Tugas Akhir Keamanan Sistem Lanjut

STIKOM PGRI BANYUWANGI

LAPORAN TUGAS SEMINAR PENELTIAN

.NET Framework Enterprise Security Policy

Administration and Deployment

Oleh :
SELAMET WAHYUDI
NIM: 1109100334

STIKOM PGRI BANGYUWANGI

1
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

KATA PENGANTAR

Puji syukur penulis panjatkan kehadirat Tuhan Yang Maha Esa, karena atas rahmat

dan hidayah-Nya maka laporan tugas akhir ini dapat diselesaikan. Tugas akhir yang

berjudul “.Net Framework Enterprise Security Policy Administration and

Deployment”, ini adalah untuk memenuhi salah satu tugas mata kuliah Keamanan

Sistem Lanjut (EC7010).

Dalam kesempatan yang baik ini penulis ingin mengucapkan terimakasih atas

bimbingan dan dukungan moril sehingga terselesaikanya tugas akhir ini terutama

kepada:

1. Dr. Ir. Budi Rahardjo, selaku dosen dan pembimbing mata kuliah

Keamanan Sistem Lanjut,

2. Bapak, Ibu dosen dan karyawan Jurusan Teknik Elektro, ITB,

khususnya pada bidang khusus Teknologi Informasi,

3. Teman-teman angkatan II Teknik Elektro, bidang khusus Teknologi

Informasi Dikmenjur, yang telah membantu dan mendukung tugas ini,

4. Istri dan anakku tercinta yang selalu berdoa dan setia di rumah,

5. Kedua orang tua yang selalu berdoa dan memeberikan dorongan

materiil dan spirituil.

Penulis menyadari tugas akhir ini masih banyak kekurangannya, tetapi penulis

sangat mengharapkan agar tugas akhir ini dapat memberikan manfaat bagi pihak-

pihak yang berkepentingan.

Bandung, Maret 2005

Penulis

2
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

NET Framework Enterprise Security Policy

Administration and Deployment

Oleh :
SELAMET WAHYUDI
NIM: 110910034
selametwahyudi@gmail.com

Abstrak

Bahasa yang umum digunakan dalam pembahasan tentang “.NET Framework

sebagai kebijakan keamanan untuk administrasi dan pengembangan perusahaan”
adalah Runtime dan Microsoft.NET. Microsoft dan para partnernya berjuang untuk

3
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

mengembangkan .NET Framework dan Web Service. Penulisan ini dengan singkat
menguraikan sistem keamanan, untuk mendiskusikan isu keamanan sebagai
pertimbangan untuk mengambil kebijakan dalam perusahaan, dan menyediakan
petunjuk untuk menggolongkan komponen-komponen keamanan sebagai
pengetahuan dari isu yang harus digunakan, sehingga dapat memastikan dan
menunjukkan bahwa kebijakan perusahaan tersebut benar-benar aman.

Persyaratan yang harus dimiliki adalah terbiasa dengan bahasa Runtime dan
Microsoft® .NET Framework, yang mencakup pengetahuan dasar dari Common
Language Runtime (CLR).

BAB I

PENDAHULUAN

1.1 Latar Belakang

Keamanan, merupakan satu kebutuhan pokok hampir di semua bidang terlebih lagi

di bidang IT sampai saat ini. Tidak heran banyak instansi dan perusahaan berani

membayar harga mahal hanya untuk keamanan. Hal ini dikarenakan kekhawatiran

pada kejahatan, penyusupan dan penyadapan informasi, tentu saja melalui berkas

yang disimpan pada media penyimpanan.

Terhubungnya LAN atau komputer ke Internet membuka potensi adanya lubang

keamanan lain (security hole) yang tadinya telah teratasi dengan mekanisme

keamanan secara fisik dan lokal. Jaringan internet, merupakan sebuah jaringan

komputer yang sangat terbuka di dunia. Konsekuensi yang harus di tanggung

adalah tidak ada jaminan keamanan bagi jaringan yang terkait ke Internet. Artinya

jika operator jaringan tidak hati-hati dalam men- set up sistem dan menerapkan

policy-nya, maka kemungkinan besar jaringan yang terkait ke Internet akan dengan

mudah dimasuki orang yang tidak di undang dari luar.

Merupakan tugas dari administrator jaringan yang bersangkutan, untuk menekan

resiko tersebut seminimal mungkin. Pemilihan strategi dan kecakapan

administrator jaringan ini, akan sangat membedakan dan menentukan apakah

suatu jaringan mudah ditembus atau tidak.

Yang perlu untuk diketahui adalah bahwa kemudahan (kenyamanan) mengakses

informasi berbanding terbalik dengan tingkat keamanan sistem informasi itu

sendiri. Semakin tinggi tingkat keamanan, semakin sulit (tidak nyaman) untuk

mengakses informasi. Sebelum memulai segalanya, ada baiknya menentukan

terlebih dahulu tingkat ancaman yang harus diatasi dan resiko yang harus diambil

maupun resiko yang harus dihindari, sehingga dapat dicapai keseimbangan yang

optimal antara keamanan dan kenyamanan.

4
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

Salah satu langkah pengamanan dan untuk memperoleh kenyamanan dapat

menggunakan .NET Framework sebagai model programming pada .NET platform.

Sebagai komponen kunci dari .NET Framework adalah common language runtime

dan .NET Framework class library termasuk didalamnya ADO.NET, ASP.NET dan

windows .NET Framework juga digunakan untuk mengatur .NET ( managed) dan

non.NET (unmanaged) administrasi dan pengembangan suatu perusahaan melalui

jaringan yang terintegrasi dengan area bahasa pemrograman dilatarbelakangi

arsitektur .NET Framework [4]. Arsitektur sistem informasi perusahaan

mengandung banyak sekali informasi dan untuk memahami seluruh informasi yang

banyak tersebut bukanlah pekerjaan yang mudah. Karenanya dibutuhkan

framework arsitektur sistem informasi perusahaan yang memadai. Dengan

menggunakan framework arsitektur, maka akan lebih mudah memahami berbagai

informasi perusahaan sehingga dapat memutuskan kebijakan seberapa banyak

informasi yang diperlukan dan bagaimana menggunakannya.

