SISTEM KEAMANAN KOMPUTER

Teknik Pengamanan Program & Sistem Operasi

PENDAHULUAN
Sistem keamanan komputer merupakan sebuah upaya yang dilakukan untuk
mengamankan kinerja,fungsi atau proses komputer. sistem keamanan komputer
juga berguna untuk menjaga komputer dari para hacker (penjahat dunia maya).
Tetapi layaknya seperti gembok kunci dalam rumah yang menjaga rumah dari
parah maling untuk masuk. Tetapi sebaik apapun sistem keamanan rumah anda
pasti ada cara untuk masuk kedalam rumah anda. Dan mengapa dibutuhkannya
sistem keamanan komputer karena meningkatnya perkembangan teknologi
dalam jaringan.
Fungsi sistem keamanan komputer adalah untuk menjaga sumer daya sistem
agar tidak digunakan,modfikasi,interupsi, dan diganggu oleh orang lain.
Keamanan bisa diindentifikasikan dalam masalah teknis,manajerial,legalitas, dan
politis.
Keamanan komputer adalah suatu cabang teknologi yang dikenal dengan nama
keamanan informasi yang diterapkan pada komputer. Sasaran keamanan
komputer antara lain adalah sebagai perlindungan informasi terhadap pencurian
atau korupsi, atau pemeliharaan ketersediaan, seperti dijabarkan dalam
kebijakan keamanan.
Keamanan komputer memberikan persyaratan terhadap komputer untuk
membentuk pembatasan apa yang tidak boleh dilakukan oleh komputer. Karena
pembatasan terancang akan menyulitkan komputer bekerja secara maksimal.
Tetapi dengan persyaratan yang menyulitkan sistem akan terciptanya suatu
strategi teknis yang menjaga kinerja sistem komputer.
Pendekatan yang umum dilakukan untuk meningkatkan keamanan komputer
antara lain yaitu:
1. Membatasi akses fisik terhadap komputer,
2. Menerapkan mekanisme pada perangkat keras dan
3. Sistem operasi untuk keamanan komputer, serta
4. Membuat strategi pemrograman untuk menghasilkan program komputer yang
dapat diandalkan.
KEAMANAN SISTEM
Ada tiga macam keamanan sistem, yaitu :
1. Keamanan eksternal / external security
Berkaitan dengan pengamanan fasilitas komputer dari penyusup dan bencana
seperti kebakaran /kebanjiran.
2. Keamanan interface pemakai / user interface security
Berkaitan dengan indentifikasi pemakai sebelum pemakai diijinkan mengakses
program dan data yang disimpan
3. Keamanan internal / internal security
Berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat
keras dan sistem operasi yang menjamin operasi yang handal dan tak terkorupsi
untuk menjaga integritas program dan data.
Dari macam keamanan sistem ada hal yang perlu untuk diperhatikan dalam
menjaga keamanan komputer. Di bawah ini adalah dua masalah penting yang
harus diperhatikan dalam keamanan komputer :

1. Kehilangan data / data loss

Masalah data loss bisa disebabkan oleh :
a. Bencana
b. Kesalahan perangkat lunak dan perangkat keras
c. Kesalahan manusia / human error
2. Penyusup / intruder
Penyusup bisa dikategorikan kedalam dua jenis :
a. Penyusup pasif yaitu membaca data yang tidak terotorisasi ( tidak berhak
mengakses)
b. Penyusup aktif yaitu mengubah susunan sistem data yang tidak terotorisasi.
Selain itu ancaman lain terhadap sistem keamanan komputer bisa dikategorikan
dalam empat macam :
1. Interupsi / interuption
Sumber daya sistem komputer dihancurkan menjadi tak berguna. Contohnya
penghancuran harddisk atau pemotongan kabel. Ini merupakan ancaman
terhadap ketersediaan.
2. Intersepsi / interception
Orang yang tak diotorisasi dapat masuk / mengakses ke sumber daya sistem.
Contohnya menyalin file yang terotorisasi. Ini merupakan ancaman terhadap
kerahasiaan.
3. Modifikasi / modification
Orang yang tak diotorisasi tidak hanya dapat mengakses tapi juga
mengubah,merusak sumber daya. Contohnya mengubah isi pesan, atau
mengacak program. Ini merupakan ancaman terhadap integritas
4. Fabrikasi / fabrication
Orang yang tak diotorisasi menyisipkan objek palsu ke dalam sistem. Contohnya
memasukkan pesan palsu, menambah data palsu.
Dari kategori yang ada diatas dan jika dikaitkan dalam kehidupan sehari-hari
pasti kita akan menemukan masalah dalam komputer. Dibawah ini merupakan
nama-nama ancaman yang sering dilihat dalam sistem keamanan komputer.
Adware
Backdoor Trojan
Bluejacking
Bluesnarfing
Boot Sector Viruses
Browser Hijackers
Chain Letters
Cookies
Denial of Service Attack
Dialers
Document Viruses
Email Viruses
Internet Worms
Mobile Phone Viruses
JENIS ANCAMAN KOMPUTER
Dalam hal ini saya akan menguraikan sedikit saja tentang ancaman-ancaman
yang sering dilihat :
1. Virus
Prinsip Virus adalah suatu program yang dapat berkembang dengan

menggandakan dirinya. Melalui mekanisme penggandaan diri ini, mekanisme

virus digunakan untuk berbagai jenis ancaman keamanan sistem komputer,
seperti: menampilkan suatu pesan tertentu, merusak file system, mencuri data,
hingga mengendalikan komputer pengguna.Virus dapat menggandakan dirinya
melalui email, file-file dokumen dan file program aplikasi.
2. Email Virus
Tipe virus yang disisipkan di attachment email. Jika attachment dibuka maka
akan menginfeksi komputer. Program virus tersebut akan mendata daftar alamat
akun email pengguna. Secara otomatis virus akan mencopy dirinya dan
mengirim email ke daftar akun email. Umumnya akan mengirim mass email,
memenuhi trafik jaringan, membuat komputer menjadi lambat dan membuat
down server email.
3. Internet Worms
Worm adalah sejenis program yang bisa mengcopy dan mengirim dirinya via
jalur komunikasi jaringan Internet. Umumnya menyerang melalu celah/lubang
keamanan OS komputer. Worm mampu mengirim paket data secara terus
menerus ke situs tertentu via jalur koneksi LAN/Internet. Efeknya membuat trafik
jaringan penuh, memperlambat koneksi dan membuat lambat/hang komputer
pengguna. Worm bisa menyebar melalui email atau file dokumen tertentu.
4. Spam
Spam adalah sejenis komersial email yang menjadi sampah mail (junkmail). Para
spammer dapat mengirim jutaan email via internet untuk kepentingan promosi
produk/info tertentu. Efeknya sangat mengganggu kenyamanan email pengguna
dan berpotensi juga membawa virus/worm/trojan.
5. Trojan Horse
Trojan adalah suatu program tersembunyi dalam suatu aplikasi tertentu.
Umumnya disembuyikan pada aplikasi tertentu seperti: games software, update
program, dsb. Jika aktif maka program tersebut umumnya akan mengirim paket
data via jalur internet ke server/situs tertentu, atau mencuri data komputer Anda
dan mengirimkannya ke situs tertentu. Efeknya akan memenuhi jalur
komunikasi, memperlambat koneksi, membuat komputer hang, dan berpotensi
menjadikan komputer Anda sebagai sumber Denidal Of Services Attack.
6. Spyware
Spyware adalah suatu program dengan tujuan menyusupi iklan tertentu (adware)
atau mengambil informasi penting di komputer pengguna. Spyware berpotensi
menggangu kenyamanan pengguna dan mencuri data-data tertentu di komputer
pengguna untuk dikirim ke hacker. Efek spyware akan menkonsumsi memory
komputer sehingga komputer menjadi lambat atau hang
7. Serangan Brute-force
Serangan brute-force adalah sebuah teknik serangan terhadap sebuah sistem
keamanan komputer yang menggunakan percobaan terhadap semua kunci yang
mungkin. Pendekatan ini pada awalnya merujuk pada sebuah program komputer
yang mengandalkan kekuatan pemrosesan komputer dibandingkan kecerdasan
manusia. Sebagai contoh, untuk menyelesaikan sebuah persamaan kuadrat
seperti x+7x-44=0, di mana x adalah sebuah integer, dengan menggunakan
teknik serangan brute-force, penggunanya hanya dituntut untuk membuat
program yang mencoba semua nilai integer yang mungkin untuk persamaan
tersebut hingga nilai x sebagai jawabannya muncul. Istilah brute force sendiri
dipopulerkan oleh Kenneth Thompson, dengan mottonya: When in doubt, use
brute-force (jika ragu, gunakan brute-force). Teknik yang paling banyak
digunakan untuk memecahkan password, kunci, kode atau kombinasi. Cara kerja

metode ini sangat sederhana yaitu mencoba semua kombinasi yang mungkin.
Sebuah password dapat dibongkar dengan menggunakan program yang disebut
sebagai password cracker. Program password cracker adalah program yang
mencoba membuka sebuah password yang telah terenkripsi dengan
menggunakan sebuah algoritma tertentu dengan cara mencoba semua
kemungkinan. Teknik ini sangatlah sederhana, tapi efektivitasnya luar biasa, dan
tidak ada satu pun sistem yang aman dari serangan ini, meski teknik ini
memakan waktu yang sangat lama, khususnya untuk password yang rumit.
TIPS KEAMANAN SISTEM
1. Gunakan Software Anti Virus
2. Blok file yang sering mengandung virus
3. Blok file yang menggunakan lebih dari 1 file extension
4. Gunakan firewall untuk koneksi ke Internet
5. Autoupdate dengan software patch
6. Backup data secara reguler
7. Hindari booting dari floopy disk USB disk
8. Terapkan kebijakan Sistem Keamanan Komputer Pengguna
a. Jangan download executables file atau dokumen secara langsung dari Internet
apabila anda ragu-ragu asal sumbernya.
b. Jangan membuka semua jenis file yang mencurigakan dari Internet.
c. Jangan install game atau screen saver yang bukan asli dari OS.
d. Kirim file mencurigakan via emai lke developer Antivirus untuk dicek.
e. Simpan file dokumen dalam format RTF (Rich Text Format) bukan *doc.
(Apabila anda merasa ada masalah pada program Office)
f. Selektif dalam mendownload attachment file dalam email.
http://hidayatcahayailmu.blogspot.com/2013/07/keamanan-sistemkomputer.html

Metode[sunting | sunting sumber]

Berdasarkan level, metode pengamanan komputer dibedakan berdasarkan level
keamanan, dan disusun seperti piramida, yaitu:
1. Keamanan Level 0, merupakan keamanan fisik (Physical Security) atau
keamanan tingkat awal. Apabila keamanan fisik sudah terjaga maka
keamanan di dalam computer juga akan terjaga.
2. Keamanan Level 1, terdiri dari database security, data security, dan device
security. Pertama dari pembuatan database dilihat apakah menggunakan
aplikasi yang sudah diakui keamanannya. Selanjutnya adalah
memperhatikan data security yaitu pendesainan database, karena
pendesain database harus memikirkan kemungkinan keamanan dari
database. Terakhir adalah device security yaitu adalah yang dipakai untuk
keamanan dari database tersebut.
3. Keamanan Level 2, yaitu keamanan dari segi keamanan jaringan.
Keamanan ini sebagai tindak lanjut dari keamanan level 1.

