quiz online diganti dengan tugas : Cari lah minimal 5 artikel yang berhubungan dengan keamanan data, keamanan

komputer dan keamanan jaringan dalam sebuah jaringan atau sistem rumah sakit, jadikan dalam 1 resume, dikumpul paling lambat minggu depan via edmodo (.doc/,docx) beserta lampiran artikel2 yang anda jadikan resume.

Artikel 2

Pengertian Wireless LAN adalah jaringan komputer lokal yang menggunakan media transfer data nirkabel atau tanpa kabel. Sama halnya seperti ethernet tanpa kabel, Wireless LAN ini user berhubungan dengan server melalui modem radio. Salah satu satu bentuk modem radio adalah PC Card yang digunakan untuk laptop. Kecepatan komunikasi wireless LAN ini dapat mencapai kecepatan maksimal 3 MBps. Karakteristik wireless yang fleksibel menjadikan teknologi wireless sebagai salah satu teknologi utama yang diaplikasikan dalam jaringan telekomunikasi. Komunikasi wireless LAN

memiliki perkembangan tercepat dan tumbuh sebagai sektor yang sangat penting dalam industri telekomunikasi. Salah satu aplikasi pengembangan wireless untuk komunikasi data adalah wireless LAN. mengingat karakteristik sistem wireless yang fleksibel untuk diimplementasikan dimana saja seperti perkantoran, industri, rumah sakit maupun perguruan tinggi. Selain itu sistem wireless juga menawarkan berbagai aplikasi diantaranya aplikasi komunikasi antar terminal PC dan koneksi ke jaringan telepon misalnya wireless PABX. Dengan pertimbangan tersebut, wireless LAN dapat memberikan biaya instalasi yang lebih murah disamping sifatnya yang portabel. Teknologi Wirless LAN Sistem Keamanan Jaringan Wireless LAN Pada prinsipnya pembangunan link wireless pada implementasi wireless LAN tidak hanya dapat dilakukan dengan teknologi frekuensi radio (RF) tetapi juga dapat menggunakan teknologi infra merah. Tetapi pada saat ini teknologi RF lebih banyak dikembangkan untuk kebutuhan sistem wireless. Teknologi RF sendiri terbagi dalam beberapa teknik akses, salah satu diantaranya yaitu teknik Multiple Akses yang paling sering digunakan para vendor sebagai teknik akses produk wireless mereka, yaitu teknik multiple access FDMA, TDMA dan CDMA. Dalam mengimplementasikan indoor wireless LAN digunakan arsitektur seluler dimana gedung akan dibagi dalam beberapa cell dan setiap cell akan memiliki link wireless. Area cakupan wireless tergantung dari beberapa faktor seperti teknologi yang digunakan, lingkungan

pengimplementasian, kecepatan data dll.

Sistem keamanan jaringan komputer pada LAN kabel akan hilang pada saat kabel jaringan dipotong atau ditap. Sedangkan pada wireless LAN, security akan hilang apabila data dikirimkan tanpa metoda perlindungan. Pencegahan performansi pada wireless data dapat dilakukan dengan menggunakan metode enkripsi atau dengan metode transmisi spread spektrum. Security juga dapat dilakukan dengan menggunakan identifikasi dan validasi terminal yang akan mengakses sistem. Tanpa pengontrolan security, akses-akses seperti jamming paket, airborne virus, tapping dll, dapat terjadi dan tidak dapat terdeteksi oleh layer terbawah dari OSI (physical dan data link). Oleh sebab itu yang harus menjadi perhatian adalah sistem keamanan jaringan komputer yang berbasis wireless LAN. Read more at http://coretananaktkj.blogspot.com/2012/05/pengertian-wireless-lan-dansistem.html#kXsyA3ewQj44loov.99

Artikel 3

Sistem Keamanan Komputer

Dunia internet adalah dunia dimana pengetahuan adalah kekuatan, dan para penjahat tidak terlihat. Filsuf besar Plato, pernah mengungkapkan pelajarannya dalam sebuah cerita mengenai seorang pengembala muda yang menemukan cincin yang membuatnya tidak terlihat. Pertanyaannya sekarang: Apa yang akan anda lakukan jika anda bias menghilang? Banyak keindahan yang ditimbulkan oleh arena komunikasi global bernama internet. Ilmuwan dan mahasiswa bias bertukar informasi dari segenap penjuru dunia, dan mencari data penelitian, yang pada masa lalu mungkin hanya ada di perpustakaan dunia. Tetapi berbarengan dengan itu, istilah seperti hacker, cracker, packet-monkeys, cyber-vandal, script-kiddies, dan cyber crir-crime yang sebelumnya tidak punya makna, pada masa ini mereka bermunculan begitu cepat. Lebih buruknya lagi, kebanyakan adalah anak belasan tahun dengan waktu luang yang cukup banyak. Kebanyakan sensasi media mengenai hal tersebut lebih banyak memandangnya sebagai aktifitas penuh prestise, ketegangan, dan tantangan untuk mengalahkan system. Ada sejumlah perbedaan persepi mengenai apa yang mereka lakukan dengan konsekuensi yang ditimbulkannya. Dan kebanyakan dampaknya, mau tidak mau, akan diterima oleh konsumen. Orang yang masuk ke komputer orang lain tanpa permisi meskipun tidak mengubah atau merusak informasi, baik dengan atau tanpa alas an tertentu dianggap merupakan suatu kejahatan. Saat seseorang masuk kedalam rumah orang lain tanpa permisi, meskipun ia tidak mencuri apapun atau melakukan kerusakan fisik ia masih dianggap pencuri. Alasannya orang memerlukan perasaan aman. Maka orang masuk kesuatu komputer tanpa izin tidak bedanya dengan penjahat tersebut, karena: itu milik

orang lain diman mereka menyimpan perbendaharannya disitu, serta orang memerlukan kepercayaan dan rasa aman pada tempat tersebut. Kita tidak boleh membaca E-mail seseorang, seperti halnya kita tidak akan membuka kota pos milik tetangga sebelah rumah untuk membaca surat-surat mereka, meski kita mengembalikan lagi surat tersebut ketempatnya. Pada kenyataannya kebanyakan usaha penyusupan lebih dari sekedar keingintahuan yang non-destructive. Sikap toleransi dari cracker makin menurun dan cenderung menjadi suatu bentuk terorisme baru. Pentingnya Koordinasi Tulisan ini tidak ditujukan untuk memperdebatkan dikotomi istilah, tetapi lebih menyoroti pentingnya koordinasi antara bagian yang menangani keamanan fisik dan keamanan sistem informasi, yang relevan sekarang ini. Saat ini, masing terlihat rendahnya koordinasi antara bagian yang menangani keamanan fisik dan keamanan sistem informasi. Salah satu contohnya, seperti terjadi pada suatu perusahaan penyedia jasa telekomunikasi. Perusahaan tersebut mempunyai ruang server dengan dua pintu. Pintu pertama terhubung ke ruang kerja staf TI, sedang pintu lainnya terhubung ke koridor dan digunakan untuk keluar masuk barang. Kedua pintu ini akan mengunci secara otomatis jika tertutup. Akses ke ruang server hanya dapat dilakukan dari pintu pertama dengan menggunakan kartu akses, sedang pintu kedua hanya dapat dibuka dari dalam. Kenyataan yang terjadi adalah, pintu kedua ini sering terbuka (dengan cara diganjal) tanpa pengawasan, terutama jika ada vendor yang bekerja. Alasannya, memudahkan' vendor/kontraktor keluar masuk tanpa harus meminta staf TI untuk membukakan pintu. Kalaupun ada satpam yang lewat, hal ini dianggap sesuatu hal yang lazim. Contoh lainnya, terjadi pada suatu perusahaan yang menerapkan pengamanan fisik yang cukup OK'. Akses pintu utama dilakukan dengan menggunakan sidik jari ( fingerprint) ditambah kamera pengawas yang terhubung ke komputer sebagai pengatur kamera dan perekam digital. Komputer ini juga dihubungkan melalui jaringan data ke komputer koordinator satpam untuk tugas monitoring . Sayangny,a baik komputer yang berisi database sidik jari maupun komputer untuk tugas pengatur kamera dan perekam gambar diletakkan di pojok ruangan pantry, yang dipisahkan dengan bagian pantry lainnya hanya oleh penyekat tanpa pintu. Yang lebih memprihatinkan lagi, tidak adanya password sebagai kontrol akses ke komputer pengatur kamera. Contoh pertama di atas menunjukkan rendahnya kesadaran staf TI dan juga Pak Satpam akan pentingnya keamanan fisik terhadap keamanan sistem informasi (walaupun kalau disurvei, dapat dipastikan 100% staf TI akan setuju bahwa keamanan fisik penting). Sedangkan contoh kedua menunjukkan sebaliknya, rendahnya kesadaran (atau ketidaktahuan ?) akan dampak ganguan atas sistem informasi terhadap keamanan fisik. Banyak pihak yang tidak atau belum melihat hubungan pengaruh keamanan sistem informasi terhadap keamanan fisik. Mereka mempertanyakan, apa mungkin seorang hacker melalui Internet membuka pintu ruangan yang terkunci tanpa membongkar pintu? Hal ini pula yang ditangkap oleh Dan Verton, mantan staf intelejen angkatan laut Amerika dalam

bukunya yang berjudul Black Ice The invisible Threat of Cyber-Terrorism. Dan Verton mengatakan Many Internet security analyst and observers have refused to acknowledge the physical aspects of cyber-terrorism .. Beberapa orang tidak menyadari bahwa pengamanan fisik dewasa ini banyak dipengaruhi oleh teknologi sistem informasi. Sekarang ini sudah umum peralatan kamera dan perekamnya dihubungkan ke jaringan data. Di beberapa tempat orang dapat menggunakan fasilitas bluetooth pada handphone untuk membeli minuman dari vending machine , atau membuka/menutup pintu rumah serta mematikan/menghidupkan mesin mobil lewat fasilitas GPRS ( Global Packet Radio service ). Di suatu perusahaan multinasioal jasa perminyakan, keterkaitan antara pengaman fisik dan teknologi sistem informasi begitu tinggi. Perusahaan tersebut sudah menerapkan sistem yang disebut one (ID) for all alias satu kartu akses (berupa Smart Card ) dapat digunakan untuk autentikasi akses fisik, akses jaringan, bahkan untuk auto debet gaji atas pembayaran makanan di kantin perusahaan. Dengan sistem tersebut pula, memungkinkan seorang karyawan di suatu lokasi untuk meminta akses fisik pada fasilitas di lokasi lainnya secara on-line . HACKER VS CRACKER Dua istilah ini paling sering disebutkan ketika kita berbicara mengenai keamanan data. Hacker dan cracker dianggap sebagai orang yang bertanggung jawab atas berbagai kasus kejahatan komputer (cybercrime) yang semakin marak dewasa ini. Padahal jika kita mau melihat siapa dan apa yang dilakukan oleh hacker dan cracker, maka anggapan tersebut bisa dikatakan tidak 100 % benar. Hacker adalah sebutan untuk mereka yang menggunakan keahliannya dalam hal komputer untuk melihat, menemukan dan memperbaiki kelemahan sistem keamanan dalam sebuah sistem komputer ataupun dalam sebuah software. Hasil pekerjaan mereka biasanya dipublikasikan secara luas dengan harapan sistem atau software yang didapati memiliki kelemahan dalam hal keamanan dapat disempurnakan di masa yang akan datang. Sedangkan cracker memanfaatkan kelemahan-kelamahan pada sebuah sistem atau software untuk melakukan tindak kejahatan. Dalam masyarakat hacker, dikenal hirarki atau tingkatan. Hacker menduduki tempat kedua dalam tingkatan tersebut dan cracker berada pada tingkat ketiga. Selain itu masih ada beberapa tingkatan lain seperti lamer (wanna be). Berbeda dengan hacker dan craker yang mencari dan menemukan sendiri kelemahan sebuah sistem, seorang lamer menggunakan hasil temuan itu untuk melakukan tindak kejahatan. Seorang lamer biasanya hanya memiliki pengetahuan yang sedikit mengenai komputer terutama mengenai sistem keamanan dan pemrograman. Dalam komunitas hacker, lamer merupakan sebutan yang bisa dibilang memalukan. Seorang hacker memiliki tujuan yaitu untuk menyempurnakan sebuah sistem sedangkan seorang cracker lebih bersifat destruktif. Umumnya cracker melakukan cracking untuk menggunakan sumber daya di sebuah sistem untuk kepentingan sendiri. DAMPAK CRACKING

Salah satummodus cracking adalah masuk kedalam site, melihat cara kerjanya dan pergi tanpa meningggalkan bekas. Seseorang melakukan deface situs web dengan ucapan salam untuk teman-teman mereka, atau menyebarkan berita sensasional pada headline dikoran dengan membuat down suatu site, Serangan DDOS dilakukan oleh user yang mengkoordiner sampai ratusan sisitem yang mengalami compromised. System tersebut bias dikendalikan untuk melakukan serangan DDOS pada suatu target. Serangan ke yahoo, misalnya dilancarkan lebih dari 50 lokasi. Software (sering disebut Trojan atau zombie) ditanam pada komputer slave tersebut dan pada suatu saat menjalankan program untuk melakukan flood messege penghancur ke server target. Apa sebenarnya bahanya yang dilakukan cracker? Mereka bias mengubah file, memakai sumber daya komputer untuk kebutuhan mereka, dan mengirim pesan palsu dari komputer tersebut. Meski motivasi awalnya sekedar having fun dan menginginkan pengakuan akan keahliannya dampaknya bias sangat berbahaya. Misalnya saja seorang cracker menyusup keperusahaan farmasi dan mengubah sejumlah file: Jika formula kimia dirubah, maka hasil produknya bias mematikan. Jika perusahaanmengetahui ada penyusupan, maka mereka perlu banyak waktu untuk menentukan kapan hal itu terjadi, apa masalah yang terkena dan bagaimana memulihkannya. Biaya recovery tersebut membuat produk lebih mahal, sehingga konsumen membeli dengan harga lebih tinggi. Misalnya cracker masuk dan tidak merubah file apapun: Perusahaan, saat mengetahui penyusupan tersebut, akan menghabiskan waktu untuk memeriksa dan memvalidasi system mereka, dan meningkatkan keamanannya. Hal diatas akan membuat produk lebih mahal, dan konsumen yang harus membayarnya. Bagaimana bila cracker membuat system crash?: Perusahaan akan melakukan recovery dalam jumlah yang cukup besar (dan kehilangan penjualan), meski belum direncanakan. Hasilnya sama, konsumen harus membayar lebih mahal. Bayangkan bila ini terjadi pada rumah sakit, atau kelompok penting lainnya, orang yang memerlukan layanan tersebut bias menderita bahkan mati. Ujung-ujungnya semua akan dibebankan kepada konsumen. Apa yang bias dilakukan untuk mencegah serangan? DDOS merupakan jenis serangan yang susah dicegah. Admin perlu menemukan setiap kemungkinan vulnerabilitas, sementara mereka hanya perlu menemukan satu hal saja yang terlewatkan. Setiap komputer yang terhubung ke internet harus dibuat seaman mungkin dan konfigurasi yang up-to-date. Konon seseorang bias melakukan compromise sejumlah komputer yang baru beberapa menit saja terhubung ke internet. ISP bias memasang filter untuk pengiriman data. Contoh lain, RSA Security menyatakan

telah membuat suatu metode bila dideteksi suatu serangan muncul, komputer yang masuk perlu memecahkan semacam puzzle kriptografi yang mana pekerjaan itu akan membuat sibuk komputer penyerang sendiri. MENGUJI KEAMANAN SISTEM Berbicara mengenai keamanan dalam sebuah sistem komputer, tak akan lepas dari bagaimana seorang cracker dapat melakukan penetrasi ke dalam sistem dan melakukan pengrusakan. Ada banyak cara yang biasanya digunakan untuk melakukan penetrasi antara lain : IP Spoofing (Pemalsuan alamat IP), FTP Attack, Unix Finger Exploit, Flooding, Email Exploitsm Password Attacks, Remote File Sisem Attacks, dll. Pada umumnya, cara-cara tersebut bertujuan untuk membuat server dalam sebuah sistem menjadi sangat sibuk dan bekerja di atas batas kemampuannya sehingga sistem akan menjadi lemah dan mudah dicrack. Seorang hacker bisa dipekerjakan untuk mencari celah-celah (hole) dalam sebuah sistem keamanan. Hacker akan menggunakan berbagai teknik yang diketahuinya termasuk teknikteknik di atas untuk melakukan penetrasi ke dalam sistem. Hacker juga akan mengkombinasikan berbagai cara di atas dan menggunakan berbagai teknik terbaru yang lebih canggih. Dengan demikian diharapkan titik rawan dalam sebuah sistem dapat diketahui untuk kemudian dilakukan perbaikan. Setelah perbaikan dilakukan (dengan melibatkan sang hacker), sistem akan kembali diuji. Demikianlah proses ini dilakukan berulang-ulang sehingga semua celah yang ada dalam sistem kemanan bisa ditutup.Untuk melakukan proses ini, tentunya dibutuhkan seorang hacker yang benar-benar berpengalaman dan memiliki tingkat pengetahuan yang tinggi. Tidak semua hacker bisa melakukan hal ini dengan baik, apalagi jika kita memakai seorang cracker.

