BAB I

PENDAHULUAN

1.1 Latar Belakang

Perkembangan teknologi informasi pada abad ke 21 ini telah memberikan

kepraktisan bagi masyarakat modern untuk melakukan berbagai kegiatan komunikasi
secara elektronik salah satunya dalam bidang seperti perdagangan pendidikan dan
perbankan. Kegiatan berbisnis secara elektronik ini dikenal dengan nama e-commerce.
Dengan teknologi informasi khususnya dengan jaringan computer yang luas seperti
internet. Barang dan jasa dapat dipromosikan secara luas dalam skala global.
Kepada calon konsumen pun diberikan kemudahan-kemudahan yang memungkinkan
mereka mengakses dan membeli produk dan jasa yang dimaksud secara praktis. Urian
Misalnya pelayanan kartu kredit. Perkembangan ini rupanya membawa serta dampak
negative dalam hal keamanan. Praktek-praktek kejahatan dalam jaringan computer
kerap terjadi dan meresahkan masyarakat, misalnya pencurian sandi lewat dan nomor
rahasia kartu kredit. Akibat dari hal seperti ini aspek keamanan dan penggunaan jaringan
computer menjadi hal yang krusial.
Terdapat teknik serangan yang mendasarkan pada bunyi yang dihasilkan dari
peralatan seperti keyboard PC. Yaitu dengan membedakan bunyi yang dikeluarkan.
Sehingga metode ini dapat mengetahui tombol-tombol yang ditekan. Dalam
pengaplikasian lebih lanjut dapat diterapkan pada mesin computer notebook, telepon,
sampai mesin ATM. Serangan menggunakan metode ini murah dan tidak langsung.
Murah karena selain tambahan computer, yang dibutuhkan hanyalah sebuah
microphone parabolic. Disebut tidak langsung karena tidak membutuhkan adanya
serangan fisik langsung ke system bunyi dapat direkam menggunakan peralatan
tamabahan.

1
1.2 Rumusan Masalah
Berdasarkan latar belakang yang ada diatas saya merumuskan masalah yang akan
dibahas yaitu:
1. Apa pengertian keamanan sistem informasi ?
2. Apa yang menjadi ancaman keamanan sistem informasi ?
3. Apa kelemahan keamanan sistem informasi ?
4. Apa saja sasaran utama keamanan sistem informasi ?
5. Apa saja ancaman virus keamanan sistem informasi ?
6. Bagaimana cara pengamanan sistem informasi ?
7. Apa saja kebijakan keamanan sistem informasi ?

1.3 Tujuan
Tujuan dalam penyusunan makalah ini adalah untuk mengetahui salah satu tugas
mata kuliah Sistem Informasi Manajemen. Adapun tujuan dari penyusunan
makalah ini adalah :
1. Untuk mengetahui apa pengertian keamanan sistem informasi.
2. Untuk mengetahui apa yang menjadi ancaman sistem informasi.
3. Untuk mengetahui apa kelemahan keamanan sistem informasi.
4. Untuk mengetahui sasaran utama keamanan sistem informasi.
5. Untuk mengetahui ancaman virus keamanan sistem informasi.
6. Untuk mengetahui bagaimana cara mengamankan sistem informasi.
7. Untuk mengetahui kebijakan keamanan sistem informasi.
 BAB II

PEMBAHASAN

2.1 Pengertian Keamanan Sistem Informasi

Menurut G. J. Simons, keamanan informasi adalah bagaimana kita

dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi
adanya penipuan di sebuah sistem yang berbasis informasi, dimana
informasinya sendiri tidak memiliki arti fisik.

Selain itu keamanan sistem informasi bisa diartikan sebagai

kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk
mencegah akses yang tidak sah, perubahan program, pencurian, atau
kerusakan fisik terhadap sistem informasi. Sistem pengamanan terhadap
teknologi informasi dapat ditingkatkan dengan menggunakan teknik-
teknik dan peralatan-peralatan untuk mengamankan perangkat keras
dan lunak komputer, jaringan komunikasi, dan data.

keamanan jaringan internet adalah Manajemen pengelolaan keamanan

yang bertujuan mencegah, mengatasi, dan melindungi berbagai sistem
informasi dari resiko terjadinya tindakan ilegal seperti penggunaan tanpa izin,
penyusupan, dan perusakan terhadap berbagai informasi yang di
miliki. Resiko terhadap keamanan sistem informasi mencakup dua hal utama
yaitu ancaman terhadap keamanan system informasi dan kelemahan
keamanan system informasi.

Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam
sistem informasi yaitu :

 Efektifitas
 Efisiensi
 Kerahaasiaan
 Integritas
  Keberadaan (availability)
 Kepatuhan (compliance)
 Keandalan (reliability)

Untuk menjamin hal tersebut maka keamanan sistem informasi baru

dapat terkriteriakan dengan baik. Adapun kriteria yag perlu di perhatikan
dalam masalah keamanan sistem informasi membutuhkan 10 domain
keamanan yang perlu di perhatikan yaitu :

1. Akses kontrol sistem yang digunakan

2. Telekomunikasi dan jaringan yang dipakai
3. Manajemen praktis yang di pakai
4. Pengembangan sistem aplikasi yang digunakan
5. Cryptographs yang diterapkan
6. Arsitektur dari sistem informasi yang diterapkan
7. Pengoperasian yang ada
8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
10. Tata letak fisik dari sistem yang ada

`Dari domain tersebutlah isu keamanan sistem informasi dapat kita

klasifikasikan berdasarkan ancaman dan kelemahan sistem yang dimiliki.

