Keamanan pada Sistem Terdistribusi

Keamanan sering dipandang hanyalah merupakan masalah teknis yang melibatkan dapat atau tidaknya tertembusnya suatu sistem. Keamanan ini sendiri memiliki suatu konsep yang lebih luas yang berkaitan dengan ketergantungan suatu institusi terhadap institusi lainnya. Di dalam aplikasi, suatu pembentukan sistem yang aman akan mencoba melndungi adanya beberapa kemungkinan serangan yang dapat dilakukan pihak lain diantaranya adalah :

1. Intrusion : penyerangan jenis ini seseorang penyerang akan dapat menggunakan sistem komputer yang kita miliki.

2. Denail of services : penyerangan ini mengakibatkan pengguna yang sah tidak dapat mengakses sistem.

3. Joyrider : penyerangan jenis ini disebabkan oleh orang yang merasa iseng dan ingin memperoleh kesenangan dengan cara menyerang suatu sistem.

4. Vandal : jenis serangan ini bertujuan untuk merusak sistem yang sering dituju untuk site-site besar.

5. Scorekeeper: jenis serangan ini hanyalah bertujuan untuk mendapatkan reputasi dengan cara mengacak-acak system sebanyak mungkin.

6. Mata-mata : jenis serangan ini bertujuan untuk memperoleh data atau informsi rahasia dari pihak pesaing. Tujuan utama adanya sistem keamanan adalah untuk membatasi akses informasi dan resources hanya untuk pemakai yang memiliki hak.

Beberapa ancaman keamanan yang dapat mengancam suatu sistem adalah :

1. Leakgace : pengambilan informasi oleh penerima yang tidak berhak.
2. Tampering : pengubahan informasi yang tidak legal.
3. Vandalism : gangguan operasi sistem tertentu, dimana pelaku tidak mengharapkan kuntungan apapun.

Adapun bentuk perancangan sistem yang aman adalah :

1.      Rancangan harus mengikuti standard yang ada

2.      Mendemokan validasi melawan ancaman yang diketahui

3.      Melakukan audit terhadap kegagalan yang terdeteksi

4.      Adanya keseimbangan antara biaya terhadap serangan yang ada

Layanan Keamanan menurut definisi OSI yaitu :

1.      Access control : perlindungan terhadap pemakaian tak legal

2.      Authentication : menyediakan jaminan identitas seseorang

3.      Confidentiality : perlindungan terhadap pengungkapan identitas tak legal

4.      Integrity : melindungi dari pengubahan data yang tak legal

5.      Non-repudiation : melindungi terhadap penolakan komunikasi yang sudah pernah dilakukan.

Tiga dasar mekanisme keamanan yang dibangun :

1.      Enkripsi : digunakan untuk menyediakan kerahasiaan, dapat menyediakan authentication dan perlindungan integritas

2.      Digital signature : digunakan untuk menyediakan authentication, perlindungan integritas

3.      Algoritma checksum/hash : digunakan untuk menyediakan perlindungan integritas dan dapat menyediakan authentication.

Teknik keamanan adalah hal penting dalam menjaga kerahasiaan data. Proses enkripsi di dalam teknik keamanan merupakan proses pengkodean pesan untuk menyembunyikan isi file. Sedangkan algoritma enkripsi modern menggunakan kunci kriptografi dimana hasil enkripsi tidak dapat di dekripsi tanpa kunci yang sesuai.

Kriptografi adalah suatu ilmu yang mempelajari bagaimana membuat suatu pesan menjadi aman selama pengiriman dari pengirim sampai ke penerima. Pesan yang akan di enkripsi disebut plaintext sedngkan pesan yang telah di enkripsi disebut chipertext.

Serangan pada sistem terdistribusi tergantung pada pengaksesan saluran komunikasi yang ada atau membuat saluran baru yang menyamarkan sebagai koneksi legal. Penyerangan yang ada yaitu penyerangan pasif dan aktif.

Selain itu juga terdapat pula metode-metode penyerangan terhadap suatu sistem. Klasifikasi metode penyerangan tersebut adalah :

1.      Eavesdropping : mendapatkan duplikasi pesan tanpa ijin

2.      Masquerading : mengirim atau menerima pesan menggunakan identitas lain tanpa ijin mereka

3.      Message tampering : mencegat atau menangkap pesan dan mengubah isinya sebelum dilanjutkan ke penerima sebenarnya.

