Anda di halaman 1dari 33

KOLEJ CQ BREYER

NO 1C JLN SG 3/19 TAMAN SRI GOMBAK


68100 BATU CAVES SELANGOR

KERTAS PENERANGAN
(Information Sheet)

KOD DAN NAMA


PROGRAM /
IT-020-4:2013 / COMPUTER SYSTEM ADMINISTRATION
PROGRAMS CODE &
NAME
TAHAP / LEVEL TAHAP 4

NO. DAN TAJUK UNIT


KOMPETENSI /
C03 COMPUTER SYSTEM SECURITY CONTROL
COMPETENCY UNIT NO.
AND TITLE
1. ANALYSE COMPUTER SYSTEM SECURITY
REQUIREMENTS

NO. DAN PENYATAAN 2. PLAN COMPUTER SYESTEM SECURITY CONTROL


AKTIVITI KERJA / WORK 3. PERFORM COMPUTER SYSTEM SECURITY
ACTIVITIES NO. AND
STATEMENT CONTROL
4. PRODUCE COMPUTER SECURITY CONTROL
REPORT

NO. KOD / CODE NUM. IT-020-4:2013/C03/P(1/3) Muka : 1 Drp : 33

TAJUK/TITLE : KESELAMATAN KOMPUTER

TUJUAN/PURPOSE :
Kertas penerangan ini bertujuan untuk memberi kefahaman kepada pelajar mengenai
definisi dan tujuan Keselamatan Komputer serta ancaman terhadap komputer dan
bagaimana mengelakkan komputer dari di ceroboh .
Muka / Page : 2
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33

PENERANGAN/INFORMATION :

KESELAMATAN KOMPUTER - Keselamatan komputer boleh ditakrifkan sebagai


menjaga keamanan atau kesejahteraan komputer sama ada dari segi sistem dan
perisian, data mahupun perkakasan. Keselamatan komputer juga bermaksud amalan
melindungi sistem komputer dari kegagalan, ancaman, risiko, dan kelemahan dari
pelbagai sudut seperti kesalahan manusia atau operasi, serangan dan bencana alam
yang boleh menyebabkan maklumat menjadi terdedah atau maklumat dipinda secara
tidak sah, kemusnahan, atau denial-of-service.

1.0 Pengenalan

Dalam era teknologi maklumat, penggunaan komputer dan telekomunikasi amat


meluas. Dengan penggunaan komputer, segala maklumat dihantar secara elektronik
melalui talian komunikasi dari satu tempat ke tempat yang lain melalui rangkaian
Internet.

Maklumat-maklumat yang dihantar ini dalam pelbagai bentuk seharusnya menjadi


maklumat yang sulit dan konfidensial bagi kegunaan organisasi atau individu tertentu.

Banyak telah berlaku pencerobohan dan pengodam dalam industri teknologi maklumat
dan komunikasi (ICT) sehingga akhir-akhir ini isu ini telah menular ke laman-laman web
syarikat dan agensi-agensi kerajaan.

Berikutan pertambahan penyalahgunaan dan pencerobohan oleh penggodam


komputer maka, isu keselamatan komputer kini semakin mendapat perhatian dan
seharusnya ditangani dengan dengan cara yang profesional supaya kesahehan
(reliability), kerahsiaan (confidentiality) dan keutuhan (integrity) maklumat yang
digunakan dalam telekomukasi menggunakan komputer adalah terjamin dan selamat
digunakan.

Berikutan isu tersebut banyak pihak yang terlibat telah menyedari kepentingan
mempunyai sistem perlindungan keselamatan serta memelihara sistem mereka
daripada penceroboh dan penggodam komputer.
Muka / Page : 3
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
Di Malaysia sebuah pasukan yang bertanggungjawab dalam memantau mengenai
kejadian pencerobohan komputer dan memberi panduan mengenai aspek keselamatan
komputer dikenali sebagai Pasukan Bertindak Kecemasan Komputer Malaysia
(MyCERT) telah ditubuhkan pada 1977.

MyCert di bawah MIMOS Berhad telah menubuhkan sebuah tapak Web di alamat
http://www.mycert.mimos.my/ yang memaparkan pelbagai maklumat mengenai
kejadian berkaitan keselamatan komputer terutamanya yang berlaku di negara ini.

2.0 Tujuan

Isu keselamatan komputer ini masih baru dan belum ada kaedah yang diterima pakai
secara umum diseluruh dunia untuk menangani masalah tersebut. Pendekatan yang
diambil dalam penyediaan kertas kerja ini adalah beradasarkan kajian dan rujukan
yang telah dibuat untuk :-

2.1 Memahami dan menyedari isu-isu keselamatan komputer dan Internet.

2.2 Mengenalpasti dan mendedahkan asas-asas menangani keselamatan


komputer dan Internet.

Dengan adanya maklumat ini akan memberi kesedaran kepada pengguna bahawa
betapa pentingnya isu keselamatan komputer ini diberi perhatian dan pada masa yang
sama akan dapat juga membantu dan memudahkan pihak berkuasa yang bertanggung
jawab ke atas keselamatan komputer dan Internet menangani isu tersebut.

2.3 ISO/IEC 27000:2009

Teknologi maklumat - teknik Keselamatan - sistem pengurusan keselamatan maklumat


- Gambaran dan perbendaharaan kata

Piawaian ini telah disemak semula oleh: ISO / IEC 27000:2012

Abstrak
ISO / IEC 27000:2009 memberikan gambaran keseluruhan sistem maklumat
pengurusan keselamatan, yang membentuk subjek sistem pengurusan keselamatan
maklumat (ISMS) keluarga piawaian, dan mentakrifkan istilah yang berkaitan. Hasil
daripada melaksanakan ISO / IEC 27000:2009, semua jenis organisasi (perusahaan
Muka / Page : 4
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
contohnya komersil, agensi-agensi kerajaan dan organisasi bukan keuntungan)
dijangka memperoleh:
1. Gambaran keseluruhan keluarga ISMS yang standard;
2. Pengenalan kepada sistem pengurusan keselamatan maklumat (ISMS);
3. Penerangan ringkas mengenai Plan-Do-Check-Akta (PDCA) proses dan
4. Memahami terma dan definisi yang digunakan di seluruh keluarga ISMS yang
standard.

Objektif ISO / IEC 27000:2009 adalah untuk menyediakan terma-terma dan definisi,
dan pengenalan kepada keluarga ISMS yang standard bahawa:
1. Menentukan keperluan untuk ISMS dan bagi mereka yang mengesahkan sistem itu;
2. Memberikan sokongan langsung, panduan terperinci dan / atau tafsiran bagi
keseluruhan Plan-Do-Check-Akta (PDCA) Proses dan keperluan;
3.Menangani garis panduan sektor tertentu untuk ISMS; dan
4. Menangani penilaian pematuhan untuk ISMS.

ISO / IEC 27000-siri (juga dikenali sebagai 'ISMS Keluarga Standard' atau 'ISO27k'
untuk pendek) terdiri daripada standard keselamatan maklumat yang diterbitkan
bersama oleh Pertubuhan Standardisasi Antarabangsa (ISO) dan International
Electrotechnical Commission (IEC).
Siri ini menyediakan cadangan-cadangan amalan terbaik dalam pengurusan
keselamatan maklumat, risiko dan kawalan dalam konteks sistem keseluruhan
pengurusan keselamatan maklumat (ISMS), sama dalam reka bentuk untuk sistem
pengurusan jaminan kualiti (siri ISO 9000) dan perlindungan alam sekitar (ISO 14000
siri).
Siri ini adalah sengaja luas dalam skop, yang meliputi lebih daripada sekadar privasi,
kerahsiaan dan IT atau isu-isu keselamatan teknikal. Ia diguna pakai kepada organisasi
pelbagai bentuk dan saiz. Semua organisasi digalakkan untuk menilai risiko
keselamatan maklumat mereka, kemudian melaksanakan kawalan keselamatan
maklumat yang sesuai mengikut keperluan mereka, dengan menggunakan panduan
dan cadangan di mana berkaitan. Memandangkan sifat dinamik keselamatan
maklumat, konsep ISMS menggabungkan maklum balas dan peningkatan aktiviti yang
berterusan, yang diringkaskan dengan pendekatan Deming "pelan-do-daftar
perbuatan", yang cuba untuk menangani perubahan dalam ancaman, kelemahan atau
kesan insiden keselamatan maklumat.

