universitas indonesia -...

Universitas Indonesia

IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi

P.T Penerbit Percetakan Jaya

Ade Gunawan - 7203010022

Dananjaya - 7203010081

Kekhususan Teknologi Informasi

Program Magister Ilmu Komputer

Fakultas Ilmu Komputer

Universitas Indonesia

2004

”@ 2004 Kelompok 74 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini”

TUGAS 1

Studi Kasus: PT. Penerbit Percetakan Jaya


i

Daftar Isi I. Pendahuluan ...........................................................................................................................1 II. Susunan Organisasi PT. PPJ...................................................................................................1 III. Analisa Jaringan Komputer PT. PPJ.......................................................................................3 IV. Floor Plan PT. PPJ..................................................................................................................5 V. Konfigurasi Rack Server PT. PPJ...........................................................................................6 VI. Analisa Konfigurasi Struktur Jaringan WAN PT. PPJ ...........................................................7 VII. Analisa 11 (Sebelas) Domain Keamanan Pada Infrastruktur Teknologi Informasi PT. PPJ..9

VII.1 Access Control Systems and Methodology ............................................................... 9 VII.2 Telecommunications & Network Security .............................................................. 11 VII.3 Security Management Practices............................................................................... 12 VII.4 Application and System Development Security ...................................................... 13 VII.5 Cryptography ........................................................................................................... 14 VII.6 Security Architecture dan Models ........................................................................... 15 VII.7 Operations Security ................................................................................................. 16 VII.8 Disaster Recovery & Business Continuity Plan ...................................................... 16 VII.9 Laws, Investigation & Ethics................................................................................... 20 VII.10 Phisical Security ...................................................................................................... 20 VII.11 Auditing & Assurance ............................................................................................. 22


ii

Daftar Tabel Tabel 1. Spesifikasi Komputer PT. PPJ........................................................................................... 4 Tabel 2. Spesifikasi Server PT. PPJ ................................................................................................ 5 Tabel 3. Komponen yang berkaitan dengan Infrastruktur ............................................................. 17 Tabel 4. Akibat dan Toleransi kegagalan dari Infrastruktur TI ..................................................... 17


iii

Daftar Gambar Gambar 1. Struktur Organisasi PT. PPJ _____________________________________________ 3 Gambar 2. Denah Floor Plan PT. PPJ ______________________________________________ 6 Gambar 3. Konfigurasi Rack Server PT. PPJ_________________________________________ 7 Gambar 4. Konfigurasi Jaringan WAN PT. PPJ ______________________________________ 8 Gambar 5. Konfigurasi Jaringan PT. PPJ___________________________________________ 12


iv

I. Pendahuluan

P.T Penerbit Percetakan Jaya adalah sebuah perusahaan yang bergerak di bidang

percetakan dan penerbitan, perusahaan ini berdiri pada tahun 1945 diawali dengan

pembukaan kantor pertama di jakarta di bilangan ruko tanah abang dengan luas bangunan

sebesar 250M2. Pendiri PT. PPJ adalah dua bersaudara Aseng dan Ahong warga

Indonesia keturunan tionghoa yang sekarang menjadi Direktur dari perusahaan.

Dengan berjalannya waktu maka semakin berkembanglah bisnis percetakan dan

penerbitan milik dua bersaudara ini, yang semula hanya melayani percetakan kartu

undangan pernikahan dan sunatan sekarang sudah melayani pencetakan buku best seller,

surat kabar dan majalah serta tabloid. Cabang perusahaanpun sudah terdapat pada

berbagai kota-kota besar di indonesia, diantaranya adalah di Jakarta, Surabaya, Medan,

Balik Papan dan Ujung Pandang. Pada saat dibentuk Aseng dan Ahong hanya

mengeluarkan modal sebesar tiga juta rupiah dan saat ini sudah berkembang menjadi aset

trilyunan rupiah dengan omzet pertahun berkisar 50 Milyar.

Tulisan ini akan melakukan analisa dalam hal keamanan pada infrastruktur

teknologi informasi yang di terapkan pada PT. PPJ. Hal pertama yang dilakukan adalah

dengan mensurvey dan membuat konfigurasi dari infrastruktur yang saat ini sudah

diterapkan, setelah itu akan mengkaji konfigurasi keamanan berdasarkan ke sebelas

domain keamanan infrastruktur teknologi informasi.

II. Susunan Organisasi PT. PPJ

PT. PPJ dikepalai oleh dua orang direktur yaitu Aseng dan Ahong yang mana

keduanya menjabat sebagai direktur utama dari PT. PPJ. Setelah itu dibawah direktur

terdapat 5 orang manajer yang masing-masing mengepalai setiap bagian divisi dari PT.