4. Keamanan Level 3, merupakan information security. Informasi informasi

seperti kata sandi yang dikirimkan kepada teman atau file file yang
penting, karena takut ada orang yang tidak sah mengetahui informasi
tersebut.
5. Keamanan Level 4, keamanan ini adalah keseluruhan dari keamanan level
1 sampai level 3. Apabila ada satu dari keamanan itu tidak terpenuhi
maka keamanan level 4 juga tidak terpenuhi.
Berdasarkan sistem, metode pengamanan komputer terbagi dalam beberapa
bagian antara lain :

Network Topology

Sebuah jaringan komputer dapat dibagi atas kelompok jaringan eksternal

(Internet atau pihak luar) kelompok jaringan internal dan kelompok jaringan
eksternal diantaranya disebut DeMilitarized Zone (DMZ). - Pihak luar : Hanya
dapat berhubungan dengan host-host yang berada pada jaringan DMZ, sesuai
dengan kebutuhan yang ada. - Host-host pada jaringan DMZ : Secara default
dapat melakukan hubungan dengan host-host pada jaringan internal. Koneksi
secara terbatas dapat dilakukan sesuai kebutuhan. - Host-host pada jaringan
Internal : Host-host pada jaringan internal tidak dapat melakukan koneksi ke
jaringan luar, melainkan melalui perantara host pada jaringan DMZ, sehingga
pihak luar tidak mengetahui keberadaan host-host pada jaringan komputer
internal.

Security Information Management

Salah satu alat bantu yang dapat digunakan oleh pengelola jaringan komputer
adalah Security Information Management (SIM). SIM berfungsi untuk
menyediakan seluruh informasi yang terkait dengan pengamanan jaringan
komputer secara terpusat. Pada perkembangannya SIM tidak hanya berfungsi
untuk mengumpulkan data dari semua peralatan keamanan jaringan komputer
tapi juga memiliki kemampuan untuk analisa data melalui teknik korelasi dan
query data terbatas sehingga menghasilkan peringatan dan laporan yang lebih
lengkap dari masing-masing serangan. Dengan menggunakan SIM, pengelola
jaringan komputer dapat mengetahui secara efektif jika terjadi serangan dan
dapat melakukan penanganan yang lebih terarah, sehingga organisasi keamanan
jaringan komputer tersebut lebih terjamin.

IDS / IPS

Intrusion detection system (IDS) dan Intrusion Prevention system (IPS) adalah
sistem yang digunakan untuk mendeteksi dan melindungi sebuah sistem
keamanan dari serangan pihak luar atau dalam. Pada IDS berbasiskan jaringan
komputer , IDS akan menerima kopi paket yang ditujukan pada sebuah host
untuk selanjutnya memeriksa paket-paket tersebut. Jika ditemukan paket yang
berbahaya, maka IDS akan memberikan peringatan pada pengelola sistem.
Karena paket yang diperiksa adalah salinan dari paket yang asli, maka jika
ditemukan paket yang berbahaya maka paket tersebut akan tetap mancapai
host yang ditujunya.Sebuah IPS bersifat lebih aktif daripada IDS. Bekerja sama
denganfirewall, sebuah IPS dapat memberikan keputusan apakah sebuah paket
dapat diterima atau tidak oleh sistem. Apabila IPS menemukan paket yang
dikirimkan adalah paket berbahaya, maka IPS akan memberitahu firewall sistem

untuk menolak paket data itu. Dalam membuat keputusan apakah sebuah paket
data berbahaya atau tidak, IDS dan IPS dapat memnggunakan metode

Signature based Intrusion Detection System : Telah tersedia

daftar signature yang dapat digunakan untuk menilai apakah paket yang
dikirimkan berbahaya atau tidak.

Anomaly based Intrusion Detection System : Harus melakukan konfigurasi

terhadap IDS dan IPS agar dapat mengetahui pola paket seperti apa saja
yang akan ada pada sebuah sistem jaringan komputer. Paket anomaly
adalah paket yang tidak sesuai dengan kebiasaan jaringan komputer
tersebut.

Port Scanning

Metode Port Scanning biasanya digunakan oleh penyerang untuk mengetahui

port apa saja yang terbuka dalam sebuah sistem jaringan komputer. Cara
kerjanya dengan cara mengirimkan paket inisiasi koneksi ke setiap port yang
sudah ditentukan sebelumnya. Jika port scanner menerima jawaban dari sebuah
port, maka ada aplikasi yang sedang bekerja dan siap menerima koneksi pada
port tersebut.

Packet Fingerprinting

Dengan melakukan packet fingerprinting, kita dapat mengetahui peralatan apa

saja yang ada dalam sebuah jaringan komputer. Hal ini sangat berguna terutama
dalam sebuah organisasi besar dimana terdapat berbagai jenis peralatan
jaringan komputer serta sistem operasi yang digunakan.
Jenis Ancaman jaringan[sunting | sunting sumber]

Probe

Probe atau yang biasa disebut probing adalah usaha untuk mengakses sistem
dan mendapatkan informasi tentang sistem

Scan

Scan adalah probing dalam jumlah besar menggunakan suatu tool

Account compromise

Meliputi User compromize dan root compromize

Packet Snifer

Adalah sebuah program yang menangkap data dari paket yang lewat di jaringan.
(username, password, dan informasi penting lainnya)

Hacking

Hacking adalah tindakan memperoleh akses ke komputer atau jaringan komputer

untuk mendapatkan atau mengubah informasi tanpa otorisasi yang sah

Denial-of-Service

Serangan Denial-of-service (DoS) mencegah pengguna yang sah dari

penggunaan layanan ketika pelaku mendapatkan akses tanpa izin ke mesin atau

data. Ini terjadi karena pelaku membanjiri jaringan dengan volume data yang
besar atau sengaja menghabiskan sumber daya yang langka atau terbatas,
seperti process control blocks atau koneksi jaringan yang tertunda. Atau mereka
mengganggu komponen fisik jaringan atau memanipulasi data yang sedang
dikirimkan, termasuk data terenkripsi.

Malicious code (Kode Berbahaya)

Malicious code adalah program yang menyebabkan kerusakan sistem ketika

dijalankan. Virus, worm dan Trojan horse merupakan jenis-jenis malicious code. Virus komputer adalah sebuah program komputer atau kode program yang
merusak sistem komputer dan data dengan mereplikasi dirinya sendiri melalui
peng-copy-an ke program lain, boot sector komputer atau dokumen. - Worm
adalah virus yang mereplikasi dirinya sendiri yang tidak mengubah file, tetapi
ada di memory aktif, menggunakan bagian dari sistem operasi yang otomatis
dan biasanya tidak terlihat bagi pengguna. Replikasi mereka yang tidak
terkontrol memakan sumber daya sistem, melambatkan atau menghentikan
proses lain. Biasanya hanya jika ini terjadi keberadaan worm diketahui. - Trojan
horse adalah program yang sepertinya bermanfaat dan/atau tidak berbahaya
tetapi sesungguhnya memiliki fungsi merusak seperti unloading hidden program
atau command scripts yang membuat sistem rentan gangguan.

Social Engineering / Exploitation of Trust

Sekumpulan teknik untuk memanipulasi orang sehingga orang tersebut

membocorkan informasi rahasia. Meskipun hal ini mirip dengan permainan
kepercayaan atau penipuan sederhana, istilah ini mengacu kepada penipuan
untuk mendapatkan informasi atau akses sistem komputer. Beberapa jebakan
yang dapat dilakukan diantaranya dengan : - Memanfaatkan kepercayaan orang
dalam bersosialisasi dengan komputer. - Memanfaatkan kesalahan orang secara
manusiawi misal : kesalahan ketik dll - Bisa dengan cara membuat tampilan
Login yang mirip (teknik fake login),

Phishing

Tindakan pemalsuan terhadap data atau identitas resmi.

Implementasi[sunting | sunting sumber]
Ada tiga macam Computer security yang berkaitan dengan kehidupan sehari-hari
antara lain :
1. Keamanan eksternal / external security
Berkaitan dengan pengamanan fasilitas komputer dari penyusup dan bencana
seperti kebakaran /kebanjiran.
2. Keamanan interface pemakai / user interface security
Berkaitan dengan indentifikasi pemakai sebelum pemakai diijinkan mengakses
program dan data yang disimpan
3. Keamanan internal / internal security

Berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat

keras dan sistem operasi yang menjamin operasi yang handal dan tak terkorupsi
untuk menjaga integritas program dan data.
Dari berbagai macam jenis implementasi computer security ada hal yang perlu
untuk diperhatikan dalam menjaga keamanan komputer. Di bawah ini adalah dua
masalah penting di kehidupan sehari-hari yang harus diperhatikan dalam
keamanan komputer :

Kehilangan data / data loss

Masalah data loss dapat disebabkan oleh :

Bencana

Kesalahan perangkat lunak dan perangkat keras

Kesalahan manusia / human error

Penyusup / intruder

Penyusup bisa dikategorikan kedalam dua jenis :

Penyusup pasif yaitu membaca data yang tidak terotorisasi ( tidak berhak
mengakses )

Penyusup aktif yaitu mengubah susunan sistem data yang tidak

terotorisasi.

