Keamanan sering dipandang hanyalah merupakan
masalah teknis yang melibatkan dapat atau tidaknya tertembusnya suatu sistem.
Keamanan ini sendiri memiliki suatu konsep yang lebih luas yang berkaitan
dengan ketergantungan suatu institusi terhadap institusi lainnya. Di dalam aplikasi,
suatu pembentukan sistem yang aman akan mencoba melndungi adanya beberapa
kemungkinan serangan yang dapat dilakukan pihak lain diantaranya adalah :
1. Intrusion
: penyerangan jenis ini seseorang penyerang akan dapat menggunakan sistem
komputer yang kita miliki.
2. Denail of
services : penyerangan ini mengakibatkan pengguna yang sah tidak dapat
mengakses sistem.
3. Joyrider :
penyerangan jenis ini disebabkan oleh orang yang merasa iseng dan ingin
memperoleh kesenangan dengan cara menyerang suatu sistem.
4. Vandal :
jenis serangan ini bertujuan untuk merusak sistem yang sering dituju untuk
site-site besar.
5. Scorekeeper: jenis
serangan ini hanyalah bertujuan untuk mendapatkan reputasi dengan cara
mengacak-acak system sebanyak mungkin.
6. Mata-mata : jenis serangan
ini bertujuan untuk memperoleh data atau informsi rahasia dari pihak pesaing.
Tujuan utama adanya sistem keamanan adalah untuk membatasi akses informasi dan
resources hanya untuk pemakai yang memiliki hak.
Beberapa ancaman keamanan yang dapat mengancam suatu sistem
adalah :
- Leakgace
: pengambilan informasi oleh penerima yang tidak berhak.
- Tampering
: pengubahan informasi yang tidak legal.
- Vandalism
: gangguan operasi sistem tertentu, dimana pelaku tidak mengharapkan
kuntungan apapun.
Adapun bentuk perancangan sistem yang aman adalah :
1.
Rancangan harus mengikuti standard yang ada
2.
Mendemokan validasi melawan ancaman yang diketahui
3.
Melakukan audit terhadap kegagalan yang terdeteksi
4.
Adanya keseimbangan antara biaya terhadap serangan yang
ada
Layanan Keamanan menurut definisi OSI yaitu :
1.
Access control : perlindungan terhadap pemakaian tak
legal
2.
Authentication : menyediakan jaminan identitas
seseorang
3.
Confidentiality : perlindungan terhadap pengungkapan
identitas tak legal
4.
Integrity : melindungi dari pengubahan data yang tak
legal
5.
Non-repudiation : melindungi terhadap penolakan
komunikasi yang sudah pernah dilakukan.
Tiga dasar mekanisme keamanan yang dibangun :
1.
Enkripsi : digunakan untuk menyediakan kerahasiaan,
dapat menyediakan authentication dan perlindungan integritas
2.
Digital signature : digunakan untuk menyediakan
authentication, perlindungan integritas
3.
Algoritma checksum/hash : digunakan untuk menyediakan
perlindungan integritas dan dapat menyediakan authentication.
Teknik keamanan adalah hal penting dalam
menjaga kerahasiaan data. Proses enkripsi di dalam teknik keamanan merupakan
proses pengkodean pesan untuk menyembunyikan isi file. Sedangkan algoritma
enkripsi modern menggunakan kunci kriptografi dimana hasil enkripsi tidak dapat
di dekripsi tanpa kunci yang sesuai.
Kriptografi adalah suatu ilmu yang
mempelajari bagaimana membuat suatu pesan menjadi aman selama pengiriman dari
pengirim sampai ke penerima. Pesan yang akan di enkripsi disebut plaintext
sedngkan pesan yang telah di enkripsi disebut chipertext.
Serangan pada sistem terdistribusi
tergantung pada pengaksesan saluran komunikasi yang ada atau membuat saluran
baru yang menyamarkan sebagai koneksi legal. Penyerangan yang ada yaitu
penyerangan pasif dan aktif.
