Senin, 22 April 2013

KEAMANAN SISTEM INFORMASI


TUGAS MAKALAH MAGISTER CIO UNP TAHUN 2013
OLEH :
NAMA
:
ROBBY HAFANOS
NIM
:
1200151
MATA KULIAH
:
KEAMANAN JARINGAN KOMPUTER

KEAMANAN SISTEM INFORMASI

1.PENDAHULUAN
Masalah keamanan merupakan   salah satu aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini seringkali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan diurutan terakhir dalam daftar hal-hal yang dianggap penting. Apa bila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan.Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual. Hal ini dimungkinkan dengan perkembangan  pesat di bidang teknologi komputer dan telekomunikasi. 
   Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan  hanya  boleh  diakses  oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat  menimbulkan  kerugian  bagi  pemilik  informasi. Sebagai  contoh, banyak  informasi  dalam  sebuah  perusahaan  yang  hanya  diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya  informasi  tentang  produk  yang  sedang  dalam  development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima. 
   Pengertian Keamanan Sistem Informasi
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah  penipuan (cheating)  atau,  paling  tidak,  mendeteksi  adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.
Selain itu keamanan sistem informasi bisa diartikan sebagai  kebijakan,   prosedur,   dan   pengukuran   teknis   yang digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian,  atau  kerusakan  fisik  terhadap  sistem  informasi.  Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan    teknik-teknik    dan    peralatan-peralatan    untuk mengamankan   perangkat   keras   dan   lunak   komputer,   jaringan komunikasi, dan data.

   2. Pentingnya Keamanan Sistem Informasi
Seringkali  sulit  untuk  membujuk  management  perusahaan  atau  pemilik sistem informasi untuk melakukan investasi di bidang keamanan. Di tahun 1997 majalah Information Week melakukan survey terhadap 1271 sistem atau network manager di Amerika Serikat. Hanya 22% yang menganggap keamanan sistem informasi sebagai komponen sangat penting (“extremely important”). Mereka lebih mementingkan “reducing cost” dan “improving competitiveness”  meskipun  perbaikan  sistem  informasi  setelah  dirusak justru dapat menelan biaya yang lebih banyak.
Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur dengan uang  (intangible), keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran yang dapat diukur dengan uang  (tangible). Dengan adanya ukuran yang terlihat, mudah-mudahan pihak management dapat mengerti pentingnya investasi di bidang keamanan. Berikut ini adalah berapa contoh kerugian yang timbul akibat kurangnya penerapan keamanan :
Ø  Hitung kerugian apabila sistem informasi anda tidak bekerja selama 1jam, selama  1 hari,  1 minggu, dan  1 bulan.  (Sebagai perbandingkan, bayangkan jika server Amazon.com tidak dapat diakses selama beberapa hari. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.)
Ø  Hitung kerugian apabila  ada  kesalahan informasi  (data)  pada  sistem informasi anda. Misalnya web site anda mengumumkan harga sebuah barang yang berbeda dengan harga yang ada di toko anda.
Ø  Hitung kerugian apabila ada data yang hilang, misalnya berapa kerugian yang diderita apabila daftar pelanggan dan invoice hilang dari sistem anda. Berapa biaya yang dibutuhkan untuk rekonstruksi data.
Ø  Apakah nama baik perusahaan anda merupakan sebuah hal yang harus dilindungi?  Bayangkan  bila  sebuah  bank  terkenal  dengan  rentannya pengamanan   data-datanya,   bolak-balik   terjadi   security   incidents. Tentunya banyak nasabah yang pindah ke bank lain karena takut akan keamanan uangnya.
Keamanan sistem dimaksudkan untuk mencapai tiga tujuan utama yaitu; kerahasiaan, ketersediaan dan integritas.
1.Kerahasian.   Setiap   organisasi   berusaha   melindungi data   dan  informasinya  dari  pengungkapan  kepada  pihak-pihak  yang  tidak  berwenang.  Sistem  informasi  yang  perlu  mendapatkan  prioritas  kerahasian yang tinggi mencakup; sistem informasi eksekutif, sistem  informasi kepagawaian (SDM), sistem informasi keuangan, dan sistem informasi pemanfaatan sumberdaya alam.
2.Ketersediaan. Sistem dimaksudkan untuk selalu siap menyediakan data dan informasi bagi mereka yang berwenang untuk menggunakannya. Tujuan ini penting khususnya bagi sistem yang berorientasi informasi seperti SIM, DSS dan sistem pakar (ES).
3.Integritas. Semua sistem dan subsistem yang dibangun harus mampu memberikan gambaran yang lengkap dan akurat dari sistem fisik yang diwakilinya.
  