MENGAPA KITA PERLU PENGAMANAN? Banyak pertanyaan yang mungkin timbul di pikiran kita. Mengapa kita membutuhkan kemanan, atau seberapa aman, atau apa yang hendak kita lindungi, seberapa pentingkah data kita sehingga perlu memusingkan diri dengan masalah keamanan. Pertama akan dijelaskan mengapa kita membutuhkan keamanan. Dalam dunia global dengan komunikasi data yang selalu berkembang dengan pesat dari waktu ke waktu, koneksi internet yang semakin murah, masalah keamanan seringkali luput dari perhatian pemakai komputer dan mulai menjadi isu yang sangat serius. Keamanan data saat ini telah menjadi kebutuhan dasar karena perkomputeran secara global telah menjadi tidak aman. Sementara data anda berpindah dari satu titik ke titik lainnya di Internet, mungkin data tersebut melewati titik - titik lain dalam perjalanannya, yang memberikan kesempatan kepada orang lain untuk mengganggunya. Bahkan mungkin beberapa pengguna dari sistem anda, mengubah data yang dimiliki menjadi sesuatu yang tidak anda inginkan. Akses yang tidak terotorisasi ke dalam sistem anda mungkin bisa diperoleh oleh penyusup, yang disebut 'cracker', yang kemudian menggunakan kemampuannya untuk mencuri data, atau pun melakukan hal - hal

lain yang merupakan mimpi buruk bagi anda. SEBERAPA AMAN? Sekarang kita akan mempelajari lebih jauh mengenai seberapa tinggi tingkat kemanan yang kita miliki, atau pun kita perlukan. Satu hal yang perlu diingat adalah tidak ada satu sistem komputer pun yang memiliki sistem keamanan yang sempurna. Hal yang dapat anda lakukan hanya mencoba meminimalisir celah keamanan yang ada. Untuk pengguna Linux rumahan yang hanya menggunakannya untuk keperluan pribadi saja di rumah, mungkin tidak perlu memikirkan terlalu banyak tindakan pencegahan. Tetapi untuk pengguna Linux yang termasuk dalam skala besar, seperti bank dan perusahaan telekomunikasi, banyak usaha ekstra keras yang harus dilakukan. Hal lain yang perlu diingat adalah semakin aman sistem yang anda miliki, maka sistem komputer akan menjadi semakin merepotkan. Anda harus menyeimbangkan antara kenyamanan pemakaian sistem dan proteksi demi alasan keamanan. Sebagai contoh, anda bisa saja memaksa orang lain yang ingin masuk ke dalam sistem anda untuk menggunakan call-back modem untuk melakukan panggilan balik melalui nomor telepon rumah mereka. Cara ini kelihatannya memang lebih aman, tapi jika tidak ada seorang pun di rumah, akan menyulitkan mereka untuk login. Anda juga dapat mengatur konfigurasi sistem Linux anda tanpa jaringan atau koneksi ke Internet, tapi pembatasan ini akan membatasi kegunaan jaringan itu sendiri. Jika anda memiliki situs dengan ukuran menengah sampai besar, anda harus membangun seperangkat kebijakan dalam hal keamanan yang menyatakan tingkat keamanan yang diperlukan. Anda dapat menemukan berbagai informasi mengenai contoh kebijakan dalam hal keamanan yang umum digunakan di http://www.faqs.org/rfcs/rfc2196.html. Informasi ini sering diperbarui, dan berisi lingkup kerja yang bagus untuk mengembangkan kebijakan keamanan untuk perusahaan anda. APA YANG ANDA COBA LINDUNGI? Sebelum anda berusaha melakukan pengamanan terhadap sistem yang anda miliki, anda harus menentukan terlebih dahulu beberapa hal. Hal - hal yang perlu dipikirkan, yaitu tingkat ancaman yang harus anda antisipasi, resiko yang harus diambil, dan seberapa kebal sistem anda sebagai hasil usaha yang telah anda lakukan. Anda harus menganalisa sistem anda untuk mengetahui apa yang anda lindungi, kenapa anda melindunginya, seberapa besar nilai data yang anda lindungi, dan siapa yang bertanggung jawab terhadap data dan aset lain dalam sistem anda. Resiko adalah kemungkinan dimana seorang penyusup mungkin bisa berhasil dalam usahanya untuk mengakses komputer anda. Dapatkah seorang penyusup membaca atau menulis berkas, atau pun mengeksekusi program yang dapat menyebabkan kerusakan? Dapatkah mereka menghapus data yang penting? Sebagai tambahan, memiliki account yang tidak aman dalam sistem anda dapat berakibat kecurian pada jaringan anda. Anda harus memutuskan siapa yang anda percaya untuk mengakses sistem dan siapa yang dapat menimbulkan ancaman bagi sistem anda.

Ada beberapa tipe penyusup yang karakteristiknya berbeda satu dengan lainnya, diantaranya: 1. The Curious Penyusup tipe ini pada dasarnya tertarik mencari tahu tipe sistem dan data yang anda miliki. 2. The Malicious Penyusup tipe ini, mengganggu sistem sehingga tidak dapat bekerja dengan optimal, merusak halaman situs web anda, atau pun memaksa anda untuk menghabiskan banyak uang dan waktu untuk memperbaiki kerusakan yang dibuatnya. 3. The High-Profile Intruder Penyusup tipe ini mencoba menyusup ke dalam sistem anda untuk mendapatkan ketenaran dan pengakuan. Kemungkinan dia akan menggunakan sistem anda yang canggih sebagai sarana untuk membuatnya terkenal karena telah berhasil menyusup sistem kemanan komputer anda. 4. The Competition Penyusup tipe ini tertarik pada data yang dimiliki oleh sistem anda. Penyusup ini mungkin adalah seseorang yang berpikir ada sesuatu yang berharga yang dapat memberikan keuntungan baginya. 5. The Borrowers Penyusup tipe ini akan menggunakan sumber daya yang kita miliki untuk kepentingan mereka sendiri. Biasanya penyusup ini akan menjalankannya sebagai server chatting (irc), situs porno, atau bahkan server DNS. 6. The Leapfrogger Penyusup tipe ini hanya tertarik menggunakan sistem yang anda miliki untuk masuk ke dalam sistem lain. Jika sistem anda terhubung atau merupakan sebuah gateway ke sejumlah host internal, anda akan menyaksikan penyusup tipe ini sedang berusaha untuk berkompromi dengan sistem yang anda miliki. MENGEMBANGKAN SUATU KEBIJAKSANAAN KEAMANAN Ciptakanlah kebijakan yang sederhana dan umum digunakan, dimana tiap pengguna dalam sistem anda dapat mengerti dan mengikutinya. Kebijakan tersebut harus dapat melindungi data anda sendiri sebagaimana melindungi kerahasiaan dari tiap pengguna. Beberapa hal yang perlu dipertimbangkan adalah: siapa sajakah yang memiliki akses ke sistem anda, siapa sajakah yang diizinkan untuk menginstall program ke dalam sistem, siapa memiliki data apa, perbaikan terhadap kerusakan yang mungkin terjadi, dan penggunaan yang wajar dari sistem. Sebuah kebijakan mengenai keamanan yang dapat diterima secara umum dimulai dengan pernyataan "Mereka yang tidak diizinkan, dilarang masuk". Artinya, kecuali anda memberikan izin akses kepada service atas seorang pengguna, maka pengguna tersebut haruslah tidak bisa melakukan apa - apa sampai anda memberikan izin akses kepadanya. Yakinkan bahwa kebijakan yang anda buat, dapat berjalan dengan baik pada account pengguna biasa. Dengan mengatakan "Ah, saya tidak habis pikir mengenai masalah perizinannya" atau "Saya malas", biasanya seseorang akan melakukan segala sesuatunya sebagai root. Hal ini dapat menyebabkan terciptanya lubang keamanan yang belum ada sebelumnya. rfc1244 adalah dokumentasi yang menjelaskan cara untuk membuat kebijakan keamanan jaringan sendiri. Sedangkan dokumentasi yang menjelaskan mengenai contoh kebijakan keamanan dengan deskripsi yang lengkap untuk tiap tahapnya dapat anda lihat di rfc1281.

MENGAMANKAN SITUS ANDA Dokumen ini mendiskusikan berbagai macam cara untuk mengamankan aset anda. Sebagai contoh mesin lokal anda, data anda, pengguna anda, jaringan anda, dan bahkan reputasi anda sendiri. Apa yang akan terjadi pada reputasi anda, jika seorang penyusup berhasil menghapus sebagian pengguna data anda? Atau merusak situs web anda? Atau bahkan menerbitkan rencana proyek perusahaan anda untuk beberapa tahun kedepan? Jika anda berencana untuk membangun sebuah instalasi jaringan, ada banyak faktor yang harus anda perhitungkan sebelum menambahkan satu demi satu mesin ke dalam jaringan anda. Bahkan dengan account panggilan PPP tunggal anda, atau bahkan sebuah situs kecil, bukan berarti si penyusup tidak tertarik pada sistem yang anda miliki. Situs - situs raksasa bukanlah satu - satunya target sasaran, karena banyak penyusup yang ingin mengeksploitasi sebanyak mungkin situs yang ada, seberapa pun juga ukurannya. Sebagai tambahan mereka mungkin menggunakan lubang keamanan dalam situs anda untuk memperoleh akses ke situs lain yang mereka tuju. Penyusup tidak perlu melakukan tebak tebakan mengenai cara anda mengamankan sistem karena mereka memiliki banyak waktu. Kemungkinan besar cara yang mereka gunakan adalah mencoba semua kemungkinan yang ada (brute force). KEAMANAN FISIK Lapisan kemanan pertama yang harus anda perhitungkan adalah keamanan secara fisik dalam sistem komputer anda. Siapa saja yang memiliki akses secara langsung ke sistem? Apakah mereka memang berhak? Dapatkah anda melindungi sistem anda dari maksud dan tujuan mereka? Apakah hal tersebut perlu anda lakukan? Berapa banyak keamanan fisik yang berada dalam sistem anda memiliki ketergantungan terhadap situasi yang anda hadapi, dan tentu saja anggaran. Apabila anda adalah pengguna rumahan, maka kemungkinan anda tidak membutuhkan banyak. Tapi jika anda berada di laboratorium, atau pun jaringan komputer tempat anda bekerja, banyak yang harus anda pikirkan. Secara nyata dan jelas, metode keamanan secara fisik yang bisa dilakukan antara lain dengan mngunci pintu, kabel, laci, tapi semuanya itu diluar pembahasan dalam bagian ini.

Artikel 5

SOAL 1. Sebutkan dan jelaskan jenis-jenis ancaman atau gangguan yang ada pada teknologi sistem informasi! 2.Bagaimana cara menanggulangi ancaman atau gangguan tersebut? 3. Apa peranan keamanan jaringan (menggunakan kabel dan wireless) pada teknologi sistem informasi? 4. Bagaimana cara mengamankan jaringan yang digunakan pada teknologi sistem informasi?

Jawab:
1. Berbagai Jenis Ancaman Pada suatu Sistem Informasi

Keamanan merupakan faktor penting yang perlu diperhatikan dalam pengoperasian sistem informasi, yang dimaksudkan untuk mencegah ancaman terhadap sistem serta untuk mendeteksi dan membetulkan akibat segala kerusakan sistem. Ancaman terhadap sistem informasi dapat dibagi menjadi dua macam, yaitu ancaman aktif dan ancaman pasif. a. Ancaman aktif, mencakup: 1. kecurangan 2. kejahatan terhadap komputer b. 1. 2. 3. bencana alam Ancaman kegagalan kesalahan pasif, mencakup: sistem manusia

Macam Ancaman Contoh Bencana alam Gempa bumi, banjir, kebakaran, perang. Kesalahan manusia Kesalahan pemasukan data. Kesalahan penghapusan data. Kesalahan operator(salah memberi label pada pita magnetik. Kegagalan perangkat lunak dan perangkat keras Gangguan listrik. Kegagalan peralatan. Kegagalan fungsi perangkat lunak. Kecurangan dan kejahatan komputer Penyelewengan aktivitas. Penyalagunaan kartu kredit.

 Sabotase. Pengaksesan oleh orang lain yang tidak berhak Program yang jahat/usil Virus, cacing, bom waktu dll. Bencana alam merupakan faktor yang tak terduga yang bisa mengancam sistem informasi. Dan kesalahan pengoperasian sistem oleh manusia juga dapat merusak integritas sistem dan data. Pemasukan data yang salah dapat mengacaukan sistem. Begitu juga penghapusan data. Pelabelan yangsalah terhadap pita magnetik yang berisi backupsistem juga membawa dampak buruk kalau terjadi gangguan dalam sistem. Gangguan listrik, kegagalan peralatan,dan fungsiperangkat lunak dapat menyebabkan data tidak konsisten, transaksi tidak lengkap atau bahkan data rusak. Selain itu, variasi tegangan listrik yang terlalu tajam dapat membuat peralatan-peralatan terbakar. Ancaman lain berupa kecurangan dan kejahatan komputer. Ancaman ini mendasarkan pada komputer sebagai alat untuk melakukan tindakan yang tidak benar. Penggunaan sistem berbasis komputer terkadang menjadi rawan terhadap kecurangan (fraud)dan pencurian. Metode yang umum digunakan oleh orang dalam melakukan penetrasi terhadap sistem berbasis komputer ada 6 macam (Bonar dan Hopwood, 1993), yaitu: Pemanipulasian masukan. Penggantian program. Penggantian secara langsung. Pencurian data. Sabotase. Penyalahgunaan dan pencurian sumber daya komputasi. Dalam banyak kecurangan terhadap komputer, pemanipulasian masukan merupakan metode yang paling banyak digunakan, mengingat hal ini bisa dilakukan tanpa memerlukan ketrampilan teknis yang tinggi. Pemanipulasian melalui program biasa dilakukan oleh para spesialis teknologi informasi.Pengubahan berkas secara langsung umum dilakukan oleh orang yang punya akses secara langsung terhadap basis data. Pencurian data kerap kali dilakukan oleh orang dalam untuk dijual. Salah satu kasus terjadi pada Encyclopedia Britanica Company (bodnar dan Hopwood, 1993). Perusahaan ini menuduh seorang pegawainya menjual daftar nasabah ke sebuah pengiklan direct mail seharga $3 juta. Sabotase dapat dilakukan dengan berbagai cara. Istilah umum untuk menyatakan tindakan masuk kedalam suatu sistem komputer tanpa otorisasi, yaitu hacking. Pada masa kerusuhan rahun 1998, banyak situs Web badan-badan pemerintah di Indonesia diacak-acak oleh para cracker. HACKER DAN CRAKERS Hacker pada hakekatnya adalah orang-orang yang dapat dikategorikan sebagai programmer yang pandai dan senang meng-utak-utik sesuatu yang dirasakan sebagai penghalang terhadap apa yang ingin dicapainya. Bagi seorang hacker perlindungan terhadap sistem komputer adalah tantangan, mereka akan mencari cara bagaimana bisa menembus password, firewall, accesskey dan sebagainya. Walau demikian hacker bisa dibedakan atas dua golongan, golongan putih (white hat) dan golongan hitam (black hat). Golongan putih biasanya tidak memiliki niat jahat, mereka melakukan penyusupan hanya untuk memuaskan rasa ingin tahu atau untuk memuaskan kemampuan programming-nya dalam

menembus penghalang yang ada, atau hanya untuk mencari tahu kelemahan sistem pertahanan komputer sehingga bisa membuat pertahanan yang lebih baik. Golongan hitam melakukan penyusupan paling tidak untuk mencuri rahasia dari sistem komputer, dan kalau perlu merusak data atau merusak sistem yang sedang berjalan. Cracker adalah orang-orang yang menembus pertahanan keamanan sistem komputer untuk merusak, mencari keuntungan pribadi dan merugikan pemilik sistem komputer. Hacker golongan hitam sebenarnya bisa dikategorikan sebagai cracker. Hacker dan Cracker keduanya tetap melakukan tindakan yang melanggar aturan yaitu menembus pertahanan keamanan sistem komputer karena tidak mendapat hak akses. Berbagai teknik yang digunakan untuk melakukan hacking: 1. Denial of Service (DoS) Serangan yang bertujuan untuk menggagalkan pelayanan sistem jaringan kepada penggunanya yang sah, misalnya pada sebuah situs e-commerce layanan pemesanan barang selalu gagal, atau user sama sekali tidak bisa login, daftar barang tidak muncul atau sudah diacak, dsb. Bentuk serangan yang lebih parah disebut DDoS (Distributed Denial of Service) dimana berbagai bentuk serangan secara simultan bekerja menggagalkan fungsi jaringan. 2. Back Door Suatu serangan (biasanya bersumber dari suatu software yang baru di instal) yang dengan sengaja membuka suatu pintu belakang bagi pengunjung tertentu, tanpa disadari oleh orang yang meng-instal software, sehingga mereka dengan mudah masuk kedalam sistem jaringan. 3. Sniffer Teknik ini diimplementasikan dengan membuat program yang dapat melacak paket data seseorang ketika paket tersebut melintasi Internet, menangkap password atau isinya. 4. Spoofing Suatu usaha dari orang yang tidak berhak misalnya dengan memalsukan identitas, untuk masuk ke suatu sistem jaringan, seakan-akan dia adalah user yang berhak. 5. Man in the Middle Seorang penyerang yang menempatkan dirinya diantara dua orang yang sedang berkomunikasi melalui jaringan, sehingga semua informasi dari sua arah melewati, disadap, dan bila perlu diubah oleh penyerang tersebut tanpa diketahui oleh orang yang sedang berkomunikasi. 6. Replay Informasi yang sedang didistribusikan dalam jaringan dicegat oleh penyerang, setelah disadap ataupun diubah maka informasi ini disalurkan kembali ke dalam jaringan, seakan-akan masih berasal dari sumber asli. 7. Session Hijacking Sessi TCP yang sedang berlangsung antara dua mesin dalam jaringan diambil alih oleh hacker, untuk dirusak atau diubah. 8. DNS Poisoning Hacker merubah atau merusak isi DNS sehingga semua akses yang memakai DNS ini akan disalurkan ke alamat yang salah atau alamat yang dituju tidak bisa diakses. 9. Social Engineering Serangan hacker terhadap user yang memanfaatkan sisi kelemahan dari manusia misalnya dengan cara merekayasa perasaan user sehingga pada akhirnya user bersedia mengirim informasi kepada hacker untuk selanjutnya digunakan dalam merusak sistem jaringan.

10. Password Guessing Suatu usaha untuk menebak password sehingga pada akhirnya hacker ini bisa menggunakan password tersebut. 11. Brute Force Suatu usaha untuk memecahkan kode password melalui software yang menggunakan berbagai teknik kombinasi. 12. Software Exploitation Suatu usaha penyerangan yang memanfaatkan kelemahan atau bug dari suatu software, biasanya setelah kebobolan barulah pembuat software menyediakan hot fix atau Service pack untuk mengatasi bug tersebut. 13. War Dialing Pelacakan nomer telepon yang bisa koneksi ke suatu modem sehingga memungkinkan penyerang untuk masuk kedalam jaringan. 14. SYN flood Serangan yang memanfaatkan proses hand-shaking dalam komunikasi melalui protokol TCP/IP, sehingga ada kemungkinan dua mesin yang berkomunikasi akan putus hubungan. 15. Smurfing Suatu serangan yang dapat menyebabkan suatu mesin menerima banyak sekali echo dengan cara mengirimkan permintaan echo pada alamat broadcast dari jaringan. 16. Ping of Death Suatu usaha untuk mematikan suatu host/komputer dengan cara mengirim paket besar melalui ping, misalnya dari command-line dari Window ketik: ping l 65550 192.168.1.x 17. Port Scanning Usaha pelacakan port yang terbuka pada suatu sistem jaringan sehingga dapat dimanfaatkan oleh hacker untuk melakukan serangan. 18. Unicode Serangan terhadap situs web melalui perintah yang disertakan dalam url http, misalnya : http://www.xxxx.com/scripts/..%c1%9c../cmd1.exe?/ c+echo.. 19. SQL Injectio Serangan yang memanfaatkan karakter khusus seperti dan or yang memiliki arti khusus pada SQL server sehingga login dan password bisa dilewati. 20. XSS Cross site scripting, serangan melalui port 80 (url http) yang memanfaatkan kelemahan aplikasi pada situs web sehingga isi-nya bisa diubah (deface). 21. E-mail Trojans Serangan virus melalui attachment pada e-mail. Berbagai kode yangjahat atau usil juga menjadi ancaman bagi sistem komputer. Kode yang dimaksud mencakup virus, cacing, kuda Trojan, bom waktu, dan perangkat lunak lainnya. Di lingkunhan windows, istilah virus begitu dikenal dansangat ditakuti oleh para pemakai PC. VIRUS Virus komputer adalah program komputer yang masuk ke dalam sistem untuk melakukan sesuatu, misalnya meng-interupsi proses yang sedang berjalan di CPU, memperlambat kinerja komputer, memenuhi memory komputer sehingga kegiatan CPU berhenti, memenuhi hard-disk, menghapus file-file, merusak sistem operasi, dan sebagainya.

