasi yang dikirimkan melalui kanal harus diautentikasi keaslian. ?? Autentikasi. van Oorschot and S.Menezes.Handbook of Applied Cryptography]. adalah berhubungan dengan penjagaan dari perubahan data secara tidak sah. Tidak semua aspek keamanan informasi ditangani oleh kriptografi. atau nir penyangkalan adalah usaha untuk mencegah terjadinya . P. Integritas data. ?? Non-repudiasi. adalah layanan yang digunakan untuk menjaga isi dari informasi dari siapapun kecuali yang memiliki otoritas atau kunci rahasia untuk membuka/mengupas informasi yang telah disandi. Tujuan mendasar dari ilmu kriptografi ini yang juga merupakan aspek keamanan informasi yaitu : ?? Kerahasiaan. sistem harus memiliki kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak. antara lain penyisipan. dan pensubsitusian data lain kedalam data yang sebenarnya. Vanstone .

Keamanan Dan Manajemen Perusahaan Seringkali sulit untuk membujuk manajemen perusahaan atau pemilik sistem informasi untuk melakukan investasi di bidang keamanan. yaitu transformasi data terenkripsi kembali ke bentuknya semula. maka kita akan dikagetkan bahwa ternyata harus keluar dana untuk menjaga keamanan. Di tahun 1997 majalah Information Week melakukan survey terhadap 1271 system atau network manager di Amerika Serikat. Enkripsi adalah transformasi data kedalam bentuk yang tidak dapat terbaca tanpa sebuah kunci tertentu. maka pintu rumah kita harus dilengkapi dengan kunci pintu. Jika kita terlupa memasukkan kunci pintu pada budget perencanaan rumah. Ambil contoh berikut. Kalau rumah kita hanya memiliki satu atau dua pintu. Mereka lebih mementingkan “reducing cost” dan “improving competitiveness” meskipun perbaikan sistem informasi setelah dirusak justru dapat menelan biaya yang lebih banyak. Keamanan itu tidak dapat muncul demikian saja. Tujuannya adalah untuk meyakinkan privasi dengan menyembunyikan informasi dari orang-orang yang tidak ditujukan.penyangkalan terhadap pengiriman/terciptanya suatu informasi oleh yang mengirimkan/membuat. Dia harus direncanakan. Bayangkan bila kita mendesain sebuah hotel dengan 200 kamar dan lupa membudgetkan kunci . Dekripsi merupakan kebalikan dari enkripsi. mungkin dampak dari budget tidak seberapa. Jika kita membangun sebuah rumah. Hanya 22% yang menganggap keamanan sistem informasi sebagai komponen sangat penting (“extremely important”). bahkan mereka mereka yang memiliki akses ke data terenkripsi.

Dissaster Recovery Center. ?? Hitung kerugian apabila ada data yang hilang. selama 1 hari. Dampaknya sangat besar.com tidak dapat diakses selama beberapa hari. mudah-mudahan pihak manajemen dapat mengerti pentingnya investasi di bidang keamanan. Berikut ini adalah berapa contoh kegiatan yang dapat kita lakukan : ?? Hitung kerugian apabila sistem informasi kita tidak bekerja selama 1 jam. dan seterusnya). dan 1 bulan. Intrusion Detection System. 1 minggu. Demikian pula di sisi pengamanan sebuah sistem informasi. Misalnya berapa kerugian yang diderita apabila daftar pelanggan dan invoice hilang dari sistem kita. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.) ?? Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi anda. anti virus. Dengan adanya ukuran yang terlihat. Berapa biaya yang dibutuhkan untuk rekonstruksi data. Misalnya web site anda mengumumkan harga sebuah barang yang berbeda dengan harga yang ada di toko kita. kita akan dikagetkan dengan kebutuhan akan adanya perangkat pengamanan (firewall. keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran yang dapat diukur dengan uang (tangible).pintu. bayangkan jika server Amazon. Jika tidak kita budgetkan di awal. Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur dengan uang (intangible). (Sebagai perbandingkan. .

Ada tiga komponen yang memberikan kontribusi kepada Risk. Lawrie Brown dalam menyarankan menggunakan “Risk Management Model” untuk menghadapi ancaman (managing threats). Tentunya banyak nasabah yang pindah ke bank lain karena takut akan keamanan uangnya. yaitu Asset. Nama Komponen Contoh & Keterangan Lebih Lanjut Asset (Aset) ?? Hardware ?? Software ?? Dokumentasi ?? Data ?? Komunikasi ?? Lingkungan .?? Apakah nama baik perusahaan kita merupakan sebuah hal yang harus dilindungi? Bayangkan bila sebuah bank terkenal dengan rentannya pengamanan data-datanya. dan Threats. bolak-balik terjadi security incidents. Vulnerabilities. Pengelolaan terhadap keamanan dapat dilihat dari sisi pengelolaan resiko (risk management).

