Anda di halaman 1dari 21

Analisa Kebutuhan Keamanan Aplikasi E-Commerce

dengan Menggunakan Metode Square Study Kasus Pada


Laman Web Tokobanten.com

Kelas XK
Dosen: Hadi Syahrial, M. Kom
Disusun oleh :
Didik Yulianto

1511600338

Ryan Saputra

1511600122

Rd. Ridwan Permana

1511600106

Program Pasca Sarjana Magister Komputer


Universitas Budi Luhur
2016

Daftar Isi
Daftar Isi ...........................................................................................2
Pendahuluan ................................3Error: Reference source not found
Landasan Teori...................................................................................4
Metodologi Penelitian........................................................................4
Hasil Penelitian..................................................................................6
Penutup...........................................................................................16
Daftar Pustaka.................................................................................16

1.Pendahuluan
2

Pengertian Belanja online atau ritel online adalah suatu bentuk


perdagangan elektronik yang memungkinkan konsumen untuk langsung
membeli barang atau jasa dari seorang penjual melalui internet tanpa jasa
perantara.Sebuah toko online, e-toko, e-toko, toko internet, web-toko,
web-store , toko online, atau toko virtual membangkitkan analogi fisik
membeli produk atau jasa pada batu bata-dan-mortir pengecer atau pusat
perbelanjaan . Proses ini disebut business-to-consumer (B2C) belanja
online.
Ketika bisnis membeli dari perusahaan lain itu disebut business-tobusiness (B2B) belanja online. Perusahaan-perusahaan ritel online
terbesar E-Bay dan Amazon.com , yang keduanya berbasis di Amerika
Serikat. Sejarah Pada tahun 1990, Tim Berners-Lee menciptakan server
World Wide Web pertama dan browser. Ini dibuka untuk penggunaan
komersial pada tahun 1991.Pada tahun 1994, kemajuan lain terjadi,
seperti perbankan online dan pembukaan toko pizza online dengan Pizza
Hut . Selama tahun yang sama, Netscape memperkenalkan enkripsi SSL
data yang ditransfer secara online, yang telah menjadi penting untuk
belanja online yang aman. Juga pada tahun 1994, perusahaan Jerman
Intershop memperkenalkan sistem belanja online pertama nya. Pada
tahun 1995, Amazon.com meluncurkan situs belanja online, dan pada
tahun 1996 eBay muncul.
Pelanggan-Pelanggan online harus memiliki akses ke komputer dan
metode pembayaran . Umumnya, tingkat pendidikan yang lebih tinggi,
pendapatan, dan pekerjaan kepala rumah tangga sesuai dengan persepsi
yang lebih menguntungkan dari belanja online. Juga, paparan meningkat
menjadi teknologi meningkatkan kemungkinan mengembangkan sikap
yang menguntungkan terhadap saluran belanja baru.Dalam sebuah studi
2011 Desember, Penelitian Persamaan menemukan bahwa 87% dari
pengguna tablet membuat transaksi online dengan perangkat tablet
mereka selama musim belanja liburan awal. Logistik Konsumen
menemukan produk yang menarik dengan mengunjungi situs pengecer
secara langsung atau dengan mencari alternatif antara vendor
menggunakan mesin pencari belanja . Setelah produk tertentu telah
ditemukan di situs penjual, pengecer yang paling online menggunakan
perangkat lunak keranjang belanja untuk memungkinkan konsumen untuk
mengakumulasi beberapa item untuk menyesuaikan jumlah, seperti
mengisi keranjang belanja fisik atau keranjang di toko konvensional.

2.Landasan Teori
e-Commerce akan merubah semua kegiatan marketing dan
juga
sekaligus memangkas biaya-biaya operasional untuk kegiatan
trading(perdagangan).
Proses yang ada dalam E-commerce adalah
sebagai berikut :
a. Presentasi electronis (Pembuatan Web site) untuk produk dan layanan.
b. Pemesanan secara langsung dan tersedianya tagihan.
c. Otomasi accountPelanggan secara aman (baik nomor rekening
maupun
nomor kartu kredit)
d. Pembayaran yang dilakukan secara Langsung (online) dan
penanganan
transaksi (Januri, dkk,2008).
Metodologi SQUARE (System Quality Requirements Engineering)
adalah sembilan langkah proses yang dikembangkan untuk membantu
dalam melakukan analisis kebutuhan keamanan sistem. Metodologi
SQUARE dikembangkan oleh Carnegie Mellon Software Engineering
Institute, dan menunjukkan potensi besar untuk diadopsi oleh industri
dalam mengembangkan aplikasi perangkat lunak dan sistem yang aman.
3.Metodologi Penelitian
Metodologi yang digunakan dalam penelitian ini adalah metodologi
SQUARE yang terdiri dari sembilan langkah proses yang dikembangkan
untuk membantu menganalisis kebutuhan keamanan sistem sebagai
berikut:
Table1:

Tahapan dalam proses SQUARE

Step
Step
Numb
er
1
Agree
ondefini
tions
2

Identifysecur
itygoals

Input
Candidatede
finitionsfromI
EEEandother
standards

Definitions,c
andidate
goals,busine
ssdrivers,poli
ciesandproce
dures,
examples
Developartifa Potentialartifa
ctstosupports cts(e.g.,scena
ecurityrequir rios,misuseca
ementsdefinit ses,templates
ion
,forms)

Techniques

Participan
ts

Output

Structuredintervi
ews,focus group

Stakehold
ers,require
mentstea
m

Agreedtodefinit
ions

Facilitatedwo
rksession,sur
veys,intervie
ws

Stakehold
ers,require
mentsengi
neer

Goals

Work session

Requireme
ntsenginee
r

Neededartifac
ts:scenarios,
misusecases,
models,templ
ates,forms

Performri
skassess
ment

Misusecases,s
cenarios,secur
itygoals

Riskassessmentm
ethod,analysis
ofanticipatedrisk
againstorganizati
onalrisk
tolerance,includi
ng threatanalysis

Requireme
ntsenginee
r,riskexper
t,stakehold
ers

Riskassessm
entresults

Selectelicitati
ontechniques

Work session

Requireme
ntsenginee
r

Selectedelicitat
iontechniques

Elicitsecuri
tyrequirem
ents

Goals,definitions
,candidatetechni
ques,expertiseof
stakeholders,org
anizationalstyle,
culture,levelofse
curityneeded,co
stbenefitanalysis
,etc.
Artifacts,riskas
sessmentresult
s,selectedtechn
iques

JointApplicationD
evelopment(JAD),
interviews,survey
s,modelbasedanalysis,ch
ecklists, lists
ofreusable
requirementstype
s,documentrevie

Stakehold
ersfacilitat
edbyrequi
rementsen
gineer

Initialcutat
securityre
quirement
s

Step
Step
Numb
er
7
Categorizereq
uirementsast
o
level(system,
software,etc.)
andwhether
theyare
requirements
or
8
Prioritizer
equireme
nts
9

Requireme
ntsinspecti
on

Input

Techniques

Participan
ts

Output

Initialrequireme
nts,architecture

Worksessionusin
g astandardset
ofcategories

Requiremen Categoriz
tsengineer, edrequire
otherspecia ments
listsasneed
ed

Categorizedre
quirements
andriskassess
mentresults

Prioritization
methodssuch
asTriage,WinWin

Stakehold
ersfacilitat
edbyrequi
rementsen
gineer
Inspecti
onteam

Prioritized
Inspectionmeth
requirements,ca odsuchasFagan
ndidate
,peerreviews
formalinspection
technique

Prioritized
requireme
nts
Initialselected
requirements,
documentatio
n
ofdecisionma
kingprocess
andrationale

1. Agree on Definitions
Untuk menjamin komunikasi yang efektif dan jelas seluruh
persyaratan Engineered proses neering , tim rekayasa persyaratan
dan stakeholder harus terlebih dahulu menyepakati seperangkat
terminologi dan definisi . Mengingat perbedaan keahlian ,
pengetahuan , dan pengalaman , istilah yang sewenang-wenang
mungkin memiliki beberapa makna antara peserta SQUARE . Selain
itu , mungkin ada ambiguitas dalam tingkat detail yang diasumsikan
untuk jangka waktu tertentu . Misalnya , salah satu pemangku
kepentingan dapat melihat " kontrol akses " sebagai serangkaian
5

kebijakan yang mengatur mana pengguna dapat diberikan akses ke


mana sumber daya . pemangku kepentingan lain dapat melihat
kontrol akses sebagai elemen lunak dalam sistem yang benar-benar
menerapkan keberfungsiannya ini . Perbedaan-perbedaan ini dalam
perspektif harus diselesaikan sebelum proses dapat melanjutkan .
Pengertian E-Commerce
Ada beberapa pengertian tentang E-Commerce, antara lain yaitu :