PPJ. Divisi yang ada adalah:

- Divisi Produksi

Divisi yang khusus menangani produksi dari PT. PPJ seperti pembuatan

layout buku, pencetakan buku sampai dengan pendistribusiannya


1

- Divisi Development

Divisi ini bertugas untuk melakukan pengembangan produk seperti pembuatan

design, layout dan melakukan editing

- Divisi Keuangan

Divisi ini melakukan perencanaan anggaran keuangan bagi perusahaan dan

merencanakan cashflow dari perusahaan

- Divisi Pemasaran dan Sales

Divisi yang melakukan kegiatan mencari pasar dan menjual produk jasa yang

di berikan oleh perusahaan dalam hal percetakan dan penerbitan.

- Divisi Teknologi Informasi

Divisi ini bertugas melakukan perencanaan infrastruktur bagi perusahaan

sekaligus memeliharanya.

Setiap manajer mengepalai dan mengatur anggota divisi yang bertugas untuk

berbagai kegiatan sepeti manajer produksi mengepalai dan mengatur anggotanya yang

bertugas untuk melakukan tugas produksi seperti percetakan, penerbitan dan distribusi.

Begitu juga untuk manajer TI mengepalai anggota-anggota divisinya yang bertugas untuk

memelihara jaringan, sistem dan database. Bagan struktur oranisasi PT. PPJ dapat dilihat

pada gambar I.

Disamping struktur organisasi yang menggambarkan personel fungsional pada

perusahaan juga terdapat personel yang berfungsi sebagai pendukung dalam melakukan

bisnis perusahaan. Personel pendukung tersebut adalah untuk satu kantor terdapat dua

orang office boy, dua orang supir perusahaan dan tiga orang satpam untuk menjaga aset-

aset dari perusahaan. Dan juga sesuai dengan kebijakan perusahaan maka dalam setiap

bagian divisi perusahaan setidaknya terdapat dua orang dengan keahlian yang sama

sebagai cadangan apabila orang tersebut melakukan cuti ataupun sakit sehingga tidak

masuk kerja sementara ada pekerjaan yang harus diselesaikan dengan segera. Dengan

kebijakan ini diharapkan bisnis perusahaan akan tetap dapat berjalan dengan normal

walaupun terdapat karyawan yang berhalangan masuk kerja.


2

Gambar 1. Struktur Organisasi PT. PPJ

Dalam melakukan aktifitas operasi perusahaan PT. PPJ memberlakukan dua buah

shift kerja yaitu shift pagi untuk melakukan pencetakan pada sore hari, dan shift malam

untuk melakukan pencetakan pada pagi hari. Juga ada shift untuk hari libur seperti sabtu

dan minggu yang dijadwalkan untuk setiap pegawai dengan menggantikan hari liburnya.

III. Analisa Jaringan Komputer PT. PPJ

Dalam rangka memudahkan dan mengeffektifkan kerja dari pada karyawannya

dan untuk meningkatkan kinerja perusahaan maka sejak tahun 1997 PT. PPJ sudah

menerapkan infrastruktur Local Area Network di dalam perusahaannya.

Pada setiap divisi terdapat komputer dengan spesifikasi yang berbeda-beda, untuk

komputer divisi produksi dan development diberikan spesifikasi yang lebih tinggi dari

pada divisi lainnya, hal ini disebabkan pada divisi ini dibutuhkan komputer yang cukup

bertenaga untuk melakukan editing gambar dengan resolusi tinggi. Dan untuk divisi

marketing dan sales di berikan masing-masing laptop karena kerja nya yang berpindah-

pindah untuk melakukan penjualan dan analisa pasar. Tabel dibawah ini menerangkan

jumlah dan spesifikasi dari komputer karyawan PT. PPJ.


3

Divisi Spesifikasi Jumlah PC Desktop 10 Buah Processor: Pentium 4 Memory : 1GB Video RAM : 512 MB OS: Microsoft Windows XP

Printers 5 Buah

Produksi

Scaner 5 Buah PC Desktop 5 Buah Processor: Pentium 4 Memory : 1GB Video RAM : 512 MB OS: Microsoft Windows XP

Development

Printers 3 Buah Mobile Computer 7 Buah Processor: Pentium III Memory : 256MB Video RAM : 128 MB OS: Microsoft Windows XP

Marketing dan Sales

Printers 3 Buah PC Desktop 3 Buah Processor: Pentium 4 Memory : 256MB Video RAM : 128MB OS: Microsoft Windows XP

Keuangan

Printers 1 Buah PC Desktop 7 Buah Processor: Pentium 4 Memory : 512MB Video RAM : 256MB OS: Microsoft Windows XP

Teknologi Informasi

Printers 2 Buah PC Desktop 2 Buah Processor: Pentium III Memory : 256MB Video RAM : 128MB OS: Microsoft Windows XP

Administrasi

Printers 1 Buah

Tabel 1. Spesifikasi Komputer PT. PPJ

Selain itu juga terdapat tiga buah server yang berfungsi sebagai pendukung dari

infrastruktur teknologi informasi yang di terapkan pada PT. PPJ. Server yang beroperasi

dapat dilihat pada tabel 2.