Selain itu ancaman lain terhadap sistem keamanan komputer bisa dikategorikan
dalam empat macam :

Interupsi / interuption

Sumber daya sistem komputer dihancurkan sehingga tidak berfungsi. Contohnya

penghancuran harddisk atau pemotongan kabel. Ini merupakan ancaman
terhadap ketersediaan.

Intersepsi / interception

Orang yang tak diotorisasi dapat masuk / mengakses ke sumber daya sistem.
Contohnya menyalin file yang terotorisasi. Ini merupakan ancaman terhadap
kerahasiaan.

Modifikasi / modification

Orang yang tak diotorisasi tidak hanya dapat mengakses tapi juga
mengubah,merusak sumber daya. Contohnya mengubah isi pesan, atau
mengacak program. Ini merupakan ancaman terhadap integritas

Fabrikasi / fabrication

Orang yang tak diotorisasi menyisipkan objek palsu ke dalam sistem. Contohnya
memasukkan pesan palsu, menambah data palsu. Dari kategori yang ada diatas
dan jika dikaitkan dalam kehidupan sehari-hari pasti kita akan menemukan
masalah dalam komputer.
Ancaman sistem keamanan komputer[sunting | sunting sumber]

Dibawah ini merupakan nama-nama ancaman yang sering dilihat dalam sistem
keamanan komputer.

Adware

Backdoor Trojan

Bluejacking

Bluesnarfing

Boot Sector Viruses

Browser Hijackers

Chain Letters

Cookies

Denial of Service Attack

Dialers

Document Viruses

Email Viruses

Internet Worms

Mobile Phone Viruses

Jenis Ancaman keamanan komputer[sunting | sunting sumber]

Berikut ini adalah contoh ancaman-ancaman yang sering dilihat :

Virus

Email Virus

Internet Worms

Spam

Trojan Horse

Spyware

Serangan Brute-force

Manfaat[sunting | sunting sumber]

Guna manfaat sistem keamanan computer yaitu menjaga suatu sistem komputer
dari pengaksesan seseorang yang tidak memiliki hak untuk mengakses sistem
komputer tersebut. Sistem keamanan komputer semakin dibutuhkan saat ini
seiring dengan meningkatnya penggunaan komputer di seluruh penjuru dunia.
Selain itu makin meningkatnya para pengguna yang menghubungkan
jaringan LANnya ke internet, namun tidak di imbangi dengan SDM yang dapat
menjaga keamanan data dan infomasi yang dimiliki. Sehingga keamanan data
yang ada menjadi terancam untuk diakses dari orang-orang yang tidak berhak.
Keamanan komputer menjadi penting karena ini terkait

dengan Privacy,Integrity, Autentication, Confidentiality dan Availability. Beberapa

ancaman keamanan komputer adalah virus, worm, trojan, spam dan lain-lain.
Masing-masingnya memiliki cara untuk mencuri data bahkan merusak sistem
komputer. Ancaman bagi keamanan sistem komputer ini tidak dapat dihilangkan
begitu saja, namun kita dapat meminimalkan hal ini dengan
menggunakan software keamanan sistem diantaranya antivirus, antispam dan
sebagainya.
Faktor[sunting | sunting sumber]
Beberapa hal yang menjadikan kejahatan komputer terus terjadi dan cenderung
meningkat adalah sebagai berikut :

Meningkatnya penggunaan komputer dan internet.

Banyaknya software yang pada awalnya digunakan untuk melakukan audit

sebuah system dengan cara mencari kelemahan dan celah yang mungkin
disalahgunakan untuk melakukan scanning system orang lain.

Banyaknya software-software untuk melakukan penyusupan yang tersedia

di Internet dan bisa di download secara gratis.

Meningkatnya kemampuan pengguna komputer dan internet.

Kurangnya hukum yang mengatur kejahatan komputer.

Semakin banyaknya perusahaan yang menghubungkan

jaringan LAN mereka ke Internet.

Meningkatnya aplikasi bisnis yang menggunakan internet.

Banyaknya software yang mempunyai kelemahan (bugs).

Dampak[sunting | sunting sumber]

Dampak negatif yang ditimbulkan dari penggunaan sistem keamanan
komputer yaitu.

Menurunnya nilai transaksi melalui internet terhadap E-Commerse

Menurutnya tingkat kepercayaan dalam melakukan komunikasi dan

transaksi melalui media online.

Merugikan secara moral dan materi bagi korban yang data-data

pribadinya dimanipulasi.

Seperti juga masalah yang ada di Indonesia yang menurut saya bisa dijadikan
salah satu contoh dampak negative dari penggunaan sistem keamanan
komputer yaitu;

Pencurian dan penggunaan account Internet milik orang lain. Salah satu
kesulitan dari sebuah ISP (Internet Service Provider) adalah adanya
account pelanggan mereka yang dicuri dan digunakan secara tidak sah.
Berbeda dengan pencurian yang dilakukan secara fisik,
pencurian account cukup menangkap user id dan password saja. Hanya
informasi yang dicuri. Sementara itu orang yang kecurian tidak merasakan
hilangnya benda yang dicuri. Pencurian baru terasa efeknya jika informasi

ini digunakan oleh yang tidak berhak. Akibat dari pencurian ini, pengguna
dibebani biaya penggunaan account tersebut. Kasus ini banyak terjadi
di ISP. Membajak situs web. Salah satu kegiatan yang sering dilakukan
oleh cracker adalah mengubah halaman web, yang dikenal dengan
istilah deface. Pembajakan dapat dilakukan dengan meng[eksploitasi
lubang keamanan.

Probing dan port scanning. Salah satu langkah yang

dilakukan cracker sebelum masuk ke server yang ditargetkan adalah
melakukan pengintaian. Cara yang dilakukan adalah dengan
melakukan port scanning atau probing untuk melihat servis-servis apa saja
yang tersedia di server target. Sebagai contoh, hasil scanning dapat
menunjukkan bahwa server target menjalankan program web
server Apache, mai server Sendmail, dan seterusnya. Analogi hal ini
dengan dunia nyata adalah dengan melihat-lihat apakah pintu rumah
anda terkunci, merek kunci yang digunakan, jendela mana yang terbuka,
apakah pagar terkunci menggunakan (firewall atau tidak) dan seterusnya.
Yang bersangkutan memang belum melakukan kegiatan pencurian atau
penyerangan, akan tetapi kegiatan yang dilakukan sudah mencurigakan.

Berbagai program yang digunakan untuk

melakukan probing atau portscanning ini dapat diperoleh secara gratis
di Internet. Salah satu program yang paling populer adalahnmap (untuk sistem
yang berbasis UNIX, Linux) dan Superscan (untuk sistem yang
berbasis Microsoft Windows). Selain mengidentifikasi port, nmap juga bahkan
dapat mengidentifikasi jenis operating system yang digunakan.

Virus. Seperti halnya di tempat lain, virus komputer pun menyebar di

Indonesia. Penyebaran umumnya dilakukan dengan menggunakan email.
Seringkali orang yang sistem emailnya terkena virus tidak sadar akan hal
ini. Virus ini kemudian dikirimkan ke tempat lain melalui emailnya.

Denial of Service (DoS) dan Distributed DoS (DDos) attack. DoS attack
merupakan serangan yang bertujuan untuk melumpuhkan target
(hang, crash) sehingga dia tidak dapat memberikan layanan. Serangan ini
tidak melakukan pencurian, penyadapan, ataupun pemalsuan data. Akan
tetapi dengan hilangnya layanan maka target tidak dapat memberikan
servis sehingga ada kerugian finansial. Bayangkan bila seseorang dapat
membuat ATM bank menjadi tidak berfungsi. Akibatnya nasabah bank
tidak dapat melakukan transaksi dan bank (serta nasabah) dapat
mengalami kerugian finansial. DoS attack dapat ditujukan
kepada server (komputer) dan juga dapat ditargetkan kepada
jaringan (menghabiskan bandwidth). Tools untuk melakukan hal ini banyak
tersebar di Internet.

https://id.wikipedia.org/wiki/Keamanan_komputer

Sistem Keamanan Komputer

Klasifikasi keamanan sistem informasi menurut David Icove, yaitu :
1. Fisik ( Physical security),
2. Manusia (people/personal security),

