PEMBAHASAN
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan
(cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi,
dimana informasinya sendiri tidak memiliki arti fisik.
Sebagai kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk mencegah akses yang
tidak sah, perubahan program,
Pencurian, atau kerusakan fisik terhadap sistem informasi. Sistem pengamanan terhadap teknologi
informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan peralatan-peralatan untuk
mengamankan perangkat keras dan lunak komputer, jaringan
Keamanan jaringan internet adalah Manajemen pengelolaan keamanan yang bertujuan mencegah,
mengatasi, dan melindungi berbagai sistem informasi dari resiko terjadinya tindakan ilegal seperti
penggunaan tanpa izin, penyusupan, dan perusakan terhadap berbagai informasi yang di miliki.
Resiko terhadap keamanan sistem informasi mencakup dua hal utama yaitu ancaman terhadap
keamanan system informasi dan kelemahan keamanan system informasi.
Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem informasi
yaitu :
• Efektifitas
• Efisiensi
• Kerahaasiaan
• Integritas
• Keberadaan (availability)
• Kepatuhan (compliance)
• Keandalan (reliability)
Untuk menjamin hal tersebut maka keamanan sistem informasi baru dapat terkriteriakan dengan
baik. Adapun kriteria yag perlu di perhatikan dalam masalah keamanan sistem informasi
membutuhkan 10 domain keamanan yang perlu di perhatikan yaitu :
Dari domain tersebutlah isu keamanan sistem informasi dapat kita klasifikasikan berdasarkan
ancaman dan kelemahan sistem yang dimiliki.
Pada perusahaan yang memiliki sumberdaya yang besar berupa bahan baku, sumberdaya manusia,
maupun barang jadi sudah saatnya menggunakan sistem komputerisasi yang terintegrasi agar lebih
effisien
Dan effektif dalam memproses data yang dibutuhkan. Sistem Informasi dalam suatu perusahaan
bertujuan untuk mencapai tiga manfaat utama: kerahasiaan, ketersediaaan, dan integrasi.
1. Kerahasiaan. Untuk melindungi data dan informasi dari penggunaan yang tidak semestinya
oleh orang-orang yang tidak memiliki otoritas. Sistem informasi eksekutif, sumber daya
manusia, dan sistem pengolahan transaksi, adalah sistem-sistem yang terutama harus
mendapat perhatian dalam keamanan informasi.
2. Ketersediaan. Supaya data dan informasi perusahaan tersedia bagi pihak-pihak yang
memiliki otoritas untuk menggunakannya.
3. Integritas. Seluruh sistem informasi harus memberikan atau menyediakan gambaran yang
akurat mengenai sistem fisik yang mereka wakili
Untuk melindungi sumberdaya organisasi, suatu perusahaan harus menerapkan beragam jenis
ukuran keamanan. Ukuran keamanan yang memadai memungkinkan perusahaan:
1. Melindungi fasilitas komputernya dan fasilitas fisik lainnya.
2. Keamanan data/informasi.
Untuk setiap keamanan fisik dan keamanan data/informasi, maka ukuran-ukuran keamanan harus
ditetapkan untuk:
a) Akses ke aktiva fisik non komputer harus dibatasi atau dijaga dari pihak-pihak yang
tidak diijinkan/diotorisasi.
b) Kas harus disimpan dalam kotak terkunci (brankas) dan hanya boleh diakses oleh
orang-orang yang diijinkan.
c) Menetapkan penjaga untuk sediaan yang disimpan digudang atau aktiva yang ada
digedung administrasi atau pabrik.
Melakukan pemeliharaan rutin atas aktiva-aktiva operasi, seperti mesin, mobli dan lain-lain
a) Pusat fasilitas komputer harus diisolasi, lokasi tidak bisa dipublikasi dan tidak tampak
dari jalan umum.
2.6
b) Akses fisik ke fasilitas komputer dibatasi pada orang yang diotorisasi, misalnya
operator komputer, pustakawan, penyelia pemrosesan data atau manajemen sistem
informasi.
e) Pintu terkunci ke ruangan komputer dan titik pemasukan data yang hanya bisa
dibuka dengan kartu berkode magnetik.
a) Isolasi, data dan informasi yang rahasia dan penting bagi operasi perusahaan
diisolasi secara fisik untuk melindungi dari akses yang tidak diotorisasi.
Username. Peralatan komputer dan terminal juga akan terkunci otomatis bila jam kerja telah selesai.
e) Destruksi. Untuk mencegah pihak yang tidak diijinkan mengakses data, data rahasia
harus segera dihancurkan ketika masa penggunaannya selesai. Untuk hasil cetakan,
segera dihancurkan melalui alat penghancur kertas.
2. Perlindungan dari akses data dan informasi yang tidak bisa dideteksi
d) Logperubahan program dan sistem. Log perubahan program dan sistem dapat
memantau perubahan terhadap program, file dan pengendalian. Manajer
pengembangan sistem memasukkan kedalam log ini seluruh perubahan dan
tambahan yang diijinkan terhadap program. Perubahan dan tambahan yang diijinkan
terhadap program harus diperiksa internal auditor untuk memeriksa kesesuaian
dengan prosedur perubahan yang disarankan.