2.2 Ancaman pada Sistem Informasi

Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi

baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu
keseimbangan sistem informasi.Ancaman terhadap keamanan informasi
berasal dari individu, organisasi, mekanisme, atau kejadian yang memiliki
potensi untuk menyebabkan kerusakan pada sumber-sumber informasi.Pada
kenyataannya ancaman dapat bersifat internal, yaitu berasal dari dalam
perusahaan, maupun eksternal atau berasal dari luar perusahaan. Ancaman
juga dapat terjadi secara sengaja ataupun tidak sengaja..Ancaman selama ini
hanya banyak di bahas dikalangan akademis saja.Tidak banyak masyarakat
yang mengerti tentang ancaman bagi keamanan sistem informasi mereka.
Masyarakat hanya mengenal kejahatan teknologi dan dunia maya hanya
apabila sudah terjadi “serangan“ atau “attack”. Sebuah hal yang perlu
disosialisasikan dalam pembahasan tentang keamanan sistem terhadap
masyarakat adalah mengenalkan “ancaman” kemudian baru mengenalkan
‘serangan’ kepada masyarakat. Perlu di ketahui bahwa serangan dimulai
dengan ancaman, dan tidak akan ada serangan sebelum adanya ancaman.
Serangan dapat diminimalisir apabila ancaman sudah diprediksi dan
dipersiapkan antisipasi sebelumnya atau mungkin sudah dihitung terlebih
dahulu melalui metode -metode penilaian resiko dari sebuah ancaman. Ada
beberapa metode yang digunakan dalam mengklasifikasikan ancaman, salah
satunya adalah Stride Method ( metode stride ) . STRIDE merupakan
singkatan dari:

-Spoofing yaitu menggunakan hak akses / Mengakses sistem dengan

menggunakan identitas orang lain .

-Tampering yaitu tanpa mempunyai hak akses namun dapat mengubah data
yang ada didalam database.

-Repudiation yaitu membuat sebuah sistem atau database dengan sengaja

salah, atau sengaja menyisipkan bugs, atau menyertakan virus tertentu
didalam aplikasi sehingga dapat digunakan untuk mengakses sistem pada
suatu saat.

-Information disclosure yaitu membuka atau membaca sebuah informasi

tanpa memiliki hak akses atau membaca sesuatu tanpa mempunyai hak
otorisasi.
 -Denial of service yaitu membuat sebuah sistem tidak bekerja atau tidak
dapat digunakan oleh orang lain.

-Elevation of priviledge yaitu menyalahgunakan wewenang yang dimiliki

untuk mengakses sebuah sistemuntuk kepentingan pribadi.

Dalam hal ancaman ini dapat diberikan contoh didalam dunia nyata
apabila seseorang diketahui membawa senjata tajam kemanapun dia pergi
maka dapat dikatakan orang tersebut dapat merupakan ancaman bagi orang
lain. Hal lain didunia nyata adalah pada saat diketahui seseorang membawa
kunci T di sakunya maka dapat disimpulkan orang tersebut adalah merupakan
ancaman bagi orang lain yang membawa kendaraan bermotor. Didalam dunia
keamanan sistem atau dunia teknologi informasi seseorang dapat dikatakan
berpotensi sebagai ancaman apabila memiliki hal sebagai berikut:

a) Kewenangan tinggi untuk login kedalam sebuah sistem.

b) Memiliki hak akses ( password ) seseorang yang dia ketahui dari

berbagai sumber.

c) Memiliki banyak sekali koleksi tools untuk meretas sebuah sistem dan
keahlian dibidang itu.

d) Orang yang membangun sebuah sistem dapat pula menjadi ancaman

bagi sistem tersebut.

2.3 Kelemahan Sistem Informasi

Kelemahan dari suatu sistem yang mungkin timbul pada saat

mendesain, menetapkan prosedur, mengimplementasikan maupun
kelemahan atas sistem kontrol yang ada sehingga memicu tindakan
pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut.
Cacat sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak
yang dimiliki, contoh yang mungkin terjadi seperti : Seting firewall yang
 membuka telnet sehingga dapat diakses dari luar, atau Seting VPN yang tidak
di ikuti oleh penerapan kerberos atau NAT.

Suatu pendekatan keamanan sistem informasi minimal menggunakan

3 pendekatan, yaitu :

1. Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadikan

ancaman dan kelemahan

2. Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan

dan proses yang mengubah sistem dari keadaan normal menjadi keadaan
abnormal

3. Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang

sudah tidak seimbang untuk dikembalikan dalam keadaan normal

Tindakan tersebutlah menjadikan bahwa keamanan sistem informasi tidak

dilihat hanya dari kaca mata timbulnya serangan dari virus, mallware, spy
ware dan masalah lain, akan tetapi dilihat dari berbagai segi sesuai dengan
domain keamanan sistem itu sendiri.

2.4 Sasaran Utama Keamanan Sistem Informasi

Suatu perusahaan memiliki sederetan tujuan dengan diadakannya

sistem informasi yang berbasis komputer di dalam perusahaan. Keamanan
informasi dimaksudkan untuk mencapai tiga sasaran utama yaitu:

1. Kerahasiaan

Melindungi data dan informasi perusahaan dari penyingkapan orang-orang

yang tidak berhak. Inti utama dari aspek kerahasiaan adalah usaha untuk
menjaga informasi dari orang-orang yang tidak berhak mengakses.Privacy
lebih kearah data-data yang sifatnya privat.Serangan terhadap aspek privacy
misalnya usaha untuk melakukan penyadapan.Usaha-usaha yang dapat
dilakukan untuk meningkatkan privacy adalah dengan menggunakan
teknologi kriptografi.Kriptografi adalah ilmu yang mempelajari teknik-teknik
 matematika yang berhubungan dengan aspek keamanan informasi seperti
keabsahan, integritas data, serta autentikasi data.