   3. Aspek Keamanan Sistem Informasi
Garfinkel  mengemukakan bahwa keamanan komputer (computer security) melingkupi empat aspek, yaitu privacy, integrity, authentication, dan availability.
a. Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut. Contoh confidential information adalah data-data yang sifatnya pribadi seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari confidentiality adalah daftar pelanggan dari sebuah Internet Service Provider (ISP).
b. Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi.
c. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli.
d. Availability
Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi. Contoh hambatan adalah serangan yang sering disebut dengan “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.

   4. Serangan Terhadap Keamanan Sistem Informasi
Security attack, atau serangan terhadap keamanan sistem informasi, dapat dilihat dari sudut peranan komputer atau jaringan komputer yang fungsinya adalah sebagai penyedia informasi. Menurut W. Stallings ada beberapa kemungkinan serangan (attack):
  1. Interruption:  Perangkat  sistem  menjadi  rusak  atau  tidak  tersedia. Serangan  ditujukan  kepada  ketersediaan (availability)  dari  sistem. Contoh serangan adalah “denial of service attack” 
  2. Interception: Pihak yang tidak berwenang berhasil mengakses aset atau informasi. Contoh dari serangan ini adalah penyadapan (wiretapping) 
  3. Modification:   Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah aset. Contoh dari serangan ini antara lain adalah mengubah isi dari web site dengan pesan-pesan yang merugikan pemilik web site.
  4.  Fabrication: Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesan-pesan palsu seperti e-mail palsu ke dalam jaringan komputer.
5. Masalah keamanan yang berhubungan dengan Indonesia
Meskipun Internet  di Indonesia  masih dapat  tergolong  baru,  sudah ada beberapa  kasus  yang  berhubungan  dengan  keamanan  di  Indonesia.  Diantaranya : Seorang pengguna  Internet Indonesia  membuat  beberapa situs yang mirip (persis sama) dengan situs klikbca.com, yang digunakan oleh BCA untuk memberikan layanan Internet banking. Situs yang dia buat menggunakan nama domain yang mirip dengan klikbca.com, yaitu kilkbca.com (perhatikan  tulisan “kilk” yang sengaja  salah  ketik), wwwklikbca.com (tanpa titik antara kata “www” dan “klik”), clikbca.com, dan klickbca.com. Sang user mengaku bahwa dia mendapat memperoleh PIN dari beberapa nasabah BCA yang salah mengetikkan nama situs layanan Internet banking tersebut.