2.4 ISO/IEC 27000-series


Muka / Page : 5
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
Piawaian merupakan hasil daripada ISO / IEC JTC1 (Jawatankuasa Teknikal Bersama
1) SC27 (Jawatankuasa Kecil 27), sebuah badan antarabangsa yang memenuhi sendiri
dua kali setahun.

Pada masa ini, dua puluh tiga piawaian dalam siri ini diterbitkan dan boleh didapati,
manakala beberapa lagi masih di bawah pembangunan. Asal standard ISO / IEC dijual
secara langsung oleh ISO, manakala kedai-kedai jualan yang berkaitan dengan
pelbagai badan standard kebangsaan juga menjual pelbagai versi termasuk terjemahan
tempatan.

ISO / IEC 27000 - Maklumat Sistem Pengurusan Keselamatan - Gambaran Dan


Perbendaharaan Kata [ 1]
ISO / IEC 2700 - Maklumat Sistem Pengurusan Keselamatan - Keperluan . Yang
Lebih Tua ISO / IEC 27001:2005 Standard Bergantung Kepada
Plan- Do -Check -Akta Pusingan; Yang Lebih Baru ISO /27001:2013
Tidak, Tetapi Telah Dikemaskini Dalam Cara Lain Untuk
Mencerminkan Perubahan Dalam Teknologi Dan Bagaimana
Organisasi Menguruskan Maklumat .
ISO / IEC 27002 - Kod Amalan Pengurusan Keselamatan Maklumat
ISO / IEC 27003 - Panduan Pelaksanaan Sistem Pengurusan Keselamatan Maklumat
ISO / IEC 27004 - Pengurusan Keselamatan Maklumat - Pengukuran
ISO / IEC 27005 - Maklumat Pengurusan Risiko Keselamatan
ISO / IEC 27006 - Keperluan Untuk Badan-Badan Yang Menyediakan Audit Dan
Pensijilan Sistem Pengurusan Keselamatan Maklumat
ISO / IEC 27007 - Garis Panduan Bagi Sistem Pengurusan Keselamatan Maklumat
Pengauditan ( Memberi Tumpuan Kepada Sistem Pengurusan)
ISO / IEC 27008 TR - Panduan Untuk Juruaudit Mengenai ISMS Kawalan ( Memberi
Tumpuan Kepada Kawalan Keselamatan Maklumat)
ISO / IEC 27010 - Maklumat Pengurusan Teknologi Keselamatan Keselamatan
Teknik - Maklumat Untuk Antara Sektor Dan Antara Organisa
Komunikasi
ISO / IEC 27011 - Maklumat Garis Panduan Pengurusan Keselamatan Bagi
Organisasi Telekomunikasi Berdasarkan ISO / IEC 27002
ISO / IEC 27013 - Garis Panduan Mengenai Pelaksanaan Bersepadu ISO / IEC
20000-1 Dan ISO / IEC 27001
ISO / IEC 27014 - Maklumat Tadbir Urus Keselamatan
ISO / IEC 27015 TR - Garis Panduan Pengurusan Keselamatan Maklumat Untuk
Muka / Page : 6
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
Perkhidmatan Kewangan
ISO / IEC 27031 - Garis Panduan Bagi Teknologi Maklumat Dan Komunikasi
Kesediaan Untuk Kesinambungan Perniagaan
ISO / IEC 27032 - Garis Panduan Untuk Keselamatan Siber (Pada Dasarnya, '
Menjadi Jiran Yang Baik ' Di Internet)
ISO / IEC 27033-1 - Keselamatan Rangkaian Gambaran Dan Konsep
ISO / IEC 27033-2 - Garis Panduan Bagi Reka Bentuk Dan Pelaksanaan
Keselamatan Rangkaian
ISO / IEC 27033-3:2010 - Senario Rangkaian Rujukan - Ancaman, Teknik Reka
Bentuk Dan Isu-Isu Kawalan
ISO / IEC 27034 - Garis Panduan Bagi Keselamatan Aplikasi
ISO / IEC 27035 - Pengurusan Insiden Keselamatan
ISO / IEC 27037 - Garis Panduan Bagi Pengenalan, Pengumpulan Dan / Atau
Pemerolehan Dan Pemeliharaan Bukti Digital
ISO 27799 - Maklumat Pengurusan Keselamatan Dalam Kesihatan Menggunakan
ISO / IEC 2700
ISO / IEC 27017 - Maklumat Pengurusan Keselamatan Untuk Sistem Awan
ISO / IEC 27018 - Perlindungan Data Untuk Sistem Awan
ISO / IEC 27019 - Maklumat Garis Panduan Pengurusan Keselamatan Berdasarkan
ISO / IEC 27002 - Untuk Sistem Kawalan Proses Khusus Kepada Industri Utiliti
Tenaga
ISO / IEC 27033 - IT Keselamatan Rangkaian , Satu Standard Berbilang Bahagian
Berdasarkan
ISO / IEC 18028:2006 (Bahagian 1-3 Diterbitkan Sudah)
ISO / IEC 27036 - Garis Panduan Bagi Keselamatan Dalam Hubungan Pembekal
ISO / IEC 27038 - Spesifikasi Untuk Redaksi Dokumen Digital
ISO / IEC 27039 - Pencerobohan Pengesanan Dan Perlindungan Sistem
ISO / IEC 27040 - Garis Panduan Keselamatan Simpanan
ISO / IEC 27041 - Jaminan Untuk Kaedah Siasatan Bukti Digital
ISO / IEC 27042 - Analisis Dan Tafsiran Bukti Digital
ISO / IEC 27043 - Prinsip Dan Proses Siasatan Bukti Digital

3.0 Keselamatan Komputer


Muka / Page : 7
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33

3.1 Definasi

Laudon K.C dan Laudon J.P (2000) dalam buku Pengurusan Sistem Maklumat telah
mendefinasikan keselamatan merujuk kepada polisi-polisi dan ukuran teknikal yang
digunakan untuk menghalang pemilikan yang tidak diberi kuasa atau perubahan,
kecurian dan kerosakan fizikal kepada sistem maklumat. Keselamatan boleh
dipromosikan dengan beberapa teknik dan alat yang melindungi perkakasan komputer,
perisian, rangkaian komunikasi dan data.

John D.Howard (1977) dalam An Analysis of Security Incidents On The Internet, telah
mendefinasikan keselamatan komputer sebagai tindakan menghalang penyerang
daripada mencapai objektif melalui capaian tanpa kebenaran dan penggunaan
rangkaian komputer tanpa kebenaran.

Cheswick dan Bellovin (1994) mendefinasikan keselamatan komputer sebagai tindakan


menghalang sesiapa saja daripada mengambil tindakan ke atas atau dari komputer
atau peranti perisian.

Garfinkel dan Spafford (1996) memberi definasi keselamatan komputer berkaitan


dengan pengendalian komputer iaitu komputer terjamin sekiranya perisiannya berfungsi
seperti yang dijangkakan.

Berdasarkan definasi di atas dapat dirumuskan bahawa keselamatan komputer adalah


amat penting dalam membentuk pengelasan atau taksonomi untuk sebarang kajian
sistematik berkaitan dengan pencerobohan komputer supaya penggunaan komputer
dan sumbernya dilindungi agar dapat berfungsi dengan normal dari sebarang
gangguna dan serangan dari pihak yang tidak bertanggungjawab.

3.2 Konsep

Keselamatan komputer merupakan satu ciri penting untuk sistem pengoperasian sebab
maklumat yang tersimpan dalam sistem komputer adalah penting dan bernilai tinggi
kepada suatu organisasi.