2. Ketersediaan

Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi

benar-benar asli, atau orang yang mengakses atau memberikan informasi
adalah betul-betul orang yang dimaksud. Masalah pertama untuk
membuktikan keaslian dokumen dapat dilakukan dengan
teknologi watermarking dan digital signature.Watermarking juga dapat
digunakan untuk menjaga intelektual property, yaitu dengan
menandatangani dokumen atau hasil karya pembuat. Masalah kedua
biasanya berhubungan dengan akses control, yaitu berkaitan dengan
pembatasan orang-orang yang dapat mengakses informasi. Dalam hal ini
pengguna harus menunjukkan bahwa memang dia adalah pengguna yang sah
atau yang berhak menggunakannya.

3. Integritas

Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin
pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang
mengubah informasi tanpa izin. Sistem informasi perlu menyediakan
representasi yang akurat dari sistem fisik yang direpresentasikan.

2.5 Ancaman Virus Keamanan Sistem Informasi

Ancaman yang paling terkenal dalam keamanan sistem informasi

adalah virus. Virus adalah sebuah program komputer yang dapat mereplikasi
dirinya sendiri tanpa pengetahuan pengguna. Ancaman dalam sistem
informasi merupakan serangan yang dapat muncul pada sistem yang
digunakan. Serangan dapat diartikan sebagai “tindakan yang dilakukan
denganmenggunakan metode dan teknik tertentu dengan berbagai tools
yang diperlukansesuai dengan kebutuhan yang disesuaikan dengan objek
 serangan tertentu baikmenggunakan serangan terarah maupun acak“.
Serangan yang terjadi terhadapsebuah sistem jaringan dikalangan praktisi
lazim sering disebut dengan penetration.Dalam materi keamanan sistem
dikenal sangat banyak dan beragam teknik serangan terhadap sebuah sistem
sesuai dengan sifat dan karakteristiknya. Teknik serangan semakin lama
semakin canggih dan sangat sulit di prediksi dan dideteksi.Beberapa contoh
serangan yang dapat mengancam sebuah sistem adalah sebagai berikut :

- Virus
Virus dikenal sejak kemunculannya pertama kali pada pertengahan
tahun 1980-an, virus berkembang pesat seiring dengan pesatnya
perkembangan teknologi komputer. Virus selalu menemukan dan
menyesuaikan diri untuk menyebarkan dirinya dengan berbagai macam cara.
Pada dasarnya, virus merupakan program komputer yang bersifat “malicious”
(memiliki tujuan merugikan maupun bersifat mengganggu pengguna sistem)
yang dapat menginfeksi satu atau lebih sistem komputer melalui berbagai
cara penularan yang dipicu oleh otorasisasi atau keterlibatan “user” sebagai
pengguna komputer. Kerusakan yang dapat ditimbulkan pun bermacam-
macam mulai dari yang mengesalkan sampai kepada jenis kerusakan yang
bersifat merugikan dalam hal finansial. Dilihat dari cara kerjanya, virus dapat
dikelompokkan sebagai berikut:

ü Overwriting Virus – merupakan penggalan program yang dibuat sedemikian

rupa untuk menggantikan program utama (baca: host) dari sebuah program
besar sehingga dapat menjalankan perintah yang tidak semestinya.

ü Prepending Virus – merupakan tambahan program yang disisipkan pada

bagian awal dari program utama atau “host” sehingga pada saat dieksekusi,
program virus akan dijalankan terlebih dahulu sebelum program yang
sebenarnya dijalankan.
ü Appending Virus – merupakan program tambahan yang disisipkan pada
bagian akhir dari program (host) sehingga akan dijalankan setelah program
sebenarnya tereksekusi.

ü File Infector Virus – merupakan penggalan program yang mampu memiliki

kemampuan untuk melekatkan diri (baca: attached) pada sebuah file lain,
yang biasanya merupakan file “executable”, sehingga sistem yang
menjalankan file tersebut akan langsung terinfeksi.

ü Boot Sector Virus – merupakan program yang bekerja memodifikasi

program yang berada di dalam boot sector pada cakram penyimpan (baca:
disc) atau disket yang telah diformat. Pada umumnya, sebuah boot sector
virus akan terlebih dahulu mengeksekusi dirinya sendiri sebelum proses
“boot-up” pada komputer terjadi, sehingga seluruh “floppy disk” yang
digunakan pada komputer tersebut akan terjangkiti pula, hal ini sering terjadi
pada USB Flashdisk.

ü Multipartite Virus – merupakan kombinasi dari Infector Virus dan Boot

Sector Virus dalam arti kata ketika sebuah file yang terinfeksi oleh virus jenis
ini dieksekusi, maka virus akan menjangkiti boot sector dari hard disk atau
partition sector dari computer tersebut, dan sebaliknya.

ü Macro Virus - menjangkiti program “macro” dari sebuah file data atau
dokumen (yang biasanya digunakan untuk “global setting” seperti pada
template Microsoft Word) sehingga dokumen berikutnya yang diedit oleh
program aplikasi tersebut akan terinfeksi pula oleh penggalan program macro
yang telah terinfeksi sebelumnya.