1.4 PERLINDUNGAN DARI KERUGIAN ATAU PERUBAHAN YANG TIDAK DIHARAPKAN TERHADAP
DATA ATAU PROGRAM
1.5
1. Log (catatan) perpustakaan, memperlihatkan pergerakan dari file data, program, dan
dokumentasi yang digunakan dalam pemrosesan atau aktivitas lainnya.
2. Log transaksi, mencatat transaksi individual ketika transaksi itu dimasukkan ke dalam sistem
on-line untuk pemrosesan. Log ini memberikan jejak audit dalam sistem pemrosesan online.
Termasuk dalam log ini adalah tempat pemasukan transaksi, waktu dan data yang
dimasukkan, nomor identifikasi orang yang memasukkan data, kode transaksi, dan jumlah.
Perangkat lunak sistem juga meminta nomor transaksi. Secara teratur daftar log transaksi ini
harus dicetak.
4. Label file
Memutakhirkan record yang sama, maka satu data dapat dicatat berlebihan dan hilang.
2. Prosedur backup dan rekonstruksi. Backup merupakan tindasan (copy) duplikasi dari
dokumen, file, kumpulan data, program dan dokumentasi lainnya yang sangat penting bagi
perusahaan. Prosedur rekonstruksi terdiri dari penggunaanbackup untuk mencipta ulang
data atau program yang hilang.
2.9 Ancaman pada Sistem Informasi
2.10
Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik dari dalam sistem
maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi.Ancaman
terhadap keamanan informasi berasal dari individu, organisasi, mekanisme, atau kejadian yang
memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi.Pada kenyataannya
ancaman dapat bersifat internal, yaitu berasal dari dalam perusahaan, maupun eksternal atau
berasal dari luar perusahaan. Ancaman juga dapat terjadi secara sengaja ataupun tidak
sengaja..Ancaman selama ini hanya banyak di bahas dikalangan akademis saja.Tidak banyak
masyarakat yang mengerti tentang ancaman bagi keamanan sistem informasi mereka. Masyarakat
hanya mengenal
Kejahatan teknologi dan dunia maya hanya apabila sudah terjadi “serangan“ atau “attack”. Sebuah
hal yang perlu disosialisasikan dalam pembahasan tentang keamanan sistem terhadap masyarakat
adalah mengenalkan “ancaman” kemudian baru mengenalkan ‘serangan’ kepada masyarakat. Perlu
di ketahui bahwa serangan dimulai dengan ancaman, dan tidak akan ada serangan sebelum adanya
ancaman. Serangan dapat diminimalisir apabila ancaman sudah diprediksi dan dipersiapkan
antisipasi sebelumnya atau mungkin sudah dihitung terlebih dahulu melalui metode -metode
penilaian resiko dari sebuah ancaman. Ada beberapa metode yang digunakan dalam
mengklasifikasikan ancaman, salah satunya adalah Stride Method ( metode stride ) . STRIDE
merupakan singkatan dari:
-Spoofing yaitu menggunakan hak akses / Mengakses sistem dengan menggunakan identitas orang
lain .
-Tampering yaitu tanpa mempunyai hak akses namun dapat mengubah data yang ada didalam
database.
-Repudiation yaitu membuat sebuah sistem atau database dengan sengaja salah, atau sengaja
menyisipkan bugs, atau menyertakan virus tertentu didalam aplikasi sehingga dapat digunakan
untuk mengakses sistem pada suatu saat.
-Information disclosure yaitu membuka atau membaca sebuah informasi tanpa memiliki hak akses
atau membaca sesuatu tanpa mempunyai hak otorisasi.
-Denial of service yaitu membuat sebuah sistem tidak bekerja atau tidak dapat digunakan oleh orang
lain.
-Elevation of priviledge yaitu menyalahgunakan wewenang yang dimiliki untuk mengakses sebuah
sistemuntuk kepentingan pribadi.
Dalam hal ancaman ini dapat diberikan contoh didalam dunia nyata apabila seseorang diketahui
membawa senjata tajam kemanapun dia pergi maka dapat dikatakan orang tersebut dapat
merupakan ancaman bagi orang lain. Hal lain didunia nyata adalah pada saat diketahui seseorang
membawa kunci T di sakunya maka dapat disimpulkan orang tersebut adalah merupakan ancaman
bagi orang lain yang membawa kendaraan bermotor. Didalam dunia keamanan sistem atau dunia
teknologi informasi seseorang dapat dikatakan berpotensi sebagai ancaman apabila memiliki hal
sebagai berikut:
a)
b)
Memiliki hak akses ( password ) seseorang yang dia ketahui dari berbagai sumber.
c)
Memiliki banyak sekali koleksi tools untuk meretas sebuah sistem dan keahlian dibidang itu.
d)
Orang yang membangun sebuah sistem dapat pula menjadi ancaman bagi sistem tersebut.
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar
1. Ancaman Alam
2. Ancaman Manusia
• Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai, pencairan salju
• Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut Ancaman Manusia
• Malicious code
• Social engineering
• Hacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS, backdoor
• Kriminal
• Teroris
• Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam jangka waktu
yang cukup lama
• Polusi
• Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan anti api, dll
Besar kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi atau belum teridentifikasi
dengan jelas tersebut, perlu di klasifikasikan secara matriks ancaman sehingga kemungkinan yang
timbul dari ancaman tersebut dapat di minimalisir dengan pasti. Setiap ancaman tersebut memiliki
probabilitas serangan yang beragam baik dapat terprediksi maupun tidak dapat terprediksikan
seperti terjadinya gempa bumi yang mengakibatkan sistem informasi mengalami mall function.
Kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur,
mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan
pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut. Cacat sistem bisa
terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki, contoh yang mungkin
terjadi seperti : Seting firewall yang membuka telnet sehingga dapat diakses dari luar, atau Seting
VPN yang tidak di ikuti oleh penerapan kerberos atau NAT.
Suatu pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan, yaitu :
1. Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadikan ancaman dan
kelemahan
2. Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan dan proses yang
mengubah sistem dari keadaan normal menjadi keadaan abnormal
3. Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang sudah tidak
seimbang untuk dikembalikan dalam keadaan normal
Tindakan tersebutlah menjadikan bahwa keamanan sistem informasi tidak dilihat hanya dari kaca
mata timbulnya serangan dari virus, mallware, spy ware dan masalah lain, akan tetapi dilihat dari
berbagai segi sesuai dengan domain keamanan sistem itu sendiri.
Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis
komputer di dalam perusahaan. Keamanan informasi dimaksudkan untuk mencapai tiga sasaran
utama yaitu:
1. Kerahasiaan
Melindungi data dan informasi perusahaan dari penyingkapan orang-orang yang tidak berhak. Inti
utama dari aspek kerahasiaan adalah usaha untuk menjaga informasi dari orang-orang yang tidak
berhak mengakses.Privacy lebih kearah data-data yang sifatnya privat.Serangan terhadap aspek
privacy misalnya usaha untuk melakukan penyadapan.Usaha-usaha yang dapat dilakukan untuk
meningkatkan privacy adalah dengan menggunakan teknologi kriptografi.Kriptografi adalah ilmu
yang mempelajari teknik-teknik matematika yang berhubungan dengan aspek keamanan informasi
seperti keabsahan, integritas data, serta autentikasi data.
2. Ketersediaan
Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi benar-benar asli, atau
orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud.
Masalah pertama untuk membuktikan keaslian dokumen dapat dilakukan dengan teknologi
watermarking dan digital signature.Watermarking juga dapat digunakan untuk menjaga intelektual
property, yaitu dengan menandatangani dokumen atau hasil karya pembuat. Masalah kedua
biasanya berhubungan dengan akses control, yaitu berkaitan dengan pembatasan orang-orang yang
dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bahwa memang dia adalah
pengguna yang sah atau yang berhak menggunakannya.
3. Integritas
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya
virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa izin. Sistem informasi perlu
menyediakan representasi yang akurat dari sistem fisik yang direpresentasikan.
Ancaman yang paling terkenal dalam keamanan sistem informasi adalah virus. Virus adalah sebuah
program komputer yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna. Ancaman
dalam sistem informasi merupakan serangan yang dapat muncul pada sistem yang digunakan.
Serangan dapat diartikan sebagai “tindakan yang dilakukan denganmenggunakan metode dan teknik
tertentu dengan berbagai tools yang diperlukansesuai dengan kebutuhan yang disesuaikan dengan
objek serangan tertentu baikmenggunakan serangan terarah maupun acak“. Serangan yang terjadi
terhadapsebuah sistem jaringan dikalangan praktisi lazim sering disebut dengan penetration.Dalam
materi keamanan sistem dikenal sangat banyak dan beragam teknik serangan terhadap sebuah
sistem sesuai dengan sifat dan karakteristiknya. Teknik serangan semakin lama semakin canggih dan
sangat sulit di prediksi dan dideteksi.Beberapa contoh serangan yang dapat mengancam sebuah
sistem adalah sebagai berikut :
- Virus
Virus dikenal sejak kemunculannya pertama kali pada pertengahan tahun 1980-an, virus
berkembang pesat seiring dengan pesatnya perkembangan teknologi komputer. Virus selalu
menemukan dan menyesuaikan diri untuk menyebarkan dirinya dengan berbagai macam cara. Pada
dasarnya, virus merupakan program komputer yang bersifat “malicious” (memiliki tujuan merugikan
maupun bersifat mengganggu pengguna sistem) yang dapat menginfeksi satu atau lebih sistem
komputer melalui berbagai cara penularan yang dipicu oleh otorasisasi atau keterlibatan “user”
sebagai pengguna komputer. Kerusakan yang dapat ditimbulkan pun bermacam-macam mulai dari
yang
Mengesalkan sampai kepada jenis kerusakan yang bersifat merugikan dalam hal finansial. Dilihat dari
cara kerjanya, virus dapat dikelompokkan sebagai berikut:
U Overwriting Virus – merupakan penggalan program yang dibuat sedemikian rupa untuk
menggantikan program utama (baca: host) dari sebuah program besar sehingga dapat menjalankan
perintah yang tidak semestinya.
U Prepending Virus – merupakan tambahan program yang disisipkan pada bagian awal dari program
utama atau “host” sehingga pada saat dieksekusi, program virus akan dijalankan terlebih dahulu
sebelum program yang sebenarnya dijalankan.
U Appending Virus – merupakan program tambahan yang disisipkan pada bagian akhir dari program
(host) sehingga akan dijalankan setelah program sebenarnya tereksekusi.
