Pembicaraan tentang keamanan system, maka kita akan berbicara 2 masalah utama yaitu :
- Threats (Ancaman) atas sistem dan
- Vulnerability (Kelemahan) atas sistem
Masalah tersebut pada gilirannya berdampak kepada 6
hal yang utama dalam sistem informasi yaitu :
ü Efektifitas
ü Efisiensi
ü Kerahasiaan
ü Integritas
ü Keberadaan (availability)
ü Kepatuhan (compliance)
ü Keandalan (reliability)
Adapun kriteria yag perlu di perhatikan dalam masalah
keamanan sistem informasi membutuhkan 10 domain keamanan yang perlu di
perhatikan yaitu :
- Akses kontrol sistem yang digunakan
- Telekomunikasi dan jaringan yang dipakai
- Manajemen praktis yang di pakai
- Pengembangan sistem aplikasi yang digunakan
- Cryptographs yang diterapkan
- Arsitektur dari sistem informasi yang diterapkan
- Pengoperasian yang ada
- Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
- Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
- Tata letak fisik dari sistem yang ada
Threats
(Ancaman)
Ancaman adalah aksi yang terjadi baik dari dalam
sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem
informasi. Ancaman yang mungkin timbul dari kegiatan pengolahan informasi
berasal dari 3 hal utama, yaitu :
Ancaman Alam
Ancaman Manusia
Ancaman Lingkungan
Vulnerability (Kelemahan )
Adalah cacat atau kelemahan dari suatu sistem yang
mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan
maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan
pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut.
Cacat sistem bisa terjadi pada prosedur, peralatan,
maupun perangkat lunak yang dimiliki, contoh yang mungkin terjadi seperti :
Seting firewall yang membuka telnet sehingga dapat diakses dari luar, atau Seting
VPN yang tidak di ikuti oleh penerapan kerberos atau NAT.
Suatu pendekatan keamanan sistem informasi minimal
menggunakan 3 pendekatan, yaitu :
1. Pendekatan preventif yang bersifat mencegah
dari kemungkinan terjadikan ancaman dan kelemahan
2. Pendekatan detective yang bersifat
mendeteksi dari adanya penyusupan dan proses yang mengubah sistem dari keadaan
normal menjadi keadaan abnormal
3. Pendekatan Corrective yang bersifat
mengkoreksi keadaan sistem yang sudah tidak seimbang untuk dikembalikan dalam
keadaan normal.
Berkaitan dengan keamanan sistem informasi, diperlukan
tindakan berupa pengendalian terhadap sistem informasi. Kontrol-kontrol untuk
pengamanan sistem informasi antara lain:
a)
Kontrol
Administratif : Kontrol
administratif dimaksudkan untuk menjamin bahwa seluruh kerangka kontrol
dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang
jelas.
b)
Kontrol
Pengembangan dan Pemeliharaan Sistem : Auditor sistem informasi harus dilibatkan dari masa
pengembangan hingga pemeliharaan system, untuk memastikan bahwa system
benar-benar terkendali, termasuk dalam hal otorisasi pemakai system.
c)
Kontrol
Operasi : Pembatasan akan akses terhadap data, Kontrol terhadap personel pengoperasi,
Kontrol terhadap peralatan,
Kontrol terhadap penyimpanan
arsip
d)
Proteksi
Fisik terhadap Pusat Data : Faktor lingkungan yang menyangkut suhu, kebersihan,
kelembaban udara, bahaya banjir, dan keamanan fisik ruangan perlu diperhatikan
dengan benar.
e)
Kontrol
Perangkat Keras : , jika komponen dalam sistem mengalami kegagalan maka
komponen cadangan atau kembarannya segera mengambil alih peran komponen yang
rusak
f)
Kontrol
Akses terhadap Sistem computer : setiap pemakai sistem diberi otorisasi yang
berbeda-beda. Setiap pemakai dilengkapi dengan nama pemakai dan password.
g)
Kontrol
terhadap Akses Informasi : cara mengubah suatu informasi ke dalam bentuk yang tak
dapat dibaca oleh orang lain dikenal dengan istilah kriptografi.
h)
Kontrol
terhadap Bencana :
i)
Kontrol
Terhadap Perlidungan Terakhir : Rencana pemulihan terhadap bencana,
asuransi
j)
Kontrol
Aplikasi : kontrol
yang diwujudkan secara sesifik dalam suatu aplikasi sistem informasi.