4.       Replaying : menyimpan pesan yang ditangkap untuk pemakaian berikutnya dan mengubah isinya sebelum dilanjutkan kepenerima sebenarnya

5.      Denail of services : membanjiri saluran atau resources dengan pesan yang bertujuan untuk menggagalkan pengaksesan pemakaian lain

n  Mengapa sistem informasi rentan terhadap gangguan keamanan

1.      Sistem yg dirancang untuk bersifat “terbuka” (mis: Internet)

Ø  Tidak ada batas fisik dan kontrol terpusat

Ø  Perkembangan jaringan (internetworking) yang amat cepat

2.      Sikap dan pandangan pemakai

Ø  Aspek keamanan belum banyak dimengerti

Ø  Menempatkan keamanan sistem pada prioritas rendah

3.      Tidak ada solusi yang komprehensif

n  Solusi terhadap masalah keamanan sistem informasi

Ø  Pusat-pusat informasi tentang keamanan

•         CERT

•         Milis-milis tentang keamanan sistem

•         Institusi lainnya: SecurityFocus, Symantec

Ø  Penggunaan mekanisme deteksi global

•         Pembentukan jaringan tim penanggap insiden di seluruh dunia

Ø  Peningkatan kesadaran terhadap masalah keamanan

•         Pendidikan bagi pengguna umum

•         Pelatihan bagi personil teknis (administrator sistem dan jaringan, CIO, CTO)

Konsep konsep keamanan

n  Keamanan sebagai bagian dari sistem QoS

Ø  Ketersediaan, kehandalan, kepastian operasional, dan keamanan

Ø  Keamanan: perlindungan thdp obyek-obyek dlm kaitannya dengan kerahasiaan dan integritas

•         Obyek ® komponen pasif

ð  CPU, disk, program, …

•         Subyek ® komponen aktif

ð  pemakai, proses, …

Ø  Keamanan sbg. fungsi waktu: Sec(t)

•         Memungkinkan kuantifikasi tingkat-tingkat keamanan, mirip dengan konsep MTTF (mean time to failure) pada kehandalan

n  Biaya pengamanan sistem

Ø  Pengertian “aman”: penyusup hrs mengeluarkan usaha, biaya, dan waktu yg besar utk dpt menembus sistem

Ø  Biaya pengamanan ® kombinasi banyak faktor yg saling berpengaruh

Ø  Perlu dicari optimisasi: biaya pengamanan vs potensi kerusakan

n  Kebijakan keamanan

Ø  Mengatur apa yang diijinkan dan tidak diijinkan dlm operasi normal

•         Mengatur bgmn subyek dapat mengakses obyek

Ø  Sering bersifat “politis” drpd teknis

Ø  Harus mencerminkan proteksi thdp sistem secara seimbang, komprehen-sif, dan cost-effective

Ø  Proses: analisis ancaman ® kebijakan keamanan ® mekanisme pengamanan

•         Analisis ancaman: memperkirakan jenis ancaman dan potensi merusaknya

•         Mekanisme pengamanan: implementasi kebijakan keamanan

Ø  Kebijakan keamanan harus berfungsi dengan baik sekaligus mudah dipakai

•         Dapat mencegah penyusup pada umumnya

•         Mampu menarik pemakai untuk mengguna-kannya

Aspek-aspek dalam Masalah Keamanan

n  Kerahasiaan

Ø  Melindungi obyek informasi dari pelepasan (release) yg tidak sah

Ø  Melindungi obyek resource dari akses yg tidak sah

n  Integritas

Ø  Menjaga obyek agar tetap dapat dipercaya (trustworthy)

Ø  Melindungi obyek dari modifikasi yang tidak sah

Keamanan Informasi sebagai Aset Informasi adalah salah satu aset bagi sebuah organisasi yang bagaimana aset lainnya yang memiliki nilai tertentu bagi organisasi tersebut sehingga harus dilindungi , untuk menjamin kelangsungan organisasi, meminimilisasi kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinnya investasi dan memperluas peluang usaha. Beragam bentuk informasi yang mungkin dimiliki oleh sebuah organisasi meliputi diantarannya

1.       Informasi yang tersimpan dalam komputer (desktop komputer maupun mobile komputer), informasi ditransmisikan melalui network, informasi yang dicetak, kirim melalui fax, email, Compact Disk atau media penyimpanan lainnya. Informasi yang dilakukan dalam pembicaraan dikirim melalui telex, email, dan informasi yang tersimpan dalam database direpsentasikan dengan media OHP, proyektor atau media presentasi lainnya, dan metode-m,etode lain yang dapat digunakan untuk menyimpan informasi dan ide-ide baru organisasi atau perusahaan.