U File Infector Virus – merupakan penggalan program yang mampu memiliki kemampuan untuk
melekatkan diri (baca: attached) pada sebuah file lain, yang biasanya merupakan file “executable”,
sehingga sistem yang menjalankan file tersebut akan langsung terinfeksi.
U Boot Sector Virus – merupakan program yang bekerja memodifikasi program yang berada di dalam
boot sector pada cakram penyimpan (baca: disc) atau disket yang telah diformat. Pada umumnya,
sebuah boot sector virus akan terlebih dahulu mengeksekusi dirinya sendiri sebelum proses “boot-
up” pada komputer terjadi, sehingga seluruh “floppy disk” yang digunakan pada komputer tersebut
akan terjangkiti pula, hal ini sering terjadi pada USB Flashdisk.
U Multipartite Virus – merupakan kombinasi dari Infector Virus dan Boot Sector Virus dalam arti kata
ketika sebuah file yang terinfeksi oleh virus jenis ini dieksekusi, maka virus akan menjangkiti boot
sector dari hard disk atau partition sector dari computer tersebut, dan sebaliknya.
U Macro Virus – menjangkiti program “macro” dari sebuah file data atau dokumen (yang biasanya
digunakan untuk “global setting” seperti pada template Microsoft Word) sehingga dokumen
berikutnya yang diedit oleh program aplikasi tersebut akan terinfeksi pula oleh penggalan program
macro yang telah terinfeksi sebelumnya.
Agar selalu diperhatikan bahwa sebuah sistem dapat terjangkit virus adalah disebabkan oleh campur
tangan pengguna. Campur tangan yang dimaksud misalnya dilakukan melalui penekanan tombol
pada keyboard, penekanan tombol pada mouse, penggunaan USB pada komputer, pengiriman file
via email, dan lain sebagainya. (Richardus eko indrajit : seri artikel “aneka serangan didunia maya).
- Worms
Istilah “worms” yang tepatnya diperkenalkan kurang lebih setahun setelah “virus” merupakan
program malicious yang dirancang terutama untuk menginfeksi komputer yang berada dalam
sebuah sistem jaringan. Walaupun sama-sama sebagai sebuah penggalan program, perbedaan
prinsip yang membedakan worms dengan virus adalah bahwa penyebaran worm tidak tergantung
pada campur tangan manusia atau pengguna. Worms merupakan program yang dibangun dengan
algoritma tertentu sehingga mampu untuk mereplikasikan dirinya sendiri pada sebuah jaringan
komputer tanpa melalui bantuan maupun keterlibatan pengguna. Pada mulanya worms diciptakan
dengan tujuan untuk mematikan sebuah sistem atau jaringan komputer. Namun belakangan ini telah
tercipta worms yang mampu menimbulkan kerusakan luar biasa pada sebuah sistem maupun
jaringan komputer, seperti merusak file-file penting dalam sistem operasi, menghapus data pada
hard disk, menghentikan aktivitas komputer , dan hal-hal destruktif lainnya. Karena karakteristiknya
yang tidak melibatkan manusia, maka jika sudah menyebar sangat sulit untuk mengontrol atau
mengendalikannya. Usaha penanganan yang salah justru akan membuat
Pergerakan worms menjadi semakin liar tak terkendali untuk itulah dipergunakan penanganan
khusus dalam menghadapinya.
- Trojan Horse
Istilah “Trojan Horse” atau Kuda Troya diambil dari sebuah taktik perang yang digunakan untuk
merebut kota Troy yang dikelilingi benteng yang kuat. Pihak penyerang membuat sebuah patung
kuda raksasa yang di dalamnya memuat beberapa prajurit yang nantinya ketika sudah berada di
dalam wilayah benteng akan keluar untuk melakukan peretasan dari dalam. Ide ini mengilhami
sejumlah hacker dan cracker dalam membuat virus atau worms yang cara kerjanya mirip dengan
fenomena taktik perang ini, mengingat banyaknya antivirus yang bermunculan maka mereka
menciptakan sesuatu yang tidak dapat terdeteksi oleh antivirus.
Berdasarkan teknik dan metode yang digunakan, terdapat beberapa jenis Trojan Horse, antara lain:
U Remote Access Trojan – kerugian yang ditimbulkan adalah komputer korban dapat diakses
menggunakan remote program.
U Password Sending Trojan – kerugian yang ditimbulkan adalah password yang diketik oleh
komputer korban akan dikirimkan melalui email tanpa sepengetahuan dari korban serangan.
U Keylogger – kerugian yang ditimbulkan adalah ketikan atau input melalui keyboard akan dicatat
dan dikirimkan via email kepada hacker yang memasang keylogger.
U Destructive Trojan – kerugian yang ditimbulkan adalah file-file yang terhapus atau hard disk yang
diformat oleh Trojan jenis ini.
U FTP Trojan – kerugian yang terjadi adalah dibukanya port 21 dalam sistem komputer tempat
dilakukannya download dan upload file.
U Proxy Trojan – kerugian yang ditimbulkan adalah di-“settingnya” komputer korban menjadi “proxy
server” agar digunakan untuk melakukan “anonymous telnet”, sehingga dimungkinkan dilakukan
aktivitas belanja online dengan kartu kredit curian dimana yang terlacak nantinya adalah komputer
korban, bukan komputer pelaku kejahatan.