Virus komputer juga merupakan hasil karya seorang programmer yang punya niat jahat atau hanya untuk memuaskan nafsu programming-nya yang berhasil menyusupkan virus kedalam sistem komputer orang lain. Jumlah virus bertambah terus setiap hari sehingga pemilik sistem komputer harus selalu waspada. Virus menyusup masuk ke dalam sistem komputer melalui berbagai cara, antara lain: Pertukaran file, misalnya mengambil file (copy & paste) dari komputer lain yang telah tertular virus. E-mail, membaca e-mail dari sumber yang tidak dikenal bisa berisiko tertular virus, karena virus telah ditambahkan (attach) ke file e-mail. IRC, saluran chatting bisa dijadikan jalan bagi virus untuk masuk ke komputer. CACING (WORM) Cacing adalah program yang dapat menggandakan dirinya sendri dan menulari komputerkomputer dalam jaringan. Sebuah contoh cacing legendaris adalah yang diciptakan oleh mahasiswa ilmu komputer di Universitas Cornell yang bernama Robert Morris pada tahun 1988. Program yangdibuat olehnya inidapat menyusup ke jaringan yang menghubungkan Massachusets Institue of Technology, perusahaan RAND, Ames Research Center-nya NASA, dan sejumlah universitas di Amerika. Cacing ini telah menyebar ke 6.000 mesin sebelum akhirnya terdeteksi. BOM LOGIKA ATAU BOM WAKTU (Logic Bomb & time bomb) Bom logika atau bom waktu adalah program yang beraksi karena dipicu oleh sesuatu kejadian atausetelah selang waktu berlalu. Sebagai contoh, program dapat diatur agar menghapus hard disk atau menyebabkan lalu lintas macet. Contoh kasus bom waktu terjadi di USPA, perusahaan asuransi di Fort Worth (Bodnar dan Hopwood, 1993). Donal Burkson, pemrogram pada perusahaan tersebut dipecat karena suatu hal. Dua hari kemudian, sebuah bom waktu mengaktifkan dirinya sendiri dan menghapus kira-kira 160.000 rekaman-rekaman penting pada komputer perusahaan tersebut. Para penyidik menyimpulkan bahwa Burkson memasang bom waktu dua tahun sebelum di-PHK. KUDA TROJAN (Trojan Horse) Kuda Trojan adalah program yang dirancang agar dapat digunakan untuk menyusup ke dalam sistem. Sebagai contoh, kuda Trojan dapat menciptakan pemakai dengan wewenang supervisor atau superuser. Pemakai inilah yang nantinya dipakai untuk menyusup ke sistem. Contoh kuda Trojan yang terkenal adalah program Machintosh yang bernama Sexy Ladu HyperCard yang pada tahun 1998 membawa korban dengan janji menyajikan gambar-gambar erotis. Sekalipun janjinya dipenuhi, program ini juga menghapus data pada komputer-komputer yang memuatnya. Penyalahgunaan dan pencurian sumber daya komputasi merupakan bentuk pemanfaatan secara illegal terhadap sumber daya komputasi oleh pegawai dalam rangka menjalankan bisnisnya sendiri. Satu hal lagi tentang kemungkinan ancaman terhadap sistem informasi adala trapdoor. Trapdoor adalah kemungkinan tindakan yang tak terantisipasi yang tertinggal dalam program karena ketidak sengajaan. Disebabkan sebuah program tak terjamin bebas dari kesalahan, kesalahan-kesalahan yang terjadi dapat membuat pemakai yang tak berwewenang dapat mengakses sistem dan melakukan hal-hal yang sebenarnya tidak boleh dan tidak bisa dilakukan.

2.

Cara Melakukan Gangguan-gangguan Sistem Informasi Ada tiga cara untuk melakukan gangguan terhadap sistem informasi : 1. Data Tampering 2. Penyelewengan program 3. Penetrasi ke sistem informasi

Data Tampering atau Data Diddling

Data Tampering adalah merubah data sebelum, atau selama proses dan sesudah proses dari sistem informasi. Data diubah sebelum diproses yaitu pada waktu data ditangkap di dokumen dasar atau pada saat diverifikasi sebelum dimasukkan ke sistem informasi. Data diubah pada saat proses sistem informasi biasanya dilakukan pada saat dimasukkan ke dalam sistem informasi. Data diubah setelah proses sistem informasi yaitu dengan mengganti nilai keluarannya. Data diubah dapat diganti, dihapus atau ditambah. Kegiatan data tampering ini biasanya banyak dilakukan oleh orang dalam perusahaan itu sendiri.

Penyelewengan Program (Programming Fraud)

Dengan cara ini, program komputer dimodifikasi untuk maksud kejahatan tertentu. Teknik-teknik yang termasuk dalam kategori ini adalah :

Virus

Virus berupa penggalan kode yang dapat menggandakan dirinya sendiri, dengan cara menyalin kode dan menempelkan ke berkas program yang dapat dieksekusi. Selanjutnya, salinan virus ini akan menjadi aktif jika program yang terinfeksi dijalankan.

Contoh virus jahat adalah CIH atau virus Chernobyl, yang melakukan penularan melalui e-mail.

Cacing (Worm)

Cacing adalah suatu program yang dapat menggandakan dirinya sendiri dengan cepat dan menulari komputer-komputer dalam jaringan. Contoh worm yang terkenal adalah yang diciptakan oleh Robert Morris pada tahun 1988. Program yang dibuatnya dapat menyusup ke jaringan yang menghubungkan Massachusets Institute of Technology, perusahaan RAND, Ames Research Centernya NASA, dan sejumlah universitas di Amerika. Worm ini telah menyebar ke 6000 komputer sebelum akhirnya terdeteksi.

Kuda Trojan (Trojan Horse)

Kuda Trojan adalah program komputer yang dirancang agar dapat digunakan untuk menyusup ke dalam sistem. Sebagai contoh, Trojan Horse dapat menciptakan pemakai dengan wewenang supervisor atau superuser. Pemakai inilah yang nantinya dipakai untuk menyusup ke sistem. Contoh Trojan Horse yang terkenal adalah program pada Macintosh yang bernama Sexy Ladies HyperCard yang pada tahun 1988 membawa korban dengan janji menyajikan gambar-gambar erotis. Sekalipun janjinya dipenuhi, program ini juga menghapus data pada komputer-komputer yang memuatnya.

Round down Technique

Teknik ini merupakan bagian program yang akan membulatkan nilai pecahan ke dalam nilai bulat dan mengumpulkan nilai-nilai pecahan yang dibulatkan tersebut. Bila diterapkan di bank misalnya, pemrogram dapat membulatkan ke bawah semua biaya bunga yang dibayarkan ke nasabah, dan memasukkan pecahan yang dibulatkan tersebut ke rekeningnya.

Salami Slicing

Merupakan bagian program yang memotong sebagian kecil dari nilai transaksi yang besar dan menggumpulkan potongan-potongan ini dalam suatu periode tertentu. Misalnya suatu akuntan di suatu perusahaan di California menaikkan sedikit secara sistematik biaya-biaya produksi. Bagian-bagian yang dinaikkan ini kemudian dikumpulkan selama periode tertentu dan diambil oleh akuntan tersebut.

Trapdoor

Adalah kemungkinan tindakan yang tak terantisipasi yang tertinggal dalam program karena ketidaksengajaan. Disebabkan sebuah program tidak terjamin bebas dari kesalahan, kesalahan yang terjadi dapat membuat pemakai yang tak berwenang dapat mengakses sistem dan melakukan hal-hal yang sebenarnya tidak boleh dan tidak dapat dilakukan.

Super zapping

Adalah penggunaan tidak sah dari program utiliti Superzap yang dikembangkan oleh IBM untuk melewati beberapa pengendalian-pengendalian sistem yang kemudian melakukan kegiatan tidak legal.

Bom Logika atau Bom Waktu (Logic bomb atau Time bomb)

Bom logika atau bom waktu adalah suatu program yang beraksi karena dipicu oleh sesuatu kejadian atau setelah selang waktu berlalu. Program ini biasanya ditulis oleh orang dalam yang akan mengancam perusahaan atau membalas dendam kepada perusahaan karena sakit hati. Contoh kasus bom waktu terjadi di USPA, perusahaan asuransi di Forth Worth. Donal Burkson, seorang programmer pada perusahaan tersebut dipecat karena sesuatu hal. Dua hari kemudian, sebuah bom waktu mengaktifkan dirinya sendiri dan menghapus kira-kira 160.000 rekaman-rekaman penting pada komputer perusahaan tersebut.

Penetrasi ke Sistem Informasi

Yang termasuk dalam cara ini adalah :

Piggybacking

Piggybacking adalah menyadap jalur telekomunikasi dan ikut masuk ke dalam sistem komputer bersama-sama dengan pemakai sistem komputer yang resmi.

Masquerading atau Impersonation

Masquerading atau Impersonation yaitu penetrasi ke sistem komputer dengan memakai identitas dan password dari orang lain yang sah. Identitas dan password ini biasanya diperoleh dari orang dalam.

Scavenging

Scavenging yaitu penetrasi ke sistem komputer dengan memperoleh identitas dan password dari mencari di dokumen-dokumen perusahaan. Data identitas dan password diperoleh dari beberapa cara mulai dari mencari dokumen di tempat sampah sampai dengan mencarinya di memori-memori komputer.

Eavesdropping

Eavesdropping adalah penyadapan informasi di jalur transmisi privat. Misalnya adalah yang dilakukan oleh Mark Koenig sebagai konsultan dari GTE. Dia menyadap informasi penting lewat telpon dari nsabah-nasabah Bank of America dan menggunakan informasi tersebut untuk membuat sebanyak 5500 kartu ATM palsu. Selain cara di atas, metode yang umum digunakan oleh orang dalam melakukan penetrasi ke sistem informasi ada 6 macam (Bodnar dan Hopwood,1993), yaitu: 1. Pemanipulasian masukkan Dalam banyak kecurangan terhadap komputer, pemanipulasian masukkan merupakan metode yang paling banyak digunakan, mengingat hal ini dapat dilakukan tanpa memerlukan ketrampilan teknis yang tinggi. 2. Penggantian program Pemanipulasian melalui program dapat dilakukan oleh para spesialis teknologi informasi. 3. Penggantian berkas secara langsung Pengubahan berkas secara langsung umum dilakukan oleh orang yang punya akses secara langsung terhadap basis data. 4. Pencurian data Pencurian data seringkali dilakukan oleh orang dalam untuk dijual. Salah satu kasus yang terjadi pada Encyclopedia Britanica Company. Perusahaan ini menuduh seorang pegawainya menjual daftar nasabah ke sebuah pengiklan direct mail seharga $3 juta. 5. Sabotase Sabotase dapat dilakukan dengan berbagai cara oleh Hacker atau Cracker.

Hacker : para ahli komputer yang memiliki kekhususan keamanan sistem komputer dengan tujuan publisitas.

dalam menjebol

Cracker :penjebol sistem komputer yang bertujuan untuk melakukan pencurian atau merusak sistem.

Berbagai teknik yang digunakan untuk melakukan hacking :

Denial of Service

Teknik ini dilaksanakan dengan cara membuat permintaan yang sangat banyak terhadap suatu situs, sehingga sistem menjadi macet dan kemudian dengan mencari kelemahan pada sistem, si pelaku melakukan serangan terhadap sistem.

Sniffer

Teknik ini diimplementasikan dengan membuat program yang dapat melacak paket data seseorang ketika paket tersebut melintasi internet, menangkap password atau menangkap isinya.

Spoofing

Melakukan pemalsuan alamat e-mail atau web dengan tujuan untuk menjebak pemakai agar memasukkan informasi yang penting seperti password atau nomor kartu kredit. 6. Penyalahgunaan dan pencurian sumber daya komputasi Merupakan bentuk pemanfaatan secara ilegal terhadap sumber daya komputasi oleh pegawai dalam rangka menjalankan bisnisnya sendiri.

3. Teknologi Wireless & Wireline Pengertian Wireless atau dalam bahasa Indonesia disebut nirkabel, adalah teknologi yang menghubungkan dua piranti untuk bertukar data tanpa media kabel. Cara Kerja : Data dipertukarkan melalui media gelombang cahaya tertentu (seperti teknologi infra merah pada remote TV) atau gelombang radio (seperti bluetooth pada komputer dan ponsel)dengan frekuensi tertentu. Modem : berasal dari singkatan MOdulator DEModulator. Modulator merupakan

bagian yang mengubah sinyal informasi kedalam sinyal pembawa (Carrier) dan siap untuk dikirimkan, sedangkan Demodulator adalah bagian yang memisahkan sinyal informasi (yang berisi data atau pesan) dari sinyal pembawa (carrier) yang diterima sehingga informasi tersebut dapat diterima dengan baik. Modem merupakan penggabungan kedua-duanya, artinya modem adalah alat komunikasi dua arah. Setiap perangkat komunikasi jarak jauh dua-arah umumnya menggunakan bagian yang disebut modem, seperti VSAT, Microwave Radio, dan lain sebagainya, namun umumnya istilah modem lebih dikenal sebagai Perangkat keras yang sering digunakan untuk komunikasi pada komputer. Cara Kerja : Data dari komputer/laptop yang berbentuk sinyal digital diberikan kepada modem untuk diubah menjadi sinyal analog. Sinyal analog tersebut dapat dikirimkan melalui beberapa media telekomunikasi seperti telepon dan radio. Setibanya di modem tujuan, sinyal analog tersebut diubah menjadi sinyal digital kembali dan dikirimkan kepada komputer. Terdapat dua jenis modem secara fisiknya, yaitu modem eksternal dan modem internal.

1. Teknologi Wireless Teknologi wireless, memungkinkan satu atau lebih peralatan untuk berkomunikasi tanpa koneksi fisik, yaitu tanpa membutuhkan jaringan atau peralatan kabel. Teknologi wireless menggunakan transmisi frekwensi radio sebagai alat untuk mengirimkan data, sedangkan teknologi kabel menggunakan kabel. Teknologi wireless berkisar dari sistem komplek seperti Wireless Local Area Network (WLAN) dan telepon selular hingga peralatan sederhana seperti headphone wireless, microphone wireless dan peralatan lain yang tidak memproses atau menyimpan informasi. Disini juga termasuk peralatan infra merah seperti remote control, keyboard dan mouse komputer wireless, dan headset stereo hi-fi wireless, semuanya membutuhkan garis pandang langsung antara transmitter dan receiver untuk membuat hubungan. 1.1 Jaringan Wireless Jaringan Wireless berfungsi sebagai mekanisme pembawa antara peralatan atau antar peralatan dan jaringan kabel tradisional (jaringan perusahaan dan internet). Jaringan wireless banyak jenisnya tapi biasanya digolongkan ke dalam tiga kelompok berdasarkan jangkauannya: Wireless Wide Area Network (WWAN), WLAN, dan Wireless Personal Area Network (WPAN). WWAN meliputi teknologi dengan daerah jangkauan luas seperti selular 2G, Cellular Digital Packet Data

(CDPD), Global System for Mobile Communications (GSM), dan Mobitex. WLAN, mewakili local area network wireless, termasuk diantaranya adalah 802.11, HiperLAN, dan beberapa lainnya. WPAN, mewakili teknologi personal area network wireless seperti Bluetooth dan infra merah. Semua teknologi ini disebut tetherless dimana mereka menerima dan mengirim informasi menggunakan gelombang electromagnet (EM). Teknologi wireless menggunakan panjang gelombang berkisar dari frekwensi radio (RF) hingga inframerah. Frekwensi pada RF mencakup bagian penting dari spectrum radiasi EM, yang berkisar dari 9 kilohertz (kHz), frekwensi terendah yang dialokasikan untuk komunikasi wireless, hingga ribuan gigahertz (GHz). Karena frekwensi bertambah diluar spectrum RF, energi EM bergerak ke IR dan kemudian ke spectrum yang tampak. 1.2 Kemunculan Teknologi Wireless Mulanya, peralatan handheld mempunyai kegunaan yang terbatas karena ukurannya dan kebutuhan daya. Tapi, teknologi berkembang, dan peralatan handheld menjadi lebih kaya akan fitur dan mudah dibawa. Yang lebih penting, berbagai peralatan wireless dan teknologi yang mengikutinya sudah muncul. Telepon mobil, sebagai contoh, telah meningkat kegunaannya yang sekarang memungkinkannya berfungsi sebagai PDA selain telepon. Smart phone adalah gabungan teknologi telepon mobil dan PDA yang menyediakan layanan suara normal dan email, penulisan pesan teks, paging, akses web dan pengenalan suara. Generasi berikutnya dari telepon mobil, menggabungkan kemampuan PDA, IR, Internet wireless, email dan global positioning system (GPS). Pembuat juga menggabungkan standar, dengan tujuan untuk menyediakan peralatan yang mampu mengirimkan banyak layanan. Perkembangan lain yang akan segera tersedia adalahl sistem global untuk teknologi yang berdasar komunikasi bergerak (berdasar GSM) seperti General Packet Radio Service (GPRS), Local Multipoint Distribution Service (LMDS), Enhanced Data GSM Environment (EDGE), dan Universal Mobile Telecommunications Service (UMTS). Teknologi-teknologi ini akan menyediakan laju transmisi data yang tinggi dan kemampuan jaringan yang lebih besar. Tapi, masingmasing perkembangan baru akan menghadirkan resiko keamanannya sendiri,dan badan pemerintah harus memikirkan resiko ini untuk memastikan bahwa asset yang penting tetap terjaga. 1.3 Ancaman Keamanan dan Penurunan Resiko Wireless Ada sembilan kategori ancaman keamanan yang berkisar dari kesalahan dan penghilangan ancaman hingga privasi pribadi. Semuanya ini mewakili potensi ancaman dalam jaringan wireless juga. Tapi, perhatian utama pada komunikasi wireless adalah pencurian peralatan, hacker jahat, kode jahat, pencurian dan