Selain itu juga terdapat pula
metode-metode penyerangan terhadap suatu sistem. Klasifikasi metode penyerangan
tersebut adalah :
1. Eavesdropping
: mendapatkan duplikasi pesan tanpa ijin
2. Masquerading
: mengirim atau menerima pesan menggunakan identitas lain tanpa ijin mereka
3. Message
tampering : mencegat atau menangkap pesan dan mengubah isinya sebelum
dilanjutkan ke penerima sebenarnya.
4. Replaying : menyimpan pesan yang ditangkap
untuk pemakaian berikutnya dan mengubah isinya sebelum dilanjutkan kepenerima
sebenarnya
5. Denail
of services : membanjiri saluran atau resources dengan pesan yang bertujuan
untuk menggagalkan pengaksesan pemakaian lain
n Mengapa
sistem informasi rentan terhadap gangguan keamanan
1.
Sistem yg dirancang untuk bersifat
“terbuka” (mis: Internet)
Ø Tidak
ada batas fisik dan kontrol terpusat
Ø Perkembangan
jaringan (internetworking) yang amat cepat
2. Sikap
dan pandangan pemakai
Ø Aspek
keamanan belum banyak dimengerti
Ø Menempatkan
keamanan sistem pada prioritas rendah
3.
Tidak ada solusi yang komprehensif
n Solusi
terhadap masalah keamanan sistem informasi
Ø Pusat-pusat
informasi tentang keamanan
•
CERT
•
Milis-milis tentang keamanan sistem
•
Institusi lainnya: SecurityFocus,
Symantec
Ø Penggunaan
mekanisme deteksi global
•
Pembentukan jaringan tim penanggap
insiden di seluruh dunia
Ø Peningkatan
kesadaran terhadap masalah keamanan
•
Pendidikan bagi pengguna umum
•
Pelatihan bagi personil teknis
(administrator sistem dan jaringan, CIO, CTO)
Konsep konsep keamanan
n Keamanan
sebagai bagian dari sistem QoS
Ø Ketersediaan,
kehandalan, kepastian operasional, dan keamanan
Ø Keamanan:
perlindungan thdp obyek-obyek dlm kaitannya dengan kerahasiaan dan integritas
•
Obyek ® komponen pasif
ð CPU,
disk, program, …
•
Subyek ® komponen aktif
ð pemakai,
proses, …
Ø Keamanan
sbg. fungsi waktu: Sec(t)
•
Memungkinkan kuantifikasi
tingkat-tingkat keamanan, mirip dengan konsep MTTF (mean time to failure) pada
kehandalan
n Biaya
pengamanan sistem
Ø Pengertian
“aman”: penyusup hrs mengeluarkan usaha, biaya, dan waktu yg besar utk dpt
menembus sistem
Ø Biaya
pengamanan ®
kombinasi banyak faktor yg saling berpengaruh
Ø Perlu
dicari optimisasi: biaya pengamanan vs potensi kerusakan
n Kebijakan
keamanan
Ø Mengatur
apa yang diijinkan dan tidak diijinkan dlm operasi normal
•
Mengatur bgmn subyek dapat mengakses
obyek
Ø Sering
bersifat “politis” drpd teknis
Ø Harus
mencerminkan proteksi thdp sistem secara seimbang, komprehen-sif, dan
cost-effective
Ø Proses:
analisis ancaman ® kebijakan keamanan ®
mekanisme pengamanan
•
Analisis ancaman: memperkirakan jenis
ancaman dan potensi merusaknya
•
Mekanisme pengamanan: implementasi
kebijakan keamanan
Ø Kebijakan
keamanan harus berfungsi dengan baik sekaligus mudah dipakai
•
Dapat mencegah penyusup pada umumnya
•
Mampu menarik pemakai untuk
mengguna-kannya
Aspek-aspek dalam Masalah Keamanan
n Kerahasiaan
Ø Melindungi
obyek informasi dari pelepasan (release) yg tidak sah
Ø Melindungi
obyek resource dari akses yg tidak sah
n Integritas
Ø Menjaga
obyek agar tetap dapat dipercaya (trustworthy)
Ø Melindungi
obyek dari modifikasi yang tidak sah
Keamanan Informasi sebagai Aset Informasi adalah salah satu
aset bagi sebuah organisasi yang bagaimana aset lainnya yang memiliki nilai
tertentu bagi organisasi tersebut sehingga harus dilindungi , untuk menjamin
kelangsungan organisasi, meminimilisasi kerusakan karena kebocoran sistem
keamanan informasi, mempercepat kembalinnya investasi dan memperluas peluang
usaha. Beragam bentuk informasi yang mungkin dimiliki oleh sebuah organisasi
meliputi diantarannya
1.
