universitas indonesia -...
TRANSCRIPT
Universitas Indonesia
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
P.T Penerbit Percetakan Jaya
Ade Gunawan - 7203010022
Dananjaya - 7203010081
Kekhususan Teknologi Informasi
Program Magister Ilmu Komputer
Fakultas Ilmu Komputer
Universitas Indonesia
2004
”@ 2004 Kelompok 74 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini”
TUGAS 1
Studi Kasus: PT. Penerbit Percetakan Jaya
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
i
Daftar Isi I. Pendahuluan ...........................................................................................................................1 II. Susunan Organisasi PT. PPJ...................................................................................................1 III. Analisa Jaringan Komputer PT. PPJ.......................................................................................3 IV. Floor Plan PT. PPJ..................................................................................................................5 V. Konfigurasi Rack Server PT. PPJ...........................................................................................6 VI. Analisa Konfigurasi Struktur Jaringan WAN PT. PPJ ...........................................................7 VII. Analisa 11 (Sebelas) Domain Keamanan Pada Infrastruktur Teknologi Informasi PT. PPJ..9
VII.1 Access Control Systems and Methodology ............................................................... 9 VII.2 Telecommunications & Network Security .............................................................. 11 VII.3 Security Management Practices............................................................................... 12 VII.4 Application and System Development Security ...................................................... 13 VII.5 Cryptography ........................................................................................................... 14 VII.6 Security Architecture dan Models ........................................................................... 15 VII.7 Operations Security ................................................................................................. 16 VII.8 Disaster Recovery & Business Continuity Plan ...................................................... 16 VII.9 Laws, Investigation & Ethics................................................................................... 20 VII.10 Phisical Security ...................................................................................................... 20 VII.11 Auditing & Assurance ............................................................................................. 22
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
ii
Daftar Tabel Tabel 1. Spesifikasi Komputer PT. PPJ........................................................................................... 4 Tabel 2. Spesifikasi Server PT. PPJ ................................................................................................ 5 Tabel 3. Komponen yang berkaitan dengan Infrastruktur ............................................................. 17 Tabel 4. Akibat dan Toleransi kegagalan dari Infrastruktur TI ..................................................... 17
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
iii
Daftar Gambar Gambar 1. Struktur Organisasi PT. PPJ _____________________________________________ 3 Gambar 2. Denah Floor Plan PT. PPJ ______________________________________________ 6 Gambar 3. Konfigurasi Rack Server PT. PPJ_________________________________________ 7 Gambar 4. Konfigurasi Jaringan WAN PT. PPJ ______________________________________ 8 Gambar 5. Konfigurasi Jaringan PT. PPJ___________________________________________ 12
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
iv
I. Pendahuluan
P.T Penerbit Percetakan Jaya adalah sebuah perusahaan yang bergerak di bidang
percetakan dan penerbitan, perusahaan ini berdiri pada tahun 1945 diawali dengan
pembukaan kantor pertama di jakarta di bilangan ruko tanah abang dengan luas bangunan
sebesar 250M2. Pendiri PT. PPJ adalah dua bersaudara Aseng dan Ahong warga
Indonesia keturunan tionghoa yang sekarang menjadi Direktur dari perusahaan.
Dengan berjalannya waktu maka semakin berkembanglah bisnis percetakan dan
penerbitan milik dua bersaudara ini, yang semula hanya melayani percetakan kartu
undangan pernikahan dan sunatan sekarang sudah melayani pencetakan buku best seller,
surat kabar dan majalah serta tabloid. Cabang perusahaanpun sudah terdapat pada
berbagai kota-kota besar di indonesia, diantaranya adalah di Jakarta, Surabaya, Medan,
Balik Papan dan Ujung Pandang. Pada saat dibentuk Aseng dan Ahong hanya
mengeluarkan modal sebesar tiga juta rupiah dan saat ini sudah berkembang menjadi aset
trilyunan rupiah dengan omzet pertahun berkisar 50 Milyar.
Tulisan ini akan melakukan analisa dalam hal keamanan pada infrastruktur
teknologi informasi yang di terapkan pada PT. PPJ. Hal pertama yang dilakukan adalah
dengan mensurvey dan membuat konfigurasi dari infrastruktur yang saat ini sudah
diterapkan, setelah itu akan mengkaji konfigurasi keamanan berdasarkan ke sebelas
domain keamanan infrastruktur teknologi informasi.
II. Susunan Organisasi PT. PPJ
PT. PPJ dikepalai oleh dua orang direktur yaitu Aseng dan Ahong yang mana
keduanya menjabat sebagai direktur utama dari PT. PPJ. Setelah itu dibawah direktur
terdapat 5 orang manajer yang masing-masing mengepalai setiap bagian divisi dari PT.
