Jaringan Internet &

Sistem Keamanan Informasi

Dudi Rojudin
dudi.rojudin@bmkg.go.id
 Apa itu Internet

• Bukan Merupakan suatu singakatan

• Terdapat Berbagai definisi Internet
• Internet adalah suatu jaringan komputer global
yang terbentuk dari jaringan-jaringan komputer
lokal dan regional dan memungkinkan
komunikasi data antar komputer-komputer yang
terhubung ke jaringan tersebut
 Layanan yang ada dalam jaringan Internet

• Electronic Mail (e-mail)

• News- USENET
• File Transfer Protocol (FTP)
• Remote Login – Telnet
• World Wide Web (www)
• Teleconference
• Dan sebagainya
 Nama Domain

• com, co : Komersial • mil : militer

(www.microsoft.com, www.rcti.co.id) (www.af.mil, www.abri.mil.id)
• edu , ac : Pendidikan • org, or : organisasi
(www.ucla.edu,www.gunadarma.ac.id) (www.scout.org, www.asean.or.id)
• gov , go : Pemerintahan
(www.fbi.gov, www.bmkg.go.id) • Beberapa nama domain negara:
• net : gateway , ISP au : Australia ca : Canada
(www.ibm.net, www.indosat.net.id) id : Indonesia my : Malaysia
sg : Singapura
 Metode Pengalamatan

• Setiap komputer atau host yang terhubung di Internet

mempunyai satu nama yang unik, dikenal sebagai IP
Address (Internet Protocol Address)
• Alamat sebesar 32-bit direpresentasikan dalam bentuk
desimal dibagi menjadi 4 bagian dipisahkan dengan titik
• Contoh : 203.130.231.98
Keamanan Informasi
 PENDAHULUAN
Informasi saat ini sudah menjadi sebuah komoditi
yang sangat penting. Bahkan ada yang mengatakan
bahwa kita sudah berada di sebuah “information-
based society”.
Kemampuan untuk mengakses dan menyediakan
informasi secara cepat dan akurat menjadi sangat
esensial bagi sebuah organisasi, baik yang berupa
organisasi komersial (perusahaan), perguruan tinggi,
lembaga pemerintahan, maupun individual (pribadi).
 PENDAHULUAN
Definisi computer security:
(Garfinkel & Spafford)
“A computer is secure if you can depend on it
and its software to behave as you expect”
G. J. Simons , keamanan informasi adalah
bagaimana kita dapat mencegah penipuan
(cheating) atau, paling tidak, mendeteksi adanya
penipuan di sebuah sistem yang berbasis
informasi, dimana informasinya sendiri tidak
memiliki arti fisik.
 PENDAHULUAN
Security Pollicy Konsep :
Apa yang dilindungi ?
DATA

Terhadap Siapa ?
RESOURCE

Level keamanan yang diinginkan ?

REPUTASI
 PENDAHULUAN
Contoh Kasus :
o Tahun 16-17 April 2004, seorang konsultan IT, Dani
menyerang sistem pertahanan website KPU. Begitu
’sukses’ menembus website KPU, hacker muda itu
meng-update table nama partai dan mengacak
jumlah perolehan suaranya (dikalikan 10). Nama-
nama peserta pemilu langsung diganti. Yang jelas,
nama-nama baru parpol yang diduga karya iseng
Dani itu menyebabkan negeri ini geger.
o Tahun 2009, Situs resmi Kabupaten Ngajuk berhasil
dikerjai hacker. situs tersebut disusupi dengan
konten video porno.
 PENDAHULUAN
Contoh Kasus
o Tahun 2009, situs Departemen Komunikasi dan Informatika
(Depkominfo). Salah satu sub domain milik depkominfo,
yang beralamat di www.ecom.depkominfo.go.id diketahui
memiliki sistem keamanan web yang lemah. Jika masuk ke
situs tersebut akan muncul pesan:

“Dengan ini kami beritahukan bahwa security web ini masih

o Tahun sangat lemah. Mohon untuk diperiksa kembali,” tulis hacker
2013,
dalam situs
jejak yang BMKG
ditinggalkannya dengan subdomain
di situs Depkominfo.
aviations.bmkg.go.id , berhasil di hijack dengan info jejak
yang hampir sama.
 PENDAHULUAN