?? Manusia Threats (Ancaman) ?? Pemakai (Users) ?? Teroris ?? Kecelakaan (Accidents) ?? Crackers ?? Penjahat Kriminal ?? Nasib (Acts Of God) ?? Intel Luar Negeri (Foreign Intelligence) Vulnerability (Kelemahan) ?? Software Bugs ?? Hardware Bugs ?? Radiasi (dari layar. transmisi) ?? Tapping. Crosstalk .

?? Unauthorized Users ?? Cetakan. Hardcopy ?? Keteledoran (Oversight) ?? Cracker via telepon ?? Strorage media Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut “countermeasures” yang dapat berupa : ?? Usaha untuk mengurangi Threat ?? Usaha untuk mengurangi Vulnerability ?? Usaha untuk mengurangi impak (impact) ?? Mendeteksi kejadian yang tidak bersahabat (hostile event) ?? Kembali (recover) dari kejadian MeningkatnyaMeningkatnya Kejahatan Komputer .

Setelah itu dia akan menyusup melalui jalur belakang. antara lain : ?? Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan komputer semakin meningkat. Padahal mencari operator dan administrator yang handal adalah sangat sulit. Akibat dari hal ini adalah biasanya server-server di daerah (bukan pusat) tidak dikelola dengan baik sehingga lebih rentan terhadap serangan. Seorang cracker akan menyerang server di daerah lebih dahulu sebelum mencoba menyerang server pusat. apalagi jika harus disebar di berbagai tempat. Sebagai contoh saat ini mulai bermunculan aplikasibisnis seperti on-line banking.Jumlah kejahatan komputer (computer crime). (Biasanya dari daerah / cabang ke pusat ada routing dan tidak dibatasi dengan firewall. terutama yang berhubungan dengan sistem informasi. dan masih banyak lainnya. electronic commerce (e-commerce). Hal ini membutuhkan lebih banyak operator dan administrator yang handal yang juga kemungkinan harus disebar di seluruh lokasi.) . Bahkan aplikasi e-commerce akan menjadi salah satu aplikasi pemacu di Indonesia (melalui “Telematika Indonesia” dan Nusantara 21). Demikian pula di berbagai penjuru dunia aplikasi ecommerce terlihat mulai meningkat. ?? Desentralisasi (dan distributed) server menyebabkan lebih banyak sistem yang harus ditangani. Electronic Data Interchange (EDI). akan terus meningkat dikarenakan beberapa hal.

Jika dahulu akses ke komputer sangat sukar. seperti SATAN. OpenBSD. ?? Mudahnya diperoleh software untuk menyerang komputer dan jaringan komputer. apalagi harus menangani berjenis-jenis perangkat. Sehingga. Windows (NT. Juniper Networks. Linux-based router. Banyak tempat di Internet yang menyediakan software yang langsung dapat diambil (download) dan langsung digunakan untuk menyerang dengan Graphical User Interface (GUI) yang mudah digunakan. BSD (dengan berbagai variasinya mulai dari FreeBSD. 2000. untuk router saja sudah ada berbagai vendor. BSDbased router. .?? Transisi dari single vendor ke multi-vendor Sehingga lebih banyak sistem atau perangkat yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani. Bayangkan. Nortel. Belum lagi jenis sistem operasi (operating system) dari server. ?? Meningkatnya kemampuan pemakai di bidang komputer Sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakanny (atau sistem milik orang lain). maka sekarang komputer sudah merupakan barang yang mudah diperoleh dan banyak dipasang di sekolah serta rumah-rumah. Cisco. Jadi sebaiknya tidak menggunakan variasi yang terlalu banyak. 2003). Linux (dengan berbagai distribusi). dan lain-lain. bahkan hanya membutuhkan sebuah web browser untuk menjalankannya. Penyerang yang hanya bisa menjalankan program tanpa mengerti apa maksudnya disebut dengan istilah script kiddie. Beberapa program. seseorang yang hanya dapat menggunakan web browser dapat menjalankan program penyerang (attack). seperti Solaris (dengan berbagai versinya). Untuk memahami satu jenis perangkat dari satu vendor saja sudah susah. NetBSD).

?? Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang sangat cepat. dapat diklasifikasikan menjadi empat. bugs). Barang bukti digital juga masih sulit diakui oleh pengadilan Indonesia sehingga menyulitkan dalam pengadilan. Akibatnya pelaku kejahatan cyber hanya dihukum secara ringan sehingga ada kecenderungan mereka melakukan hal itu kembali. Seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan (yang disebabkan kesalahan pemrograman. ?? Semakin kompleksnya sistem yang digunakan. Klasifikasi Kejahatan Komputer Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai ke yang hanya mengesalkan (annoying). yaitu : . Hukum yang berbasis ruang dan waktu akan mengalami kesulitan untuk mengatasi masalah yang justru terjadi pada sebuah system yang tidak memiliki ruang dan waktu. Menurut David Icove berdasarkan lubang keamanan.

Wiretapping atau hal-hal yang berhubungan dengan akses ke kabel atau computer yang digunakan juga dapat dimasukkan ke dalam kelas ini. Denial of service. peralatan. Denial of service dapat dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran . Pencurian komputer dan notebook juga merupakan kejahatan yang besifat fisik. Misalnya pernah diketemukan coretan password atau manual yang dibuang tanpa dihancurkan. Menurut statistik. 15% perusahaan di Amerika pernah kehilangan notebook. Beberapa bekas penjahat komputer (crackers) mengatakan bahwa mereka sering pergi ke tempat sampah untuk mencari berkas-berkas yang mungkin memiliki informasi tentang keamanan.1. Keamanan yang bersifat fisik (physical security) Termasuk akses orang ke gedung. dan juga seringkali digunakan untuk menyimpan data-data yang seharusnya sifatnya confidential (misalnya pertukaran email antar direktur yang menggunakan notebook tersebut). dan media yang digunakan. Padahal biasanya notebook ini tidak dibackup (sehingga data-datanya hilang). yaitu akibat yang ditimbulkan sehingga servis tidak dapat diterima oleh pemakai juga dapat dimasukkan ke dalam kelas ini.

Seringkali kelemahan keamanan sistem informasi bergantung kepada manusia (pemakai dan pengelola). Mematikan jalur listrik sehingga sistem menjadi tidak berfungsi juga merupakan serangan fisik. Beberapa waktu yang lalu ada lubang keamanan dari implementasi protokol TCP/IP yang dikenal dengan istilah Syn Flood Attack. Ada sebuah teknik yang dikenal dengan istilah . 2. Keamanan yang berhubungan dengan orang (personel) Termasuk identifikasi.komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan). Masalah keamanan fisik ini mulai menarik perhatikan ketika gedung World Trade Center yang dianggap sangat aman dihantam oleh pesawat terbang yang dibajak oleh teroris. Belum lagi hilangnya nyawa. dan profil resiko dari orang yang mempunyai akses (pekerja). Akibatnya banyak sistem yang tidak bisa hidup kembali karena tidak diamankan. dimana sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadi terlalu sibuk dan bahkan dapat berakibat macetnya sistem (hang).

Seringkali perusahaan tidak memiliki dokumen kebijakan dan prosedur. Keamanan dalam operasi Termasuk kebijakan (policy) dan prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan. Yang termasuk di dalam kelas ini adalah kelemahan dalam software yang digunakan untuk mengelola data. dan juga termasuk prosedur setelah serangan (post attack recovery). Seorang kriminal dapat memasang virus atau trojan horse sehingga dapat mengumpulkan informasi (seperti password) yang semestinya tidak berhak diakses. Keamanan dari data dan media serta teknik komunikasi (communications). Misalnya kriminal ini berpura-pura sebagai pemakai yang lupa passwordnya dan minta agar diganti menjadi kata lain. 3. Bagian ini yang akan banyak kita bahas dalam buku ini. . 4.“social engineering” yang sering digunakan oleh kriminal untuk berpura-pura sebagai orang yang berhak mengakses informasi.

social security number. Contoh confidential information adalah data-data yang sifatnya pribadi (seperti nama. Contoh hal yang berhubungan dengan privacy adalah e-mail seorang pemakai (user) tidak boleh dibaca oleh administrator. 1. status perkawinan. integrity. dan availability. Privacy / Confidentiality Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. agama. Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut. tempat tanggal lahir. yaitu privacy. authentication.Aspek / Service Dari Keamanan (Security) Garfinkel mengemukakan bahwa keamanan komputer (computer security) melingkupi empat aspek. penyakit .