Pada umumnya, pengamanan dapat dikategorikan menjadi dua jenis: pencegahan (preventif) dan
pengobatan (recovery). Usaha
Salah satu cara yang umum digunakan untuk mengamankaninformasi adalah dengan mengatur
akses ke informasi melaluimekanisme “access control”. Implementasi dari mekanisme ini antaralain
dengan menggunakan
“password”.Di sistem UNIX, untuk menggunakan sebuah sistem atau komputer,pemakai diharuskan
melalui
Proses authentication denganmenuliskan “userid” dan “password”. Informasi yang diberikan ini
Dibandingkan dengan userid dan password yang berada di sistem.Apabila keduanya valid, pemakai
yang bersangkutan diperbolehkanmenggunakan sistem.Apabila ada yang salah, pemakai tidak
dapatmenggunakan sistem. Informasi tentang kesalahan ini biasanyadicatat dalam berkas log.
Besarnya informasi yang dicatat bergantung kepada konfigurasi dari sistem setempat.Misalnya,
adayang menuliskan informasi apabila pemakai memasukkanuseriddan password yang salah
sebanyak tiga kali. Ada juga yang langsungmenuliskan informasi ke dalam berkas log meskipun baru
satu kalisalah. Informasi tentang waktu kejadian juga dicatat.Selain itu asal hubungan (connection)
juga dicatat sehingga administrator dapatmemeriksa keabsahan hubungan.
- Memilih password
• Nama anda, nama istri / suami anda, nama anak, ataupun nama kawan.
• Tanggal lahir.
• Alamat rumah.
• Kata-kata yang terdapat dalam kamus (bahasa Indonesia maupun bahasa Inggris)
- Memasang Proteksi
Untuk lebih meningkatkan keamanan sistem informasi, proteksidapat ditambahkan. Proteksi ini
dapat berupa filter (secara umum)dan yang lebih spesifik adalah firewall. Filter dapat
digunakanuntuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet. Sebagai contoh,
di sistem UNIX ada paket program“tcpwrapper” yang dapat digunakan untuk membatasi akses
kepadaservis atau aplikasi tertentu. Misalnya, servis untuk “telnet” dapatdibatasi untuk untuk sistem
yang memiliki nomor IP tertentu, atau memiliki domain tertentu. Sementara firewall dapat
digunakanuntuk melakukan filter secara umum.Untuk mengetahui apakah server anda
menggunakan tcpwrapperatau tidak, periksa isi berkas /etc/inetd.conf.Biasanya tcpwrapperdirakit
menjadi “tcpd”.Apabila servis di server anda (misalnyatelnet atau ftp) dijalankan melalui tcpd, maka
server andamenggunakan tcpwrapper.Biasanya,
Firewall
Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal
(Lihat Figure 4.1 on page 55).Informasi yang keluar atau masuk harus melalui firewall ini.Tujuan
utama dari firewall adalah untuk menjaga (prevent) agarakses (ke dalam maupun ke luar) dari orang
yang tidak berwenang(unauthorized access) tidak dapat dilakukan. Konfigurasi dari
firewallbergantung kepada kebijaksanaan (policy) dari organisasi yangbersangkutan, yang dapat
dibagi menjadi dua jenis:
• apa-apa yang tidak diperbolehkan secara eksplisit dianggap tidak diperbolehkan (prohibitted)
Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya. Berdasarkan
konfigurasi dari firewall makaakses dapat diatur berdasarkan IP address, port, dan arah
informasi.Detail dari konfigurasi bergantung kepada masing-masing firewall.Firewall dapat berupa
sebuah perangkat keras yang sudahdilengkapi dengan perangkat lunak tertentu, sehingga
pemakai(administrator) tinggal melakukan konfigurasi dari firewall tersebut.Firewall juga dapat
berupa perangkat lunak yang ditambahkankepada sebuah server (baik UNIX maupun Windows NT),
yang dikonfigurasi menjadi firewall.Dalam hal ini, sebetulnya perangkatkomputer dengan prosesor
Intel 80486 sudah cukup untuk menjadifirewall yang sederhana.
Firewall biasanya melakukan dua fungsi; fungsi (IP) filtering danfungsi proxy. Keduanya dapat
dilakukan pada sebuah perangkatkomputer (device) atau dilakukan secara terpisah.Beberapa
perangkat lunak berbasis UNIX yang dapat digunakanuntuk melakukan IP filtering antara lain:
• ipchains: versi baru dari Linux kernel packet filtering yang diharapkan dapat menggantikan fungsi
ipfwadm
Fungsi proxy dapat dilakukan oleh berbagai software tergantungkepada jenis proxy yang dibutuhkan,
misalnya web proxy, rloginproxy, ftp proxy dan seterusnya. Di sisi client sering kalaidibutuhkan
software tertentu agar dapat menggunakan proxyserver ini, seperti misalnya dengan menggunakan
SOCKS. Beberapaperangkat lunak berbasis UNIX untuk proxy antara lain:
Informasi mengenai firewall secara lebih lengkap dapat dibaca padareferensi [19, 24] atau untuk
sistem Linux dapat dilakukan denganmengunjungi web site berikut: http://www.gnatbox.com.