Agar selalu diperhatikan bahwa sebuah sistem dapat terjangkit virus adalah
disebabkan oleh campur tangan pengguna. Campur tangan yang dimaksud
misalnya dilakukan melalui penekanan tombol pada keyboard, penekanan
tombol pada mouse, penggunaan USB pada komputer, pengiriman file via
 email, dan lain sebagainya. (Richardus eko indrajit : seri artikel “aneka
serangan didunia maya).

- Worms
Istilah “worms” yang tepatnya diperkenalkan kurang lebih setahun
setelah “virus” merupakan program malicious yang dirancang terutama untuk
menginfeksi komputer yang berada dalam sebuah sistem jaringan. Walaupun
sama-sama sebagai sebuah penggalan program, perbedaan prinsip yang
membedakan worms dengan virus adalah bahwa penyebaran worm tidak
tergantung pada campur tangan manusia atau pengguna. Worms merupakan
program yang dibangun dengan algoritma tertentu sehingga mampu untuk
mereplikasikan dirinya sendiri pada sebuah jaringan komputer tanpa melalui
bantuan maupun keterlibatan pengguna. Pada mulanya worms diciptakan
dengan tujuan untuk mematikan sebuah sistem atau jaringan komputer.
Namun belakangan ini telah tercipta worms yang mampu menimbulkan
kerusakan luar biasa pada sebuah sistem maupun jaringan komputer, seperti
merusak file-file penting dalam sistem operasi, menghapus data pada hard
disk, menghentikan aktivitas komputer , dan hal-hal destruktif lainnya.
Karena karakteristiknya yang tidak melibatkan manusia, maka jika sudah
menyebar sangat sulit untuk mengontrol atau mengendalikannya. Usaha
penanganan yang salah justru akan membuat pergerakan worms menjadi
semakin liar tak terkendali untuk itulah dipergunakan penanganan khusus
dalam menghadapinya.

- Trojan Horse

Istilah “Trojan Horse” atau Kuda Troya diambil dari sebuah taktik
perang yang digunakan untuk merebut kota Troy yang dikelilingi benteng
yang kuat. Pihak penyerang membuat sebuah patung kuda raksasa yang di
dalamnya memuat beberapa prajurit yang nantinya ketika sudah berada di
dalam wilayah benteng akan keluar untuk melakukan peretasan dari dalam.
Ide ini mengilhami sejumlah hacker dan cracker dalam membuat virus atau
worms yang cara kerjanya mirip dengan fenomena taktik perang ini,
mengingat banyaknya antivirus yang bermunculan maka mereka
menciptakan sesuatu yang tidak dapat terdeteksi oleh antivirus.

Berdasarkan teknik dan metode yang digunakan, terdapat beberapa jenis

Trojan Horse, antara lain:

ü Remote Access Trojan - kerugian yang ditimbulkan adalah komputer korban

dapat diakses menggunakan remote program.

ü Password Sending Trojan - kerugian yang ditimbulkan adalah password

yang diketik oleh komputer korban akan dikirimkan melalui email tanpa
sepengetahuan dari korban serangan.

ü Keylogger - kerugian yang ditimbulkan adalah ketikan atau input melalui

keyboard akan dicatat dan dikirimkan via email kepada hacker yang
memasang keylogger.

ü Destructive Trojan – kerugian yang ditimbulkan adalah file-file yang

terhapus atau hard disk yang diformat oleh Trojan jenis ini.

ü FTP Trojan – kerugian yang terjadi adalah dibukanya port 21 dalam sistem
komputer tempat dilakukannya download dan upload file.

ü Software Detection Killer – kerugiannya dapat mencium adanya

programprogram keamanan seperti zone alarm, anti-virus, dan aplikasi
keamanan lainnya.

ü Proxy Trojan – kerugian yang ditimbulkan adalah di-“settingnya” komputer

korban menjadi “proxy server” agar digunakan untuk melakukan “anonymous
telnet”, sehingga dimungkinkan dilakukan aktivitas belanja online dengan
kartu kredit curian dimana yang terlacak nantinya adalah komputer korban,
bukan komputer pelaku kejahatan.
2.6 Pengamanan Sistem Informasi

Pada umumnya, pengamanan dapat dikategorikan menjadi dua jenis:

pencegahan (preventif) dan pengobatan (recovery). Usaha
pencegahandilakukan agar sistem informasi tidak memiliki lubang
keamanan,sementara usaha-usaha pengobatan dilakukan apabila
lubangkeamanan sudah dieksploitasi.Pengamanan sistem informasi dapat
dilakukan melalui beberapalayer yang berbeda.Misalnya di layer “transport”,
dapat digunakan“Secure Socket Layer” (SSL).Metoda ini misalnya umum
digunakanuntuk Web Site. Secara fisik, sistem anda dapat juga diamankan
dengan menggunakan “firewall” yang memisahkan sistem andadengan
Internet. Penggunaan teknik enkripsi dapat dilakukan ditingkat aplikasi
sehingga data-data anda atau e-mail anda tidakdapat dibaca oleh orang yang
tidak berhak.

