Bab 1. Pengantar (Sistem Keamanan Tek Informasi)

Tugas Mata Kuliah : Sistem Keamanan Tek Informasi
Dosen  : Kurniawan B. Prianto, S.Kom.SH.MM
Nama  : Meutia Rizka Swandayani
Npm    : 14115151
Kelas   :4KA23
 
1.    Pengantar

Sistem adalah suatu sekumpulan elemen atau unsur yang saling berkaitan dan memiliki tujuan yang sama. Keamanan adalah suatu kondisi yang terbebas dari resiko. Komputer adalah suatu perangkat yang terdiri dari software dan hardware serta dikendalikan oleh brainware (manusia). Dan jika ketiga kata ini dirangkai maka akan memiliki arti suatu sistem yang mengkondisikan komputer terhindar dari berbagai resiko.  

Selain itu, sistem keamanan komputer bisa juga berarti suatu cabang teknologi yang dikenal dengan nama keamanan informasi yang diterapkan pada komputer. Sasaran keamanan komputer antara lain adalah sebagai perlindungan informasi terhadap pencurian atau korupsi, atau pemeliharaan ketersediaan, seperti dijabarkan dalam kebijakan keamanan.

Menurut John D. Howard dalam bukunya “An Analysis of security incidents on the internet” menyatakan bahwa : Keamanan komputer adalah tindakan pencegahan dari serangan pengguna komputer atau pengakses jaringan yang tidak bertanggung jawab.

Sedangkan menurut Gollmann pada tahun 1999 dalam bukunya “Computer Security” menyatakan bahwa : Keamanan komputer adalah berhubungan dengan pencegahan diri dan deteksi terhadap tindakan pengganggu yang tidak dikenali dalam system komputer.

Dalam keamanan sistem komputer yang perlu kita lakukan adalah untuk mempersulit orang lain mengganggu sistem yang kita pakai, baik kita menggunakan komputer yang sifatnya sendiri, jaringan local maupun jaringan global. Harus dipastikan system bisa berjalan dengan baik dan kondusif, selain itu program aplikasinya masih bisa dipakai tanpa ada masalah.

1.1    Masalah Keamanan Sistem Komputer Secara Umum

Keamanan komputer memberikan persyaratan terhadap komputer untuk membentuk pembatasan apa yang tidak boleh dilakukan oleh komputer. Karena pembatasan terancang akan menyulitkan komputer bekerja secara maksimal. Tetapi dengan persyaratan yang menyulitkan sistem akan terciptanya suatu strategi teknis yang menjaga kinerja sistem komputer.

Pendekatan yang umum dilakukan untuk meningkatkan keamanan komputer antara lain yaitu:

1.      Membatasi akses fisik terhadap komputer,

2.      Menerapkan mekanisme pada perangkat keras dan

3.      Sistem operasi untuk keamanan komputer, serta

4.      Membuat strategi pemrograman untuk menghasilkan program komputer yang dapat diandalkan.

Beberapa hal yang menjadikan kejahatan komputer terus terjadi dan cenderung meningkat adalah sebagai berikut :

1.        Meningkatnya pengguna komputer dan internet

2.        Banyaknya software yang pada awalnya digunakan untuk melakukan audit sebuah system dengan cara mencari kelemahan dan celah yang mungkin disalahgunakan untuk melakukan scanning system orang lain.

3.        Banyaknya software-software untuk melakukan penyusupan yang tersedia di Internet dan bisa di download secara gratis.

4.        Meningkatnya kemampuan pengguna komputer dan internet

5.        Desentralisasi server sehingga lebih banyak system yang harus ditangani, sementara SDM terbatas.

6.        Kurangnya hukum yang mengatur kejahatan komputer.

7.        Semakin banyaknya perusahaan yang menghubungkan jaringan LAN mereka ke Internet.

8.        Meningkatnya aplikasi bisnis yang menggunakan internet.

9.        Banyaknya software yang mempunyai kelemahan (bugs).

1.2    Masalah Etika

Masalah etika juga mendapat perhatian dalam pengembangan dan pemakaian system informasi. Masalah ini diidentifikasi oleh Richard Mason pada tahun 1986 yang mencakup privasi, akurasi, properti, dan akses, yang dikenal dengan akronim PAPA.

