TUGAS KEAMANAN SISTEM INFORMASI

Dosen Pembimbing : Gede Arna Jude Saskara, S.T.,M.T.

Oleh

Ni Komang Winda Damayanti (1815091003/ Sistem Informasi 4A)

Program Studi Sistem Informasi

Jurusan Teknik Informatika

Fakultas Teknik dan Kejuruan

Universitas Pendidikan Ganesha

Tahun 2019/2020
1. Privacy / Confidentiality

Aspek utama dalam sebuah keamanan sistem informasi yaitu

privacy atau Confidentiality merupakan sebuah usaha untuk menjaga
informasi dari orang yang tidak berhak mengakses informasi yang dimiliki.
Privacy lebih mnegarah pada data-data yang bersifat pribadi (privat)
sedangkan Confidentiality lebih mengarah pada pemberian data ke pihak
lain, dimana data tersebut digunakan untuk keperluan tertentu (contohnya
pembuatan KTP, pendaftaran service) dan data yang diberikan hanya
diperbolehkan untuk keperluan tertentu tersebut. Data-data yang bersifat
pribadi seperti, nama, tempat tanggal lahir, agama, nomor kartu kredit,
penyakit yang pernah diderita, status perkawinan, nama anggota keluarga,
nama orang tua, data pelanggan (apabila dalam organisasi atau perusahaan
data pelanggan merupakan hal yang bersifat privasi).

Salah satu contoh apabila data pribadi diketahui atau digunakan oleh
pihak yang tidak berwenang atau bertanggung jawab yaitu saat seseorang
ingin mendapatkan kartu kredit milik orang lain, biasannya data pribadi
mengenai orang yang memiliki kartu tersebut akan dicari tahu dan saat
pelaku sudah mendapatkan data maka pelaku dapat melaporkan melalui
telepon ( dengan berpura-pura menjadi korban) bahwa kartu kredit yang
dimiliki telah hilang dan meminta pihak bank untuk memblokir kartu
tersebut.

Dalam bidang kesehatan (healty care), Amerika Serikat merupakan

salah satu negara yang sangat serius menanggapi hal tersebut. Rumah sakit,
perusahaan ansuransi, serta institute yang berurusan dengan kesehatan harus
mampu menjamin keamanan dan privacy terkait data-data pasien atau
pelanggan. Data yang diberikan oleh pihak tersebut harus akurat dan sesuai
dengan format standar dan mekanisme pengamanan yang baik. Pelanggaran
mengenai privacy dapat dedenda sebesar US$ 250.000 atau dipenjara
selama 10 tahun.

Adapun serangan yang terjadi pada aspek privacy atau

Confidentiality yaitu sniffer (penyadap), keylogger (penyadap kunci), social
 engineering. Sniffing adalah kegiatan menyadap, merentas atau
menginfeksi paket data menggunakan sniffer software atau hardware dalam
internet sedangkan Keylogger merupakan sebuah software yang dipasang di
komputer pengguna atau korban agar dapat mencatat semua aktivitas yang
terjadi pada keyboard korban dan yang lainnya yaitu social engineering
merupakan kegiatan yang dilakukan untuk mendapatkan informasi rahasia
atau penting dengan cara menipu pemilik data pribadi atau infrmasi rahasia
tersebut.