Beberapa contoh framework dalam perancangan arsitektur sistem informasi untuk

mengambil kebijakan perusahaan, yang telah dipublikasikan sampai saat ini antara

lain [5]:

1. Zachman framework, dikeluarkan oleh Zachman Institut for Framework

Advancement (ZIFA) sebagai hasil pemikiran dari John Zachman,

2. TOGAF, dikeluarkan oleh Open Group Architectural Framework (TOGAF).

Framework ini dibuat berdasarkan “ The Technical Architecture Framework for

Information Management (TAFIM)” yang dirancang oleh Departemen

Pertahanan Amerika Serikat,

3. TEAF, dikeluarkan oleh Chief Information Officer (CIO) Council, yaitu sebuah

organisasi yang dibentuk oleh pemerintah federal Amerika Serikat untuk

menyusun suatu standar “ Enterprise Architecture” bagi negara-negara bagian

di Amerika Serikat.

Hampir dua dekade yang lalu John Zachman, telah meningkatkan suatu bagan

yang universal. Untuk melukiskan dan menggambarkan sistem perusahaan secara

kompleks dimasa sekarang dan untuk mengatur berbagai perspektif dari suatu

organisasi infrastruktur pengetahuan dan informasi. Lebih jelasnya arsitektur

framework suatu perusahaan untuk masing-masing bagian dapat digambarkan

sebagai berikut.

5
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

[5]
Gambar 1.1 Arsitektur Framework Perusahaan

1.2 Tujuan

Tujuan dari penulisan laporan ini adalah untuk memperoleh hasil kajian

mengenai .NET Framework untuk pengambilan kebijakan keamanan pada

administrasi dan pengembangan perusahaan.

1.3 Batasan Masalah

Dalam penulisan laporan ini pembahasan dibatasi pada .Net Framework sebagai

cara mengambil kebijakan administrasi dan pengembangan perusahaan untuk

meningkatkan keamanan.

1.4 Sistematika Laporan

Laporan ini terdiri dari 4 bab yang di dalamnya mencakup hal-hal sebagai berikut:

1. BAB I : Pendahuluan

Pada bab ini membahas tentang latar belakang masalah yang akan dibahas, tujuan

penulisan laporan, batasan masalah dan sistematika pelaporan.

2. BAB II :

Pada bab ini membahas tentang penggunaan .NET Framework sebagai managed

dan unmanaged yang diaplikasikan menggunakan Common Language Runtime

(CLR)

3. BAB III

6
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

Pada bab ini membahas tentang bagaimana mengambil kebijakan keamanan untuk

administrasi dan pengembangan perusahaan yang telah diambil, berkaitan dengan

penggunaan .NET Framework. Bagaimana membangun suatu security policy suatu

operasi database.

4. BAB IV : Analisis, Kesimpulan dan Saran

Bagian ini berisi analisis, kesimpulan dan saran dari penulisan yang berasal dari

pembahasan sebelumnya.

5. Daftar Pustaka

BAB II

TINJAUAN PUSTAKA

2.1 Umum

Microsoft .NET merupakan perangkat lunak yang menghubungkan antara

informasi, user, sistem dan interfase dalam perangkat client-server. .NET

Framework digunakan untuk membangun dan menjalankan bermacam-macam

perangkat lunak, aplikasi web-based, aplikasi client-server, dan XML web service-

component sehingga memudahkan dalam pengintegrasian berbagai data dengan

kemampuan standar jaringan platform-independent protokol, seperti XML dan

HTTP, serta developer Studio Microsoft Visual .NET 2003 menyediakan developer

yang terintegrasi (IDE) untuk meningkatkan produktivitas menggunakan .NET

Fremework. Satu set server mencakup Microsoft Windows Server 2003, Microsoft

SQL serverTM, dan Microsoft Biztalk Server yang terintegrasi untuk menjalankan

dan mengoperasikan web pada aplikasi web-based. Perangkat lunak pada sisi

client menggunakan Windows XP, CE Windows, dan Office Microsoft XP [1].

Definisi resmi dari microsoft tentang .NET adalah merupakan platform microsoft

untuk XML Web Service. Dimana XML Web Service adalah teknologi standar

industri yang dapat mengubah Internet menjadi sebuah full-scale distributed

aplication [1]. Seiring dengan semakin matangnya teknologi .NET, penerimaan

dunia bisnis juga semakin baik dibuktikan dengan banyaknya proyek berbasis .NET

yang bermunculan.

.NET Framework adalah suatu windows komponen yang terintegrasi untuk

membangun dan menjalankan aplikasi perangkat lunak dan web. .NET Framework

mendukung 20 bahasa pemrograman yang memungkinkan pengembangan

7
 Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

perangkat lunak dalam bisnis. Sehingga akan memudahkan untuk membangun dan

menyebarkan data ke anak

perusahaan dan dijamin

keamanannya atau high-

performing aplikasi[2].

2.2 Common Language Runtime

(CLR) Sebagai Managed

Bahasa runtime yang umum

digunakan adalah Common

language Runtime ( CLR) dan

bertanggung jawab atas run-time

jasa seperti pengintegrasian

bahasa, penyelenggaraan

keamanan, memori, dan proses.

Sebagai tambahan, CLR mempunyai suatu peran pada waktu pengembangan

seperti menjalankan suatu bisnis dalam component, Class Libraries.