2.      Informasi yang merupakan harus dilindungi keamanannya. Keamanan secara umum diartikan sebagai “Quality or state of being secure to be free from danger”. Untuk menjadi aman adalah dengan dilindungi dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan lainya. Strategi keamanan informasi masing-masing memilki focus dan dibagun pada masing-masing kekhususannya. Berikut contoh dari tinjauan keamanan informasi adalah :

a.       Physical Security Physical security yang memfokuskan pada startegi untuk mengamankan pekerja, anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.• Pesonal Security Personal Security yang overlap dengan physical security dalam melindungi orang-orang dalam organisasi.

b.      Operation Security Operation security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk berkerja tanpa gangguan.• Communication Security Communication security yang bertujuan mengamankan kemampuan media komunikasi, teknologi komunikasi dan isinya serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi

c.       Network Security Network security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringan data isinya serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

Masing – masing kemampuan diatasberkontribusi dalam program keamananinformasi secara keseluruhan. Keamananinformasi adalah perlindungan informasitermasuk sistem dan perangkat yang digunakan,menyimpan, dan mengirimkannya. Keamananinformasi melindungi informasi dari berbagaiancaman untuk menjamin kelangsungan usaha,meminimalisasi kerusakan akibat terjadinyaancaman, mempercepat kembalinya investasi danpeluang usaha.

Aspek Keamanan InformasiKeamanan informasi memiliki beberapa aspekyang harus dipakai untuk bisa menerapkan.Beberapa aspek tersebut adalah :

1.      Confidentiality Confidentiality harus menjamin bahwa hanya mereka yang memilki hak yang boleh mengisi akses informasi tertentu.

2.      Integritas Integritas harus menjamin kelengkapan informasi dan menjaga dari korupsi, kerusakan atau ancaman lain yang menyebabkan berubah dari aslinya3. Availability Availability harus menjamin pengguna dapat mengakses informasi tanpa adanya gangguan dan tidak dalam format yang tak bisa, pengguna dalam hal ini bisa jadi manusia atau computer yang tentunya dalam hal ini memiliki otoritas unutk mengakses informasi

Tujuan Keamanan Informasi Keamanan informasi ditujukan untuk mencapai tiga tujuan utama: Kerahasiaan, ketersediaan, dan integritas.

1.       Kerahasiaan.

Perusahaan berusaha untuk melindungidata dan informasinya dari pengungkapan kepada orang-orang yang tidak berwewenang. Sistem informasi eksekutif, sistem informasi sumber daya manusia, dan sistem pemrosesan transakasi seperti penggajian, piutang dagang, pembeliuan, dan utang dagang amat penting dalam hal ini.

2.      Ketersediaan

Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya. Tujuan ini penting, khususnya bagi sistem beririentasi informasi seperti sistem informasi sumber daya manusia dan sistem informasi eksekutif.

3.      Integritas

Semua sistem informasi harus memberikan reprentasi akurat atas sistem fisik yang direpresentasikan.

Aspek Kemanan Informasi

Selain aspek diatas, ada aspek lain yang perlu dipertimbangkan yaitu :

1.       Privacy Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah digunakan untuk hanya tujuan tertentu khususnya bagi pemiliki data saat informasi itu dikumpulkan. Privacy menjamin keamanan data bagi pemiliki informasi dari orang lain.

2.      Identification Sistem informasi memiliki karakteristik identifikasi bisa mengenali invidu pengguna. Identifikasi adalah langkah pertaman dalam memperoleh hak akses ke informasi yang diamankan. Identifikasi secara umum dilakukan dalam penggunaan user name atau user id.3. Authentication Authentication terjadi saat sistem dapat membuktikan bahwa pengguna memang benar-benar hak yang memiliki identitas yang mereka klaim.

3.      Authorization Setelah identitas pengguna diautentikasi, sebuah proses yang disebut otorisasi memberikan jaminan bahwa pengguna (manusia maupun komputer) telah mendapat autorisasi secara fisik dan jelas untuk mengakses, mengubah, atau menghapus isi dan aset informasi.4. Accountability Karekteristik ini dapat dipengaruhi jika sebuah sistem dapat menyajikan data semua aktivitas terhadap akses informasi yang telah dilakukan dan siapa yang melakukan aktivitas itu.

Manajemen Keamanan InformasiManajemen keamanan informasi adalah bagian dari komponenkeamanan informasi. Untuk membuat proses keamananinformasi secara efektif sangat penting memahami beberapaprinsip dalam manajemen secara sederhana manajemen adalahproses untuk mencapai tujuan dengan menggunakansumberdaya yang ada. Untuk mengatur pengolahan sumberdayaorganisasi, melakukan koordinasi penyelesaian pekerjaan orang-orang dalam organisasi, dan memegang aturan-aturan yangdiperlukan untuk memenuhi tujuan organisasi, diantara aturan-aturan itu adalah :

Aturan-aturan Keamanan Informasi.

1.      Aturan informasi Aturan informasi adalah mengumpulkan, memproses, dan menggunakan informasi yang dapat mempengaruhi pencapaian tujuan

2.      Aturan interpersonal Aturan interpersonal adalah berinteraksi dengan stakeholder, orang atau organisasi lain yang mempengaruhi

3.      Aturan keputusan Aturan keputusan adalah memilih diantara beberapa altenatif pendekatan, memecahkan konflik, dilemma atau tantangan.