3.3 Keselamatan
Muka / Page : 8
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33

Dalam konteks komputer, keselamatan merujuk kepada tiga aspek,iaitu:


a. Kerahsiaan
b. Keutuhan
c. Kebolehsediaan

3.3.1 Kerahsiaan

Kerahsiaan merujuk kepada mencegah maklumat rahsia dibaca oleh orang yang tidak
berdaftar atau tidak sepatutnya. Ini bermakna asset komputer yang terdiri dari perisian,
perkakasan, data dan maklumat yang disimpan di dalam sistem komputer cuma boleh
dibaca, dilihat atau dicetak oleh kakitangan berdaftar sahaja.

3.3.2 Keutuhan

Keutuhan bermakna aset komputer hanya boleh diubah suai oleh orang yang berdaftar
atau dengan cara yang berdaftar sahaja. Dalam konteks keutuhan, ubah suai merujuk
kepada menulis, mengubah, mengubah status, menghapus atau mencipta data yang
sedia ada.

Dalam komunikasi, keutuhan merujuk kepada pengesahan ubah suai data yang
dihantar melalui rangkaian komputer di sebabkan oleh ubah suai yang sengaja dan
ralat penghantaran.

Dalam pengkalan data, keutuhan ialah kekonsistenan luaran, bermakna data yang
disimpan di dalam system computer adalah betul dan tepat.
3.3.3 Kebolehsediaan

Kebolehsediaan merujuk kepada pencegahan penafian perkhidmatan, bermaksud


sistem komputer telah sedia ada untuk pengguna menggunakannya pada bila-bila
masa yang diperlukan. Matlamat kebolehsediaan ialah system computer boleh
bermaklum balas dengan pengguna secara tepat. Contohnya, jika ada dua pengguna
meminta untuk mencetak pada satu pencetak, system komputer membenarkan cetakan
yang dihantar oleh penguna yang pertama dicetak dahulu.
Muka / Page : 9
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
Ketiga-tiga aspek ini membantu untuk mencegah, mengesan atau memperbetul
sebarang ralat yang dilakukan oleh jenis penerobosan keselamatan terhadap aset
komputer.

4.0 Penerobosan Keselamatan

Penerobosan keselamatan boleh dibahagikan kepada empat jenis iaitu :-


a. Pendedahan
b. Serangan
c. Ketidakebalan
d. Ancaman

4.1 Pendedahan
Pendedahan ialah bentuk kemungkinan kehilangan atau perkara yang buruk berlaku
terhadap sistem komputer. Contohnya, kebongkaran data rahsia kepada orang yang
tidak sepatutnya atau pengubahsuaian data secara tidak berdaftar.

4.2 Serangan
Serangan dilakukan untuk menembusi komputer. Ia dilakukan dengan pelbagai cara ke
atas sistem komputer dan laman web.

4.2.1 Serangan Pelayan


Klien mengeksploitasikan pepijat dalam pelayan untuk melaksanakan aksi yang tak
diingini. Sesetengah pelayan yang tidak kebal dengan sesuatu perintah komputer
berkemungkinan menerima serangan tersebut. Pepijat dalam pelayan mungkin
disebabkan oleh sistem pengoperasian atau aplikasi dalam pelayan fenomena web
defacement merupakan aksi yang paling popular.
4.2.2 Serangan Klien
Pelayan mengeksploitasikan pepijat dalam klien untuk melaksanakan aksi yang tidak
diingini. Serangan klien adalah amat popular berbanding dengan serangan lain. Pepijat
dalam pelayan mungkin disebabkan oleh sistem pengoperasian atau operasi dalam
klien.

4.2.3 Serangan Rangkaian


Penyerang jauh mengeksploitasikan pepijat dalam perisian rangkaian atau kelemahan
protokol yang menyebabkan pelayan, router, atau rangkaian gagal atau tidak normal.
Muka / Page : 10
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
Contoh serangan yang sangat popular ialah maklumat yang di hantar tidak diterima
oleh pemilik yang sah atau kandungan maklumat yang dihantar diubah secara tidak
sedar.

4.2.4 Serangan Akar


Pengguna dalam sistem pengoperasian multipengguna memperolehi keistimewaan
pengguna lain. Contohnya, pengguna biasa mempunyai keistimewaan pengguna root
atau super user. Serangan akar ini bergantung kepada sistem pengoperasian yang
diserang. Untuk sistem pengoperasian UNIX serangan skrip shell adalah amat popular.
Apabila pengguna mempunyai keistimewaan tersebut banyak aktiviti dapat
dijalankanseperti menanam menghapus fail.

4.3 Pendedahan
Ketidakebalan merujuk kepada kelemahan sistem komputer yang boleh dieksploitasi
oleh individu hasad bagi melakukan pendedahan. Eksploitasi ini dikenali sebagai
serangan. Serangan dilakukan untuk menembusi komputer.

4.4 Ancaman
Ancaman terhadap sistem komputer merujuk kepada kejadian yang mempunyai
potensi untuk berlaku, iaitu kehilangan atau kerosakan kepada komputer. Contohnya
bencana alam, ralat manusia, ralat lojik perisian.

Bagi mengatasi jenis-jenis penerobosan keselamatan, kawalan perlu diadakan.


Kawalan ialah pengukuran perlindungan yang boleh berbentuk suatu tindakan, peranti,
prosedur, polisi atau teknik.

5.0 Ancaman
Empat bentuk ancaman yang wujud ,iaitu:
a. Sampukan (Interuption)
b. Pintasan (Interception
c. Ubahsuaian (Modification)
d. Rekaan (Fabrication)

5.1 Sampukan
Muka / Page : 11
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
Semua ancaman ini mengeksploitasikan ketidakebalan yang terdapat pada aset
komputer. Jika sampukan berlaku, aset sistem komputer tidak boleh digunakan atau
hilang,

5.2 Pintasan

Pintasan bermaksud sesetengah pihak yang tidak berdaftar mendapat capaian


terhadap aset sistem komputer. Pihak disebut mungkin seorang individu , suatu
program atau satu sistem komputer yang lain.

5.3 Ubahsuaian

Ubahsuaian merujuk kepada pihak yang tidak berdaftar mengubah suai aset sistem
komputer.

5.4 Rekaan

Rekaan ialah bentuk ancaman yang mereka objek tambahan di dalam sistem
komputer.

5.5 Rumusan

Terdapat dua jenis ancaman :


1. ancaman aktif (menyebabkan kerosakan atau kehilangan kepada aset komputer ) dan
2. ancaman pasif.( tidak menyebabkan kerosakan komputer)

Ancaman kepada data ialah sampukan, pintasan, ubahsuaian, dan rekaan. Ancaman
terhadap perkakasan ialah sampukan dan pintasan. Ancaman terhadap perisian
berbentuk sampukan, pintasan dan ubahsuaian.