1.    Privasi

Privasi menyangkut hak individu untuk mempertahankan informasipribadi dari pengaksesan oleh orang lainyang tidak diberi izin unruk melakukannya.

Contoh isu mengenai privasi sehubungan diterapkannya system informasi adalah pada kasus seorang manajer pemasaran yang ingin mengamati e-mail yang dimiliki para bawahannya karena diperkirakan mereka lebih banyak berhubungan dengan e-mail pribadi daripada e-mail para pelanggan. Sekalipun sang manajer dengan kekuasaannya dapat melakukan hal seperti itu, tetapi ia telah melanggarprivasi bawahannya.

Privasi dibedakan menjadi privasi fisik dan privasi informasi (Alter, 2002). Privasi fidik adalah hak seseorang untk mencegah sseseorang yangtidak dikehendaki terhadap waktu, ruang, dan properti (hak milik), sedangkan privasi informasi adalah hak individu untuk menentukan kapan, bagaimana, dan apa saja informasi yang ingin dikomunikasikan dengan pihak lain.

Penggunaan teknologi informasi berkecenderungan membuat pelanggaran terhadap privasi jauh lebih mudah terjadi. Sebagai contoh, para pemakai e-mail sering kali jengkel dengan kiriman-kiriman e-mail yang tak dikehendaki dan berisi informasi yang tidak berguna (junk e-mail).

Di America Derikat, masalah privasi diatur oleh undang-undang privasi. Berkaitan dengan hal ini, maka :

1.    Rekaman-rekaman data tdak boleh digunakan untuk keperluan lain yang bukan merupakan tujuan aslinya tanpa sepengetauhna individu bersangkutan.

2.    Setiap individu memiliki hak untuk melihat datanya sendiri dan membetulkan rekaman-rekaman yang menyangkut dirinya.

2.    Akurasi

Akurasi terhadap informasi merupakan factor yang harus dpenuhi oleh sebuah sistem informasi. Ketidak akurasian informasi dapat menimbulkan hal yang mengganggu, merugikan, dan bahkan membahayakan.

Sebuah kasusakibat kesalahan penghapusan nomor keamanan social dialami oleh Edna Rismeller (Alter, 2002, hal.292). Akibatnya, kartu asuransinya tidak bias digunakan bahkan pemerintah menarik kembali cek pension sebesar $672 dari rekening banknya. Kisah lain dialami oleh para penyewa apartemen di Amerika yang karena sesuatu hal pernah bertengkar dengan pemiliki apartemen. Dampaknya, terdapat tanda tidak baik dalam basis data dan halini membuat mereka sulit untuk mendapatkan apartemen lain.

Mengingat data dalam sistem informasi menjadi bahan dalam pengambilan keputusan, keakurasiannya benar-benar harus diperhatikan.

3.    Properti

Perlindungan terhadap hak properti yangsedang figalakkan saat ini yaitu dikenaldengan sebutan HAKI(hak atas kekayaan intelektual). Di Amerika Serikat, kekayaan intelektual diatur melalui tiga mekanisme, yaitu hak cipta (copyright), paten, dan rahasia perdagangan (trade secret).

1.      Hak cipta, adalah hak yang dijamin oleh kekuatan hokum yang melarang penduplikasian kekayaanintelektual tanpa seizing pemegangnya. Hak ini mudah untuk didapatkan dan diberikab kepada pemegangnya selamamasa hidup penciptanya plus 70 tahun.

2.      Paten, merupakan bentuk perlindungan terhadap kekayaan intelektual yang paling sulitdidapatkan karena hanyadiberikan pada penemuan-penemuaninovatif dan sangat berguna. Hukum paten memberikanperlindungan selama 20 tahun.

3.      Rahasia perdagangan, hokum rahasia perdagangan melindingi kekayaan intelektual melalui lisensi atau kontrak. Pada lisensi perangkat lunak, seseorang yang menandatanganikontrak menyetujui untuktidak menyalin perangkat lunak tersebut untuk diserahkan kepada oranglain atau dijual.