Gambar 2.1 Pengintegrasian CLR dalam bahasa pemrograman[1]

C
V C +
So
Ma CoB Co# Co
+ Unma
urc
nag Ass
mpi
Ass
mpi
Ass
mpi
emb emb nage
e
ed
emb
ler ler ler
ly ly ly d
cod
cod IL
IL IL comp
ee cod cod cod
onent
e e e
JIT
Common
compi
language
Nativ
ler
runtime
e
code
Operating
system
services

8
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

Gambar 2.2 Konfigurasi Common Language Runtime[1]

Atas dasar kelas menyediakan kemampuan yang baku seperti input/output,

manajemen keamanan, komunikasi jaringan, menyusupkan manajemen,

manajemen teks, dan pemakai menghubungkan FEATURES.THE ADO.NET kelas

desain memungkinkan Developer untuk saling berhubungan dengan data

mengakses dalam wujud XML melalui OLE DB, ODBC, Oracle, dan interface Sql

Server. XML class memungkinkan XML memanipulasi, mencari, dan

menterjemahkan. ASP.NET class mendukung pengembangan dari aplikasi Web-

based dan Web jasa. Format class Windows mendukung pengembangan dari client

desktop-based applications [1].

Multiple-language mengembangkan kemampuannya secara cepat sehingga .NET

Framework memungkinkan developer menggunakan bahasa pemrogram yang

paling sesuai dengan tugas yang telah ditentukan dan mengkombinasikan bahasa

pemrograman dalam aplikasi tunggal. Komponen ditulis dalam bahasa yang

berbeda dapat mengkonsumsi kemampuan dari masing-masing dengan jelas,

sehingga developer tidak perlu menambah pekerjaan.

Di industri .NET Framework mampu meningkatkan produktivitas dari 25% hingga

50% solusi yang baru. Tiap-Tiap aspek kehidupan dari pengembangan software .

dibuat jadi lebih mudah. Pengoprasian .NET Framework mampu meningkatkan

pencapaian web aplikasi bersama J2EE mengadakan dan menyelenggarakan suatu

benchmark dalam forum pengembang. .NET Framework juga menawarkan

pencapaian dan skalabilitas yang bermanfaat bagi teknologi Pages Server yang

aktif, karena just-in-time-nya (JIT) dikumpulkan dalam caching teknologi. Hasil di

bawah ini telah dicapai oleh Windows 2000 Server tingkat lanjut dan Windows

Server 2003 versi 1.0 dan 1.1 untuk menjalankan .NET Framework. Keduanya

disusun menggunakan SQL Server 2000 database seperti grafik berikut [3].

9
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

[1]
Gambar 2.3 Grafik Pencapain Troughput pada Web Service

Gambar 2.4 Grafik Pencapain Troughput pada Web Aplication Benchmark[1]

Gambar 2.5 Grafik Pencapain Troughput Distributed Transaction-per-second [1]

Grafik di atas merupakan suatu bentuk penggunaan bersama antara .NET

framework dengan J2EE yang menghasilkan titik puncak pencapaian troughput

untuk mendistribusikan data dalam suatu perusahaan menggunakan web service.

Penggunaan bahasa pemrograman CLR untuk mensimulasikan .NET Framework

dapat memudahkan pekerjaan developer.

Eksekusi aplikasi .NET diatur oleh Common Language Runtime (CLR) yang

merupakan bagian dari .NET Fremework. Oleh karena itu .NET disebut juga aplikasi

yang “menaged”, dan aplikasi non-.NET disebut “unmanaged”.[4] CLR

bertanggungjawab untuk banyak hal, pertama yang dilakukan CLR adalah

memanggil sebuah assembly/code program yang sudah dikompilasi menjadi

Intermeddiate Language (MSLI). CLR juga melihat dan menentukan privalege code

tersebut, tentang apa yang boleh dan tidak boleh dilakukan oleh code tersebut

terhadap resource (misalkan: apakah code tertentu boleh menulis file di harddisk

atau tidak, apakah kode tertentu boleh mengakses registry atau tidak). Diluar

.NET, seorang developer harus menulis sendiri program untuk melakukan hal-hal

tersebut.

CLR kemudian mengkompilasi MSIL code menjadi native code pada saat runtime,

ini dilakukan oleh bagian CLR yang disebut Just In Time compiler (JIT Compiler).

JIT compiler tidak hanya sekedar mengkompilasi, tetapi juga mengoptimasi code

terhadap OS dan processor. Sesudah itu, native code ini di-cache, sehingga jika

bagian program tersebut dijalankan kembali, tidak perlu dilakukan kompilasi MSIL

menjadi native code kembali. Pendekatan kompilasi code menjadi intermeddiate

language dan kemudian menjadi native code sudah dimanfaatkan oleh platform

lain yang muncul sebelum .NET. Bedanya, JIT compiler CLR hanya mengkompilasi

bagian program yang dijalankan saja, tidak keseluruhan program seperti yang

dilakukan platform tersebut. Alasannya, sering kali user hanya menggunakan

10
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

sebagian saja dari seluruh fiture sebuah program, sangat membuang resource jika

harus mengkompilasi keseluruhan program. Penggunaan MSIL dan JIT compiler

inilah yang memungkinkan penggunaan berbagai macam bahasa pemrograman

yang berbeda untuk mengembangkan aplikasi .NET. Seorang developer dapat

menggunakan suatu bahasa pemrograman yang paling dia pahami.

Bagaimana sebuah program berjalan dan memakai memori juga di-manage oleh

CLR. CLR mempunyai apa yang disebut Garbage Collector (GC) yang bertanggung

jawab mencari dan membuang obyek yang sudah tidak dipakai lagi. Kebocoran

memori adalah hal yang sering terjadi dalam eksekusi suatu program. Salah satu

penyebab utamanya adalah keteledoran developer pembuat program untuk menulis

code yang baik dalam membuang objek yang sudah tidak terpakai lagi, atau yang

disebut destructor. Di dalam .NET, seorang developer tidak lagi dipusingkan oleh

isu kebocoran memori tersebut. GC bekerja dibelakang layar untuk secara berkala

mencari dan menghancurkan obyek yang sudah tidak dipakai lagi.

