Sisitem keamana komputer

Dosen pengajar
Suratman Hadi S.Kom, SE, MM
Dibuat oleh
Achmad farhan fahroji
43A57006521177
Kelas 3B

TEKNIK INFORMATIKA
FAKULTAS TEKNIK DAN KOMPUTER
2022
 Kata Pengantar
Segala puja dan puji syukur kami panjatkan kehadirat Allah SWT. Hanya karena berkat
pertolongan dan inayah-Nya,kami bisa menyusun makalah ini.

Masalah keamanan sistem salah satunya disebabkan karena sistem time sharing dan akses jarak
jauh, apalagi dengan meningkatnya perkembangan jaringan komputer. Oleh karena itu dibuatlah
sistem kemanan komputer yaitu untuk menjamin sumber daya sistem tidak digunakan /
dimodifikasi, diinterupsi dan diganggu oleh orang yang tidak diotorisasi. Pengamanan termasuk
masalah teknis, manajerial,legalitas dan politis. Bahasan tentang Sistem keamanan komputer
sebenarnya memiliki cakupan yang luas karena meliputi banyak aspek yang di dalamnya terdapat
jenis-jenis, permasalahn dan sebagainya. Tujuan dari makalah ini adalah adalah untuk penambahan
nilai Mid Semester tapi selain itu agar mahasiswa mengetahui bagaimana sistem keamanan
komputer itu.

Harapan kami semoga makalah yang kami buat dapat bermanfaat bagi para pembaca khususnya
mahasiswa/i jurusan teknik informatika Universitas mitra karya. Akhirnya betapa pun penulis
berusaha seteliti dan secermat mungkin, namun sebagai manusia biasa tidak luput dari kesalahan.
Celah yang terlepas dari kontrol penulis pastilah ada. Untuk itu kami menerima kritik dan saran
pembaca.

Penyusun
 PEMBAHASAN
Keamanan sistem komputer adalah untuk menjamin sumber daya sistem tidak digunakan /
dimodifikasi, diinterupsi dan diganggu oleh orang yang tidak diotorisasi. Pengamanan termasuk masalah
teknis, manajerial,legalitas dan politis.

1. Macam keamanan sistem, yaitu :

1.1 Keamanan eksternal / external security
Berkaitan dengan pengamanan fasilitas komputer dari penyusup dan bencana seperti kebakaran
/kebanjiran.

1.2 Keamanan interface pemakai / user interface security

Berkaitan dengan indentifikasi pemakai sebelum pemakai diijinkan mengakses program dan data
yang disimpan.

1.3 Keamanan internal / internal security

Berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat keras dan
sistem operasi yang menjamin operasi yang handal dan tak terkorupsi untuk menjaga integritas program
dan data.

2. masalah penting keamanan, yaitu : 2.1 Kehilangan data / data loss Yang disebabkan karena :
• Bencana, contohnya kebakaran, banjir, gempa bumi, perang, kerusuhan, tikus, dll.
• Kesalahan perangkat keras dan perangkat lunak, contohnya ketidak berfungsinya pemroses, disk
/ tape yang tidak terbaca, kesalahan komunikasi, kesalahan program / bugs.
• Kesalahan / kelalaian manusia, contohnya kesalahan pemasukkan data, memasang tape / disk
yang salah, kehilangan disk / tape.
•
2.2 Penyusup / intruder
• Penyusup pasif, yaitu yang membaca data yang tidak terotorisasi
• Penyusup aktif, yaitu mengubah data yang tidak terotorisasi.
Contohnya penyadapan oleh orang dalam, usaha hacker dalam mencari uang, spionase militer / bisnis,
lirikan pada saat pengetikan password. Sasaran keamanan adalah menghindari, mencegah dan
mengatasi ancaman terhadap sistem.

3. aspek kebutuhan keamanan sistem komputer, yaitu :

3.1 Kerahasiaan / secrecy, diantaranya privasi
Keterjaminan bahwa informasi di sistem komputer hanya dapat diakses oleh pihakpihak yang
terotorisasi dan modifikasi tetap menjaga konsistensi dan keutuhan data di system.

3.2 Integritas / integrity

Keterjaminan bahwa sumber daya sistem komputer hanya dapat dimodifikasi oleh pihak-
pihak yang terotorisasi. 3.3 Ketersediaan / availability
 Keterjaminan bahwa sumber daya sistem komputer tersedia bagi pihak-pihak yang diotorisasi
saat diperlukan.