Jumlah kejahatan komputer (computer crime), terutama

yang berhubungan dengan sistem informasi, akan terus
meningkat dikarenakan beberapa hal, antara lain:
o Aplikasi bisnis yang menggunakan (berbasis) teknologi
informasi dan jaringan komputer semakin meningkat.
o Desentralisasi server sehingga lebih banyak sistem yang
harus ditangani dan membutuhkan lebih banyak operator
dan administrator yang handal. Padahal mencari operator
dan administrator yang handal adalah sangat sulit.
 PENDAHULUAN

o Transisi dari single vendor ke multi-vendor sehingga

lebih banyak yang harus dimengerti dan masalah
interoperability antar vendor yang lebih sulit ditangani.
o Meningkatnya kemampuan pemakai di bidang
komputer sehingga mulai banyak pemakai yang
mencoba-coba bermain atau membongkar sistem yang
digunakannya.
o Kesulitan dari penegak hukum untuk mengejar
kemajuan dunia komputer dan telekomunikasi yang
sangat cepat.
PENDAHULUAN
o Jika kita berbicara tentang keamanan sistem
informasi, selalu kata kunci yang dirujuk adalah
pencegahan dari kemungkinan adanya virus, hacker,
cracker dan lain-lain.
o Padahal berbicara masalah keamanan sistem
informasi maka kita akan berbicara kepada
kemungkinan adanya resiko yang muncul atas sistem
tersebut.
 PENDAHULUAN
o Semakin kompleksnya sistem yang digunakan, seperti
semakin besarnya program (source code) yang
digunakan sehingga semakin besar probabilitas
terjadinya lubang keamanan.
o Semakin banyak perusahaan yang menghubungkan
sistem informasinya dengan jaringan komputer yang
global seperti Internet. Potensi sistem informasi yang
dapat dijebol menjadi lebih besar.
 PENDAHULUAN
Sehingga pembicaraan tentang keamanan sistem tersebut
maka kita akan berbicara 2 masalah utama yaitu :
 Threats (Ancaman) atas sistem dan

 Vulnerability (Kelemahan) atas sistem

 PENDAHULUAN
Mungkinkah Aman ?

…………?
o 100% aman tentu akan sangat sulit tercapai
o Ada timbal balik antara keamanan vs. kenyamanan
(security vs convenience)
 PENDAHULUAN
Kenapa Tidak AMAN … !!!!
oSurvey Information Week (USA), 1271
system or network manager, hanya 22%
yang menganggap keamanan sistem
informasi sebagai komponen penting.
o”Kesadaran akan masalah keamanan masih
rendah!”.
PENDAHULUAN
Masalah tersebut pada gilirannya berdampak kepada
6 hal yang utama dalam sistem informasi yaitu :
 Efektifitas
 Efisiensi
 Kerahasiaan
 Integritas
 Keberadaan (availability)
 Kepatuhan (compliance)
 Keandalan (reliability)
 PENDAHULUAN
Adapun kriteria yag perlu di perhatikan dalam masalah keamanan
sistem informasi membutuhkan 10 domain keamanan yang perlu di
perhatikan yaitu :
1. Akses kontrol sistem yang digunakan
2. Telekomunikasi dan jaringan yang dipakai
3. Manajemen praktis yang di pakai
4. Pengembangan sistem aplikasi yang digunakan
5. Cryptographs yang diterapkan
6. Arsitektur dari sistem informasi yang diterapkan
7. Pengoperasian yang ada
8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang
diterapkan
10. Tata letak fisik dari sistem yang ada
 KESIMPULAN
Sistem keamanan informasi
“Merupakan suatu subsistem dalam
suatu organisasi yang bertugas
mengendalikan risiko terkait dengan
sistem informasi berbasis-komputer.
Sistem keamanan informasi memiliki
elemen utama sistem informasi, seperti
perangkat keras, database, prosedur,
dan pelaporan..”.
Siklus Hidup Keamanan Sistem Informasi
Sistem keamanan komputer dikembangkan dengan
menerapkan metoda-metoda yang telah mapan yang
terdiri dari : analisis sistem; desain; implementasi; dan
operasi, evaluasi, serta kendali.