2.3  Model Pemrograman Yang Konsisten

 Selain hal-hal yang dijelaskan di atas, ada berbagai hal lain yang dilakukan oleh

CLR yang pada intinya akan memudahkan pekerjaan seorang developer. Jadi,

dengan menggunakan .NET, seorang developer dapat lebih fokus pada isu-isu

proses bisnis yang hendak dipecahkan dengan program yang ditulis. 

Tidak hanya sampai disitu, .NET Framework juga menyediakan model

pemrograman yang konsisten. Seluruh fungsi, yang termasuk juga didalamnya

win32API yang umum, dikumpulkan dalam class-class yang terdapat pada Base

Class Library (BCL). 

Di dalam BCL terdapat class-class yang berlimpah jumlahnya untuk digunakan oleh

seorang Developer. Di BCL terdapat class-class untuk membangun aplikasi web

(ASP.NET), mengakses data dari DBMS maupun XML file (ADO.NET), aplikasi

windows yang standar, aplikasi konsol, dan lain-lain.

Dengan .NET, Developer tidak lagi harus bekerja dengan model pemrograman yang

berbeda-beda (model VB untuk aplikasi windows, model C++ untuk MFC/ATL,

ataupun model ASP untuk aplikasi web). Penggunakan class-class dalam BCL,

seorang developer cukup meng-instantiate class-class tersebut menjadi sebuah

obyek, selanjutnya, developer dapat memanggil method dan mengakses property

obyek tersebut. Intinya, untuk membangun aplikasi apapun, model pemrograman

yang digunakan adalah sama, dan konsisten. 

11
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

Seperti dijelaskan di atas, begitu banyak hal yang disediakan oleh .NET Framework

(CLR & BCL) yang dapat memudahkan pekerjaan seorang developer . Dengan

menggunakan .NET, seorang developer benar-benar dapat memikirkan penulisan

program untuk menyelesaikan masalah bisnis. Waktu yang diperlukan untuk

menulis program yang sifatnya infrastruktur (bukan bisnis) sangat banyak yang

dipangkas. Dengan kata lain, membangun sebuah aplikasi akan menjadi lebih

cepat.

 Hal ini sudah dikonfirmasi oleh banyak testimoni tentang bagaimana membangun

aplikasi dengan .NET hanya membutuhkan waktu yang jauh lebih sedikit dibanding

dengan platform lain. Dengan kata lain, cycle untuk membangun aplikasi menjadi

lebih pendek, akibatnya, dalam waktu yang sama, akan lebih banyak proyek yang

dapat diselesaikan. Singkatnya, time-to-market dari pengembangan suatu aplikasi

tereduksi secara signifikan. 

.NET Framework merupakan sebuah platform komputasi baru yang mempermudah

pengembangan aplikasi dalam lingkungkungan yang benar-benar terdistribusi di

Internet. Adapun tujuan mendisain .NET Framework sebagai berikut.

1. Untuk menyediakan suatu lingkungan pemrograman berorientasi obyek

yang konsisten baik itu kode obyek yang disimpan dan dieksekusi secara lokal,

atau dieksekusi secara lokal namun didistribusi melalui Internet, maupun yang

dieksekusi secara remote.

2. Untuk menyediakan suatu lingkungan pengeksekusian suatu kode yang

meminimalkan aneka macam konflik, memberikan jaminan atas pengaksesan

kode dengan aman, dan mengurangi masalah performa yang selama ini terjadi

pada lingkungan bahasa interpretasi atau bahasa script.

3. Untuk membuat para developer memiliki cara kerja yang konsisten pada

saat bekerja dengan aplikasi-aplikasi yang sangat bervariasi, seperti aplikasi

berbasis windows dan aplikasi berbasis web.

4. Untuk membangun seluruh komunikasi pada industri sesuai standar untuk

memastikan bahwa suatu kode yang berbasis .NET Framework dapat

berintegrasi dengan kode lainnya.

2.4 Pengembangan Aplikasi Client

Aplikasi client merupakan aplikasi yang paling dekat dengan gaya tradisional

dalam pemrograman berbasis windows. Aplikasi client biasanya menggunakan

window, menu tombol dan elemen-elemen GUI lainya, selain itu juga

memungkinkan untuk mengakses sumber daya lokal seperti sistem file dan

periperal.

12
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

Kelas-kelas windows forms yang terdapat di dalam .NET Frame work didisain

untuk mengembangkan GUI. Kita dapat dengan mudah membuat window, tombol,

menu dan elemen-elemen lainnya secara fleksibel guna mengakomodasi perubahan

keperluan yang ada.

2.5 Pengembangan Aplikasi Server

ASP.Net merupakan salah satu lingkungan hosting yang memungkinkan para

developer untuk menggunakan .NET Framework dengan sasaran aplikasi berbasis

web. Bagaimanapun ASP.Net bukanlah sekedar suatu runtime host melainkan

suatu arsitektur yang lengkap untuk mengembangkan situs web dan obyek-obyek

yang terdistribusi melalui Internet.

XML Web Service, suatu revolusi yang berharga dalam teknologi berbasis web.

Merupakan komponen aplikasi secara server side dan terdistribusi seperti web

umumnya. Bagaimanapun, tidak seperti aplikasi berbasis web, komponen XML Web

Service terdiri atas komponen-komponen software yang dapat digunakan kembali

untuk didisain dan dikonsumsi oleh aplikasi client tradisional, aplikasi berbasis

web, atau bahkan XML Web Service lainnya.