Masalah kekayaan intelektual merupakan faktor pentingyang perlu diperhatikan dalam sistem informasi untuk menghindari tuntutan dari pihak lain di kemudian hari. Isu pelanggaran kekayaan intelektual yangcukup seru pernah terjadi ketika terdapat gugatan bahwa sistem windows itu meniru sistem Mac. Begitu juga timbul perseteruan ketika muncul perangkat-perangkat lunak lain yang menyerupai spreadsheet Lotus 123. Kasus ini menimbulkan pertanyaan, “Apakah tampilan nuasa dari suatu perangkat lunak memang butuh perlindungan hak cipta?”.

Berkaitan dengan masalah intelektual, banyak masalah yang belum terpecahkan (Zwass, 1998), antara lain:

1.      Pada level apa informasi dapat dianggap sebagai properti?

2.      Apa yang harus membedakan antara satu produk dengan produk lain?

3.      Akankah pekerjaan yang dihasilkan oleh komputer memiliki manusia penciptanya? Jika tidak, lalu hak properti apa yang dilindunginya?

Isu yang juga marak sampai saat ini adalah banyaknya penyali perangkat lunak secara ilegal dengan sebutan pembajakan perangkat lunak (software privacy). Beberapa solusi untuk mengatasi hal ini telah banyak ditawarkan, namun belum memiliki penyelesaian, seperti sebaiknya software – terutana yang bias dijual massak – dijual dengan harga yang relative murah. Solusi yang mengkin bias figunakan untukperusahaan-perusahaan yang memiliki dana yangterbatas untukmemberli perangkat lunak yang tergolong sebagai open source.

4. Akses

Fokus dari masalah akses adalah pada penyediaanakses untuk semua kalangan. Teknologi informasi diharapkan tidak menjadi halangan dalam melakukan pengaksesan terhadap informasi bagi kelompok orang tertentu, tetapi justru untuk mendukung pengaksesan untuk semuapihak. Sebagai contoh, untuk mendukunf pengaksesan informasi Web bagi orang buta, TheProducivity Works (www.prodworks.com) menyediakan Web Broser khusus diberi nama pw WebSpeak. Browser ini memiliki prosesor percakapan dan dapat (Zwass, 1998).

1.3    Dasar-Dasar Gangguan Keamanan Komputer

Secara garis besar pengamanan sistem komputer mencakup 4 hal mendasar :

1.    Pengamanan secara fisik (Sekuriti Fisik)

Pengamanan secara fisik dapat dilakukan dengan menempatkan sistem komputer pada tempat / lokasi yang mudah diawasi / dikontrol, hal ini dilakukan untuk mengantisipasi kelalaian / keteledoran User yang seringkali meninggalkan terminal komputer dalam keadaan Log On. Hal ini dapat mengakibatkan pihak lain dapat mengakses beberapa fasilitas sistem komputer.

2.    Pengamanan Akses (Sekuriti Akses)

Pengamanan Akses biasanya menjadi tanggung jawab dari administrator sistem dalam hal ini seorang administrator harus mampu mengontrol dan mendokumentasi seluruh akses terhadap sistem komputer.

3.    Pengamanan Data ( Sekuriti Data )

Pengamanan data dilakukan dengan menerapkan sistem tingkatan akses dimana seorang hanya hanya dapat mengakses data tertentu saja yang menjadi haknya.

4.    Pengamanan Jaringan ( Sekuriti Jaringan )

Jaringan disini berkaitan erat dengan pemanfaatan jaringan umum seperti internet dan Ekstranet. Pengamanan jaringan dapat dilakukan dengan kriptografi dimana data yang sifatnya sensitif dienkrip / disandikan terlebih dahulu sebelum ditransmisikan melalui jaringan.

