Keamanan Sistem
Di zaman globalisasi seperti sekarang ini, penggunaan teknologi komputer sudah sangat umum baik dikalangan anak-anak, remaja, dewasa, maupun orang tua. Bahkan hampir semua perusahaan di kota-kota besar menggunakan sistem informasi yang berbasis komputer. Alasan penggunaan komputer tentu berkaitan erat dengan keamanan informasi-informasi penting dan rahasia milik perusahaan. Karena alasan inilah kami berusaha memaparkan tentang seluk-beluk keamanan sistem informasi. yang paling mendasar adalah pengertian tentang keamanan sistem informasi, ancaman terhadap keamanan system, syarat sistem dikatakan aman, macam-macam keamanan system, access control, contingency plan dan contoh factual dalam kehidupan kita.
1. Pengertian
Keamanan sistem informasi adalah bentuk mekanisme penjagaan / perlindungan terhadap sumber daya informasi perusahaan agar tidak digunakan / dimodifikasi, diinterupsi dan diganggu oleh orang yang tidak diotorisasi. Keamanan sistem ini dimaksudkan untuk mencapai tiga aspek kebutuhan utama keamanan sistem yaitu :
a) Kerahasiaan / secrecy, diantaranya privasi
Keterjaminan bahwa informasi di sistem komputer hanya dapat diakses oleh pihak-pihak yang terotorisasi dan modifikasi tetap menjaga konsistensi dan keutuhan data di system
b) Integritas / integrity
Keterjaminan bahwa sumber daya sistem komputer hanya dapat dimodifikasi oleh pihak-pihak yang terotorisasi
c) Ketersediaan / availability
Keterjaminan bahwa sumber daya sistem komputer tersedia bagi pihak-pihak yang diotorisasi saat diperlukan
Masalah penting dalam Keamanan sistem yaitu :
Ø Kehilangan data / data loss
· Bencana, contohnya kebakaran, banjir, gempa bumi, perang, kerusuhan, tikus, dll.
· Kesalahan perangkat keras dan perangkat lunak, contohnya ketidak berfungsinya pemroses, disk / tape yang tidak terbaca, kesalahan komunikasi, kesalahan program / bugs.
· Kesalahan / kelalaian manusia, contohnya kesalahan pemasukkan data, memasang tape / disk yang salah, kehilangan disk / tape.
Ø Penyusup / intruder
· Penyusup pasif, yaitu yang membaca data yang tidak terotorisasi
· Penyusup aktif, yaitu mengubah data yang tidak terotorisasi.
Contohnya penyadapan oleh orang dalam, usaha hacker dalam mencari uang, spionase militer / bisnis, lirikan pada saat pengetikan password. Sasaran keamanan adalah menghindari, mencegah dan mengatasi ancaman terhadap sistem.
2. Ancaman keamanan sistem
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :
Ø Ancaman Alam
Ø Ancaman Manusia
Ø Ancaman Lingkungan
a) Ancaman Alam
Yang termasuk dalam kategori ancaman alam terdiri atas :
· Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai, pencairan salju
· Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus
· Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut
b) Ancaman Manusia
Yang dapat dikategorikan sebagai ancaman manusia, diantaranya adalah :
· Malicious code
· Virus, Logic bombs, Trojan horse, Worm, active contents, Countermeasures
· Social engineering
· Hacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS, backdoor
· Kriminal
· Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan
· Teroris
· Peledakan, Surat kaleng, perang informasi, perusakan
c) Ancaman Lingkungan
Yang dapat dikategorikan sebagai ancaman lingkungan seperti :
· Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam jangka waktu yang cukup lama
· Polusi
· Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan anti api, dll
· Kebocoran seperti A/C, atap bocor saat hujan
Besar kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi atau belum teridentifikasi dengan jelas tersebut, perlu di klasifikasikan secara matriks ancaman sehingga kemungkinan yang timbul dari ancaman tersebut dapat di minimalisir dengan pasti. Setiap ancaman tersebut memiliki probabilitas serangan yang beragam baik dapat terprediksi maupun tidak dapat terprediksikan seperti terjadinya gempa bumi yang mengakibatkan sistem informasi mengalami mall function.