Meskipun banyak serangan yang kemungkinan terjadi, namun

pemilik informasi, perusahaan atau organisasi masih dapat melindungi
informasi rahasia yang dimiliki dengan cara menggunakan firewall,
kriptografi /enkripsi, policy. Firewall merupakan suatu cara atau metode
yang digunakan untuk melindungi sistem, baik dari sistem komputer
ataupun sistem pada jaringan yang lebih luas. Ada dua jenis firewall berupa
software, ada juga sebuah hardware yang memiliki fungsi untuk memonitor
paket data yang masuk dan keluar dari jaringan atau komputer pengguna.
Dengan adannya firewall pengguna dapat memblokir paket data dari alamat-
alamat tertentu, memblokir pertukaran PC dan mencegah penggunaan
protocol tertentu, dan menolak paket yang mencurigakan. Cara lainnya yaitu
Kriptografi merupakan salah satu ilmu yang mempelajari teknik-teknik
matematika yang berhubungan dengan aspek keamanan informasi, seperti
kerahasiaan data, integritas data, serta autentikasi data. Kriptografi juga
dapat diartikan sebagai Teknik enkripsi dimana naskah asli (plain text)
diacak menggunakan suatu kunci enkripsi menjadi naskah acak (ciphertext)
oleh orang yang tidak memiliki kunci deskripsi (kunci deskripsi bisa
mengembalikan data asli) tersebut. Yang terakhir yaitu security policies
atau lebih dikenal dengan kebijakan keamanan merupakan sebuah
infrastruktur yang harus dimiliki oleh organisasi atau perusahaan yang ingin
melindungi asset atau informasi penting yang dimiliki perusahaan.

2. Integrity
Aspek kedua dari keamanan sistem informasi yaitu Integrity (integritas).
Aspek integrity lebih menekankan mengenai kekonsistenan sebuah
informasi. Informasi yang yang didapatkan tidak boleh dirubah tanpa
sepengetahuan peilik informasi. Integrity juga dapat diartikan sebagai
keamanan informasi dimana orang yang mengetahui informasi yang harus
dapat menjamin kelengkapan informasi yang diberikan dan menjaga
informasi dari kerusakan atau ancaman yang mengakibatkan informasi
tersebut berubah dari aslinya.

Adapun serangan yang terjadi pada keamanan sistem informasi yang

menyangkut aspek integritas, yaitu penerobosan pembatas akses, spoof
(pemalsuan), virus (mengubah berkas), trojan horse, man-in-the-middle
attack. Spoofing (pemalsuan) merupakan salah satu serangan yang
dilakukan dengan memanipulasi informasi atau data menggunakan nama
organisasi atau perusahaan yang sudah ternama sehingga orang-orang akan
mudah percaya dan memberikan data yang bersifat sensitif seperti password
dan username. Virus merupakan suatu program komputer yang dapat
merusak file atau sistem komputer. Contoh virus yang dapat mengubah file
seperti Memory Resident Virus merupakan virus yang menetap pada
memori komputer dan aktif secara otomatis apabila OS berjalan (Virus jenis
ini dapat merusak file dan program yang dibuka, ditutup, disalin, atau
merubah nama file), Overwrite Viruses merupakan virus yang dapat
menghapus informasi dalam file yang terinfeksi, dll. man-in-the-middle
attack merupakan serangan dimana hacker atau seorang attacker akan
berada ditengah-tengah komunikasi antara dua pihak. Attacker akan dengan
mudah melakukan penyadapan, pencegatan, pengubahan bahkan
memalsukan komunikasi seperti yang sudah saya jelaskan sebelumnya.
Trojan Horse merupakan kejahatan TI dimana penempatan kode program
yang tersembunyi pada suatu program komputer. Metode ini biasannya
digunakan untuk sabotase.

Adapun cara untuk mencegah terjadinya serangan yang

bersangkutan dengan integrity yaitu message authentication code (MAC),
(digital) signatur, (digital) certificate, hash function. message authentication
 code (MAC) merupakan checksum kriptografi pada data yang
menggunakan session key untuk mendeteksi data yang dimodifikasi
disengaja maupun tidak disengaja. (digital) signatur digunakan untuk
memverifikasi keaslian, integritas, non-repudiation, yaitu. itu memastikan
bahwa pesan tersebut dikirim oleh pengguna yang dikenal dan tidak
dimodifikasi, (digital) certificate digunakan untuk memverifikasi identitas
pengguna, mungkin pengirim atau penerima. Hash function merupakan
fungsi yang mengambil nilai input, dan dari input itu menciptakan nilai
deterministik nilai output dari nilai input. Untuk setiap nilai input x, Anda
akan selalu menerima nilai output y yang sama setiap kali fungsi hash
dijalankan.

