TUGAS IV

STRATEGI KEAMANAN PERANGKAT LUNAK

KESYA FAUZIYAH ISDI

3411181057
DSE-A

UNIVERSITAS JENDERAL ACHMAD YANI

FAKULTAS SAINS DAN INFORMATIKA
JURUSAN INFORMATIKA
2021
 Computer Standards & Interfaces

Untuk menangkap konsep keamanan, kerangka kerja yang diusulkan dirancang

menggunakan soft-goal interdependency graphs (SIG) dan tiga jenis keamanan NFR sistem
utama: ketersediaan sistem, kerahasiaan dan integritas. Kerangka kerja keamanan sistem
berbasis standar pada tingkat fungsi dan layanan dapat mendukung pengembang perangkat
lunak untuk memperoleh persyaratan tersebut pada tahap awal proses pengembangan.
Keberhasilan sistem perangkat lunak sangat bergantung pada kemampuannya untuk
dieksekusi dengan fungsionalitas yang diperlukan saat berada di bawah batasan tertentu.
Fungsionalitas ini termasuk dalam konsep functional user requirements (FUR) dan mengacu
pada serangkaian fungsi atau layanan yang diperlukan dari sistem, sedangkan kendala berada
di bawah non-functional requirement (NFR).
Misalnya, “Sistem ATM harus dapat menyediakan layanan tarik tunai” adalah FUR,
sedangkan “Sistem ATM harus dapat menyediakan layanan tarik tunai dengan tingkat
keamanan yang tinggi” adalah NFR, yaitu kendala yang harus diterapkan pada FUR. Kedua
jenis persyaratan ini (FUR dan NFR) awalnya ditujukan pada tingkat persyaratan sistem dan
seringkali hanya pada fase sistem selanjutnya mereka dialokasikan ke tingkat FUR perangkat
lunak/perangkat keras.

Gambar 1. Memetakan FUR sistem dan NFR sistem ke FUR perangkat lunak.
Namun, belum ada konsensus tentang bagaimana menggambarkan, menentukan,
mengukur dan mengevaluasi NFR selama fase awal, yang menyebabkan berbagai kesulitan dan
ambiguitas. Hanya setelah fungsi sistem telah dialokasikan untuk perangkat lunak akan
pengembang fokus pada rincian FUR dalam fase spesifikasi kebutuhan. Lebih jauh lagi, dalam
praktik pengembangan perangkat lunak, NFR sering kali muncul hanya pada tingkat yang
sangat tinggi selama fase persyaratan sementara analisis dan spesifikasi rincinya dibiarkan
hingga fase selanjutnya, seperti arsitektur dan desain, atau bahkan fase pengujian.
 Untuk mengidentifikasi beberapa elemen keamanan konsensual luas yang dapat
digunakan dalam kerangka keamanan berbasis standar, terminologi terkait keamanan dan
pandangan dari tiga set standar internasional (ECSS, IEEE dan ISO) dianalisis dan
diintegrasikan.
Kerangka kerja yang direvisi dan dilaporkan di sini untuk sistem keamanan NFR
dirancang menggunakan soft-goal interdependency graphs (SIG). Akhirnya, untuk pandangan
yang lebih komprehensif dari lingkungan perangkat lunak yang kompleks dengan layanan
fungsional dalam arsitektur berorientasi layanan (SOA), pedoman COSMIC-SOA diterapkan
pada kerangka kerja untuk menggambarkan pengukuran NFR keamanan sistem yang
dialokasikan sebagai FUR keamanan di tingkat perangkat lunak. hasil pengukuran model
keamanan sistem yang diusulkan dapat digunakan untuk tujuan benchmarking oleh kelompok
khusus seperti International Software Benchmarking Group (ISBSG). Keamanan sistem yang
dialokasikan sebagai FUR keamanan di tingkat perangkat lunak.

Persyaratan pengguna fungsional perangkat lunak dalam standar COSMIC ISO 19761
Ukuran perangkat lunak merupakan faktor penting untuk studi produktivitas dan untuk
estimasi upaya proyek. ISO 14143-1 mendefinisikan kriteria utama yang harus dipenuhi oleh
metode ukuran perangkat lunak untuk dikenali sebagai metode pengukuran ukuran fungsional
(FSM), termasuk persyaratan untuk mengukur kebutuhan pengguna fungsional. COSMIC-ISO
19761 adalah salah satu metode yang diakui sebagai metode FSM yang disetujui ISO. Bagian
ini menyajikan pandangan umum COSMIC tentang persyaratan perangkat lunak dan
bagaimana pandangan tersebut dapat digunakan untuk mengukur fungsionalitas perangkat
lunak dengan unit pengukuran yang diakui ISO.
Model COSMIC FSM mengakui bahwa kebutuhan pengguna fungsional dapat terdiri
dari satu atau lebih proses fungsional (masing-masing dapat terdiri dari sub-proses), yang
merupakan kumpulan pergerakan data yang memindahkan kelompok data tertentu.