3. Data, media, teknik komunikasi,

4. Kebijakan dan prosedur (polocy & procedure).
Akan tetapi, kebanyakan orang hanya terfokus pada Data, media, teknik
komunikasi. Dan berdasarkan elemen sistem terdapat beberapa sistem
keamanan, yaitu :
1. Network security, elemen ini memfokuskan pada saluran (media) pembawa
informasi atau jalur yang dilalui.
2. Application security, elemien ini memfokuskan pada sistem tersebut serta
database dan servicenya.
3. Computer security, elemen ini memfokuskan pada keamanan dari komputer
pengguna (end system) yang digunakan untuk mengakses aplikasi, termasuk
operating system(OS).
Pada suatu sistem keamanan juga mempunyai dasar-dasarnya, yaitu :
Authentication
Menyatakan bahwa data atau informasi yang digunakan atau diberikan oleh
pengguna adalah asli milik orang tersebut, begitu juga dengan server dan sistem
informasi yang diakses.
Serangan pada jaringan berupa DNS Corruption atau DNS Poison, terminal
palsu (spooffing), situs aspal dan palsu, user dan password palsu.
Countermeasure : Digital Signature misalnya teknologi SSL/TLS untuk web dan
mail server.
Authorization atau Access Control
Pengaturan siapa dapat melakukan apa, atau dari mana menuju kemana.
Dapat menggunakan mekanisme user/password atau mekanisme lainnya.
Ada pembagian kelas atau tingkatan.
Implementasi : pada ACL antar jaringan, pada ACL proxy server (misalnya
Pembatasan bandwidth/delaypools).
Privacy/confidentiality
Keamanan terhadap data data pribadi, messages/pesan-pesan atau informasi
lainnya yang sensitif.
Serangan pada jaringan berupa aktifitas sniffing (menyadap) dan adanya
keylogger. Umumnya terjadi karena kebijakan/policy yang kurang jelas. Admin
atau ISP nakal.
Coutermeasure : gunakan teknologi enkripsi/kriptografi.
Integrity
Bahwa informasi atau pesan dipastikan tidak dirubah atau berubah. Karena
ketika melewati jaringan internet, sebenarnya data telah berjalan sangat jauh
melintasi berbagai negara. Pada saat perjalanan tersebut, berbagai gangguan
dapat terjadi terhadap isinya, baik hilang, rusak, ataupun dimanipulasi oleh
orang yang tidak seharusnya.
Serangan pada jaringan dapat berupa aktifitas spoofing, mail modification,
trojan horse, MITM Attack.
Countermeasure : dengan teknologi digital signature dan Kriptografi spt PGP,
802.1x, WEP, WPA.
Availability
Keamanan atas ketersediaan layanan informasi.
Serangan pada jaringan: DoS (denial of services) baik disadari/sengaja
maupun tidak. Aktifitas malware, worm, virus dan bomb mail sering memacetkan

jaringan.
Countermeasure : Firewall dan router filtering, backup dan redundancy, IDS
dan IPS
Non-repudiation
Menjaga agar jika sudah melakukan transaksi atau aktifitas online, maka tidak
dapat di sangkal bahwa mereka telah mengirim atau menerima sebuah file
mengakomodasi Perubahan.
Umumnya digunakan untuk aktifitas e-commerce. Misalnya email yang
digunakan untuk bertransaksi menggunakan digital signature.
Pada jaringan dapat menggunakan digital signature, sertifikat dan kriptografi.
Auditing
Adanya berkas semacam rekaman komunikasi data yang terjadi pada jaringan
untuk keperluan audit seperti mengidentifikasi serangan serangan pada jaringan
atau server.
Implementasi : pada firewall (IDS/IPS) atau router menggunakan system
logging (syslog).
Disini akan diulas lebih dalam tentang AUDITING.
Tujuan keamanan komputer (security goals) adalah terjaminnya confidentiality,
integrity, dan availability sebuah sistem komputer. Untuk menjamin supaya
tujuan keamanan tersebut dapat tercapai maka diperlukan beberapa proses
yang dilakukan secara bersama-sama. Salah satu proses tersebut adalah dengan
melakukan audit terhadap sistem komputer dan jaringan komputer didalamnya.
Auditing adalah sebuah untuk melacak semua kejadian-kejadian, kesalahankesalahan, dan percobaan akses dan otentikasi dalam sebuah komputer server.
Auditing membantu seorang administrator jaringan dan analis keamanan
komputer untuk mengidentifikasi kelemahan-kelemahan jaringan komputer
dalam sebuah organisasi dan sangat membantu dalam mengembangkan
kebijakan dalam keamanan jaringan komputer. Melalui proses audit, integritas
data dapat dijamin, juga dapat memelihara kerahasiaan data dan ketersediaanya
tetap terjamin. Secara garis besar, audit terhadap sebuah sistem keamanan
jaringan komputer dibagi kedalam 3 kategori yaitu: audit terhadap hak akses
(privilege audit), audit terhadap penggunaan sumber daya (usage audit), audit
terhadap eskalasi (escalation audit).
Privilege Audit, Audit jenis ini tujuannya adalah untuk melakukan verifikasi
apakah group, roles dan account sudah diterapkan dengan tepat dalam
sebuah organisasi dan keamanan yang di terapkan didalamnya juga sudah tepat.
Audit ini juga melakukan verifikasi apakah kebijakankebijakan yang di terapkan
dalam sebuah organisasi sudah diikuti dengan benar atau belum, sudah akurat
atau belum, dan apakah akses ke sistem sudah di terapkan dengan benar.
Privilege audit dilakukan dengan cara melakukan review secara lengkap
terhadap semua group dan account dalam sebuah sistem jaringan untuk
sebuah organisasi. Misalnya,ketika seorang karyawan di mutasi dalam sebuah
organisasi, maka nama karyawan tersebut seharusnya di hapus dari grupnya
yang lama. Kesalahan dalam melakukan hal tersebut dapat menyebabkan
seorang user bisa mendapatkan akses lebih tinggi dari yang seharusnya
didapatkan oleh user tersebut.
Usage Audit, Audit jenis ini melakukan verifikasi apakah perangkat lunak dan
sistem yang digunakan dalam sebuah organisasi dipakai secara konsisten dan

tepat sesuai dengan kebijakan yang berlaku dalam organisasi tersebut. Audit ini
akan melakukan review secara lengkap dari sisi fisik sebuah sistem, memverifikasi konfigurasi perangkat lunak, dan aktifitas-aktifitas sistem yang lain.
Perhatian yang utama dari audit jenis ini adalah bagaimana penginstalan dan
lisensi perangkat lunak dengan benar. Organisasi harus menguji sistem secara
berkala untuk melakukan verifikasi bahwahanya perangkat lunak yang di lisensi
oleh organisasi tersebut yang boleh di instal di setiap komputer yang ada dalam
organisasi tersebut. Selain masalah perangkat lunak dan keamanan fisik sistem
yang di audit, hal yang juga menjadi pertimbangan adalah masalah lubang
keamanan yang mungkin saja di timbulkan oleh perangkat lunak yang di instal di
dalam sistem organisasi tersebut. Sehingga harus dapat dipastikan bahwa
perangkat lunak-perangkat lunak yang di instal tersebut sudah di update sesuai
dengan kebutuhannya. Audit ini juga melakukan pengujian terhadap penggunaan
jaringan komputer dalam sebuah organisasi. Pengecekan dilakukan untuk
mengetahui apakah sumber daya jaringan komputer digunakan sesuai dengan
peruntukannya atau tidak. Setiap penggunaan jaringan yang tidak sesuai
penggunaannya akan diberi tanda oleh proses audit ini dan dapat di hentikan
sebelum hal ini menjadi masalah di kemudian hari.
Escalation Audit, Eskalasi audit mem-fokuskan seputar bagaimana pihak
manajemen/decision-makers mengendalikan sistem jaringan jika menemukan
masalah darurat terhadap sistem tersebut. Jenis audit ini akan melakukan
pengujian bagaimana sebuah organisasi mampu menghadapi masalah-masalah
yang mungkin muncul ketika keadaan darurat terjadi. Misalnya, pengujian dan
proses verifikasi sistem terhadap disaster recovery plans dan business
continuity plans. Jenis-jenis perencanaan ini dapat menjadi outdated secara
cepat dan sebuah proses audit dapat digunakan untuk menjamin bahwa segala
sesuatunya dapat di selesaikan dan rencana-rencana tersebut dapat sukses di
terapkan jika masalah terjadi pada sistem jaringan komputer organisasi tersebut.
https://witanduty.wordpress.com/sistem-keamanan-komputer/

Tipe ancaman terhadap keamanan sistem komputer dapat dimodelkan dengan

memandang fungsi sistem
komputeer sebagai penyedia informasi.
Berdasarkan fungsi ini, ancaman terhadap sistem komputeer dikategorikan menjadi 4 ancaman,
yaitu :
1. Interupsi / interuption
Sumber daya sistem komputer dihancurkan / menjadi tak tersedia / tak berguna. Merupakan
ancaman
terhadap ketersediaan. Contohnya penghancuran harddisk, pemotongan kabel komunikasi.

2. Intersepsi / interception
Pihak tak diotorisasi dapat mengakses sumber daya. Merupakan ancaman terhadap
kerahasiaan. Pihak tak
diotorissasi dapat berupa orang / program komputeer. Contohnya penyadapan, mengcopy file
tanpa
diotorisasi.
3. Modifikasi / modification
Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya. Merupakan
ancaman
terhadap integritas. Contohnya mengubah nilai file, mengubah program, memodifikasi pesan
4. Fabrikasi / fabrication
Pihak tak diotorisasi menyisipkan / memasukkan objek-objek palsu ke sistem. Merupakan
ancaman terhadap integritas. Contohnya memasukkan pesan palsu ke jaringan, menambah
record file.
Petunjuk prinsip-prinsip pengamanan sistem komputer, yaitu :
1. Rancangan sistem seharusnya publik
Tidak tergantung pada kerahasiaan rancangan mekanisme pengamanan. Membuat proteksi
yang bagus
dengan mengasumsikan penyusup mengetahui cara kerja sistem pengamanan.
2. Dapat diterima
Mekanisme harus mudah diterima, sehingga dapat digunakan secara benar dan mekanisme
proteksi tidak
mengganggu kerja pemakai dan pemenuhan kebutuhan otorisasi pengaksesan.
3. Pemeriksaan otoritas saat itu
Banyak sisten memeriksa ijin ketika file dibuka dan setelah itu (opersi lainnya) tidak diperiksa.
4. Kewenangan serendah mungkin

