Anda di halaman 1dari 42

KEAMANAN SISTEM

IMPLEMENTASI KEBIJAKAN
KEAMANAN
#Agenda
• Kebijakan Keamanan
• Perbedaan antara Kebijakan,
Standar, Panduan, dan Prosedur
• Hubungan antara Service dengan
Teknologi Pendukung
Pentingnya Perencanaan
Kebijakan Keamanan
• Kebijakan keamanan merupakan dasar dari
implementasi kebijakan keamanan TI
• Perencanaan terhadap kebijakan keamanan
harus dilakukan dengan baik
• Kebijakan keamanan harus direncanakan dari
awal
• Kebijakan keamanan harus dikembangkan untuk
menjamin bahwa semua komponen keamanan
akan berfungsi dengan baik untuk mencapai
tujuan yang sama
Pendukung Kebijakan Keamanan

• Langkah selanjutnya adalah pengembangan dan


implementasi prosedur, standar, dan petunjuk
yang mendukung kebijakan keamanan
• Kebijakan keamanan diimplementasikan
menggunakan pendekatan atas bawah
• Inisiasi, dukungan, serta arahan datang dari
manajemen tingkat atas yang diturunkan ke
manajemen di bawahnya dilanjutkan ke seluruh
karyawan perusahaan
• Implementasi kebijakan keamanan bisa
berjalan dengan baik apabila didukung
oleh seluruh komponen perusahaan
• Untuk menjamin dukungan dari seluruh
komponen perusahaan, maka kebijakan
keamanan didukung oleh kebijakan,
standar, panduan, dan prosedur
Perbedaan antara Kebijakan,
Standar, Panduan, dan Prosedur
• Kebijakan adalah pernyataan tertulis yang
dibuat oleh manajemen senior yang
menjadi elemen dasar bagi penerapan
kebijakan keamanan
• Standar merupakan penggunaan
metodologi yang seragam untuk perangkat
keras dan perangkat lunak dengan
teknologi tertentu
– Standar merujuk kepada standarisasi, dimana
perusahaan dapat menerapkan metodologi
yang seragam yang digunakan untuk kontrol
keamanan dan bersifat wajib untuk
dilaksanakan
• Panduan merupakan rekomendasi dari
tindakan maupun operasional yang
ditujukan kepada pengguna
– Panduan ini mengacu pada metodologi yang
digunakan oleh perusahaan dan bersifat tidak
wajib untuk dilaksanakan
– Panduan ini dapat digunakan sebagai suatu
cara untuk mengembangkan standar
• Prosedur merupakan langkah-langkah
detail yang perlu diikuti untuk
melaksanakan tugas-tugas tertentu
– Tujuan dari implementasi prosedur adalah
menyediakan langkah detail yang dilakukan
oleh setiap orang dalam
mengimplementasikan kebijakan, standar,
dan panduan yang telah dibuat sebelumnya
• Baseline merupakan tingkat terendah dari
keamanan dan dibutuhkan sebelum
arsitektur keamanan dikembangkan
– Biasanya baseline digunakan sebagai acuan
bagi pembuatan standar
Contoh Hubungan antara Kebijakan,
Standar, Panduan dan Prosedur
• Kebijakan: Semua perangkat keras dan
perangkat lunak yang digunakan harus didukung
oleh pihak ketiga yang kompeten dalam
pembangunan sistem dan pemeliharaan
• Standar: Sistem operasi untuk semua klien dan
server adalah Microsoft Windows XP
• Panduan: Untuk mendukung keamanan sistem,
sebaiknya disable fungsi ActiveX pada aplikasi
IE Anda
• Prosedur: Untuk men-disable program ActiveX
pada IE6:
– Buka program Internet Explorer
– Pilih menu Tools, pilih Internet Options
– Pilih Tab Security, pilih menu Custom Level
– Disable semua pilihan pada setting ActiveX control
and setting
• Baseline: Sistem operasi untuk semua klien