Menurut Loudon (1998) E-Commerce ialah suatu proses yang


dilakukan konsumen dalam membeli dan menjual berbagai produk
secara elektronik dari perusahaan ke perusahaan lain dengan
menggunakan komputer sebagai perantara transaksi bisnis yang
dilakukan.

Menurut Kalakota dan Whinston (1997) meninjau pengertian ECommerce dari empat perspektif, yaitu :
1. Perspektif komunikasi, E-Commerce ialah sebuah proses
pengiriman barang, layanan, informasi, atau pembayaran
melalui komputer ataupun peralatan elektronik lainnya.
2. Perspektif proses bisnis, E-Commerce merupakan sebuah
aplikasi dari suatu teknologi menuju otomatisasi dari transaksi
bisnis dan aliran kerja.
3. Perspektif layanan, E-Commerce ialah suatu alat yang
memenuhi keinginan perusahaan, manajemen, dan konsumen
untuk
mengurangi
biaya
layanan
(service
cost)
ketika meningkatkan kualitas barang dan meningkatkan
kecepatan layanan pengiriman
4. Perspektif online, E-Commerce menyediakan kemampuan
untuk membeli dan menjual produk atau barang serta
informasi melalui layanan internet maupun sarana online yang
lainnya

Manfaat E-Commerce Dalam Dunia Bisnis


E-Commerce mengandung banyak manfaat dalam dunia bisnis selain
mempermudah proses jual beli, dengan menggunakan E-Commerce dapat
mengurangi biaya barang dan jasa, juga bisa meningkatkan kepuasan
pembeli atau konsumen dengan kecepatan untuk memperoleh barang
yang dibutuhkan sesuai dengan budget dan harganya. Istilah Order
6

cycle yaitu sebuah bisnis yang awalnya memakan waktu 30 hari, bisa
dipercepat waktunya hingga bisa 5 hari saja. Proses yang cepat tentu
akan menigkatkan pendapatan. Dengan menggunakan E-Commerce
dapat memungkinkan kita untuk bertransaksi dengan cepat, mudah dan
biaya yang murah tanpa melalui proses yang rumit, di mana pembeli
cukup
mengakses
internet
ke website
suatu perusahaan
yang
mengiklankan produknya di internet, kemudian pembeli cukup
mempelajari ketentuan-ketentuan
yang
diisyaratkan
(term
of
condition) dari pihak penjual. Tidak menghabiskan banyak waktu dan
sangat kondusif.
Dampak Positif Dan Negatif E-Commerce
Adapun dampak positif dari E-Commerce antara lain:
1. Aliran pendapatan (Revenue Stream) baru yang mungkin jauh lebih
menjanjikan yang tidak ditemui di sistem jual beli di pasar
tradisional.
2. Mampu meningkatkan market exposure.
3. Mampu mengurangi biaya operasional(operating cost).
4. Dapat memperluas jangkauan (global reach).
5. Mampu meningkatkan customer loyality.
6. Mampu meningkatkan supplier management.
7. Dapat mempersingkat waktu produksi.
8. Meningkatkan value chain (mata rantai pendapatan).
Sedangkan dampak negatif dari E-Commerce antara lain:
1. Akan kehilangan dari segi finansial secara langsung karena adanya
kecurangan. Seorang penipu mentransfer uang dari rekening satu
ke rekening lainnya atau dia telah mengganti semua data finansial
yang ada.
2. Adanya pencurian informasi yang sangat rahasia dan berharga.
Gangguan yang muncul bisa membongkar semua informasi rahasia
itu pada pihak yang tidak berhak dan mengakibatkan kerugian
besar bagi korban.