spionase industri dan asing. Pencurian bisa terjadi pada peralatan wireless karena mudah dibawa. Pengguna system yang berhak dan tidak berhak bisa melakukan penggelapan dan pencurian, pengguna yang berhak lebih mungkin untuk melakukan hal itu. Karena pengguna sistem bisa tahu resources apa yang dipunyai oleh suatu sistem dan kelemahan keamanan sistem, lebih mudah bagi mereka untuk melakukan penggelapan dan pencurian. Hacker jahat, kadangkadang disebut cracker, adalah orang-orang yang masuk ke sistem tanpa hak, biasanya untuk kepuasan pribadi atau untuk melakukan kejahatan. Hacker jahat biasanya orangorang dari luar organisasi (meskipun dalam organisasi dapa menjadi ancaman juga). Hacker semacam ini bisa mendapat akses ke access point jaringan wireless dengan menguping pada komunikasi peralatan wireless. Kode jahat meliputi virus, worm, Kuda Trojan, logic bombs, atau software lain yang tidak diinginkan yang dirancang untuk merusak file atau melemahkan sistem. Pencurian pelayanan terjadi ketika pengguna tidak berhak mendapatkan akses ke jaringan dan memakai sumber daya jaringan. Spionase asing dan industri meliputi pengumpulan data rahasia perusahaan atau intelijen informasi pemerintah yang dilakukan dengan menguping. Pada jaringan wireless, ancaman spionase dengan menguping dapat terjadi pada transmisi radio. Serangan yang dihasilkan dari ancaman ini, jika berhasil, menempatkan sistem perusahaan, dan datanya beresiko. Memastikan kerahasiaan, integritas, keaslian, dan ketersediaan adalah tujuan utama dari kebijakan keamanan semua pemerintah. Wireless System telepon wireless mulai berkembang sekitar tahun 1970-an. Sistem telepon wireless berkembang karena adanya tuntutan kebutuhan dari pengguna untuk dapat tetap melakukan pembicaraan telepon walaupun mereka sedang dalam perjalanan ataupun sedang tidak ada di rumah. Dalam perkembangannya, teknologi wireless berkembang sangat cepat, dari mulai teknologi generasi pertama (1G) seperti AMPS, kemudian berkembang ke teknologi generasi kedua (2G) seperti GSM dan CDMA, kemudian berkembang ke teknologi generasi ketiga (3G) seperti UMTS. Semua perkembangan teknologi wireless ini dicapai dalam waktu yang relative cepat. Gambar di bawah ini menunjukan arsitektur jaringan sebuah system telepon wireless, dalam hal ini dicontohkan jaringan system GSM. Secara umum, arsitektur jaringan system telepon wireless baik itu system 1G, 2G, maupun 3G, terdiri dari 3 kelompok network element, yaitu Mobile Susbcriber atau perangkat pelanggan, network eleemnt radio, dan network element core . Perangkat Pelanggan : adalah element jaringan system wireless yang terdapat di

sisi pelanggan. Dalam system GSM perangkat pelanggan disebut dengan MS (Mbobile Subscriber) dan dalam system 3G disebut dengan UE (User Equipment). Ciri khas perangkat pelangganpada system wireless ialah ia bersifat protable (dapat dibawa kemana-mana) dan dilengkapi dengan kartu pelanggan (sim card) sebagai kartu identitas pelanggan. Sedangkan fungsinya relatif sama dengan perangkat pelanggan pada system wireline (fungsi tranceiver sinyal informasi berupa suara/multimedia dan dilengkapi dengan bell dan keypad DTMF. Network Element Radio : adalah element jaringan yang menghubungkan perangkat pelanggan dengan network element core yang merupakan network element utama system. Fungsi utama network element radio adalah melakukan fungsi-fungsi mobile management, yaitu melayani dan mensupport pelanggan-pelanggan yang selalu bergerak agar tetap dapat terhubung dengan system jaringan. Fugsi lainnya ialah melakukan fungsi-fungsi radio resource management yaitu mengatur kebutuhan resource di sisi radio akses network yang bertujuan agar setiap permintaan hubungan dari pelanggan dapat dilayani. Network element core : adalah perangkat-perangkat yang melakukan fungsi-fungsi penyambungan hubungan (switching dan routing). Dalam perkembangannya, network element core akan dilengkapi dengan network element - network element VAS (Value Added Service) yang fungsinya untuk mensupport sebuah hubungan dalam rangka diversivikasi service, seperti SMSC (untuk SMS), MMSC (untuk MMS), IVR (untuk voice recording), IN (untuk billing online dan service-service IN lain seperti televoting, VPN, dll), network element RBT (untuk service Ring Back Tone), dll.

2. Teknologi Wireline Sistem telepon wireline atau yang dikenal juga dengan sebutan PSTN (Public Switch Telephone Network) atau yang di Indonesia sering juga disebut telepon kabel jelas berbeda dengan system telepon wireless atau yang disebut juga system seluler. Tapi, seperti apakah perbedaan kedua system ini? Apakah bedanya cuma karena yang satu pake kabel dan yang satu tidak? Mungkin uraian sederhana dibawah ini dapat sedikit memberi gambaran tentang perbanding kedua system telepon ini. System telepon wireline perkembang jauh sebelum orang mengenal system telepon wireless, yaitu pada sekitar tahun 1870-an. System ini disebut wireline karena kable digunakan sebagai media tranmisi yang menghubungkan pesawat telepon pelanggan dengan perangkat di jarinagan telepon milik operator. Gambar di bawah

ini

menunjukan

arsitektur

jaringan

telepon

wireline

secara

umum.

Dari gambar di atas dapat dilihat bahwa pesawat telepon pelanggan di rumahrumah dihubungkan dengan sentral telepon (switching unit) dengan menggunakan media kabel. Secara umum komponen jaringan yang digunakan dalam sebuah jaringan telepon wireline adalah : Sentral Telepon (switching unit) : adalah perangkat yang berfungsi untuk melakukan proses pembangunan hubungan antar pelanggan. Sentral telepon juga melakukan tugas pencatakan data billing pelanggan. MDF (Main Distribution Frame) : adalah sebuah tempat terminasi kabel yang menghubungkan kabel saluran pelanggan dari sentral telepon dan jaringan kable yang menuju ke terminal pelanggan. Bila sebuah sentral telepon memiliki 1000 pelanggan, maka pada MDF-nya akan terdapat 1000 pasang kabel tembaga yang terpasang pada slot MDF-nya, dimana setiap pasang kabel tembaga ini akan mewakili satu nomor pelanggan. Dan 1000 pasang kabel yeng terpasang di slot MDF ini akan di-cross coneect dengan 1000 pasang kable lain yang berasal dari saluran pelanggan yang menuju ke pesawat terminal pelanggan. Jadi bila seorang pelanggan ingin agar nomor teleponnya diganti dengan nomor lain, maka proses perubahan nomor ini dapat dengan mudah dilakukan dengan merubah koneksi saluran pelanggan di MDF-nya. MDF bisanya diletakan pada satu gedung yang sama dengan sentral teleponnya (berdekatand engansentral telepon). RK (Rumah Kabel) : juga merupakan sebuah perangkat cross connect saluran pelanggan, hanya saja ukurannya lebih kecil. Jadi dari MDF, kable saluran pelanggan akan dibagi-bagi dalam kelompok yang lebih kecil dan masing-masing kelompok kabel akan didistrubikan ke beberapa RK. Dan dari RK, kable saluran pelanggan ini akan dibagi-bagi lagi ke dalam jumlah yang lebih kecil dan terhubung ke beberapa IDF. Bentuk phisik RK adalah sebuah kotak (biasanya berwarna putih) dan banyak kita temui dipinggir-pinggir jalan. IDF (Intermediate Distribution Frame) : juga merupakan sebuah perangkat cross connect kabel saluran pelanggan, dengan ukuran yang lebih kecil dari MDF dan RK. Secara phisik, IDF berbentuk kotak-kotak (biasanya warna hitam) yang terpasang pada tiang-tiang telepon. TB (Terminal Box) : juga merupakan cross connect kabel saluran pelanggan yang

menghubungkan antara kabel saluran pelanggan di dalam rumah dengan yang diluar rumah. Secara phisik, TB berbentuk kotak yang terpasang di rumah-rumah pelanggan. Pesawat telepon pelanggan : perangkat yang berfungsi sebagai transceiver (pengirim dan penerima) sinyal suara. Pesawat pelanggan juga dilengkapi dengan bell dan keypad DTMF yang berfungsi untuk mendial nomor pelanggan. Wireline vs Wireless

Tabel di bawah ini memperlihatkan beberapa perbedaan antara system telepon wireline dan wireless. Wireline Wireless Perangkat Pelanggan Tidak dilengkapi dengan SIM card. Proces pergantian nomor identitas pelanggan dilakukan dengan merubah terminasi saluran kabel yang terhubung dengan pesawat pelanggan di rumah, hal ini dapat dilakukan dari titik-titik cross connect saluran kabel seperti di IDF, RK, ataupun MDF. Dilengkapi dengan smard chip yang berfungsi sebagai SIM (Subscriber Identity Module) card yang merupakan kartu identitas pelanggan. Dengan SIM card, proces pergantian nomor pelanggan dapat dilakukan dengan lebih mudah, yaitu dengan hanya mengganti SIM card yang digunakan pelanggan. Perangkat pelanggan dihubungkan ke system jaringan wireline dengan menggunakan kabel (saluran phisik), sehingga tidak dapat dibawa-kemana-mana. Perangkat pelanggan dihubungkan ke system jaringan wireless dengan menggunakan gelombang elektromagnetik (saluran non-phisik) sehingga dapat dibawa bepergian (mobile). Secara umum fungsi perangkat pelanggan di kedua system SAMA, perkembangan teknologi memungkinkan perangkat pelanggan di kedua system ini untuk melakukan fungsi yang sama seperti untuk melakukan hubungan voice, data, ataupun multimedia. Network Element Jaringan Pelanggan dihubungkan ke network element core engan menggunakan saluran kabel. Network element yang ada di antara pelanggan dan network element core adalah network element yang fungsinya sebagai tempat cross connect saluran kabel pelanggan yang fungsinya relative lebih sederhana. Ciri khasnya ialah digunakannya network element radio akses yang fungsinya untuk menghubungkan pelanggan yang terus bergerak (berpindah-pindah tempat) dengan network element core. Dalam hal ini pelangganakan dihubungkan ke system jaringan dengan menggunakna media transmisi gelombang elektromagnetik. Jadi

tidak menggunakan kabel seperti pada system wireline. Untuk perangkat switching, secara umum fungsi perangkat switching (network element core) kedua system ini sama. Artinya perangkat switching di system wireline sebenarnya bisa dipakai juga sebagai perangkat switching dis sytem wireless. Tapi ada suatu perubahan yang harus dilakukan yang terkait dengan perubahan sifat pelangan (subscriber) yang tadinya tidak bergerak (tetap) menjadi terus bergerak dan berpindah-pindah tempat. (Lihat Gambar 3 di atas) Untuk network element lain yang digolongkan dalam network element VAS, pada umumnya sama, network element ini pada dasarnya berfungsi untuk mensupport service-service yang diberikan ke pelanggan. Dan network element ini dapat digunakan baik di system wireless maupun system wireline. Service Dengan kemajuan teknologi seperti sekarang ini, pada dasarnya semua services yang ada di system wireline dapat diimplementasikan juga pada system wireless, baik itu service-service voice, data, maupun multimedia. Hanya saja, ada beberapa service yang hanya ada pada system wireless, seperti service-service LBS (Location base Service). Hal ini karena service ini merupakan service yang memanfaatkan nilai dari informasi lokasi pelanggan wireless yang berubah-ubah. Tingkat Keamanan Pembicaraan pelanggan sangat mudah untuk disadap, hal ini karena media kabel yang digunakan. Hanya dengan memparalel perangkat lain ke saluran kabel pelanggan, seseorang sudah dapat mendengarkan semua isi pembicaraan pelanggan. Relatif lebih aman. Ada proces authentikasi yang akan melakukan proces filtering yang menentukan pelanggan yang boleh terhubung dengan system jaringan dan boleh melakukan call. Ada proces encrypsi yang akan melakukan proces penyandian terhadap informasi yang dikirim/diterima oleh perangkat pelanggan. Sehingga isi pembicaraan pelanggan tidak mudah disadap.

4.

Autentifikasi , Proses pengenalan peralatan, sistem operasi, kegiatan, aplikasi dan identitas user yang terhubung dengan jaringan komputer Enkripsi , proses pengkodean pesan untuk menyembunyikan isi. Digunakan untuk menyediakan kerahasiaan, dapat menyediakan authentication dan perlindungan integritas

Firewall, sebuah sistem yang akan memeriksa seluruh data yang akan diterima oleh sebuah aplikasi jaringan komputer. Paket-paket data yang diterima dari pihak lain akan disatukan untuk kemudian diperiksa apakah data yang dikirimkan berbahaya atau tidak. Apabila ditemukan data yang berbahaya untuk sebuah aplikasi, maka data tersebut akan dibuang, sehingga tidak membahayakan sistem jaringan komputer secara keseluruhan.

sumber didapatkan dari: 1.http://blog.syamsy.com/berbagai-jenis-ancaman-pada-suatu-sistem-informasi.html 2. http://heckerlaye.wordpress.com/2009/12/23/keamanan-sistem-informasi/ 3. http://noery176179.blogspot.com/2009/04/teknologi-wireless-wireline.html 4. http://fairuzelsaid.wordpress.com/tag/teknik-untuk-melindungi-jaringan/

lain lain

Kriteria Manager Proyek yang Baik Manager adalah orang atau seseorang yang harus mampu membuat orangorang dalam organisasi yang berbagai karakteristik, latar belakang budaya, akan tetapi memiliki ciri yang sesuai dengan tujuan (goals) dan teknologi (technology). Manager proyek di perlukan karena dalam suatu proyek diperlukan seseorang yang dapat merencanakan, mengatur dan mengarahkan proyek tersebut, memanajemen waktu dan biaya, serta mengolah sumber daya yang ada untuk mencapai hasil yang diharapkan. Kesuksesan suatu proyek tergantung dari siapa yang mengelolanya. Fungsi manajer proyek yaitu Membuat kerja (Mengagendakan pekerjaan), Menjadwal kerja (Diagram PERT dan Grant) dan Bertanggung-jawab atas hasil kerja. Kompetensi yang harus dimiliki manajer proyek yaitu Kompetensi pencapaian bisnis, Kompetensi pemecahan masalah, Kompetensi Pengaruh, Kompetensi Manajemen diri dan orang lain.

Tugas seorang manager antara lain Mengintegrasikan berbagai macam variabel (karakteristik, budaya, pendidikan dan lain sebagainya) kedalam suatu tujuan organisasi yang sama dengan cara melakukan mekanisme penyesuaian, Menjadwalkan proyek dengan merencanakan pelaksanaan proyek agar proyek dapat selesai tepat waktu, Mengimplementasikan rencana proyek di lapangan, Mengontrol kerja sampai selesai dan menjaga serta mengantisipasi agar proyek berjalan sesuai rencana, Membina hubungan kooperatif dengan para pihak yang terlibat baik dalam struktur horizontal maupun vertical, Melakukan inovasi untuk merespon peluang dan ancaman yang tak terduga, Memperkirakan Durasi Tugas, Menentukan ketergantungan antartugas, Mengintegrasikan sumber daya sesuai dengan posisi dan jadwal yang sudah dibuat dalam perencanaan, Mengarahkan Usaha Tim, Memonitor dan Mengontrol Perkembangan selama proyek lingkup, jadwal, dan anggaran dan, jika perlu, membuat penyesuaian pada lingkup, jadwal, dan sumber-sumber daya, Menilai hasil dan pengalaman proyek aktivitas. Adapun mekanisme yang diperlukan untuk menyatukan variabel diatas adalah pengarahan (direction) yang mencakup pembuatan keputusan, kebijaksanaan, supervisi, dan lain-lain, Rancangan organisasi dan pekerjaan, Seleksi, pelatihan, penilaian, dan pengembangan, Sistem komunikasi dan pengendalian dan Sistem reward. Hal tersebut memang tidak mengherankan karena posisi Manajer Proyek memegang peranan kritis dalam keberhasilan sebuah proyek terutama di bidang teknologi informasi. Berikut ini kualifikasi teknis maupun nonteknis yang harus dipenuhi seorang Manajer Proyek yang saya sarikan dari IT Project Management Handbook. Setidaknya ada 3 (tiga) karakteristik yang dapat digunakan untuk mengukur tingkat kualifikasi seseorang untuk menjadi Manajer Proyek yaitu: Karakter Pribadinya 1. Memiliki pemahaman yang menyeluruh mengenai teknis pekerjaan dari proyek yang dikelola olehnya. 2. Mampu bertindak sebagai seorang pengambil keputusan yang handal dan bertanggung jawab.

3. Memiliki integritas diri yang baik namun tetap mampu menghadirkan suasana yang mendukung di lingkungan tempat dia bekerja.

4. Asertif 5. Memiliki pengalaman dan keahlian yang memadai dalam mengelola waktu dan manusia. Karakteristik Kemampuan Terkait dengan Proyek yang Dikelola 1. Memiliki komitmen yang kuat dalam meraih tujuan dan keberhasilan proyek dalam jadwal, anggaran dan prosedur yang dibuat. 2. Pelaksanakan seluruh proses pengembangan proyek IT sesuai dengan anggaran dan waktu yang dapat memuaskan para pengguna/klien. 3. Pernah terlibat dalam proyek yang sejenis. 4. Mampu mengendalikan hasil-hasil proyek dengan melakukan pengukuran dan evaluasi kinerja yang disesuaikan dengan standar dan tujuan yang ingin dicapai dari proyek yang dilaksanakan. 5. Membuat dan melakukan rencana darurat untuk mengantisipasi hal-hal maupun masalah tak terduga. 6. Membuat dan menerapkan keputusan terkait dengan perencanaan. 7. Memiliki kemauan untuk mendefinisikan ulang tujuan, tanggung jawab dan jadwal selama hal tersebut ditujukan untuk mengembalikan arah tujuan dari pelaksanaan proyek jika terjadi jadwal maupun anggaran yang meleset. 8. Membangun dan menyesuaikan kegiatan dengan prioritas yang ada serta tenggat waktu yang ditentukan sebelumnya. 9. Memiliki kematangan yang tinggi dalam perencanaan yang baik dalam upaya mengurangi tekanan dan stres sehingga dapat meningkatkan produktifitas kerja tim. 10. Mampu membuat perencanaan dalam jangka panjang dan jangka pendek. Karakteristik Kemampuan Terkait dengan Tim yang Dipimpin 1. Memiliki kemampuan dan keahlian berkomunikasi serta manajerial. 2. Mampu menyusun rencana, mengorganisasi, memimpin, memotivasi serta mendelegasikan tugas secara bertanggung jawab kepada setiap anggota tim.

3.

Menghormati para anggota tim kerjanya serta mendapat kepercayaan dan penghormatan dari mereka.

