TUGAS MAKALAH
MAGISTER CIO UNP TAHUN 2013
OLEH :
NAMA
|
:
|
ROBBY HAFANOS
|
NIM
|
:
|
1200151
|
MATA KULIAH
|
:
|
KEAMANAN JARINGAN KOMPUTER
|
KEAMANAN SISTEM INFORMASI
1.PENDAHULUAN
Masalah keamanan
merupakan salah satu aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini
seringkali kurang mendapat perhatian dari
para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan
diurutan terakhir dalam daftar hal-hal yang dianggap penting. Apa bila
menggangu performansi dari sistem, seringkali keamanan dikurangi atau
ditiadakan.Informasi saat ini sudah menjadi sebuah
komoditi yang sangat penting. Kemampuan untuk mengakses dan menyediakan
informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah
organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun
individual. Hal ini dimungkinkan dengan perkembangan pesat di
bidang teknologi komputer dan
telekomunikasi.
Sangat pentingnya nilai sebuah
informasi menyebabkan seringkali informasi diinginkan hanya
boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke
tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan
kerugian bagi pemilik informasi. Sebagai contoh, banyak informasi dalam
sebuah perusahaan yang hanya diperbolehkan diketahui
oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya
informasi tentang produk yang sedang dalam
development, algoritma-algoritma dan
teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu
keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
Pengertian Keamanan Sistem Informasi
Menurut G. J.
Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan
(cheating) atau, paling tidak, mendeteksi
adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya
sendiri tidak memiliki arti fisik.
Selain itu
keamanan sistem informasi bisa diartikan sebagai kebijakan,
prosedur, dan pengukuran teknis
yang digunakan untuk mencegah akses yang tidak sah, perubahan program,
pencurian, atau kerusakan fisik terhadap
sistem informasi. Sistem pengamanan terhadap teknologi informasi
dapat ditingkatkan dengan menggunakan
teknik-teknik dan peralatan-peralatan
untuk mengamankan perangkat keras
dan lunak komputer, jaringan komunikasi,
dan data.
2. Pentingnya
Keamanan Sistem Informasi
Seringkali
sulit untuk membujuk management perusahaan
atau pemilik sistem informasi untuk melakukan investasi di bidang
keamanan. Di tahun 1997 majalah Information Week melakukan survey terhadap 1271
sistem atau network manager di Amerika Serikat. Hanya 22% yang menganggap
keamanan sistem informasi sebagai komponen sangat penting (“extremely important”).
Mereka lebih mementingkan “reducing cost” dan “improving competitiveness”
meskipun perbaikan sistem informasi setelah
dirusak justru dapat menelan biaya yang lebih banyak.
Meskipun sering
terlihat sebagai besaran yang tidak dapat langsung diukur dengan uang (intangible),
keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran yang
dapat diukur dengan uang (tangible). Dengan adanya ukuran yang
terlihat, mudah-mudahan pihak management dapat mengerti pentingnya investasi di
bidang keamanan. Berikut ini adalah berapa contoh kerugian yang timbul akibat
kurangnya penerapan keamanan :
Ø Hitung kerugian
apabila sistem informasi anda tidak bekerja selama 1jam, selama 1
hari, 1 minggu, dan 1 bulan. (Sebagai perbandingkan, bayangkan
jika server Amazon.com tidak dapat diakses selama beberapa hari. Setiap harinya
dia dapat menderita kerugian beberapa juta dolar.)
Ø Hitung kerugian
apabila ada kesalahan informasi (data) pada
sistem informasi anda. Misalnya web site anda mengumumkan harga sebuah barang
yang berbeda dengan harga yang ada di toko anda.
Ø Hitung kerugian
apabila ada data yang hilang, misalnya berapa kerugian yang diderita apabila
daftar pelanggan dan invoice hilang dari sistem anda. Berapa biaya yang
dibutuhkan untuk rekonstruksi data.
Ø Apakah nama baik
perusahaan anda merupakan sebuah hal yang harus dilindungi?
Bayangkan bila sebuah bank terkenal dengan
rentannya pengamanan data-datanya,
bolak-balik terjadi security incidents.
Tentunya banyak nasabah yang pindah ke bank lain karena takut akan keamanan
uangnya.
Keamanan sistem dimaksudkan untuk
mencapai tiga tujuan utama yaitu; kerahasiaan, ketersediaan dan integritas.
1.Kerahasian. Setiap
organisasi berusaha melindungi data dan informasinya dari pengungkapan
kepada pihak-pihak yang tidak berwenang.
Sistem informasi yang perlu mendapatkan prioritas
kerahasian yang tinggi mencakup; sistem informasi eksekutif, sistem
informasi kepagawaian (SDM), sistem
informasi keuangan, dan sistem informasi
pemanfaatan sumberdaya alam.
2.Ketersediaan. Sistem
dimaksudkan untuk selalu siap menyediakan data dan
informasi bagi mereka yang berwenang untuk menggunakannya. Tujuan ini penting khususnya bagi sistem yang berorientasi informasi seperti SIM, DSS dan sistem pakar (ES).