Informasi yang tersimpan dalam komputer
(desktop komputer maupun mobile komputer), informasi ditransmisikan melalui
network, informasi yang dicetak, kirim melalui fax, email, Compact Disk atau
media penyimpanan lainnya. Informasi yang dilakukan dalam pembicaraan dikirim
melalui telex, email, dan informasi yang tersimpan dalam database
direpsentasikan dengan media OHP, proyektor atau media presentasi lainnya, dan
metode-m,etode lain yang dapat digunakan untuk menyimpan informasi dan ide-ide
baru organisasi atau perusahaan.
2.
Informasi
yang merupakan harus dilindungi keamanannya. Keamanan secara umum diartikan
sebagai “Quality or state of being secure to be free from danger”. Untuk
menjadi aman adalah dengan dilindungi dari musuh dan bahaya. Keamanan bisa
dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau
digunakan dalam kombinasi satu dengan lainya. Strategi keamanan informasi
masing-masing memilki focus dan dibagun pada masing-masing kekhususannya.
Berikut contoh dari tinjauan keamanan informasi adalah :
a. Physical Security Physical security yang
memfokuskan pada startegi untuk mengamankan pekerja, anggota organisasi, aset
fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses
tanpa otorisasi, dan bencana alam.• Pesonal Security Personal Security yang
overlap dengan physical security dalam melindungi orang-orang dalam organisasi.
b. Operation Security Operation
security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau
perusahaan untuk berkerja tanpa gangguan.• Communication Security Communication
security yang bertujuan mengamankan kemampuan media komunikasi, teknologi
komunikasi dan isinya serta kemampuan untuk memanfaatkan alat ini untuk
mencapai tujuan organisasi
c. Network Security Network security
yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringan
data isinya serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi
fungsi komunikasi data organisasi.
Masing – masing kemampuan diatasberkontribusi dalam program
keamananinformasi secara keseluruhan. Keamananinformasi adalah perlindungan
informasitermasuk sistem dan perangkat yang digunakan,menyimpan, dan
mengirimkannya. Keamananinformasi melindungi informasi dari berbagaiancaman
untuk menjamin kelangsungan usaha,meminimalisasi kerusakan akibat terjadinyaancaman,
mempercepat kembalinya investasi danpeluang usaha.
Aspek Keamanan InformasiKeamanan informasi memiliki beberapa
aspekyang harus dipakai untuk bisa menerapkan.Beberapa aspek tersebut adalah :
1.
Confidentiality
Confidentiality harus menjamin bahwa hanya mereka yang memilki hak yang boleh
mengisi akses informasi tertentu.
2.
Integritas
Integritas harus menjamin kelengkapan informasi dan menjaga dari korupsi,
kerusakan atau ancaman lain yang menyebabkan berubah dari aslinya3.
Availability Availability harus menjamin pengguna dapat mengakses informasi
tanpa adanya gangguan dan tidak dalam format yang tak bisa, pengguna dalam hal
ini bisa jadi manusia atau computer yang tentunya dalam hal ini memiliki
otoritas unutk mengakses informasi
Tujuan Keamanan Informasi Keamanan informasi ditujukan untuk
mencapai tiga tujuan utama: Kerahasiaan, ketersediaan, dan integritas.
1.
Kerahasiaan.