Jika kita berbicara tentang keamanan sistem informasi, selalu kata kunci yang dirujuk adalah pencegahan dari kemungkinan adanya virus, hacker, cracker dan lain-lain. Padahal berbicara masalah keamanan sistem informasi maka kita akan berbicara kepada kemungkinan adanya resiko yang muncul atas sistem tersebut (lihat tulisan strategi pendekatan manajemen resiko dalam pengembangan sistem informasi). Sehingga pembicaraan tentang keamanan sistem tersebut maka kita akan berbicara 2 masalah utama yaitu :

1.      Threats (Ancaman) atas sistem dan

2.      Vulnerability (Kelemahan) atas sistem

Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem informasi yaitu :  

1.      Efektifitas

2.      Efisiensi

3.      Kerahaasiaan

4.      Integritas

5.      Keberadaan (availability)

6.      Kepatuhan (compliance)

7.      Keandalan (reliability)

Untuk menjamin hal tersebut maka keamanan sistem informasi baru dapat terkriteriakan dengan baik. Adapun kriteria yag perlu di perhatikan dalam masalah keamanan sistem informasi membutuhkan 10 domain keamanan yang perlu di perhatikan yaitu :

1.      Akses kontrol sistem yang digunakan

2.      Telekomunikasi dan jaringan yang dipakai

3.      Manajemen praktis yang di pakai

4.      Pengembangan sistem aplikasi yang digunakan

5.      Cryptographs yang diterapkan

6.      Arsitektur dari sistem informasi yang diterapkan

7.      Pengoperasian yang ada

8.      Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)

9.      Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan

10.  Tata letak fisik dari sistem yang ada

Dari domain tersebutlah isu keamanan sistem informasi dapat kita klasifikasikan berdasarkan ancaman dan kelemahan sistem yang dimiliki.

ANCAMAN (Threats)

Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :

1.    Ancaman Alam

Yang termasuk dalam kategori ancaman alam terdiri atas :

1.      Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai, pencairan salju

2.      Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus

3.      Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut

2.    Ancaman Manusia

Yang dapat dikategorikan sebagai ancaman manusia, diantaranya adalah :

1.      Malicious code

2.      Virus, Logic bombs, Trojan horse, Worm, active contents, Countermeasures

3.      Social engineering

4.      Hacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS, backdoor

5.      Kriminal

6.      Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan

7.      Teroris

8.      Peledakan, Surat kaleng, perang informasi, perusakan

3.    Ancaman Lingkungan

Yang dapat dikategorikan sebagai ancaman lingkungan seperti :

1.      Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam jangka waktu yang cukup lama

2.      Polusi

3.      Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan anti api, dll

4.      Kebocoran seperti A/C, atap bocor saat hujan

Besar kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi atau belum teridentifikasi dengan jelas tersebut, perlu di klasifikasikan secara matriks ancaman sehingga kemungkinan yang timbul dari ancaman tersebut dapat di minimalisir dengan pasti. Setiap ancaman tersebut memiliki probabilitas serangan yang beragam baik dapat terprediksi maupun tidak dapat terprediksikan seperti terjadinya gempa bumi yang mengakibatkan sistem informasi mengalami mall function.

KELEMAHAN (Vurnerability)

Adalah cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut. Cacat sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki, contoh yang mungkin terjadi seperti : Seting firewall yang membuka telnet sehingga dapat diakses dari luar, atau Seting VPN yang tidak di ikuti oleh penerapan kerberos atau NAT.

Suatu pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan, yaitu :

1.      Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadikan ancaman dan kelemahan

2.      Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan dan proses yang mengubah sistem dari keadaan normal menjadi keadaan abnormal

3.      Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang sudah tidak seimbang untuk dikembalikan dalam keadaan normal

Tindakan tersebutlah menjadikan bahwa keamanan sistem informasi tidak dilihat hanya dari kaca mata timbulnya serangan dari virus, mallware, spy ware dan masalah lain, akan tetapi dilihat dari berbagai segi sesuai dengan domain keamanan sistem itu sendiri.

1.4    Prinsip dasar perancangan sistem yang aman.

Adapun dasar-dasar dari perancangan sistem yang aman adalah:

1.      Mencegah hilangnya data

2.      Mencegah masuknya penyusup

Lapisan keamanan:

1.    Lapisan Fisik :

-       membatasi akses fisik ke mesin :

-   Akses masuk ke ruangan komputer

-   penguncian komputer secara hardware

-   keamanan BIOS

-   keamanan Bootloader

-   back-up data :

·      pemilihan piranti back-up

·      penjadwalan back-up

-   mendeteksi gangguan fisik :

-       log file : Log pendek atau tidak lengkap, Log yang berisikan waktu yang aneh, Log dengan permisi atau kepemilikan yang tidak tepat, Catatan pelayanan reboot atau restart, Log yang hilang, masukan su atau login dari tempat yang janggal

-   mengontrol akses sumber daya.