4

Server Spesifikasi Fungsi File Server Processor: Pentium 4

Memory: 1 GB Video RAM: 256 MB OS: Microsoft Windows 2003

Sebagai tempat meletakan berkas-berkas pekerjaan dari karyawan agar tersentralisasi dan mudah melakukan pemeliharaan.

Domain Server Processor: Pentium 4 Memory: 512 GB Video RAM: 256 MB OS: Microsoft Windows 2003

Sebagai domain controller yang berfungsi mengatur login dan hak akses dari komputer karyawan terhadap berkas-berkas di file server.

Mail Server Processor: Pentium 4 Memory: 1 GB Video RAM: 1GB OS: Microsoft Windows 2003 Aplikasi: Microsoft Exchange

Sebagai server untuk menampung dan mengirimkan email karyawan.

Tabel 2. Spesifikasi Server PT. PPJ

IV. Floor Plan PT. PPJ

Berdasarkan divisi dari PT. PPJ dibuat suatu rancangan denah dari ruangan yang

digunakan oleh perusahaan. Divisi terbagi atas 5 bagian yang masing-masing menempati

ruangan tersendiri dan juga terdapat ruangan server, pantry dan front office. Denah ini

berguna untuk mengetahui rancangan dari infrastruktur jaringan komputer PT. PPJ.

Komponen yang terlibat antara lain adalah komputer, printer, scanner dan telepon. Untuk

ruang server komponennya adalah server, switch dan PABX. Denah dapat dilihat pada

Gambar 2.


5

Gambar 2. Denah Floor Plan PT. PPJ

V. Konfigurasi Rack Server PT. PPJ

PT. PPJ memiliki 3 buah server, 2 diantaranya di letakan pada rack server yaitu

server email, dan file server sementara server domain berada pada meja bersama dengan

monitor CRT. Pada rack server terdapat patch panel, switch, router berfungsi sebagai

gateway ke internet, firewall berfungsi untuk menfilter akses ke dalam jaringan lokal dari

internet, tape backup untuk melakukan backup file server, ups dan server. Juga terdapat

modem yang berfungsi sebagai backup apabila jaringan WAN mengalami kegagalan

perusahaan dapat melakukan dial ke internet untuk mengakses data pada kantor cabang.

Konfigurasi rack server dapat dilihat pada gambar 3.


6

Gambar 3. Konfigurasi Rack Server PT. PPJ

VI. Analisa Konfigurasi Struktur Jaringan WAN PT. PPJ

PT. PPJ memiliki cabang yang berada pada kota-kota besar di seluruh indonesia,

diantaranya adalah Medan, Ujung Pandang, Surabaya dan Balik Papan. Untuk setiap

cabang PT. PPJ menggunakan jaringan WAN berupa Frame Relay melalui internet.

Jaringan ini berfungsi untuk mempermudahkan sarana komunikasi antar cabang dan juga


7

untuk mengakses aplikasi web yang berada pada cabang di Jakarta. Untuk setiap cabang

PT. PPJ memiliki konfigurasi yang terhubung antara jaringan intern perusahaan dengan

jaringan internet melalui router dan menggunakan firewall untuk mencegah orang dari

internet masuk ke dalam jaringan intern dan merusak atau mengambil data-data

perusahaan. Konfigurasi jaringan WAN PT. PPJ dapat dilihat pada gambar 4.

Gambar 4. Konfigurasi Jaringan WAN PT. PPJ


8

VII. Analisa 11 (Sebelas) Domain Keamanan Pada Infrastruktur Teknologi Informasi PT. PPJ

VII.1 Access Control Systems and Methodology

Access Control Systems adalah suatu metoda bagaimana mengkontrol

pengaksesan sumber daya sehingga mencegah pembukaan dan pemodifikasian oleh

orang-orang yang tidak berhak.

Penerapan akses kontrol oleh PT. PPJ di terapkan terhadap:

a. Ruangan Kantor

Ruangan kantor dijaga agar hanya dapat dimasuki oleh orang-orang yang berhak

saja, seperti karyawan PT. PPJ. Untuk itu metoda pengamanan nya adalah:

1. Penjagaan oleh Satpam

Untuk keamanan ruangan di pintu depan terdapat receptionist dan satpam

sehingga apabila ada tamu ia tidak di perbolehkan memasuki ruang kantor

begiru saja. Hal ini untuk menghindari tamu tersebut menggunakan salah

satu komputer karyawan dan mengakses jaringan lokal PT.PJJ untuk

mengambil data ataupun untuk menghindari terjadinya pencurian.