3. Availability
Aspek avaibility atau aspek ketersediaan merupakan salah satu aspek yang
berhubungan dengan ketersediaan informasi ketika informasi tersebut
dibutuhkan. Avaibility juga dapat diartikan sebagai keamanan informasi
yang dapat menjamin pengguna dapat mengakses informasi kapanpun tanpa
adannya gangguan atau hambatan. Pengguna dalam hal ini kemungkinan
manusia atau komputer yang tentunya memiliki otorisasi atau wewenang
untuk mengakses informasi. Aspek ini berhubungan dengan metode yang
menyatakan bahwa informasi yang diakses benar-benar asli, atau orang
yang mengakses atau memberikan informasi merupakan orang yang benar-
benar dimaksud.
Adapun hambatan atau serangan yang dapat terjadi pada aspek
Availability yaitu Denial of Service (DoS) Attack. DoS merupakan
serangan terhadap sebuah server atau komputer atau server dalam jaringan
internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh
komputer sampai komputer tersebut tidak dapat menjalankan fungsinya
dengan baik dan mencegah pengguna lainnya agar tidak bisa mengakses
layanan dari komputer.
Denial of Service (DoS) dapat diatasi atau dengan beberapa cara
seperti backup data, redundancy, DRC, IDS, filtering router, firewall untuk
 proteksi keamanan. Intrusion Detection System (IDS) dan
IntrusionPrevention System (IPS) merupakan sistem yang digunakan untuk
mendeteksi dan melindungi sebuah sistem keamanan dari serangan pihak
luar maupun dalam. DRC atau Disaster Recovery Center merupakan
kemampuan infrastruktur yang digunakan untuk mengatasi bencana yang
dapat menghentikan aktivitas perusahaan dan juga dapat menyebabkan
hilangnya data yang bersangkutan dengan jalannya perusahaan dengan cara
mengembalikan atau meneruskan kembali aktivitas data center secepatnya
pada saat terjadi gangguan yang signifikan seperti bencana besar yang tidak
dapat diduga sebelumnya.

filtering router merupakan sebuah computer yang dibekali dengan dua buah
Network Interface Card (NIC) yang memiliki fungsi untuk menyaring
berbagai paket yang masuk.

4. Authentication

Aspek keempat yaitu Authentication merupakan aspek yang

berhubungan dengan metode untuk menyatakan informasi yang diakses
betul-betul asli, orang yang mengakses atau memberikan informasi
merupakanorang yang dimaksud atau orang yang berwenang, serta server
yang dihubungi merupakan server yang asli. Masalah pertama yang
terdapat pada aspek authentication yaitu untuk memastikan keaslian sebuah
 dokumen yang dapat dilakukan dengan watermarking dan digital signature.
Watermarking juga dapat digunakan untuk menjaga “Intelectual Property”,
yaitu dengan menandai dokumen dengan tanda tangan. Masalah kedua
biasannya berhubungan dengan access control yaitu membatasi orang -
orang yang dapat mengakses informasi. Dalam hal ini pengguna harus
menunjukkan bukti yang dapat menyatakan bahwa pengguna adalah orang
yang sah. Ada beberapa hal yang dapat digunakan untuk menguji apakah
orang tersebut merupakan pengguna yang sah atau tidak, yaitu:

1. What you have? (kartu identitas)

2. What you know? (password)

3. What you are? (biometric identity)

4. Claimant is at a particular place? (and time)

5. Authentication is established by a trusted third party

Adapun beberapa serangan yang dapat terjadi pada aspek

authentication, yaitu identitas palsu, password palsu, terminal palsu, situs
web gadungan. Untuk mencegah hal tersebut penggunaan (digital)
certificate sangat disarankan untuk memverifikasi identitas pengguna.
Apakah identitas tersebut benar atau tidak.