4. Tipe ancaman
Tipe ancaman terhadap keamanan sistem komputer dapat dimodelkan dengan memandang
fungsi system komputeer sebagai penyedia informasi.

Berdasarkan fungsi ini, ancaman terhadap sistem komputeer dikategorikan menjadi 4 ancaman, yaitu :

4.1 Interupsi / interuption

Sumber daya sistem komputer dihancurkan / menjadi tak tersedia / tak berguna. Merupakan
ancaman terhadap ketersediaan. Contohnya penghancuran harddisk, pemotongan kabel komunikasi.

4.2 Intersepsi / interception

Pihak tak diotorisasi dapat mengakses sumber daya. Merupakan ancaman terhadap kerahasiaan.
Pihak tak diotorissasi dapat berupa orang / program komputeer. Contohnya penyadapan, mengcopy file
tanpa diotorisasi.

4.3 Modifikasi / modification

Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya. Merupakan
ancaman terhadap integritas. Contohnya mengubah nilai file, mengubah program, memodifikasi pesan.

4.4 Fabrikasi / fabrication

Pihak tak diotorisasi menyisipkan / memasukkan objek-objek palsu ke sistem. Merupakan
ancaman terhadap integritas. Contohnya memasukkan pesan palsu ke jaringan, menambah record file.

5. Petunjuk prinsip-prinsip pengamanan sistem komputer, yaitu :

a. Rancangan sistem seharusnya public Tidak tergantung pada kerahasiaan rancangan mekanisme
pengamanan. Membuat proteksi yang bagus dengan mengasumsikan penyusup mengetahui cara
kerja sistem pengamanan.

b. Dapat diterima
Mekanisme harus mudah diterima, sehingga dapat digunakan secara benar dan mekanisme proteksi
tidak mengganggu kerja pemakai dan pemenuhan kebutuhan otorisasi pengaksesan.

c. Pemeriksaan otoritas saat itu Banyak sisten memeriksa ijin ketika file dibuka dan setelah itu (opersi
lainnya) tidak diperiksa.

d. Kewenangan serendah mungkin program program / pemakai sistem harusnya beroperasi dengan
kumpulan wewenang serendah mungkin yang diperlukan untuk menyelesaikan tugasnya.

e. Mekanisme yang ekonomis yaitu mekanisme proteksi seharusnya sekecil dan sesederhana mungkin
dan seragam sehingga mudah untukverifikasi.
6. Otentifikasi pemakai / user authentification
Otentifikasi pemakai / user authentification adalah identifikasi pemakai ketika login. 3 cara
otentifikasi :
1. Sesuatu yang diketahui pemakai, misalnya password, kombinasi kunci, nama kecil ibu mertua, dll.
Untuk password, pemakai memilih suatu kata kode, mengingatnya dan menggetikkannya saat akan
mengakses sistem komputer, saat diketikkan tidak akan terlihat dilaya kecuali misalnya tanda *. Tetapi
banyak kelemahan dan mudah ditembus karena pemakai cenderung memilih password yang mudah
diingat, misalnya nama kecil, nama panggilan, tanggal lahir, dll.

Upaya pengamanan proteksi password :

a. Salting, menambahkan string pendek ke string password yang diberikan pemakai sehingga
mencapai panjang password tertentu
b. one time password, pemakai harus mengganti password secara teratur, misalnya pemakai
mendapat 1 buku daftar password. Setiap kali login pemakai menggunakan password berikutnya yang
terdapat pada daftar password.
c. satu daftar panjang pertanyan dan jawaban, sehingga pada saat login, komputer memilih salah
satu dari pertanyaan secara acak, menanyakan ke pemakai dan memeriksa jawaban yang diberikan.
d. tantangan tanggapan / chalenge respone, pemakai diberikan kebebasan memilih suatu
algoritma misalnya x3, ketika login komputer menuliskan di layar angka 3, maka pemakai harus
mengetik angka 27.

2. Sesuatu yang dimiliki pemakai, misalnya bagde, kartu identitas, kunci, barcode KTM,
ATM.

Kartu pengenal dengan selarik pita magnetik. Kartu ini disisipkan de suatu perangkat pembaca kartu
magnetik jika akan mengakses komputer, biasanya dikombinasikan dengan password.

