bab 1 pengantar keamanan

KEAMANAN KOMPUTER

BudiRaharjo, “Keamanan Sistem Informasi Berbasis Internet” versi 5.1, PT Insan Infonesia – Bandung & PT INDOCISC-Jakarta, 1998, 1999, 2000, 2002

Janner Simarmata, “ Pengamanan Sistem Komputer”CV Andi Offset 2005Dony Ariyus, “ Kriptografi, Keamanan data dan Komunikasi”, Graha Ilmu 2005

Oleh : Syaiful Ahdan, S.Kom

• Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi.

• keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi.

• masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting.

• seringkali keamanan dikurangi atau ditiadakan

Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.

Pengelolaan terhadap keamanan dapat dilihat dari sisi pengelolaan resiko (risk management). Lawrie Brown menyarankan menggunakan “Risk Management Model” untuk menghadapi ancaman (managing threats). Ada tiga komponen yang memberikan kontribusi kepada Risk, yaitu Asset, Vulnerabilities, dan Threats.

Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut “countermeasures” yang dapat berupa

• Usaha untuk mengurangi Threat• Usaha untuk mengurangi Vulnerability• Usaha untuk mengurangi dampak (impact)• Mendeteksi kejadian (hostile event)• Kembali (recover) dari kejadian

KLASIFIKASI KEJAHATAN KOMPUTER

Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai ke yang hanya mengesalkan (annoying). Menurut David Icove berdasarkan lubang keamanan, keamanan dapat diklasifikasikan menjadi empat, yaitu:

1. Bersifat fisik (physical security): 2. Berhubungan dengan orang (personel): 3. Keamanan dari data , media, teknik komunikasi (communications).4. Keamanan dalam operasi:

PHYSICAL SECURITY

• Coretan password atau manual yang dibuang tanpa dihancurkan.

• Denial of service • Syn Flood Atack

PERSONAL SECURITY

• Social Engineering• Pendekatan yang dilakukan Terhadap Sistem

Maupun Pengelola Sistem

COMMUNICATION SECURITY

• Memanfaatkan Tools untuk mendapatkan informasi melemahkan sistem (Virus, Trojan )

OPERATION SECURITY

• termasuk prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery).

ASPEK-ASPEK KEAMANAN KOMPUTER

Garfinkel mengemukakan bahwa keamanan komputer (computer security) melingkupi empat aspek, yaitu privacy, integrity, authentication, dan availability. Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya dengan electronic commerce, yaitu access control dan non-repudiation.

1. PRIVACY

Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat.

2. CONFIDENTIALITY

sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut

3. INTEGRITY

Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi

4. AUTHENTICATION

Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli.

5. AVAILABILITY

• Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi.

• Contoh hambatan adalah serangan yang sering disebut dengan “denial of service attack”

6. ACCESS CONTROL

Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan dengan klasifikasi data (public, private, confidential, top secret) & user (guest, admin, top manager, dsb.)

7. NON-REPUDIATION

Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan email tersebut. Aspek ini sangat penting dalam hal electronic commerce.

8. AUTHORITY

Informasi yang berada pada sistem jaringan tidak dapat dimodifikasi oleh pihak yang tidak berhak atas akses tersebut.

ANCAMAN KEAMANAN & TIPE ANCAMAN

Security attack, atau serangan terhadap keamanan sistem informasi, dapat dilihat dari sudut peranan komputer atau jaringan komputer yang fungsinya adalah sebagai penyedia informasi. Menurut W. Stallings ada beberapa kemungkinan serangan (attack):

Target pengamanan adalah menghindari, mencegah dan mengatasi ancaman-ancaman terhadap sistem.

Kebutuhan akan pengamanan komputer dapat dikategorikan dalam tiga aspek, yaitu:

1. KERAHASIAAN

dimana informasi pada sistem komputer itu terjamin kerahasiaannya. Dan hanya dapat diakses oleh pihak-pihak yang diotorisasi, keutuhan serta konsistensi data pada sistem tersebut tetap terjaga.

2. INTEGRITAS

dimana sumber daya sistem terjamin hanya dapat dimodifikasi oleh pihak-pihak yang diotorisasi.

3. KETERSEDIAAN

adalah sumber daya sistem komputer terjamin akan tersedia bagi pihak-pihak yang diotorisasi pada saat diperlukan

Banyaknya terjadi pertukaran informasi sertiap detik di internet dan banyaknya terjadinya pencurian dari informasi itu

sendiri oleh pihak-pihak yang tidak bertanggung jawab menjadi ancaman bagi

keamanan terhadap sistem informasi, beberapa jenis ancaman adalah :

1. INTERRUPTION

Merupakan suatu ancaman terhadap avaibability, informasi, data yang ada dalam system komputer dirusak, dihapus sehingga jika data, informasi tersebut dibutuhkan tidak ada lagi.

2. INTERCEPTION

merupakan suatu ancaman terhadap kerahasiaan (secrecy). Informasi yang ada disadap atau orang yang tidak berhak mendapat akses ke komputer dimana informasi tersebut disimpan.

3. MODIFIKASI

merupakan ancaman terhadap integritas. Orang yang tidak berhak berhasil menyadap lalu lintas informasi yang sedang dikirim dan dirubah sesuai dengan keinginan si orang tersebut

4. FABRICATION

merupakan ancaman terhadap integritas. Orang yang tidak berhak berhasil meniru (memalsukan) suatu informasi yang ada sehingga orang yang menerima informasi tersebut menyangka informasi tersebut berasal dari orang yang dikehendaki oleh sipenerima informasi tersebut.

ALIRAN NORMAL

INTERUPTION

INTERCEPTION

MODIFICATION

FABRICATION

PRINSIP-PRINSIP PENGAMANAN

• Otentifikasi Pemakai• Password• Identifikasi fisik• Pembatasan

1. Otentifikasi Pemakai

Identifikasi pemakai saat login merupakan dasar asumsi sistem proteksi sehingga metode otentifikasi didasarkan pada tiga cara yaitu, sesuatu yang diketahui pemakai, yang dimiliki pemakai dan mengenai pemakai.

2. Password

Password merupakan salah satu otentifikasi yang diketahui pemakai, di mana pemakai memilih suatu kata-kode, mengingatnya dan mengetikannya saat akan mengakses sistem komputer .teknik pengamanan dengan password mempunyai beberapa kelemahan, terutama karena pemakai sering memilih password yang mudah diingatnya.

3. Ientifikasi Fisik

• Pendekatan identifikasi fisik ini dilakukan dengan memeriksa apa yang dimiliki pemakai– Kartu Berpita Magnetik– Sidik Jari– Analisis Tanda Tangan

4. Pembatasan

Pembatasan dapat dilakukan untuk memperkecil

pelluang penembusan oleh pemakai yang tidak diotorisasi.

ASPEK – ASPEK PENGATURN KEAMANAN

1. Keamanan Pengguna Umum (General User Security)2. Keamanan Untuk Pengguna (End-User Security)3. Keamanan Administrator (Administrator Security4. Keamanaan administrator Pengguna (Aplication

Security)