.NET Framework juga menyediakan kumpulan kelas-kelas dan perangkat-perangkat

guna membantu pengembangan dan pemakaian aplikasi XML Web Service. XML

Web Service dikembangkan dari standar-standar seperti SOAP (suatu protokol

pemanggil prosedur secara remote) XML (suatu format data yang ekstensible) dan

WSDL (Web Servise Description Language ). .NET Framework dikembangkan dari

standar-standar tersebut untuk mendukung interoperabilitas dengan solusi-solusi

non-Microsoft.

BAB III

.NET FRAMEWORK SEBAGAI KEBIJAKAN KEAMANAN UNTUK ADMINISTRASI DAN

PENGEMBANGAN PERUSAHAAN

3.1 Kebijakan Keamanan Jaringan untuk Administrasi dan Pengembangan

Perusahaan

Seringkali sulit untuk membujuk manajemen perusahaan atau pemilik sistem

informasi untuk melakukan investasi dibidang keamanan. Baru sedikit yang

menganggap bahwa keamanan sistem informasi sebagai komponen sangat penting

(”extremely important”). Mereka lebih mementingkan ”reducing cost” dan

13
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

”improving competitiveness” meskipun perbaikan sistem informasi setelah dirusak

justru dapat menelan biaya yang lebih banyak.

Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur dengan

uang (intangible), keamanan sebuah sistem informasi sebetulnya dapat diukur

dengan besaran yang dapat diukur dengan uang (tangible). Dengan adanya ukuran

yang terlihat, mudah-mudahan pihak manajemen dapat mengerti pentingnya

investasi di bidang keamanan.

Ada beberapa statistik yang berhubungan dengan keamanan sistem informasi yang

dapat ditampilkan di sini. Data-data yang dapat ditampilkan umumnya bersifat

konservatif mengingat banyak perusahaan yang tidak ingin diketahui telah

mengalami ”security breach” dikarenakan informasi ini dapat menyebabkan

”negative publicity”. Perusahaan-perusahaan tersbut memilih untuk diam dan

mencoba menangani sendiri masalah keamanannya tanpa publikasi.

Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai ke

yang hanya mengesalkan (annoying). Berdasarkan lubang keamanan, keamanan

dapat dikalisfikasikan menjadi empat, yaitu:

1. Keamanan yang bersifat fisik (physical security),

2. Keamanan yang berhubungan dengan orang (personal),

3. Keamanan dari data dan media serta teknik komunikasi,

4. Keamanan dalam operasi.

Keamanan komputer melingkupi empat aspek, yaitu privacy, integrity,

authentication dan availability. Selain keempat hal di atas, masih ada dua aspek

lain yang sering dibahas dalam kaitanya dengan electronic commerce, yaitu

access control dan non-repudiation.

Dalam banyak kasus ada dua langkah dasar yang harus diikuti dalam mengambil

kebijakan keamanan jaringan komputer untuk administrasi dan pengembangan

perusahaan yaitu [3]:

1. Menciptakan suatu paket penyebaran kebijakan keamanan,

2. Mendistribusikan paket penyebaran kebijakan keamanan ke cabang perusahaan.

3. Dapat dilakukan pengubahan kebijakan keamanan sebagai ganti untuk membagi-

bagi Microsoft Installer menjadi paket file Windows, yaitu menggunakan kode

kebijakan sebagai alat pengamanan akses yang dapat ditulis sebagai catatan

file batch untuk mempengaruhi perubahan kebijakan keamanan.

Cara menciptakan suatu paket penyebaran kebijakan keamanan dapat

menggunakan Microsoft® .NET Framework melalui interface grafis (GUI) sebagai

14
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

alat bantu untuk membuat kebijakan keamanan menjadi berubah. Alat bantu ini

akan menyatukan Microsoft Windows menjadi file (.msi) ke luar dari suatu tingkat

kebijakan keamanan.

Pengaturan kebijakan keamanan melalui tiga alat ukur kebijakan. Alat tersebut

dapat menggabungkan dari kebijakan manapun yang administrable kemudian

mengukur ke dalam suatu .msi, menyimpan dan menyebarkan. Dalam banyak kasus

sesuai keingginan untuk menyebarkan kebijakan tersebut ke semua tingkatan

perusahaan. Security policy berisi tentang aturan-aturan yang akan membantu

memastikan setiap kinerja para karyawan dalam bekerja sesuai dengan apa yang

diinginkan perusahaan. Semua batasan-batasan secara jelas dipaparkan dalam

security plan sehingga seluruh karyawan mengerti aturan-aturan yang berkaitan

dengan keamanan informasi (basis data) perusahaan.

Dalam membangun suatu security policy suatu operasi database, upaya

pertimbangan yang dilakukan mencakup hal-hal berikut.

1. System Security Policy

2. Data Security Policy

3. User Security Policy

4. Password Management Policy

3.2 System Security Policy

Setiap database memiliki satu atau lebih administrator yang bertanggung jawab

terhadap segala aspek mengenai security policy, yaitu security administrator.

Security policy dari suatu database terdiri dari beberapa sub-policy sebagai

berikut.

1. Database user management

2. User authentication

3. Operating system security

3.2.1 Database User Management

User dari database merupakan jalur akses menuju informasi dalam database. Maka

dari itu, manajemen user dari database harus memiliki kemanan yang ketat.

Tergantung dari besarnya sistem database dan jumlah pekerjaan mengatur user

dari database, security administrator mungkin menjadi satu-satunya user yang

memiliki privilege untuk melakukan perintah create, alter, atau drop user dari

database. Namun ada juga administrator lain yang memiliki privilege untuk

mengatur user dari database. Bagaimanapun juga, hanya individual yang bisa

dipercaya yang memiliki powerful privilege untuk mengatur user dari database.