3. Sesuatu mengenai / merupakan ciri pemakai yang di sebut biometrik, misalnya sidik jari, sidik suara,
foto, tanda tangan, dll. Pada tanda tangan, bukan membandingkan bentuk tanda tangannya (karena
mudah ditiru) tapi gerakan / arah dan tekanan pena saat menulis (sulit ditiru).

Untuk memperkecil peluang penembusan keamanan sistem komputer harus diberikan

pembatasan, misalnya :

1. Pembatasan login, misalnya pada terminal tertentu, pada waktu dan hari tertentu.
2. Pembatasan dengan call back, yaitu login dapat dilakukan oleh siapapun, bila telah sukses,
sistemmemutuskan koneksi dan memanggil nomor telepon yang disepakati. Penyusup tidak dapat
menghubungi lewat sembarang saluran telepon, tapi hanya pada saluran tetepon tertentu.
3. Pembatasan jumlah usaha login, misalnya dibatasi sampai 3 kali, dan segera dikunci dan
diberitahukan keadministrator. 7.Objek yang perlu diproteksi :
1. Objek perangkat keras, misalnya pemroses, segment memori, terminal, diskdrive, printer, dll
2. Objek perangkat lunak, misalnya proses, file, basis data, semaphore, dll
Masalah proteksi adalah mengenai cara mencegah proses mengakses objek yang tidak
diotorisasi. Sehingga dikembangkan konsep domain. Domain adalah himpunan pasangan (objek,hak).
Tiap pasangan menspesifikasikan objek dan suatu subset operasi yang dapat dilakukan terhadapnya. Hak
dalam konteks ini berarti ijin melakukan suatu operasi.

Cara penyimpanan informasi anggota domain beerupa satu matrik besar :

- baris menunjukkan domain

- kolom menunjukkan objek

8. Kriptografi
Kriptografi, secara umum adalah ilmu dan seni untuk menjaga kerahasiaan berita
[bruceSchneier - Applied Cryptography]. Kata cryptography berasal dari kata Yunani kryptos
(tersembunyi) dan graphein (menulis). Selain pengertian tersebut terdapat pula pengertian ilmu yang
mempelajari teknik-teknik matematika yang berhubungan dengan aspek

keamanan informasi seperti kerahasiaan data, keabsahan data, integritas data, serta autentikasi data
[A.Menezes, P. van Oorschot and S. Vanstone - Handbook of Applied Cryptography]. Cryptanalysis
adalah aksi untuk memecahkan mekanisme kriptografi dengan cara mendapatkan plaintext atau kunci
dari ciphertext yang digunakan untuk mendapatkan informasi berharga kemudian mengubah atau
memalsukan pesan dengan tujuan untuk menipu penerima yang sesungguhnya, memecahkan
ciphertext. Cryptology adalah ilmu yang mencakup cryptography dan cryptanalysis. Tidak semua
aspek keamanan informasi ditangani oleh kriptografi.

Tujuan mendasar dari ilmu kriptografi ini yang juga merupakan aspek keamanan informasi yaitu:

8.1 Kerahasiaan
Kerahasiaan adalah layanan yang digunakan untuk menjaga isi dari informasi dari siapapun
kecuali yang memiliki otoritas atau kunci rahasia untuk membuka/mengupas informasi yang telah
disandi. Integritas data, adalah berhubungan dengan penjagaan dari perubahan data secara tidak sah.
Untuk menjaga integritas data, sistem harus memiliki kemampuan untuk mendeteksi manipulasi data
oleh pihak-pihak yang tidak berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data lain
kedalam data yang sebenarnya.

8.2 Autentikasi
Autentikasi adalah berhubungan dengan identifikasi/pengenalan, baik secara kesatuan sistem
maupun informasi itu sendiri. Dua pihak yang saling berkomunikasi harus saling memperkenalkan diri.
Informasi yang dikirimkan melalui kanal harus diautentikasi keaslian, isi datanya, waktu pengiriman, dan
lain-lain.

8.3 Non-repudiasi., atau nir penyangkalan

Non-repudiasi., atau nir penyangkalan adalah usaha untuk mencegah terjadinya penyangkalan
terhadap pengiriman/terciptanya suatu informasi oleh yang mengirimkan /membuat. Enkripsi adalah
transformasi data kedalam bentuk yang tidak dapat terbaca tanpa sebuah kunci tertentu. Tujuannya
adalah untuk meyakinkan privasi dengan menyembunyikan informasi dari orang-orang yang tidak
ditujukan, bahkan mereka mereka yang memiliki akses ke data terenkripsi. Dekripsi merupakan
kebalikan dari enkripsi, yaitu transformasi data terenkripsi kembali ke bentuknya semula.