2. Penggunaan Magnetic Card Access Control

Penggunaan magnetic card sebagai access control keluar masuk ruangan

perkantoran sehingga diharapkan yang dapat memasuki ruangan kantor

hanyalah orang-orang yang berhak saja seperti karyawan PT. PPJ. Hal ini

untuk menghindari terjadinya pencurian dan perusakan baik barang

ataupun data oleh orang yang tidak berhak dan tidak berwewenang.

b. Ruangan Server

Ruangan server memerlukan akses kontrol untuk menjaga terjadinya kesalahan

konfigurasi server oleh orang yang tidak berhak. Akses kontrol yang dilakukan

diantaranya adalah:

1. Penggunaan Akses magnetic card yang terbatas


9

Ruangan server selalu terkunci dan yang hanya dapat dibuka dengan

menggunakan magnetic card karyawan tertentu. Dalam hal ini adalah

bagian Teknologi Informasi seperti Netwok Administrator atau System

Administrator. Hal ini dilakukan untuk mencegah masuknya orang yang

tidak berhak yang dapat menyebabkan kegagalan pada server baik akibat

kegagalan fisik ( kabel yang tercabut) ataupun kesalahan konfigurasi.

2. Penggunaan password yang unik pada server

Setiap server diberikan password yang unik untuk bisa mengakses

kedalam. Yang mengetahui password tersebut hanyalah orang-orang

tertentu saja di dalam perusahaan, dalam hal ini adalah orang-orang

teknologi informasi. Dengan penggunaan password yang unik di harapkan

untuk menghindari kesalahan konfigurasi dan akses dari orang yang tidak

berhak dan tidak berwewenang yang ingin mengakses server dan merubah

konfigurasi.

c. Jaringan LAN

Penggunaan LAN juga dibatasi dengan akses kontrol untuk mencegah

pengaksesan berkas-berkas perusahaan oleh orang yang tidak berhak atau tidak

memiliki wewenang. Metoda ini diterapkan dengan cara:

1. Penggunaan login dan password untuk memasuki LAN

Karyawan yang ingin memasuki jaringan internal perusahaan dan

mengakses berkas-berkas pada perusahaan harus memasukan login dan

passwordnya sehingga dapat diketahui hak akses yang dimilikinya.

Metoda ini diterapkan dengan penggunaan domain controller untuk

mengatur setiap hak akses dari karyawan berdasarkan login yang

dimasukan. Dengan diterapkannya metoda ini diharapkan akses user

terhadap berkas-berkas perusahaan dapat dibatasi berdasarkan hak

aksesnya saja. Contoh: Karyawan pada divisi Produksi tidak boleh melihat

berkas-berkas yang disimpan oleh karyawan pada divisi Keuangan.


10

2. Penggunaan Virtual LAN (VLAN)

Penggunaan Virtual LAN dengan me Keuangan atau Produksi. Dengan

demikian pengaksesan berkas oleh orang yang tidak berhak dapat dicegah.

3. Pencatatan Log kegagalan login

Pada server domain juga terdapat log sebagai audit yang mencatat

kegagalan login dari user, apabila terdapat lima kali kegagalan

memasukan password maka account user tersebut akan di kunci sampai

dengan dibukakan oleh administrator. Hal ini dilakukan untuk mencegah

percobaan akses ke sumber daya server oleh orang yang tidak berhak

secara berulang-ulang.misahkan segment-segment dari jaringan komputer

untuk setiap divisi dari perusahaan diharapkan dapat mencegah

pengaksesan berkas-berkas yang seharusnya tidak boleh di akses. Karena

dengan penggunaan Virtual LAN jaringan komputer dapat di sekat-sekat

menjadi suatu segmen yang terpisah secara logis walaupun secara fisik

bergabung. Dengan pemisahan secara logis tersebut karyawan pada divisi

TI tidak dapat melihat komputer karyawan pada divisi

VII.2 Telecommunications & Network Security

Jaringan pada PT PJJ menggunakan protokol Open Standard yaitu protokol

TCP/IP berbasiskan ethernet dengan koneksi sebesar 100MB. Topologi yang digunakan

adalah topologi star dengan menggunakan switch yang masing-masing divisi dipisahkan

oleh Virtual LAN (VLAN) untuk mencegah pengaksesan berkas-berkas rahasia pada

masing-masing divisi.

Alamat IP yang digunakan adalah tipe C untuk private IP yaitu 192.168.1.x/24

dan menggunakan fasilitas NAT untuk mengakses internet melalui router. PT. PPJ juga

menggunakan DNS lokal pada server domain untuk memetakan nama-nama komputer

karyawan ke dalam alamat IP.

Firewall juga digunakan untuk melindungi jaringan lokal diakses oleh orang lain

dari Internet. Konfigurasi firewall di set seaman mungkin berdasarkan port-port yang

boleh di akses. Port yang dibuka adalah port untuk http yaitu port 80.


