KEAMANAN SISTEM INFORMASI

    Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi. Sayang     sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola    sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan. Informasi  saat  ini  sudah  menjadi  sebuah  komoditi  yang sangat penting. Bahkan ada yang mengatakan bahwa kita sudah berada  di  sebuah “information-based society”. kali ini saya akan mengulas sedikit tentang keamanan sistem informasi dan penanggulangannya.

Pengertian dari Keamanan Sistem Informasi

Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.

Selain itu keamanan sistem informasi bisa diartikan sebagai kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap sistem informasi. Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat keras dan lunak komputer, jaringan komunikasi, dan data. keamanan jaringan internet adalah Manajemen pengelolaan keamanan yang bertujuan mencegah, mengatasi, dan melindungi berbagai sistem informasi dari resiko terjadinya tindakan ilegal seperti penggunaan tanpa izin, penyusupan, dan perusakan terhadap berbagai informasi yang di miliki. Resiko terhadap keamanan sistem informasi mencakup dua hal utama yaitu ancaman terhadap keamanan system informasi dan kelemahan keamanan system informasi.

Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:

  1.  Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
  2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa   ada   ijin pihak   yang   berwenang   (authorized menjaga   keakuratan   dan   keutuhan   informasi   serta   metode prosesnya untuk menjamin aspek integrity ini.
  3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan). Keamanan informasi diperoleh dengan mengimplementasi seperangkat  alat  kontrol yang layak, yang dapat berupa kebijakan-kebijakan, praktek- praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti lunak.

Aspek Keamanan Sistem Informasi

Didalam keamanan sistem informasi melingkupi empat aspek, yaitu privacy, integrity, authentication, dan availability. Selain keempat hal di atas, masih  ada  dua  aspek  lain  yang  juga sering dibahas dalam kaitannya  dengan  electronic commerce, yaitu access control dan non- repudiation.

  • Privacy / Confidentiality

Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi   dari orang yang tidak berhak mengakses. Privacy  lebih  kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke   pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran  sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut.

  • Integrity

Aspek  ini  menekankan  bahwa  informasi  tidak  boleh  diubah tanpa seijin pemilik  informasi.  Adanya  virus,  trojan  horse,  atau pemakai  lain  yang mengubah  informasi  tanpa  ijin  merupakan contoh  masalah  yang  harus dihadapi. Sebuah e-mail dapat saja“ditangkap” (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga.

  • Authentication

Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang  dimaksud,  atau server yang kita hubungi adalah betul-betul server yang asli. Masalah pertama,membuktikan keaslian dokumen, dapat dilakukan dengan teknologi  watermarking  dan  digital  signature.  Watermarking  juga  dapat digunakan  untuk  menjaga  “intelectual property”,  yaitu  dengan  menandai dokumen atau hasil karya dengan “tanda tangan” pembuat. Masalah   kedua   biasanya   berhubungan   dengan   access control,   yaitu berkaitan  dengan  pembatasan  orang  yang  dapat mengakses  informasi. Dalam  hal  ini  pengguna  harus menunjukkan  bukti  bahwa memang dia adalah pengguna yang sah, misalnya dengan menggunakan assword,biometric  (ciriciri khas  orang),  dan  sejenisnya.

  • Availability

Aspek  availability  atau  ketersediaan  berhubungan  dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi. Contoh hambatan adalah serangan yang sering disebut dengan “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi- tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.

  • Access Control

Aspek  ini  berhubungan  dengan  cara  pengaturan  akses  kepada informasi. Hal  ini biasanya  berhubungan  dengan  klasifikasi  data (public,  private, confidential,   top   secret) dan user (guest, admin,   top   manager,   dsb.), mekanisme  authentication  dan juga  privacy. Access  control  seringkali dilakukan  dengan menggunakan  kombinasi  userid/password  atau  dengan menggunakan mekanisme lain (seperti kartu, biometrics).

  • Non-repudiation

Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan email untuk memesan  barang  tidak  dapat menyangkal  bahwa  dia  telah  mengirimkan email  tersebut. Aspek  ini  sangat  penting  dalam  hal  electronic  commerce. Penggunaan digital signature, certifiates, dan teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh  hukum  sehingga  status  dari  digital signature  itu  jelas  legal.

Serangan terhadap Keamanan Sistem Informasi

Security attack, atau serangan terhadap keamanan sistem informasi, dapat dilihat dari sudut peranan komputer atau jaringan komputer yang fungsinya adalah sebagai penyedia informasi. Menurut W. Stallings ada beberapa kemungkinan serangan (attack):

  1. Interruption: Perangkat   sistem   menjadi   rusak   atau   tidak tersedia.Serangan   ditujukan   kepada   ketersediaan   (availability) dari   Contoh serangan adalah “denial of service attack”. 
  2. Interception: Pihak yang tidak berwenang berhasil mengakses asset atauinformasi. Contoh dari serangan ini adalah penyadapan (wiretapping).
  3. Modification:    Pihak    yang    tidak    berwenang    tidak    saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi dari web site dengan pesan- pesan yang merugikan pemilik web site.
  4. Fabrication: Pihak  yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesan- pesan palsu seperti e-mail palsu ke dalam jaringan komputer.

