CE173 Network Security (3 credits)

Database Security
Sihar N.M.P.Simamora, ST., MT.

Teknik Komputer
2009

References:
Pernul, G., Database Security, Department of
Information Systems, University of Essen, 1996. Garfinkel, S. and Spafford, G., "Practical UNIX & Internet Security", OReilly & Associates, Inc., 2nd edition, 1996. http://www.microsoft.com/security http://home.netscape.com/info/security-doc.html

Mengapa masalah keamanan basis data menjadi penting?

Kemampuan
menyediakan informasi dengan cepat dan akurat, merupakan kebutuhan dalam information-based society. Sangat pentingnya informasi hanya boleh diakses oleh orang yang terotorisasi. Adanya trend trade-secret; curi informasi ada nilai ekonomis

Pendahuluan dan Pengantar

Awalnya sebuah komputer disebut PC (Personal
Computer), namun seiring dengan perkembangan bidang jaringan komputer, maka sebuah komputer tidak tepat lagi disebut PC, melainkan sharedcomputer digunakan untuk menyimpan classified-information. Dengan adanya LAN (computer networks) akan mempercepat akses. Basis Data mulai terhubung ke jaringan komputer

Pendahuluan dan Pengantar

Membuka potensi lubang keamanan. Security vs kenyamanan (comfortable). Lebih banyak server yang harus ditangani
dan butuh lebih banyak SDM yang handal dan tersebar; padahal susah mencari SDM, untuk itu dilakukan desentralisasi server.

Klasifikasi Keamanan Basis Data:

Keamanan yang bersifat fisik (physical
security). Keamanan yang berhubungan dengan orang (personel). Keamanan dari data dan media serta teknik komunikasi. Keamanan dalam operasi.

Aspek untuk dukungan keamanan Basis Data:

Network security
pembawa informasi.
aplikasi itu sendiri. fokus kepada saluran fokus kepada

Application security Computer

security

fokus kepada keamanan dari komputer (end system) yang digunakan.

Aspek kehandalan keamanan Basis Data:

Privacy / confidentiality Integrity Authentication Availability Non-repudiation Access control

Aspek kehandalan : Privacy / confidentiality

Proteksi data bersifat pribadi yang sensitif
seperti:
Nama, tempat tanggal lahir, agama, hobby, penyakit yang pernah diderita, status perkawinan Data pelanggan Transaksi pada e-commerce

Proteksi terhadap serangan sniffer.

Aspek kehandalan : Integrity

Informasi tidak berubah tanpa ijin seperti:
Tampered (menimpa data lama) Altered (perubahan nilai data edited) Modified (disisipkan, ditambah, dihapus)

Proteksi terhadap serangan sniffer.

Aspek kehandalan : Integrity

Informasi tidak berubah tanpa ijin seperti:
Tampered (menimpa data lama) Altered (perubahan nilai data edited) Modified (disisipkan, ditambah, dihapus)

Proteksi terhadap serangan: spoof, virus,

trojan horse.

Aspek kehandalan : Authentication

Meyakinkan keaslian data, sumber data,
penggunaan digital signature, biometrics.

orang yang mengakses data, server yang digunakan:

Proteksi terhadap serangan: password palsu.

Aspek kehandalan : Availability

Informasi harus dapat tersedia ketika
dibutuhkan:
server dibuat hang, down, crash.

Proteksi terhadap serangan: Denial of

Service (DoS) attack.

Aspek kehandalan : Non-repudiation

Tidak dapat menyangkal (telah melakukan
transaksi):
menggunakan digital signature.

Proteksi terhadap serangan: deception.

Aspek kehandalan : Access Control

Mekanisme untuk mengatur siapa boleh
melakukan apa:
biasanya menggunakan password. adanya kelas / klasifikasi privillege user.

Proteksi terhadap serangan: intruder.

Batasan Privillege-user untuk Access Control pada Basis Data:

Pengguna Akhir Menggunakan hak akses orang lain. Melihat & menutup data yang tidak diotorisasi Staf tidak di-training Pemasukan data yang dilakukan oleh yang tidak berhak. Virus pemerasan

Programmer / Operator Membuat Password. Membuat program yang tidak aman Staf yang tidak ditraining. Kebijakan keamanan & prosedur Pemogokan staf

Database Administrator Kebijakan keamanan & prosedur

Jenis Serangan (attack)

Interruption:
sedang berjalan. penghentian sebuah proses yang menyela sebuah proses yang

Interception:
sedang berjalan.

Modification:
otoritas.

mengubah data tanpa ijin dari pihak

perusakan secara mendasar pada

Fabrication:
sistem utama.

Skema Akses dan Prosedur pada Basis Data yang terkoneksi on-line:

Perlunya keamanan menyeluruh pada Basis Data:

Keamanan

merupakan suatu proteksi terhadap pengrusakan data dan pemakaian data oleh user yang tidak memiliki otoritas. Untuk menjaga keamanan Basis Data dibutuhkan:
Penentuan perangkat lunak Basis Data Server yang handal. Pemberian otoritas kepada user mana saja yang berhak mengakses, serta memanipulasi data-data yang ada.