Ancaman terhadap sistem komputer yang dilakukan manusia dikategorikan menjadi 4 ancaman, yaitu :
Ø Interupsi / interuption
Sumber daya sistem komputer dihancurkan / menjadi tak tersedia / tak berguna. Merupakan ancaman terhadap ketersediaan. Contohnya penghancuran harddisk, pemotongan kabel komunikasi.
Ø Intersepsi / interception
Pihak tak diotorisasi dapat mengakses sumber daya. Merupakan ancaman terhadap kerahasiaan. Pihak tak diotorissasi dapat berupa orang / program komputer. Contohnya penyadapan, mengcopy file tanpa diotorisasi.
Ø Modifikasi / modification
Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya. Merupakan ancaman terhadap integritas. Contohnya mengubah nilai file, mengubah program, memodifikasi pesan
Ø Fabrikasi / fabrication
Pihak tak diotorisasi menyisipkan / memasukkan objek-objek palsu ke sistem. Merupakan ancaman terhadap integritas. Contohnya memasukkan pesan palsu ke jaringan, menambah record file.
Suatu sistem komputer baru bisa dikatakan sebagai suatu sistem yang aman jika telah memenuhi beberapa syarat tertentu. Secara garis besar, persyaratan keamanan sistem komputer dapat dibedakan menjadi tiga, yaitu:
- Secrecy
Secrecy berhubungan dengan hak akses untuk membaca data/ informasi dari suatu sistem komputer. Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu data/ informasi hanya dapat dibaca oleh pihak yang telah diberi hak/ wewenang. - Integrity
Integrity berhubungan dengan hak akses untuk mengubah data/ informasi dari suatu sistem komputer. Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu data/ informasi hanya dapat diubah oleh pihak yang telah diberi hak/ wewenang.
· Availability
Availability berhubungan dengan ketersediaan data/ informasi.pada saat yang dibutuhkan. Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu data/ informasi yang terdapat pada sistem komputer dapat diakses dan dimanfaatkan oleh pihak yang berhak / berwewenang.
4. Macam-Macam keamanan system
Keamanan sistem terbagi menjadi tiga bagian, antara lain :
· Keamanan eksternal / external security
Berkaitan dengan pengamanan fasilitas komputer dari penyusup dan bencana seperti kebakaran / kebanjiran.
· Keamanan interface pemakai / user interface security
Berkaitan dengan indentifikasi pemakai sebelum pemakai diijinkan mengakses program dan data yang disimpan
· Keamanan internal / internal security
Berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat keras dan sistem operasi yang menjamin operasi yang handal dan tak terkorupsi untuk menjaga integritas program dan data.
Petunjuk prinsip-prinsip pengamanan sistem komputer, yaitu :
· Rancangan sistem seharusnya publik
Tidak tergantung pada kerahasiaan rancangan mekanisme pengamanan. Membuat proteksi yang bagus dengan mengasumsikan penyusup mengetahui cara kerja sistem pengamanan.
· Dapat diterima
Mekanisme harus mudah diterima, sehingga dapat digunakan secara benar dan mekanisme proteksi tidak mengganggu kerja pemakai dan pemenuhan kebutuhan otorisasi pengaksesan.
· Pemeriksaan otoritas saat itu
Banyak sisten memeriksa ijin ketika file dibuka dan setelah itu (opersi lainnya) tidak diperiksa.
· Kewenangan serendah mungkin
Program / pemakai sistem harusnya beroperasi dengan kumpulan wewenang serendah mungkin yang diperlukan untuk menyelesaikan tugasnya.
· Mekanisme yang ekonomis
Mekanisme proteksi seharusnya sekecil dan sesederhana mungkin dan seragam sehingga mudah untuk verifikasi.