Mengamankan Sistem Informasi

Pada   umunya,   pengamanan   dapat   dikategorikan   menjadi   dua jenis: pencegahan  (preventif) dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem informasi  tidak memiliki lubang keamanan, sementara usaha-usaha pengobatan dilakukan apabila lubang keamanan sudah dieksploitasi. Pengamanan  sistem  informasi  dapat  dilakukan melalui  beberapa  layer yang berbeda.  Misalnya  di  layer “transport”,  dapat  digunakan “Secure Socket  Layer”  (SSL).  Metoda  ini  umum  digunakan  untuk  server  web. Secara fisik, sistem anda dapat  juga  diamankan  dengan  menggunakan firewall” yang memisahkan sistem anda dengan Internet. Penggunaan teknik enkripsi dapat dilakukan di tingkat aplikasi sehingga data-data anda atau e-mail anda tidak dapat dibaca oleh orang yang tidak berhak.

  • Mengatur akses (Access Control)

Salah  satu  cara  yang  umum  digunakan  untuk  mengamankan informasi adalah  dengan mengatur akses ke informasi melalui mekanisme “authentication” dan “access control”. Implementasi dari mekanisme ini antara lain dengan menggunakan “password”.

  • Shadow Password

Salah  satu  cara  untuk  mempersulit  pengacau  untuk  mendapatkan berkas yang berisi password (meskipun terenkripsi) adalah dengan menggunakan “shadow password”. Mekanisme ini menggunakan berkas /etc/shadow untuk  menyimpan encrypted password, sementara kolom password di berkas /etc/passwd berisi   karakter “x”. Berkas /etc/shadow tidak dapat dibaca secara langsung oleh pemakai biasa.

  • Menutup servis yang tidak digunakan

Seringkali  sistem  (perangkat  keras  dan/atau  perangkat  lunak) diberikan  dengan beberapa servis dijalankan sebagai default. Sebagai contoh pada sistem UNIX servis-servis berikut sering dipasang dari vendornya: finger, telnet, ftp, smtp, pop, echo, dan seterusnya. Servis tersebut tidak semuanya dibutuhkan. Untuk mengamankan sistem, servis yang tidak diperlukan di server (komputer) tersebut sebaiknya dimatikan.

  • Memasang Proteksi

Untuk   lebih   meningkatkan   keamanan   sistem   informasi, proteksi dapat ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah firewall. Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet.

  • Firewall

Firewall  merupakan  sebuah  perangkat  yang  diletakkan  antara Internet dengan  jaringan  internal  Informasi  yang keluar atau masuk harus melalui firewall ini. Tujuan utama dari firewall adalah untuk menjaga (prevent) agar akses (ke dalam  maupun  ke  luar)  dari  orang  yang  tidak  berwenang (unauthorized access) tidak dapat dilakukan. Konfigurasi dari firewall bergantung kepada kebijaksanaan (policy) dari organisasi yang bersangkutan.

Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya. Berdasarkan konfigurasi dari firewall maka akses dapat diatur berdasarkan IP address, port, dan arah informasi. Detail dari konfigurasi bergantung kepada masing-masing firewall. Firewall  dapat berupa sebuah perangkat keras yang sudah dilengkapi dengan perangkat lunak tertentu, sehingga pemakai (administrator) tinggal melakukan  konfigurasi  dari  firewall  tersebut. Firewall   juga dapat berupa perangkat lunak yang ditambahkan kepada sebuah server  (baik UNIX maupun Windows NT), yang dikonfigurasi menjadi firewall.

Firewall   biasanya melakukan dua fungsi; fungsi (IP) filtering dan fungsi proxy.Keduanya dapat dilakukan pada sebuah perangkat computer (device) atau dilakukan secara terpisah. Beberapa   perangkat   lunak   berbasis   UNIX   yang   dapat   digunakan untuk melakukan IP filtering antara lain:

  • ipfwadm: merupakan   standar   dari   sistem   Linux   yang   dapat diaktifkan pada level kernel.
  • ipchains: versi   baru   dari   Linux   kernel   packet   filtering   yang diharapkan dapat menggantikan fungsi ipfwadm.
  • Backup secara rutin

Seringkali tamu tak diundang (intruder) masuk ke dalam sistem dan merusak sistem dengan menghapus berkas-berkas yang dapat ditemui. Jika intruder ini berhasil menjebol sistem dan masuk sebagai super user (administrator) maka ada kemungkinan dia dapat menghapus seluruh berkas. Untuk itu, adanya backup yang dilakukan secara rutin merupakan sebuah  hal yang esensial.

  • Penggunaan Enkripsi untuk meningkatkan keamanan

Salah satau mekanisme untuk meningkatkan keamanan adalah dengan menggunakan teknologi enkripsi. Data-data yang anda kirimkan diubah sedemikian rupa sehingga tidak mudah disadap. Banyak servis di Internet yang masih menggunakan “plain text” untuk authentication, seperti penggunaan pasangan userid dan password. Informasi ini dapat dilihat dengan mudah oleh program penyadap atau pengendus (sniffer).

Contoh servis yang menggunakan plain text antara lain:

  • akses jarak jauh dengan menggunakan telnet dan rlogin
  • transfer file dengan menggunakan FTP
  • akses email melalui POP3 dan IMAP4
  • pengiriman email melalui SMTP
  • akses web melalui HTTP
Iklan

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout /  Ubah )

Foto Google

You are commenting using your Google account. Logout /  Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout /  Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout /  Ubah )

Connecting to %s