4. Berbagi sukses dengan seluruh anggota tim. 5. Mampu menempatkan orang yang tepat di posisi yang sesuai. 6. Memberikan apresiasi yang baik kepada para anggota tim yang bekerja dengan baik. 7. Mampu mempengaruhi pihak-pihak lain yang terkait dengan proyek yang dipimpinnya untuk menerima pendapat-pendapatnya serta melaksanakan rencanarencana yang disusunnya.

8. Mendelegasikan tugas-tugas namun tetap melakukan pengendalian melekat. 9. Memiliki kepercayaan yang tinggi kepada para profesional terlatih untuk menerima pekerjaan-pekerjaan yang didelegasikan darinya. 10. Menjadikan dirinya sebagai bagian yang terintegrasi dengan tim yang dipimpinnya. 11. Mampu membangun kedisiplinan secara struktural. 12. Mampu mengidentifikasi kelebihan-kelebihan dari masing-masing anggota tim serta memanfaatkannya sebagai kekuatan individual. 13. Mendayagunakan setiap elemen pekerjaan untuk menstimulasi rasa hormat dari para personil yang terlibat dan mengembangkan sisi profesionalisme mereka. 14. Menyediakan sedikit waktu untuk menerima setiap ide yang dapat meningkatkan kematangan serta pengembangan dirinya. 15. Selalu terbuka atas hal-hal yang mendorong kemajuan. 16. Memahami secara menyeluruh para anggota tim yang dipimpinnya dan mengembangkan komunikasi efektif di dalamnya. Shtub (1994) menggambarkan diagram kemampuan yang penting untuk dimiliki oleh seorang manajer proyek. Diantaranya adalah:

Problem Solving, kemampuan manajer dalam menyelesaikan masalah secara

efektif dan efisien.

Budgeting and Cost Skills, Kemampuan dalam hal membuat anggaran biaya
proyek, analisis kelayakan investasi agar keuangan proyek dapat berjalan optimal sesuai dengan keinginan penyedia dana. Schedulling and Time Management Skills, kemampuan untuk menjadwalkan proyek. Disini manajer proyek dituntut untuk dapat mengelola waktu secara baik agar proyek dapat selesai tepat waktu seperti yang diharapkan. Untuk mengelola waktu ini manajer proyek harus mendefinisikan aktivitas-aktivitas yang diperlukan, misalnya dengan teknik WBS atau Work Breakdown Structure. Selain itu manajer proyek harus mampu memperkirakan waktu bagi setiap aktivitas secara realistis. Hal ini memerlukan kordinasi dengan tim proyek untuk menentukan estimasi berapa alam aktivitas tersebut dilakukan. Kemudian, manajer proyek harus mengatur waktu peringatan untuk mengindikasikan tanggal-tanggal kritis selama proyek berlangsung. Technical Skills, Kemampuan teknis melingkupi pengetahuan dan pengalaman dalam hal proyek itu sendiri, dengan mengetahui prosedurprosedur dan mekanisme proyek. Kemampuan teknis biasanya di dapat dari penimbaan ilmu khusus di bangku formal, misalnya Institut Manajemen Proyek, dan sebagainya. Leadership Skills, Kepemimpinan menjadi salah satu peranan penting yang dimiliki oleh seorang manajer proyek. Apa yang dilakukan oleh manajer proyek menendakan bagaimana seharusnya orang lain atau timnya bekerja. Dengan ini manajer proyek dapat mempengaruhi bagaimana orang lain dapat bertindak dan bereaksi terhadap isu-isu proyek. Resource Management and Human Relationship Skills, Pemakaian sumber daya adalah masalah utama bagi para manajer proyek. Manajer proyek perlu memahami akibat dari kegagalan dalam mengelola sumber daya, oleh karena itu perlu kehati-hatian dalam menempatkan sumberdaya yang ada dan menjadwalkannya. Hal ini membutuhkan kemampuan untuk membangun jaringan social dengan orang-orang yang terlibat di dalam proyek, seperti para stakeholder. Seorang manajer proyek yang efektif harus mampu untuk menempatkan diri dalam memberikan keterbukaan dan persahabatan dengan pihak lain, salah satunya dengan menjadi pendengar yang baik. Communication Skills, Perencanaan sebuah proyek akan menjadi tidak berguna ketika tidak ada komunikasi yang efektif antara manajer proyek dengan timnya. Setiap anggota tim harus mengetahui tanggung jawab mereka. Kadang, jadwal perencanaan yang sudah dibuat secara sempurna oleh manajer proyek tidak dijalankan oleh timnya, tim lebih memilih bekerja dengan aturan mereka sendiri. Hal ini dikarenakan sang manajer tidak memberikan penjelasan atau mempresentasikan prosedur yang diinginkan dalam menjalankan proyek.

Negotiating Skills, Untuk memperoleh simpati dan dukungan dari

manajemen atas, kemampuan negosiasi dititik beratkan disini. Tapi, manajer proyek harus memahami kepentingan manajemen atas sehingga dengan pemahaman ini manajer proyek dapat melakukan bargaining dengan pemikiran yang tenang dan jernih untuk memperoleh apa yang diinginkan. Selain kemampuan komunikasi yang baik, negosiasi juga memerlukan strategi dalam menarik dukungan manajemen atas atau sponsor mereka, bagaimanapun, pihak yang bernegosiasi harus dapat melihat loyalitas sang manajer terhadap mereka, baru kemudian akan muncul kepercayaan. Marketing, Contracting, Customer Relationship Skills, Kemampuan menjual tidak hanya dimiliki oleh marketer saja, akan tetapi manajer proyek harus memiliki kemampuan untuk memasarkan hasil proyeknya, karena akan sangat tragis ketika sebuah proyek yang sukses secara implementatif, tetapi outputnya tidak dibutuhkan oleh para penggunanya. Bagaimanapun apa yang akan dikatakan sang manajer proyek kepada pelanggannya akan lebih berpengaruh daripada yang mengatakan hanya bagian marketing. Selain itu, kedekatan dengan konsumen sangat diperlukan. Sang manajer perlu responsive terhadap perubahan kebutuhan dan persyaratan pelanggan untuk memenuhi kebutuhan mereka. Sekali lagi, kemampuan komunikasi sangat berperan penting disini. Dalam konsep TQM, kunci utama untuk mengidentifikasi kebutuhan pelanggan adalah komunikasi secara terusmenerus antar pelanggan maupun antar tim proyek (Tjiptono&Diana, 2003).

Referensi : http://nayay.wordpress.com/2010/03/08/manager-proyek/ http://www.setiabudi.name/archives/990 http://www.lintasberita.com/Lifestyle/Relations/kriteria-manager-proyek-yang-baik

Artikel 6

Sistem Keamanan Komputer

Posted by Nurthy Nuryaty on January 22, 2009

Sistem Keamanan Komputer Pokok masalah keamanan sistem salah satunya disebabkan karena sistem time sharing dan akses jarak jauh, apalagi dengan meningkatnya perkembangan jaringan komputer. Keamanan sistem komputer adalah untuk menjamin sumber daya sistem tidak digunakan / dimodifikasi, diinterupsi dan diganggu oleh orang yang tidak diotorisasi. Pengamanan termasuk masalah teknis, manajerial, legalitas dan politis.

3 macam keamanan sistem, yaitu : 1. Keamanan eksternal / external security Berkaitan dengan pengamanan fasilitas komputer dari penyusup dan bencana seperti kebakaran /kebanjiran. 2. Keamanan interface pemakai / user interface security Berkaitan dengan indentifikasi pemakai sebelum pemakai diijinkan mengakses program dan data yang disimpan 3. Keamanan internal / internal security Berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat keras dan sistem operasi yang menjamin operasi yang handal dan tak terkorupsi untuk menjaga integritas program dan data. 2 masalah penting keamanan, yaitu : 1. Kehilangan data / data loss Yang disebabkan karena : Bencana, contohnya kebakaran, banjir, gempa bumi, perang, kerusuhan, tikus, dll. Kesalahan perangkat keras dan perangkat lunak, contohnya ketidak berfungsinya pemroses, disk / tape. yang tidak terbaca, kesalahan komunikasi, kesalahan program / bugs.

 Kesalahan / kelalaian manusia, contohnya kesalahan pemasukkan data, memasang tape / disk yang salah, kehilangan disk / tape. 2. Penyusup / intruder Penyusup pasif, yaitu yang membaca data yang tidak terotorisasi Penyusup aktif, yaitu mengubah data yang tidak terotorisasi. Contohnya penyadapan oleh orang dalam, usaha hacker dalam mencari uang, spionase militer / bisnis, lirikan pada saat pengetikan password. Sasaran keamanan adalah menghindari, mencegah dan mengatasi ancaman terhadap sistem.

3 aspek kebutuhan keamanan sistem komputer, yaitu : 1. Kerahasiaan / secrecy, diantaranya privasi Keterjaminan bahwa informasi di sistem komputer hanya dapat diakses oleh pihak-pihak yang terotorisasi dan modifikasi tetap menjaga konsistensi dan keutuhan data di sistem 2. Integritas / integrity Keterjaminan bahwa sumber daya sistem komputer hanya dapat dimodifikasi oleh pihak-pihak yang terotorisasi 3. Ketersediaan / availability Keterjaminan bahwa sumber daya sistem komputer tersedia bagi pihak-pihak yang diotorisasi saat diperlukan.

Tipe ancaman terhadap keamanan sistem komputer dapat dimodelkan dengan memandang fungsi sistem komputeer sebagai penyedia informasi.

Berdasarkan fungsi ini, ancaman terhadap sistem komputeer dikategorikan menjadi 4 ancaman, yaitu : 1. Interupsi / interuption

Sumber daya sistem komputer dihancurkan / menjadi tak tersedia / tak berguna. Merupakan ancaman terhadap ketersediaan. Contohnya penghancuran harddisk, pemotongan kabel komunikasi. 2. Intersepsi / interception Pihak tak diotorisasi dapat mengakses sumber daya. Merupakan ancaman terhadap kerahasiaan. Pihak tak diotorissasi dapat berupa orang / program komputeer. Contohnya penyadapan, mengcopy file tanpa diotorisasi. 3. Modifikasi / modification Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya. Merupakan ancaman terhadap integritas. Contohnya mengubah nilai file, mengubah program, memodifikasi pesan 4. Fabrikasi / fabrication Pihak tak diotorisasi menyisipkan / memasukkan objek-objek palsu ke sistem. Merupakan ancaman terhadap integritas. Contohnya memasukkan pesan palsu ke jaringan, menambah record file.

Petunjuk prinsip-prinsip pengamanan sistem komputer, yaitu : 1. Rancangan sistem seharusnya publik Tidak tergantung pada kerahasiaan rancangan mekanisme pengamanan. Membuat proteksi yang bagus dengan mengasumsikan penyusup mengetahui cara kerja sistem pengamanan. 2. Dapat diterima Mekanisme harus mudah diterima, sehingga dapat digunakan secara benar dan mekanisme proteksi tidak mengganggu kerja pemakai dan pemenuhan kebutuhan otorisasi pengaksesan. 3. Pemeriksaan otoritas saat itu Banyak sisten memeriksa ijin ketika file dibuka dan setelah itu (opersi lainnya) tidak diperiksa. 4. Kewenangan serendah mungkin

Program / pemakai sistem harusnya beroperasi dengan kumpulan wewenang serendah mungkin yang diperlukan untuk menyelesaikan tugasnya. 5. Mekanisme yang ekonomis Mekanisme proteksi seharusnya sekecil dan sesederhana mungkin dan seragam sehingga mudah untukverifikasi.

Otentifikasi pemakai / user authentification adalah identifikasi pemakai ketika login.

3 cara otentifikasi : 1. Sesuatu yang diketahui pemakai, misalnya password, kombinasi kunci, nama kecil ibu mertua, dll Untuk password, pemakai memilih suatu kata kode, mengingatnya dan menggetikkannya saat akan mengakses sistem komputer, saat diketikkan tidak akan terlihat dilaya kecuali misalnya tanda *. Tetapi banyak kelemahan dan mudah ditembus karena pemakai cenderung memilih password yang mudah diingat, misalnya nama kecil, nama panggilan, tanggal lahir, dll. Upaya pengamanan proteksi password : a. Salting, menambahkan string pendek ke string password yang diberikan pemakai sehingga mencapai panjang password tertentu b. one time password, pemakai harus mengganti password secara teratur, misalnya pemakai mendapat 1 buku daftar password. Setiap kali login pemakai menggunakan password berikutnya yang terdapat pada daftar password. c. satu daftar panjang pertanyan dan jawaban, sehingga pada saat login, komputer memilih salah satu dari pertanyaan secara acak, menanyakan ke pemakai dan memeriksa jawaban yang diberikan. d. tantangan tanggapan / chalenge respone, pemakai diberikan kebebasan memilih suatu algoritma

misalnya x3, ketika login komputer menuliskan di layar angka 3, maka pemakai harus mengetik angka 27. 2. Sesuatu yang dimiliki pemakai, misalnya bagde, kartu identitas, kunci, barcode KTM, ATM. Kartu pengenal dengan selarik pita magnetik. Kartu ini disisipkan de suatu perangkat pembaca kartu magnetik jika akan mengakses komputer, biasanya dikombinasikan dengan password. 3. Sesuatu mengenai / merupakan ciri pemakai yang di sebut biometrik, misalnya sidik jari, sidik suara, foto, tanda tangan, dll. Pada tanda tangan, bukan membandingkan bentuk tanda tangannya (karena mudah ditiru) tapi gerakan / arah dan tekanan pena saat menulis (sulit ditiru).

Untuk memperkecil peluang penembusan keamanan sistem komputer harus diberikan pembatasan, misalnya : 1. Pembatasan login, misalnya pada terminal tertentu, pada waktu dan hari tertentu. 2. Pembatasan dengan call back, yaitu login dapat dilakukan oleh siapapun, bila telah sukses, sistemmemutuskan koneksi dan memanggil nomor telepon yang disepakati. Penyusup tidak dapat menghibungu lewat sembarang saluran telepon, tapi hanya pada saluran tetepon tertentu. 3. Pembatasan jumlah usaha login, misalnya dibatasi sampai 3 kali, dan segera dikunci dan diberitahukan keadministrator. Objek yang perlu diproteksi : 1. Objek perangkat keras, misalnya pemroses, segment memori, terminal, diskdrive, printer, dll 2. Objek perangkat lunak, misalnya proses, file, basis data, semaphore, dll

Masalah proteksi adalah mengenai cara mencegah proses mengakses objek yang tidak diotorisasi. Sehingga dikembangkan konsep domain. Domain adalah himpunan pasangan (objek,hak). Tiap pasangan menspesifikasikan objek dan suatu subset operasi yang dapat dilakukan terhadapnya. Hak dalam konteks ini berarti ijin melakukan suatu operasi.

Cara penyimpanan informasi anggota domain beerupa satu matrik besar, dimana : baris menunjukkan domain kolom menunjukkan objek Pendahuluan Kriptografi

Kriptografi, secara umum adalah ilmu dan seni untuk menjaga kerahasiaan berita [bruceSchneier - Applied Cryptography]. Kata cryptography berasal dari kata Yunani kryptos (tersembunyi) dan graphein (menulis). Selain pengertian tersebut terdapat pula pengertian ilmuyang mempelajari teknik-teknik matematika yang berhubungan dengan aspek keamananinformasi seperti kerahasiaan data, keabsahan data, integritas data, serta autentikasi data [A.Menezes, P. van Oorschot and S. Vanstone - Handbook of Applied Cryptography]. Cryptanalysis adalah aksi untuk memecahkan mekanisme kriptografi dengan cara mendapatkanplaintext atau kunci dari ciphertext yang digunakan untuk mendapatkan informasi berhargakemudian mengubah atau memalsukan pesan dengan tujuan untuk menipu penerima yang sesungguhnya, memecahkan ciphertext. Cryptology adalah ilmu yang mencakup cryptography dan cryptanalysis. Tidak semua aspek keamanan informasi ditangani oleh kriptografi.

Tujuan mendasar dari ilmu kriptografi ini yang juga merupakan aspek keamanan informasi yaitu : Kerahasiaan, adalah layanan yang digunakan untuk menjaga isi dari informasi dari siapapun kecuali yang memiliki otoritas atau kunci rahasia untuk membuka/mengupas informasi yang telah disandi. Integritas data, adalah berhubungan dengan penjagaan dari perubahan data secara tidak sah. Untuk menjaga integritas data, sistem harus memiliki kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data lain kedalam data yang sebenarnya. Autentikasi, adalah berhubungan dengan identifikasi/pengenalan, baik secara kesatuan sistem maupun informasi itu sendiri. Dua pihak yang saling berkomunikasi harus saling memperkenalkan diri. Informasi yang dikirimkan melalui kanal harus diautentikasi keaslian, isi datanya, waktu pengiriman, dan lain-lain. Non-repudiasi., atau nir penyangkalan adalah usaha untuk mencegah terjadinya penyangkalan terhadap pengiriman/terciptanya suatu informasi oleh yang

mengirimkan/membuat. Enkripsi adalah transformasi data kedalam bentuk yang tidak dapat terbaca tanpa sebuah kunci tertentu. Tujuannya adalah untuk meyakinkan privasi dengan menyembunyikan informasi dari orang-orang yang tidak ditujukan, bahkan mereka mereka yang memiliki akses ke data terenkripsi. Dekripsi merupakan kebalikan dari enkripsi, yaitu transformasi data terenkripsi kembali ke bentuknya semula.

Keamanan Dan Manajemen Perusahaan

Seringkali sulit untuk membujuk manajemen perusahaan atau pemilik sistem informasi untuk melakukan investasi di bidang keamanan. Di tahun 1997 majalah Information Week melakukan survey terhadap 1271 system atau network manager di Amerika Serikat. Hanya 22% yang menganggap keamanan sistem informasi sebagai komponen sangat penting (extremely important). Mereka lebih mementingkan reducing cost dan improvingcompetitiveness meskipun perbaikan sistem informasi setelah dirusak justru dapat menelan biaya yang lebih banyak. Keamanan itu tidak dapat muncul demikian saja. Dia harus direncanakan. Ambil contoh berikut. Jika kita membangun sebuah rumah, maka pintu rumah kita harus dilengkapi dengan kunci pintu. Jika kita terlupa memasukkan kunci pintu pada budget perencanaan rumah, maka kita akan dikagetkan bahwa ternyata harus keluar dana untuk menjaga keamanan. Kalau rumah kita hanya memiliki satu atau dua pintu, mungkin dampak dari budget tidak seberapa. Bayangkan bila kita mendesain sebuah hotel dengan 200 kamar dan lupa membudgetkan kunci pintu. Dampaknya sangat besar. Demikian pula di sisi pengamanan sebuah sistem informasi. Jika tidak kita budgetkan di awal, kita akan dikagetkan dengan kebutuhan akan adanya perangkat pengamanan (firewall, Intrusion Detection System, anti virus, DissasterRecoveryCenter, dan seterusnya). Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur dengan uang (intangible), keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran yang dapat diukur dengan uang (tangible). Dengan adanya ukuran yang terlihat, mudah-mudahan pihak manajemen dapat mengerti pentingnya investasi di bidang keamanan.