Skema Lapisan pada Basis Data yang dinterkoneksikan dengan aplikasi sistem utama
user

Middle-end units

DBMS

Front-end system
Back-end system

Penyalahgunaan Database :

Tidak disengaja, misalnya sebagai berikut:

kerusakan selama proses transaksi keadaan yang disebabkan oleh akses database yang konkuren keadaan yang disebabkan oleh pendistribuasian data pada beberapa komputer logika error yang mengancam kemampuan transaksi untuk mempertahankan konsistensi database.

Disengaja, seperti misalnya: .

Penyalahgunaan Database :

Disengaja oleh pihak yang tidak ada otoritas,

seperti misalnya:
Pengambilan data / pembacaan data Pengubahan data Penghapusan data

Tingkatan Pada Keamanan Basis Data

Physical User Sistem
lokasi-lokasi dimana terdapat sistem komputer haruslah aman secara fisik terhadap serangan destroyer. wewenang user harus dilakukan dengan berhati-hati untuk mengurangi kemungkinan adanya manipulasi oleh user lain yang otoritas. kelemahan entitas ini memungkinkan pengaksesan data oleh user tak berwenang, karena hampir seluruh jaringan sistem basis data berjalan secara on-line. Pengaturan hak pengguna yang

Operasi

Sistem Basisdata
baik.

Skema Utama Mekanisme Keamanan Basis Data on-line

ENKRIPSI Remote Client In-Secure Eksternal Network ENKRIPSI

Server DBMS Otorisasi Dan Akses FIREWALL

Secure Internal Network (Intranet) Database

Local Client

Alasan dibutuhkan keamanan basis data:

Pemberian

otoritas

pada

wewenang atau hak istimewa (privilege) untuk mengakses sistem basis data. Kendali otorisasi (=kontrol akses) dapat dibangun pada perangkat lunak dengan 2 fungsi :
Mengendalikan sistem atau obyek yang dapat diakses Mengendalikan bagaimana user menggunakannya

Sistem administrasi yang bertanggungjawab untuk

memberikan hak akses dengan membuat user account.

Yang dimaksud Tabel keamanan basis data:

View

pada

Merupakan metode pembatasan bagi user

untuk mendapatkan model basis data yang sesuai dengan kebutuhan pengguna. Metode ini dapat menyembunyikan data yang tidak digunakan atau tidak perlu dilihat oleh user.

Untuk pengamanan pada Basis Data Relasional dilakukan beberapa level:

Relasi View

user diperbolehkan atau tidak diperbolehkan mengakses langsung suatu relasi. user diperbolehkan atau tidak diperbolehkan mengakses data yang terapat pada view. user diperbolehkan membaca data, tetapi tidak dapat memodifikasi.

Read Authorization

Untuk pengamanan pada Basis Data Relasional dilakukan beberapa level:

Insert

Authorizationuser

menambah data baru, tetapi memodifikasi data yang sudah ada.

diperbolehkan tidak dapat

Update Authorization Delete Authorization

menghapus data.

user diperbolehkan memodifikasi data, tetapi tidak dapat menghapus data. user diperbolehkan

Otorisasi tambahan untuk Modifikasi Data (Update Authorization):

Index Authorization
membuat relasi-relasi baru. user diperbolehkan membuat dan menghapus index data. user diperbolehkan

Resource Authorization

Alteration Authorization
Drop Authorization

user diperbolehkan menambah/menghapus atribut suatu relasi.

user menghapus relasi yang sudah ada. diperbolehkan

Contoh perintah menggunakan SQL :

GRANT : memberikan wewenang kepada pemakai
Syntax : GRANT <priviledge list> ON <nama relasi/view> TO <pemakai>

Contoh :

GRANT SELECT ON S TO BUDI

GRANT SELECT,UPDATE (STATUS,KOTA) ON S TO ALI,BUDI

Contoh perintah menggunakan SQL :

REVOKE : mencabut wewenang yang dimiliki oleh pemakai
Syntax : REVOKE <priviledge list> ON <nama relasi/view> FROM <pemakai>

Contoh :

REVOKE SELECT ON S FROM BUDI

REVOKE SELECT,UPDATE (STATUS,KOTA) ON S FROM ALI,BUDI

Priviledge list : READ, INSERT, DROP, DELETE, INDEX, ALTERATION, RESOURCE

Back-up data dan recovery :

Back-up : proses secara periodik untuk
mebuat duplikat dari basisdata dan melakukan logging file (atau program) ke media penyimpanan eksternal. Recovery : merupakan upaya uantuk mengembalikan basis data ke keadaaan yang dianggap benar setelah terjadinya suatu kegagalan