-    

2.    Keamanan lokal

Berkaitan dengan user dan hak-haknya :

·         Beri mereka fasilitas minimal yang diperlukan.

·         Hati-hati terhadap saat/dari mana mereka login, atau tempat seharusnya mereka login.

·         Pastikan dan hapus rekening mereka ketika mereka tidak lagi membutuhkan akses.

3.    Keamanan Root

Ketika melakukan perintah yang kompleks, cobalah dalam cara yang tidak merusak dulu, terutama perintah yang menggunakan globbing: contoh, anda ingin melakukan “rm foo*.bak”, pertama coba dulu: “ls foo*.bak” dan pastikan anda ingin menghapus file-file yang anda pikirkan.

            Beberapa orang merasa terbantu ketika melakukan “touch /-i” pada sistem mereka. Hal ini akan membuat perintah-perintah seperti : “rm -fr *” menanyakan apakah anda benar-benar ingin menghapus seluruh file. (Shell anda menguraikan “-i” dulu, dan memberlakukannya sebagai option -i ke rm).

Hanya menjadi root ketika melakukan tugas tunggal tertentu. Jika anda berusaha mengetahui bagaimana melakukan sesuatu, kembali ke shell pemakai normal hingga anda yakin apa yang perlu dilakukan oleh root.

Jalur perintah untuk pemakai root sangat penting. Jalur perintah, atau variabel lingkungan PATH mendefinisikan lokal yang dicari shell untuk program. Cobalah dan batasi jalur perintah bagi pemakai root sedapat mungkin, dan jangan pernah menggunakan ‘.’, yang berarti ‘direktori saat ini’, dalam pernyataan PATH anda. Sebagai tambahan, jangan pernah menaruh direktori yang dapat ditulis pada jalur pencarian anda, karena hal ini memungkinkan penyerang memodifikasi atau menaruh file biner dalam jalur pencarian anda, yang memungkinkan mereka menjadi root ketika anda menjalankan perintah tersebut.

Jangan pernah menggunakan seperangkat utilitas rlogin/rsh/rexec (disebut utilitas r) sebagai root. Mereka menjadi sasaran banyak serangan, dan sangat berbahaya bila dijalankan sebagai root. Jangan membuat file .rhosts untuk root.

File /etc/securetty berisikan daftar terminal-terminal tempat root dapat login. Secara baku (pada RedHat Linux) diset hanya pada konsol virtual lokal (vty). Berhati-hatilah saat menambahkan yang lain ke file ini. Anda seharusnya login dari jarak jauh sebagai pemakai biasa dan kemudian ‘su’ jika anda butuh (mudah-mudahan melalui ssh atau saluran terenkripsi lain), sehingga tidak perlu untuk login secara langsung sebagai root.

Selalu perlahan dan berhati-hati ketika menjadi root. Tindakan anda dapat mempengaruhi banyak hal. Pikir sebelum anda mengetik!

4.    Keamanan File dan system file

·         Directory home user tidak boleh mengakses perintah mengubah system seperti partisi, perubahan device dan lain-lain.

·         Lakukan setting limit system file.

·         Atur akses dan permission file : read, writa, execute bagi user maupun group.

·         Selalu cek program-program yang tidak dikenal

5.    Keamanan Password dan Enkripsi

·         Hati-hati terhadap bruto force attack dengan membuat password yang baik.

·         Selalu mengenkripsi file yang dipertukarkan.

·         Lakukan pengamanan pada level tampilan, seperti screen saver.

6.    Keamanan Kernel

·         selalu update kernel system operasi.

·         Ikuti review bugs dan kekurang-kekurangan pada system operasi.

7.    Keamanan Jaringan

·         Waspadai paket sniffer yang sering menyadap port Ethernet.

·         Lakukan prosedur untuk mengecek integritas data

·         Verifikasi informasi DNS

·         Lindungi network file system

·         Gunakan firewall untuk barrier antara jaringan privat dengan jaringan eksternal