Konsep Security Pada. keamanan Sistem Informasi. Pengantar. Tentang Security Policy. Kompetensi. Apa Yang Dilindungi. Terhadap apa?

Transkripsi

1 Pengantar Konsep Security Pada Keamanan Sistem Informasi Dalam materi ini akan diulas, aspekaspek apa saja yang harus diperhatikan dalam keamanan Sistem Informasi Muhammad Sholeh Teknik Informatika Institut Sains & Teknologi AKPRIND Kompetensi Mahasiswa mampu memahami aspekaspek keamanan Sistem Informasi Mahasiswa mampu memahani solusisolusi dalam melakukan pengamanan Sistem Informasi Tentang Security Policy Apa yang dilindungi? Terhadap siapa? Level keamanan yang diinginkan? Apa Yang Dilindungi Data anda Resource anda Reputasi anda Terhadap apa? Penerobosan Denial Of Service Pencurian Informasi 1

2 Internet Security untuk User Mengamankan data Menjaga kerahasiaan data Beberapa Topik Keamanan di Internet: Privacy informasi pribadi tidak ingin disebarkan web site yang mengumpulkan informasi tentang pengunjung? akibat bocornya informasi pribadi: junk mail, spamming anonymizer privacy vs keamanan sistem Sekuriti komputer memiliki definisi yang beragam, sebagai contoh berikut ini adalah definisi sekuriti komputer yang sering digunakan (Gollmann, 1999) : Computer security deals with the prevention and detection of unauthorized actions by users of a computer system. Tetapi dengan makin pentingnya ecommerce dan Internet, maka masalah sekuriti tidak lagi sekedar masalah keamanan data belaka Security is a process not a product salah satu pernyataan Erkki Liikanen Commissioner for Enterprise and Information Society European Commission yang disampaikan pada Information Security Solutions Europe (ISSE 99), Berlin 14 October : Security is the key to securing users trust and confidence, and thus to ensuring the further take-up of the Internet. This can only be achieved if security features are incorporated in Internet services and if users have sufficient safety guarantees Securing the Internal Market is crucial to the further development of the European security market, and thus of the European cryptographic industry.this requires an evolution of mentalities: Regulation in this field transcends national borders. Let's "think European". European governments and the Commission now have a converging view on confidentiality. We see this in Council, in Member State policies and in the constructive discussions we have. We must take this debate further and focus of the potential of encryption to protect public security rather than mainly seeing it as a threat to public order. Finally, the promotion of open source systems in conjunction with technology development is certainly one important step towards unlocking the potential of the desktop security market for the European cryptographic industry. 2

3 Aspek Keamanan Menurut S. Garfinkel, aspek keamanan meliputi Integrity Authentication Availability Di samping hal di atas ada ada beberapa objektif sekuriti yang dalam membangun sekuriti adalah : penting dan diperlukan sebagai pertimbangan : Authentication Sekuriti menjamin proses dan hasil identifikasi oleh sistem terhadap pengguna dan oleh pengguna terhadap sistem Non Repudiation Setiap informasi yang ada dalam sistem tidak dapat disangkal oleh pemiliknya Confidentiality, yang akan berkaitan dengan pencegahan akan pengaksesan terjadap informasi yang dilakukan oleh pihak yang tak berhak. Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut. o Contoh hal yang berhubungan dengan privacy adalah e- mail seorang pemakai (user) tidak boleh dibaca oleh administrator. o Contoh confidential information adalah datadata yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data- data yang ingin diproteksi penggunaan dan penyebarannya. Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy dan confidentiality adalah denganmenggunakan teknologi kriptografi (dengan enkripsi dan dekripsi). Integrity Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijinpemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah dapat saja ditangkap (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini. 3

4 Authentication Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud Authentication Masalah pertama, membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking dan digital signature. Watermarking juga dapat digunakan untuk menjaga intelectual property, yaitu dengan menandai dokumen atau hasil karya dengan tanda tangan pembuat. Masalah kedua biasanya berhubungan dengan access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. Availability Aspek availability berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi. Availability Contoh hambatan adalah serangan yang sering disebut dengan denial of service attack (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash. Contoh lain adalah adanya mailbomb, dimana seorang pemakai dikirimi bertubi-tubi (katakan ribuan ) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka nya atau kesulitan mengakses nya Access Control Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan dengan masalah authentication dan juga privacy. Access control seringkali dilakukan dengan menggunakan kombinasi userid/password atau dengan menggunakan mekanisme lain. Non-repudiation Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan tersebut. Aspek ini sangat penting dalam hal electronic commerce. 4

5 Non-repudiation Penggunaan digital signature, ertifiates, dan teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum sehingga status dari digital signature itu jelas legal Privacy vs. keamanan sistem dalam rangka menjaga keamanan sistem, bolehkah sysadmin melihat berkas (informasi) milik pemakai? hukum wiretapping? Communications Assistance for Law Enforcement Act, 1993, menyediakan fasilitas untuk memudahkan wiretapping melindungi diri dengan enkripsi. bolehkah? standar clipper dengan key escrow Diskusi Bagaimana bentuk-bentuk pengamanan yang saudara lakukan, beri contoh bentuk pengamanannya Saudara menjadi admin, bagaimana saudara bisa menjamin aspek-aspek keamanan Sistem Informasi Penutup Masalah keamanan tidak pernah berhenti dan terus akan meningkat. Antisipasi dan kewaspadaan harus terus tingkatkan Sumber referensi : Keamanan Sistem Informasi Berbasis Internet Budi Rahardjo PT Insan Infonesia - Bandung & PT INDOCISC - Jakarta 1998, 1999, 2000, 2001, 2002 Pertimbangan Sekuriti Pada Sistem Informasi Kelautan Nasional Avinanta Tarigan - I Made Wiryana RVS Arbeitsgruppe, Universität Bielefeld 5