Institusi (bank) yang mengeluarkan kartu kredit anda akan percaya bahwa saya adalah anda dan akan menutup kartu kredit anda.yang pernah diderita. Jika saya mengetahui data-data pribadi anda. Masih banyak lagi kekacauan yang dapat ditimbulkan bila data-data pribadi ini digunakan oleh orang yang tidak berhak. Di perusahaan ini. termasuk nama ibu anda. Ada sebuah kasus dimana karyawan sebuah perusahaan dipecat dengan tidak hormat dari perusahaan yang bersangkutan karena kedapatan mengambil data-data gaji karyawan di perusahaan yang bersangkutan. biasanya ditanyakan data-data pribadi. . maka saya dapat melaporkan melalui telepon (dengan berpura-pura sebagai anda) bahwa kartu kredit anda hilang dan mohon penggunaannya diblokir. daftar gaji termasuk informasi yang bersifat confidential /rahasia. Untuk mendapatkan kartu kredit. dan sebagainya) merupakan data-data yang ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari confidentiality adalah daftar pelanggan dari sebuah Internet Service Provider (ISP). nomor kartu kredit.

Salah satu contoh kasus trojan horse adalah distribusi paket program TCP Wrapper (yaitu program populer yang dapat digunakan untuk mengatur dan membatasi akses TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggung jawab. trojan horse. Adanya virus. Penggunaan enkripsi dan digital signature. Informasi ini berasal dari CERT . misalnya. Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah jalan. integritas dari informasi sudah tidak terjaga. tampered. kemudian diteruskan ke alamat yang dituju. diubah isinya (altered. Jika anda memasang program yang berisi trojan horse tersebut. maka ketika anda merakit (compile) program tersebut.2. modified). dapat mengatasi masalah ini. Dengan kata lain. dia akan mengirimkan eMail kepada orang tertentu yang kemudian memperbolehkan dia masuk ke sistem anda. Integrity Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi.

yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan” pembuat. 3. yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi.Advisory. Masalah pertama. membuktikan keaslian dokumen. misalnya . “CA-99-01 Trojan-TCP-Wrappers” yang didistribusikan 21 Januari 1999. dapat dilakukan dengan teknologi watermarking dan digital signature. Masalah kedua biasanya berhubungan dengan access control. Watermarking juga dapat digunakan untuk menjaga “intelectual property”. Authentication Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betulbetul asli. Dalam hal ini pengguna harus menunjukkan bukti bahwa memang dia adalah pengguna yang sah. atau server yang kita hubungi adalah betul-betul server yang asli. Contoh serangan lain adalah yang disebut “man in the middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain. orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud.

biometric (ciri-ciri khas orang). proteksi authentication dapat menggunakan digital certificates. Pernahkan kita bertanya bahwa mesin ATM yang sedang kita gunakan memang benar-benar milik bank yang bersangkutan? Bagaimana jika ada orang nakal yang membuat mesin seperti ATM sebuah bank dan meletakkannya di tempat umum? Dia dapat menyadap data-data (informasi yang ada di magnetic strip) dan PIN dari orang yang tertipu. Secara umum. Tapi. dan sejenisnya. Authentication biasanya diarahkan kepada orang (pengguna). namun tidak pernah ditujukan kepada server atau mesin. Ada tiga hal yang dapat ditanyakan kepada orang untuk menguji siapa dia : • What you have (misalnya kartu ATM) • What you know (misalnya PIN atau password) • What you are (misalnya sidik jari. bisa anda bayangkan betapa mudahnya membuat web site palsu . saat ini kelihatannya dapat meningkatkan keamanan aspek ini. biometric) Penggunaan teknologi smart card.dengan menggunakan password. Memang membuat mesin ATM palsu tidak mudah.

crash.) 4. Availability Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Contoh hambatan adalah serangan yang sering disebut dengan “denial of service attack” (DoS attack). dimana server dikirimi permintaan (biasanya palsu) yang bertubitubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down. hang. .yang menyamar sebagai web site sebuah bank yang memberikan layanan Internet Banking. Contoh lain adalah adanya mailbomb.com. dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya (apalagi jika akses dilakukan melalui saluran telepon). (Ini yang terjadi dengan kasus klikBCA. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi.