15
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

3.2.2 User Authentication

User dari database dapat diautentikasi oleh MySQL menggunakan password

database, sistem operasi, network service, atau dengan Secure Socket Layer

(SSL). Tergantung bagaimana identitas user akan diautentikasi, ada beberapa cara

untuk mengidentifikasi user sebelum mengakses suatu database:

1. Autentikasi database

2. Autentikasi eksternal

3. Autentikasi global

3.2.2.1 Autentikasi Database

Pada autentikasi database, maka administrasi dari user account, password , dan

autentikasi user akan dilakukan sepenuhnya oleh MySQL. Untuk melakukan ini,

maka dibuat suatu password untuk setiap user pada saat melakukan perintah

create user atau alter user. User dapat mengganti password-nya kapan saja.

Password akan disimpan dalam format yang terenkripsi. Setiap password harus

terdiri dari karakter single-byte, walaupun database tersebut menggunakan

karakter set multi-byte.

Untuk meningkatkan keamanan database saat melakukan autentikasi, MySQL

memiliki suatu manajemen password yang mencakup account locking, password

aging and expiration, password history, dan password complexity verification.

Keuntungan dari autentikasi database sebagai berikut.

1. Account user dan semua autentikasi dikontrol oleh database, tidak

tergantung apapun diluar database.

2. MySQL menyediakan fiture manajemen password yang tangguh untuk

meningkatkan keamanan saat melakukan autentikasi database.

3. Lebih mudah untuk melakukan pengaturan user bila komunitas usernya

sedikit.

3.2.2.2 Autentikasi Eksternal

Pada autentikasi eksternal, account user diatur oleh database MySQL, tapi

administrasi password dan autentikasi user dilakukan oleh service eksternal, yaitu

sistem operasi atau network service seperti Net8. Dengan demikian, database

MySQL akan mempercayai sistem operasi atau network autentication service

16
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

untuk melakukan pengontrolan akses terhadap account database. Password

database tidak lagi digunakan pada saat login database.

Secara umum, autentikasi user via sistem operasi memiliki keuntungan user dapat

melakukan koneksi ke MySQL lebih cepat tanpa melakukan login username dan

password secara terpisah.

Keuntungan dari autentikasi eksternal sebagai berikut.

1. Lebih banyak mekanisme autentikasi dapat diterapkan, seperti smart card,

sidik jari, Kerberos, atau sistem operasi itu sendiri.

2. Banyak service dari autentikasi jaringan, seperti Kerberos dan DCE yang

mendukung single sign-on, dengan demikian user pserlu mengingat lebih

sedikit password.

3.2.2.3 Autentikasi Global

MySQL Advanced Security memiliki fiture yang dapat mensentralisasi manajemen

dari informasi yang berkaitan dengan user termasuk otorisasi, dalam sebuah LDAP-

based directory service. User dapat diidentifikasi dalam database sebagai global

user, yang berarti user tersebut diautentikasi menggunakan SSL dan manajemen

user tersebut telah dilakukan diluar database oleh directory service

tersentralisasi. Global role didefinisikan dalam database dan hanya dikenal dalam

database itu sendiri, tapi autorisasi role tersebut dilakukan oleh directory service.

Keuntungan dari penggunaan global autentikasi dan global autorisasi adalah

sebagai berikut.

1. Menggunakan autentikasi yang kuat dengan SSL atau NT native

authentication.

2. Memungkinkan manajemen tersentralisasi terhadap user dan privilege

seluruhnya dalam perusahaan.

3. Memudahkan bagi administrator karena untuk setiap user tidak perlu

dibuat schema dalam tiap database di perusahaan.

4. Memiliki fasilitas single sign-on

3.2.3 Operating System Security

Hal-hal lain yang perlu dipertimbangkan di lingkungan sistem operasi yang

berkaitan dengan keamanan aplikasi database adalah sebagai berikut.

17
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

1. Administrator database harus memiliki privilege sistem operasi untuk

membuat dan menghapus file.

2. User umum dari database tidak memiliki privilege sistem operasi untuk

membuat atau menghapus file yang berkaitan dengan database.

3. Jika sistem operasi mengidentifikasi database role terhadap user, maka

security administrator harus memiliki privilege sistem operasi untuk

memodifikasi domain security dari account sistem operasi.

3.3 Data Security Policy

Data security meliputi suatu mekanisme yang mengontrol akses dan penggunaan

database pada level obyek. Data security policy akan menentukan user mana yang

memiliki akses ke obyek schema tertentu. Misalnya, user scott dapat melakukan

perintah select dan insert, tapi tidak dapat melakukan perintah delete terhadap

tabel emp.

Policy mengenai data security terutama akan ditentukan berdasarkan seberapa

jauh level keamanan yang akan dibangun untuk data dalam database. Misalnya,

dapat saja diterapkan level data security yang rendah bila diinginkan agar setiap

user melakukan perintah create obyek schema atau privilege grant akses

obyeknya ke user lain dalam sistem tersebut. Di sisi lain, dapat saja level data

security diperketat lagi sehingga hanya administrator security yang memiliki

privilege untuk melakukan perintah create obyek dan privilege grant akses setiap

obyek ke dalam role dan user.

Secara umum, level data security juga bergantung pada tingkat sensitifitas suatu

data dalam database. Untuk data yang tidak terlalu sensitif, policy dari data

security dapat lebih longgar. Namun untuk data yang sensitif, secutiry policy harus

dibangun untuk mengontrol ketat terhadap akses suatu obyek.

3.4 User Security Policy

Policy untuk keamanan user dapat dibagi dalam pembahasan aspek-aspek berikut:

1. General user security

2. End-user security

3. Administrator security

4. Application developer security

5. Application administrator scurity

18
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

3.4.1 General User Security

General user security menyangkut hal-hal mengenai password secutiry dan

privilege management. Jika autentikasi terhadap user dilakukan dan diatur oleh

database, maka security administrator harus membangun suatu password security

policy untuk mengatur keamanan akses database. Misalnya, user diharuskan untuk

mengganti password-nya tiap selang waktu tertentu, atau bila password-nya

mudah ditebak oleh orang lain. Dengan usaha ini, maka pengaksesan database

secara ilegal dapat dikurangi. Untuk lebih meningkatkan keamanan password,

MySQL dapat melakukan enkripsi password untuk koneksi client/server dan

server/server.