Berikut ini adalah berapa contoh kegiatan yang dapat kita lakukan : Hitung kerugian apabila sistem informasi kita tidak bekerja selama 1 jam, selama 1 hari, 1 minggu, dan 1 bulan. (Sebagai perbandingkan, bayangkan jika server Amazon.com tidak dapat diakses selama beberapa hari. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.)

 Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi anda. Misalnya web site anda mengumumkan harga sebuah barang yang berbeda dengan harga yang ada di toko kita. Hitung kerugian apabila ada data yang hilang. Misalnya berapa kerugian yang diderita apabila daftar pelanggan dan invoice hilang dari sistem kita. Berapa biaya yang dibutuhkan untuk rekonstruksi data. Apakah nama baik perusahaan kita merupakan sebuah hal yang harus dilindungi? Bayangkan bila sebuah bank terkenal dengan rentannya pengamanan data-datanya, bolak-balik terjadi security incidents. Tentunya banyak nasabah yang pindah ke bank lain karena takut akan keamanan uangnya. Pengelolaan terhadap keamanan dapat dilihat dari sisi pengelolaan resiko (risk management). Lawrie Brown dalam menyarankan menggunakan Risk Management Model untuk menghadapi ancaman (managing threats). Ada tiga komponen yang memberikan kontribusi kepada Risk, yaitu Asset, Vulnerabilities, dan Threats.

Nama Komponen Contoh & Keterangan Lebih Lanjut Asset (Aset) Hardware Software Dokumentasi Data Komunikasi Lingkungan Manusia Threats (Ancaman) Pemakai (Users)

 Teroris Kecelakaan (Accidents) Crackers Penjahat Kriminal Nasib (Acts Of God) Intel Luar Negeri (Foreign Intelligence) Vulnerability (Kelemahan) Software Bugs Hardware Bugs Radiasi (dari layar, transmisi) Tapping, Crosstalk Unauthorized Users Cetakan, Hardcopy Keteledoran (Oversight) Cracker via telepon Strorage media

Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut countermeasures yang dapat berupa : Usaha untuk mengurangi Threat Usaha untuk mengurangi Vulnerability Usaha untuk mengurangi impak (impact) Mendeteksi kejadian yang tidak bersahabat (hostile event) Kembali (recover) dari kejadian

MeningkatnyaMeningkatnya Kejahatan Komputer Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi, akan terus meningkat dikarenakan beberapa hal, antara lain : Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan komputer semakin meningkat. Sebagai contoh saat ini mulai bermunculan aplikasibisnis seperti on-line banking, electronic commerce (e-commerce), Electronic DataInterchange (EDI), dan masih banyak lainnya. Bahkan aplikasi e-commerce akan menjadi salah satu aplikasi pemacu di Indonesia (melalui Telematika Indonesia dan Nusantara 21). Demikian pula di berbagai penjuru dunia aplikasi ecommerce terlihat mulai meningkat. Desentralisasi (dan distributed) server menyebabkan lebih banyak sistem yang harus ditangani. Hal ini membutuhkan lebih banyak operator dan administrator yang handal yang juga kemungkinan harus disebar di seluruh lokasi. Padahal mencari operator dan administrator yang handal adalah sangat sulit, apalagi jika harus disebar di berbagai tempat. Akibat dari hal ini adalah biasanya server-server di daerah (bukan pusat) tidak dikelola dengan baik sehingga lebih rentan terhadap serangan. Seorang cracker akan menyerang server di daerah lebih dahulu sebelum mencoba menyerang server pusat. Setelah itu dia akan menyusup melalui jalur belakang. (Biasanya dari daerah / cabang ke pusat ada routing dan tidak dibatasi dengan firewall.) Transisi dari single vendor ke multi-vendor Sehingga lebih banyak sistem atau perangkat yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani. Untuk memahami satu jenis perangkat dari satu vendor saja sudah susah, apalagi harus menangani berjenis-jenis perangkat. Bayangkan, untuk router saja sudah ada berbagai vendor; Cisco, Juniper Networks, Nortel, Linuxbased router, BSDbased router, dan lain-lain. Belum lagi jenis sistem operasi (operating system) dari server, seperti Solaris (dengan berbagai versinya), Windows (NT, 2000, 2003), Linux (dengan berbagai distribusi), BSD (dengan berbagai variasinya mulai dari FreeBSD, OpenBSD, NetBSD). Jadi sebaiknya tidak menggunakan variasi yang terlalu banyak. Meningkatnya kemampuan pemakai di bidang komputer Sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakanny (atau sistem milik orang lain). Jika dahulu akses ke komputer sangat sukar, maka sekarang komputer sudah merupakan barang yang mudah diperoleh dan banyak dipasang di sekolah serta rumah-rumah. Mudahnya diperoleh software untuk menyerang komputer dan jaringan komputer. Banyak tempat di Internet yang menyediakan software yang langsung dapat diambil

(download) dan langsung digunakan untuk menyerang dengan Graphical User Interface (GUI) yang mudah digunakan. Beberapa program, seperti SATAN, bahkanhanya membutuhkan sebuah web browser untuk menjalankannya. Sehingga, seseorangyang hanya dapat menggunakan web browser dapat menjalankan program penyerang(attack). Penyerang yang hanya bisa menjalankan program tanpa mengerti apamaksudnya disebut dengan istilah script kiddie. Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang sangat cepat. Hukum yang berbasis ruang dan waktu akan mengalami kesulitan untuk mengatasi masalah yang justru terjadi pada sebuah system yang tidak memiliki ruang dan waktu. Barang bukti digital juga masih sulit diakui oleh pengadilan Indonesia sehingga menyulitkan dalam pengadilan. Akibatnya pelaku kejahatan cyber hanya dihukum secara ringan sehingga ada kecenderungan mereka melakukan hal itu kembali. Semakin kompleksnya sistem yang digunakan, Seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan (yang disebabkan kesalahan pemrograman, bugs).

Klasifikasi Kejahatan Komputer Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai ke yang hanya mengesalkan (annoying). Menurut David Icove berdasarkan lubang keamanan, dapat diklasifikasikan menjadi empat, yaitu : 1. Keamanan yang bersifat fisik (physical security) Termasuk akses orang ke gedung, peralatan, dan media yang digunakan. Beberapa bekas penjahat komputer (crackers) mengatakan bahwa mereka sering pergi ke tempat sampah untuk mencari berkas-berkas yang mungkin memiliki informasi tentang keamanan. Misalnya pernah diketemukan coretan password atau manual yang dibuang tanpa dihancurkan. Wiretapping atau hal-hal yang berhubungan dengan akses ke kabel atau computer yang digunakan juga dapat dimasukkan ke dalam kelas ini. Pencurian komputer dan notebook juga merupakan kejahatan yang besifat fisik. Menurut statistik, 15% perusahaan di Amerika pernah kehilangan notebook. Padahal biasanya notebook ini tidak dibackup (sehingga data-datanya hilang), dan juga seringkali digunakan untuk menyimpan data-data yang seharusnya sifatnya confidential (misalnya pertukaran email antar direktur yang menggunakan notebook tersebut). Denial of service, yaitu akibat yang ditimbulkan sehingga servis tidak dapat

diterima oleh pemakai juga dapat dimasukkan ke dalam kelas ini. Denial of service dapat dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan). Beberapa waktu yang lalu ada lubang keamanan dari implementasi protokol TCP/IP yang dikenal dengan istilah Syn Flood Attack, dimana sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadi terlalu sibuk dan bahkan dapat berakibat macetnya sistem (hang). Mematikan jalur listrik sehingga sistem menjadi tidak berfungsi juga merupakan serangan fisik. Masalah keamanan fisik ini mulai menarik perhatikan ketika gedung WorldTradeCenter yang dianggap sangat aman dihantam oleh pesawat terbang yang dibajak oleh teroris. Akibatnya banyak sistem yang tidak bisa hidup kembali karena tidak diamankan. Belum lagi hilangnya nyawa. 2. Keamanan yang berhubungan dengan orang (personel) Termasuk identifikasi, dan profil resiko dari orang yang mempunyai akses (pekerja). Seringkali kelemahan keamanan sistem informasi bergantung kepada manusia (pemakai dan pengelola). Ada sebuah teknik yang dikenal dengan istilah social engineering yang sering digunakan oleh kriminal untuk berpura-pura sebagai orang yang berhak mengakses informasi. Misalnya kriminal ini berpura-pura sebagai pemakai yang lupa passwordnya dan minta agar diganti menjadi kata lain. 3. Keamanan dari data dan media serta teknik komunikasi (communications). Yang termasuk di dalam kelas ini adalah kelemahan dalam software yang digunakan untuk mengelola data. Seorang kriminal dapat memasang virus atau trojan horse sehingga dapat mengumpulkan informasi (seperti password) yang semestinya tidak berhak diakses. Bagian ini yang akan banyak kita bahas dalam buku ini. 4. Keamanan dalam operasi Termasuk kebijakan (policy) dan prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack

recovery). Seringkali perusahaan tidak memiliki dokumen kebijakan dan prosedur.

Aspek / Service Dari Keamanan (Security) Garfinkel mengemukakan bahwa keamanan komputer (computer security) melingkupi empat aspek, yaitu privacy, integrity, authentication, dan availability. 1. Privacy / Confidentiality Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut. Contoh hal yang berhubungan dengan privacy adalah e-mail seorang pemakai (user) tidak boleh dibaca oleh administrator. Contoh confidential information adalah data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari confidentiality adalah daftar pelanggan dari sebuah Internet Service Provider (ISP). Untuk mendapatkan kartu kredit, biasanya ditanyakan data-data pribadi. Jika saya mengetahui data-data pribadi anda, termasuk nama ibu anda, maka saya dapat melaporkan melalui telepon (dengan berpura-pura sebagai anda) bahwa kartu kredit anda hilang dan mohon penggunaannya diblokir. Institusi (bank) yang mengeluarkan kartu kredit anda akan percaya bahwa saya adalah anda dan akan menutup kartu kredit anda. Masih banyak lagi kekacauan yang dapat ditimbulkan bila data-data pribadi ini digunakan oleh orang yang tidak berhak. Ada sebuah kasus dimana karyawan sebuah perusahaan dipecat dengan tidak hormat dari perusahaan yang bersangkutan karena kedapatan mengambil data-data gaji karyawan di perusahaan yang bersangkutan. Di

perusahaan ini, daftar gaji termasuk informasi yang bersifat confidential /rahasia. 2. Integrity Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja ditangkap (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini. Salah satu contoh kasus trojan horse adalah distribusi paket program TCP Wrapper (yaitu program populer yang dapat digunakan untuk mengatur dan membatasi akses TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggung jawab. Jika anda memasang program yang berisi trojan horse tersebut, maka ketika anda merakit (compile) program tersebut, dia akan mengirimkan eMail kepada orang tertentu yang kemudian memperbolehkan dia masuk ke sistem anda. Informasi ini berasal dari CERT Advisory, CA-99-01 Trojan-TCP-Wrappers yang didistribusikan 21 Januari 1999. Contoh serangan lain adalah yang disebut man in the middle attack dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain. 3. Authentication Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betulbetul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli. Masalah pertama, membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking dan digital signature. Watermarking juga dapat digunakan untuk menjaga intelectual property, yaitu dengan menandai dokumen atau hasil karya dengan tanda tangan pembuat. Masalah kedua biasanya berhubungan dengan access control, yaitu berkaitan

dengan pembatasan orang yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bukti bahwa memang dia adalah pengguna yang sah, misalnya dengan menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya. Ada tiga hal yang dapat ditanyakan kepada orang untuk menguji siapa dia : What you have (misalnya kartu ATM) What you know (misalnya PIN atau password) What you are (misalnya sidik jari, biometric) Penggunaan teknologi smart card, saat ini kelihatannya dapat meningkatkan keamanan aspek ini. Secara umum, proteksi authentication dapat menggunakan digital certificates. Authentication biasanya diarahkan kepada orang (pengguna), namun tidak pernah ditujukan kepada server atau mesin. Pernahkan kita bertanya bahwa mesin ATM yang sedang kita gunakan memang benar-benar milik bank yang bersangkutan? Bagaimana jika ada orang nakal yang membuat mesin seperti ATM sebuah bank dan meletakkannya di tempat umum? Dia dapat menyadap data-data (informasi yang ada di magnetic strip) dan PIN dari orang yang tertipu. Memang membuat mesin ATM palsu tidak mudah. Tapi, bisa anda bayangkan betapa mudahnya membuat web site palsu yang menyamar sebagai web site sebuah bank yang memberikan layanan Internet Banking. (Ini yang terjadi dengan kasus klikBCA.com.) 4. Availability Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi. Contoh hambatan adalah serangan yang sering disebut dengan denial of service attack (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubitubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash. Contoh lain adalah adanya mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat

membuka e-mailnya atau kesulitan mengakses e-mailnya (apalagi jika akses dilakukan melalui saluran telepon).

Pentingnya Akses Kontrol Bagi para profesional keamanan sistem/teknologi informasi, perhatian harus diberikan pada kebutuhan akses kontrol dan metode-metode implementasinya untuk menjamin bahwa sistem memenuhi availability (ketersediaan), confidentiality (kerahasiaan), dan integrity (integritas). Dalam komputer jaringan, juga diperlukan pemahaman terhadap penggunaan akses kontrol pada arsitektur terdistribusi dan terpusat. Melakukan kontrol akses pada sistem informasi dan jaringan yang terkait juga merupakan hal penting untuk menjaga confidentiality, integrity, dan availability.Confidentiality atau kerahasiaan memastikan bahwa informasi tidak terbuka ke individu, program atau proses yang tidak berhak. Beberapa informasi mungkin lebih sensitive dibandingkan informasi lainnya dan memerlukan level kerahasiaan yang lebih tinggi. Mekanisme kontrol perlu ditempatkan untuk mendata siapa yang dapat mengakses data dan apa yang orang dapat lakukan terhadapnya saat pertama kali diakses. Aktivitas tersebut harus dikontrol, diaudit, dan dimonitor. Beberapa tipe informasi yang dipertimbangkan sebagai informasi rahasia adalah misalnya catatan kesehatan, informasi laporan keuangan, catatan kriminal, kode sumber program, perdagangan rahasia, dan rencana taktis militer. Sedangkan beberapa mekanisme yang memebrikan kemampuan kerahasiaan sebagai contoh yaitu enkripsi, kontrol akses fisikal dan logikal, protokol transmisi, tampilan database, dan alur trafik yang terkontrol. Bagi suatu institusi (skala besar, menengah maupun kecil), adalah merupakan hal penting untuk mengidentifikasi data dan kebutuhan-kebutuhan yang terklasifikasi sehingga dapat dipastikan bahwa suatu peringkat prioritas akan melindungi data dan informasi serta terjaga kerahasiaannya. Jika informasi tidak terklasifikasi maka akan diperlukan banyak waktu dan biaya yang dikeluarkan saat mengimplementasikan besaran yang sama pada tingkat keamanan untuk informasi kritis maupun informasi tidak penting. Integritas memiliki tujuan mencegah modifikasi pada informasi oleh user yang tidak berhak, mencegah modifikasi yang tidak sengaja atau tidak berhak pada informasi oleh orang yang tidak berkepentingan, dan menjaga konsistensi internal maupun eksternal. Konsistensi internal memastikan bahwa data internal selalu konsisten. Misalnya, diasumsikan sebuah database internal memiliki jumlah unit suatu komponen tertentu pada tiap bagian suatu organisasi. Jumlah bilangan dari komponen di tiap bagian tersebut harus sama dengan jumlah bilangan komponen pada database yang terekam secara internal pada keseluruhan organisasi. Konsistensi eksternal menjamin bahwa data yang tersimpan pada database konsisten dengan fisiknya. Sebagai contoh dari konsistensi internal di atas, konsistensi eksternal berarti bahwa besarnya komponen yang tercatat pada database untuk setiap bagian adalah sama dengan banyaknya komponen secara fisik di tiap bagian tersebut. Informasi juga harus akurat, lengkap, dan terlindungi dari modifikasi yang tidak berhak. Ketika suatu mekanisme keamanan memberikan integritas, ia akan melindungi data dari perubahan yang tidak lazim, dan jika memang terjadi juga modifikasi ilegal pada data tersebut maka mekanisme keamanan harus memperingatkan user atau membatalkan modifikasi tersebut. Availability (ketersediaan) memastikan bahwa untuk user yang berhak memakai sistem,

memiliki waktu dan akses yang bebas gangguan pada informasi dalam sistem. Informasi,sistem, dan sumberdaya harus tersedia untuk user pada waktu diperlukan sehingga produktifitas tidak terpengaruh. Kebanyakan informasi perlu untuk dapat diakses dan tersedia bagi user saat diminta sehingga mereka dapat menyelesaikan tugas-tugas dan memenuhi tanggung jawab pekerjaan mereka. Melakukan akses pada informasi kelihatannya tidak begitu penting hingga pada suatu saat informasi tersebut tidak dapat diakses. Administrator sistem mengalaminya saat sebuah file server mati atau sebuah database yang pemakaiannya tinggi tiba-tiba rusal untuk suatu alasan dan hal lainnya. Fault tolerance dan mekanisme pemulihan digunakan untuk menjamin kontinuitas ketersediaan sumberdaya. Produktifitas user dapat terpengaruh jika data tidak siap tersedia. Informasi memiliki atribut-atribut yang berbeda seperti akurasi, relevansi, sesuai waktu, privacy, dan keamanan. Mekanisme keamanan yang berbeda dapat memberikan tingkat kerahasiaan, integritas, dan ketersediaan yang berbeda pula. Lingkungan, klasifikasi data yang dilindungi, dan sasaran keamanan perlu dievaluasi untuk menjamin mekanisme keamanan yang sesuai dibeli dan digunakan sebagaimana mestinya. Tujuan kontrol akses lainnya adalah reliability dan utilitas. Tujuan-tujuan tersebut mengalir dari kebijakan keamanan suatu organisasi. Kebijakan ini merupakan pernyataan tingkat tinggi dari pihak manajemen berkaitan dengan kontrol pada akses suatu informasi dan orang yang berhak menerima informasi tersebut. Tiga hal lainnya yang patut dipertimbangkan untuk perencanaan dan implementasi mekanisme kontrol akses adalah ancaman pada sistem (threats), kerawanan sistem pada ancaman (vulnerabilities), dan resiko yang ditimbulkan oleh ancaman tersebut. Ancaman (threats) adalah suatu kejadian atau aktivitas yang memiliki potensi untuk menyebabkan kerusakan pada sistem informasi atau jaringan. Kerawanan (vulnerabilities) adalah kelemahan atau kurangnya penjagaan yang dapat dimanfaatkan oleh suatu ancaman, menyebabkan kerusakan pada sistem informasi atau jaringan. Sedangkan resiko adalah potensi kerusakan atau kehilangan pada sistem informasi atau jaringan; kemungkinan bahwa ancaman akan terjadi.