minimal adalah Microsoft Windows 98, dan
untuk server adalah Microsoft Windows 2003
Prinsip-prinsip Disain Arsitektur
Keamanan
• Ketika sebuah dokumen kebijakan keamanan
sudah terbentuk, langkah berikutnya yang harus
dilakukan adalah melakukan implementasi
keamanan berdasarkan kebijkan yang sudah
dibuat.
• Untuk lebih mengarahkan dam memudahkan
dalam proses implementasi kemanan perlu
dirancang sebuah arsitektur keamanan yang
menentukan bentuk dari implementasi.
• Berikut ini adalah beberapa contoh prinsip-
prinsip yang dapat dipakai dalam mendisain
sebuah arsitektur keamanan:
Prinsip 1: Level keamanan yang diterapkan terhadap
aset sebaiknya…… terhadap nilai aset tersebut terhadap
organisasi dan cukup mengurangi resiko pada level yang dapat
diterima.
• Keamanan adalah business enabler dengan sejumlah biaya-biaya
yang harus dikeluarkan. Biaya keamanan harus diseimbangkan
dengan keuntungan yang diharapkan.
• Alasan:
– Kebutuhan keamanan sangat bervariasi tergantung pada sistem
informasi, jenis dan jumlah koneksi ke sistem lain, sensitifitas data dan
kemungkinan gangguan.
– Setiap jenis transaksi akan memiliki kebutuhan keamanan masing-
masing.
– Biaya keamanan dapat meningkat melebihi nilai aset yang dilindungi.
Jangan terapkan metode keamanan lebih dari yang dibutuhkan.
Prinsip 2: Arsitektur harus dapat mengakomodasi
bermacam-macam kebutuhan keamanan.
• Variasi tingkat proteksi harus dapat didukung tanpa perlu
melakukan perubahan pada arsitektur keamanan.
• Alasan:
– Kebutuhan keamanan berbeda-beda biasanya tergantung pada
sifat komunikasi, sesitifitas informasi dan resiko perusahaan.
– Kebutuhan untuk keamanan berbeda-beda didalam dan antar
agensi.
– Keamanan memerlukan perubahan.
– Layanan-layanan keamanan harus cukup granular untuk
mengakomodasi tingkat yang berbeda dari jaminan yang
diperlukan, dan cukup dapat diperluas untuk memenuhi
kebuthan dimasa depan.
Prinsip 3: Arsitektur harus memberikan layanan
keamanan yang menyeluruh untuk memungkinkan
perusahaan melakukan bisnis elektronis yang aman.
• Perusahaan harus dapat melakukan bisnis secara
elektronis sambil memelihara ketersediaan,
kepercayaan, dan integritas informasi.
• Alasan:
– Biasanya perusahaan akan terus meningkatkan volume bisnis
berbasis elektronik. Transaksi ini harus aman.
– Dengan menyediakan layanan keamanan yang menyeluruh
memungkinkan pertumbuhan bisnis berbasis elektronik.
Prinsip 4: Sebuah sistem tunggal yang konsisten dan
akurat dalam waktu dan tanggal harus selalu
dipelihara dalam sebuah perusahaan.
• Sistem waktu dan tanggal yang tunggal, akurat dan
konsisten penting untuk semua fungsi keamanan dan
akuntabilitas.
• Alasan:
– Validitas dari tanda tangan digital dan transaksi elektronik
bergantung pada informasi tanggal dan waktu yang tepat, akurat
dan handal.
– Sistem pemeriksaan yang dapat dipertanggungjawabkan
bergantung pada menmpatkan kejadian-kejadian secara beruurt
berdasarkan tanggal dan waktu.
Security Goals, Services and
Technologies
Grafik berikut memperlihatkan hubungan antar tujuan-tujuan
keamanan
sebagai berikut:
1) Memelihara kerahasiaan,
2) Menjamin integritas data, sistem dan infrastruktur dan,
3) Menyediakan akses yang kontinu terhadap aset yang ada.