PPJ. Divisi yang ada adalah:
- Divisi Produksi
Divisi yang khusus menangani produksi dari PT. PPJ seperti pembuatan
layout buku, pencetakan buku sampai dengan pendistribusiannya
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
1
- Divisi Development
Divisi ini bertugas untuk melakukan pengembangan produk seperti pembuatan
design, layout dan melakukan editing
- Divisi Keuangan
Divisi ini melakukan perencanaan anggaran keuangan bagi perusahaan dan
merencanakan cashflow dari perusahaan
- Divisi Pemasaran dan Sales
Divisi yang melakukan kegiatan mencari pasar dan menjual produk jasa yang
di berikan oleh perusahaan dalam hal percetakan dan penerbitan.
- Divisi Teknologi Informasi
Divisi ini bertugas melakukan perencanaan infrastruktur bagi perusahaan
sekaligus memeliharanya.
Setiap manajer mengepalai dan mengatur anggota divisi yang bertugas untuk
berbagai kegiatan sepeti manajer produksi mengepalai dan mengatur anggotanya yang
bertugas untuk melakukan tugas produksi seperti percetakan, penerbitan dan distribusi.
Begitu juga untuk manajer TI mengepalai anggota-anggota divisinya yang bertugas untuk
memelihara jaringan, sistem dan database. Bagan struktur oranisasi PT. PPJ dapat dilihat
pada gambar I.
Disamping struktur organisasi yang menggambarkan personel fungsional pada
perusahaan juga terdapat personel yang berfungsi sebagai pendukung dalam melakukan
bisnis perusahaan. Personel pendukung tersebut adalah untuk satu kantor terdapat dua
orang office boy, dua orang supir perusahaan dan tiga orang satpam untuk menjaga aset-
aset dari perusahaan. Dan juga sesuai dengan kebijakan perusahaan maka dalam setiap
bagian divisi perusahaan setidaknya terdapat dua orang dengan keahlian yang sama
sebagai cadangan apabila orang tersebut melakukan cuti ataupun sakit sehingga tidak
masuk kerja sementara ada pekerjaan yang harus diselesaikan dengan segera. Dengan
kebijakan ini diharapkan bisnis perusahaan akan tetap dapat berjalan dengan normal
walaupun terdapat karyawan yang berhalangan masuk kerja.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
2
Gambar 1. Struktur Organisasi PT. PPJ
Dalam melakukan aktifitas operasi perusahaan PT. PPJ memberlakukan dua buah
shift kerja yaitu shift pagi untuk melakukan pencetakan pada sore hari, dan shift malam
untuk melakukan pencetakan pada pagi hari. Juga ada shift untuk hari libur seperti sabtu
dan minggu yang dijadwalkan untuk setiap pegawai dengan menggantikan hari liburnya.
III. Analisa Jaringan Komputer PT. PPJ
Dalam rangka memudahkan dan mengeffektifkan kerja dari pada karyawannya
dan untuk meningkatkan kinerja perusahaan maka sejak tahun 1997 PT. PPJ sudah
menerapkan infrastruktur Local Area Network di dalam perusahaannya.
Pada setiap divisi terdapat komputer dengan spesifikasi yang berbeda-beda, untuk
komputer divisi produksi dan development diberikan spesifikasi yang lebih tinggi dari
pada divisi lainnya, hal ini disebabkan pada divisi ini dibutuhkan komputer yang cukup
bertenaga untuk melakukan editing gambar dengan resolusi tinggi. Dan untuk divisi
marketing dan sales di berikan masing-masing laptop karena kerja nya yang berpindah-
pindah untuk melakukan penjualan dan analisa pasar. Tabel dibawah ini menerangkan
jumlah dan spesifikasi dari komputer karyawan PT. PPJ.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
3
Divisi Spesifikasi Jumlah PC Desktop 10 Buah Processor: Pentium 4 Memory : 1GB Video RAM : 512 MB OS: Microsoft Windows XP
Printers 5 Buah
Produksi
Scaner 5 Buah PC Desktop 5 Buah Processor: Pentium 4 Memory : 1GB Video RAM : 512 MB OS: Microsoft Windows XP
Development
Printers 3 Buah Mobile Computer 7 Buah Processor: Pentium III Memory : 256MB Video RAM : 128 MB OS: Microsoft Windows XP
Marketing dan Sales
Printers 3 Buah PC Desktop 3 Buah Processor: Pentium 4 Memory : 256MB Video RAM : 128MB OS: Microsoft Windows XP
Keuangan
Printers 1 Buah PC Desktop 7 Buah Processor: Pentium 4 Memory : 512MB Video RAM : 256MB OS: Microsoft Windows XP
Teknologi Informasi
Printers 2 Buah PC Desktop 2 Buah Processor: Pentium III Memory : 256MB Video RAM : 128MB OS: Microsoft Windows XP
Administrasi
Printers 1 Buah
Tabel 1. Spesifikasi Komputer PT. PPJ
Selain itu juga terdapat tiga buah server yang berfungsi sebagai pendukung dari
infrastruktur teknologi informasi yang di terapkan pada PT. PPJ. Server yang beroperasi
dapat dilihat pada tabel 2.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
4
Server Spesifikasi Fungsi File Server Processor: Pentium 4
Memory: 1 GB Video RAM: 256 MB OS: Microsoft Windows 2003
Sebagai tempat meletakan berkas-berkas pekerjaan dari karyawan agar tersentralisasi dan mudah melakukan pemeliharaan.