Sistem pemantau (monitoring system) digunakan untuk mengetahuiadanya tamu tak diundang
(intruder) atau adanya serangan (attack).Nama lain dari sistem ini adalah “intruder detection
system” (IDS).Sistem ini dapat memberitahu administrator melalui e-mail maupunmelalui
mekanisme lain seperti melalui pager.Ada berbagai cara untuk memantau adanya intruder. Ada yang
sifatnya aktif dan pasif. IDS cara yang pasif misalnya denganmemonitor logfile. Contoh software IDS
antara lain:
Pemantau integritas sistem dijalankan secara berkala untuk mengujiintegratitas sistem. Salah satu
contoh program yang umumdigunakan di sistem UNIX adalah program Tripwire. Program
paketTripwire dapat digunakan untuk memantau adanya perubahan padaberkas. Pada mulanya,
tripwire dijalankan dan membuat databasemengenai berkas-berkas atau direktori yang ingin kita
amati beserta“signature” dari berkas tersebut. Signature berisi informasi mengenaibesarnya berkas,
kapan dibuatnya, pemiliknya, hasil checksum atauhash(misalnya dengan menggunakan program
MD5), dansebagainya. Apabila ada perubahan pada berkas tersebut, makakeluaran dari hash
function akan berbeda dengan yang ada didatabase sehingga ketahuan adanya perubahan.
Segala (sebagian besar) kegiatan penggunaan sistem dapat dicatatdalam berkas yang biasanya
disebut “logfile” atau “log” saja. Berkaslog ini sangat berguna untuk mengamati penyimpangan
yangterjadi. Kegagalan untuk masuk ke sistem (login), misalnya,tersimpan di dalam berkas log.
Untuk itu para administratordiwajibkan untuk rajin memelihara dan menganalisa berkas logyang
dimilikinya.
Seringkali tamu tak diundang (intruder) masuk ke dalam sistem danmerusak sistem dengan
menghapus berkas-berkas yang dapatditemui.Jika intruder ini berhasil menjebol sistem dan
masuksebagai super user (administrator), maka ada kemungkinan diadapat menghapus seluruh
berkas.Untuk itu, adanya backup yangdilakukan secara rutin merupakan sebuah hal yang
esensial.Bayangkan apabila yang dihapus oleh tamu ini adalah berkaspenelitian, tugas akhir, skripsi,
yang telah dikerjakan bertahun-tahun.Untuk sistem yang sangat esensial, secara berkala perlu dibuat
backup yang letaknya berjauhan secara fisik.Hal ini dilakukan untuk menghindari hilangnya data
akibat bencana seperti kebakaran, banjir, dan lain sebagainya. Apabila data-data dibackupakan
tetapi diletakkan pada lokasi yang sama, kemungkinan dataakan hilang jika tempat yang
bersangkutan mengalami bencanaseperti kebakaran.Untuk menghindari hal ini, enkripsi dapat
digunakan untukmelindungi adanya sniffing. Paket yang dikirimkan dienkripsi dengan RSA atau IDEA
sehingga tidak dapat dibaca oleh orangyang tidak berhak. Salah satu implementasi mekanisme ini
adalahSSH (Secure Shell). Ada beberapa implementasi SSH ini, antara lain:
• TTSSH, yaitu skrip yang dibuat untuk Tera Term Pro (gratis,untuk Windows 95)
http://www.paume.itb.ac.id/rahard/koleksi
Penggunaan enkripsi untuk remote akses (misalnya melalui sshsebagai penggani telnet atau rlogin)
akan dibahas di bagian tersendiri. Telnet atau remote login digunakan untuk mengakses sebuah
“remotesite” atau komputer melalui sebuah jaringan komputer.Akses inidilakukan dengan
menggunakan hubungan TCP/IP denganmenggunakan userid dan password.Informasi tentang userid
danpassword ini dikirimkan melalui jaringan komputer secara terbuka.Akibatnya ada kemungkinan
seorang yang nakal melakukan“sniffing” dan mengumpulkan informasi tentang pasangan useriddan
password ini.
1.8 Kebijakan Keamanan Sistem Informasi
1.9
Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk mencapai sasarannya.
Setiap karyawan tidak dapat bertindak semaunya sendiri dan tidak berdisiplin dalam melaksanakan
tugasnya.Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk mencapai
Sasarannya. Setiap karyawan tidak dapat bertindak semaunya sendiri dan tidak berdisiplin dalam
melaksanakan tugasnya.Kebijakan keamanan sistem informasi biasanya disusun oleh pimpinan
operasi beserta pimpinan ICT (Information Communication Technology) dnegan pengarahan dari
pimpinan organisasi. Rangkaian konsep secara garis besar dan dasar bagi prosedur keamanan sistem
informasi adalah:
- Kemanan sistem informasi merupakan urusan dan tanggung jawab semua karyawan
Karyawan diwajibkan untuk memiliki “melek” keamanan informasi.Mereka harus mengetahui dan
dapat membayangkan dampak apabila peraturan keamanan sistem informasi diabaikan.Semua
manajer bertanggung jawab untuk mengkomunikasikan kepada semua bawahannya mengenai
pengamanan yang dilakukan di perusahaan dan meyakinkan bahwa mereka mengetahui dan
memahami semua peraturan yang diterapkan di perusahaan dan bagiannya.
Akan berguna sekali apabila seseorang ditunjuk sebagai pemilik sistem (atau sistem) yang
bertanggung jawab atas keamanan sistem dan data yang dipakainya.Ia berhak untuk mengajukan
permintaan atas pengembangan sistem lebih lanjut atau pembetulan di dalam sistem yang
menyangkut bagiannya. Personel ini merupakan contact person dengan bagian ICT (Information
Communication Technology).