Program / pemakai sistem harusnya beroperasi dengan kumpulan wewenang serendah mungkin
yang
diperlukan untuk menyelesaikan tugasnya.
5. Mekanisme yang ekonomis
Mekanisme proteksi seharusnya sekecil dan sesederhana mungkin dan seragam sehingga
mudah untukverifikasi.
Otentifikasi pemakai / user authentification adalah identifikasi pemakai ketika login.
3 cara otentifikasi :
1. Sesuatu yang diketahui pemakai, misalnya password, kombinasi kunci, nama kecil ibu mertua,
dll
Untuk password, pemakai memilih suatu kata kode, mengingatnya dan menggetikkannya saat
akan mengakses sistem komputer, saat diketikkan tidak akan terlihat dilaya kecuali misalnya
tanda *. Tetapi banyak kelemahan dan mudah ditembus karena pemakai cenderung memilih
password yang mudah diingat,
misalnya nama kecil, nama panggilan, tanggal lahir, dll.
Upaya pengamanan proteksi password :
a. Salting, menambahkan string pendek ke string password yang diberikan pemakai sehingga
mencapai
panjang password tertentu
b. one time password, pemakai harus mengganti password secara teratur, misalnya pemakai
mendapat 1
buku daftar password. Setiap kali login pemakai menggunakan password berikutnya yang
terdapat pada
daftar password.
c. satu daftar panjang pertanyan dan jawaban, sehingga pada saat login, komputer memilih
salah satu dari
pertanyaan secara acak, menanyakan ke pemakai dan memeriksa jawaban yang diberikan.
d. tantangan tanggapan / chalenge respone, pemakai diberikan kebebasan memilih suatu
algoritma

misalnya x3, ketika login komputer menuliskan di layar angka 3, maka pemakai harus mengetik
angka 27.
2. Sesuatu yang dimiliki pemakai, misalnya bagde, kartu identitas, kunci, barcode KTM, ATM.
Kartu pengenal dengan selarik pita magnetik. Kartu ini disisipkan de suatu perangkat pembaca
kartu
magnetik jika akan mengakses komputer, biasanya dikombinasikan dengan password.
3. Sesuatu mengenai / merupakan ciri pemakai yang di sebut biometrik, misalnya sidik jari, sidik
suara, foto, tanda tangan, dll. Pada tanda tangan, bukan membandingkan bentuk tanda
tangannya (karena mudah ditiru) tapi gerakan / arah dan tekanan pena saat menulis (sulit ditiru).
Untuk memperkecil peluang penembusan keamanan sistem komputer harus diberikan
pembatasan,
misalnya :
1. Pembatasan login, misalnya pada terminal tertentu, pada waktu dan hari tertentu.
2. Pembatasan dengan call back, yaitu login dapat dilakukan oleh siapapun, bila telah sukses,
sistemmemutuskan koneksi dan memanggil nomor telepon yang disepakati. Penyusup tidak
dapat menghubungkan lewat sembarang saluran telepon, tapi hanya pada saluran tetepon
tertentu.
3. Pembatasan jumlah usaha login, misalnya dibatasi sampai 3 kali, dan segera dikunci dan
diberitahukan keadministrator.
Objek yang perlu diproteksi :
1. Objek perangkat keras, misalnya pemroses, segment memori, terminal, diskdrive, printer, dll
2. Objek perangkat lunak, misalnya proses, file, basis data, semaphore, dll
Masalah proteksi adalah mengenai cara mencegah proses mengakses objek yang tidak
diotorisasi. Sehingga dikembangkan konsep domain. Domain adalah himpunan pasangan
(objek,hak). Tiap pasangan menspesifikasikan objek dan suatu subset operasi yang dapat
dilakukan terhadapnya. Hak dalam konteks ini berarti ijin melakukan suatu operasi.
Cara penyimpanan informasi anggota domain beerupa satu matrik besar, dimana :
baris menunjukkan domain
kolom menunjukkan objek
Pendahuluan Kriptografi

Kriptografi, secara umum adalah ilmu dan seni untuk menjaga kerahasiaan berita [bruceSchneier
Applied Cryptography]. Kata cryptography berasal dari kata Yunani kryptos (tersembunyi) dan
graphein (menulis). Selain pengertian tersebut terdapat pula pengertian ilmuyang mempelajari
teknik-teknik matematika yang berhubungan dengan aspek keamananinformasi seperti
kerahasiaan data, keabsahan data, integritas data, serta autentikasi data [A.Menezes, P. van
Oorschot and S. Vanstone Handbook of Applied Cryptography]. Cryptanalysis adalah aksi
untuk memecahkan mekanisme kriptografi dengan cara mendapatkanplaintext atau kunci dari
ciphertext yang digunakan untuk mendapatkan informasi berhargakemudian mengubah atau
memalsukan pesan dengan tujuan untuk menipu penerima yang
sesungguhnya, memecahkan ciphertext. Cryptology adalah ilmu yang mencakup cryptography
dan cryptanalysis. Tidak semua aspek keamanan informasi ditangani oleh kriptografi.
Tujuan mendasar dari ilmu kriptografi ini yang juga merupakan aspek keamanan informasi
yaitu :
Kerahasiaan, adalah layanan yang digunakan untuk menjaga isi dari informasi dari siapapun
kecuali yang memiliki otoritas atau kunci rahasia untuk membuka/mengupas informasi yang telah
disandi. Integritas data, adalah berhubungan dengan penjagaan dari perubahan data secara
tidak sah. Untuk menjaga integritas data, sistem harus memiliki kemampuan untuk mendeteksi
manipulasi data oleh pihak-pihak yang tidak berhak, antara lain penyisipan, penghapusan, dan
pensubsitusian data lain kedalam data yang sebenarnya.
Autentikasi, adalah berhubungan dengan identifikasi/pengenalan, baik secara kesatuan sistem
maupun informasi itu sendiri. Dua pihak yang saling berkomunikasi harus saling
memperkenalkan diri. Informasi yang dikirimkan melalui kanal harus diautentikasi keaslian, isi
datanya, waktu pengiriman, dan lain-lain.
Non-repudiasi., atau nir penyangkalan adalah usaha untuk mencegah terjadinya
penyangkalan terhadap pengiriman/terciptanya suatu informasi oleh yang
mengirimkan/membuat. Enkripsi adalah transformasi data kedalam bentuk yang tidak dapat
terbaca tanpa sebuah kunci tertentu. Tujuannya adalah untuk meyakinkan privasi dengan
menyembunyikan informasi dari orang-orang yang tidak ditujukan, bahkan mereka mereka yang
memiliki akses ke data terenkripsi. Dekripsi merupakan kebalikan dari enkripsi, yaitu transformasi
data terenkripsi kembali ke bentuknya semula.
Keamanan Dan Manajemen Perusahaan
Seringkali sulit untuk membujuk manajemen perusahaan atau pemilik sistem informasi untuk
melakukan investasi di bidang keamanan. Di tahun 1997 majalah Information Week melakukan
survey terhadap 1271 system atau network manager di Amerika Serikat. Hanya 22% yang
menganggap keamanan sistem informasi sebagai komponen sangat penting (extremely
important). Mereka lebih mementingkan reducing cost dan improvingcompetitiveness
meskipun perbaikan sistem informasi setelah dirusak justru dapat menelan biaya yang lebih

banyak. Keamanan itu tidak dapat muncul demikian saja. Dia harus direncanakan. Ambil contoh
berikut. Jika kita membangun sebuah rumah, maka pintu rumah kita harus dilengkapi dengan
kunci pintu. Jika kita terlupa memasukkan kunci pintu pada budget perencanaan rumah, maka
kita akan dikagetkan bahwa ternyata harus keluar dana untuk menjaga keamanan. Kalau rumah
kita hanya memiliki satu atau dua pintu, mungkin dampak dari budget tidak seberapa.
Bayangkan bila kita mendesain sebuah hotel dengan 200 kamar dan lupa membudgetkan kunci
pintu. Dampaknya sangat besar. Demikian pula di sisi pengamanan sebuah sistem informasi.
Jika tidak kita budgetkan di awal, kita akan dikagetkan dengan kebutuhan akan adanya
perangkat pengamanan (firewall, Intrusion Detection System, anti virus,
DissasterRecoveryCenter, dan seterusnya). Meskipun sering terlihat sebagai besaran yang tidak
dapat langsung diukur dengan uang (intangible), keamanan sebuah sistem informasi sebetulnya
dapat diukur dengan besaran yang dapat diukur dengan uang (tangible). Dengan adanya ukuran
yang terlihat, mudah-mudahan pihak manajemen dapat mengerti pentingnya investasi di bidang
keamanan.
Berikut ini adalah berapa contoh kegiatan yang dapat kita lakukan :
Hitung kerugian apabila sistem informasi kita tidak bekerja selama 1 jam, selama 1 hari, 1
minggu, dan 1 bulan. (Sebagai perbandingkan, bayangkan jika server Amazon.comtidak dapat
diakses selama beberapa hari. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.)
Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi anda. Misalnya
web site anda mengumumkan harga sebuah barang yang berbeda dengan harga yang ada di
toko kita.
Hitung kerugian apabila ada data yang hilang.
Misalnya berapa kerugian yang diderita apabila daftar pelanggan dan invoice hilang dari sistem
kita. Berapa biaya yang dibutuhkan untuk rekonstruksi data.
Apakah nama baik perusahaan kita merupakan sebuah hal yang harus dilindungi?
Bayangkan bila sebuah bank terkenal dengan rentannya pengamanan data-datanya, bolak-balik
terjadi security incidents. Tentunya banyak nasabah yang pindah ke bank lain karena takut akan
keamanan uangnya. Pengelolaan terhadap keamanan dapat dilihat dari sisi pengelolaan resiko
(risk management). Lawrie Brown dalam menyarankan menggunakan Risk Management Model
untuk menghadapi ancaman (managing threats). Ada tiga komponen yang memberikan
kontribusi kepada Risk, yaitu Asset, Vulnerabilities, dan Threats.
Nama Komponen Contoh & Keterangan Lebih Lanjut
Asset (Aset)
Hardware

 Software
Dokumentasi
Data
Komunikasi
Lingkungan
Manusia
Threats (Ancaman)
Pemakai (Users)
Teroris
Kecelakaan (Accidents)
Crackers
Penjahat Kriminal
Nasib (Acts Of God)
Intel Luar Negeri (Foreign Intelligence)
Vulnerability (Kelemahan)
Software Bugs
Hardware Bugs
Radiasi (dari layar, transmisi)
Tapping, Crosstalk
Unauthorized Users
Cetakan, Hardcopy
Keteledoran (Oversight)
Cracker via telepon