Domain Server Processor: Pentium 4 Memory: 512 GB Video RAM: 256 MB OS: Microsoft Windows 2003
Sebagai domain controller yang berfungsi mengatur login dan hak akses dari komputer karyawan terhadap berkas-berkas di file server.
Mail Server Processor: Pentium 4 Memory: 1 GB Video RAM: 1GB OS: Microsoft Windows 2003 Aplikasi: Microsoft Exchange
Sebagai server untuk menampung dan mengirimkan email karyawan.
Tabel 2. Spesifikasi Server PT. PPJ
IV. Floor Plan PT. PPJ
Berdasarkan divisi dari PT. PPJ dibuat suatu rancangan denah dari ruangan yang
digunakan oleh perusahaan. Divisi terbagi atas 5 bagian yang masing-masing menempati
ruangan tersendiri dan juga terdapat ruangan server, pantry dan front office. Denah ini
berguna untuk mengetahui rancangan dari infrastruktur jaringan komputer PT. PPJ.
Komponen yang terlibat antara lain adalah komputer, printer, scanner dan telepon. Untuk
ruang server komponennya adalah server, switch dan PABX. Denah dapat dilihat pada
Gambar 2.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
5
Gambar 2. Denah Floor Plan PT. PPJ
V. Konfigurasi Rack Server PT. PPJ
PT. PPJ memiliki 3 buah server, 2 diantaranya di letakan pada rack server yaitu
server email, dan file server sementara server domain berada pada meja bersama dengan
monitor CRT. Pada rack server terdapat patch panel, switch, router berfungsi sebagai
gateway ke internet, firewall berfungsi untuk menfilter akses ke dalam jaringan lokal dari
internet, tape backup untuk melakukan backup file server, ups dan server. Juga terdapat
modem yang berfungsi sebagai backup apabila jaringan WAN mengalami kegagalan
perusahaan dapat melakukan dial ke internet untuk mengakses data pada kantor cabang.
Konfigurasi rack server dapat dilihat pada gambar 3.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
6
Gambar 3. Konfigurasi Rack Server PT. PPJ
VI. Analisa Konfigurasi Struktur Jaringan WAN PT. PPJ
PT. PPJ memiliki cabang yang berada pada kota-kota besar di seluruh indonesia,
diantaranya adalah Medan, Ujung Pandang, Surabaya dan Balik Papan. Untuk setiap
cabang PT. PPJ menggunakan jaringan WAN berupa Frame Relay melalui internet.
Jaringan ini berfungsi untuk mempermudahkan sarana komunikasi antar cabang dan juga
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
7
untuk mengakses aplikasi web yang berada pada cabang di Jakarta. Untuk setiap cabang
PT. PPJ memiliki konfigurasi yang terhubung antara jaringan intern perusahaan dengan
jaringan internet melalui router dan menggunakan firewall untuk mencegah orang dari
internet masuk ke dalam jaringan intern dan merusak atau mengambil data-data
perusahaan. Konfigurasi jaringan WAN PT. PPJ dapat dilihat pada gambar 4.
Gambar 4. Konfigurasi Jaringan WAN PT. PPJ
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
8
VII. Analisa 11 (Sebelas) Domain Keamanan Pada Infrastruktur Teknologi Informasi PT. PPJ
VII.1 Access Control Systems and Methodology
Access Control Systems adalah suatu metoda bagaimana mengkontrol
pengaksesan sumber daya sehingga mencegah pembukaan dan pemodifikasian oleh
orang-orang yang tidak berhak.
Penerapan akses kontrol oleh PT. PPJ di terapkan terhadap:
a. Ruangan Kantor
Ruangan kantor dijaga agar hanya dapat dimasuki oleh orang-orang yang berhak
saja, seperti karyawan PT. PPJ. Untuk itu metoda pengamanan nya adalah:
1. Penjagaan oleh Satpam
Untuk keamanan ruangan di pintu depan terdapat receptionist dan satpam
sehingga apabila ada tamu ia tidak di perbolehkan memasuki ruang kantor
begiru saja. Hal ini untuk menghindari tamu tersebut menggunakan salah
satu komputer karyawan dan mengakses jaringan lokal PT.PJJ untuk
mengambil data ataupun untuk menghindari terjadinya pencurian.