3. Kehilangan kesempatan bisnis atau kerugian pelanggan karena


gangguan pelayanan. Seperti kesalahan yang bersifat nonteknis(aliran listrik tiba-tiba padam).
4. Adanya pengaksesan ke sumber pihak yang tidak berhak. Seperti
seorang hacker yang membobol sistem perbankan. Kemudian
memindahkan sejumlah rekening milik orang lain ke rekeningnya
sendiri.
5. Dapat kehilangan sebuah kepercayaan dari para konsumen. Karena
faktor-faktor seperti adanya usaha sengaja yang dilakukan oleh
pihak luar yang berusaha menjatuhkan reputasi perusahaan
tersebut.
6. Terjadinya kerugian yang tidak terduga-duga, karena adanya
gangguan yang dilakukan dengan sengaja, ketidakjujuran,
kesalahan dari faktor manusia ataupun kesalahan dari sistem
elektronik.

Table2: Contoh Set Persyaratan Awal


access control

Corruption

honeypot

non-repudiation

Spoof

access
controllist(ACL)

Cracker

impact

Patch

SQLinjection

antivirussoftware

denial-ofservice(DoS)atta
ck
Disasterrecovery

incident

Penetration

stakeholder

incidenthandling

penetrationtesting

stealthing

artifact

plan
asset

Disclosure

insiderthreat

physicalsecurity

survivability

attack

disgruntledemployee

integrity

portscanning

target

audit

Downtime

interception

Privacy

threat

authentication

Disruption

interruption

Procedure

threatassessment

availability

Encryption

intrusion

Recognition

threatmodel

back door

Espionage

Recovery

toolkits

breach

Essentialservices

intrusion
detectionsystem(I
DS)
liability

replayattack

Trojan

brute force

Exposure

luringattack

Resilience

trust

buffer overflow

Fabrication

malware

Resistance

uptime

cachecramming

faultline attacks

man-in-themiddleattack

Risk

victim

cache poisoning

Faulttolerance

masquerade

riskassessment

virus

confidentiality

Firewall

modification

securitypolicy

vulnerability

control

Hacker

non-essentialservices

scriptkiddies

worm

2. Identify Security Goals


8

Tujuan dari Langkah 2 di SQUARE adalah untuk para pemangku


kepentingan untuk secara resmi menyetujui serangkaian tujuan
keamanan diprioritaskan untuk proyek tersebut . Tanpa tujuan
keamanan secara keseluruhan untuk proyek tersebut , itu adalah
jawab impos- untuk mengidentifikasi prioritas dan relevansi
persyaratan keamanan yang dihasilkan . Selain itu , pembentukan
tujuan keamanan scopes sisa proses SQUARE .
Rekayasa Kebutuhan Tim Tanggung Jawab :

Memfasilitasi sesi brainstorming dengan para pemangku


kepentingan, menekankan pentingnya menciptakan tujuan bisnis
tunggal, diikuti oleh beberapa tujuan keamanan yang
mendukungnya.
Tinjau bisnis dan keamanan gol stakeholder ', memberikan umpan
balik pada lingkup, tingkat detail, dan relevansi dengan tujuan bisnis
proyek.
Dokumen dan berbagi tujuan bisnis diselesaikan dan tujuan
keamanan yang sesuai.

Tanggung Jawab Stakeholder:

Mengidentifikasi tujuan bisnis tunggal untuk proyek tersebut. Tujuan


ini harus dinyatakan dalam satu tence sen-, seperti "Sistem harus
menyediakan sarana untuk secara efektif mengelola perusahaan resumber dalam situasi bencana."
Brainstorm dan menciptakan gol keamanan hampir setengah lusin
yang mendukung yang jelas dari tujuan bisnis. Misalnya, "Sistem
harus menjaga ketersediaan tinggi, bahkan dalam menghadapi
kegagalan utilitas publik."
Prioritaskan tujuan keamanan.
Memberikan tujuan tujuan bisnis dan keamanan untuk tim rekayasa
persyaratan untuk diperiksa, dan mengedit tujuan yang dianggap
perlu oleh tim.