• Keamanan akan dapat dicapai melalui serangkaian lima layanan


yang dibawa oleh setiap sub fungsinya, standar dan teknologi yang
dibuthkan untuk mendukung ketiga tujuan.
• Setiap layanan yang berhasil diidentifikasi memiliki bagian dalam
arsitektur untuk menjelaskan komponen teknologi, bisnis praktis
yang paling baik, dan standar yang dipakai untuk mendukung
teknologi.
• Misi dari arsitektur keamanan adalah menyediakan
sebuah kerangka yang menjamin ketersediaan,
integritas, dan kerahasiaan informasi infrastruktur,
sistem dan data.
• Hal ini dicapai dengan menyediakan layanan
identification, authentication, authorization/access
control, administration, dan audit security dengan
menggunakan komponen teknologi, best practices,
panduan dan standar.
• Jadi arsitektur keamanan sebuah organisasi harus
dibangun berdasarkan layanan keamanan, komponen
teknologi, best practices, panduan dan standar.
• Layanan keamanan yang dipakai untuk melindungi infrastruktur informasi
adalah:

• Identification – Proses untuk membedakan satu pengguna dengan


pengguna yang lain.
• Authentication – Proses untuk melakukan verifikasi identitas seorang
pengguna.
• Authorization dan Access Control – Suatu cara untuk memberikan dan
memaksakan hak-hak pengguna.
• Administration –Proses untuk membentuk, mengelola dan memelihara
keamanan.
• Audit – Proses monitoring identification, authentication, authorization and
access control, and administration untuk menentukan apakah keamanan
sudah dengan tepat dilaksanakan dan dipelihara.