11

Untuk jaringan dengan kantor-kantor cabang di seluruh nusantara PT.PJJ

menggunakan jaringan Frame Relay 2MB yang diperlukan untuk saling mengirimkan

berkas-berkas redaksional dan mempermudah untuk pertukaran informasi dengan

menggunakan intranet perusahaan melalui web. Selain itu juga tersedia layanan dial-up

sebagai backup apabila jaringan frame relay mengalami kegagalan dengan menggunakan

fasilitas VPN. Konfigurasi jaringan PT. PPJ dapat dilihat pada gambar 5.

Gambar 5. Konfigurasi Jaringan PT. PPJ

Pada server-server PT. PPJ juga diimplementasikan teknologi RAID sebagai

redundansi apabila terjadi kerusakan pada salah satu disk. Dilakukan backup setiap

seminggu sekali untuk berkas-berkas yang terdapat pada server berkas. Dan untuk ruang

rapat di implementasikan Wireless LAN sehingga setiap laptop yang memiliki card

wireless dapat tersambung dengan jaringan lokal.

VII.3 Security Management Practices

Manajemen keamanan adalah proses bagaimana mengatur pengamanan

infrastruktur dapat selalu terpelihara dalam operasi sehari-hari.

PT. PPJ mengimplementasikan manajemen keamanan adalah dengan membuat aturan-

aturan dan panduan antara lain adalah aturan pembuatan password.

Contoh aturan yang diimplementasikan dalam PT. PPJ dalam hal manajemen password:

a. Panjang password harus minimal 6 karakter


12

b. Password terdiri dari huruf dan angka

c. Password diganti setiap bulan sekali

d. Penggantian password tidak boleh sama dengan password sebelumnya

e. Password tidak boleh di catat dimanapun

Selain itu PT. PPJ juga mempekerjakan IT Security specialist yang menangani

keamanan dari keseluruhan jaringan dan data-data perusahaan agar tidak bocor keluar,

juga mengatur akses kontrol dan role dari masing-masing pegawai dalam operasi sehari-

hari perusahaan.

Penggunaan domain controller untuk mengatur hak akses dari setiap karyawan

juga termasuk ke dalam manajemen keamanan yang di terapkan pada PT. PPJ. Update

antivirus setiap seminggu sekali juga merupakan manajemen keamanan yang terdapat di

PT. PPJ.

VII.4 Application and System Development Security

Application and System Development Security adalah keamanan yang berkaitan

dengan aplikasi. PT. PPJ tidak melakukan pengembangan aplikasi tetapi terdapat aplikasi

yang digunakan secara bersama-sama oleh seluruh kantor cabang, yaitu aplikasi intranet

PT. PPJ. Keamanan yang di terapkan pada aplikasi ini adalah dengan menggunakan login

dan password untuk setiap karyawan. Pada setiap login terdapat hak akses yang di

terapkan berdasarkan peranan dari masing-masing karyawan. Apabila yang login adalah

karyawan bagian keuangan maka dia akan dapat melihat anggaran keuangan yang di

rencanakan dan cash flow dari perusahaan, sementara apabila yang login adalah

karyawan bagian produksi maka hal tersebut tidak muncul.

Selain keamanan berdasarkan login dan password aplikasi ini juga berada dibalik

firewall dan hanya bisa diakses dengan menggunakan port 80 karena hanya port itu

sajalah yang diperbolehkan masuk ke dalam jaringan lokal oleh firewall.

Didalam server aplikasi ini juga di install aplikasi Intrusion Detection System

(IDS) sehingga apabila ada percobaan untuk memasuki sistem secara illegal dapat segera

diketahui. Adalah tugas dari IT Security Specialist untuk melakukan pengecekan log dari

sistem maupun dari IDS.


13

VII.5 Cryptography

Cryptography adalah proses meng enkript suatu data untuk mengamankan data

tersebut. Proses enkripsi yang terdapat pada PT. PPJ adalah penggunaan digital signature

dan metoda symetric key dalam pengiriman email.Antar kepala cabang dari PT PJJ dalam

melakukan komunikasi menggunakan email selalu menggunakan encrypsi dengan

menggunakan metoda symetric key dan disertai dengan digital signature dari pengirim

email. Hal ini dimaksudkan untuk melindungi data email yang dikirimkan agar tidak

mudah di sadap oleh orang lain ataupun di palsukan. Dengan penggunaan symetric key

dalam mengenkripsikan email maka diharapkan data email yang dikirimkan akan aman

dari sadapan orang lain, dan dengan menyertakan digital signature di dalam email maka

akan dapat menjaga ke otentikan dari email yang dikirimkan.