9. Keamanan Dan Manajemen Perusahaan

Seringkali sulit untuk membujuk manajemen perusahaan atau pemilik sistem informasi untuk
melakukan investasi di bidang keamanan. Di tahun 1997 majalah Information Week melakukan survey
terhadap 1271 system atau network manager di Amerika Serikat. Hanya 22% yang menganggap
keamanan sistem informasi sebagai komponen sangat penting (“extremely important”). Mereka lebih
mementingkan “reducing cost” dan “improving competitiveness” meskipun perbaikan sistem informasi
setelah dirusak justru dapat menelan biaya yang lebih banyak. Keamanan itu tidak dapat muncul
demikian saja. Dia harus direncanakan. Ambil contoh berikut. Jika kita membangun sebuah rumah, maka
pintu rumah kita harus dilengkapi dengan kunci pintu. Jika kita terlupa memasukkan kunci pintu pada
budget perencanaan rumah, maka kita akan dikagetkan bahwa ternyata harus keluar dana untuk
menjaga keamanan. Kalau rumah kita hanya memiliki satu atau dua pintu, mungkin dampak dari budget
tidak seberapa. Bayangkan bila kita mendesain sebuah hotel dengan 200 kamar dan lupa
membudgetkan kunci pintu. Dampaknya sangat besar. Demikian pula di sisi pengamanan sebuah sistem
informasi. Jika tidak kita budgetkan di awal, kita akan dikagetkan dengan kebutuhan akan adanya
perangkat pengamanan (firewall, Intrusion Detection System, anti virus, Dissaster Recovery Center, dan
seterusnya). Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur dengan uang
(intangible), keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran yang dapat
diukur dengan uang (tangible). Dengan adanya ukuran yang terlihat, mudah-mudahan pihak manajemen
dapat mengerti pentingnya investasi di bidang keamanan.

Berikut ini adalah berapa contoh kegiatan yang dapat kita lakukan :

a. Hitung kerugian apabila sistem informasi kita tidak bekerja selama 1 jam, selama 1
hari, 1 minggu, dan 1 bulan. (Sebagai perbandingkan, bayangkan jika server Amazon.com tidak dapat
diakses selama beberapa hari. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.)

b. Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi anda.
Misalnya web site anda mengumumkan harga sebuah barang yang berbeda dengan harga yang ada
di toko kita.

c. Hitung kerugian apabila ada data yang hilang.

Misalnya berapa kerugian yang diderita apabila daftar pelanggan dan invoice hilang dari sistem kita.
Berapa biaya yang dibutuhkan untuk rekonstruksi data.

d. Apakah nama baik perusahaan kita merupakan sebuah hal yang harus dilindungi?
Bayangkan bila sebuah bank terkenal dengan rentannya pengamanan data-datanya, bolakbalik
terjadi security incidents. Tentunya banyak nasabah yang pindah ke bank lain karena takut akan
keamanan uangnya. Pengelolaan terhadap keamanan dapat dilihat dari sisi pengelolaan resiko (risk
management). Lawrie Brown dalam menyarankan menggunakan “Risk Management Model” untuk
menghadapi ancaman (managing threats). Ada tiga komponen yang memberikan kontribusi kepada Risk,
yaitu Asset, Vulnerabilities, dan Threats.

Nama Komponen Contoh & Keterangan Lebih Lanjut Asset (Aset) :

• Hardware
• Software
• Dokumentasi
• Data
• Komunikasi
 • Lingkungan
• Manusia
• Threats (Ancaman)
• Pemakai (Users)
• Teroris
• Kecelakaan (Accidents)
• Crackers
• Penjahat Kriminal
• Nasib (Acts Of God)
• Intel Luar Negeri (Foreign Intelligence)
• Vulnerability (Kelemahan)
• Software Bugs
• Hardware Bugs
• Radiasi (dari layar, transmisi)
• Tapping, Crosstalk
• Unauthorized Users
• Cetakan, Hardcopy
• Keteledoran (Oversight)
• Cracker via telepon
• Strorage media

Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut “countermeasures” yang dapat
berupa :