3.Integritas. Semua sistem dan subsistem yang
dibangun harus mampu memberikan gambaran yang lengkap dan akurat
dari sistem fisik yang diwakilinya.
3. Aspek Keamanan Sistem Informasi
Garfinkel
mengemukakan bahwa keamanan komputer (computer security)
melingkupi empat aspek, yaitu privacy, integrity, authentication, dan
availability.
a. Privacy / Confidentiality
Inti utama aspek privacy atau
confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak
berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan
confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain
untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah
servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut. Contoh
confidential information adalah data-data yang sifatnya pribadi seperti nama,
tempat tanggal lahir, social security number, agama, status perkawinan,
penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan
data-data yang ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari
confidentiality adalah daftar pelanggan dari sebuah Internet Service Provider
(ISP).
b. Integrity
Aspek ini menekankan bahwa informasi
tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse,
atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah
yang harus dihadapi.
c. Authentication
Aspek ini berhubungan dengan metoda
untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau
memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang
kita hubungi adalah betul-betul server yang asli.
d. Availability
Aspek availability
atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan.
Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan
akses ke informasi. Contoh hambatan adalah serangan yang sering disebut dengan
“denial of service attack” (DoS attack), dimana server dikirimi
permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang diluar
perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai
down, hang, crash.
4. Serangan Terhadap Keamanan Sistem
Informasi
Security attack,
atau serangan terhadap keamanan sistem informasi, dapat dilihat dari sudut
peranan komputer atau jaringan komputer yang fungsinya adalah sebagai penyedia
informasi. Menurut W. Stallings ada beberapa kemungkinan serangan (attack):
- Interruption: Perangkat sistem menjadi rusak atau tidak tersedia. Serangan ditujukan kepada ketersediaan (availability) dari sistem. Contoh serangan adalah “denial of service attack”
- Interception: Pihak yang tidak berwenang berhasil mengakses aset atau informasi. Contoh dari serangan ini adalah penyadapan (wiretapping)
- Modification: Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah aset. Contoh dari serangan ini antara lain adalah mengubah isi dari web site dengan pesan-pesan yang merugikan pemilik web site.
- Fabrication: Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesan-pesan palsu seperti e-mail palsu ke dalam jaringan komputer.
5. Masalah keamanan yang berhubungan dengan Indonesia
Meskipun
Internet di Indonesia masih dapat tergolong baru,
sudah ada beberapa kasus yang berhubungan dengan
keamanan di Indonesia. Diantaranya : Seorang pengguna
Internet Indonesia membuat beberapa situs yang mirip (persis sama)
dengan situs klikbca.com, yang digunakan oleh BCA untuk memberikan layanan
Internet banking. Situs yang dia buat menggunakan nama domain yang mirip dengan
klikbca.com, yaitu kilkbca.com (perhatikan tulisan “kilk” yang
sengaja salah ketik), wwwklikbca.com (tanpa titik antara kata “www”
dan “klik”), clikbca.com, dan klickbca.com. Sang user mengaku bahwa dia
mendapat memperoleh PIN dari beberapa nasabah BCA yang salah mengetikkan nama
situs layanan Internet banking tersebut.
6. Sumber Lubang
Keamanan
Lubang keamanan (security
hole) dapat terjadi karena beberapa hal; salah disain (design flaw),
salah implementasi, salah konfigurasi, dan salah penggunaan.
- Salah Disain, Lubang keamanan yang ditimbulkan oleh salah disain umumnya jarang terjadi. Akan tetapi apabila terjadi sangat sulit untuk diperbaiki. Akibat disain yang salah, maka biarpun dia diimplementasikan dengan baik, kelemahan dari sistem akan tetap ada.
- Implementasi kurang baik, Lubang keamanan yang disebabkan oleh kesalahan implementasi sering terjadi. Banyak program yang diimplementasikan secara terburu-buru sehingga kurang cermat dalam pengkodean. Akibatnya cek atau testing yang harus dilakukan menjadi tidak dilakukan. Lubang keamanan yang terjadi karena masalah ini sudah sangat banyak, dan yang mengherankan terus.terjadi, seolah-olah para programmer tidak belajar dari pengalaman
- Salah konfigurasi, Meskipun program sudah diimplementasikan dengan baik, masih dapat terjadi lubang keamanan karena salah konfigurasi. Contoh masalah yang disebabkan oleh salah konfigurasi adalah berkas yang semestinya tidak dapat diubah oleh pemakai secara tidak sengaja menjadi “writeable”. Apabila berkas tersebut merupakan berkas yang penting, seperti berkas yang digunakan untuk menyimpan password, maka efeknya menjadi lubang keamanan.