Tergantung dari bidang yang ditekuni, perusahaan harus mematuhi undang-undang yang telah
ditetapkan yang berkaitan dengan proteksi data, computer crime, dan hak cipta.
Dengan meningkatkan proes transaksi secara online dan ral time dan terkoneksi sistem jaringan
internaisonal, transaksi akan terlaksanaka hanya dalam hitunngan beberapa detik dan tidak
melibatkan manusia. Transaksi semacam ini apabila terjadi kesalahan tidak dapat langsung
diperbaiki atau akan menyita banyak waktu dan upaya untuk memperbaikinya. Antisipasi dan
pencegahan dengan tindakan keamanan yang ketat akan memberikan garansi atas integritas,
kelanjutan, dan kerahasiaan transaksi yang terjadi. Tindakan pecegahan tambahan harus
diimplementasikan agar dapat mendeteksi dan melaporkan kesalahan yang terjadi sehingga
kejanggalan dapat ikoreksi secepat mungkin.
User harus dapat meyakinkan kebutuhannya untuk dapat mengakses ke sistem sesuai dnegan
prinsip “need to know”. Pemilik sistem harus bertanggung jawab atas pemberian akses ini.
- Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di
sistem informasi
Sistem computer milik perusahaan beserta jaringannya hanya diperbolehkan untuk dipakai demi
kepentingan bisnis perusahaan.Data perusahaan hanya diperbolehkan dipakai untuk bisnis
perusahaan dan pemilik sistem bertanggung jawab penuh atas pemberian pengaksesan terhadap
data tersebut.
Apabila pihak ketiga melakukan pekerjaan yang tidak dapat ditangani oleh perusahaan, maka
perusahaan harus dilindungi oleh keamanan atas informasi perusahaan.Di dalam kontrak harus
didefinisikan agar pihak ketiga mematuhi
Peraturan dan keamanan sistm informasi perusahaan.Manajemen harus bertanggung jawab agar
pihak ketiga mematuhi dan mengikuti peraturan keamanan yang telah ditentukan.
Untuk menjaga kestabilan sistem informasi di lingkungan perusahaan, dianjurkan agar diadakan
pemisahan secara fungsional antara pengembang sistem, pengoperasian sistem harian dan pemakai
akhir. Untuk mencapai tujuan ini, pihak ICT terutama bagian pengembangan sistem tidak dibenarkan
apabila ia menangani administrasi yang menyangkut keamanan sistem.
- Implementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah
ada harus melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan
permintaan perubahan (change request)
Perubahan terhadap sistem informasi hanya melalui prosedur yang berlaku untuk pengembangan
dan implementasi sistem baru. Setiap permintaan perubahan program harus disertai alasan yang
kuat serta keuntungan yang akan didapatkan dan pemohon harus dapat meyakini manajer terkait
dan pemilik sistem mengenai perubahan ini. Oleh karena itu, sangat penting apabila semua pihak
yang terkait harus menandatangani “change request” sebelum kegiatan ini dimulai.
Sistem yang akan dibangun harus memakai bahasa pemograman yang telah ditetapkan. Tidak
dibenarkan apabila programer membuatnya dengan bermacam-macam bahasa pemograman.Patut
dipertimbangkan semua risiko keamanan beserta penanggulannya di dalam sistem.Sebelum sistem
aplikasi
Diimplementasikan, pemilik sistem harus mengevaluasi dan menilai keadaan keamanan di dalam
aplikasi tersebut.
- Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan
memakai kode identiitasnya (user-ID)
Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua aktivitas yang
dilakukan dengan ID ini akan terekam di dalam audit-trial. Pemakai tidak dapat memungkiri bukti ini,
apabila terjadi kesalahan fatal yang mengakibatkan kerugian terhadap perusahaan. Kesalahan yang
berdampak akan mengakibatkan peringatan atau pemutusan hubungan kerja terhadap pemilik user-
ID ini.
Merupakan mekanisme yang diterapkan, baik untuk melindungi perusahaan dari risiko atau untuk
meminimalkan dampak risiko tersebut pada perusahaan jika risiko tersebut terjadi.
1. Pengendalian Teknis
2. Pengendalian Formal
3. Pengendalian Informal
Pengendalian Teknis
Adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh para penyususn system
selama masa siklus penyusunan system.Dilakukan melalui tiga tahap:
1. Identifikasi Pengguna.
Memberikan informasi yang mereka ketahui seperti kata sandi dan nomor telepon.nomor telepon.
2. Otentikasi Pengguna
Pengguna memverivikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, seperti
chip identifikasi atau tanda tertentu.
3. Otorisasi Pengguna
Setelah pengguna memenuhi tiga tahap tersebut, mereka dapat menggunakan sumber daya
informasi yang terdapat di dalam batasan file akses.
Logika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum
memiliki kesempatan untuk melakukan perusakan.
Contoh:
Peranti lunak proteksi virus (virus protection software).Peranti lunak yang didesain untuk mencegah
rusaknya keamanan sebelum terjadi.
Firewall
Suatu Filter yang membatasi aliran data antara titik-titik pada suatu jaringan-biasanya antara
jaringan internal perusahaan dan Internet.