perhatian harus diberikan pada kebutuhan akses kontrol dan metode-metode implementasinya untuk menjamin bahwa sistem memenuhi availability (ketersediaan). Confidentiality atau kerahasiaan memastikan bahwa informasi tidak terbuka ke individu. Beberapa tipe informasi yang dipertimbangkan sebagai informasi rahasia adalah misalnya catatan kesehatan. integrity. dan dimonitor. protokol transmisi. kode sumber program. Dalam komputer jaringan. juga diperlukan pemahaman terhadap penggunaan akses kontrol pada arsitektur terdistribusi dan terpusat. kontrol akses fisikal dan logikal. Melakukan kontrol akses pada sistem informasi dan jaringan yang terkait juga merupakan hal penting untuk menjaga confidentiality. confidentiality (kerahasiaan). informasi laporan keuangan. adalah merupakan hal penting untuk mengidentifikasi data dan kebutuhan-kebutuhan yang terklasifikasi sehingga dapat dipastikan bahwa suatu peringkat prioritas akan . Aktivitas tersebut harus dikontrol.Pentingnya Akses Kontrol Bagi para profesional keamanan sistem/teknologi informasi. dan availability. perdagangan rahasia. Mekanisme kontrol perlu ditempatkan untuk mendata siapa yang dapat mengakses data dan apa yang orang dapat lakukan terhadapnya saat pertama kali diakses. program atau proses yang tidak berhak. dan integrity (integritas). Beberapa informasi mungkin lebih sensitive dibandingkan informasi lainnya dan memerlukan level kerahasiaan yang lebih tinggi. catatan kriminal. tampilan database. Bagi suatu institusi (skala besar. Sedangkan beberapa mekanisme yang memebrikan kemampuan kerahasiaan sebagai contoh yaitu enkripsi. dan rencana taktis militer. diaudit. menengah maupun kecil). dan alur trafik yang terkontrol.

sistem. Melakukan akses pada informasi kelihatannya tidak begitu penting hingga pada suatu saat informasi tersebut tidak dapat diakses. Fault tolerance dan mekanisme pemulihan digunakan untuk menjamin . Jumlah bilangan dari komponen di tiap bagian tersebut harus sama dengan jumlah bilangan komponen pada database yang terekam secara internal pada keseluruhan organisasi. memiliki waktu dan akses yang bebas gangguan pada informasi dalam sistem. ia akan melindungi data dari perubahan yang tidak lazim. Administrator sistem mengalaminya saat sebuah file server mati atau sebuah database yang pemakaiannya tinggi tiba-tiba rusal untuk suatu alasan dan hal lainnya. lengkap. dan jika memang terjadi juga modifikasi ilegal pada data tersebut maka mekanisme keamanan harus memperingatkan user atau membatalkan modifikasi tersebut. Misalnya. Integritas memiliki tujuan mencegah modifikasi pada informasi oleh user yang tidak berhak. Konsistensi internal memastikan bahwa data internal selalu konsisten. Kebanyakan informasi perlu untuk dapat diakses dan tersedia bagi user saat diminta sehingga mereka dapat menyelesaikan tugas-tugas dan memenuhi tanggung jawab pekerjaan mereka. Konsistensi eksternal menjamin bahwa data yang tersimpan pada database konsisten dengan fisiknya. Availability (ketersediaan) memastikan bahwa untuk user yang berhak memakai sistem. dan terlindungi dari modifikasi yang tidak berhak. Jika informasi tidak terklasifikasi maka akan diperlukan banyak waktu dan biaya yang dikeluarkan saat mengimplementasikan besaran yang sama pada tingkat keamanan untuk informasi kritis maupun informasi tidak penting. diasumsikan sebuah database internal memiliki jumlah unit suatu komponen tertentu pada tiap bagian suatu organisasi. Sebagai contoh dari konsistensi internal di atas. konsistensi eksternal berarti bahwa besarnya komponen yang tercatat pada database untuk setiap bagian adalah sama dengan banyaknya komponen secara fisik di tiap bagian tersebut. Ketika suatu mekanisme keamanan memberikan integritas. Informasi juga harus akurat. mencegah modifikasi yang tidak sengaja atau tidak berhak pada informasi oleh orang yang tidak berkepentingan.melindungi data dan informasi serta terjaga kerahasiaannya. dan menjaga konsistensi internal maupun eksternal. dan sumberdaya harus tersedia untuk user pada waktu diperlukan sehingga produktifitas tidak terpengaruh. Informasi.