2. Penggunaan Magnetic Card Access Control
Penggunaan magnetic card sebagai access control keluar masuk ruangan
perkantoran sehingga diharapkan yang dapat memasuki ruangan kantor
hanyalah orang-orang yang berhak saja seperti karyawan PT. PPJ. Hal ini
untuk menghindari terjadinya pencurian dan perusakan baik barang
ataupun data oleh orang yang tidak berhak dan tidak berwewenang.
b. Ruangan Server
Ruangan server memerlukan akses kontrol untuk menjaga terjadinya kesalahan
konfigurasi server oleh orang yang tidak berhak. Akses kontrol yang dilakukan
diantaranya adalah:
1. Penggunaan Akses magnetic card yang terbatas
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
9
Ruangan server selalu terkunci dan yang hanya dapat dibuka dengan
menggunakan magnetic card karyawan tertentu. Dalam hal ini adalah
bagian Teknologi Informasi seperti Netwok Administrator atau System
Administrator. Hal ini dilakukan untuk mencegah masuknya orang yang
tidak berhak yang dapat menyebabkan kegagalan pada server baik akibat
kegagalan fisik ( kabel yang tercabut) ataupun kesalahan konfigurasi.
2. Penggunaan password yang unik pada server
Setiap server diberikan password yang unik untuk bisa mengakses
kedalam. Yang mengetahui password tersebut hanyalah orang-orang
tertentu saja di dalam perusahaan, dalam hal ini adalah orang-orang
teknologi informasi. Dengan penggunaan password yang unik di harapkan
untuk menghindari kesalahan konfigurasi dan akses dari orang yang tidak
berhak dan tidak berwewenang yang ingin mengakses server dan merubah
konfigurasi.
c. Jaringan LAN
Penggunaan LAN juga dibatasi dengan akses kontrol untuk mencegah
pengaksesan berkas-berkas perusahaan oleh orang yang tidak berhak atau tidak
memiliki wewenang. Metoda ini diterapkan dengan cara:
1. Penggunaan login dan password untuk memasuki LAN
Karyawan yang ingin memasuki jaringan internal perusahaan dan
mengakses berkas-berkas pada perusahaan harus memasukan login dan
passwordnya sehingga dapat diketahui hak akses yang dimilikinya.
Metoda ini diterapkan dengan penggunaan domain controller untuk
mengatur setiap hak akses dari karyawan berdasarkan login yang
dimasukan. Dengan diterapkannya metoda ini diharapkan akses user
terhadap berkas-berkas perusahaan dapat dibatasi berdasarkan hak
aksesnya saja. Contoh: Karyawan pada divisi Produksi tidak boleh melihat
berkas-berkas yang disimpan oleh karyawan pada divisi Keuangan.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
10
2. Penggunaan Virtual LAN (VLAN)
Penggunaan Virtual LAN dengan me Keuangan atau Produksi. Dengan
demikian pengaksesan berkas oleh orang yang tidak berhak dapat dicegah.
3. Pencatatan Log kegagalan login
Pada server domain juga terdapat log sebagai audit yang mencatat
kegagalan login dari user, apabila terdapat lima kali kegagalan
memasukan password maka account user tersebut akan di kunci sampai
dengan dibukakan oleh administrator. Hal ini dilakukan untuk mencegah
percobaan akses ke sumber daya server oleh orang yang tidak berhak
secara berulang-ulang.misahkan segment-segment dari jaringan komputer
untuk setiap divisi dari perusahaan diharapkan dapat mencegah
pengaksesan berkas-berkas yang seharusnya tidak boleh di akses. Karena
dengan penggunaan Virtual LAN jaringan komputer dapat di sekat-sekat
menjadi suatu segmen yang terpisah secara logis walaupun secara fisik
bergabung. Dengan pemisahan secara logis tersebut karyawan pada divisi
TI tidak dapat melihat komputer karyawan pada divisi
VII.2 Telecommunications & Network Security
Jaringan pada PT PJJ menggunakan protokol Open Standard yaitu protokol
TCP/IP berbasiskan ethernet dengan koneksi sebesar 100MB. Topologi yang digunakan
adalah topologi star dengan menggunakan switch yang masing-masing divisi dipisahkan
oleh Virtual LAN (VLAN) untuk mencegah pengaksesan berkas-berkas rahasia pada
masing-masing divisi.
Alamat IP yang digunakan adalah tipe C untuk private IP yaitu 192.168.1.x/24
dan menggunakan fasilitas NAT untuk mengakses internet melalui router. PT. PPJ juga
menggunakan DNS lokal pada server domain untuk memetakan nama-nama komputer
karyawan ke dalam alamat IP.