5. Access control ( pengendalian akses )
Access control merupakan dasar keamanan untuk melawan ancaman dari orang-orang yang tidak berwenang. Mengapa? Alasannya adalah jika orang tidak berwenang ditolak aksesnya ke suber daya informasi, maka parusakan tidak dapat dilakukan. Access control dapat dicapai melalui tiga langkah :
a) Identifikasi pemakai ( user identification )
Pemakai mula-mula mengidentifikasi diri sendiri dengan menyediakansesuatu yang diketahuinya, seperti kata sandi. Identifikasi juga dapat mencakup lokasi pemakai seperti nomor telepon atau titik masuk jaringan.
b) Pembuktian keaslian pemakai (user authentication )
Setelah identifikasi awal terlewati, pemakai membuktikan haknya atas akses denganmenyediakan sesuatu yang ia punyai, seperti smart card atau token, atau suatu identification chip. Pembuktian keaslian pemakaidapat juga dicapai dengan menyediakan sesuatu yang menunjukkan bahwa dialah orangnya, seperti tanda tagan atau suara atau pola ucapan.
c) Otorisasi pemakai
Dengan terlewatinyapemeriksaan identifikasi dan pembuktian keaslian, seseorang dapat diberi wewenang hanya untuk membaca dari suatu file, sementara yang lain mungkin diberi wewenang untuk membuat perubahan.
6. Contingency plan ( perencanaan berjaga-jaga )
Operasi komputer yang memberikan tingkat keamanan yang memadai terhadap penjahat komputer dan bencana alam tidak tercapai dalam semalam. Diperlukan pelaksanaan strategi yang terencana dengan matang. Untuk itu contingency plan sangat penting dalam menunjang keamanan sistem. Perusahaan kebanyakan menggunakan pendekatan dengan beberapa subrencana, tidak bergantung pada satu rencana berjaga-jaga tunggal yang besar karena penggunaan beberapa subrencana memungkinkan untuk penanganan yang lebih spesifik. Sub-rencana yang umum mencakup antara lain :
a. Rencana darurat ( emergency plan )
Menentukan ukuran-ukuran yang memastikan keamanan pegawai jika terjadi bencana alam. Ukuran-ukuran tersebut misalnya mencakup sistem alarm, prosedur evakuasi, dan sistem pemadam api.
b. Rencana cadangan ( backup plan )
Perusahaan harus membuat pegaturan untuk fasilitas komputer cadangan jika fasilitas reguler musnah atau rusak. Cadangan ini dapat dicapai melalui :
· Pengulangan ( redundancy ) yaitu perangkat keras, perangkat lunak, dan data diduplikasi sehingga jika unit rusak, unit cadangan dapat melanjutkan pengolahan.
· Keragaman ( diversity ) yaitu sumber daya informasi tidak dipasang di lokasi yang sama. Biasanya perusahaan menetapkan pusat-pusat komputer terpisah untuk berbagai area operasi mereka.
· Mobilitas ( mobility ) yaitu perusahaan-perusahaan kecil membuat perjanjian perjanjian timbal balik dengan para pemakai lain dari jenis peralatan yang sama sehingga setiap perusahaan dapat menyediakan cadangan bagi yang lain jika terjadi malapetaka. Perusahaan-perusahaan besar dapat mencapai mobilitas dengan mengontrakkan jasa cadangan di hot site atau cold site. Hot site merupakan fasilitas komputer lengkap yang disediakan oleh suatu pemasok bagi pelanggannya untuk digunakan dalam keadaan darurat. Cold site atau sering juga disebut empty shell, dibangun perusahaan pada tempat yang terpisah dari fasilitas komputer utama, dan mencakup hanya fasilitas bangunan bukan komputernya. Komputer diperoleh dari pemasok dan dipasang dalam empty shell jika terjadi bencana.