Gambar 2. Model generik COSMIC untuk perangkat lunak FUR

 Gambar diatas menyajikan model generik COSMIC dari perangkat lunak FUR. Sisi kiri
(atau "arah ujung depan" model) menunjukkan bahwa perangkat lunak dapat digunakan
melalui perangkat keras I/O (misalnya, mikrofon dan keyboard) atau oleh perangkat yang
direkayasa (misalnya, sensor). Sisi kanan (atau "arah ujung belakang") menunjukkan bahwa
perangkat lunak dibatasi dan digunakan oleh perangkat keras penyimpanan (misalnya, RAM,
Penyimpanan). Model generik ini juga mengenali empat jenis pergerakan data.
 ENTRI (E) (di sisi kiri) memungkinkan transfer grup data dari pengguna atau perangkat
yang direkayasa ke perangkat lunak.
 EXITS (X) (di sisi kiri) memungkinkan transfer grup data dari pengguna atau perangkat
yang direkayasa ke perangkat lunak.

Soft-goal interdependency graphs (SIG)

Soft-goal interdependency graphs (SIGs), diperkenalkan oleh Chung pada tahun 1999,
dianggap sebagai alat yang berguna untuk memodelkan dan menggambarkan NFR dan saling
ketergantungan di antara mereka [34,35]. Pendekatan SIG didasarkan pada penguraian NFR
menjadi tujuan lunak yang lebih spesifik sampai satu atau lebih solusi yang memenuhi NFR
telah tercapai.
SIG memiliki tiga jenis soft-goals:
1. Soft-goal: menampilkan NFR yang harus dipenuhi oleh sistem.
2. Mengoperasionalkan soft-goal: merepresentasikan solusi yang mungkin (operasi,
proses, representasi data) atau alternatif desain yang membantu memenuhi NFR
3. Klaim soft-goal: menunjukkan kehalusan antara soft-goal atau alasan yang terkait
dengan soft-goals. SIG memperkenalkan enam jenis kontribusi yang secara positif atau
negatif mempengaruhi kepuasan tujuan.

Service-oriented architecture (SOA) in COSMIC

Model COSMIC fungsi perangkat lunak dalam arsitektur berorientasi layanan (SOA)
mengusulkan pedoman untuk pemodelan dan pengukuran layanan fungsional. Model
seperti itu dapat digunakan di berbagai bidang bisnis untuk menentukan dan mengukur
ukuran fungsional perangkat lunak FUR dalam konteks SOA. Konsep layanan dalam model
SOA ini mengacu pada satu set fungsi terkait dari perangkat lunak FUR dan mengacu pada
pemisahan fungsi menjadi unit yang berbeda, atau set layanan. Layanan tersebut terhubung
melalui pertukaran data dan layanan perantara bersama, atau melalui aktivitas koordinasi
antara dua layanan atau lebih.
Ada banyak definisi SOA, seperti:
 Seperangkat prinsip yang digunakan untuk merancang dan mengimplementasikan
sistem yang fleksibel
 Sebuah proses yang melibatkan definisi arsitektur,
Selain itu, pedoman COSMIC-SOA menyajikan tiga jenis arsitektur pergerakan data:
layanan pertukaran, layanan perantara, dan pertukaran data.

Persyaratan keamanan dalam standar ECSS

Standar ECSS menetapkan persyaratan keamanan berikut:
 Peran kontrol akses harus ditentukan dan diimplementasikan dalam sistem untuk
mengontrol akses ke area terlarang.
 Ketersediaan daya atau data yang berlebihan dan restart otomatis.
 Integritas data sistem, seperti firewall, antivirus, PKI eksternal, enkripsi dan
dekripsi data, serta berbagai jenis cadangan sistem.

Persyaratan keamanan dalam standar IEEE

 Gunakan teknik enkripsi.
 Pertahankan log atau riwayat tertentu dari kumpulan data tertentu.
 Tetapkan fungsi khusus untuk berbagai modul.
 Batasi komunikasi antara beberapa area program.
 Periksa integritas data untuk variabel penting.
 Pastikan privasi data.