Firewall juga digunakan untuk melindungi jaringan lokal diakses oleh orang lain
dari Internet. Konfigurasi firewall di set seaman mungkin berdasarkan port-port yang
boleh di akses. Port yang dibuka adalah port untuk http yaitu port 80.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
11
Untuk jaringan dengan kantor-kantor cabang di seluruh nusantara PT.PJJ
menggunakan jaringan Frame Relay 2MB yang diperlukan untuk saling mengirimkan
berkas-berkas redaksional dan mempermudah untuk pertukaran informasi dengan
menggunakan intranet perusahaan melalui web. Selain itu juga tersedia layanan dial-up
sebagai backup apabila jaringan frame relay mengalami kegagalan dengan menggunakan
fasilitas VPN. Konfigurasi jaringan PT. PPJ dapat dilihat pada gambar 5.
Gambar 5. Konfigurasi Jaringan PT. PPJ
Pada server-server PT. PPJ juga diimplementasikan teknologi RAID sebagai
redundansi apabila terjadi kerusakan pada salah satu disk. Dilakukan backup setiap
seminggu sekali untuk berkas-berkas yang terdapat pada server berkas. Dan untuk ruang
rapat di implementasikan Wireless LAN sehingga setiap laptop yang memiliki card
wireless dapat tersambung dengan jaringan lokal.
VII.3 Security Management Practices
Manajemen keamanan adalah proses bagaimana mengatur pengamanan
infrastruktur dapat selalu terpelihara dalam operasi sehari-hari.
PT. PPJ mengimplementasikan manajemen keamanan adalah dengan membuat aturan-
aturan dan panduan antara lain adalah aturan pembuatan password.
Contoh aturan yang diimplementasikan dalam PT. PPJ dalam hal manajemen password:
a. Panjang password harus minimal 6 karakter
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
12
b. Password terdiri dari huruf dan angka
c. Password diganti setiap bulan sekali
d. Penggantian password tidak boleh sama dengan password sebelumnya
e. Password tidak boleh di catat dimanapun
Selain itu PT. PPJ juga mempekerjakan IT Security specialist yang menangani
keamanan dari keseluruhan jaringan dan data-data perusahaan agar tidak bocor keluar,
juga mengatur akses kontrol dan role dari masing-masing pegawai dalam operasi sehari-
hari perusahaan.
Penggunaan domain controller untuk mengatur hak akses dari setiap karyawan
juga termasuk ke dalam manajemen keamanan yang di terapkan pada PT. PPJ. Update
antivirus setiap seminggu sekali juga merupakan manajemen keamanan yang terdapat di
PT. PPJ.
VII.4 Application and System Development Security
Application and System Development Security adalah keamanan yang berkaitan
dengan aplikasi. PT. PPJ tidak melakukan pengembangan aplikasi tetapi terdapat aplikasi
yang digunakan secara bersama-sama oleh seluruh kantor cabang, yaitu aplikasi intranet
PT. PPJ. Keamanan yang di terapkan pada aplikasi ini adalah dengan menggunakan login
dan password untuk setiap karyawan. Pada setiap login terdapat hak akses yang di
terapkan berdasarkan peranan dari masing-masing karyawan. Apabila yang login adalah
karyawan bagian keuangan maka dia akan dapat melihat anggaran keuangan yang di
rencanakan dan cash flow dari perusahaan, sementara apabila yang login adalah
karyawan bagian produksi maka hal tersebut tidak muncul.
Selain keamanan berdasarkan login dan password aplikasi ini juga berada dibalik
firewall dan hanya bisa diakses dengan menggunakan port 80 karena hanya port itu
sajalah yang diperbolehkan masuk ke dalam jaringan lokal oleh firewall.
Didalam server aplikasi ini juga di install aplikasi Intrusion Detection System
(IDS) sehingga apabila ada percobaan untuk memasuki sistem secara illegal dapat segera
diketahui. Adalah tugas dari IT Security Specialist untuk melakukan pengecekan log dari
sistem maupun dari IDS.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
13
VII.5 Cryptography
Cryptography adalah proses meng enkript suatu data untuk mengamankan data
tersebut. Proses enkripsi yang terdapat pada PT. PPJ adalah penggunaan digital signature
dan metoda symetric key dalam pengiriman email.Antar kepala cabang dari PT PJJ dalam
melakukan komunikasi menggunakan email selalu menggunakan encrypsi dengan
menggunakan metoda symetric key dan disertai dengan digital signature dari pengirim
email. Hal ini dimaksudkan untuk melindungi data email yang dikirimkan agar tidak
mudah di sadap oleh orang lain ataupun di palsukan. Dengan penggunaan symetric key
dalam mengenkripsikan email maka diharapkan data email yang dikirimkan akan aman
dari sadapan orang lain, dan dengan menyertakan digital signature di dalam email maka
akan dapat menjaga ke otentikan dari email yang dikirimkan.