c. Rencana catatan-catatan vital
Catatan-catatan vital perusahaan berupa dokumen-dokumen kertas, microforms, serta media penyimpanan magnetik dan optik yang diperlukan untuk meneruskan bisnis perusahaan. Rencana catatan-catatan vital menentukan bagaimana catatan-catatan vital akan dilindungi. Selain mengamankan catatan-catatan pada komputer, salinan cadangan (backup copies) harus disimpan dilokasi yang jauh. Semua jenis catatan dapat dipindahkan secara fisik ke lokasi yang jauh, tetapi catatan komputer dapat ditransmisikan secara elektronik. Tiga jasa transmisi elektronik yang sekarang tersedia adalah :
§ Electronic vaulting, melibatkan transmisi elektronik dari file backup secara batch seperti pada akhir hari.
§ Remote journaling, melibatkan transmisi data transaksi saat transaksi itu terjadi. Data transaksi itu kemudian digunakan untuk memperbarui database di tempat yang jauh secara batch.
§ Database shadowing, bentuk backup elektronik yang paling canggih dari catatan-catatan vital, melibatkan pembaruan database duplikat ditempat yang jauh saat terjadinya transaksi.
Dengan membuat beberapa rencana tersendiri untuk tiap jenis kemungkinan, CIO (Chief Information Officers) memastikan bahwa bencana hanya akan menyebabkan tutup sementara dan bahwa perusahaan akan mampu meneruskan operasinya.
Berkaitan dengan keamanan system informasi, diperlukan tindakan berupa pengendalian terhadap sistem informasi. Kontrol-kontrol untuk pengamanan sistem informasi antara lain:
· Kontrol Administratif
Kontrol administratif dimaksudkan untuk menjamin bahwa seluruh kerangka control dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang jelas.
· Kontrol Pengembangan dan Pemeliharaan Sistem
Untuk melindungi kontrol ini, peran auditor sistem informasi sangatlah penting. Auditor sistem informasi harus dilibatkan dari masa pengembangan hingga pemeliharaan system, untuk memastikan bahwa system benar-benar terkendali, termasuk dalam hal otorisasi pemakai system. Aplikasi dilengkapi dengan audit trail sehingga kronologi transaksi mudah untuk ditelusuri
· Kontrol Operasi
Kontrol operasi dimaksudkan agar system beroperasi sesuai dengan yang diharapkan. Termasuk dalam kontrol ini:
Ø Pembatasan akan akses terhadap data
Ø Kontrol terhadap personel pengoperasi
Ø Kontrol terhadap peralatan
Ø Kontrol terhadap penyimpanan arsip
Ø Pengendalian terhadap virus
Untuk mengurangi terjangkitnya virus, administrator sistem harus melakukan tiga kontrol berupa preventif, detektif, dan korektif.
· Proteksi Fisik terhadap Pusat Data
Untuk menjaga hal-hal yang tidak diinginkan terhadap pusat data. Faktor lingkungan yang menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir, dan keamanan fisik ruangan perlu diperhatikan dengan benar.
· Kontrol Perangkat Keras
Untuk mengatisipasi kegagalan sistem komputer, terkadang organisasi menerapkan sistem komputer yang berbasis fault-tolerant (toleran terhadap kegagalan). Pada sistem ini, jika komponen dalam sistem mengalami kegagalan maka komponen cadangan atau kembarannya segera mengambil alih peran komponen yang rusak
· Kontrol Akses terhadap Sistem computer
Sistem fault-tolerant dapat diterapkan pada lima level, yaitu pada
Ø komunikasi jaringan, toleransi kegagalan terhadap jaringan dilakukan dengan menduplikasi jalur komunikasi dan prosesor komunikasi.
Ø prosesor, redundasi prosesor dilakukan antaralain dengan teknik watchdog processor, yang akan mengambil alih prosesor yang bermasalah.