Persyaratan keamanan dalam standar ISO 25010

 Kontrol akses ke sistem.
 Mencegah kerusakan data internal dan eksternal (misalnya menggunakan data
cadangan).
 Gunakan enkripsi yang efektif untuk memastikan kerahasiaan, keaslian, dan
integritas data.
 Gunakan redundansi untuk memastikan ketersediaan data (seperti jaringan dan
redundansi daya).
  Melindungi layanan transaksi sistem pada jaringan publik untuk mencegah
misrouting, perubahan pesan yang tidak sah, duplikasi atau replay.

Persyaratan keamanan dalam standar ISO 27034

ISO 27034 adalah serangkaian standar keamanan aplikasi untuk menjaga kerahasiaan,
integritas, dan ketersediaan informasi yang dikumpulkan, diproses, disimpan, dan
dikomunikasikan oleh aplikasi. ISO 27034 mengidentifikasi audiens target seperti tujuan,
prinsip, konsep, visi, ruang lingkup, dan istilah definisi.
Model referensi siklus hidup keamanan aplikasi (AS) ISO 27034 mencakup lima lapisan:
 Lapisan manajemen aplikasi,
 Lapisan dukungan aplikasi untuk persiapan, transisi, pemanfaatan, pengarsipan dan
penghancuran data,
 Manajemen infrastruktur,
 lapisan audit aplikasi,
 Lapisan aktor untuk peran aktor.

Identifikasi konsep keamanan sistem yang dialokasikan untuk perangkat lunak FUR
Kerangka kerja yang diusulkan dalam makalah ini mengkonsolidasikan terminologi
dan pendekatan persyaratan keamanan dari standar ECSS, IEEE dan ISO. Proses untuk
menurunkan perangkat lunak FUR dalam hal pendekatan yang digunakan untuk
mengkonsolidasikan pendekatan yang diidentifikasi dari standar dijelaskan dalam, yang
mencakup pembacaan teks secara rinci, selain membangun matriks ketertelusuran ke depan
dan ke belakang untuk memastikan integritas dan cakupan penuh sehubungan dengan standar
yang disertakan.
Konsep keamanan sistem utama dan fungsi keamanan perangkat lunak yang akan
ditentukan dan diukur ditunjukkan pada: Gambar 3. Singkatnya, NFR keamanan sistem dibagi
menjadi tiga konsep yang berhubungan dengan keamanan (kerahasiaan, ketersediaan dan
integritas), masing-masing dicapai dengan fungsi tertentu, dan dijelaskan secara lebih rinci di
bawah ini.
 Gambar 3. Fungsi keamanan yang dapat dialokasikan ke perangkat lunak.

Ancaman terhadap validitas

Model referensi persyaratan keamanan perangkat lunak yang diusulkan diilustrasikan
hanya dengan menggunakan spesifikasi persyaratan proses penarikan untuk sistem mesin
ATM. Untuk mengurangi risiko ancaman validitas ini, contoh lebih lanjut harus dilakukan
dengan menggunakan spesifikasi persyaratan dari berbagai jenis produk perangkat lunak
(yaitu, perangkat lunak tertanam waktu nyata, perangkat lunak aplikasi bisnis, atau bahkan
gabungan dari kedua jenis tersebut).

Kesimpulan

Untuk menangkap konsep keamanan, kerangka kerja yang diusulkan dirancang

menggunakan soft-goal interdependency graphs (SIG). Dengan menganalisis persyaratan
keamanan nonfungsional sistem tersebut ke dalam tiga jenis keamanan NFR sistem utama:
ketersediaan sistem, kerahasiaan, dan integritas.

Akhirnya, untuk pandangan yang lebih komprehensif dari lingkungan perangkat lunak yang
kompleks dengan layanan fungsional dalam arsitektur berorientasi layanan (SOA), pedoman
COSMIC-SOA diterapkan pada kerangka kerja untuk menggambarkan, menggunakan contoh
ATM, pengukuran keamanan sistem NFR yang dialokasikan sebagai keamanan FUR di tingkat
perangkat lunak.

Kontribusi utama dari kerangka yang diusulkan adalah kemampuannya untuk membantu
pengembang untuk menentukan persyaratan keamanan sistem pada tahap pengembangan awal
dan mengatasi persyaratan yang ditentukan yang dialokasikan untuk perangkat lunak sebagai
persyaratan fungsional.
Model identifikasi dan spesifikasi sistem keamanan-NFR yang diusulkan menggunakan ISO
19761 dapat digunakan untuk mengukur perangkat lunak sistem untuk berbagai bahasa yang
tidak bergantung pada bahasa perangkat lunak keamanan-FUR yang telah diimplementasikan.