   6. Sumber Lubang Keamanan
Lubang keamanan (security hole) dapat terjadi karena beberapa hal; salah disain (design flaw), salah implementasi, salah konfigurasi, dan salah penggunaan.
  • Salah Disain, Lubang keamanan yang ditimbulkan oleh salah disain umumnya jarang terjadi. Akan tetapi apabila terjadi sangat sulit untuk diperbaiki. Akibat disain yang salah, maka biarpun dia diimplementasikan dengan baik, kelemahan dari sistem akan tetap ada.
  • Implementasi kurang baik, Lubang keamanan yang disebabkan oleh kesalahan implementasi sering terjadi. Banyak program yang diimplementasikan secara terburu-buru sehingga kurang cermat dalam pengkodean. Akibatnya cek atau testing yang harus dilakukan menjadi tidak dilakukan. Lubang keamanan yang terjadi karena masalah ini sudah sangat banyak, dan yang mengherankan terus.terjadi, seolah-olah para programmer tidak belajar dari pengalaman 
  • Salah konfigurasi, Meskipun program sudah diimplementasikan dengan baik, masih dapat terjadi lubang keamanan karena salah konfigurasi. Contoh masalah yang disebabkan oleh salah konfigurasi adalah berkas yang semestinya tidak dapat diubah oleh pemakai secara tidak sengaja menjadi “writeable”. Apabila berkas tersebut merupakan berkas yang penting, seperti berkas yang digunakan untuk menyimpan password, maka efeknya menjadi lubang keamanan. 
  • Salah menggunakan program atau sistem, Salah penggunaan program dapat juga mengakibatkan terjadinya lubang keamanan. Kesalahan menggunakan program yang dijalankan dengan menggunakan account root (super user) dapat berakibat fatal. Sering terjadi cerita horor dari sistem administrator baru yang teledor dalam menjalankan perintah “rm -rf” di sistem UNIX (yang menghapus berkas atau direktori beserta sub direktori di dalamnya). Akibatnya seluruh berkas di sistem menjadi hilang mengakibatkan Denial of Service (DoS). Apabila sistem yang digunakan ini digunakan bersama-sama, maka akibatnya dapat lebih fatal lagi. Untuk itu perlu berhati-hati dalam menjalan program, terutama apabila dilakukan dengan menggunakan account administrator seperti root tersebut.
   7. Mengamankan Sistem Informasi
  • Mengatur Akses (Access Control)
Salah  satu  cara  yang  umum  digunakan  untuk  mengamankan  informasi adalah   dengan   mengatur   akses   ke   informasi   melalui   mekanisme “authentication” dan  “access control”. Implementasi dari mekanisme ini antara lain dengan menggunakan “password”. Apabila password valid, pemakai yang bersangkutan diperbolehkan menggunakan sistem. Apabila ada yang salah, pemakai tidak dapat menggunakan sistem. Informasi  tentang  kesalahan  ini  biasanya  dicatat  dalam  berkas  log. Besarnya informasi yang dicatat bergantung kepada konfigurasi dari sistem setempat.  Misalnya,  ada  yang  menuliskan  informasi  apabila  pemakai memasukkan user id dan password yang salah sebanyak tiga kali. Ada juga yang langsung menuliskan informasi ke dalam berkas log meskipun baru satu kali salah. Informasi tentang waktu kejadian juga dicatat. Selain itu asal hubungan (connection)   juga   dicatat   sehingga   administrator   dapat memeriksa keabsahan hubungan.
Setelah proses authentication, pemakai diberikan akses sesuai dengan level  yang dimilikinya melalui sebuah access control. Access control ini biasanya  dilakukan dengan mengelompokkan pemakai dalam  “group”. Ada group  yang berstatus pemakai biasa, ada tamu, dan ada juga administrator atau  super   user   yang   memiliki   kemampuan   lebih   dari   group   lainnya.
Pengelompokan ini disesuaikan dengan kebutuhan dari penggunaan sistem anda.  Di  lingkungan  kampus  mungkin  ada  kelompok  mahasiswa,  staf, karyawan, dan administrator. Sementara itu di lingkungan bisnis mungkin  ada kelompok finance, engineer, marketing, dan seterusnya.
  • Menutup servis yang tidak digunakan
Seringkali  sistem(perangkat  keras  dan/atau  perangkat  lunak)  diberikan dengan beberapa servis dijalankan sebagai default. Untuk mengamankan sistem, servis yang tidak diperlukan di server (komputer) tersebut sebaiknya dimatikan.
  • Memasang Proteksi
Untuk  lebih  meningkatkan  keamanan  sistem  informasi,  proteksi  dapat ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah firewall. Firewall  merupakan  sebuah  perangkat  yang  diletakkan  antara  Internet dengan jaringan  internal Informasi  yang keluar atau masuk harus melalui firewall ini. Tujuan utama dari firewall adalah untuk menjaga (prevent) agar akses (ke dalam maupun ke luar) dari orang yang tidak berwenang  (unauthorized access) tidak dapat dilakukan. Konfigurasi dari firewall bergantung kepada kebijaksanaan (policy) dari organisasi yang bersangkutan yang dapat dibagi menjadi dua jenis:
Ø  Apa-apa  yang  tidak  diperbolehkan  secara  eksplisit  dianggap  tidak  diperbolehkan (prohibitted)
Ø  Apa-apa  yang  tidak  dilarang  secara  eksplisit  dianggap  diperbolehkan
(permitted)
Satu hal yang perlu diingat bahwa adanya firewall bukan menjadi jaminan bahwa jaringan dapat diamankan seratus persen. Intinya adalah bahwa meskipun sudah  menggunakan  firewall,  keamanan  harus  tetap  dipantau  secara berkala.
  • Pemantau adanya serangan
Sistem pemantau (monitoring sistem) digunakan untuk mengetahui adanya tamu tak diundang (intruder) atau adanya serangan (attack). Nama lain dari sistem  ini  adalah “intruder  detection  sistem” (IDS).  Sistem  ini  dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain.
  • Backup secara rutin
Seringkali  tamu  tak  diundang  (intruder)  masuk  ke  dalam  sistem  dan merusak sistem dengan menghapus berkas-berkas yang dapat ditemui. Jika intruder  ini  berhasil  menjebol  sistem  dan  masuk  sebagai  super  user (administrator),  maka  ada  kemungkinan  dia  dapat  menghapus  seluruh berkas. Untuk itu, adanya backup yang dilakukan secara rutin merupakan sebuah hal yang esensial. Bayangkan apabila yang dihapus oleh tamu ini adalah  berkas penting yang sangat rahasia bagi perusahaan.

8. Sumber
http://unsheal.blogspot.com/2012/12/i-sub-sub-tools-pada-backtrack.html
http://copas21.blogspot.com/2011/03/cara-instal-backtrack-di-vmware-player.html
Wikipedia bahasa Indonesia, ensiklopedia bebas


F I N I S H
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)