6.0 Penceroboh

Menceroboh sistem komputer tanpa kebenaran atau tanpa berdaftar adalah satu
jenayah komputer.Terdapat pelbagai corak serangan yang mempengaruhi penceroboh
membolosi rangkaian keselamatan sesuatu sistem komputer.
Muka / Page : 12
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
Terdapat tiga kategori penjenayah komputer iaitu:
a) Penggodam
b) Penjenayah
c) Perosak

6.1 Penggodam

Penggodam ialah individu yang meminati dan berpengetahuan luas mengenai


komputer. Kemahiran yang diperolehi adalah dengan kaedah cuba jaya. Mereka
mencuba dan kemudian melihat kesannya. Ada pihak yang menyatakan bahawa
penggodam akan terus mempertingkatkan dan berkongsi pengetahuan mereka dengan
pihak lain dan tidak sekali-kali memusnahkan data dengan sengaja. Satu kumpulan
lagi, bukanlah pakar dalam bidang komputer tetapi terlibat dalam pencerobohan
komputer dan sistem rangkaian yang boleh memusnahkan data dengan sengaja.
Kumpulan ini dikategorikan sebagai penggertak.
Sistem komputer bank, pembuat sistem permainan elektronik, organisasi besar dan
pertahanan negara merupakan sistem-sistem yang menjadi tumpuan mereka. Apabila
mereka dapat menceroboh masuk ke dalam satu sistem rangkaian atau komputer,
mereka akan memusnahkan data penting, menafikan hak pengguna yang sah, dan
memberi masalah kepada sasaran mereka

6.2 Penjenayah

Penjenayah pula menggunakan kepakaran mereka untuk membuat aturcara hasad


pada data kewangan. Contohnya Serangan Salami adalah aturcara yang akan
membulatkan nilai ringgit kepada titik pepuluhan terkurang yang paling hampir. Maka
setelah dilaksana aturcara Hasad ini nilai ialah RM 11.54 dan bukannya RM 11.55 (nilai
sebenar). Jadi RM 0.01 disalurkan ke akaun lain (akaun penyalah guna) dan ini
mungkin tidak disedari oleh pelanggan atau sistem.
6.3 Perosak

Perosak mungkin terdiri daripada kakitangan yang berdaftar atau individu luar dari
organisasi tersebut. Mereka bersikap pendendam terhadap organisasi itu. Bagi
kakitangan yang berdaftar, mereka akan menggunakan keistimewaannya untuk
memasuki sistem dan melakukan kerosakkan data. Bagi individu luar mereka akan
cuba memasuki sistem dan memusnahkan data seberapa banyak yang mungkin.
Muka / Page : 13
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33

7.0 Kod Hasad

Kod Hasad berkelakuan dalam cara yang tidak dijangkakan oleh pereka bentuknya dan
penggunanya, tetapi berkelakuan sepertimana yang dijangka oleh pengaturcaranya.
Kod Hasad boleh meliputi suatu aturcara, sebahagian aturcara atau salah satu aturcara
yang berkembar dengan atur cara lain yang normal. Apabila program yang normal
dijalankan, program kod hasad turut dilaksanakan dan kesan kod hasad juga berlaku.
Antara kesan kod hasad adalah untuk menghentikan aturcara yang dijalankan atau
memadamkan fail yang disimpan didalam cakera.

Terdapat pelbagai jenis kod hasad. Di antaranya ialah :-


a) Kuda Trojan
b) Virus
c) Cecacing
d) Bom Logik
e) Cookies

7.1 Kuda Trojan

Kuda Trojan adalah suatu fungsi tersembunyi dalam perisian untuk menyalin atau
memusnahkan fail dalam hos. Ia adalah suatu kod hasad yang mempunyai kesan
utama yang boleh dilihat tetapi ada juga kesan hasad yang tidak jelas dilihat. Kuda
Trojan dihantar bersama e-mail menyamar sebagai suatu perisian yang sah.
Contohnya adalah skrip log masuk ataurcara Kuda Trojan. Aturcara ini seperti skrin log
masuk sebenar yang membolehkan pengguna masukkan nama dan kata laluan
mereka dalam skrin ini.

Setelah proses pengesahan, nama pengguna dan kata laluan dihantar ke sistem dan
pengguna dibenarkan menggunakan sistem tersebut. Walaubagaimanapun satu
salinan nama pengguna disimpan dalam sistem lain bagi kegunaan hasad. Tiada tanda
ini telah berlaku dan komputer itu telah berada dibawah kawalan pengodam dan
dengan mudahnya menjadikan komputer itu satu mesin zombie. Di bawah kawalan
program haram itu, dengan mudahnya Kuda Trojan itu boleh dimasukki penggodam
lantas merasuk pelayan , contoh paling biasa ialah peranti pemacu CD-ROM buka dan
tutup dengan sendirinya.
Muka / Page : 14
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33

7.2 Virus

Virus komputer ialah sejenis program parasit yang tertanam dalam salah sebuah
perisian atau atucara. Virus adalah suatu aturcara yang boleh menyebarkan kod
hasadnya kepada aturcara normal dengan mengubahsuai aturcara tersebut. Ia boleh
menyerang aturcara yang terdapat pada sebarang platform komputer. Ianya direka
bentuk untuk menyebar atau menyalin dirinya ke dalam aturcara lain. Ia memerlukan
bantuan manusia sepenuhnya untuk merebak daripada satu komputer ke komputer lain
seperti menyalin fail daripada satu disket yang dijangkiti virus. Perkataan virus
digunakan kerana kelakuanya sama dengan virus biologi. Tidak terdapat virus yang
berfaedah.

Mengikut rekod virus komputer telah dicipta pada tahun 1985 oleh dua orang adik-
berdik iaitu Anjal dan Basit dari Pakistan bertujuan melindungi perisian yang mereka
cipta dari ditiru atau disalin oleh orang lain.

Virus terkini yang mengancam sistem rangkaian ialah Parite,Win32.Parite.


Mula dikesan pada 7.2.2003, virus tersebut ditanam dalam Borland C++. Bila fail yang
dijangkiti dihantar, virus tersebut akan disimpan dalam fail sementara dan procedur
jangkitan bermula. Virus ini mencari fail-fail dengan sambungan .scr dan .exe dalam
semua pemacu logik komputer dan juga sumber kongsian dari rangkaian tempatan dan
menjangkitinya.

7.3 Cecacing

Cecacing adalah suatu aturcara yang merebakkan salinannya sendiri melalui rangkaian
komputer sahaja dan meninggalkan kesan pada laluannya. Ianya direka bentuk untuk
menyalin dirinya daripada satu komputer kepada komputer lain atas rangkaian
(contohnya menggunakan e-mail) dan tidak perlu bantuan manusia untuk merebaknya,
bermaksud ia tidak boleh melekat pada aturcara lain dan tidak boleh mengubah
aturcara tersebut.

7.4 Bom Logik


Muka / Page : 15
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
Bom logik ialah aturcara yang aktif setelah keadaan tertentu berlaku seperti pada
masa, tarikh atau keadaan . Satu kod (virus) dimasukkan ke dalam perisian komputer
untuk membinasa perisian tersebut setelah beberapa kali digunakan. Perbuatan
menggunakan bomb logik untuk memusnahkan suatu perisian telah dibuat oleh para
pekerja yang tidak berpuas hati dengan majikan. Bom logik ini juga digunakan oleh
pembangun perisian supaya pengguna perisiannya membayar wang ugutan pada
masa yang ditetapkan. Seteleh membayar barulah pengguna tersebut diberitahu cara
mematikan bom.

7.5 Cookies

Cookies ialah suatu data yang dihantar kepada pelayar web daripada pelayan web
contohnya dari pelayan web Pink Sofa'. Data ini bukanlah satu kod maka ia tidak
mengandungi virus. Suatu cookies tidak boleh digunakan untuk mendapatkan data dari
mana-mana sistem. Cookies membenarkan penggunaan laman web e-perdagangan.

Cookies tidak boleh merosakkam pemacu keras (hard drive) kerana ia bukannya satu
fail, maupun satu program. Cookies adalah suatu teknologi yang membenarkan laman
web menyimpan maklumat, kemudian mendapatkannya semula pada masa yang lain.

8.0 Persekitaran Keselamatan Internet

Organisasi perlu mengadakan satu persekitaran keselamatan yang meliputi semua


aspek kawalan berikut :-
a) Persekitaran Keselamatan Fizikal
b) Persekitaran Keselamatan Rangkaian
c) Persekitaran Keselamatan Kakitangan
d) Persekitaran Keselamatan Perisian
e) Persekitaran Keselamatan Perkakasan
f) Persekitaran Keselamatan Undang-Undang
Muka / Page : 16
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
Semua aspek ini mesti diadakan bagi memastikan persekitaran keselamatn sistem
komputer adalah terjamin.

Dalam konteks keselamatan internet persekitaran keselamatan rangkaian diutamakan.


Aspek keselamatan rangkaian perlu dititik beratkan kerana kita tidak mahu maklumat
yang dihantar malalui rangkaian komputer boleh dicapai atau diubah oleh penceroboh.