• Usaha untuk mengurangi Threat

• Usaha untuk mengurangi Vulnerability
• Usaha untuk mengurangi impak (impact)
• Mendeteksi kejadian yang tidak bersahabat (hostile event)
• Kembali (recover) dari kejadian

10. Meningkatnya Kejahatan Komputer

Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi,
akan terus meningkat dikarenakan beberapa hal, antara lain :

10.1 Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan komputer
semakin meningkat.
Sebagai contoh saat ini mulai bermunculan aplikasibisnis seperti on-line banking, electronic
commerce (e-commerce), Electronic Data Interchange (EDI), dan masih banyak lainnya. Bahkan aplikasi
e-commerce akan menjadi salah satu aplikasi pemacu di Indonesia (melalui “Telematika Indonesia” dan
Nusantara 21). Demikian pula di berbagai penjuru dunia aplikasi ecommerce terlihat mulai meningkat.

10.2 Desentralisasi (dan distributed) server menyebabkan lebih banyak sistem yang harus
ditangani.
Hal ini membutuhkan lebih banyak operator dan administrator yang handal yang juga
kemungkinan harus disebar di seluruh lokasi. Padahal mencari operator dan administrator yang handal
adalah sangat sulit, apalagi jika harus disebar di berbagai tempat. Akibat dari hal ini adalah biasanya
server-server di daerah (bukan pusat) tidak dikelola dengan baik sehingga lebih rentan terhadap
serangan. Seorang cracker akan menyerang server di daerah lebih dahulu sebelum mencoba menyerang
server pusat. Setelah itu dia akan menyusup melalui jalur belakang. (Biasanya dari daerah / cabang ke
pusat ada routing dan tidak dibatasi dengan firewall.)

10.3 Transisi dari single vendor ke multi-vendor

Sehingga lebih banyak sistem atau perangkat yang harus dimengerti dan masalah
interoperability antar vendor yang lebih sulit ditangani. Untuk memahami satu jenis perangkat dari satu
vendor saja sudah susah, apalagi harus menangani berjenis-jenis perangkat. Bayangkan, untuk router
saja sudah ada berbagai vendor; Cisco, Juniper Networks, Nortel, Linux-based router, BSDbased router,
dan lain-lain. Belum lagi jenis sistem operasi (operating system) dari server, seperti Solaris (dengan
berbagai versinya), Windows (NT, 2000, 2003), Linux (dengan berbagai distribusi), BSD (dengan berbagai
variasinya mulai dari FreeBSD, OpenBSD, NetBSD). Jadi sebaiknya tidak menggunakan variasi yang terlalu
banyak.

10.4 Meningkatnya kemampuan pemakai di bidang komputer

Sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang
digunakanny (atau sistem milik orang lain). Jika dahulu akses ke komputer sangat sukar, maka sekarang
komputer sudah merupakan barang yang mudah diperoleh dan banyak dipasang di sekolah serta rumah-
rumah.

10.5 Mudahnya diperoleh software untuk menyerang komputer dan jaringan komputer Banyak
tempat di Internet yang menyediakan software yang langsung dapat diambil
(download) dan langsung digunakan untuk menyerang dengan Graphical User Interface (GUI) yang
mudah digunakan. Beberapa program, seperti SATAN, bahkan hanya membutuhkan sebuah web
browser untuk menjalankannya. Sehingga, seseorang yang hanya dapat menggunakan web browser
dapat menjalankan program penyerang (attack). Penyerang yang hanya bisa menjalankan program
tanpa mengerti apa maksudnya disebut dengan istilah script kiddie.

10.6 Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan
telekomunikasi yang sangat cepat
Hukum yang berbasis ruang dan waktu akan mengalami kesulitan untuk mengatasi masalah
yang justru terjadi pada sebuah system yang tidak memiliki ruang dan waktu. Barang bukti digital juga
masih sulit diakui oleh pengadilan Indonesia sehingga menyulitkan dalam pengadilan. Akibatnya pelaku
kejahatan cyber hanya dihukum secara ringan sehingga ada kecenderungan mereka melakukan hal itu
kembali.

10.7 Semakin kompleksnya sistem yang digunakan

Seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar
probabilitas terjadinya lubang keamanan (yang disebabkan kesalahan pemrograman, bugs).