- Mengatur akses (Access Control)

Salah satu cara yang umum digunakan untuk mengamankaninformasi adalah

dengan mengatur akses ke informasi melaluimekanisme “access control”.
Implementasi dari mekanisme ini antaralain dengan menggunakan
“password”.Di sistem UNIX, untuk menggunakan sebuah sistem atau
komputer,pemakai diharuskan melalui
proses authentication denganmenuliskan “userid” dan “password”. Informasi
yang diberikan ini

dibandingkan dengan userid dan password yang berada di sistem.Apabila

keduanya valid, pemakai yang bersangkutan diperbolehkanmenggunakan
sistem.Apabila ada yang salah, pemakai tidak dapatmenggunakan sistem.
Informasi tentang kesalahan ini biasanyadicatat dalam berkas log. Besarnya
informasi yang dicatat bergantung kepada konfigurasi dari sistem
setempat.Misalnya, adayang menuliskan informasi apabila pemakai
memasukkanuseriddan password yang salah sebanyak tiga kali. Ada juga yang
langsungmenuliskan informasi ke dalam berkas log meskipun baru satu
 kalisalah. Informasi tentang waktu kejadian juga dicatat.Selain itu asal
hubungan (connection) juga dicatat sehingga administrator dapatmemeriksa
keabsahan hubungan.

- Memilih password

Dengan adanya kemungkinan password ditebak, misalnya

denganmenggunakan program password cracker, maka memilih
passwordmemerlukan perhatian khusus.Berikut ini adalah daftar hal-hal yang
sebaiknya tidak digunakan sebagai password.

• Nama anda, nama istri / suami anda, nama anak, ataupun nama

kawan.

• Nama komputer yang anda gunakan.

• Nomor telepon atau plat nomor kendaran anda.

• Tanggal lahir.

• Alamat rumah.

Nama tempat yang terkenal.

• Kata-kata yang terdapat dalam kamus (bahasa Indonesia maupun bahasa

Inggris)

Hal-hal di atas ditambah satu angka

Password dengan karakter yang sama diulang-ulang.

- Memasang Proteksi
 Untuk lebih meningkatkan keamanan sistem informasi, proteksidapat
ditambahkan. Proteksi ini dapat berupa filter (secara umum)dan yang lebih
spesifik adalah firewall. Filter dapat digunakanuntuk memfilter e-mail,
informasi, akses, atau bahkan dalam level packet. Sebagai contoh, di sistem
UNIX ada paket program“tcpwrapper” yang dapat digunakan untuk
membatasi akses kepadaservis atau aplikasi tertentu. Misalnya, servis untuk
“telnet” dapatdibatasi untuk untuk sistem yang memiliki nomor IP tertentu,
atau memiliki domain tertentu. Sementara firewall dapat digunakanuntuk
melakukan filter secara umum.Untuk mengetahui apakah server anda
menggunakan tcpwrapperatau tidak, periksa isi berkas
/etc/inetd.conf.Biasanya tcpwrapperdirakit menjadi “tcpd”.Apabila servis di
server anda (misalnyatelnet atau ftp) dijalankan melalui tcpd, maka server
andamenggunakan tcpwrapper.Biasanya,
konfigurasi tcpwrapper (tcpd)diletakkan di berkas /etc/hosts.allow dan
/etc/hosts.deny.

- Firewall

Firewall merupakan sebuah perangkat yang diletakkan antara Internet

dengan jaringan internal (Lihat Figure 4.1 on page 55).Informasi yang keluar
atau masuk harus melalui firewall ini.Tujuan utama dari firewall adalah untuk
menjaga (prevent) agarakses (ke dalam maupun ke luar) dari orang yang tidak
berwenang(unauthorized access) tidak dapat dilakukan. Konfigurasi dari
firewallbergantung kepada kebijaksanaan (policy) dari organisasi
yangbersangkutan, yang dapat dibagi menjadi dua jenis:

• apa-apa yang tidak diperbolehkan secara eksplisit dianggap tidak

diperbolehkan (prohibitted)

• apa-apa yang tidak dilarang secara eksplisit dianggapdiperbolehkan

(permitted)
 Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang
melewatinya. Berdasarkan konfigurasi dari firewall makaakses dapat diatur
berdasarkan IP address, port, dan arah informasi.Detail dari konfigurasi
bergantung kepada masing-masing firewall.Firewall dapat berupa sebuah
perangkat keras yang sudahdilengkapi dengan perangkat lunak tertentu,
sehingga pemakai(administrator) tinggal melakukan konfigurasi dari firewall
tersebut.Firewall juga dapat berupa perangkat lunak yang
ditambahkankepada sebuah server (baik UNIX maupun Windows NT), yang
dikonfigurasi menjadi firewall.Dalam hal ini, sebetulnya perangkatkomputer
dengan prosesor Intel 80486 sudah cukup untuk menjadifirewall yang
sederhana.

Firewall biasanya melakukan dua fungsi; fungsi (IP) filtering danfungsi proxy.
Keduanya dapat dilakukan pada sebuah perangkatkomputer (device) atau
dilakukan secara terpisah.Beberapa perangkat lunak berbasis UNIX yang
dapat digunakanuntuk melakukan IP filtering antara lain:

• ipfwadm: merupakan standar dari sistem Linux yang dapatdiaktifkan

pada level kernel

• ipchains: versi baru dari Linux kernel packet filtering yang diharapkan dapat
menggantikan fungsi ipfwadm

Fungsi proxy dapat dilakukan oleh berbagai software

tergantungkepada jenis proxy yang dibutuhkan, misalnya web proxy,
rloginproxy, ftp proxy dan seterusnya. Di sisi client sering kalaidibutuhkan
software tertentu agar dapat menggunakan proxyserver ini, seperti misalnya
dengan menggunakan SOCKS. Beberapaperangkat lunak berbasis UNIX untuk
proxy antara lain:

• Socks: proxy server oleh NEC Network Systems Labs

 • Squid: web proxy server

Informasi mengenai firewall secara lebih lengkap dapat dibaca padareferensi

[19, 24] atau untuk sistem Linux dapat dilakukan denganmengunjungi web
site berikut: <http://www.gnatbox.com>.