Perusahaan berusaha untuk
melindungidata dan informasinya dari pengungkapan kepada orang-orang yang tidak
berwewenang. Sistem informasi eksekutif, sistem informasi sumber daya manusia,
dan sistem pemrosesan transakasi seperti penggajian, piutang dagang,
pembeliuan, dan utang dagang amat penting dalam hal ini.
2.
Ketersediaan
Tujuan dari infrastruktur informasi
perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang
memiliki wewenang untuk menggunakannya. Tujuan ini penting, khususnya bagi
sistem beririentasi informasi seperti sistem informasi sumber daya manusia dan
sistem informasi eksekutif.
3.
Integritas
Semua sistem informasi harus
memberikan reprentasi akurat atas sistem fisik yang direpresentasikan.
Aspek Kemanan Informasi
Selain
aspek diatas, ada aspek lain yang perlu dipertimbangkan yaitu :
1.
Privacy Informasi yang dikumpulkan, digunakan,
dan disimpan oleh organisasi adalah digunakan untuk hanya tujuan tertentu
khususnya bagi pemiliki data saat informasi itu dikumpulkan. Privacy menjamin
keamanan data bagi pemiliki informasi dari orang lain.
2.
Identification
Sistem informasi memiliki karakteristik identifikasi bisa mengenali invidu
pengguna. Identifikasi adalah langkah pertaman dalam memperoleh hak akses ke
informasi yang diamankan. Identifikasi secara umum dilakukan dalam penggunaan
user name atau user id.3. Authentication Authentication terjadi saat sistem
dapat membuktikan bahwa pengguna memang benar-benar hak yang memiliki identitas
yang mereka klaim.
3.
Authorization
Setelah identitas pengguna diautentikasi, sebuah proses yang disebut otorisasi
memberikan jaminan bahwa pengguna (manusia maupun komputer) telah mendapat
autorisasi secara fisik dan jelas untuk mengakses, mengubah, atau menghapus isi
dan aset informasi.4. Accountability Karekteristik ini dapat dipengaruhi jika
sebuah sistem dapat menyajikan data semua aktivitas terhadap akses informasi
yang telah dilakukan dan siapa yang melakukan aktivitas itu.
Manajemen Keamanan InformasiManajemen keamanan informasi
adalah bagian dari komponenkeamanan informasi. Untuk membuat proses
keamananinformasi secara efektif sangat penting memahami beberapaprinsip dalam
manajemen secara sederhana manajemen adalahproses untuk mencapai tujuan dengan
menggunakansumberdaya yang ada. Untuk mengatur pengolahan sumberdayaorganisasi,
melakukan koordinasi penyelesaian pekerjaan orang-orang dalam organisasi, dan
memegang aturan-aturan yangdiperlukan untuk memenuhi tujuan organisasi,
diantara aturan-aturan itu adalah :
Aturan-aturan
Keamanan Informasi.
1.
Aturan
informasi Aturan informasi adalah mengumpulkan, memproses, dan menggunakan
informasi yang dapat mempengaruhi pencapaian tujuan
2.
Aturan
interpersonal Aturan interpersonal adalah berinteraksi dengan stakeholder,
orang atau organisasi lain yang mempengaruhi
3.
Aturan
keputusan Aturan keputusan adalah memilih diantara beberapa altenatif
pendekatan, memecahkan konflik, dilemma atau tantangan.
6 komentar:
kita juga punya nih artikel mengenai 'Keamanan System', silahkan dikunjungi dan dibaca , berikut linknya
http://repository.gunadarma.ac.id/bitstream/123456789/1776/1/Artikel_92205016.pdf
trimakasih
semoga bermanfaat
wah lengkap sekali gan pembahasan tentang Sistem Terdistribusi security, kebetulan saya ada tugas buat makalah, makasih gan sharing ilmunya ^^
makasih gan ilmunya, semoga sukses selalu
artikel nya keren gan, o ya perkenalkan nama saya Yuli suseno, jika berkenan mengunjungi web kampus kami di ISB Atma Luhur. terima kasih
terimaksih untuk artikelnya sangat menarik dan membantu saya untuk belajar,perkenalkan saya Rama januarti dari kampus ISB Atma Luhur
Posting Komentar