11. Klasifikasi Kejahatan Komputer

 Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai ke yang hanya
mengesalkan (annoying). Menurut David Icove berdasarkan lubang keamanan, dapat diklasifikasikan
menjadi empat, yaitu :
11.1 Keamanan yang bersifat fisik (physical security)
Termasuk akses orang ke gedung, peralatan, dan media yang digunakan. Beberapa bekas
penjahat komputer (crackers) mengatakan bahwa mereka sering pergi ke tempat sampah untuk mencari
berkas-berkas yang mungkin memiliki informasi tentang keamanan. Misalnya pernah diketemukan
coretan password atau manual yang dibuang tanpa dihancurkan. Wiretapping atau hal-hal yang
berhubungan dengan akses ke kabel atau computer yang digunakan juga dapat dimasukkan ke dalam
kelas ini. Pencurian komputer dan notebook juga merupakan kejahatan yang besifat fisik. Menurut
statistik, 15% perusahaan di Amerika pernah kehilangan notebook. Padahal biasanya notebook ini tidak
dibackup (sehingga data-datanya hilang), dan juga seringkali digunakan untuk menyimpan data-data
yang seharusnya sifatnya confidential (misalnya pertukaran email antar direktur yang menggunakan
notebook tersebut). Denial of service, yaitu akibat yang ditimbulkan sehingga servis tidak dapat diterima
oleh pemakai juga dapat dimasukkan ke dalam kelas ini. Denial of service dapat dilakukan misalnya
dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat
berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan). Beberapa waktu yang lalu ada
lubang keamanan dari implementasi protokol TCP/IP yang dikenal dengan istilah Syn Flood Attack,
dimana sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadi terlalu sibuk dan
bahkan dapat berakibat macetnya sistem (hang). Mematikan jalur listrik sehingga sistem menjadi tidak
berfungsi juga merupakan serangan fisik. Masalah keamanan fisik ini mulai menarik perhatikan ketika
gedung World Trade Center yang dianggap sangat aman dihantam oleh pesawat terbang yang dibajak
oleh teroris. Akibatnya banyak sistem yang tidak bisa hidup kembali karena tidak diamankan. Belum lagi
hilangnya nyawa.

11.2 Keamanan yang berhubungan dengan orang (personel)

Termasuk identifikasi, dan profil resiko dari orang yang mempunyai akses (pekerja). Seringkali
kelemahan keamanan sistem informasi bergantung kepada manusia (pemakai dan pengelola). Ada
sebuah teknik yang dikenal dengan istilah “social engineering” yang sering digunakan oleh kriminal
untuk berpura-pura sebagai orang yang berhak mengakses informasi. Misalnya kriminal ini berpura-pura
sebagai pemakai yang lupa passwordnya dan minta agar diganti menjadi kata lain.

11.3 Keamanan dari data dan media serta teknik komunikasi (communications)
Yang termasuk di dalam kelas ini adalah kelemahan dalam software yang digunakan untuk
mengelola data. Seorang kriminal dapat memasang virus atau Trojan horse sehingga dapat
mengumpulkan informasi (seperti password) yang semestinya tidak berhak diakses. Bagian ini yang akan
banyak kita bahas dalam buku ini.

11.4 Keamanan dalam operasi

Termasuk kebijakan (policy) dan prosedur yang digunakan untuk mengatur dan mengelola
sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery). Seringkali
perusahaan tidak memiliki dokumen kebijakan dan prosedur.
12. Aspek / Service Dari Keamanan (Security)
Garfinkel mengemukakan bahwa keamanan komputer (computer security) melingkupi empat aspek,
yaitu privacy, integrity, authentication, dan availability.

12.1 Privacy / Confidentiality

Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang
yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan
confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan
tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk
keperluan tertentu tersebut. Contoh hal yang berhubungan dengan privacy adalah e-mail seorang
pemakai (user) tidak boleh dibaca oleh administrator. Contoh confidential information adalah data-data
yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status
perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data
yang ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari confidentiality adalah daftar
pelanggan dari sebuah Internet Service Provider (ISP). Untuk mendapatkan kartu kredit, biasanya
ditanyakan datadata pribadi. Jika saya mengetahui data-data pribadi anda, termasuk nama ibu anda,
maka saya dapat melaporkan melalui telepon (dengan berpura-pura sebagai anda) bahwa kartu kredit
anda hilang dan mohon penggunaannya diblokir. Institusi (bank) yang mengeluarkan kartu kredit anda
akan percaya bahwa saya adalah anda dan akan menutup kartu kredit anda. Masih banyak lagi
kekacauan yang dapat ditimbulkan bila data-data pribadi ini digunakan oleh orang yang tidak berhak.
Ada sebuah kasus dimana karyawan sebuah perusahaan dipecat dengan tidak hormat dari perusahaan
yang bersangkutan karena kedapatan mengambil datadata gaji karyawan di perusahaan yang
bersangkutan. Di perusahaan ini, daftar gaji termasuk informasi yang bersifat confidential /rahasia.