Selain digunakan dalam email proses enkripsi juga di gunakan untuk
mengirimkan berkas-berkas yang berhubungan dengan strategi marketing dan peluncuran
produk-produk baru yang akan dikirimkan kekantor cabang. Data akan di enkripsi
terlebih dahulu dengan menggunakan metoda symetric key sebelum dilakukan
pengiriman melalui jaringan internet. Dengan melakukan proses enkripsi diharapkan isi
dari berkas yang dikirimkan tidak akan di sadap oleh orang lain di dalam internet, karena
data tersebut berisi strategi perusahaan untuk kantor cabang. Apabila sampai tersadap
oleh pesaing PT. PPJ maka strategi tersebut akan sia-sia.
Dalam keperluan dari System Administrator untuk mengakses server pada kantor
cabang maka metoda yang digunakan adalah dengan menggunakan fasilitas SSH (Secure
Shell) yaitu fasilitas remote akses yang meng enkripsikan login dan password sebelum
dikirimkan melalui internet. Dengan melakukan metoda ini diharapkan login dan
password yang dikirimkan tidak akan di sadap oleh orang lain dan digunakan untuk
mengakses secara illegal server dari PT. PPJ.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
14
VII.6 Security Architecture dan Models
Security model adalah pemodelan yang digunakan dalam rangka implementasi
konsep keamanan kedalam infrastruktur teknologi informasi. Security model terbagi
atas:
a. Bell- LaPadula
Model ini menfokuskan pada perlindungan kerahasiaan data.
- User tidak dapat membaca data pada level keamanan yang lebih tinggi
- User tidak dapat menulis data pada level keamanan yang lebih rendah
b. Biba
Model ini lebih menekankan pada integritas dari data
- User tidak dapat membaca data pada level keamanan yang lebih rendah
- User tidak bisa memodifikasi data pada level keamanan yang lebih tinggi
c. Clark-Wilson
Model ini mencegah user yang telah ter authorisasi melakukan perubahan yang
tidak diperkenankan pada data
- User hanya bisa merubah data melalui aplikasi yang ter authorisasi
- Diperlukan auditing
Berdasarkan konsep security model diatas maka security model yang digunakan
oleh PT. PPJ adalah mengedepankan aspek dari kerahasiaan informasi dengan
menggunakan model Bell-LaPadula (No read up, No write down). Setelah karyawan
memasukan login dan password kedalam domain dari PT. PPJ maka karyawan tersebut
akan terikat oleh hak akses yang dimilikinya. Karyawan tersebut tidak diperkenankan
membaca data pada level security yang lebih tinggi dari hak aksesnya hanya sebatas
keperluannya saja.
Dan menurut klasifikasi dari Orange Book maka PT. PPJ dapat diklasifikasikan
kedalam kelas C2 (Controlled Access Protection) dimana setiap karyawan diperlukan
identifikasi melalui login dan password sebelum diperkenankan memasuki jaringan lokal
PT. PPJ dan mengakses sumber daya.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
15
VII.7 Operations Security
Operation Security adalah kegiatan rutin untuk memelihara operasional sehari-
hari setelah infrastruktur teknologi informasi di implementasikan agar selalu berjalan
dengan baik dan dalam keadaan aman.
Kegiatan Operation Security yang dilakukan di PT. PPJ untuk menjaga operasi
sehari-hari infrastruktur teknologi informasinya adalah:
a. Mengupdate patch pada server windows yang dilakukan oleh system
administrator
b. Mengupdate antivirus update definition
c. Selalu memeriksa log dari audit login apakah ada yang mencuriga kan
d. Memeriksa log dari IDS. Clipping level di berlakukan pada log-log yang
dihasilkan sehingga hanya pada level tertentu saja maka hal tersebut dianggap
mencurigakan
e. Dilakukan dokumentasi change control dalam hal seperti ada komputer baru yang
terinstall dan masuk kedalam jaringan LAN, aplikasi baru, patch baru, dan
perubahan konfigurasi network
f. Menerapkan least privillages atau need-to-know kepada setiap user dimana hanya
mendapatkan privilleges yang paling minimum dalam melakukan pekerjaannya.
g. Dalam hal keamanan pada email maka PT. PPJ selalu mengedukasi karyawannya
mengenai keamanan email, email sepeti apa yang mengandung virus dan tidak
boleh di buka.
h. Selain itu juga selalu mengupdate definisi email scanner di dalam server email.
VII.8 Disaster Recovery & Business Continuity Plan
Disaster Recovery dan Business Continuity Plan adalah proses untuk
meminimalisasikan efek yang disebabkan terjadinya bencana dan melakukan proses
pemulihan dengan secepatnya sehingga bisnis dapat berjalan dengan baik kembali. PT.