• Masing-masing layanan ini diberikan dengan melakukan implementasi dari


satu atau lebih komponen teknologi.
Gambar – Kerangka hubungan antara tujuan keamanan, layanan yang
disediakan dan teknologi.
TEKNOLOGI DAN BEST PRACTICE
UNTUK SETIAP LAYANAN
• Yang perlu diperhatikan pada bagian ini adalah
bahwa teknologi yang tercantum disini akan
senantiasa mengalami perubahan sesuai
dengan perkembangan teknologi yang ada.
• Layanan-layanan keamanan ini dapat diterapkan
bersama-sama dengan komponen teknologinya,
sekumpulan panduan best practice dan standar-
standar industri yang ada.
• Contoh pada layanan otentikasi, otorisasi dan
kontrol akses
Layanan Otentikasi
• Otentikasi adalah proses untuk menguji identitas
seorang pemakai.
• Otentikasi menjawab pertanyaan:”Apakah Anda
adalah yang Anda katakan?”.
• Otentikasi adalah cara untuk membentuk dan
melaksanakan hak-hak pemakai dan hak untuk
mengakses sumber daya tertentu.
• Transaksi e-bisnis memiliki kebutuhan yang
ketat untuk identikasi secara unik dan otentikasi
pengirim atau penerima dari informasi elektronik.
Komponen Teknologi Keamanan
Otentikasi
• Komponen-komponen teknologi yang dipakai
dalam otentikasi didasarkan pada standar yang
sudah ada dan yang akan berkembang.
• Implementasi yang berbeda, sekalipun standar
yang dipakai sama, dapat menciptakan dinding
terhadap solusi bagi enterprise.
• Agar infrastruktur keamanan enterprise dapat
berhasil, maka teknologi harus menggunakan
protokol dan standar yang terbuka dan
interoperable.
• Sehingga ketika solusi yang lengkap belum ada,
komponen-komponen dasar telah tersedia.
Komponen-komponen teknologi yang digunakan
dalam otentikasi adalah:
• Kriptografi
– Adalah teknologi yang dipakai untuk melindungi
kerahasiaan informasi.
– Kriptografi menggunakan algoritma untuk mengacak
(enkrip) dan menyusun ulang (dekrip) informasi
sedemikian hingga hanya pemegang kunci kriptografi
yang dapat mengekrip dan mendekrip informasi.
– Kunci kriptografi adalah sebuah string karakter
alphanumerik yang dipakai bersama-sama dengan
informasi sebagai masukan bagi algoritma kriptografi
• Teknologi Public Key/Private Key
– Otentikasi yang memerlukan identifikasi unik seorang pemakai
biasanya didasarkan pada kriptografi Public/Private Key.
– Bentuk kriptografi ini menggunakan dua kunci yang saling
berhubungan.
– Informasi yang dienkripsi dengan salah satu kunci hanya dapat
didekripsi dengan kunci satunya.
– Public key dibuat terbuka dan tersedia dalam sebuah repositori
untuk siapa saja yang ingin berkomunikasi dengan pemakai lain
secara aman.
– Sedangkan private key hanya disimpan oleh pemiliknya dan
tidak pernah dibocorkan.
– Karena hanya pemiliknya yang memiliki private key, maka
pemakaian key ini dianggap cukup untuk secara unik
mengotentikasi pemilik informasi.
• Public Key Certificate
– Public key seorang pengguna didistribusikan dengan
menggunakan dokumen elektronik yang disebut
Public Key Certificate.
– Sertifikasi ini berisi nama pengguna, public key,
tanggal kadaluarsa dan informasi lainnya.
– Sertifikat ini dianggap sah ketika pemberi otoritas
yang dipercaya menandatanganinya secara digital.
– Pemberi otoritas yang dipercaya yang mengeluarkan
sertifikat dikenal sebagai Certificate Authorities.
• Message Digest
– Message digest dipakai untuk menjamin integritas informasi. Integritas
berarti bahwa informasi tidak akan dapat diubah tanpa diketahui.
– Hal ini dilakukan dengan menerapkan fungsi hash pada informasi.
– Fungsi ini akan menghasilkan sebuah nilai numerik yang kecil yang
disebut message digest.
– Perubahan terkecil sekalipun pada informasi akan menghasilkan
message digest yang berbeda.
– Untuk menguji infomasi tidak diubah, seorang pemakai harus
menerapkan fungsi hash yang sama pada informasi yang ingin diuji
untuk menghasilkan message digest.
– Jika message digest yang dihasilkan sama dengan message digest
yang asli, menandakan informasi tidak diubah.
– Salah satu contoh pemakaian penting message digest adalah tanda
tangan digital.
• Digital Signature
– Tanda tangan digital pada prinsipnya sama dengan tanda tangan biasa
yaitu menandakan seseorang pada sebuah dokumen.
– Langkah pertama dalam menandatangani dokumen secara digital
adalah membuat sebuah message digest dari dokumen tersebut.
– Si penandatangan mengenkripsi message digest ini dengan
mengunakan private key miliknya.
– Kemudian dokumen dan message digest yang telah dienkripsi dikirim ke
penerima.
– Penerima mengenerate message digest dari dokumen dengan
menggunakan public key si penandatangan.
– Hal ini sekaligus membuktikan bahwa dokumen ini seharusnya data dari