integritas. Sedangkan resiko adalah potensi kerusakan atau kehilangan pada sistem informasi atau jaringan. kerawanan sistem pada ancaman (vulnerabilities). dan resiko yang ditimbulkan oleh ancaman tersebut. Produktifitas user dapat terpengaruh jika data tidak siap tersedia. Informasi memiliki atribut-atribut yang berbeda seperti akurasi. kemungkinan bahwa ancaman akan terjadi. Mekanisme keamanan yang berbeda dapat memberikan tingkat kerahasiaan. sesuai waktu. Kerawanan (vulnerabilities) adalah kelemahan atau kurangnya penjagaan yang dapat dimanfaatkan oleh suatu ancaman. dan keamanan. Ancaman (threats) adalah suatu kejadian atau aktivitas yang memiliki potensi untuk menyebabkan kerusakan pada sistem informasi atau jaringan. Tujuan kontrol akses lainnya adalah reliability dan utilitas.kontinuitas ketersediaan sumberdaya. privacy. dan ketersediaan yang berbeda pula. klasifikasi data yang dilindungi. dan sasaran keamanan perlu dievaluasi untuk menjamin mekanisme keamanan yang sesuai dibeli dan digunakan sebagaimana mestinya. Kebijakan ini merupakan pernyataan tingkat tinggi dari pihak manajemen berkaitan dengan kontrol pada akses suatu informasi dan orang yang berhak menerima informasi tersebut. menyebabkan kerusakan pada sistem informasi atau jaringan. Tujuan-tujuan tersebut mengalir dari kebijakan keamanan suatu organisasi. Penjelasan Akses Kontrol Akses kontrol merupakan fitur-fitur keamanan yang mengontrol bagaimana user dan . relevansi. Tiga hal lainnya yang patut dipertimbangkan untuk perencanaan dan implementasi mekanisme kontrol akses adalah ancaman pada sistem (threats). Lingkungan.

Kontrol preventif dipakai . Setelah user log in dan kemudian mencoba mengakses sebuah file. Saat user diminta memasukan username dan password hal ini disebut dengan control akses. file. Kontrol dapat bersifat preventif. program. dan melindungi ketersediaan. Objek adalah entitas pasif yang mengandung informasi.sistem berkomunikasi dan berinteraksi dengan sistem dan sumberdaya lainnya. atau proses yang mengakses informasi untuk menyelesaikan suatu tugas tertentu. database. pembatasan. Kontrol akses memberikan organisasi kemampuan melakukan kontrol. Objek bisa sebuah komputer. program menjadi subjek dan filemenjadi objek. atau korektif. Sebuah subjek dapat berupa user. Akses adalah aliran informasi antara subjek dan objek. dan atau keanggotaan suatu grup. dan informasi. jaringan. Akses control melindungi sistem dan sumberdaya dari akses yang tidak berhak dan umumnya menentukan tingkat otorisasi setelah prosedur otentikasi berhasil dilengkapi. Ketika sebuah program mengakses sebuah file. program komputer. atau field pada tabel yang berada di dalam database. file ini dapat memiliki daftar user dan grup yang memiliki hak akses ke file tersebut. Sebuah subjek merupakan entitas aktif yang meminta akses ke suatu objek atau data dalam objek tersebut. kejelasan. Kontrol akses sangatlah penting karena menjadi satu dari garis pertahanan pertama yang digunakan untuk menghadang akses yang tidak berhak ke dalam sistem dan sumberdaya jaringan. Kontrol diimplementasikan untuk menanggulangi resiko dan mengurangi potensi kehilangan. dan kerahasiaan sumberdaya. Hak dan ijin user adalah berdasarkan identitas. Hal itu sebagai bentuk lain dari kontrol akses. monitor. integritas. direktori. Kontrol akses adalah sebuah term luas yang mencakup beberapa tipe mekanisme berbeda yang menjalankan fitur kontrol akses pada sistem komputer. detektif. Jika user tidak termasuk dalam daftar maka akses akan ditolak.

Contoh kontrol pada tipe ini adalah enkripsi. pengamanan ruang server atau laptop. seperti penguncian pintu. pemeriksaan latar belakang. dan supervisi yang ditingkatkan. proteksi kabel. pemeriksaan kebiasaan kerja. dan fisikal. pembagian tanggung jawab. dan backup file. kontrol diimplementasikan secara administratif. Kontrol korektif digunakan untuk memulihkan sistem yang menjadi korban dari serangan berbahaya. dan backup data. daftar kontrol akses.untuk mencegah kejadian-kejadian yang merusak. Kontrol fisikal merupakan penempatan penjaga dan bangunan secara umum. Sedangkan kontrol fisikal termasuk penjagaan dan keamanan bangunan secara umum seperti penguncian pintu. dan protokol transmisi. Untuk menerapkan ukuran-ukuran tersebut. pengamanan ruang server atau laptop. logikal atau teknikal. perlindungan pada kabel. Model Kontrol Akses Penerapan akses kontrol pada subjek sistem (sebuah entitas aktif seperti individu atau . Kontrol detektif diterapkan untuk menemukan kejadian-kejadian yang merusak. pemisahan tugas kerja. Kontrol logikal atau teknikal mencakup pembatasan akses ke sistem dan perlindungan informasi. smart cards. tinjauan riwayat hari libur. pelatihan perhatian terhadap keamanan. Kontrol administratif termasuk kebijakan dan prosedur.