PPJ telah menganalisa Business Analisis Impact dalam hal terjadi kegagalan pada
infrastruktur. Proses BIA yang dilakukan adalah sebagai berikut:
a. Mendeskripsikan komponen yang berhubungan dengan infrastruktur
Komponen pembentuk infrastruktur dapat di lihat pada tabel dibawah ini:
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
16
KOMPONEN JUMLAH SERVER EMAIL 1
SERVER DOMAIN 1 SERVER FILE 1
PC KLIEN 35 PRINTER 15
SCANNER 5 SWITCH 2 ROUTER 1
Tabel 3. Komponen yang berkaitan dengan Infrastruktur
b. Kemudian mengidentifikasi akibat dan toleransi dari kegagalan
Berdasarkan konsultasi dengan pengguna sumber daya PT. PPJ maka didapat
akibat dan toleransi dari kegagalan seperti pada tabel 4.
KOMPONEN AKIBAT TOLERANSI KEGAGALAN
SERVER EMAIL User tidak dapat mengirim dan menerima email, email yang lama pada server hilang
2 Hari
SERVER DOMAIN User tidak dapat login ke dalam jaringan dan mengambil berkas yang dibutuhkan
2 Hari
SERVER FILE User tidak dapat mengambil berkas yang dibutuhkan dan ada kemungkinan berkas tersebut hilang
1 Hari
10 PC KLIEN User tidak dapat bekerja dengan komputer nya
1 Hari
3 PRINTER User tidak dapat mencetak laporan ataupun sample dari produksi
5 Hari
2 SCANNER User tidak dapat men scan gambar dalam kegiatan produksi
3 Hari
1 SWITCH User tidak dapat koneksi kedalam jaringan untuk login kedalam domain
2 Hari
1 ROUTER User tidak dapat melakukan koneksi ke kantor cabang dan tidak dapat melakukan koneksi ke internet
2 Hari
Tabel 4. Akibat dan Toleransi kegagalan dari Infrastruktur TI
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
17
c. Analisa Rancangan Ketersediaan Infrastruktur PT. PPJ
Berdasarkan tabel pada tahap ke dua maka dapat PT. PPJ membuat perancangan
ketersediaan infrastruktur untuk komponen-komponen infrastruktur sebagai
berikut:
a. Server
• Dual Power Supply
Pada server untuk mencegah kegagalan akibat kerusakan pada power
supply maka server-server yang kritikal dibuat dengan konfigurasi
menggunakan dual power supply, sehingga apabila terjadi kerusakan pada
salah satu power supply server dapat tetap beroperasi secara normal
• UPS
UPS digunakan untuk mencegah kegagalan akibat kelistrikan. Apabila
terjadi kegagalan akibat kelistrikan maka UPS dapat untuk sementara
menyediakan tenaga listrik sementara proses berjalan. Dan jika kegagalan
berlangsung lama admin dapat mematikan server secara normal untuk
mencegah terjadinya kehilangan data.
• RAID
Solusi RAID digunakan untuk mencegah kegagalan pada disk sebagai
metoda redundansi disk. Solusi RAID yang digunakan adalah RAID 0+1.
Dengan implementasi solusi RAID 0+1 yaitu striping dan mirrorin maka
apabila terjadi kegagalan pada salah satu disk masih terdapat mirror nya
pada disk yang lain. Juga dengan implementasi striping dapat
mempercepat proses transaksi.
• Backup data Server
Proses backup dilakukan setiap seminggu sekali mengunakan tape backup.
Dengan adanya backup diharapkan apabila terjadi kerusakan pada data di
server data yang hilang tidak terlalu banyak atau tidak ada data yang
hilang sama sekali.
• Dual Ethernet
Dual ethernet adalah solusi server untuk mencegah kegagalan pada
interface ethernet. Dengan adanya dua ethernet sehingga apabila salah satu
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
18
ethernet mengalami kerusakan dapat dengan segera digantikan oleh
ethernet cadangannya. Dengan demikian akan mengurangi waktu akibat
terjadinya kegagalan akibat kerusakan ethernet.
b. PC Client
Untuk solusi ketersediaan PC Client PT. PPJ memberlakukan solusi sebagai
berikut:
• Implementasi Konsep Imaging
Dengan ada nya image dari komputer klien proses pemulihan komputer
dapat dilakukan dengan cepat tanpat perlu menginstall semua aplikasi lagi
cukup dengan me-restore image yang terlah dibuat.
• Penyimpanan berkas pada Server Berkas
Setiap karyawan diwajibkan untuk menyimpan data-data pekerjaannya
pada server berkas. Dengan demikian apabila terjadi kegagalan pada
komputernya data-data pekerjaan masih dapat diambil pada server berkas
dan pekerjaan masih dapat dilakukan dengan menggunakan komputer
lainnya.
c. Printer
Solusi printer PT. PPJ memberlakukan backup antar printer, disediakan
minimal terdapat 3 printer yang berjalan secara normal. Apabila terjadi
kegagalan pada salah satu printer maka karyawan dapat menggunakan printer
yang lainnya karena semua printer terhubung dengan jaringan.