5. Access Control

Access Control merupakan aspek yang berhubungan dengan cara

pengaturan mengenai akses informasi. Biasannya hal ini berhubungan
dengan klasifikasi data seperti public, private, confidential, top secret dan
user seperti guest, admin, top manager, dll. Access control sering dilakukan
menggunakan kombinasi userid/password atau menggunakan biometric.
Dalam rancangan access control terdapat 3 desain akses control yang umum
dipergunakan, yaitu :

1. Mandatory Kontrol Akses

 Mandatory kontrol akses merupakan sebuah label keamanan
terhadap semua subyek dan obyek yang ada dalam sebuah
sistem. Adapun beberapa klasifikasi dari Mandatory Kontrol
Akses

Klasifikasi Deskripsi
Unclassified Data tidak sensitive atau
classified
Sensitive but unclassified Data bisa menyebabkan
(SBU) kerugian jika tidak dicuri
Confidentia Data hanya untuk kalangan
internal
Secret Data yang bisa menyebabkan
kerusakan serius pada
keamanan nasional
Top Secret Data yang bisa menyebabkan
kerusakan yang parah pada
keamanan nasional

Sedangkan yang bersifat komersial yaitu :

Klasifikasi Deskripsi
Public Data tidak di lindungi
dimanapun
Sensitive Informasi bisa berpengaruh
terhadap bisnis dan
kepercayaanpublic jika tidak
dilindungi dengan baik
private Informasi personal yang bisa
berakibat negatif terhadap
seseorang jika bocor
 confidential Informasi perusahaan yang
bisa berakibat negatif terhadap
organisasi jika bocor

2. Directional Access Control

Directional Access Control merupakan identitas dari subyek

untuk menentukan apakah permintaan akses tersebut akan
dipenuhi atau di tidak. Access control ini di rancang kurang
aman dari pada mandatory access control tetapi merupakan
desain yang paling umum dipergunakan pada berbagai sistem
operasi. Metode ini lebih mudah di implementasikan dan lebih
fleksibel. Setiap obyek memiliki permissions, yang menentukan
user atau group yang bisa melakukan akses terhadap obyek.

3. Non-discretionary Access Control

Non-discretionary Access Control merupakan role dari subyek

atau kegiatan yang di assigned kepada sebuah subyek, untuk
menerima atau menolak akses yang diberikan. Non-
discretionary access control disebut juga sebagai roled-based
acces control atau task base access control. Tipe kontrol akses
ini cocok dipakai pada kasus high turnover atau reassginments.
Ketika security di asosiasikan kedalam sebuah roleatau task,
mengganti orang yang mengerjakan tugas membuat security
administration lebih mudah.

Adapun serangan yang terjadi pada aspek access control yaitu Brute
Force Attack merupakan metode yang digunakan untuk meretas password
(password cracking) dengan cara mencoba semua kemungkinan kombinasi
yang ada pada “wordlist” Metode ini cukup menjamin penggunannya akan
berhasil menemukan password yang ingin diretas. Namun, proses untuk
meretas password dengan menggunakan metode ini akan memakan waktu
yang lama.
 Adapun cara yang dapat dilakukan untuk mengatasi serangan Brute
Force Attack yaitu menerapkan enkripsi, melakukan banned terhadap IP
dari orang yang mencoba untuk merentas. User juga harus sering melakukan
pergantian password dalam kurun waktu tertentu atau menggunakan
password kombinasi agar hacker tidak mudah membobol password.

6. Non-Repudiation

Non-Repudiation merupakan aspek yang menjaga agar seseorang

tidak dapat menyangkal telah melakukan sebuah transaksi. Contohnya
seseorang yang mengirimkan email untuk memesan barang atau yang
lainnya tidak dapat menyangkal bahwa dia telah mengirimkan email
tersebut. Aspek Non-Repudiation merupakan salah satu aspek penting
dalam electronic commerce.

Serangan yang mungkin terjadi dan berhubungan dengan aspek

Non-Repudiation, yaitu orang yang melakukan transaksi tidak dapat
menyangkal bahwa ia sudah mengirimkan email dan melakukan transaksi.