- Pemantau adanya serangan

Sistem pemantau (monitoring system) digunakan untuk mengetahuiadanya

tamu tak diundang (intruder) atau adanya serangan (attack).Nama lain dari
sistem ini adalah “intruder detection system” (IDS).Sistem ini dapat
memberitahu administrator melalui e-mail maupunmelalui mekanisme lain
seperti melalui pager.Ada berbagai cara untuk memantau adanya intruder.
Ada yang sifatnya aktif dan pasif. IDS cara yang pasif misalnya
denganmemonitor logfile. Contoh software IDS antara lain:

• Autobuse, mendeteksi probing dengan memonitor logfile.

• Courtney, mendeteksi probing dengan memonitor packet yang lalu

lalang

• Shadow dari SANS

- Pemantau integritas sistem

Pemantau integritas sistem dijalankan secara berkala untuk

mengujiintegratitas sistem. Salah satu contoh program yang umumdigunakan
di sistem UNIX adalah program Tripwire. Program paketTripwire dapat
digunakan untuk memantau adanya perubahan padaberkas. Pada mulanya,
tripwire dijalankan dan membuat databasemengenai berkas-berkas atau
direktori yang ingin kita amati beserta“signature” dari berkas tersebut.
Signature berisi informasi mengenaibesarnya berkas, kapan dibuatnya,
 pemiliknya, hasil checksum atauhash(misalnya dengan menggunakan
program MD5), dansebagainya. Apabila ada perubahan pada berkas tersebut,
makakeluaran dari hash function akan berbeda dengan yang ada didatabase
sehingga ketahuan adanya perubahan.

- Audit: Mengamati Berkas Log

Segala (sebagian besar) kegiatan penggunaan sistem dapat dicatatdalam

berkas yang biasanya disebut “logfile” atau “log” saja. Berkaslog ini sangat
berguna untuk mengamati penyimpangan yangterjadi. Kegagalan untuk
masuk ke sistem (login), misalnya,tersimpan di dalam berkas log. Untuk itu
para administratordiwajibkan untuk rajin memelihara dan menganalisa
berkas logyang dimilikinya.

- Backup secara rutin

Seringkali tamu tak diundang (intruder) masuk ke dalam sistem danmerusak

sistem dengan menghapus berkas-berkas yang dapatditemui.Jika intruder ini
berhasil menjebol sistem dan masuksebagai super user (administrator), maka
ada kemungkinan diadapat menghapus seluruh berkas.Untuk itu, adanya
backup yangdilakukan secara rutin merupakan sebuah hal yang
esensial.Bayangkan apabila yang dihapus oleh tamu ini adalah
berkaspenelitian, tugas akhir, skripsi, yang telah dikerjakan bertahun-
tahun.Untuk sistem yang sangat esensial, secara berkala perlu dibuat backup
yang letaknya berjauhan secara fisik.Hal ini dilakukan untuk menghindari
hilangnya data akibat bencana seperti kebakaran, banjir, dan lain sebagainya.
Apabila data-data dibackupakan tetapi diletakkan pada lokasi yang sama,
kemungkinan dataakan hilang jika tempat yang bersangkutan mengalami
bencanaseperti kebakaran.Untuk menghindari hal ini, enkripsi dapat
digunakan untukmelindungi adanya sniffing. Paket yang dikirimkan dienkripsi
dengan RSA atau IDEA sehingga tidak dapat dibaca oleh orangyang tidak
 berhak. Salah satu implementasi mekanisme ini adalahSSH (Secure Shell). Ada
beberapa implementasi SSH ini, antara lain:

• SSH untuk UNIX (dalam bentuk source code, gratis)

SSH untuk Windows95 dari Data Fellows

(komersial)http://www.datafellows.com/

• TTSSH, yaitu skrip yang dibuat untuk Tera Term Pro (gratis,untuk Windows
95)

http://www.paume.itb.ac.id/rahard/koleksi

• SecureCRT untuk Windows95 (shareware / komersial)

- Penggunaan Enkripsi untuk meningkatkan keamanan

Salah satau mekanisme untuk meningkatkan keamanan adalahdengan

menggunakan teknologi enkripsi.Data-data yang andakirimkan diubah
sedemikian rupa sehingga tidak mudah disadap.Banyak servis di Internet
yang masih menggunakan “plain text”untuk authentication, seperti
penggunaan pasangan userid danpassword.Informasi ini dapat dilihat dengan
mudah oleh programpenyadap (sniffer).Contoh servis yang menggunakan
plain text antara lain:

• akses jarak jauh dengan menggunakan telnet dan rlogin

• transfer file dengan menggunakan FTP

• akses email melalui POP3 dan IMAP4

• pengiriman email melalui SMTP

• akses web melalui HTTP

 Penggunaan enkripsi untuk remote akses (misalnya melalui sshsebagai
penggani telnet atau rlogin) akan dibahas di bagian tersendiri.
Telnet atau remote login digunakan untuk mengakses sebuah “remotesite”
atau komputer melalui sebuah jaringan komputer.Akses inidilakukan dengan
menggunakan hubungan TCP/IP denganmenggunakan userid dan
password.Informasi tentang userid danpassword ini dikirimkan melalui
jaringan komputer secara terbuka.Akibatnya ada kemungkinan seorang yang
nakal melakukan“sniffing” dan mengumpulkan informasi tentang pasangan
useriddan password ini.