Selain digunakan dalam email proses enkripsi juga di gunakan untuk

mengirimkan berkas-berkas yang berhubungan dengan strategi marketing dan peluncuran

produk-produk baru yang akan dikirimkan kekantor cabang. Data akan di enkripsi

terlebih dahulu dengan menggunakan metoda symetric key sebelum dilakukan

pengiriman melalui jaringan internet. Dengan melakukan proses enkripsi diharapkan isi

dari berkas yang dikirimkan tidak akan di sadap oleh orang lain di dalam internet, karena

data tersebut berisi strategi perusahaan untuk kantor cabang. Apabila sampai tersadap

oleh pesaing PT. PPJ maka strategi tersebut akan sia-sia.

Dalam keperluan dari System Administrator untuk mengakses server pada kantor

cabang maka metoda yang digunakan adalah dengan menggunakan fasilitas SSH (Secure

Shell) yaitu fasilitas remote akses yang meng enkripsikan login dan password sebelum

dikirimkan melalui internet. Dengan melakukan metoda ini diharapkan login dan

password yang dikirimkan tidak akan di sadap oleh orang lain dan digunakan untuk

mengakses secara illegal server dari PT. PPJ.


14

VII.6 Security Architecture dan Models

Security model adalah pemodelan yang digunakan dalam rangka implementasi

konsep keamanan kedalam infrastruktur teknologi informasi. Security model terbagi

atas:

a. Bell- LaPadula

Model ini menfokuskan pada perlindungan kerahasiaan data.

- User tidak dapat membaca data pada level keamanan yang lebih tinggi

- User tidak dapat menulis data pada level keamanan yang lebih rendah

b. Biba

Model ini lebih menekankan pada integritas dari data

- User tidak dapat membaca data pada level keamanan yang lebih rendah

- User tidak bisa memodifikasi data pada level keamanan yang lebih tinggi

c. Clark-Wilson

Model ini mencegah user yang telah ter authorisasi melakukan perubahan yang

tidak diperkenankan pada data

- User hanya bisa merubah data melalui aplikasi yang ter authorisasi

- Diperlukan auditing

Berdasarkan konsep security model diatas maka security model yang digunakan

oleh PT. PPJ adalah mengedepankan aspek dari kerahasiaan informasi dengan

menggunakan model Bell-LaPadula (No read up, No write down). Setelah karyawan

memasukan login dan password kedalam domain dari PT. PPJ maka karyawan tersebut

akan terikat oleh hak akses yang dimilikinya. Karyawan tersebut tidak diperkenankan

membaca data pada level security yang lebih tinggi dari hak aksesnya hanya sebatas

keperluannya saja.

Dan menurut klasifikasi dari Orange Book maka PT. PPJ dapat diklasifikasikan

kedalam kelas C2 (Controlled Access Protection) dimana setiap karyawan diperlukan

identifikasi melalui login dan password sebelum diperkenankan memasuki jaringan lokal

PT. PPJ dan mengakses sumber daya.


15

VII.7 Operations Security

Operation Security adalah kegiatan rutin untuk memelihara operasional sehari-

hari setelah infrastruktur teknologi informasi di implementasikan agar selalu berjalan

dengan baik dan dalam keadaan aman.

Kegiatan Operation Security yang dilakukan di PT. PPJ untuk menjaga operasi

sehari-hari infrastruktur teknologi informasinya adalah:

a. Mengupdate patch pada server windows yang dilakukan oleh system

administrator

b. Mengupdate antivirus update definition

c. Selalu memeriksa log dari audit login apakah ada yang mencuriga kan

d. Memeriksa log dari IDS. Clipping level di berlakukan pada log-log yang

dihasilkan sehingga hanya pada level tertentu saja maka hal tersebut dianggap

mencurigakan

e. Dilakukan dokumentasi change control dalam hal seperti ada komputer baru yang

terinstall dan masuk kedalam jaringan LAN, aplikasi baru, patch baru, dan

perubahan konfigurasi network

f. Menerapkan least privillages atau need-to-know kepada setiap user dimana hanya

mendapatkan privilleges yang paling minimum dalam melakukan pekerjaannya.

g. Dalam hal keamanan pada email maka PT. PPJ selalu mengedukasi karyawannya

mengenai keamanan email, email sepeti apa yang mengandung virus dan tidak

boleh di buka.

h. Selain itu juga selalu mengupdate definisi email scanner di dalam server email.

VII.8 Disaster Recovery & Business Continuity Plan

Disaster Recovery dan Business Continuity Plan adalah proses untuk

meminimalisasikan efek yang disebabkan terjadinya bencana dan melakukan proses

pemulihan dengan secepatnya sehingga bisnis dapat berjalan dengan baik kembali. PT.