d. Scanner
Solusi scanner adalah sama seperti solusi printer diberlakukan backup antar
scanner selama masih ada 2 scanner yang masih berfungsi proses bisnis masih
dapat berjalan dengan baik.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
19
e. Switch
Untuk solusi ketersediaan switch PT. PPJ menyediakan 2 buah switch sebagai
backup apabila salah satu switch mengalami kegagalan dapat menggunakan
switch yang satunya lagi sebagai redundansi. Kedua nya sudah terhubung ke
dalam jaringan. Disediakan juga extra port sebagai solusi redundansi port
switch.
f. Router
Untuk keperluan koneksi ke internet dan ke kantor cabang PT. PPJ
menyediakan fasilitas modem dengan dial-up sebagai cadangan backup
apabila terjadi kegagalan pada router. Selama router diperbaiki agar proses
bisnis dapat tetap berjalan dengan baik maka solusi dial-up menjadi backup
nya.
VII.9 Laws, Investigation & Ethics
Laws, Investigations & Ethics adalah mengenai keamanan dari segi hukum dan
etika serta kejahatan di dalam dunia komputer. Dalam hal hukum PT. PPJ selalu
mengedepankan aspek legalitas sebagaimana produk-produk PT. PPJ juga selalu
menyertakan label CopyRight sebagai hak cipta dari PT. PPJ. Pengunaan software adalah
pembelian asli berlisensi seperti software sistem operasi microsoft windows xp adalah
berasal dari pembelian komputer branded. Begitu juga untuk software-software pada
server semuanya adalah berlisensi.
VII.10 Phisical Security
Physical Security adalah suatu metoda yang digunakan untuk melindungi aset
perusahaan dari ancaman secara fisik. Ancaman yang dapat terjadi adalah:
1. Ancaman dari dalam (Internal Physical Threats) sepertu kebakaran, kegagalan
pada kelistrikan
2. Ancaman dari Manusia (Human Threats) seperti pencurian, perusakan
3. Ancaman dari luar (External Threats) seperti banjir, gempa bumi
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
20
Implementasi PT. PPJ terhadap keamanan secara fisik diantaranya adalah menerapkan:
1. Penjagaan satpam secara shift di pintu masuk ke kantor.
Hal ini untuk melindungi ancaman dari manusia seperti pencurian dan perusakan
2. Penggunaan magnetik card untuk setiap karyawan.
Dengan penerapan magnetik card dapat membatasi orang yang dapat masuk ke
dalam kantor yang akan meningkatkan keamanan aset dari ancaman tindak
pencurian oleh orang luar. Selain itu dengan penerapan magnetik card ini dapat
diketahui log dari keluar masuknya pegawai sehingga apabila terjadi pencurian
dapat diketahui siapa yang berada di dalam kantor pada saat kejadian
berlangsung.
3. Ruang server yang selalu terkunci dengan hak akses yang terbatas
Ruang server selalu terkunci dan yang dapat memasuki ruang server terbatas
hanya oleh beberapa orang saja dengan hak akses tertentu. Hal ini untuk
mencegah terjadi nya orang masuk dan melakukan miskonfigurasi pada server
ataupun pada perangkat jaringan.
4. Penggunaan UPS pada server
Dengan digunakannya UPS pada server dapat mencegah kegagalan server yang
diakibatkan kegagalan pada kelistrikan. Dalam rentang waktu tertentu apabila
kegagalan kelistrikan tetap berlangsung maka server dapat dimatikan secara
normal dengan menggunakan tenaga baterai dari UPS.
5. Fire Detector
PT. PPJ menerapkan fire detektor pada setiap ruangan kantornya sehingga apabila
terjadi kebakaran pada suatu ruangan dapat dengan segera mengaktifkan alarm
dan menyiramkan air untuk mematikan api agar tidak menyebar pada ruangan
lainnya.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
21
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
22
VII.11 Auditing & Assurance
Dalam hal penerapan Audit Sistem Informasi di PT. PPJ maka hal-hal yang perlu
di audit adalah:
1. Audit Internal Jaringan LAN
Hal yang perlu di audit adalah apakah setiap karyawan sudah memperoleh hak
akses yang sesuai dengan pekerjaannya ataukah ada beberapa karyawan yang
ternyata memiliki hal akses yang berlebih sehingga dapat melihat atau merubah
berkas-berkas yang bukan merupakan haknya.
2. Audit External Jaringan WAN
Yang perlu di audit adalah konfigurasi dari Router dan Firewall, apakah
konfigurasi Router sudah di lakukan dengan mempertimbangkan aspek keamanan
ataukah hanya mempertimbangkan akses koneksi saja. Dan konfigurasi firewall
apakah sudah aman sehingga dapat mencegah akses sumber daya perusahaan dari
luar jaringan internet oleh orang-orang yang tidak bertanggung jawab.
Dengan demikian hal-hal yang perlu di perhatikan diantaranya adalah konfigurasi dari
peralatan jaringan beserta dengan log-log yang dihasilkannya.