Adapun cara mengatasi hal tersebut yaitu penggunaan digital

signature, certidicates, dan teknologi kriptografi dapat mencegah terjadinya
kejahatan tersebut. Selain itu dapat dilakukan dengan menggunakan fitur
log aktivasi untuk mengetahui user yang memunyai alamat email yang
bersangkutan sudah melakukan transaksi.
Jenis Serangan dalam Aspek Keamanan Sistem Informasi

1. Interuption

Interuption merupakan informasi dan data yang ada dalam sistem

komputer dirusak dan sehingga apabila data atau informasi dibutuhkan
pengguna tidak dapat mengakses atau mendapatkan data atau informasi
tersebut. Adapun dua jenis serangan yang termasuk interuptionyaitu
DoS merupakan serangan terhadap sebuah server atau komputer atau
server dalam jaringan internet dengan cara menghabiskan sumber
(resource) yang dimiliki oleh komputer sampai komputer tersebut tidak
dapat menjalankan fungsinya dengan baik dan mencegah pengguna
lainnya agar tidak bisa mengakses layanan dari komputer. Dan
Network Flooding

2. Interception

Intercaption merupakan penyadapan terhadap informasi yang ada

atau orang yang tidak berhak mendapatkan akses ke komputer dimana
informasi tersebut disimpan. terdapat serangan berupa password
sniffing adalah teknik yang digunakan untuk memperoleh pengetahuan
tentang kata sandi yang melibatkan pemantauan lalu lintas di jaringan
untuk menarik informasi.

3. Modification

Modifiasi merupakan serangan yang dapat mengubah data atau

informasi, yang termasuk kedalam serangan modifikasi yaitu virus dan
trojan horse.

4. Fabrication

Febrication merupakan orang yang tidak berhak berhasil meniru

suatu informasi yang ada sehingga orang yang menerima informasi
tersebut mengira bahwa informasi yang diterima memang benar dari
orang yang bersangkutan.
Daftar Pustaka

Praptomo, Yuli. “Keamanan Sistem Informasi”. Diakses pada 1

maret 2020. Dilasir dari
http://jurnal.stmikelrahma.ac.id/assets/file/Yuli%20Praptomo%20PH
S-54-stmikelrahma.pdf

Jessica.2020. “Sistem Informasi Manajemen”. Diakses pada 1 Maret

2020. Dilasir dari
https://www.academia.edu/37872796/TUGAS_SIM-
Jessica_Yananto_Mihadi_Putra_SE_M.Si_Keamanan_Informasi_201
8

GudangSSL. 2019. “Ap aitu spoffing, Jenis dan Cara

Pencegahannya”. Diakses pada 2 Maret 2020. Dilasir dari
https://gudangssl.id/apa-itu-spoofing/

Wicaksono, Rizki. 2009. “Mengenal Serangan man-in-the-middle

(MIYM)”. Diakses pada 2 Maret 2020. Dilasir dari
https://www.ilmuhacking.com/basic-concept/mengenal-serangan-
man-in-the-middle-mitm/

California Alchemist. 2018. “ Firewall, Solusi Keamanan Data Pada

Jaringan”. Diakses pada 2 Maret 2020. Dilasir dari
http://www.2012forum.com/technology/firewall-solusi-keamanan-
perlindungan-akses-data-pada-jaringan/

Pendidikanmu.2018. “Pengertian Dan Jenis-Jenis Hacker”.

Diakses pada 2 Maret 2020. Dilasir dari
https://pendidikanmu.com/2018/11/pengertian-dan-jenis-jenis-
hacker.html
Hermawan, Aep. 2015. “Kejahatan Virus”. Diakses pada 2 Maret
2020. Dilasir dari
https://www.academia.edu/19568591/Kejahatan_Virus.

Pamungkas. Adithya. 2019. Tujuan, Ancaman, Kelemahan dari

Keamanan Sistem Informasi. Diakses pada 2 Maret 2020. Dilansir dari
http://pamungkas.blog.widyatama.ac.id/2019/03/20/tujuan-
ancamankelemahan-dari-keamanan-sistem-informasi/