PPJ telah menganalisa Business Analisis Impact dalam hal terjadi kegagalan pada

infrastruktur. Proses BIA yang dilakukan adalah sebagai berikut:

a. Mendeskripsikan komponen yang berhubungan dengan infrastruktur

Komponen pembentuk infrastruktur dapat di lihat pada tabel dibawah ini:


16

KOMPONEN JUMLAH SERVER EMAIL 1

SERVER DOMAIN 1 SERVER FILE 1

PC KLIEN 35 PRINTER 15

SCANNER 5 SWITCH 2 ROUTER 1

Tabel 3. Komponen yang berkaitan dengan Infrastruktur

b. Kemudian mengidentifikasi akibat dan toleransi dari kegagalan

Berdasarkan konsultasi dengan pengguna sumber daya PT. PPJ maka didapat

akibat dan toleransi dari kegagalan seperti pada tabel 4.

KOMPONEN AKIBAT TOLERANSI KEGAGALAN

SERVER EMAIL User tidak dapat mengirim dan menerima email, email yang lama pada server hilang

2 Hari

SERVER DOMAIN User tidak dapat login ke dalam jaringan dan mengambil berkas yang dibutuhkan

2 Hari

SERVER FILE User tidak dapat mengambil berkas yang dibutuhkan dan ada kemungkinan berkas tersebut hilang

1 Hari

10 PC KLIEN User tidak dapat bekerja dengan komputer nya

1 Hari

3 PRINTER User tidak dapat mencetak laporan ataupun sample dari produksi

5 Hari

2 SCANNER User tidak dapat men scan gambar dalam kegiatan produksi

3 Hari

1 SWITCH User tidak dapat koneksi kedalam jaringan untuk login kedalam domain

2 Hari

1 ROUTER User tidak dapat melakukan koneksi ke kantor cabang dan tidak dapat melakukan koneksi ke internet

2 Hari

Tabel 4. Akibat dan Toleransi kegagalan dari Infrastruktur TI


17

c. Analisa Rancangan Ketersediaan Infrastruktur PT. PPJ

Berdasarkan tabel pada tahap ke dua maka dapat PT. PPJ membuat perancangan

ketersediaan infrastruktur untuk komponen-komponen infrastruktur sebagai

berikut:

a. Server

• Dual Power Supply

Pada server untuk mencegah kegagalan akibat kerusakan pada power

supply maka server-server yang kritikal dibuat dengan konfigurasi

menggunakan dual power supply, sehingga apabila terjadi kerusakan pada

salah satu power supply server dapat tetap beroperasi secara normal

• UPS

UPS digunakan untuk mencegah kegagalan akibat kelistrikan. Apabila

terjadi kegagalan akibat kelistrikan maka UPS dapat untuk sementara

menyediakan tenaga listrik sementara proses berjalan. Dan jika kegagalan

berlangsung lama admin dapat mematikan server secara normal untuk

mencegah terjadinya kehilangan data.

• RAID

Solusi RAID digunakan untuk mencegah kegagalan pada disk sebagai

metoda redundansi disk. Solusi RAID yang digunakan adalah RAID 0+1.

Dengan implementasi solusi RAID 0+1 yaitu striping dan mirrorin maka

apabila terjadi kegagalan pada salah satu disk masih terdapat mirror nya

pada disk yang lain. Juga dengan implementasi striping dapat

mempercepat proses transaksi.

• Backup data Server

Proses backup dilakukan setiap seminggu sekali mengunakan tape backup.

Dengan adanya backup diharapkan apabila terjadi kerusakan pada data di

server data yang hilang tidak terlalu banyak atau tidak ada data yang

hilang sama sekali.

• Dual Ethernet

Dual ethernet adalah solusi server untuk mencegah kegagalan pada

interface ethernet. Dengan adanya dua ethernet sehingga apabila salah satu


18

ethernet mengalami kerusakan dapat dengan segera digantikan oleh

ethernet cadangannya. Dengan demikian akan mengurangi waktu akibat

terjadinya kegagalan akibat kerusakan ethernet.

b. PC Client

Untuk solusi ketersediaan PC Client PT. PPJ memberlakukan solusi sebagai

berikut:

• Implementasi Konsep Imaging

Dengan ada nya image dari komputer klien proses pemulihan komputer

dapat dilakukan dengan cepat tanpat perlu menginstall semua aplikasi lagi

cukup dengan me-restore image yang terlah dibuat.

• Penyimpanan berkas pada Server Berkas

Setiap karyawan diwajibkan untuk menyimpan data-data pekerjaannya

pada server berkas. Dengan demikian apabila terjadi kegagalan pada

komputernya data-data pekerjaan masih dapat diambil pada server berkas

dan pekerjaan masih dapat dilakukan dengan menggunakan komputer

lainnya.

c. Printer

Solusi printer PT. PPJ memberlakukan backup antar printer, disediakan

minimal terdapat 3 printer yang berjalan secara normal. Apabila terjadi

kegagalan pada salah satu printer maka karyawan dapat menggunakan printer

yang lainnya karena semua printer terhubung dengan jaringan.

d. Scanner

Solusi scanner adalah sama seperti solusi printer diberlakukan backup antar

scanner selama masih ada 2 scanner yang masih berfungsi proses bisnis masih

dapat berjalan dengan baik.