Kriteria keluar:
Tujuan bisnis tunggal untuk proyek dan beberapa tujuan keamanan
diprioritaskan yang mendukungnya telah ditetapkan.
Develop Artifacts
Sebelum tim rekayasa persyaratan dan pemangku kepentingan
dapat menghasilkan seperangkat persyaratan keamanan, tim harus
mengumpulkan satu set lengkap artefak dari sistem. Berikut ini
adalah jenis artefak yang harus dikumpulkan:
diagram arsitektur sistem
9

skenario use case / diagram


skenario kasus penyalahgunaan / diagram
pohon serangan
template dan bentuk standar

Dalam mengembangkan artefak tersebut, penting untuk meminta


bantuan dari neers Engineered berpengetahuan dari organisasi.
Dalam beberapa kasus, ada kemungkinan bahwa organisasi klien
tidak akan memiliki artefak di tempat, termasuk barang-barang
dasar seperti diagram arsitektur sistem. Dalam situasi seperti itu,
tim rekayasa persyaratan harus menegaskan kepada para
pemangku
kepentingan
dengan
menciptakan
dan
mendokumentasikan artefak dari sistem, mereka berinvestasi dalam
keberhasilan proyek.

Gambar

4.1:
Diagram Logic

10

Gambar 4.2: System architecture

Penggambaran use case meliputi pengguna yang berinteraksi


dengan sistem yang digambarkan sebagai seorang aktor.
USECASE USER / CUSTOMER

11

Gambar 4.3: Use case sistem administrator

Nomor
Use Case
Deskripsi
Actor
Asumsi
LangkahLangkah

Misuse Case
yang
berkaitan

UC-01
Sistem Administrator
Sistem administrator mengkonfigurasi sistem dan hak
akses serta hak approval
Sistem Administrator
Sistem administrator dapat mengakses semua applikasi
1. Login menggunakan menu admin
2. Sistem melakukan authentikasi user dan password
serta menghubungkannya dengan akses user
3. Administrator mengkonfigurasi dan mengontrol
seluruh aplikasi
1. login oleh yang tidak berwenang
2. manipulasi data pada database

Berikut merupakan anomali-anomali yang terjadi akibat seranganserangan yang tidak diinginkan pada sistem, yang akan mengancam
keamanan sistem.

12

Gambar 4.4 : Misuse Case

No.
1
2
3
4
5
6
7
8
9

Nama
Ruang Lingkup
Prioritas
Lingkungan
Mis Actor
Access level
Entry Point
Atribut keamanan
Deskripsi

10
11

Penyerangan
Pre Kondisi

12
13

Asumsi
Post Kondisi

14

Profile potensi mis


actor
Ancaman
Ancaman
yang
berkaitan

15
16
17

Kategori

Rekomendasi
arsitektur (AR)

Penjelasan
Un authorized Login
Login administrator dan database
High
Internet
Anonymous
Sistem administrator
Aplikasi dan sistem database
Confidential, Integrity dan Availability
Sistem akan disusupi oleh user yang tidak
berwenang dan kemungkinan melakukan
manipulasi data
High: serangan injek SQL
Sistem akan disusupi dan data diambil atau
dimanipulasi
Script dan file vulnerability
- user tidak memiliki otoritas sehingga
tidak bisa masuk ke sistem
- user tidak bisa memanipulasi data
Penyerangan
dapat
dilakukan
dengan
menggunakan sql injection melalui browser
Kehilangan dan kerusakan data pada system
- serangan user management
- serangan otentikasi password
- serangan injeksi sql
- penggunaan firewall
- penggunaan protocol HTTPS
13

18

Rekomendasi
kebijakan (PR)

penggunaan tandatangan digital pada


login
konfigureasi file pada sistem
penggunaan password yang kuat
aplikasi harus dispatch secara berkala
penggantian password secara berkala

Pendekatan formal yang dilakukan untuk memeriksa misusecase


dan merekomendasi arsitektur dan kebijakan yang dapat diambil untuk
mengatasi kerentanan EPRS.
1. Pohon serangan user management
2. Pohon serangan authentikasi password
3. Pohon serangan injeksi sql