Penjelasan Akses Kontrol Akses kontrol merupakan fitur-fitur keamanan yang mengontrol bagaimana user dan sistem berkomunikasi dan berinteraksi dengan sistem dan sumberdaya lainnya. Akses control melindungi sistem dan sumberdaya dari akses yang tidak berhak dan umumnya menentukan tingkat otorisasi setelah prosedur otentikasi berhasil dilengkapi. Akses adalah aliran informasi antara subjek dan objek. Sebuah subjek merupakan entitas

aktif yang meminta akses ke suatu objek atau data dalam objek tersebut. Sebuah subjek dapat berupa user, program, atau proses yang mengakses informasi untuk menyelesaikan suatu tugas tertentu. Ketika sebuah program mengakses sebuah file, program menjadi subjek dan filemenjadi objek. Objek adalah entitas pasif yang mengandung informasi. Objek bisa sebuah komputer, database, file, program komputer, direktori, atau field pada tabel yang berada di dalam database. Kontrol akses adalah sebuah term luas yang mencakup beberapa tipe mekanisme berbeda yang menjalankan fitur kontrol akses pada sistem komputer, jaringan, dan informasi. Kontrol akses sangatlah penting karena menjadi satu dari garis pertahanan pertama yang digunakan untuk menghadang akses yang tidak berhak ke dalam sistem dan sumberdaya jaringan. Saat user diminta memasukan username dan password hal ini disebut dengan control akses. Setelah user log in dan kemudian mencoba mengakses sebuah file, file ini dapat memiliki daftar user dan grup yang memiliki hak akses ke file tersebut. Jika user tidak termasuk dalam daftar maka akses akan ditolak. Hal itu sebagai bentuk lain dari kontrol akses. Hak dan ijin user adalah berdasarkan identitas, kejelasan, dan atau keanggotaan suatu grup. Kontrol akses memberikan organisasi kemampuan melakukan kontrol, pembatasan, monitor, dan melindungi ketersediaan, integritas, dan kerahasiaan sumberdaya. Kontrol diimplementasikan untuk menanggulangi resiko dan mengurangi potensi kehilangan. Kontrol dapat bersifat preventif, detektif, atau korektif. Kontrol preventif dipakai untuk mencegah kejadian-kejadian yang merusak. Kontrol detektif diterapkan untuk menemukan kejadian-kejadian yang merusak. Kontrol korektif digunakan untuk memulihkan sistem yang menjadi korban dari serangan berbahaya. Untuk menerapkan ukuran-ukuran tersebut, kontrol diimplementasikan secara administratif, logikal atau teknikal, dan fisikal. Kontrol administratif termasuk kebijakan dan prosedur, pelatihan perhatian terhadap keamanan, pemeriksaan latar belakang, pemeriksaan kebiasaan kerja, tinjauan riwayat hari libur, dan supervisi yang ditingkatkan. Kontrol logikal atau teknikal mencakup pembatasan akses ke sistem dan perlindungan informasi. Contoh kontrol pada tipe ini adalah enkripsi, smart cards, daftar kontrol akses, dan protokol transmisi. Sedangkan kontrol fisikal termasuk penjagaan dan keamanan bangunan secara umum seperti penguncian pintu, pengamanan ruang server atau laptop, proteksi kabel, pemisahan tugas kerja, dan backup data. Kontrol fisikal merupakan penempatan penjaga dan bangunan secara umum, seperti penguncian pintu, pengamanan ruang server atau laptop, perlindungan pada kabel, pembagian tanggung jawab, dan backup file.

Model Kontrol Akses Penerapan akses kontrol pada subjek sistem (sebuah entitas aktif seperti individu atau proses) terhadap objek sistem (sebuah entitas pasif seperti sebuah file) berdasarkan aturan (rules). Model kontrol akses merupakan sebuah framework yang menjelaskan bagaimana

subjek mengakses objek. Model ini menggunakan teknologi kontrol akses dan mekanisme sekuriti untuk menerapkan aturan dan tujuan suatu model. Ada tiga tipe utama model kontrol akses yaitu mandatory, discretionary, dan nondiscretionary (sering disebut juga role-based). Tiap tipe model memakai metode berbeda untuk mengkontrol bagaimana subjek mengakses objek dan mempunyai kelebihan serta keterbatasan masing-masing. Tujuan bisnis dan keamanan dari suatu organisasi akan membantu menjelaskan model kontrol akses mana yang sebaiknya digunakan, bersamaan dengan budaya perusahaan dan kebiasaan menjalankan bisnisnya. Beberapa model dipakai secara ekslusif dan kadang-kadang model tersebut dikombinasikan sehingga mampu mencapai tingkat keperluan kemanan lingkungan yang dibutuhkan.

Aturan pada akses kontrol diklasifikasikan menjadi : Mandatory access control Otorisasi suatu akses subjek terhadap objek bergantung pada label, dimana label ini menunjukan ijin otorisasi suatu subjek dan klasifikasi atau sensitivitas dari objek. Misalnya, pihak militer mengklasifikasikan dokumen sebagai unclassified, confidential, secret, dan top secret. Untuk hal yang sama, individu dapat menerima ijin otorisasi tentang confidential, secret, atau top secret dan dapat memiliki akses ke dokumen bertipe classified atau tingkatan di bawah status ijin otorisasinya. Sehingga individu dengan ijin otorisasi secret dapat mengakses tingkatan secret dan confidential dokumen dengan suatu batasan. Batasan ini adalah bahwa individu memiliki keperluan untuk mengetahui secara relatif classified dokumen yang dimaksud. Meskipun demikian dokumen yang dimaksud harus benarbenar diperlukan oleh individu tersebut untuk menyelesaikan tugas yang diembannya. Bahkan jika individu memiliki ijin otorisasi untuk tingkat klasifikasi suatu informasi, tetapi tidak memiliki keperluan untuk mengetahui maka individu tersebut tetap tidak boleh mengakses informasi yang diinginkannya. Pada model mandatory access control, user dan pemilik data tidak memiliki banyak kebebasan untuk menentukan siapa yang dapat mengakses file-file mereka. Pemilik data dapat mengijinkan pihak lain untuk mengakses file mereka namun operating system (OS) yang tetap membuat keputusan final dan dapat membatalkan kebijakan dari pemilik data. Model ini lebih terstruktur dan ketat serta berdasarkan label keamanan sistem. User diberikan ijin otorisasi dan data diklasifikasikan. Klasifikasi disimpan di label sekuriti pada sumber daya. Klasifikasi label menentukan tingkat kepercayaan user yang harus dimiliki untuk dapat mengakses suatu file. Ketika sistem membuat keputusan mengenai pemenuhan permintaan akses ke suatu objek, keputusan akan didasarkan pada ijin otorisasi subjek dan klasifikasi objek. Aturan-aturan bagaimana subjek mengakses data dibuat oleh manajemen, dikonfigurasikan oleh administrator, dijalankan oleh operating system, dan didukung oleh teknologi sekuriti. Discretionary access control

Subjek memiliki otoritas, dengan batasan tertentu, untuk menentukan objek-objek apa yang dapat diakses. Contohnya adalah penggunaan daftar kontrol akses (access control list). Daftar kontrol akses merupakan sebuah daftar yang menunjuk user-user mana yang memiliki hak ke sumber daya tertentu. Misalnya daftar tabular akan menunjukan subjek atau user mana yang memiliki akses ke objek (file x) dan hak apa yang mereka punya berkaitan dengan file x tersebut. Kontrol akses triple terdiri dari user, program, dan file dengan hubungan hak akses terkait dengan tiap user. Tipe kontrol akses ini digunakan secara lokal, dan mempunyai situasi dinamis dimana subjek-subjek harus memiliki pemisahan untuk menentukan sumber daya tertentu yang user diijinkan untuk mengakses. Ketika user dengan batasan tertentu memiliki hak untuk merubah kontrol akses ke objek-objek tertentu, hal ini disebut sebagai user-directed discretionary access control. Sedangkan kontrol akses berbasis identitas (identity-based access control) adalah tipe kontrol akses terpisah berdasarkan identitas suatu individu. Dalam beberapa kasus, pendekatan hybrid juga digunakan, yaitu yang mengkombinasi-kan fitur-fitur user-based dan identity-based discretionary access control. Jika user membuat suatu file, maka ia merupakan pemilik file tersebut. Kepemilikan juga bisa diberikan kepada individu spesifik. Misalnya, seorang manager pada departemen tertentu dapat membuat kepemilikan suatu file dan sumber daya dalam domain-nya. Pengenal untuk user ini ditempatkan pada file header. Sistem yang menerapkan model discretionary access control memungkinkan pemilik sumber daya untuk menentukan subjek-subjek apa yang dapat mengakses sumber daya spesifik. Model ini dinamakan discretionary karena kontrol akses didasarkan pada pemisahan pemilik. Pada model ini, akses dibatasi berdasarkan otorisasi yang diberikan pada user. Ini berarti bahwa subjek-subjek diijinkan untuk menentukan tipe akses apa yang dapat terjadi pada objek yang mereka miliki. Jika organisasi menggunakan model discretionary access control, administrator jaringan dapat

mengijinkan pemilik sumber daya mengkontrol siapa yang dapat mengakses file/sumber daya tersebut. Implemetasi umum dari discretionary access control adalah melalui access control list yang dibuat oleh pemilik, diatur oleh administrator jaringan, dan dijalankan oleh operating system. Dengan demikian kontrol ini tidak termasuk dalam lingkungan terkontrol terpusat dan dapat membuat kemampuan user mengakses informasi secara dinamis, kebalikan dari aturan yang lebih statis pada mandatory access control. Non-Discretionary access control Otoritas sentral menentukan subjek-subjek apa yang mempunyai akses ke objekobjek tertentu berdasarkan kebijakan keamanan organisasi. Kontrol akses bisa berdasarkan peran individu dalam suatu organisasi (role-based) atau tanggung jawab subjek dan tugasnya (task-based). Dalam organisasi dimana sering terdapat adanya perubahan/pergantian personel, nondiscretionary access control merupakan model yang tepat karena kontrol akses didasarkan pada peran individu atau jabatan dalam suatu organisasi. Kontrol akses ini tidak perlu dirubah saat individu baru masuk menggantikan individu lama. Tipe lain dari non-discretionary access control adalah kontrol akses lattice-based. Dalam model lattice (lapis tingkatan), terdapat pasangan-pasangan elemen yang memiliki batas tertinggi terkecil dari nilai dan batas terendah terbesar dari nilai. Untuk menerapkan konsep kontrol akses ini, pasangan elemen adalah subjek dan objek, dan subjek memiliki batas terendah terbesar serta batas tertinggi terkecil untuk hak akses pada suatu objek. Selain itu terdapat model role-based access control yang juga sebagai nondiscretionary access control. Model ini menerapkan seperangkat aturan terpusat pada kontrol untuk menentukan bagaimana subjek dan objek berinteraksi. Tipe model ini mengijinkan akses ke sumber daya berdasarkan peran yang user tangani dalam suatu organisasi. Administrator menempatkan user dalam peran dan kemudian

memberikan hak akses pada peran tersebut. Peran dan kelompok merupakan hal berbeda meskipun mereka mempunyai tujuan yang sama. Mereka bekerja sebagai penampungan untuk para user. Perusahaan mungkin memiliki kelompok auditor yang terdiri dari beberapa user yang berbeda. Para user ini dapat menjadi bagian suatu kelompok lain dan biasanya memiliki hak individunya masing-masing serta ijin yang diberikan kepada mereka. Jika perusahaan menerapkan peran, tiap user yang ditugaskan pada peran tertentu yang hanya memiliki hak pada peran tersebut. Hal ini menjadikan kontrol yang lebih ketat.

artikel 8

Serangan Hacker Secara umum ada enam (6) langkah besar yang mungkin bisa digunakan untuk mengamankan jaringan & sistem komputer dari serangan hacker. Adapun langkah tersebut adalah: 1. Membuat Komite Pengarah Keamanan. 2. Mengumpulkan Informasi 3. Memperhitungkan Resiko 4. Membuat Solusi 5. Implementasi & Edukasi / Pendidikan. 6. Terus Menerus Menganalisa, dan Meresponds. Langkah 1: Membuat Komite Pengarah Keamanan Komite pengarah sangat penting untuk dibentuk agar kebijakan keamanan jaringan dapat diterima oleh semua pihak. Agar tidak ada orang terpaksa, merasa tersiksa, merasa akses-nya dibatasi dalam beroperasi di jaringan IntraNet mereka. Dengan memasukan perwakilan dari semua bidang / bagian, maka masukan dari bawah dapat diharapkan untuk dapat masuk & di terima oleh semua orang. Dengan adanya komite pengarah ini, akan memungkinkan terjadi interaksi antara orang teknik / administrator jaringan, user & manajer. Sehingga dapat dicari kebijakan yang paling optimal yang dapat diimplementasikan dengan mudah secara teknis. Langkah 2: Mengumpulkan Informasi Sebelum sebuah kebijakan keamanan jaringan diimplementasikan, ada baiknya

proses audit yang lengkap dilakukan. Tidak hanya mengaudit peralatan & komponen jaringan saja, tapi juga proses bisnis, prosedur operasi, kesadaran akan keamanan, aset. Tentunya proses audit harus dari tempat yang paling beresiko tinggi yaitu Internet; berlanjut pada home user & sambungan VPN. Selain audit dari sisi external, ada baiknya dilakukan audit dari sisi internet seperti HRD dll. Langkah 3: Memperhitungkan Resiko Resiko dalam formula sederhana dapat digambarkan sebagai: Resiko = Nilai Aset * Vurnerability * Kemungkinan di Eksploit Nilai aset termasuk nilai uang, biaya karena sistem down, kehilangan kepercayaan mitra / pelanggan. Vurnerability termasuk kehilangan data total / sebagian, system downtime, kerusakan / korupsi data. Dengan mengambil hasil dari langkah audit yang dilakukan sebelumnya, kita perlu menanyakan: Apakah kebijakan keamanan yang ada sekarang sudah cukup untuk

memberikan proteksi? Apakah audit secara eksternal berhasil memvalidasi ke keandalan kebijakan keamanan yang ada? Adakah proses audit mendeteksi kelemahan & belum tertuang dalam kebijakan keamanan? Apakah tingkat keamanan, setara dengan tingkat resiko?

 Apa aset / informasi yang memiliki resiko tertinggi? Dengan menjawab pertanyaan di atas merupakan titik awal untuk mengevaluasi kelengkapan kebijakan informasi yang kita miliki. Dengan mengevaluasi jawaban di atas, kita dapat memfokuskan pada solusi yang sifatnya macro & global terlebih dulu tanpa terjerat pada solusi mikro & individu. Langkah 4: Membuat Solusi Pada hari ini sudah cukup banyak solusi yang sifatnya plug'n'play yang dapat terdapat di pasar. Sialnya, tidak ada satu program / solusi yang ampuh untuk semua jenis masalah. Oleh karena kita kita harus pandai memilih dari berbagai solusi yang ada untuk berbagai kebutuhan keamanan. Beberapa di antaranya, kita mengenal: Firewall. Network Intrusion Detection System (IDS). Host based Intrusion Detection System (H-IDS). Application-based Intrusion Detection System (App-IDS). Anti-Virus Software. Virtual Private Network (VPN). Two Factor Authentication. Biometric.

 Smart cards. Server Auditing. Application Auditing. Dll masih ada beberapa lagi yang tidak termasuk kategori di atas. Langkah 5: Implementasi & Edukasi / Pendidikan Setelah semua support diperoleh maka proses implementasi dapat dilakukan. Proses instalasi akan sangat tergantung pada tingkat kesulitan yang harus dihadapi. Satu hal yang harus diingat dalam semua proses implementasi adalah proses pendidikan / edukasi jangan sampai dilupakan. Proses pendidikan ini harus berisi: Detail dari sistem / prosedur keamanan yang baru. Effek dari prosedur keamanan yang baru terhadap aset / data perusahaan. Penjelasan dari prosedur & bagaimana cara memenuhi goal kebijakan keamanan yang baru. Peserta harus di jelaskan tidak hanya bagaimana / apa prosedur keamanan yang dibuat, tapi juga harus dijelaskan mengapa prosedur keamanan tersebut di lakukan. Langkah 6: Terus Menerus Menganalisa, dan Meresponds Sistem selalu berkembang, oleh karena itu proses analisa dari prosedur yang dikembangkan harus selalu dilakukan. Selalu berada di depan, jangan sampai

ketinggalan kereta api

Artikel 9

Keamanan Sistem Komputer

Pengamanan komputer memiliki cakupan yang luas, mulai dari keamanan perangkat lunak, keamanan perangkat keras yang terkait dengan departemen komputer, dan keamanan jaringan. Bagian lain yang penting dari keamanan sistem komputer adalah menjamin sumber daya untuk tidak digunakan atau dimodifikasi orang yang tidak diotorisasi.Keamanan telah menjadi aspek yang sangat penting dari suatu sistem informasi mengingat sebuah informasi umumnya hanya ditujukan bagi golongan tertentu saja; bukan publik
Monday, December 8, 2008 12 Langkah Pengamanan Komputer

Keamanan Komputer bisa ditingkatkan dengan dua pendekatan konvensional. Yaitu keamanan fisik dan keamanan logis (IT). Berikut kami sampaikan pendekatan keduanya untuk proteksi yang lebih baik.
1. Jangan simpan data penting di server. Simpan di flopy disk, Flash Disk USB, CD/DVD atau di laptop kita. 2. Gunakan password untuk setiap file (Excel, Word, PowerPoint) 3. Backup data penting (hapus bila memungkinkan) sebelum komputer / laptop kita diperbaiki oleh orang lain. 4. Ganti password :a. Ganti (bila memungkinkan) password secara periodik (Gunakan alat bantu lain untuk mengingat / mencatatnya).b. Ganti password bila komputer kita telah diperbaiki oleh orang lain.c. Ganti password bila suatu ketika kita berbagi materi / memberitahukan kepada orang lain.d. Ganti password bila sekretaris kita, assiten atau rekan sekerja kita mengundurkan diri / mutasi.e. Ganti password bila ada indikasi di bagian lain data disinyalir bocor. 5. Gunakan password secara berlapis :a. Password file (windows, excell, world)b. Password komputer (saat pertama kali dihidupkan)c. Password emaild. Password

screen saver 6. Gunakan password yg berbeda setiap sharing dgn pihak lain. Campurkan kode dan tanggal dlm satu password, atau cara lain yang dirasakan efektif. Dan segera matikan proses sharing (not share) ketika sharing selesai. 7. Usahakan password lebih dari 6 digit dan gunakan penggabungan antara huruf dengan angka dan huruf kapital. 8. Dengan password yang semakin panjang, komputer secepat apapun akan lebih sulit untuk menembusnya 9. Matikan komputer selama istirahat. 10.Kunci ruangan selama istirahat (bila memungkinkan) 11.Jangan menyimpan file penting terutama yang berisi ID dan Password di dalam harddisk / folder yang di sharing dalam jaringan. 12.Minta masukan ke bagian IT untuk proteksi yang lebih baik. Tanyakan software v ersi baru proteksi virus dan metode terbaru proteksi / pengamanan computer Anda, baik yang desktop maupun notebook/laptop.
Posted by lavencia at 10:17 PM No comments:

Tehnik hackers menerobos keamanan

Aktifitas hackers (*sesungguhnya yang saya maksudkan adalah crackers, tapi media massa telah salah mempopulerkannya*) adalah nyata dan menjadi ancaman serius yang terus menerus berkembang serta dapat mengganggu kegiatan bisnis. Mereka masuk dalam sistem internal perusahaan melalui sambungan internet / LAN atau kegiatan secara fisik lainnya yang memungkinkan mereka terhubung ke terminal komputer. Berikut disampaikan secara umum beberapa tehnik yang biasa dipakai hackers untuk mendapatkan akses ilegal ke sumber daya komputer. A. Mencuri akses log-in yang dipakai Untuk melakukan akses ilegal ke dalam sistem komputer salah satunya adalah dengan mendapatkan akses log-in yang dipakai. Hal ini bisa dilakukan ketika hacker secara fisik berada di dekat fasilitas komputer atau berusaha mengakses sistem melalui koneksi dialin. 1. Mencuri akses secara fisik : tahap penting dalam menjaga keamanan sistem informasi adalah menjamin bahwa akses secara fisik ke sumber daya komputer adalah

terbatas. Orang dalam atau luar yang secara fisik mempunyai akses ke terminal komputer akan memiliki kesempatan mendapatkan log-in yang sedang digunakan. 2. Mendapatkan akses melalui dial-in : metode lain untuk mendapatkan akses log-in adalah dengan melakukan dial-in ke host. Program daemon dialers, yang banyak tersedia di internet, dapat mengidentifikasi ID modem yang sedang berlaku. Sekali hackers mengetahui ID modem suatu terminal/host, dia dapat melakukan dial-in dan mendapatkan akses log-in yang dipakai. Untuk meminimalisir potensi pelanggaran akses log-in ini dapat dilakukan langkahlangkah : - Terminal komputer diletakkan (secara fisik) ditempat yang aman; - Pengamanan dan pengendalian akses yang baik dipasang pada semua jendela dan pintu tempat dimana hardware komputer berada; - Komputer yang diletakkan diluar area yang diamankan dan terhubung ke jaringan perusahaan, harus menggunakan password yang baik; - Mematikan modem ketika tidak digunakan; - Menggunakan fasilitas call-back, memberikan ekstra otentikasi, atau menggunakan onetime password; - Menghilangkan logo dan nama organisasi dari layar log-in untuk menghilangkan tanda pengenal, sehingga hackers tidak dapat mengetahui dengan cepat sistem mana yang dimasuki; - Menggunakan alarm atau pesan peringatan saat pihak yang tidak berhak memasuki sistem dan mencatat aktifitasnya. B. Mencuri password Beberpa tehnik yang populer untuk mencuri password adalah : 1. Brute Force Attacks : merupakan usaha menebak password baik secara manual ataupun otomatis. Umumnya hackers memiliki daftar password yang berisi koleksi

password default yang terpasang secara otomatis saat suatu program diinstal. Program penebak password banyak tersedia juga di internet. 2. Password cracking : merupakan program untuk mendapatkan password dengan memanfaatkan celah keamanan. Program ini banyak tersedia di internet, misalnya program Crack. Crack bekerja dengan cara menyandi kamus standar dan kemudian membandingkannya dengan password yang disandi oleh sistem sampai menemukan katakata yang cocok. Untuk menghindari pencurian password dapat dilakukan langkah-langkah : - Mem-password semua user account; - Ganti default password segera setelah instal program; - Gunakan kata-kata / frasa yang sukar ditebak; - Ganti password secara periodik; - User account yang sudah tidak terpakai segera dihapus; - Password yang telah disandi disimpan dalam file yang terlindung dengan baik (disamarkan); - Jangan menuliskan password didekat terminal komputer / work station; - Usahakan hanya sedikit orang yang memiliki akses terhadap sistem administrator, untuk menghindari resiko peng-copy-an password yang sedang digunakan; - Memberikan pengertian kepada user akan pentingnya mengelola, menjaga keamanan password yang dimiliki. 3. Keystroke logging : tehnik ini sangat sederhana dan hampir selalu tidak terdeteksi. Hackers dapat menggunakan sebuah disket untuk menginstal program key-stroke logging melalui work-station. Sekali program ini masuk ke dalam sistem, dia akan menetap di dalam sistem dan menangkap setiap sign-on berdasarkan kata kunci pembukanya. Hacker dapat memanfaatkan sign-on yang tertangkap tersebut dari jauh (remote location).

Untuk mencegah aksi ini : - Gunakan one-time password untuk sign-on pada account dengan tingkat sensitif tinggi; - Secara periodik lakukan scanning untuk mengetahui trojan atau malware lain yang terlanjur masuk kedalam sistem; - Tempatkan hardware komputer di tempat yang terlindung dan diberi pembatasan akses. 4. Packet sniffing : program-program network monitoring tools seperti network analyzers dan packet sniffers tersedia sangat banyak di internet. Tool ini bekerja dengan cara menangkap paket data yang ditransmisikan melalui saluran komunikasi. Terkadang hacker juga melakukan packet sniffer dengan cara menghubungkan laptopnya ke port jaringan perusahaan, baru kemudian melakukan pencurian data. Lalu-lintas data dalam jaringan hampir dapat dipastikan tidak dibungkus dengan metode penyandian yang baik, sehingga merupakan kesempatan emas bagi hacker untuk mendapatkan user account dan password yang ada di dalam jaringan. Untuk mencegah dan meminimalisir akibat aksi packet sniffer : - Jalur komunikasi sedapat mungkin dibagi dalam beberapa bagian; - Data-data sensitif ditransmisikan melalui jaringan komunikasi dalam bentuk yang sudah disandi dengan metode penyandian yang baik; - Menggunakan one-time password untuk sign-on pada account dengan tingkat yang sensitif; - Akses kepada saluran komunikasi dan komputer, secara fisik dibatasi. 5. Social engineering : interaksi sosial yang mengabaikan keamanan informasi menjadi salah satu cara hackers untuk mendapatkan data sensitif secara langsung ataupun tidak langsung dari user. Untuk mencegah kebocoran informasi melalui kegiatan ini : - Secara periodik dilakukan penyegaran dan sosialisasi pentingnya menjaga keamanan

informasi yang dimiliki; - Melakukan pencatatan dan dokumentasi atas semua prosedur pengendalian akses; - Membangun kesadaran pengamanan informasi di seluruh staf baik manajemen maupun operasional; - Waspada terhadap pesan tipuan yang berisi permintaan konfirmasi password, reset password atau lupa password. C. Metode lainnya untuk mencuri akses 1. IP address spoofing : adalah salah satu cara pengelabuan yang membuat untrusted host terlihat seperti trusted host dalam sebuah jaringan. Hal ini terjadi karena hackers merubah IP address host tersebut sehingga menyerupai trusted host. Dengan kata lain penyusup menipu host dalam jaringan sehingga penyusup tersebut tidak perlu melakukan otentikasi untuk dapat terhubung dengan jaringan lokal. Untuk menangkal serangan ini dilakukan : - Mengkonfigurasi firewall dan router sedemikian rupa agar dapat menangkal serangan IP spoofing; - Hanya host yang dinyatakan aman yang diijinkan untuk terhubung ke dalam jaringan. 2. Terminal yang tidak dijaga : sering terjadi sebuah terminal dalam keadaan sign-on ditinggalkan oleh user, entah ke toilet atau istirahat makan. Bila kebetulan ada hacker yang secara fisik berada di tempat tersebut, maka hacker akan mempunyai kesempatan untuk mengakses data secara ilegal atau memasukkan trojan ke dalam sistem. Untuk meminimalisir kejadian tersebut : - Gunakan screen server yang dipasangi password, yang otomatis dijalankan setelah beberapa menit tidak ada aktifitas dalam sistem; - Memberi pengertian pada user untuk selalu melakukan sign-off setiap kali meninggalkan terminal;

- Melakukan pengawasan ditempat dimana terminal tersebut berada. 3. Writeable set user ID files : beberapa sistem menyediakan sebuah file penyimpan user ID untuk mengakses terminal. Hacker akan mencari file yang diidentifikasikan sebagai set-user-ID (SUID) tersebut dan mencoba menuliskan kode tambahan kedalam SUID agar mendapatkan akses menuju root. Untuk mencegah penyusupan ini : - Dilakukan pembatasan terhadap program yang dapat mengakses SUID; - SUID dikonfigurasikan sedemikian rupa sehingga hanya dapat diubah melalui root; - Hanya user yang terdaftar dalam sistem yang dapat menulis di file SUID. 4. Laporan dari Computer Emergency Response Team (CERT) : CERT selalu memberikan laporan-laporan tentang celah keamanan yang teridentifikasi. Namun eksploitasi ini sering dimanfaatkan oleh pihak yang bermaksud jahat untuk mendapatkan keuntungan dengan memasuki sistem secara ilegal. Hackers selalu mengikuti laporan CERT ini untuk mengidentifikasi bugs baru dari suatu sistem. Administrator jaringan dan profesional keamanan informasi perlu mengikuti dengan cermat laporan-laporan CERT, melakukan checksum untuk menguji hasil-hasil yang dilaporkan CERT sebelum diimplementasikan dan melakukan penutupan celah keamanan yang teridentifikasi. 5. Hackers bulletin board : hackers dari seluruh dunia saling bertukar informasi dalam internet melalui forum atau milis dan bahkan menerbitkan laporan/tulisan dalam buletin. Mereka membahas masalah celah keamanan, keamanan sistem informasi, berbagi tehnik dan program baru, atau bahkan membahas informasi sensitif milik organisasi tertentu. Administrator dan profesional keamanan jaringan perlu juga secara teratur mengikuti perkembangan pembahasan di forum hackers, dengan tujuan memperkuat sistem keamanan informasi dalam organisasinya. 6. Software di internet : internet banyak sekali menyediakan program/tools yang dapat digunakan oleh administrator untuk membantu melindungi komputer dan membantu melakukan scanning celah keamanan. Namun tool tersebut juga dipakai para hacker

untuk maksud yang sebaliknya. Administrator jaringan perlu secara teratur melakukan audit terhadap sistemnya. Audit ini dapat dilakukan secara internal ataupun melalui konsultan independen. Selain itu secara reguler administrator perlu mengecek versi terakhir dari tool yang digunakan untuk membantu keamanan sistem. Serta pastikan setiap celah keamanan yang ditemukan telah diatasi dengan baik. -antzSumber : Handbook of Information Security Management

Posted by lavencia at 10:14 PM No comments:

Memproteksi Jaringan Komputer

Ada beberapa langkah yang dapat digunakan untuk memproteksi atau meningkatkan kemampuan proteksi sistem jaringan komputer, antara lain dengan merumuskan dan membuat sebuah kebijakan tentang sistem pengamanan yang andal (higher security policy) dan menjelaskan kepada para pengguna tentang hak dan kewajiban mereka dalam menggunakan sistem jaringan. Kemudian melakukan konsultasi dengan para ahli pengamanan sistem komputer untuk mendapatkan masukan yang profesional tentang bagaimana meningkatkan kemampuan sistem pengamanan jaringan yang dimiliki. Melakukan instalasi versi terbaru dari software atau utility yang dapat membantu memecahkan permasalahan pengamanan jaringan komputer. Mempekerjakan seorang administrator jaringan yang telah berpengalaman untuk menangani jaringan tersebut. Menggunakan mekanisme sistem authentikasi terbaru dalam jaringan (advanced authentication mechanism). Selalu menggunakan teknik enkripsi dalam setiap melakukan transfer data atau komunikasi data. Dan tidak kalah pentingnya menginstalasi sebuah sistem Firewall pada jaringan komputer untuk melindungi Proxy Server. Peralatan untuk memproteksi jaringan komputer. Network administator atau system administrator tentu memerlukan berbagai peralatan (tools) untuk membantu mengamankan jaringan komputernya. Beberapa tools bahkan memang dibuat spesial dalam rangka melakukan testing sistem jaringan untuk mengetahui kekuatan dan kelemahan dari sebuah sistem jaringan komputer. Di antaranya, SATAN (Security Administrators Tool for Analysing Network) kemudian ada TCP WRAPPER untuk memonitor jaringan komputer lalu CRACK untuk melakukan testing password security. FIREWALL, adalah sebuah sistem proteksi untuk melaksanakan pengawasan lalu lintas paket data yang menuju atau meninggalkan sebuah jaringan komputer sehingga paket data yang telah

diperiksa dapat diterima atau ditolak atau bahkan dimodifikasi terlebih dahulu sebelum memasuki atau meninggalkan jaringan tersebut. Walaupun peralatan untuk melakukan hacking tersedia dalam jumlah yang banyak, tidak semua peralatan tersebut dapat dipergunakan secara efektif, bahkan beberapa peralatan tersebut sudah out of date saat ini sehingga bukan merupakan ancaman lagi. Namun begitu peralatan lainnya masih sangat ampuh sebagai senjata para hacker. Dengan demikian, seorang network consultant juga dibutuhkan pendapat profesionalnya serta bantuannya untuk meningkatkan kemampuan total seluruh sistem jaringan komputer. Tidak kalah penting adalah melaksanakan back up data secara reguler (harian, mingguan, atau bulanan) untuk mengantisipasi bila terjadi kerusakan atau kehilangan seluruh data penting yang disebabkan serangan hacker sehingga dengan mudah dan cepat dapat dilakukan recovery seluruh sistem jaringan komputer tersebut. Kemudian para system administrator juga harus rajin menginformasikan kepada para pengguna (user) mengenai hak dan kewajibannya dalam menggunakan jaringan. Para user perlu diajari cara benar menggunakan jaringan komputer secara aman seperti bagaimana cara membuat password yang baik dan sebagainya. Pada akhirnya "keamanan" adalah sesuatu yang tidak pernah ada atau tidak akan pernah ada dalam dunia jaringan Internet. Sebab, apa yang kita anggap aman (secure) pada saat sekarang akan terbukti menjadi tidak aman (insecure) pada masa yang akan datang. Jadi pada prinsipnya Internet security hanyalah sebuah kisah yang tidak akan pernah berakhir (It is just another never-ending story).

Posted by lavencia at 3:54 PM No comments:

Amankah Jaringan Komputer dan Internet Anda?

Dalam beberapa tahun belakangan, perkembangan dan penggunaan teknologi Internet pesat sekali. Semakin banyak saja kalangan bisnis, organisasi, perkantoran, pendidikan, militer, hingga individu menggunakan jasa teknologi informasi ini yang lebih sering dikenal dengan "the Information Superhighway". Sejalan dengan laju pertumbuhan penggunaan Internet yang sangat cepat, maka semakin banyak pula aplikasi-aplikasi yang dibutuhkan oleh pengguna, seperti pada aplikasi di dunia perdagangan bebas secara elektronik (electronic commerce). Namun, hal ini bukannya tanpa gangguan kejahatan sehingga aspek pengamanan jaringan komputer (computer network security) menjadi sangat populer dan penting

serta merupakan suatu keharusan atau kebutuhan mutlak di masa depan. Berdasarkan hasil riset dan survei serta berbagai laporan tentang kejahatan komputer yang terjadi dewasa ini, diketahui bahwa saat ini tidak ada satu pun jaringan komputer yang dapat diasumsikan 100 persen persen aman dari serangan virus komputer, spam, e-mail bomb, atau diterobos langsung oleh para hackers. Seorang hacker berpengalaman dengan mudah melakukan hacking atau memasuki jaringan komputer yang menjadi targetnya. Tidak terhambat kenyataan jaringan tersebut sudah mempunyai sistem pengaman. Ditambah lagi banyak sekali web site dalam Internet yang menawarkan informasi tentang bagaimana menembus jaringan komputer (penetrated) dan mengelabui sistem pengamanannya (security compromised). Informasi "jahanam" tersebut tersedia dalam bentuk kumpulan program, dokumentasi atau utiliti. Makin tergantungnya masyarakat modern Indonesia kepada Internet mengusik penulis untuk mencoba memberikan gambaran secara umum mengenai aspek pengamanan jaringan komputer serta menumbuhkan security awareness bagi pemakai Internet. Namun, secara mudah dan sederhana ada sebuah cara untuk mengevaluasi aspek keamanan jaringan komputer, yaitu dengan memanfaatkan seluruh program-program atau utiliti-utiliti mengenai hacking (hacking tools) yang terdapat di Internet. Kemudian dicobakan pada jaringan komputer tersebut sehingga akan dapat dilihat seberapa parah dampak negatif yang ditimbulkan. Beberapa program atau utility tersebut antara lain IP Scanner, IP Sniffer, Network Analyzer, Email Bombs, Spamming, TCP Wrapper, Password Cracking, dan sebagainya. Dengan cara ini segera dapat dilihat kemampuan pengamanan dan keamanan jaringan komputer tersebut yang sering disebut dengan "Security Holes" atau "Back Doors". Kemudian segera bisa diambil langkah preventif untuk memproteksi jaringan komputer tersebut. Tentang hacking dan cracking, secara umum yang dapat dikategorikan kegiatan hacking adalah setiap usaha atau kegiatan di luar izin atau sepengetahuan pemilik jaringan untuk memasuki sebuah jaringan serta mencoba mencuri file seperti file password dan sebagainya.Atau usaha untuk memanipulasi data, mencuri file-file penting, atau mempermalukan orang lain dengan memalsukan user identity-nya. Pelakunya disebut hacker yang terdiri dari seorang atau sekumpulan orang yang secara berkelanjutan berusaha untuk menembus sistem pengaman kerja dari operating system suatu komputer. Para hacker yang sudah berpengalaman dapat dengan segera mengetahui kelemahan sistem pengamanan (security holes) dalam sebuah sistem jaringan komputer. Selain itu kebiasaan hacker adalah terus mencari pengetahuan baru atau target baru dan mereka akan saling menginformasikan satu sama lainnya. Namun, pada dasarnya para hacker sejati bermaksud untuk merusak data di dalam jaringan tersebut. Mereka hanya mencoba kemampuan untuk menaklukkan suatu sistem keamanan

komputer demi kepuasan tersendiri.