di penandatangan karena hanya dialah yang memiliki private key.
– Jika message digest yang berhasil didekrip sama dengan message
digest yang di-generate, maka berarti dokumen tidak mengalami
perubahan dan pengirim tidak dapat menyangkal tanda tangan
digitalnya.
• Public Key Infrastructure (PKI)
– Public Key Infrastructure (PKI) menghasilkan,
mendistribusikan dan mengelola public key.
Sebuah PKI mencakup layanan-layanan
berikut:
• Menghasilkan, mendistribusikan, memperbaharui,
dan mencabut sertifikat.
• Menyimpan histori sebuah key, melakukan backup
dan recovery.
• Repositori sertifikat.
Layanan Otorisasi dan Kontrol
Akses
• Otorisasi menjawab pertanyaan:”Apakah Anda
diijinkan melakukan sesuatu yang sedang Anda coba
lakukan?”.
• Otorisasi adalah ijin untuk menggunakan sumber daya
komputer.
• Akses adalah kemampuan untuk melakukan sesuatu
dengan sumber daya komputer.
• Kontrol akses adalah cara secara teknis untuk
melaksanakan ijin tersebut.
• Kontrol akses bisa dilakukan pada sistem operasi, bisa
digabungkan dalam program aplikasi atau
diimplementasikan dalam perangkat yang mengontrol
komunikasi antar komputer (misal router).
• Pengamanan data pada jaringan dapat
dilakukan dengan beberapa cara:
– Didalam aplikasi dengan menggunakan
mekanisme keamanan yang tersedia
– Antara aplikasi-aplikasi pada link yang
dienkripsi
– Pada layer-layer bawah protokol komunikasi
untuk mengamankan komunikasi melalui
jaringan
• Pengamanan enterprise dari akses luar
yang tidak sah dapat dilakukan dengan
cara:
– Pertahanan perimeter seperti firewall
– Kontrol akses jarak jauh pada perimeter
– Membangun komunikasi yang aman dari
enterprise ke pihak luar yang sah.
– Pertahanan berlayer pada titik-titik dan
komponen-komponen infrastruktur didalam
firewall.
Komponen Teknologi Keamanan
Kontrol Akses
• Kriptografi
– Dokumen, komunikasi dan data yang melintas
didalam dan diluar enterprise adalah dalam bentuk
elektronik.
– Informasi elektronik mudah untuk dibaca, dimodifikasi
atau diganti tanpa diketahui.
– Tetapi, dalam banyak situasi, kerahasiaan informasi
yang sedang berjalan harus dipelihara.
– Kombinasi antara kriptografi public key dengan
kriptografi secret key dapat dipakai untuk
mengimplementasikan komunikasi yang terotentikasi
dan terproteksi bagi kontrol akses yang aman.
• Kriptografi Secret Key
– Teknologi secret key adalah sebuah bentuk teknologi
kriptogradi dimana enkripsi dan dekripsi
menggunakan key yang sama, yaitu sebuah secret
key.
– Data yang dienkripsi dengan sebuah secret key
didekripsi dengan secret key yang sama.
– Teknologi secret key biasa dipakai pada kebanyakan
enkripsi karena lebih cepat dari teknik-teknik yang
lain.
– Contoh algoritma yang biasa dipakai adalah DES, 3-
DES, RC2, RC4, IDEA dan CAST.
• Protokol Keamanan
– Protokol adalah format message yang dipakai
untuk berkomunikasi dalam sistem jaringan.
– Kurangnya standar yang bersifat inter-
operable secara luar dapat menciptakan
pembatas bagi solusi bagi enterprise.
– Ketika memilih produk, sangat penting untuk
mengecek kesesuaian dengan standar yang
sekarang maupun yang akan datang.
Protokol-protokol keamanan yang penting dijelaskan
berikut ini:
• Secure Socket Layer (SSL) : secara luas dipakai untuk
mengamankan komunikasi antara browser Web dengan
server Web. SSL membuat sebuah link terenkripsi
antara klien dan server yang memerlukan komunikasi
dengan aman. Otentikasi bisa dilakukan baik pada
server maupun klien. SSL juga dapat dipakai dengan
aplikasi-aplikasi lain, serperti ftp, telnet, daln lainnya.
• Simple Key Management fo Internet Protocol (SKIP) :
adalah protokol pertukaran secret key yang beroperasi
dibawah layer IP dalam protokol komunikasi TCP/IP.
Metode ini dapat dipakai untuk menyediakan keamanan
yang transparan antar entitas.
• Security Multi-part for MIME (S/MIME) : adalah
protokol keamanan aplikasi. Diimplementasikan
pada email tetapi dapat lebih luas dipakai dalam
pesan-pesan yang bersifat store-and-forward.
• Internet Protocol Security Extension (IPSec) :
adalah protokol keamanan yang didefinisikan
untuk jaringan IP, yang beroperasi pada layer
network dalam protokol komunikasi TCP/IP.
IPsec menambahkan perpanjangan header
pada protokol komunikasi IP dan didesain untuk
memberikan keamanan end-to-end bagi paket-
paket yang melintasi Internet.
• Internet Key Exchange (IKE) :
menyediakan manajemen keamanan dan
pertukaran kunci kriptografi antar
perangkat yang berjauhan. Ini adalah
standar mekanisme pertukaran kunci
untuk IPsec.
#Daftar Pustaka
• An Information Technology Security,
Architecture for the State of Arizona

Anda mungkin juga menyukai