 Strorage media
Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut
countermeasures yang dapat berupa :
Usaha untuk mengurangi Threat
Usaha untuk mengurangi Vulnerability
Usaha untuk mengurangi impak (impact)
Mendeteksi kejadian yang tidak bersahabat (hostile event)
Kembali (recover) dari kejadian
MeningkatnyaMeningkatnya Kejahatan Komputer
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem
informasi, akan terus meningkat dikarenakan beberapa hal, antara lain :
Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan komputer
semakin meningkat.
Sebagai contoh saat ini mulai bermunculan aplikasibisnis seperti on-line banking, electronic
commerce (e-commerce), Electronic DataInterchange (EDI), dan masih banyak lainnya. Bahkan
aplikasi e-commerce akan menjadi salah satu aplikasi pemacu di Indonesia (melalui Telematika
Indonesia dan Nusantara 21). Demikian pula di berbagai penjuru dunia aplikasi ecommerce
terlihat mulai meningkat.
Desentralisasi (dan distributed) server menyebabkan lebih banyak sistem yang harus ditangani.
Hal ini membutuhkan lebih banyak operator dan administrator yang handal yang juga
kemungkinan harus disebar di seluruh lokasi. Padahal mencari operator dan administrator yang
handal adalah sangat sulit, apalagi jika harus disebar di berbagai tempat. Akibat dari hal ini
adalah biasanya server-server di daerah (bukan pusat) tidak dikelola dengan baik sehingga lebih
rentan terhadap serangan. Seorang cracker akan menyerang server di daerah lebih dahulu
sebelum mencoba menyerang server pusat. Setelah itu dia akan menyusup melalui jalur
belakang. (Biasanya dari daerah / cabang ke pusat ada routing dan tidak dibatasi dengan
firewall.)
Transisi dari single vendor ke multi-vendor
Sehingga lebih banyak sistem atau perangkat yang harus dimengerti dan masalah
interoperability antar vendor yang lebih sulit ditangani. Untuk memahami satu jenis perangkat
dari satu vendor saja sudah susah, apalagi harus menangani berjenis-jenis perangkat.

Bayangkan, untuk router saja sudah ada berbagai vendor; Cisco, Juniper Networks, Nortel,
Linux-based router, BSDbased router, dan lain-lain. Belum lagi jenis sistem operasi (operating
system) dari server, seperti Solaris (dengan berbagai versinya), Windows (NT, 2000, 2003),
Linux (dengan berbagai distribusi), BSD (dengan berbagai variasinya mulai dari FreeBSD,
OpenBSD, NetBSD). Jadi sebaiknya tidak menggunakan variasi yang terlalu banyak.
Meningkatnya kemampuan pemakai di bidang komputer
Sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang
digunakanny (atau sistem milik orang lain). Jika dahulu akses ke komputer sangat sukar, maka
sekarang komputer sudah merupakan barang yang mudah diperoleh dan banyak dipasang di
sekolah serta rumah-rumah.
Mudahnya diperoleh software untuk menyerang komputer dan jaringan komputer.
Banyak tempat di Internet yang menyediakan software yang langsung dapat diambil (download)
dan langsung digunakan untuk menyerang dengan Graphical User Interface (GUI) yang mudah
digunakan. Beberapa program, seperti SATAN, bahkanhanya membutuhkan sebuah web
browser untuk menjalankannya. Sehingga, seseorangyang hanya dapat menggunakan web
browser dapat menjalankan program penyerang(attack). Penyerang yang hanya bisa
menjalankan program tanpa mengerti apamaksudnya disebut dengan istilah script kiddie.
Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi
yang sangat cepat.
Hukum yang berbasis ruang dan waktu akan mengalami kesulitan untuk mengatasi masalah
yang justru terjadi pada sebuah system yang tidak memiliki ruang dan waktu. Barang bukti digital
juga masih sulit diakui oleh pengadilan Indonesia sehingga menyulitkan dalam pengadilan.
Akibatnya pelaku kejahatan cyber hanya dihukum secara ringan sehingga ada kecenderungan
mereka melakukan hal itu kembali.
Semakin kompleksnya sistem yang digunakan,
Seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar
probabilitas terjadinya lubang keamanan (yang disebabkan kesalahan pemrograman, bugs).
Klasifikasi Kejahatan Komputer
Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai ke yang hanya
mengesalkan (annoying). Menurut David Icove berdasarkan lubang keamanan, dapat
diklasifikasikan menjadi empat, yaitu :
1. Keamanan yang bersifat fisik (physical security)

Termasuk akses orang ke gedung, peralatan, dan media yang digunakan. Beberapa bekas
penjahat komputer (crackers) mengatakan bahwa mereka sering pergi ke tempat sampah untuk
mencari berkas-berkas yang mungkin memiliki informasi tentang keamanan. Misalnya pernah
diketemukan coretan password atau manual yang dibuang tanpa dihancurkan. Wiretapping atau
hal-hal yang berhubungan dengan akses ke kabel atau computer yang digunakan juga dapat
dimasukkan ke dalam kelas ini. Pencurian komputer dan notebook juga merupakan kejahatan
yang besifat fisik. Menurut statistik, 15% perusahaan di Amerika pernah kehilangan notebook.
Padahal biasanya notebook ini tidak dibackup (sehingga data-datanya hilang), dan juga
seringkali digunakan untuk menyimpan data-data yang seharusnya sifatnya confidential
(misalnya pertukaran email antar direktur yang menggunakan notebook tersebut).
Denial of service, yaitu akibat yang ditimbulkan sehingga servis tidak dapat diterima oleh
pemakai juga dapat dimasukkan ke dalam kelas ini. Denial of service dapat dilakukan misalnya
dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan (yang
dapat berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan). Beberapa
waktu yang lalu ada lubang keamanan dari implementasi protokol TCP/IP yang dikenal dengan
istilah Syn Flood Attack, dimana sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia
menjadi terlalu sibuk dan bahkan dapat berakibat macetnya sistem (hang). Mematikan jalur listrik
sehingga sistem menjadi tidak berfungsi juga merupakan serangan fisik. Masalah keamanan fisik
ini mulai menarik perhatikan ketika gedung WorldTradeCenter yang dianggap sangat aman
dihantam oleh pesawat terbang yang dibajak oleh teroris. Akibatnya banyak sistem yang tidak
bisa hidup kembali karena tidak diamankan. Belum lagi hilangnya nyawa.
2. Keamanan yang berhubungan dengan orang (personel)
Termasuk identifikasi, dan profil resiko dari orang yang mempunyai akses (pekerja). Seringkali
kelemahan keamanan sistem informasi bergantung kepada manusia (pemakai dan pengelola).
Ada sebuah teknik yang dikenal dengan istilah social engineering yang sering digunakan oleh
kriminal untuk berpura-pura sebagai orang yang berhak mengakses informasi. Misalnya kriminal
ini berpura-pura sebagai pemakai yang lupa passwordnya dan minta agar diganti menjadi kata
lain.
3. Keamanan dari data dan media serta teknik komunikasi (communications).
Yang termasuk di dalam kelas ini adalah kelemahan dalam software yang digunakan untuk
mengelola data. Seorang kriminal dapat memasang virus atau trojan horse sehingga dapat
mengumpulkan informasi (seperti password) yang semestinya tidak berhak diakses. Bagian ini
yang akan banyak kita bahas dalam buku ini.
4. Keamanan dalam operasi
Termasuk kebijakan (policy) dan prosedur yang digunakan untuk mengatur dan mengelola
sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery).
Seringkali perusahaan tidak memiliki dokumen kebijakan dan prosedur.

Aspek / Service Dari Keamanan (Security)

Garfinkel mengemukakan bahwa keamanan komputer (computer security) melingkupi empat
aspek, yaitu privacy, integrity, authentication, dan availability.
1. Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang
yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan
confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan
tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan
untuk keperluan tertentu tersebut. Contoh hal yang berhubungan dengan privacy adalah e-mail
seorang pemakai (user) tidak boleh dibaca oleh administrator.
Contoh confidential information adalah data-data yang sifatnya pribadi (seperti nama, tempat
tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita,
nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin diproteksi penggunaan dan
penyebarannya. Contoh lain dari confidentiality adalah daftar pelanggan dari sebuah Internet
Service Provider (ISP). Untuk mendapatkan kartu kredit, biasanya ditanyakan data-data pribadi.
Jika saya mengetahui data-data pribadi anda, termasuk nama ibu anda, maka saya dapat
melaporkan melalui telepon (dengan berpura-pura sebagai anda) bahwa kartu kredit anda hilang
dan mohon penggunaannya diblokir. Institusi (bank) yang mengeluarkan kartu kredit anda akan
percaya bahwa saya adalah anda dan akan menutup kartu kredit anda. Masih banyak lagi
kekacauan yang dapat ditimbulkan bila data-data pribadi ini digunakan oleh orang yang tidak
berhak. Ada sebuah kasus dimana karyawan sebuah perusahaan dipecat dengan tidak hormat
dari perusahaan yang bersangkutan karena kedapatan mengambil data-data gaji karyawan di
perusahaan yang bersangkutan. Di perusahaan ini, daftar gaji termasuk informasi yang bersifat
confidential /rahasia.
2. Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya
virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh
masalah yang harus dihadapi. Sebuah e-mail dapat saja ditangkap (intercept) di tengah jalan,
diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju. Dengan
kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature,
misalnya, dapat mengatasi masalah ini.
Salah satu contoh kasus trojan horse adalah distribusi paket program TCP Wrapper (yaitu
program populer yang dapat digunakan untuk mengatur dan membatasi akses TCP/IP) yang
dimodifikasi oleh orang yang tidak bertanggung jawab. Jika anda memasang program yang berisi
trojan horse tersebut, maka ketika anda merakit (compile) program tersebut, dia akan
mengirimkan eMail kepada orang tertentu yang kemudian memperbolehkan dia masuk ke sistem
anda. Informasi ini berasal dari CERT Advisory, CA-99-01 Trojan-TCP-Wrappers yang
didistribusikan 21 Januari 1999.