Virus
Suatu program dapat disebut sebagai suatu virus
apabila memenuhi minimal 5 kriteria berikut :
•
Kemampuan
untuk mendapatkan informasi.
•
Kemampuan
untuk memeriksa suatu file.
•
Kemampuan
untuk menggandakan diri dan menularkan diri.
•
Kemampuan
melakukan manipulasi.
•
Kemampuan
untuk menyembunyikan
Virus komputer merupakan program komputer yang dapat
menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan
salinan dirinya ke dalam program atau dokumen lain.
Worm atau cacing komputer dalam keamanan komputer,
adalah sebutan untuk sebuah program yang menyebarkan dirinya di dalam banyak
komputer, dengan menggandakan dirinya dalam memori setiap komputer yang
terinfeksi, worm
juga menghabiskan bandwidth yang tersedia.
Trojan horse atau Kuda Troya, dalam keamanan komputer
merujuk kepada sebuah bentuk perangkat lunak yang mencurigakan (malicious
software/malware) yang dapat merusak sebuah sistem atau jaringan.
Public Key Interface
Kunci publik perlu dilindungi status kepemilikannya
dengan memberikan sertifikat digital.
Sertifikat digital adalah dokumen digital yang berisi
informasi sebagai berikut:
-
nama
subjek (perusahaan/individu yang disertifikasi)
-
kunci
publik si subjek
-
waktu
kadaluarsa sertifikat (expired time)
-
informasi
relevan lain seperti nomor seri sertifikat, dll
PKI terdiri atas komponen-komponen:
-
pengguna
(pemohon sertifikat dan pemakai sertifikat)
-
sertifikat
digital
-
CA
-
Direktori
(menyimpan sertifikat digital dan CRL)
PKI
menyediakan cara penstrukturan komponen-komponen
di atas dan mendefinisikan
standard
bermacam-macam
dokumen dan protokol.
Enkripsi dan Dekripsi
Enkripsi
adalah proses Sebuah proses data encoding untuk mencegah pihak
yang tidak berwenang melihat atau memodifikasinya.Pada kebanyakan proses
enkripsi, Anda harus menyertakan kunci sehingga data yang dienkripsi dapat
didekripsikan kembali. Ilmu yang mempelajari teknik enkripsi disebut
kriptografi. Gambaran sederhana tentang enkripsi, misalnya mengganti huruf a
dengan n, b dengan m dan seterusnya.
Yang
perlu Anda ketahui tentang enkripsi:
º Mencegah akses yang tidak diinginkan pada dokumen dan pesan e-mail.
º Level enkripsi yang tinggi sukar untuk dibongkar.
º Perubahan dalam peraturan ekspor teknologi kriptografi akan meningkatkan penjualan software enkripsi.
º Mencegah akses yang tidak diinginkan pada dokumen dan pesan e-mail.
º Level enkripsi yang tinggi sukar untuk dibongkar.
º Perubahan dalam peraturan ekspor teknologi kriptografi akan meningkatkan penjualan software enkripsi.
Data
melewati sebuah formula matematis yang disebut algoritma, yang kemudian
mengubahnya menjadi data terenkripsi yang disebut sebagai ciphertext.
Dekripsi
merupakan proses kebalikan dari enkripsi dimana proses ini akan mengubah
ciphertext menjadi plaintext dengan menggunakan algortima ‘pembalik’ dan key
yang sama.
Kontrol
berdasarkan Orange Book (Orange Book Controls)
Trusted Computer Security Evaluation
Criteria (TCSEC, Orange Book)
mendefinisikan beberapa tingkat
dari jaminan kebutuhan akan operasi komputer yang
aman.
Orange Book mendefinisikan dua tipe jaminan,
yakni:
1. Operational Assurance,
meliputi:
a. System Architecture
b. System Integrity
c. Covert Channel Analysis
d. Trusted Facility Management
e. Trusted Recovery
2. Life Cycle Assurance,
meliputi:
a. Security Testing
b. Design Specification and
Testing
c. Configuration Management
d. Trusted Distribution
Pada domain Kontrol Operasi, Operational
Assurance meliputi :
- Covert
Channel Analysis
- Trusted Facility Management
- Trusted
Recovery.
Sedangkan Life Cycle Assurance
meliputi Configuration Management.
Tidak ada komentar:
Posting Komentar