12.2 Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi.
Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh
masalah yang harus dihadapi. Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah jalan, diubah
isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju. Dengan kata lain,
integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat
mengatasi masalah ini. Salah satu contoh kasus trojan horse adalah distribusi paket program TCP
Wrapper (yaitu program populer yang dapat digunakan untuk mengatur dan membatasi akses TCP/IP)
yang dimodifikasi oleh orang yang tidak bertanggung jawab. Jika anda memasang program yang berisi
trojan horse tersebut, maka ketika anda merakit (compile) program tersebut, dia akan mengirimkan
eMail kepada orang tertentu yang kemudian memperbolehkan dia masuk ke sistem anda. Informasi ini
berasal dari CERT Advisory, “CA-99-01 Trojan-TCP-Wrappers” yang didistribusikan 21 Januari 1999.
Contoh serangan lain adalah yang disebut “man in the middle attack” dimana seseorang menempatkan
diri di tengah pembicaraan dan menyamar sebagai orang lain.

12.3 Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betulbetul asli,
orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server
yang kita hubungi adalah betul-betul server yang asli. Masalah pertama, membuktikan keaslian
dokumen, dapat dilakukan dengan teknologi watermarking dan digital signature. Watermarking juga
dapat digunakan untuk menjaga “intelectual property”, yaitu dengan menandai dokumen atau hasil
karya dengan “tanda tangan” pembuat. Masalah kedua biasanya berhubungan dengan access control,
yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. Dalam hal ini pengguna
harus menunjukkan bukti bahwa memang dia adalah pengguna yang sah, misalnya dengan
menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya.

Ada tiga hal yang dapat ditanyakan kepada orang untuk menguji siapa dia :

• What you have (misalnya kartu ATM)

• What you know (misalnya PIN atau password)
• What you are (misalnya sidik jari, biometric)

Penggunaan teknologi smart card, saat ini kelihatannya dapat meningkatkan keamanan aspek
ini. Secara umum, proteksi authentication dapat menggunakan digital certificates. Authentication
biasanya diarahkan kepada orang (pengguna), namun tidak pernah ditujukan kepada server atau mesin.
Pernahkan kita bertanya bahwa mesin ATM yang sedang kita gunakan memang benar-benar milik bank
yang bersangkutan? Bagaimana jika ada orang nakal yang membuat mesin seperti ATM sebuah bank dan
meletakkannya di tempat umum? Dia dapat menyadap data-data (informasi yang ada di magnetic strip)
dan PIN dari orang yang tertipu. Memang membuat mesin ATM palsu tidak mudah. Tapi, bisa anda
bayangkan betapa mudahnya membuat web site palsu yang menyamar sebagai web site sebuah bank
yang memberikan layanan Internet Banking. (Ini yang terjadi dengan kasus klikBCA.com.)

12.4 Availability
Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika
dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke
informasi. Contoh hambatan adalah serangan yang sering disebut dengan “denial of service attack” (DoS
attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang
diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.
Contoh lain adalah adanya mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan
ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau
kesulitan mengakses e-mailnya (apalagi jika akses dilakukan melalui saluran telepon).

PENUTUP
KESIMPULAN
Inti dari keamanan komputer adalah melindungi komputer dan jaringannya dengan
tujuan mengamankan informasi yang berada di dalamnya. Mencegah terjadinya suatu serangan
terhadap sistem. Dengan demikian kita perlu memperhatikan desain dari sistem, aplikasi yang
dipakai, dan human (admin). Ketiga faktor tersebut merupakan cara yang baik untuk mencegah
terjadinya kebocoran sistem, serangan, dan lain-lain..

SARAN
Begitu banyak teknik dalam mengamankan data dan informasi yang tersimpan pada sebuah
media penyimpanan di komputer. Teknik tersebut patut diterapkan apabila kita tidak menginginkan
terjadinya resiko kehilangan data penting. Namun, pemilihan teknik tersebut perlu dilakukan dengan
cermat.