Contoh serangan lain adalah yang disebut man in the middle attack dimana seseorang
menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.
3. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betulbetul asli, orang
yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau
server yang kita hubungi adalah betul-betul server yang asli.
Masalah pertama, membuktikan keaslian dokumen, dapat dilakukan dengan teknologi
watermarking dan digital signature. Watermarking juga dapat digunakan untuk menjaga
intelectual property, yaitu dengan menandai dokumen atau hasil karya dengan tanda tangan
pembuat.
Masalah kedua biasanya berhubungan dengan access control, yaitu berkaitan dengan
pembatasan orang yang dapat mengakses informasi. Dalam hal ini pengguna harus
menunjukkan bukti bahwa memang dia adalah pengguna yang sah, misalnya dengan
menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya. Ada tiga hal yang dapat
ditanyakan kepada orang untuk menguji siapa dia :
What you have (misalnya kartu ATM)
What you know (misalnya PIN atau password)
What you are (misalnya sidik jari, biometric)
Penggunaan teknologi smart card, saat ini kelihatannya dapat meningkatkan keamanan aspek
ini. Secara umum, proteksi authentication dapat menggunakan digital certificates. Authentication
biasanya diarahkan kepada orang (pengguna), namun tidak pernah ditujukan kepada server atau
mesin. Pernahkan kita bertanya bahwa mesin ATM yang sedang kita gunakan memang benarbenar milik bank yang bersangkutan?
Bagaimana jika ada orang nakal yang membuat mesin seperti ATM sebuah bank dan
meletakkannya di tempat umum? Dia dapat menyadap data-data (informasi yang ada di
magnetic strip) dan PIN dari orang yang tertipu. Memang membuat mesin ATM palsu tidak
mudah. Tapi, bisa anda bayangkan betapa mudahnya membuat web site palsu yang menyamar
sebagai web site sebuah bank yang memberikan layanan Internet Banking. (Ini yang terjadi
dengan kasus klikBCA.com.)
4. Availability
Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika
dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan
akses ke informasi. Contoh hambatan adalah serangan yang sering disebut dengan denial of
service attack (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubitubi

atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau
bahkan sampai down, hang, crash. Contoh lain adalah adanya mailbomb, dimana seorang
pemakai dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga
sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya (apalagi jika
akses dilakukan melalui saluran telepon).
Pentingnya Akses Kontrol
Bagi para profesional keamanan sistem/teknologi informasi, perhatian harus diberikan pada
kebutuhan akses kontrol dan metode-metode implementasinya untuk menjamin bahwa sistem
memenuhi availability (ketersediaan), confidentiality (kerahasiaan), dan integrity (integritas).
Dalam komputer jaringan, juga diperlukan pemahaman terhadap penggunaan akses kontrol
pada arsitektur terdistribusi dan terpusat. Melakukan kontrol akses pada sistem informasi dan
jaringan yang terkait juga merupakan hal penting untuk menjaga confidentiality, integrity, dan
availability.Confidentiality atau kerahasiaan memastikan bahwa informasi tidak terbuka ke
individu, program atau proses yang tidak berhak. Beberapa informasi mungkin lebih sensitive
dibandingkan informasi lainnya dan memerlukan level kerahasiaan yang lebih tinggi. Mekanisme
kontrol perlu ditempatkan untuk mendata siapa yang dapat mengakses data dan apa yang orang
dapat lakukan terhadapnya saat pertama kali diakses. Aktivitas tersebut harus dikontrol, diaudit,
dan dimonitor. Beberapa tipe informasi yang dipertimbangkan sebagai informasi rahasia adalah
misalnya catatan kesehatan, informasi laporan keuangan, catatan kriminal, kode sumber
program, perdagangan rahasia, dan rencana taktis militer. Sedangkan beberapa mekanisme
yang memebrikan kemampuan kerahasiaan sebagai contoh yaitu enkripsi, kontrol akses fisikal
dan logikal, protokol transmisi, tampilan database, dan alur trafik yang terkontrol. Bagi suatu
institusi (skala besar, menengah maupun kecil), adalah merupakan hal penting untuk
mengidentifikasi data dan kebutuhan-kebutuhan yang terklasifikasi sehingga dapat dipastikan
bahwa suatu peringkat prioritas akan melindungi data dan informasi serta terjaga
kerahasiaannya. Jika informasi tidak terklasifikasi maka akan diperlukan banyak waktu dan biaya
yang dikeluarkan saat mengimplementasikan besaran yang sama pada tingkat keamanan untuk
informasi kritis maupun informasi tidak penting. Integritas memiliki tujuan mencegah modifikasi
pada informasi oleh user yang tidak berhak, mencegah modifikasi yang tidak sengaja atau tidak
berhak pada informasi oleh orang yang tidak berkepentingan, dan menjaga konsistensi internal
maupun eksternal. Konsistensi internal memastikan bahwa data internal selalu konsisten.
Misalnya, diasumsikan sebuah database internal memiliki jumlah unit suatu komponen tertentu
pada tiap bagian suatu organisasi. Jumlah bilangan dari komponen di tiap bagian tersebut harus
sama dengan jumlah bilangan komponen pada database yang terekam secara internal pada
keseluruhan organisasi. Konsistensi eksternal menjamin bahwa data yang tersimpan pada
database konsisten dengan fisiknya. Sebagai contoh dari konsistensi internal di atas, konsistensi
eksternal berarti bahwa besarnya komponen yang tercatat pada database untuk setiap bagian
adalah sama dengan banyaknya komponen secara fisik di tiap bagian tersebut. Informasi juga
harus akurat, lengkap, dan terlindungi dari modifikasi yang tidak berhak. Ketika suatu mekanisme
keamanan memberikan integritas, ia akan melindungi data dari perubahan yang tidak lazim, dan
jika memang terjadi juga modifikasi ilegal pada data tersebut maka mekanisme keamanan harus
memperingatkan user atau membatalkan modifikasi tersebut. Availability (ketersediaan)

memastikan bahwa untuk user yang berhak memakai sistem, memiliki waktu dan akses yang
bebas gangguan pada informasi dalam sistem. Informasi,sistem, dan sumberdaya harus tersedia
untuk user pada waktu diperlukan sehingga produktifitas tidak terpengaruh. Kebanyakan
informasi perlu untuk dapat diakses dan tersedia bagi user saat diminta sehingga mereka dapat
menyelesaikan tugas-tugas dan memenuhi tanggung jawab pekerjaan mereka. Melakukan akses
pada informasi kelihatannya tidak begitu penting hingga pada suatu saat informasi tersebut tidak
dapat diakses. Administrator sistem mengalaminya saat sebuah file server mati atau sebuah
database yang pemakaiannya tinggi tiba-tiba rusal untuk suatu alasan dan hal lainnya. Fault
tolerance dan mekanisme pemulihan digunakan untuk menjamin
kontinuitas ketersediaan sumberdaya. Produktifitas user dapat terpengaruh jika data tidak siap
tersedia. Informasi memiliki atribut-atribut yang berbeda seperti akurasi, relevansi, sesuai waktu,
privacy, dan keamanan. Mekanisme keamanan yang berbeda dapat memberikan tingkat
kerahasiaan, integritas, dan ketersediaan yang berbeda pula. Lingkungan, klasifikasi data yang
dilindungi, dan sasaran keamanan perlu dievaluasi untuk menjamin mekanisme keamanan yang
sesuai dibeli dan digunakan sebagaimana mestinya. Tujuan kontrol akses lainnya adalah
reliability dan utilitas. Tujuan-tujuan tersebut mengalir dari kebijakan keamanan suatu organisasi.
Kebijakan ini merupakan pernyataan tingkat tinggi dari pihak manajemen berkaitan dengan
kontrol pada akses suatu informasi dan orang yang berhak menerima informasi tersebut. Tiga
hal lainnya yang patut dipertimbangkan untuk perencanaan dan implementasi mekanisme kontrol
akses adalah ancaman pada sistem (threats), kerawanan sistem pada ancaman (vulnerabilities),
dan resiko yang ditimbulkan oleh ancaman tersebut. Ancaman (threats) adalah suatu kejadian
atau aktivitas yang memiliki potensi untuk menyebabkan kerusakan pada sistem informasi atau
jaringan. Kerawanan (vulnerabilities) adalah kelemahan atau kurangnya penjagaan yang dapat
dimanfaatkan oleh suatu ancaman, menyebabkan kerusakan pada sistem informasi atau
jaringan. Sedangkan resiko adalah potensi kerusakan atau kehilangan pada sistem informasi
atau jaringan; kemungkinan bahwa ancaman akan terjadi.
Penjelasan Akses Kontrol
Akses kontrol merupakan fitur-fitur keamanan yang mengontrol bagaimana user dan sistem
berkomunikasi dan berinteraksi dengan sistem dan sumberdaya lainnya. Akses control
melindungi sistem dan sumberdaya dari akses yang tidak berhak dan umumnya menentukan
tingkat otorisasi setelah prosedur otentikasi berhasil dilengkapi.
Akses adalah aliran informasi antara subjek dan objek. Sebuah subjek merupakan entitas aktif
yang meminta akses ke suatu objek atau data dalam objek tersebut. Sebuah subjek dapat
berupa user, program, atau proses yang mengakses informasi untuk menyelesaikan suatu tugas
tertentu. Ketika sebuah program mengakses sebuah file, program menjadi subjek dan filemenjadi
objek. Objek adalah entitas pasif yang mengandung informasi. Objek bisa sebuah komputer,
database, file, program komputer, direktori, atau field pada tabel yang berada di dalam database.
Kontrol akses adalah sebuah term luas yang mencakup beberapa tipe mekanisme berbeda yang
menjalankan fitur kontrol akses pada sistem komputer, jaringan, dan informasi. Kontrol akses
sangatlah penting karena menjadi satu dari garis pertahanan pertama yang digunakan untuk