Berfungsi sebagai:
2. Penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan internet.
Jenis:
Pengendalian Kriptografis
2. Kriptografi Asimetris
Dalam kriptografi ini, kunci enkripsi tidak sama dengan kunci dekripsi. Contoh:
3. Kriptografi Hybrid
Menggabungkan antara kriptografi simetris dan Asimetris, sehingga mendapatkan kelebihan dari
dua metode tersebut.
Contoh:
Peringatan yang pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan
computer.Perkembangan seterusnya menghasilkan
Kunci-kunci yang lebih canggih, yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta
kamera pengintai dan alat penjaga keamanan. Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku,dokumentasi prosedur dan praktik yang
diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku.
Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk
menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk berlaku dalam
jangka panjang.
Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi serta program
pembangunan manajemen.Pengendalian ini ditunjukan untuk menjaga agar para karyawan
perusahaan memahami serta mendukung program keamanan tersebut.
1. Teknologi Komunikasi Modern yang membawa beragam dinamika dari dunia nyata ke dunia
virtual
Contohnya adalah: dalam bentuk transaksi elektronik seperti e-banking, dan pembawa aspek positif
maupun negative, misalnya: pencurian, pemalsuan, dan penggelapan menggunakan internet.
2. Kurangnya Keterampilan Pengamanan yang dimiliki oleh Pemakai Contoh: Pemakai kurang
menguasai computer.
3. Untuk menjaga objek kepemilikan dari informasi yang memiliki nilai ekonomis.
Contoh: dokumen rancangan produk baru, kartu kredit, dan laporan keuangan perusahaan
PERLINDUNGAN DARI KERUGIAN ATAU PERUBAHAN YANG TIDAK DIHARAPKAN TERHADAP DATA
ATAU PROGRAM
Data, program, dan dokumentasi yang digunakan dalam pemrosesan atau aktivitas lainnya.
2. Log transaksi, mencatat transaksi individual ketika transaksi itu dimasukkan ke dalam sistem
on-line untuk pemrosesan. Log ini memberikan jejak audit dalam sistem pemrosesan online.
Termasuk dalam log ini adalah tempat pemasukan transaksi, waktu dan data yang
dimasukkan, nomor identifikasi orang yang memasukkan data, kode transaksi, dan jumlah.
Perangkat lunak sistem juga meminta nomor transaksi. Secara teratur daftar log transaksi ini
harus dicetak.
3. Tombol perlindungan(pada 3 ‘A floppy disk
4. Label file
BAB III
PENUTUP
1.1 Kesimpulan
1.2
Keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak,
mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri
tidak memiliki arti fisik. Selain itu keamanan sistem informasi bisa diartikan sebagai kebijakan,
prosedur, dan pengukuran teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan
program, pencurian, atau kerusakan fisik terhadap sistem informasi. Sistem pengamanan terhadap
teknologi informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan peralatan-peralatan
untuk mengamankan perangkat keras dan lunak komputer, jaringan komunikasi, dan data-data yang
tersimpan.
Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik dari dalam sistem
maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi.Ancaman
terhadap keamanan informasi berasal dari individu, organisasi, mekanisme, atau kejadian yang
memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi
Kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur,
mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan
pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut. Cacat sistem bisa
terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki, contoh yang mungkin
terjadi seperti : Seting firewall yang membuka telnet sehingga dapat diakses dari luar, atau Seting
VPN yang tidak di ikuti oleh penerapankerberos atau NAT.
Sistem informasi yang berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan
untuk mencapai tiga sasaran utama yaitu : Kerahasiaan,Ketersediaan dan Intregitas. .
Ancaman yang paling terkenal dalam keamanan sistem informasi adalah virus.Virus adalah sebuah
program komputer yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna. Ancaman
dalam sistem informasi merupakan serangan yang dapat muncul pada sistem yang digunakan.
Serangan dapat diartikan sebagai “tindakan yang dilakukan denganmenggunakan metode dan teknik
tertentu dengan berbagai tools yang diperlukansesuai dengan kebutuhan yang disesuaikan dengan
objek serangan tertentu baikmenggunakan serangan terarah maupun acak“. Serangan yang terjadi
terhadapsebuah sistem jaringan dikalangan praktisi lazim sering disebut dengan penetration.Dalam
materi keamanan sistem dikenal sangat banyak dan beragam teknik serangan terhadap sebuah
sistem sesuai dengan sifat dan karakteristiknya. Teknik serangan semakin lama semakin canggih dan
sangat sulit di prediksi dan dideteksi.
Rangkaian konsep secara garis besar dan dasar bagi prosedur keamanan sistem informasi adalah :
- Kemanan sistem informasi merupakan urusan dan tanggung jawab semua karyawan
- Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di
sistem informasi
- Pekerjaan yang dilakukan oleh pihak ketiga
- Implementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah
ada harus melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan
permintaan perubahan (change request)
- Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan
memakai kode identiitasnya (user-ID)
1.1 Saran
1.2
Keamanan sistem informasi sangat perlu untuk diketahui dipahami dan dipelajari oleh seorang
sekretaris karena tugas harian seorang sekretaris yang berhubungan dengan system informasi
sehingga hal demikian penting untuk diketahui sorang sekretaris termasuk apa itu system informasi,
pengamana, ancaman, dan kelemahan serta kebijakan keamanan system informasi