Antara kawalan keselamatan rangkaian ialah :-


i) Enkripsi
ii) Kawalan capaian dan pengesahan pengguna
iii) Pengesahan sistem teragih
iv) Kawalan trafik
v) Keutuhan data

8.1 Enkripsi

Enkripsi ialah kaedah untuk mengubah maklumat yang dihantar kepada bentuk yang
tidak boleh dibaca. Setelah maklumat tersebut sampai ke destinasi, maklmuat itu
diubah kembali kepada bentuk asal, yang boleh dibaca.

8.2 Kawalan Capaian dan Pengesahan Pengguna

Kawalan capaian ialah kawalan terhadap data, aturcara dan sumber lain yang disimpan
dan terdapat pada rangkaian komputer. Kaeadah menetapkan siapa yang dibenarkan
mencapai sesuatu aset komputer, contohnya hak capaian pengguna A Cuma boleh
menbaca fail X dan menulis serta membaca fail Y, manakala pengguna B Cuma boleh
membaca fail X,Y dan Z. Pengesahan pengguna untuk menentusahkan pengguna
tersebut ialah pengguna yang sah melalui masukan nama pengguna dan kata laluan.

8.3 Pengesahan sistem teragih

Bagi sistem teragih, fail aplikasi dan sumber lain berada di dalam komputer yang
lokasinya berlainan. Sesiapa sahaja boleh mencapai sesuatu sumber komputer dari
tempat yang lain. Oleh itu pengesahan sistem teragih adalah pelru bagi memastikan
pengguna yang berdaftar sahaja layak untuk mencapai sistem komputer, contohnya
ialah sistem Kerberos atau sistem COBRA.
Muka / Page : 17
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33

8.4 Penceroboh

Penceroboh boleh mencapai sesuatu maklumat dengan menganalisis laluan trafik yang
dilalui oleh maklumat semasa penghantaran. Jadi kawalan perlu diadakan supaya
penceroboh tidak mengetahui laluan trafik yang dilalui oleh maklumat. Sebagai contoh
ialah kawalan trafik pad dan kawalan penghalaan.

8.5 Kawalan Keutuhan

Kawalan keutuhan akan memastikan tiada ubahsuai dilakukan secara sengaja atau
tidak sengaja semasa penghantaran maklumat melalui rangkaian komunikasi.
Terdapat beberapa kaedah untuk kawalan ini seperti tandatangan digital, notarisasi dan
bit pariti.

9.0 Lapisan soket selamat (Secure socket layer)

Lapisan soket selamat ialah satu protokol keselamatan dihasilkan oleh Netscape
Communications untuk menyediakan satu peringkat keselamatan yang sangat tinggi
untuk berkomunikasi menggunakan Internet. Dihasilkan pada awal 90an SSL
membenarkan pengguna menghantar dan menerima maklumat samada dalam bentuk
teks, gambar atau borang yang dipancarkan melalui pelayar Web di enkripkan
sepenuhnya.

Data yang dihantar melalui internet mungkin mengembara melalui 25 hingga 35


rangkaian. Apabila dalam keadaan transit, mana-mana satu daripada sistem komputer
perantaraan boleh menyebabkan kebocoran maklumat seorang klien dan pelayan.
Internet tidak menjamin keselamatan maklumat. Walaubagaimanapun SSL akan
menenkripkan data menghalang penceroboh dari membaca data yang dihantar atau
untuk diterima.

Dalam satu penyiaran, klien dan pelayan menggunakan apa yang disebut sebagai
kunci. Terdapat dua kunci iaitu kunci awam dan kunci persendirian. Kunci-kunci
tersebut berkait dari segi matematik supaya data yang dienskripsikan dengan satu
kunci sahaja boleh didekripsikan dengan menggunakan kunci yang satu lagi. Untuk
menghantar dan menerima pesanan, para penghubung mula-mula perlu mewujudkan
Muka / Page : 18
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
sepasang kunci awam dan kunci persendirian yang berbeza. Kunci awam disimpan
dalam direktori dan kunci persendirian disimpan secara sulit. Penghantar akan
mengkripsikan pesanan dengan kunci awam penerima. Ketika menerima pesanan
penerima mengguna kunci persendirian untuk mendekripsikan.

Supaya pesanan yang dihantar tidak boleh didekripsi satu teknik dikenali sebagai
tandatangan digital digunakan. Tandatangan digital ialah kod digital yang dilekatkan
kepada pesanan yang dihantar secara elektonik yang digunakan untuk mengesahkan
isi kandungan pesanan. Penerima data boleh menggunakan tandatangan digital untuk
mrengesahkan siapa yang menghantar data dan tiada perubahan data telah
ditandatangani.

Dengan hanya mempunyai kunci persendirian dan tandatangan digital, mana-mana


klien boleh menyamar. Untuk menyelesaikan masalah ini, satu sijil digital dilampirkan
kepada pesanan elektronik. Sisetem persijilan digital menggunakan pihak ke tiga yang
dipercayai yang dikenali sebagai badan persijilan (Certificate Authorities) untuk
mengesahkan identiti pengguna.

Sistem CA boleh dijalankan sebagai fungsi dalam organisasi atau oleh syarikat luar
seperti Verisign Inc., California. CA akan mengesahkan sijil digital untuk identiti
pengguna melalui telefon, mel pos atau hadir sendiri. Maklumat ini akan dimasukkan
dalam pelayan yang menghasilkan sijil digital. Sijil autentik yang dimiliki oleh kunci
awam juga dimiliki oleh pemilik sebenar. CA akan membuat kunci awamnya supaya
tersedia kepada umum samada dalam bentuk cetak atau melalui internet.

Penerima pesanan yang dienkripsikan menggunakan kunci awam CA untuk merekod


sijil digital yang dilampirkan kepada pesanan, mengesahkan yang ia telah dikeluarkan
oleh CA, dan lepas itu perolehi kunci awam penghantar, dan maklumat identiti dalam
sijil. Menggunakan maklumat ini penerima boleh menghantar jawapan yang telah
dienkripsikan.

Sistem sijil akan membolehkan pengguna mengesahkan sijil digitalnya dikeluarkan oleh
pihak yang berkuasa dan pihak ketiga yang diamanahkan sebelum data ditukarkan.
Muka / Page : 19
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
10.0 Asas Keselamatan Komputer

10.1 Keselamatan komputer meliputi 4 asas, iaitu:

Kerahsiaan- mencegah maklumat rahsia dibaca atau diketahui oleh orang yang
tidak berdaftar. Jenis capaian- boleh baca, lihat, cetak atau dengan hanya
mengetahui kewujudan sesuatu objek atau aset dalam sistem komputer.
Integriti- mencegah sebarang ubah suai oleh orang yang tidak berdaftar. Jenis
ubah suai: menulis, mengubah, menukar (status), hapus atau cipta.
Kesediaan- Orang yang berdaftar tidak sepatutnya dihalang dari mencapai
suatu aset/data selagi beliau mempunyai capaian yang dibenarkan.
Penggunaan yang betul- Orang yang berdaftar menggunakan sistem komputer
dengan cara betul atau dibenarkan. Jika diikuti, ini boleh mengelak kegagalan
sistem, jenayah komputer atau kerosakan akibat kecuaian manusia.

10.2 Cara-Cara Menjaga Keselamatan Komputer

Pencegahan Dari Jangkitan Virus- Untuk mengenal pasti virus, komputer


memerlukan perisian anti-virus. Perisian ini mampu mengesan disk dan perisian
yang mempunyai virus dan memusnahkannya. Kita juga perlulah kerap
mengimbas PC dari serangan Trojan, Virus, dan Sniffer. Jangan download email
attachment yang belum discan ke dalam PC terutamanya yang mengandungi
'.com, vb, dll, exe', di hujung nama fail berkenaan kerana itu semua adalah virus.