Security administrator harus mempertimbangkan hal-hal yang berkaitan dengan

manajemen privilege untuk semua tipe user. Untuk database yang memiliki banyak

username, sangat disarankan untuk menggunakan role, yaitu sekumpulan privilege

yang dikelompokan sehingga dapat dilakukan grant terhadap sekelompok

username. Namun pada database dengan sedikit username, cukup dengan

melakukan grant privilege secara eksplisit dibandingkan dengan menggunakan

role.

3.4.2 End-User Security

Security administrator harus juga mendefinisikan policy untuk keamanan end-user.

Jika database cakupannya sangat besar dengan banyak user, maka security

administrator harus menentukan kelompok kategori user, membuat role untuk

setiap kelompok user, mekalukan grant privilege terhadap kategori role, dan

menempatkan role tersebut kepada masing-masing user. Kadang-kadang

diperlukan pengecualian terhadap beberapa account, security administrator akan

secara eksplisit melakukan grant privilege terhadap user tersebut. Ilustrasi

penggunaan role dapat dilihat pada gambar berikut.

19
 Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

Gambar 3.1 Ilustrasi penggunaan role

3.4.3 Administrator Security

Secutiry administrator juga perlu mendefinisikan policy untuk keamanan

administrator. Pada cakupan database yang besar dan terdapat beberapa macam

database administrator, security administrator harus menentukan kelompok

privilege administratif untuk dimasukkan dalam beberapa role administratif. Role

administratif tersebut kemudian dilakukan grant terhadap administrator tertentu.

Atau, bila cakupan database-nya tidak terlalu besar dimana hanya ada sedikit

administrator, akan lebih bijaksana bila dibuat satu role administratif, kemudian

dilakukan grant terhadap semua administrator.

Untuk memproteksi koneksi user SYS dan SYSTEM, setelah pembangunan

database, sebaiknya langsung dilakukan perubahan password untuk kedua user

tersebut. Koneksi user SYS dan SYSTEM akan memberikan powerful privilege

terhadap user untuk memodifikasi database.

3.4.4 Application Delevoper Security

Security administrator harus mendefinisikan security policy yang khusus

pembangun aplikasi yang menggunakan database. Security administrator dapat

melakukan grant privilege untuk membuat obyek yang penting bagi pembangun

aplikasi. Atau bisa juga privilege untuk membuat obyek diberikan kepada database

administrator yang akan menerima permintaan pembuatan obyek dari pambangun

aplikasi

3.4.5 Application Administrator Security

Dalam suatu sistem database besar yang memiliki banyak aplikasi database,

mungkin diperlukan beberapa administrator aplikasi. Administrator aplikasi

memiliki tugas sebagai berikut.

1. Membuat role untuk aplikasi dan mengatur privilege untuk setiap role aplikasi.

2. Membuat dan mengatur obyek yang digunakan dalam aplikasi database.

3. Memelihara dan meng-update application code dan prosedur maupun package

MySQL.

3.5 Password Management Policy

20
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

Sistem keamanan database perusahaan bergantung pada kerahasiaan

penyimpanan password. Namun demikian, panggunaan password masih saja

rentan terhadap pencurian, pemalsuan, dan penyalahgunaan. MySQL memiliki

manajemen password yang dapat mengatasi hal-hal berikut:

1. Account locking

2. Password aging dan expiration

3. Password complexity verification

3.5.1 Account Locking

Jika ada user yang melakukan kesalahan login beberapa kali melebihi dengan yang

sudah ditentukan, maka server secara otomatis akan melakukan locking terhadap

account tersebut. Administrator akan menentukan jumlah batas percobaan

kesalahan melakukan login, dan lamanya account akan di locking. Namun

administrator juga dapat melakukan locking terhadap account tertentu secara

langsung. Locking dengan cara ini, tidak dapat dilakukan unlocking secara

otomatis.

3.5.2 Password Aging dan Expiration

Administrator menggunakan perintah create profile untuk menentukan masa

berlakunya (lifetime) penggunaan password. Bila masa berlakunya sudah lewat,

maka user tersebut atau administratornya harus mengubah password tersebut.

Administrator juga akan menentukan grace periode, yaitu tenggang waktu yang

diberikan kepada user untuk mengganti password-nya. Bila password-nya belum

diganti hingga grace periode berakhir, maka account-nya akan hangus dan user

tersebut tidak dapat lagi melakukan login. Administrator juga menggunakan

perintah create profile untuk menentukan interval waktu dimana password yang

sudah expired tidak dapat digunakan lagi secara langsung. Berikut ini adalah

ilustrasi mengenai penjelasan grace period.

Gambar 3.2 Ilustrasi grace period

3.5.3 Password Complexity Verification

21
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

Dalam MySQL, password complexity verification dapat dispesifikasi menggunakan

PL/SQL yang akan mengatur parameter profil default. Password complexity

verification akan melakukan pemeriksaan-pemeriksaan berikut.

1. Password memiliki panjang minimum 4.

2. Password tidak sama dengan user ID.

3. Password sedikitnya memiliki satu alfa, satu numerik, dan satu tanda

baca.

4. Password tidak boleh sama dengan kata-kata sederhana seperti welcome,

account, database, atau user.

5. Password yang baru harus berbeda sedikitnya tiga huruf dengan password

yang lama.

Dari security policy di atas maka untuk dapat memilih nama file dan menempatkan

di mana wizard menyimpan paket pendistribusian tersebut. Dengan cara tersebut

dapat membuat paket pendistribusiannya ke perusahaan cabang.