Gambar 4.5 : Attack Tree User Management

14

Gambar 4.6: Attack

TreeManajemen Akun

Gambar 4. 7 : Attack TreeLogin Password

Gambar 4. 8 : Attack Tree injeksi SQL

3. Perform Risk Assessment


Tujuan dari langkah ini dalam proses SQUARE adalah untuk
mengidentifikasi kerentanan dan ancaman yang dihadapi sistem ,
15

kemungkinan bahwa ancaman akan terwujud sebagai serangan


nyata , dan setiap potensi konsekuensi dari serangan . Tanpa
penilaian risiko , organisasi dapat tergoda untuk menerapkan
persyaratan keamanan atau penanggulangan tanpa alasan logis .
Untuk sikap di- , para pemangku kepentingan dapat memutuskan
enkripsi yang merupakan komponen penting dari sistem mereka
tanpa sepenuhnya memahami sifat dari masalah yang enkripsi
dapat memecahkan . Risiko -asumsi pengkajian juga berfungsi untuk
memprioritaskan persyaratan keamanan pada tahap berikutnya
dalam proses.
INSTANSI

ASET

THREAT
1. Aplikasi Server
Down

DATA CENTER

TOKOBANT
EN
DISASTER RECOVERY
CENTER

3. Malware

Human Error

4. Gangguan Arus
Listrik
5. Bencana Alam
6. Operating System
Corrupt

Server Down
Gempa
Data Corrupt

PROBABIL
ITY

RISK
LEVEL

High

High

Low

High

Switch Server
Optimalisasi
Firewall

3.Virus pada server

Low

Mediu
m

Anti Virus

4.Tidak Dapat
Beroperasi
5.Rusaknya Aset Server
6.Kehilangan Data

Medium
Low
Medium

High
High
High

UPS
Backup Server
Redundent Hdd

IMPACT
1.Kerugian Financial
Pelanggan
2.Kerugian General
Perusahaan
Kehilangan Kepercayaan

IMPACT

2. Cyber crime

DESCRIPTION
Transaksi
Terhambat
Inject Database
Pelanggan

RISK
HIGH
MEDIUM

LOW
2,5
3

MITIGASI

PROBABILITY
MEDIUM
4,6

HIGH
1

16

LOW

17

4. Select Elicitation Technique


Tim rekayasa persyaratan harus memilih teknik elisitasi yang cocok
untuk organisasi klien dan proyek . Meskipun tugas ini mungkin
tampak sederhana , itu adalah of- sepuluh kasus yang beberapa
teknik kemungkinan akan bekerja untuk proyek yang sama .
Kesulitannya adalah dalam memilih teknik yang dapat beradaptasi
dengan jumlah dan keahlian dari para pemangku kepentingan ,
ukuran dan ruang lingkup proyek klien , dan keahlian dari tim
rekayasa persyaratan
Maka dari itu digunakanlah pendekatan prototipe (prototyping).
Metode ini sangat baik digunakan untuk menyelesesaikan masalah
kesalahpahaman antara user dan analis yang timbul akibat user
tidak mampu mendefinisikan secara jelas kebutuhannya (Mulyanto,
2009).
Prototyping adalah pengembangan yang cepat dan pengujian
terhadap model kerja (prototipe) dari aplikasi baru melalui proses
interaksi dan berulang-ulang yang biasa digunakan ahli sistem
informasi dan ahli bisnis. Prototyping disebut juga desain aplikasi
cepat (rapid application design/RAD) karena menyederhanakan dan
mempercepat desain sistem (O'Brien, 2005).
Sebagian user kesulitan mengungkapkan keinginannya untuk
mendapatkan aplikasi yang sesuai dengan kebutuhannya. Kesulitan
ini yang perlu diselesaikan oleh analis dengan memahami
kebutuhan user dan menerjemahkannya ke dalam bentuk model
(prototipe). Model ini selanjutnya diperbaiki secara terus menerus
sampai sesuai dengan kebutuhan user.

18

5. Elicit Security Requirements


N
o
1.
2.
3.
4.

5.

List Requirement
Apa yang dilakukan untuk mengurangi
unauthorized login?
Penerapan fungsi hash
Apa yang dilakukan jika bencana alam yang
berimpact pada server?
Penerapan failover link network ke drc
Apa yang dilakukan jika terjadi serangan
Malware?
Installasi Anti-Virus
Apa yang dilakukan terhadap Inject query?
Penerapan enkripsi pada data
Apa yang dilakuakn untuk meningkatkan
pertahanan pada server jika terjadi Serangan
ddos?
Penerapan NLB pada e-commerce dan firewall