2.7 Kebijakan Keamanan Sistem Informasi

Setiap organisasi akan selalu memiliki pedoman bagi karyawannya

untuk mencapai sasarannya. Setiap karyawan tidak dapat bertindak
semaunya sendiri dan tidak berdisiplin dalam melaksanakan tugasnya.Setiap
organisasi akan selalu memiliki pedoman bagi karyawannya untuk mencapai
sasarannya. Setiap karyawan tidak dapat bertindak semaunya sendiri dan
tidak berdisiplin dalam melaksanakan tugasnya.Kebijakan keamanan sistem
informasi biasanya disusun oleh pimpinan operasi beserta pimpinan ICT
(Information Communication Technology) dnegan pengarahan dari pimpinan
organisasi. Rangkaian konsep secara garis besar dan dasar bagi prosedur
keamanan sistem informasi adalah:

- Kemanan sistem informasi merupakan urusan dan tanggung jawab semua

karyawan

Karyawan diwajibkan untuk memiliki “melek” keamanan informasi.Mereka

harus mengetahui dan dapat membayangkan dampak apabila peraturan
keamanan sistem informasi diabaikan.Semua manajer bertanggung jawab
untuk mengkomunikasikan kepada semua bawahannya mengenai
pengamanan yang dilakukan di perusahaan dan meyakinkan bahwa mereka
mengetahui dan memahami semua peraturan yang diterapkan di perusahaan
dan bagiannya.
- Penetapan pemilik sistem informasi

Akan berguna sekali apabila seseorang ditunjuk sebagai pemilik sistem (atau
sistem) yang bertanggung jawab atas keamanan sistem dan data yang
dipakainya.Ia berhak untuk mengajukan permintaan atas pengembangan
sistem lebih lanjut atau pembetulan di dalam sistem yang menyangkut
bagiannya. Personel ini merupakan contact person dengan bagian ICT
(Information Communication Technology).

- Langkah keamanan harus sesuai dengan peraturan dan undang-undang

Tergantung dari bidang yang ditekuni, perusahaan harus mematuhi undang-

undang yang telah ditetapkan yang berkaitan dengan proteksi data, computer
crime, dan hak cipta.

- Antisipasi terhadap kesalahan

Dengan meningkatkan proes transaksi secara online dan ral time dan
terkoneksi sistem jaringan internaisonal, transaksi akan terlaksanaka hanya
dalam hitunngan beberapa detik dan tidak melibatkan manusia. Transaksi
semacam ini apabila terjadi kesalahan tidak dapat langsung diperbaiki atau
akan menyita banyak waktu dan upaya untuk memperbaikinya. Antisipasi dan
pencegahan dengan tindakan keamanan yang ketat akan memberikan garansi
atas integritas, kelanjutan, dan kerahasiaan transaksi yang terjadi. Tindakan
pecegahan tambahan harus diimplementasikan agar dapat mendeteksi dan
melaporkan kesalahan yang terjadi sehingga kejanggalan dapat ikoreksi
secepat mungkin.

- Pengaksesan ke dalam sistem harus berdasarkan kebutuhan fungsi

User harus dapat meyakinkan kebutuhannya untuk dapat mengakses ke

sistem sesuai dnegan prinsip “need to know”. Pemilik sistem harus
bertanggung jawab atas pemberian akses ini.
- Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk
diproses di sistem informasi

Sistem computer milik perusahaan beserta jaringannya hanya diperbolehkan

untuk dipakai demi kepentingan bisnis perusahaan.Data perusahaan hanya
diperbolehkan dipakai untuk bisnis perusahaan dan pemilik sistem
bertanggung jawab penuh atas pemberian pengaksesan terhadap data
tersebut.

- Pekerjaan yang dilakukan oleh pihak ketiga

Apabila pihak ketiga melakukan pekerjaan yang tidak dapat ditangani oleh
perusahaan, maka perusahaan harus dilindungi oleh keamanan atas informasi
perusahaan.Di dalam kontrak harus didefinisikan agar pihak ketiga mematuhi
peraturan dan keamanan sistm informasi perusahaan.Manajemen harus
bertanggung jawab agar pihak ketiga mematuhi dan mengikuti peraturan
keamanan yang telah ditentukan.

- Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan

pemakai akhir sistem informasi

Untuk menjaga kestabilan sistem informasi di lingkungan perusahaan,

dianjurkan agar diadakan pemisahan secara fungsional antara pengembang
sistem, pengoperasian sistem harian dan pemakai akhir. Untuk mencapai
tujuan ini, pihak ICT terutama bagian pengembangan sistem tidak dibenarkan
apabila ia menangani administrasi yang menyangkut keamanan sistem.

- Implementasi sistem baru atau permintaan perubahan terhadap sistem yang

sudah ada harus melalui pengontrolan yang ketat melalui prosedur sistem
akseptasi dan permintaan perubahan (change request)

Perubahan terhadap sistem informasi hanya melalui prosedur yang berlaku

untuk pengembangan dan implementasi sistem baru. Setiap permintaan
perubahan program harus disertai alasan yang kuat serta keuntungan yang
akan didapatkan dan pemohon harus dapat meyakini manajer terkait dan
 pemilik sistem mengenai perubahan ini. Oleh karena itu, sangat penting
apabila semua pihak yang terkait harus menandatangani “change request”
sebelum kegiatan ini dimulai.