Fail Pengenalan Virus (Virus Signature File)- Kesemua perisian antivirus


merujuk kepada pengkalan data yang menyimpan maklumat mengenai virus
apabila memeriksa sesuatu fail yang dijangkiti. Oleh yang demikian, adalah
penting untuk kita sentiasa "update" fail tersebut untuk mengesan virus-virus
baru.
Menghalang password Cracker
- Gunakan random password hasil daripada kombinasi nombor huruf kecil dan
besar serta simbol.
- Gunakan semaksimum mungkin password yang dibenarkan.
- Sering menukar password sekurang-kurangnya sebulan sekali dalam LAN atau
- seminggu sekali dalam persekitaran internet.
- Jangan memberikan password kita kepada orang lain. Sebaiknya ingat
password kita.
Muka / Page : 20
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
Gunakan Internet Firewall
- Merupakan perisian atau perkakasan yang membantu menghalang
penggodam, virus, dan cacing (worms), daripada mengakses komputer anda.
- Firewall merupakan pertahanan barisan hadapan yang paling penting bagi
keselamatan komputer.

10.3 ASPEK DALAM KESELAMATAN KOMPUTER


Keselamatan komputer meliputi 4 aspek penting iaitu:

Tanggungjawab
Keselamatan fizikal
Keselamatan sistem
Keselamatan data
Antara aspek yang lain iaitu:
a. suhu dalam makmal komputer sebaiknya tidak lebih daripada 40 C.
b. komputer perlu menggunakan alat pelaras arus elektrik seperti AVR atau UPS
supaya voltan elektrik yang masuk ke komputer sentiasa terkawal dan stabil.
c. Elakkan dari terlalu banyak menggunakan socket extension kerana dikhuatiri
akan berlaku litar pintas dan mengakibatkan komputer rosak.
d. komputer juga agak sensitif, jadi elakkan daripada terhantuk, tergegar dengan
kuat atau terjatuh.
e. komputer perlu dibersihkan 1 kali seminggu.

10.4 ETIKA KOMPUTER


DEFINISI ETIKA KOMPUTER
Panduan moral dalam penggunaan komputer dan sistem maklumat mengenai
salah dan betul menggunakan komputer.
Kebanyakan pengguna komputer mewujudkan kod etika misalnya:

Dilarang mengganggu kesulitan maklumat majikan.


Mengekalkan integriti sistem sepanjang masa.
Dilarang mengganggu hak peribadi orang lain.
Muka / Page : 21
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
Jangan melarang undang-undang siber.

10.5 10 RUKUN ETIKA KOMPUTER

1. Jangan menggunakan komputer untuk merugikan dan membahayakan orang


lain.
2. Jangan melanggar atau mengganggu hak dan karya komputer orang lain.
3. Jangan menceroboh masuk fail komputer orang lain.
4. Jangan menggunakan komputer untuk mencuri.
5. Jangan menggunakan komputer untuk memberikan kesaksian palsu.
6. Jangan menduplikasi atau menggunakan software tanpa membayar dahulu
copyright.
7. Jangan menggunakan sumber dari komputer orang lain tanpa pengetahuannya.
8. Jangan mencuri atau mengambil hasil intelektual orang lain.
9. Pertimbangkan kesan dari program yang dibuat atau sistem komputer yang
dirancang.
10. Gunakan komputer dengan timbang rasa dan hormat kepada manusia lain.

11. Keselamatan Sistem Komputer / Server

11.1 Kawalan Capaian Fizikal

i. Kawalan terhadap individu atau staf yang masuk ke Bilik Komputer


dan juga kawalan akses kepada semua server serta sumber-sumber
ICT lain. dan
ii. Mewujudkan mekanisma kawalan capaian fizikal untuk staf atau
individu mencapai server-server yang berkenaan.

11.2 Kawalan Capaian Logikal

Kawalan dibuat semasa instalasi agar hanya mereka yang dibenarkan


sahaja berupaya mencapai sistem. Di antara mekanisma kawalan capaian
adalah seperti berikut :

i. Identifikasi Pengguna
Muka / Page : 22
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
Pengguna sistem boleh terdiri daripada individu atau kumpulan
pengguna yang berkongsi akaun kumpulan pengguna yang sama.
Dalam kedua-dua keadaan, pengguna perlu bertanggungjawab ke
atas keselamatan sistem yang digunakan. Antara langkah-langkah
yang diambil untuk mengenalpasti pengguna yang sah ialah :
a) Memberi satu ID yang unik kepada setiap pengguna individu;
b) Menyimpan dan menyelenggara semua ID pengguna yang
bertanggungjawab untuk setiap aktiviti;
c) Memastikan adanya kemudahan auditing untuk menyemak semua
aktiviti pengguna;
d) Memastikan semua ID pengguna yang diwujudkan adalah
berdasarkan permohonan dan tiada ID pengguna yang tidak
diperlukan; dan
e) Perubahan ID pengguna untuk sistem aplikasi perlu mendapat
kebenaran daripada pemilik (owner) sistem tersebut.

Bagi memastikan ID pengguna yang tidak aktif tidak disalahgunakan :

a) Menghapus semua kemudahan untuk pengguna yang berpindah


atau tamatkan perkhidmatan.

Audit trail untuk setiap aktiviti pengguna hendaklah disimpan dan di


arkib sekiranya keperluan storan adalah mencukupi terutamanya
untuk pengguna yang boleh mencapai maklumat sulit agar dapat
dikenalpasti sekiranya berlakunya pencerobohan maklumat.

ii. Autentikasi Pengguna

Proses ini adalah untuk mengenalpasti sama ada pengguna tersebut


adalah pengguna yang sah melalui penggunaan kata laluan. Panduan
pemilihan dan penggunaan kata laluan adalah seperti berikut :

a) Kata laluan dimasukkan dalam bentuk yang tidak boleh dilihat;


b) Panjang kata laluan sekurang-kurangnya 6 atau 8 aksara;
Muka / Page : 23
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
c) Merupakan kombinasi daripada aksara, angka dan simbol-simbol
lain;
d) Dicadang ditukar sekurang-kurangnya tiga (3) bulan sekali;
e) Tidak dikongsi oleh pengguna yang berlainan;
f) Tidak menggunakan kata laluan yang mudah diteka seperti
nombor staf, nama pasangan atau anak, nombor plet kereta,
dsbnya;
g) Kata laluan dienkrip semasa penghantaran,
h) Fail kata laluan disimpan berasingan daripada data sistem aplikasi
utama; dan
i) Elakkan dari menggunakan semula 2 kata laluan terakhir.

iii. Had Cubaan Capaian

Cubaan capaian dihadkan kepada tiga (3) kali sahaja. ID pengguna


berkenaan perlu digantung selepas tiga (3) kali cubaan gagal yang
berturut.

11.3 Audit Trail

Audit trail adalah rekod aktiviti yang digunakan untuk mengenalpasti


akauntabiliti pengguna sekiranya berlaku sebarang masalah. Penggunaan
audit trail untuk sistem komputer dan manual operasi perlu diwujudkan
untuk :
i. Capaian kepada maklumat yang kritikal;
ii. Capaian kepada perkhidmatan rangkaian; dan
iii. Keistimewaan atau kebenaran tertentu yang melebihi kebenaran
sebagai pengguna biasa digunakan seperti arahan-arahan
keselamatan dan fungsi-fungsi superuser.

Maklumat audit trail merangkumi :


i. Identifikasi pengguna;
ii. Fungsi, sumber dan maklumat yang digunakan atau dikemaskini;
iii. Tarikh dan masa;
iv. Alamat IP client atau workstation; dan
v. Transaksi dan program yang dijalankan secara spesifik.
Muka / Page : 24
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33

Langkah-langkah keselamatan yang dilakukan dalam menyediakan audit


trail:
i. Meneliti dan melaporkan sebarang aktiviti yang diragui dengan
segera;
ii. Meneliti audit trail secara berjadual;
iii. Meneliti dan melaporkan sebarang masalah berkaitan keselamatan
dan sesuatu kejadian yang di luar kebiasaan;
iv. Menyimpan maklumat audit trail untuk jangka masa tertentu untuk
keperluan operasi; dan
v. Mengawal maklumat audit trail daripada dihapus, diubahsuai,
penipuan atau re-sequencing.