19

e. Switch

Untuk solusi ketersediaan switch PT. PPJ menyediakan 2 buah switch sebagai

backup apabila salah satu switch mengalami kegagalan dapat menggunakan

switch yang satunya lagi sebagai redundansi. Kedua nya sudah terhubung ke

dalam jaringan. Disediakan juga extra port sebagai solusi redundansi port

switch.

f. Router

Untuk keperluan koneksi ke internet dan ke kantor cabang PT. PPJ

menyediakan fasilitas modem dengan dial-up sebagai cadangan backup

apabila terjadi kegagalan pada router. Selama router diperbaiki agar proses

bisnis dapat tetap berjalan dengan baik maka solusi dial-up menjadi backup

nya.

VII.9 Laws, Investigation & Ethics

Laws, Investigations & Ethics adalah mengenai keamanan dari segi hukum dan

etika serta kejahatan di dalam dunia komputer. Dalam hal hukum PT. PPJ selalu

mengedepankan aspek legalitas sebagaimana produk-produk PT. PPJ juga selalu

menyertakan label CopyRight sebagai hak cipta dari PT. PPJ. Pengunaan software adalah

pembelian asli berlisensi seperti software sistem operasi microsoft windows xp adalah

berasal dari pembelian komputer branded. Begitu juga untuk software-software pada

server semuanya adalah berlisensi.

VII.10 Phisical Security

Physical Security adalah suatu metoda yang digunakan untuk melindungi aset

perusahaan dari ancaman secara fisik. Ancaman yang dapat terjadi adalah:

1. Ancaman dari dalam (Internal Physical Threats) sepertu kebakaran, kegagalan

pada kelistrikan

2. Ancaman dari Manusia (Human Threats) seperti pencurian, perusakan

3. Ancaman dari luar (External Threats) seperti banjir, gempa bumi


20

Implementasi PT. PPJ terhadap keamanan secara fisik diantaranya adalah menerapkan:

1. Penjagaan satpam secara shift di pintu masuk ke kantor.

Hal ini untuk melindungi ancaman dari manusia seperti pencurian dan perusakan

2. Penggunaan magnetik card untuk setiap karyawan.

Dengan penerapan magnetik card dapat membatasi orang yang dapat masuk ke

dalam kantor yang akan meningkatkan keamanan aset dari ancaman tindak

pencurian oleh orang luar. Selain itu dengan penerapan magnetik card ini dapat

diketahui log dari keluar masuknya pegawai sehingga apabila terjadi pencurian

dapat diketahui siapa yang berada di dalam kantor pada saat kejadian

berlangsung.

3. Ruang server yang selalu terkunci dengan hak akses yang terbatas

Ruang server selalu terkunci dan yang dapat memasuki ruang server terbatas

hanya oleh beberapa orang saja dengan hak akses tertentu. Hal ini untuk

mencegah terjadi nya orang masuk dan melakukan miskonfigurasi pada server

ataupun pada perangkat jaringan.

4. Penggunaan UPS pada server

Dengan digunakannya UPS pada server dapat mencegah kegagalan server yang

diakibatkan kegagalan pada kelistrikan. Dalam rentang waktu tertentu apabila

kegagalan kelistrikan tetap berlangsung maka server dapat dimatikan secara

normal dengan menggunakan tenaga baterai dari UPS.

5. Fire Detector

PT. PPJ menerapkan fire detektor pada setiap ruangan kantornya sehingga apabila

terjadi kebakaran pada suatu ruangan dapat dengan segera mengaktifkan alarm

dan menyiramkan air untuk mematikan api agar tidak menyebar pada ruangan

lainnya.


21


22

VII.11 Auditing & Assurance

Dalam hal penerapan Audit Sistem Informasi di PT. PPJ maka hal-hal yang perlu

di audit adalah:

1. Audit Internal Jaringan LAN

Hal yang perlu di audit adalah apakah setiap karyawan sudah memperoleh hak

akses yang sesuai dengan pekerjaannya ataukah ada beberapa karyawan yang

ternyata memiliki hal akses yang berlebih sehingga dapat melihat atau merubah

berkas-berkas yang bukan merupakan haknya.

2. Audit External Jaringan WAN

Yang perlu di audit adalah konfigurasi dari Router dan Firewall, apakah

konfigurasi Router sudah di lakukan dengan mempertimbangkan aspek keamanan

ataukah hanya mempertimbangkan akses koneksi saja. Dan konfigurasi firewall

apakah sudah aman sehingga dapat mencegah akses sumber daya perusahaan dari

luar jaringan internet oleh orang-orang yang tidak bertanggung jawab.

Dengan demikian hal-hal yang perlu di perhatikan diantaranya adalah konfigurasi dari

peralatan jaringan beserta dengan log-log yang dihasilkannya.

universitas indonesia -...

Documents