Tujuan bisnis dan keamanan dari suatu organisasi akan membantu menjelaskan model kontrol akses mana yang sebaiknya digunakan. dan top secret. confidential. atau top secret dan dapat memiliki akses ke . discretionary. Beberapa model dipakai secara ekslusif dan kadang-kadang model tersebut dikombinasikan sehingga mampu mencapai tingkat keperluan kemanan lingkungan yang dibutuhkan. Ada tiga tipe utama model kontrol akses yaitu mandatory. dan nondiscretionary (sering disebut juga role-based). Tiap tipe model memakai metode berbeda untuk mengkontrol bagaimana subjek mengakses objek dan mempunyai kelebihan serta keterbatasan masing-masing. Model kontrol akses merupakan sebuah framework yang menjelaskan bagaimana subjek mengakses objek. Untuk hal yang sama. secret.proses) terhadap objek sistem (sebuah entitas pasif seperti sebuah file) berdasarkan aturan (rules). Misalnya. pihak militer mengklasifikasikan dokumen sebagai unclassified. Model ini menggunakan teknologi kontrol akses dan mekanisme sekuriti untuk menerapkan aturan dan tujuan suatu model. Aturan pada akses kontrol diklasifikasikan menjadi : ?? Mandatory access control Otorisasi suatu akses subjek terhadap objek bergantung pada label. individu dapat menerima ijin otorisasi tentang confidential. secret. bersamaan dengan budaya perusahaan dan kebiasaan menjalankan bisnisnya. dimana label ini menunjukan ijin otorisasi suatu subjek dan klasifikasi atau sensitivitas dari objek.

Daftar kontrol akses merupakan sebuah daftar yang menunjuk user-user . Model ini lebih terstruktur dan ketat serta berdasarkan label keamanan sistem. keputusan akan didasarkan pada ijin otorisasi subjek dan klasifikasi objek. Bahkan jika individu memiliki ijin otorisasi untuk tingkat klasifikasi suatu informasi.dokumen bertipe classified atau tingkatan di bawah status ijin otorisasinya. Meskipun demikian dokumen yang dimaksud harus benar-benar diperlukan oleh individu tersebut untuk menyelesaikan tugas yang diembannya. user dan pemilik data tidak memiliki banyak kebebasan untuk menentukan siapa yang dapat mengakses file-file mereka. Sehingga individu dengan ijin otorisasi secret dapat mengakses tingkatan secret dan confidential dokumen dengan suatu batasan. dikonfigurasikan oleh administrator. Ketika sistem membuat keputusan mengenai pemenuhan permintaan akses ke suatu objek. Klasifikasi label menentukan tingkat kepercayaan user yang harus dimiliki untuk dapat mengakses suatu file. ?? Discretionary access control Subjek memiliki otoritas. untuk menentukan objek-objek apa yang dapat diakses. dengan batasan tertentu. Aturanaturan bagaimana subjek mengakses data dibuat oleh manajemen. Batasan ini adalah bahwa individu memiliki keperluan untuk mengetahui secara relatif classified dokumen yang dimaksud. Contohnya adalah penggunaan daftar kontrol akses (access control list). dijalankan oleh operating system. Pemilik data dapat mengijinkan pihak lain untuk mengakses file mereka namun operating system (OS) yang tetap membuat keputusan final dan dapat membatalkan kebijakan dari pemilik data. User diberikan ijin otorisasi dan data diklasifikasikan. Klasifikasi disimpan di label sekuriti pada sumber daya. dan didukung oleh teknologi sekuriti. tetapi tidak memiliki keperluan untuk mengetahui maka individu tersebut tetap tidak boleh mengakses informasi yang diinginkannya. Pada model mandatory access control.