11.4 Backup

Bagi memastikan sistem dapat dipulihkan sepenuhnya jika berlaku


sebarang masalah atau kerosakan, proses backup secara berjadual perlu
dilakukan termasuk apabila berlakunya perubahan konfigurasi pada sistem
pengoperasian. Backup perlu disimpan di dalam bilik yang selamat.
Langkah-langkah bagi penyediaan backup ialah :
i. Prosedur backup/restore didokumenkan;
ii. Menyimpan 3 generasi backup;
iii. Menyimpan salinan backup di tempat lain yang selamat; dan
iv. Media backup dan prosedur restore diuji dua (2) kali setahun.

11.5 Penyelenggaraan

Bagi memastikan integriti sistem pengoperasian daripada terdedah kepada


sebarang pencerobohan keselamatan, laksanakan kawalan-kawalan
berikut :

i. Patches dan Kelemahan Sistem (Vulnerabilities)


Patches dan kelemahan sistem sentiasa dijumpai dan bagi
Muka / Page : 25
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
mengatasinya, sentiasa dapatkan patches yang terkini daripada
agensi keselamatan berdaftar seperti MyCERT (Malaysian Computer
Emergency Response Team) di alamat web
http://www.mycert.org.my/.

ii. Peningkatan (upgrades)


Satu prosedur pengemaskinian sistem pengoperasian daripada
serangan dan ancaman diwujudkan.

12. Keselamatan Sistem Aplikasi

Semua capaian ke sistem aplikasi mestilah oleh pengguna yang berdaftar.


Langkah-langkah pengawalan perlu dilaksanakan bagi menjamin keselamatan
sistem.

12.1 Perisian Aplikasi

Di dalam perisian aplikasi, kawalan keselamatan perlu dilaksanakan untuk


mengelakkan berlakunya capaian oleh pengguna yang tidak sah,
pengubahsuaian, pendedahan atau penghapusan maklumat. Kawalan
tersebut merangkumi :

i. Sistem keselamatan bersepadu dengan kemudahan kawalan capaian


di dalam sistem pengoperasian yang membenarkan pengurusan ID
pengguna dan kata laluan secara berpusat;
ii. Struktur profil capaian yang mengawal capaian maklumat dan fungsi-
fungsi berdasarkan peranan dan keperluan capaian;
iii. Kawalan capaian secara konsisten terhadap maklumat yang di
replicate kepada pelbagai platform;
iv. Kawalan aplikasi yang menentukan akauntabiliti tertentu kepada
setiap pengguna untuk setiap transaksi; dan
v. Dasar kepunyaan (ownership) kepada maklumat.

12.2 Pangkalan Data

Kawalan perlu dilaksanakan untuk menghalang capaian kepada pangkalan


data dari sebarang pengubahsuaian atau pemusnahan data secara tidak
Muka / Page : 26
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
sah. Integriti maklumat yang disimpan di dalam pangkalan data boleh
dikekalkan melalui :

i. Sistem pengurusan pangkalan data yang memastikan integriti dalam


pengemaskinian dan capaian maklumat. Kawalan secara serentak
perlu untuk pangkalan data yang dikongsi bersama;
ii. Kawalan capaian kepada maklumat ditentukan oleh Pentadbir Sistem;
iii. Mekanisma kawalan capaian kepada sumber maklumat fizikal bagi
mengawal capaian kepada sistem pengurusan maklumat, aplikasi dan
pengguna; dan
iv. Melaksanakan tugas-tugas rutin pangkalan data seperti :
a) Semakan database consistency;
b) Semakan penggunaan ruang storan;
c) Pemantauan aktiviti pangkalan data;
d) Pemantauan aktiviti server dan pengguna (auditing);
e) Melaksanakan backup/restore; dan
f) Performance tuning.

12.3 Pengujian Aplikasi

Salah satu aspek pembangunan sistem aplikasi ialah pengujian yang


dilaksanakan pada beberapa peringkat iaitu koding aturcara, modul, sistem
aplikasi, integrasi sistem aplikasi dan pengujian pengguna. Ia melibatkan
pengujian aplikasi baru, penambahbaikan kepada aplikasi semasa atau
pemindahan daripada perkakasan lama kepada baru. Pengujian perlu bagi
memastikan sistem berfungsi berdasarkan kepada spesifikasi yang
ditetapkan.

Bagi menghalang maklumat daripada didedah atau diproses secara tidak


sepatutnya semasa pengujian :
i. Gunakan data dummy atau historical untuk tujuan pengujian;
ii. Mengawal penggunaan data terpilih(classified) semasa pengujian
aplikasi;
iii. Kawalan capaian untuk menghadkan capaian kepada kakitangan yang
sepatutnya;
iv. Hapuskan maklumat yang digunakan semasa pengujian sistem
Muka / Page : 27
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
(terutamanya apabila menggunakan data historical); dan
v. Menggunakan persekitaran yang berbeza untuk pembangunan sistem
dan pengoperasian sistem. Wujudkan persekitaran berasingan untuk
pembangunan sistem seperti merekabentuk, membangun, menguji
dan mengintegrasi sistem aplikasi.

12.4 Perisian yang Malicious dan Rosak (Defective)

Pembangunan perisian boleh dikategorikan kepada dua iaitu pembangunan


secara dalaman (in-house) atau outsourcing. Kedua-dua keadaan boleh
terdedah kepada perisian yang tidak berfungsi sebagai mana ditetapkan.
Kerosakan ini boleh dikesan semasa proses pengujian.

Untuk mengurangkan kemungkinan perisian yang rosak, kawalan berikut


perlu dilaksanakan :
i. Sekiranya outsourcing, dapatkan perisian daripada pembekal yang
mempunyai reputasi yang baik, rekod prestasi perkhidmatan yang baik
dan mempunyai kepakaran teknikal yang tinggi;
ii. Wujudkan program jaminan kualiti dan prosedur untuk semua perisian
yang dibangunkan secara dalaman atau outsourcing dari luar; dan
iii. Pastikan semua perisian didokumenkan, diuji, disahkan fungsinya,
tahan lasak(robustness) dan menepati spesifikasi.

12.5 Perubahan Versi (version)

Versi baru perisian bagi aplikasi, sistem pengoperasian sentiasa


dikeluarkan secara berkala bagi mengatasi masalah pepijat dan ancaman
serta meningkatkan fungsinya. Perubahan versi perisian perlu dikawal bagi
memastikan integriti perisian apabila perubahan dibuat dan ini memerlukan
pematuhan kepada prosedur kawalan perubahan.

12.6 Penyimpanan Kod Sumber (Source Code)

Bagi sistem yang diperolehi dari pembekal luar, kod sumber diperlukan
untuk tujuan debugging dan peningkatan sistem. Kawalan penyimpanan
merangkumi :
Muka / Page : 28
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33

i. Mewujudkan prosedur untuk menyelenggara versi terkini program; dan


ii. Mewujudkan perjanjian untuk keadaan di mana berlakunya kerosakan
atau bencana dan kod sumber tidak ada.

12.7 Perisian Tidak Berlesen

Perisian tidak berlesan adalah tidak sah. Pastikan penggunaan perisian


berlesen dan kawalan inventori seperti menyimpan lesen dengan selamat
serta kawalan fizikal ke atas lokasi perisian berlesen dan salinan lesen
yang dikeluarkan.

12.8 Kod Jahat (Malicious Code)

Bagi memastikan integriti maklumat daripada pendedahan atau


kemusnahan daripada malicious code seperti virus, kawalan berikut perlu
digunakan :
i. Melaksanakan prosedur untuk menguruskan malicious code;
ii. Mewujudkan polisi berkaitan memuat turun, penerimaan dan
penggunaan perisian percuma (freeware dan shareware);
iii. Menyebarkan arahan dan maklumat untuk mengesan malicious code
kepada semua pengguna; dan
iv. Mendapatkan bantuan sekiranya disyaki dijangkiti virus dan lain-lain.
Bagi memastikan keupayaan pemprosesan dapat dipulihkan akibat
serangan malicious code, beberapa langkah perlu dilaksanakan termasuk :

i. Menyimpan semua salinan utama untuk semua perisian, data dan


maklumat untuk tujuan restore; dan
ii. Memastikan semua data di backup secara berkala.