- Salah menggunakan program atau sistem, Salah penggunaan program dapat juga mengakibatkan terjadinya lubang keamanan. Kesalahan menggunakan program yang dijalankan dengan menggunakan account root (super user) dapat berakibat fatal. Sering terjadi cerita horor dari sistem administrator baru yang teledor dalam menjalankan perintah “rm -rf” di sistem UNIX (yang menghapus berkas atau direktori beserta sub direktori di dalamnya). Akibatnya seluruh berkas di sistem menjadi hilang mengakibatkan Denial of Service (DoS). Apabila sistem yang digunakan ini digunakan bersama-sama, maka akibatnya dapat lebih fatal lagi. Untuk itu perlu berhati-hati dalam menjalan program, terutama apabila dilakukan dengan menggunakan account administrator seperti root tersebut.
7. Mengamankan Sistem Informasi
- Mengatur Akses (Access Control)
Salah
satu cara yang umum digunakan untuk
mengamankan informasi adalah dengan
mengatur akses ke informasi
melalui mekanisme “authentication” dan “access control”.
Implementasi dari mekanisme ini antara lain dengan menggunakan “password”.
Apabila password valid, pemakai yang bersangkutan diperbolehkan menggunakan
sistem. Apabila ada yang salah, pemakai tidak dapat menggunakan sistem.
Informasi tentang kesalahan ini biasanya
dicatat dalam berkas log. Besarnya informasi yang dicatat
bergantung kepada konfigurasi dari sistem setempat. Misalnya,
ada yang menuliskan informasi apabila pemakai
memasukkan user id dan password yang salah sebanyak tiga kali.
Ada juga yang langsung menuliskan informasi ke dalam berkas log meskipun
baru satu kali salah. Informasi tentang waktu kejadian juga dicatat. Selain itu
asal hubungan (connection) juga dicatat sehingga administrator dapat
memeriksa keabsahan hubungan.
Setelah proses authentication,
pemakai diberikan akses sesuai dengan level yang dimilikinya melalui
sebuah access control. Access control ini biasanya
dilakukan dengan mengelompokkan pemakai dalam “group”. Ada group
yang berstatus pemakai biasa, ada tamu, dan ada juga administrator
atau super user yang
memiliki kemampuan lebih dari
group lainnya.
Pengelompokan ini
disesuaikan dengan kebutuhan dari penggunaan sistem anda. Di
lingkungan kampus mungkin ada kelompok
mahasiswa, staf, karyawan, dan administrator. Sementara itu di lingkungan
bisnis mungkin ada kelompok finance, engineer, marketing,
dan seterusnya.
- Menutup servis yang tidak digunakan
Seringkali
sistem(perangkat keras
dan/atau perangkat lunak) diberikan dengan beberapa servis
dijalankan sebagai default. Untuk mengamankan sistem, servis yang tidak
diperlukan di server (komputer) tersebut sebaiknya dimatikan.
- Memasang Proteksi
Untuk
lebih meningkatkan keamanan sistem informasi,
proteksi dapat ditambahkan. Proteksi ini dapat berupa filter (secara
umum) dan yang lebih spesifik adalah firewall. Firewall merupakan
sebuah perangkat yang diletakkan antara Internet
dengan jaringan internal Informasi yang keluar atau masuk harus
melalui firewall ini. Tujuan utama dari firewall adalah untuk menjaga (prevent)
agar akses (ke dalam maupun ke luar) dari orang yang tidak berwenang (unauthorized
access) tidak dapat dilakukan. Konfigurasi dari firewall bergantung kepada
kebijaksanaan (policy) dari organisasi yang bersangkutan yang dapat dibagi
menjadi dua jenis:
Ø
Apa-apa yang tidak
diperbolehkan secara eksplisit dianggap tidak
diperbolehkan (prohibitted)
Ø
Apa-apa yang tidak dilarang
secara eksplisit dianggap diperbolehkan
(permitted)
(permitted)
Satu hal yang
perlu diingat bahwa adanya firewall bukan menjadi jaminan bahwa jaringan dapat
diamankan seratus persen. Intinya adalah bahwa meskipun sudah
menggunakan firewall, keamanan harus tetap
dipantau secara berkala.
- Pemantau adanya serangan
Sistem pemantau
(monitoring sistem) digunakan untuk mengetahui adanya tamu tak diundang
(intruder) atau adanya serangan (attack). Nama lain dari sistem ini
adalah “intruder detection sistem” (IDS). Sistem
ini dapat memberitahu administrator melalui e-mail maupun melalui
mekanisme lain.
- Backup secara rutin
Seringkali
tamu tak diundang (intruder) masuk ke
dalam sistem dan merusak sistem dengan menghapus berkas-berkas yang
dapat ditemui. Jika intruder ini berhasil menjebol
sistem dan masuk sebagai super user (administrator),
maka ada kemungkinan dia dapat menghapus
seluruh berkas. Untuk itu, adanya backup yang dilakukan secara rutin merupakan
sebuah hal yang esensial. Bayangkan apabila yang dihapus oleh tamu ini adalah
berkas penting yang sangat rahasia bagi perusahaan.
Wikipedia bahasa Indonesia, ensiklopedia
bebas
F I N I S H