Ø penyimpan eksternal,terhadap kegagalan pada penyimpan eksternal antara lain dilakukan melalui disk memoring atau disk shadowing, yang menggunakan teknik dengan menulis seluruh data ke dua disk secara pararel. Jika salah satu disk mengalami kegagalan, program aplikasi tetap bisa berjalan dengan menggunakan disk yang masih baik.
Ø catu daya, toleransi kegagalan pada catu daya diatasi melalui UPS.
Ø transaksi, toleransi kegagalan pada level transaksi ditanganimelalui mekanisme basis data yang disebut rollback, yang akan mengembalikan ke keadaan semula yaitu keadaan seperti sebelum transaksi dimulai sekiranya di pertengahan pemrosesan transaksi terjadi kegagala
· Kontrol terhadap Akses Informasi
Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi berhasil membaca informasi tersebut melalui jaringan (dengan menggunakan teknik sniffer). Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya informasi tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak
Studi tentang cara mengubah suatu informasi ke dalam bentuk yang tak dapat dibaca oleh orang lain dikenal dengan istilah kriptografi. Adapun sistemnya disebut sistem kripto. Secara lebih khusus, proses untuk mengubah teks asli (cleartext atau plaintext) menjadi teks yang telah dilacak (cliphertext) dinamakan enskripsi, sedangkan proses kebalikannya, dari chiphertext menjadi cleratext, disebut dekrpisi
· Kontrol terhadap Bencana
Zwass (1998) membagi rencana pemulihan terhadap bencana ke dalam 4 komponen:
Ø Rencana darurat (emergency plan) menentukan tidakan-tindakan yang harus dilakukan oleh para pegawai manakala bencana terjadi.
Ø Rencana cadangan (backup plan) menentukan bagaimana pemrosesan informasi akan dilaksanakan selama masa darurat.
Ø Rencana pemulihan (recovery plan) menentukan bagaimana pemrosesan akan dikembalikan ke keadaan seperti aslinya secara lengkap, termasu mencakup tanggung jawab masing-masing personil.
Ø Rencana pengujian (test plan) menentukan bagaimana komponen-komponen dalam rencana pemulihan akan diuji atau disimulasikan
· Kontrol Terhadap Perlidungan Terakhir
Kontrol terhadap perlindungan terakhir dapat berupa:
Ø Rencana pemulihan terhadap bencana.
Ø Asuransi.
Asuransi merupakan upaya untuk mengurangi kerugian sekiranya terjadi bencana. Itulah sebabnya, biasanya organisasi mengansurasikan gedung atau asset-aset tertentu dengan tujuan kalau bencana terjadi, klaim asuransi dapat digunakan untuk meringankan beban organisasi
7. Contoh Factual
Contoh factual dari kemanan sistem informasi ada banyak. Misalnya virus. Virus pada umumnya akan merusak dan memperlambat proses kerja komputer. Untuk menghindari kerusakan yang ditimbulkan virus, anda harus punya cadangan penyimpanan data atau file system, komputer juga sebaiknya memiliki antivirus, jangan lupa agar antivirus tersebut di update. Ada pula cara lain untuk mengeliminir virus masuk kedalam computer kita misalnya:
1. Jangan membuka atau menerima file yang di dapat dr email, mirc dan messenger kalau anda belum kenal dengan pengirimnya dan belum yakin file itu berisi virus.
2. Kalau anda browser ke situs yang tidak anda kenal, matikan program java & java script. Matikan juga fitur install auto atau install on demand supaya program yang berisi virus tidak akan masuk secara otomatis ke komputer anda.
3. Kalau membuka disket, CD, DVD, USB drive dan media luar apapun bentuknya, scan dahulu dengan program antivirus untuk memastikan itu benar-benar aman.
Tips di atas mungkin akan mencegah masuknya virus ke komputer anda, tapi tidak akan 100% pasti komputer anda tidak terkena virus, bisa saja anda kecolongan. Lebih dari 90% komputer yang terkoneksi di Internet pernah terkena virus
Tidak ada komentar:
Posting Komentar