Bagi masalah serangan virus, ikuti langkah-langkah berikut :

i. Gunakan perisian anti virus yang telah diluluskan;


ii. Scan virus menggunakan kemudahan yang disediakan oleh perisian
anti-virus;
iii. Hapus dan buang virus berkenaan dengan segera;
Muka / Page : 29
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
iv. Menyemak status scanning di dalam laporan log; dan
v. Tidak melaksana (run) atau membuka fail kepilan (attachment)
daripada mel elektronik yang meragukan.

13.0 CCTV

13.1 Teknologi CCTV

CCTV sentiasa memerhatikan gerak geri penjenayah

Perkembangan teknologi komunikasi dan informasi di dunia dan Malaysia khususnya


bergerak dengan pesatnya. Segala penemuan dan kemungkinan baru telah
mengarahkan kepada terhasilnya produk teknologi yang canggih dan pelbagai fungsi.
Teknologi tersebut akhirnya memudahkan pekerjaan manusia. Termasuklah juga
dengan Sistem Keselamatan (Security Sistem) yang memainkan peranan penting di
era teknologi kini. Teknologi Sistem Keselamtan kini (Security Sistem) yang integrasi
fungsinya akan memberikan kemudahan dalam proses pengawalan, penggunaan dan
pemantuan yang mana lebih akurasi dan outomatik.
Sistem CCTV yang lazim biasanya terdiri dari beberapa kamera tertutup yang di
tempatkan pada suatu tempat-tempat tertentu. Segala kejadian yang ada, dapat di
pantau dengan monitor tv,lcd dan sebagainya. Segala perjalanan aktiviti boleh dirakam
(hasil rakaman dapat di mainkan kembali apabila perlu) untuk bahan bukti dan
sebagainya.

Keperluan CCTV Malaysia kini merupakan suatu keperluan yang penting dalam
menjaga keselamatan keluarga, bangunan/gudang dan aset-aset lain yang penting.
Ditambah pula kini terdapat ancaman-ancaman oleh pihak yang tidak
bertanggungjawab, kes jenayah pembantu rumah, perusuh, Pecah rumah, dan
sebagainya, maka kepentingan CCTV Malaysia adalah ditahap yang amat tinggi.
Muka / Page : 30
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
Penggunaan CCTV Malaysia telah membawa kepada kemajuan sistem keselamatan
dimana ia adalah sebagai perakam bukti segala jenayah yang hendak dibawa ke
mahkamah keadilan. CCTV Malaysia tidak lagi semahal nilainya yang lebih
bernilai,namun harganya kini semakin mampu dimiliki malah oleh golongan
pertengahan.

13.2 LEVEL ONE IP Camera

Sebuah kamera rangkaian terutamanya terdiri daripada kanta, satu sensor imej,
pemproses imej, SoC mampatan video (Sistem Cip) dan cip Ethernet yang
menawarkan sambungan rangkaian untuk data penghantaran.

Apabila lampu melalui kanta untuk sensor, ia ditukar kepada isyarat digital dan
kemudian diproses oleh pemproses isyarat digital terbina dalam. Data video diproses
kemudiannya dimampatkan oleh SoC multimedia untuk mencapai saiz data yang lebih
kecil untuk penghantaran optimum. Akhirnya, video yang Imej-imej yang dihantar
melalui Internet untuk peranti-akhir belakang untuk membolehkan melihat dan
penyimpanan. Serta mampatan video, SoC yang dibina dengan CPU RISC untuk
sistem pemprosesan dan data rangkaian.

Antara muka umum kamera rangkaian termasuk soket kord kuasa, soket Ethernet,
audio I / O port dan digital I / O port.
Jenis Kamera IP
Kamera rangkaian boleh direka untuk kegunaan dalaman atau luaran. Kamera
rangkaian luar biasanya mempunyai, perumahan perlindungan luar untuk melindungi
kamera dari persekitaran cuaca yang keras dan dari vandalisme atau mengganggu.
Kandang luaran juga disediakan untuk menukar kamera tertutup untuk kegunaan luar.
Tambahan pula, sebagai jumlah perubahan ringan sepanjang hari, kamera rangkaian
luar biasanya menampilkan kanta iris auto untuk mengawal jumlah cahaya sensor imej
menerima untuk mengelakkan terlalu terdedah dan imej tidak boleh digunakan.
Sama ada dalaman atau luaran, kamera rangkaian boleh lagi dikelaskan kepada tetap,
kubah tetap, PTZ, dan kamera PTZ rangkaian kubah oleh titik reka bentuk mekanikal
pandangan.
Muka / Page : 31
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
Fixed IP Camera (Cube Type)

Ini adalah peringkat kemasukan kamera IP, biasanya


dilengkapi dengan menapis CMOS dan mempunyai
bidang tetap berpendapat

Fixed IP Camera (Box Type)

Sebuah kamera rangkaian tetap, yang dilengkapi dengan


kanta tetap atau Varifocal, menunjukkan arah tetap untuk
memantau kawasan tertentu. Terdapat beberapa
kandang kamera pilihan termasuk kandang untuk
pemasangan luar dan kandang dengan LED IR untuk
persekitaran Hari / Malam luar

Fixed Dome IP Camera

Jenis ini kebanyakannya dipasang untuk pengawasan


dalaman yang dipasang di siling.
Kamera jenis ini IP dilengkapi dengan kanta bukan
berubah.
Muka / Page : 32
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33
14.0 Kesimpulan

Dengan aspek keselamatan ( kerahsiaan, keutuhan dan kebolehsediaan) yang di titik


berat, imej organisasi meningkat, data dan maklumat terselamat dari sebarang
ancaman dan ketidakebalan adalah terkawal.

Undang-undang perlu diadakan bagi memastikan setiap pengguna mematuhi sesuatu


perkara. Jika seseorang melanggarnya, mereka akan dikenakan tindakan undang-
undang. Perkara ini boleh dikaitkan dengan pembuat penggunaan dan
penyelenggaraan sistem komputer.

Pada peringkat syarikat, organisasi perlu mengadakan polisi, peraturan dan prosidur
bagi setiap perkara yang tersabit dengan keselamatan komputer. Sebagai contoh,
peraturan menggunakan komputer. Peraturan telah mengariskan bahawa seseorang
kaki tangan tidak dibenarkan membocor rahsia syarikat, menghadkan penggunaan
komputer pada kaki tangan berdaftar dan perlu ada pengawasan automatik atau
pentadbir sistem di bilik komputer.

Pada peringkat nasional dan dunia, kerajaan perlu mengadakan undang-undang yang
bersabit dengan komputer. Misalnya kerajaan Malaysia telah mengujudkan undnag-
undang siber. Undang-undang siber termasuk akta jenayah komputer, akta
tandatangan digital dan akta cetak rompak. Pada masa akan datang, akta mengenai
urusan e-dagang di internet dan sebagainya akan diwujudkan.
Muka / Page : 33
NO. KOD / CODE NUM. T-020-4:2013/C03/P(1/3)
Drpd/of : 33

Soalan :

1. Apakah yang dimaksudkan dengan Keselamatan Komputer ?

___________________________________________________________________
___________________________________________________________________
___________________________________________________________________

2. Nyatakan 4 bentuk ancaman

I. ________________________________
II. ________________________________
III. ________________________________
IV. ________________________________

RUJUKAN :-

1. http://foxtain.tripod.com/network.html 30/01/20114 10:00 a.m


2. http://ihashimi.aurasolution.com/networking/peralatan.pdf 31/02/2014 12:00 p.m
3. KWEI INFORMATION (SIRI KOMPITER DIY)
4. PC DIY 2000