menghadang akses yang tidak berhak ke dalam sistem dan sumberdaya jaringan. Saat user
diminta memasukan username dan password hal ini disebut dengan control akses. Setelah user
log in dan kemudian mencoba mengakses sebuah file, file ini dapat memiliki daftar user dan grup
yang memiliki hak akses ke file tersebut. Jika user tidak termasuk dalam daftar maka akses akan
ditolak. Hal itu sebagai bentuk lain dari kontrol akses. Hak dan ijin user adalah berdasarkan
identitas, kejelasan, dan atau keanggotaan suatu grup. Kontrol akses memberikan organisasi
kemampuan melakukan kontrol, pembatasan, monitor, dan melindungi ketersediaan, integritas,
dan kerahasiaan sumberdaya. Kontrol diimplementasikan untuk menanggulangi resiko dan
mengurangi potensi kehilangan. Kontrol dapat bersifat preventif, detektif, atau korektif. Kontrol
preventif dipakai untuk mencegah kejadian-kejadian yang merusak. Kontrol detektif diterapkan
untuk menemukan kejadian-kejadian yang merusak. Kontrol korektif digunakan untuk
memulihkan sistem yang menjadi korban dari serangan berbahaya. Untuk menerapkan ukuranukuran tersebut, kontrol diimplementasikan secara administratif, logikal atau teknikal, dan fisikal.
Kontrol administratif termasuk kebijakan dan prosedur, pelatihan perhatian terhadap keamanan,
pemeriksaan latar belakang, pemeriksaan kebiasaan kerja, tinjauan riwayat hari libur, dan
supervisi yang ditingkatkan. Kontrol logikal atau teknikal mencakup pembatasan akses ke sistem
dan perlindungan informasi. Contoh kontrol pada tipe ini adalah enkripsi, smart cards, daftar
kontrol akses, dan protokol transmisi. Sedangkan kontrol fisikal termasuk penjagaan dan
keamanan bangunan secara umum seperti penguncian pintu, pengamanan ruang server atau
laptop, proteksi kabel, pemisahan tugas kerja, dan backup data. Kontrol fisikal merupakan
penempatan penjaga dan bangunan secara umum, seperti penguncian pintu, pengamanan
ruang server atau laptop, perlindungan pada kabel, pembagian tanggung jawab, dan backup file.
Model Kontrol Akses
Penerapan akses kontrol pada subjek sistem (sebuah entitas aktif seperti individu atau proses)
terhadap objek sistem (sebuah entitas pasif seperti sebuah file) berdasarkan aturan (rules).
Model kontrol akses merupakan sebuah framework yang menjelaskan bagaimana subjek
mengakses objek. Model ini menggunakan teknologi kontrol akses dan mekanisme sekuriti untuk
menerapkan aturan dan tujuan suatu model. Ada tiga tipe utama model kontrol akses yaitu
mandatory, discretionary, dan nondiscretionary (sering disebut juga role-based). Tiap tipe model
memakai metode berbeda untuk mengkontrol bagaimana subjek mengakses objek dan
mempunyai kelebihan serta keterbatasan masing-masing. Tujuan bisnis dan keamanan dari
suatu organisasi akan membantu menjelaskan model kontrol akses mana yang sebaiknya
digunakan, bersamaan dengan budaya perusahaan dan kebiasaan menjalankan bisnisnya.
Beberapa model dipakai secara ekslusif dan kadang-kadang model tersebut dikombinasikan
sehingga mampu mencapai tingkat keperluan kemanan lingkungan yang dibutuhkan.
Aturan pada akses kontrol diklasifikasikan menjadi :
Mandatory access control
Otorisasi suatu akses subjek terhadap objek bergantung pada label, dimana label ini
menunjukan ijin otorisasi suatu subjek dan klasifikasi atau sensitivitas dari objek.

Misalnya, pihak militer mengklasifikasikan dokumen sebagai unclassified, confidential, secret,

dan top secret. Untuk hal yang sama, individu dapat menerima ijin otorisasi tentang confidential,
secret, atau top secret dan dapat memiliki akses ke dokumen bertipe classified atau tingkatan di
bawah status ijin otorisasinya. Sehingga individu dengan ijin otorisasi secret dapat mengakses
tingkatan secret dan confidential dokumen dengan suatu batasan. Batasan ini adalah bahwa
individu memiliki keperluan untuk mengetahui secara relatif classified dokumen yang dimaksud.
Meskipun demikian dokumen yang dimaksud harus benar-benar diperlukan oleh individu
tersebut untuk menyelesaikan tugas yang diembannya. Bahkan jika individu memiliki ijin otorisasi
untuk tingkat klasifikasi suatu informasi, tetapi tidak memiliki keperluan untuk mengetahui maka
individu tersebut tetap tidak boleh mengakses informasi yang diinginkannya. Pada model
mandatory access control, user dan pemilik data tidak memiliki banyak kebebasan untuk
menentukan siapa yang dapat mengakses file-file mereka. Pemilik data dapat mengijinkan pihak
lain untuk mengakses file mereka namun operating system (OS) yang tetap membuat keputusan
final dan dapat membatalkan kebijakan dari pemilik data. Model ini lebih terstruktur dan ketat
serta berdasarkan label keamanan sistem. User diberikan ijin otorisasi dan data diklasifikasikan.
Klasifikasi disimpan di label sekuriti pada sumber daya. Klasifikasi label menentukan tingkat
kepercayaan user yang harus dimiliki untuk dapat mengakses suatu file. Ketika sistem membuat
keputusan mengenai pemenuhan permintaan akses ke suatu objek, keputusan akan didasarkan
pada ijin otorisasi subjek dan klasifikasi objek. Aturan-aturan bagaimana subjek mengakses data
dibuat oleh manajemen, dikonfigurasikan oleh administrator, dijalankan oleh operating system,
dan didukung oleh teknologi sekuriti.
Discretionary access control
Subjek memiliki otoritas, dengan batasan tertentu, untuk menentukan objek-objek apa yang
dapat diakses. Contohnya adalah penggunaan daftar kontrol akses (access control list). Daftar
kontrol akses merupakan sebuah daftar yang menunjuk user-user mana yang memiliki hak ke
sumber daya tertentu. Misalnya daftar tabular akan menunjukan subjek atau user mana yang
memiliki akses ke objek (file x) dan hak apa yang mereka punya berkaitan dengan file x tersebut.
Kontrol akses triple terdiri dari user, program, dan file dengan hubungan hak akses terkait
dengan tiap user. Tipe kontrol akses ini digunakan secara lokal, dan mempunyai situasi dinamis
dimana subjek-subjek harus memiliki pemisahan untuk menentukan sumber daya tertentu yang
user diijinkan untuk mengakses. Ketika user dengan batasan tertentu memiliki hak untuk
merubah kontrol akses ke objek-objek tertentu, hal ini disebut sebagai user-directed discretionary
access control.
Sedangkan kontrol akses berbasis identitas (identity-based access control) adalah tipe kontrol
akses terpisah berdasarkan identitas suatu individu.
Dalam beberapa kasus, pendekatan hybrid juga digunakan, yaitu yang mengkombinasi-kan fiturfitur user-based dan identity-based discretionary access control. Jika user membuat suatu file,
maka ia merupakan pemilik file tersebut. Kepemilikan juga bisa diberikan kepada individu
spesifik. Misalnya, seorang manager pada departemen tertentu dapat membuat kepemilikan
suatu file dan sumber daya dalam domain-nya. Pengenal untuk user ini ditempatkan pada file

header. Sistem yang menerapkan model discretionary access control memungkinkan pemilik
sumber daya untuk menentukan subjek-subjek apa yang dapat mengakses sumber daya
spesifik. Model ini dinamakan discretionary karena kontrol akses didasarkan pada pemisahan
pemilik. Pada model ini, akses dibatasi berdasarkan otorisasi yang diberikan pada user. Ini
berarti bahwa subjek-subjek diijinkan untuk menentukan tipe akses apa yang dapat terjadi pada
objek yang mereka miliki. Jika organisasi menggunakan model discretionary access control,
administrator jaringan dapat mengijinkan pemilik sumber daya mengkontrol siapa yang dapat
mengakses file/sumber daya tersebut.
Implemetasi umum dari discretionary access control adalah melalui access control list yang
dibuat oleh pemilik, diatur oleh administrator jaringan, dan dijalankan oleh operating system.
Dengan demikian kontrol ini tidak termasuk dalam lingkungan terkontrol terpusat dan dapat
membuat kemampuan user mengakses informasi secara dinamis, kebalikan dari aturan yang
lebih statis pada mandatory access control.
Non-Discretionary access control
Otoritas sentral menentukan subjek-subjek apa yang mempunyai akses ke objekobjek tertentu
berdasarkan kebijakan keamanan organisasi. Kontrol akses bisa berdasarkan peran individu
dalam suatu organisasi (role-based) atau tanggung jawab subjek dan tugasnya (task-based).
Dalam organisasi dimana sering terdapat adanya perubahan/pergantian personel,
nondiscretionary access control merupakan model yang tepat karena kontrol akses didasarkan
pada peran individu atau jabatan dalam suatu organisasi. Kontrol akses ini tidak perlu dirubah
saat individu baru masuk menggantikan individu lama. Tipe lain dari non-discretionary access
control adalah kontrol akses lattice-based. Dalam model lattice (lapis tingkatan), terdapat
pasangan-pasangan elemen yang memiliki batas tertinggi terkecil dari nilai dan batas terendah
terbesar dari nilai. Untuk menerapkan konsep kontrol akses ini, pasangan elemen adalah subjek
dan objek, dan subjek memiliki batas terendah terbesar serta batas tertinggi terkecil untuk hak
akses pada suatu objek.
Selain itu terdapat model role-based access control yang juga sebagai nondiscretionary access
control. Model ini menerapkan seperangkat aturan terpusat pada kontrol untuk menentukan
bagaimana subjek dan objek berinteraksi. Tipe model ini mengijinkan akses ke sumber daya
berdasarkan peran yang user tangani dalam suatu organisasi. Administrator menempatkan user
dalam peran dan kemudian memberikan hak akses pada peran tersebut.peran dan kelompok
merupakan hal berbeda meskipun mereka mempunyai tujuan yang sama. Mereka bekerja
sebagai penampungan untuk para user. Perusahaan mungkin memiliki kelompok auditor yang
terdiri dari beberapa user yang berbeda. Para user ini dapat menjadi bagian suatu kelompok lain
dan biasanya memiliki hak individunya masing-masing serta ijin yang diberikan kepada mereka.
Jika perusahaan menerapkan peran, tiap user yang ditugaskan pada peran tertentu yang hanya
memiliki hak pada peran tersebut. Hal ini menjadikan kontrol yang lebih ketat

https://rumahradhen.wordpress.com/materi-kuliahku/semester-ii/sistemkeamanan-komputer/pengantar-sistem-keamanan-komputer/