- Sistem yang akan dikembangkan harus sesuai dengan standart

metode pengembangan sistem yang diemban oleh organisasi

Sistem yang akan dibangun harus memakai bahasa pemograman yang telah
ditetapkan. Tidak dibenarkan apabila programer membuatnya dengan
bermacam-macam bahasa pemograman.Patut dipertimbangkan semua risiko
keamanan beserta penanggulannya di dalam sistem.Sebelum sistem aplikasi
diimplementasikan, pemilik sistem harus mengevaluasi dan menilai keadaan
keamanan di dalam aplikasi tersebut.

- Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan

dengan memakai kode identiitasnya (user-ID)

Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua

aktivitas yang dilakukan dengan ID ini akan terekam di dalam audit-trial.
Pemakai tidak dapat memungkiri bukti ini, apabila terjadi kesalahan fatal
yang mengakibatkan kerugian terhadap perusahaan. Kesalahan yang
berdampak akan mengakibatkan peringatan atau pemutusan hubungan kerja
terhadap pemilik user-ID ini.
 BAB III

PENUTUP

3.1 Kesimpulan

Keamanan informasi adalah bagaimana kita dapat mencegah

penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di
sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak
memiliki arti fisik. Selain itu keamanan sistem informasi bisa diartikan
sebagai kebijakan, prosedur, dan pengukuran teknis yang digunakan
untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau
kerusakan fisik terhadap sistem informasi. Sistem pengamanan terhadap
teknologi informasi dapat ditingkatkan dengan menggunakan teknik-
teknik dan peralatan-peralatan untuk mengamankan perangkat keras
dan lunak komputer, jaringan komunikasi, dan data.
Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi
baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu
keseimbangan sistem informasi.Ancaman terhadap keamanan informasi
berasal dari individu, organisasi, mekanisme, atau kejadian yang memiliki
potensi untuk menyebabkan kerusakan pada sumber-sumber informasi
Kelemahan dari suatu sistem yang mungkin timbul pada saat
mendesain, menetapkan prosedur, mengimplementasikan maupun
kelemahan atas sistem kontrol yang ada sehingga memicu tindakan
pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut.
Cacat sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak
yang dimiliki, contoh yang mungkin terjadi seperti : Seting firewall yang
membuka telnet sehingga dapat diakses dari luar, atau Seting VPN yang tidak
di ikuti oleh penerapan kerberos atau NAT.
Suatu perusahaan memiliki sederetan tujuan dengan diadakannya
sistem informasi yang berbasis komputer di dalam perusahaan. Keamanan
informasi dimaksudkan untuk mencapai tiga sasaran utama yaitu :
 Kerahasiaan,Ketersediaan dan Intregitas. .
Ancaman yang paling terkenal dalam keamanan sistem informasi
adalah virus.Virus adalah sebuah program komputer yang dapat mereplikasi
dirinya sendiri tanpa pengetahuan pengguna. Ancaman dalam sistem
informasi merupakan serangan yang dapat muncul pada sistem yang
digunakan. Serangan dapat diartikan sebagai “tindakan yang dilakukan
denganmenggunakan metode dan teknik tertentu dengan berbagai tools
yang diperlukansesuai dengan kebutuhan yang disesuaikan dengan objek
serangan tertentu baikmenggunakan serangan terarah maupun acak“.
Serangan yang terjadi terhadapsebuah sistem jaringan dikalangan praktisi
lazim sering disebut dengan penetration.Dalam materi keamanan sistem
dikenal sangat banyak dan beragam teknik serangan terhadap sebuah sistem
sesuai dengan sifat dan karakteristiknya. Teknik serangan semakin lama
semakin canggih dan sangat sulit di prediksi dan dideteksi.
Rangkaian konsep secara garis besar dan dasar bagi prosedur
keamanan sistem informasi adalah :

- Kemanan sistem informasi merupakan urusan dan tanggung jawab semua

karyawan
- Penetapan pemilik sistem informasi
- Langkah keamanan harus sesuai dengan peraturan dan undang-undang
- Antisipasi terhadap kesalahan
- Pengaksesan ke dalam sistem harus berdasarkan kebutuhan fungsi
- Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk
diproses di sistem informasi
- Pekerjaan yang dilakukan oleh pihak ketiga
- Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan
pemakai akhir sistem informasi
- Implementasi sistem baru atau permintaan perubahan terhadap sistem yang
sudah ada harus melalui pengontrolan yang ketat melalui prosedur sistem
akseptasi dan permintaan perubahan (change request)
- Sistem yang akan dikembangkan harus sesuai dengan standart metode
pengembangan sistem yang diemban oleh organisasi
- Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan
dengan memakai kode identiitasnya (user-ID)
3.2 Saran

Keamanan sistem informasi sangat perlu untuk diketahui

dipahami dan dipelajari oleh seorang sekretaris karena tugas harian
seorang sekretaris yang berhubungan dengan system informasi
sehingga hal demikian penting untuk diketahui sorang sekretaris
termasuk apa itu system informasi, pengamana, ancaman, dan
kelemahan serta kebijakan keamanan system informasi.
 DAFTAR PUSTAKA

file:/// WebMahasiswa.html
file:///KEAMANANSISTEMINFORMASIAPADANBAGAIMANAkeHendrad
hy.htm
file:///MAKALAHhamidisisteminformasi.htm
file:///pengertiankeamanansisteminformasi.htm