Tipe kontrol akses ini digunakan secara lokal.mana yang memiliki hak ke sumber daya tertentu. Dalam beberapa kasus. dan mempunyai situasi dinamis dimana subjek-subjek harus memiliki pemisahan untuk menentukan sumber daya tertentu yang user diijinkan untuk mengakses. yaitu yang mengkombinasi-kan fitur-fitur user-based dan identity-based discretionary access control. program. pendekatan hybrid juga digunakan. Misalnya daftar tabular akan menunjukan subjek atau user mana yang memiliki akses ke objek (file x) dan hak apa yang mereka punya berkaitan dengan file x tersebut. maka ia merupakan pemilik file tersebut. hal ini disebut sebagai user-directed discretionary access control. Ketika user dengan batasan tertentu memiliki hak untuk merubah kontrol akses ke objek-objek tertentu. dan file dengan hubungan hak akses terkait dengan tiap user. Jika user membuat suatu file. Sedangkan kontrol akses berbasis identitas (identity-based access control) adalah tipe kontrol akses terpisah berdasarkan identitas suatu individu. Kontrol akses triple terdiri dari user. .

Sistem yang menerapkan model discretionary access control memungkinkan pemilik sumber daya untuk menentukan subjek-subjek apa yang dapat mengakses sumber daya spesifik. akses dibatasi berdasarkan otorisasi yang diberikan pada user. seorang manager pada departemen tertentu dapat membuat kepemilikan suatu file dan sumber daya dalam domain-nya. administrator jaringan dapat mengijinkan pemilik sumber daya mengkontrol siapa yang dapat mengakses file/sumber daya tersebut. Pada model ini.Kepemilikan juga bisa diberikan kepada individu spesifik. Pengenal untuk user ini ditempatkan pada file header. Jika organisasi menggunakan model discretionary access control. dan dijalankan oleh . Misalnya. Ini berarti bahwa subjek-subjek diijinkan untuk menentukan tipe akses apa yang dapat terjadi pada objek yang mereka miliki. diatur oleh administrator jaringan. Model ini dinamakan discretionary karena kontrol akses didasarkan pada pemisahan pemilik. Implemetasi umum dari discretionary access control adalah melalui access control list yang dibuat oleh pemilik.

?? Non-Discretionary access control Otoritas sentral menentukan subjek-subjek apa yang mempunyai akses ke objekobjek tertentu berdasarkan kebijakan keamanan organisasi. Kontrol akses bisa berdasarkan peran individu dalam suatu organisasi (role-based) atau tanggung jawab subjek dan tugasnya (task-based). kebalikan dari aturan yang lebih statis pada mandatory access control.operating system. Dalam organisasi dimana sering terdapat adanya perubahan/pergantian personel. nondiscretionary access control merupakan model yang tepat karena kontrol akses didasarkan pada peran individu atau jabatan dalam suatu organisasi. Dengan demikian kontrol ini tidak termasuk dalam lingkungan terkontrol terpusat dan dapat membuat kemampuan user mengakses informasi secara dinamis. Tipe lain dari non-discretionary access control adalah kontrol akses lattice-based. Kontrol akses ini tidak perlu dirubah saat individu baru masuk menggantikan individu lama. Dalam model lattice (lapis tingkatan). terdapat pasangan-pasangan elemen yang memiliki batas .

Model ini menerapkan seperangkat aturan terpusat pada kontrol untuk menentukan bagaimana subjek dan objek berinteraksi. Para user ini dapat menjadi bagian suatu kelompok lain dan biasanya memiliki hak . Selain itu terdapat model role-based access control yang juga sebagai nondiscretionary access control. Untuk menerapkan konsep kontrol akses ini. Perusahaan mungkin memiliki kelompok auditor yang terdiri dari beberapa user yang berbeda. pasangan elemen adalah subjek dan objek. Administrator menempatkan user dalam peran dan kemudian memberikan hak akses pada peran tersebut.tertinggi terkecil dari nilai dan batas terendah terbesar dari nilai. Peran dan kelompok merupakan hal berbeda meskipun mereka mempunyai tujuan yang sama. Tipe model ini mengijinkan akses ke sumber daya berdasarkan peran yang user tangani dalam suatu organisasi. Mereka bekerja sebagai penampungan untuk para user. dan subjek memiliki batas terendah terbesar serta batas tertinggi terkecil untuk hak akses pada suatu objek.

tiap user yang ditugaskan pada peran tertentu yang hanya memiliki hak pada peran tersebut. Jika perusahaan menerapkan peran. Hal ini menjadikan kontrol yang lebih ketat.individunya masing-masing serta ijin yang diberikan kepada mereka. .

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->