6. Categorize Requirements
Tujuan dari langkah ini adalah untuk memungkinkan persyaratan
insinyur dan para pemangku kepentingan untuk mengklasifikasikan
persyaratan sebagai tingkat penting , tidak penting , sistem , tingkat
perangkat lunak , atau kendala sebagai arsitektur . Tim rekayasa
persyaratan dapat memberikan kepada para pemangku kepentingan
matriks seperti yang di Tabel 4 untuk membantu dalam proses ini .
LEVE
L

SOFTWARE LEVEL

CONSTRAIT

ESSENTIAL

Encry
pt

Penerapan fungsi hash


pada password,
encrypt file database

NLB Link Network, Failover


Server

NONESSENTIAL

Installasi Antivirus

7. PrioritizeRequirements
Dalam kebanyakan kasus, organisasi klien akan dapat menerapkan
semua KASIH keamanan-persyaratan karena kurangnya waktu,
sumber daya, atau perubahan berkembang di tujuan proyek.
Dengan demikian, tujuan dari langkah ini dalam proses SQUARE
adalah untuk memprioritaskan persyaratan keamanan sehingga
stakeholder dapat memilih persyaratan untuk menerapkan dan
dalam rangka apa. Hasil Langkah 4, penilaian risiko, dan Langkah 7,
kategorisasi, merupakan masukan penting untuk langkah ini.
REQUIREMENT
Penerapan fungsi hash pada password

MISSUSECASE
MU01

PRIORITY
HIGH
19

Encrypt file database


NLB Link Network
Failover Server
Installasi Antivirus

MU01
MU01
MU01
MU01

HIGH
LOW
HIGH
MEDIUM

8. Requirements Inspection
Dalam kebanyakan kasus, organisasi klien akan dapat menerapkan
semua KASIH keamanan-persyaratan karena kurangnya waktu,
sumber daya, atau perubahan berkembang di tujuan proyek.
Dengan demikian, tujuan dari langkah ini dalam proses SQUARE
adalah untuk memprioritaskan persyaratan keamanan sehingga
stakeholder dapat memilih persyaratan untuk menerapkan dan
dalam rangka apa. Hasil Langkah 4, penilaian risiko, dan Langkah 7,
kategorisasi, merupakan masukan penting untuk langkah ini.

Goal(s)
Requirement
(s)

Category

Misuse Case
Implementat
ion

Melindungi akses jaringan komputer serta


data
yang terdapat didalamnya dari serangan
pihak lain.
Sistem harus memenuhi ketentuan :
Sistem harus dapat mendeteksi ketika
serangan attack seperti SQL injection dan
DOS ketika itu terjadi.
Sistem monitoring harus dapat melidungi
dirinya
Sistem harus menggunakan teknologi
firewall.
Sistem harus memiliki enkripsi data yang
baik
Access Control ,Encrypt,
Authentication, NLB dan Firewall
Unauthorized
MU-01
Fitur yang telah di implementasi dalam
sistem :
Pengamanan pada Server
Pembenahan konfigurasi firewall
Penerapan NLB jaringan

4.Hasil Penelitian
Dalam melakukan analisis kemanan menggunakan metodologi
SQUARE terdiri dari sembilan langkah yaitu Agree On Definitions,Identify
Security Goals, Develop Artifact, Perform Risk Assesment, Select
Elicitation Techniques, Elicit Security Requirements, Categorize
Requirement, Prioritize Requirements, Requirements Inspection.
5.Penutup
20

Dari hasil penelitian, penulis dapat memberikan kesimpulan bahwa


metodologi SQUARE sangat membantu dalam melakukan analisis
kebutuhan keamanan sistem pada Tokobanten.com.

6.Daftar Pustaka
[1] Syahrial, Hadi. Analisis Kebutuhan Keamanan Sistem Dengan
Menggunakan Metodologi SQUARE: Studi Kasus Pengembangan Sistem
Informasi Rumah Sakit Berbasis Open Source ERP (Open Sikes), 2013.
[2] http://seoandi.blogger.ba/arhiva/2013/01/19/3467300,
tanggal 12 mei 2016, pukul 13.20

Diakses

pada

[3] http://repository.usu.ac.id/bitstream/123456789/19776/4/Chapter
%20II.pdf, Diakses pada tanggal 12 mei 2016, pukul 13.50

21