Cara mendistribusikan paket penyebaran kebijakan ke perusahaan cabang adalah

menginstal paket file microsoft (.msi) lengkap dengan konfigurasi tools .NET

Framework dan instalasi content tingkat kebijakan keamanannya. .Msi file

disatukan, dan dapat dilibatkan melalui banyak cara. Dalam kehidupan sehari-hari

pendistribusian kebijakan dipilih dengan cara yang paling mudah untuk

mendapatkan suatu .msi file yang diinstall ke perusahaan cabang dengan

penggunaan kebijakan kelompok.

Semua kebijakan keamanan adalah versioned, ada user, mesin, dan kebijakan

perusahaan untuk mengukur file pada masing-masing versi instalasi .NET

Framework perusahaan. Karena .msi file yang diciptakan oleh alat administrasi

harus menulis terlalu banyak file kebijakan pada versi tertentu, maka kebijakan

yang harus disebarkan oleh perusahaan adalah semua versi .msi file tanpa

mempedulikan instalasi .NET Framework pada perusahaan. Ini akan menjadi perlu

sekali ketika berbagai versi dari .NET Framework telah tersedia

BAB IV

ANALISIS, KESIMPULAN DAN SARAN

4.1 Analisis

Microsoft telah mempromosikan .NET dan web service akan tetapi belum banyak

yang menggunakan web service tersebut di aplikasi yang sedang dibangun. Untuk

mereka yang sudah menggunakan platform Microsoft tetapi belum beralih ke .NET,

ada satu alasan lagi untuk segera beralih ke .NET, yaitu: arah kedepan dari

22
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

pengembangan semua teknologi Microsoft adalah .NET. Contohnya, baru-baru ini

Microsoft meluncurkan Microsoft Office System. Dengan menggunakan Visual

Studio tools for Office, Developer dapat membuat aplikasi .NET yang menggunakan

Word ataupun Excel sebagai User Interface. Tentu saja dengan model

pemrograman yang konsisten, seperti membangun aplikasi .NET lainnya. 

Salah satu hype di dunia IT adalah akan diluncurkannya versi terbaru dari Windows

yang disebut “Longhorn”. Disebut-sebut, peluncuran Longhorn ini serupa dengan

peluncuran Windows 95 yang menggantikan Windows 3.1 Perubahan yang dramatis

akan terjadi kembali.

 Di dalam Longhorn, segala hal adalah “managed”. Jika pada Windows XP tidak

seluruh API dijadikan satu dalam class .NET, di Longhorn seluruh akses API

dijadikan satu dalam class .NET. Sehingga, pembuatan aplikasi untuk Longhorn

adalah menggunakan model pemrograman .NET. Memang akan ada class-class

baru yang akan ditambahkan, seperti misalnya MSAvalon untuk User Interface

Longhorn. Tetapi, sekali lagi, model pemrogramannya tetap sama: .NET. 

4.2 Kesimpulan

Dengan menggunakan .NET, seorang developer tidak perlu membuang-buang

waktu menulis baris-baris program yang bersifat infrastruktur. .NET Framework

yang akan menangani hal-hal yang bersifat infrastruktur ini dengan sangat baik.

Seorang Developer dapat menggunakan waktunya untuk lebih berkonsentrasi pada

penulisan program untuk masalah bisnis yang hendak dipecahkan. Selain itu,

model pemrograman .NET adalah konsisten untuk semua jenis aplikasi. Akibatnya,

cycle time yang diperlukan untuk membuat sebuah aplikasi yang berkualitas

menjadi lebih singkat dan semakin banyak proyek yang dapat dikerjakan, dengan

kata lain, produktifitas meningkat.

Web Service memang fiture kunci dari .NET, akan tetapi, Web Service “hanyalah

sebagian kecil” dari begitu banyak benefit yang ditawarkan oleh .NET Framework.

Jadi, sudah saatnya bagi kita untuk membangun aplikasi berbasiskan .NET.

4.3 Saran

Laporan ini belum mencakup beberapa aspek dari sistem keamanan , seperti ilmu

membaca sandi, secara detil. Untuk memandang atau mengedit kebijakan

keamanan, adalah menggunakan .NET Framework suatu alat bantu yang berbentuk

(Mscorcfg.Msc). Dan karena keterbatasan waktu dan kemampuan penulis maka,

dapatlah kiranya pembaca memberikan saran dan kritik membangun untuk

pengembangan dan kemajuan teknologi keamanan dalam jaringan.

23
Tugas Akhir Keamanan Sistem Lanjut
STIKOM PGRI BANYUWANGI

DAFTAR PUSTAKA

[1] _________,. Microsoft .Net Framework Developer Center Tecnology ,

http://www.msdn.microsoft.com, 29 Januari 2005, 22.23 WIB.

[2] _________,. Net Development, Secure Coding Guidelines for the .Net
Framework Security, http://www.msdn.microsoft.com, 01 Oktober 2004,
14.05 WIB.

[3] _________, Net Development, .Net Framework Enterprise Security Policy

Administration and Deployment, http://www.msdn.microsoft.com, 01
Oktober 2004, 13.30 WIB.

[4] _________, .NET Bukan Hanya Web Service, http://www.aspxindonesia.net, 29

Januari 2005, 22.30 WIB.

[5] __________, The Zachman Framework for Enterprise Architecture ,

http://www.zifa.com, 11 September 2004.

[6] Dr. Ir. Budi Rahardjo, (2002), Keamanan Sistem Informasi Berbasis Internet ,
Bandung, PT. Insan Infonesia.

[7] Pokin Software, (1993), Building an Enterprise Architecture : The Popkin

New York, Process Version 1.

[8] Untung Permadi, ST, (2002), Pemrograman ASP.NET menggunakan VB.NET ,

Jakarta, PT Elex Media Komputindo.

[9] G. Andrew Duthie, (2002), Microsoft ASP.NET Step by Step , Jakarta, PT Elex
Media Komputindo.

24