Perencanaan

Penggunaan Analisa

Penerapan Rancangan
 Siklus Hidup Keamanan Sistem Informasi
Fase Siklus Hidup Tujuan

Analisis sistem Analisis kerentanan sistem dalam arti

mengacu yang relevan dan eksposur
kerugian yang terkait dengan ancaman
tersebut.
Desain sistem Desain ukuran keamanan dan rencana
kontingensi untuk mengendalikan eksposur
kerugian yang teridentifikasi.
Implementasi sistem Menerapkan ukuran keamanan seperti yang
telah didesain.
Operasi, evaluasi, dan pengendalian sistem Mengoperasikan sistem dan menaksir
efektivitas dan efisiensi.
Membuat perubahan sebagaimana
diperlukan sesuai dengan kondisi yang ada
Sistem Keamanan Informasi dalam Organisasi
• Sistim keamanan informasi harus diatur oleh seorang
kepala petugas keamanan (Chief Security Officer ).
• Untuk menjaga independensinya, CSO harus
bertanggungjawab secara langsung kepada dewan
direktur.
• Laporan-laporan CSO harus meliputi semua tahap
siklus daur hidup.
 ANCAMAN (Threaths)
Ancaman terhadap keamanan sistem informasi adalah aksi
yang terjadi baik dari dalam sistem maupun dari luar sistem
yang dapat mengganggu keseimbangan sistem informasi.
Ancaman yang mungkin timbul dari kegiatan pengolahan
informasi berasal dari 3 hal utama, yaitu :
o Ancaman Alam
o Ancaman Manusia
o Ancaman Lingkungan
 ANCAMAN (Threaths)
Ancaman Alam
Yang termasuk dalam kategori ancaman alam terdiri atas :
• Ancaman air, seperti : Banjir, Stunami, Intrusi air laut,
kelembaban tinggi, badai, pencairan salju
• Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung
meletus
• Ancaman Alam lain, seperti : Kebakaran hutan, Petir,
tornado, angin ribut
 ANCAMAN (Threaths)
Ancaman Manusia
Yang dapat dikategorikan sebagai ancaman manusia, diantaranya
adalah :
o Malicious code
o Virus, Logic bombs, Trojan horse, Worm, active contents,
Countermeasures
o Social engineering
o Hacking, cracking, akses ke sistem oleh orang yang tidak berhak,
DDOS, backdoor
o Kriminal
o Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan
o Teroris
o Peledakan, Surat kaleng, perang informasi, perusakan
 ANCAMAN (Threaths)
Ancaman Lingkungan
Yang dapat dikategorikan sebagai ancaman lingkungan
seperti :
o Penurunan tegangan listrik atau kenaikan tegangan listrik
secara tiba-tiba dan dalam jangka waktu yang cukup lama
o Polusi
o Efek bahan kimia seperti semprotan obat pembunuh
serangga, semprotan anti api, dll
o Kebocoran seperti A/C, atap bocor saat hujan
KELEMAHAN (Vurnerability)
Adalah cacat atau kelemahan dari suatu
sistem yang mungkin timbul pada saat
mendesain, menetapkan prosedur,
mengimplementasikan maupun kelemahan
atas sistem kontrol yang ada sehingga
memicu tindakan pelanggaran oleh pelaku
yang mencoba menyusup terhadap sistem
tersebut.
KELEMAHAN (Vurnerability)
Cacat sistem bisa terjadi pada prosedur,
peralatan, maupun perangkat lunak yang
dimiliki, contoh yang mungkin terjadi
seperti: Seting firewall yang membuka
telnet sehingga dapat diakses dari luar,
atau Seting VPN yang tidak di ikuti oleh
penerapan kerberos atau NAT.
KELEMAHAN (Vurnerability)
Suatu pendekatan keamanan sistem informasi minimal
menggunakan 3 pendekatan, yaitu :

1. Pendekatan Preventif yang bersifat mencegah dari

kemungkinan terjadikan ancaman dan kelemahan
2. Pendekatan Detective yang bersifat mendeteksi dari
adanya penyusupan dan proses yang mengubah
sistem dari keadaan normal menjadi keadaan
abnormal
3. Pendekatan Corrective yang bersifat mengkoreksi
keadaan sistem yang sudah tidak seimbang untuk
dikembalikan dalam keadaan normal
 Analisa Kerentanan dan Ancaman
Ada dua pendekatan dasar yang dipakai
untuk meneliti kerentanan dan ancaman-
ancaman sistem informasi:
1. Pendekatan kwantitatif untuk penaksiran
risiko
2. Pendekatan kwalitatif
 Analisa Kerentanan dan Ancaman
• Di dalam pendekatan kwantitatif untuk
penaksiran risiko, setiap kemungkinan
kerugian dihitung sesuai hasil biaya
kerugian perorangan dikalikan dengan
kemungkinan munculnya.
• Terdapat beberapa kesulitan di dalam
menerapkan pendekatan kwantitatif untuk
menaksir kerugian.
 Analisa Kerentanan dan Ancaman
• Kesulitan mengidentifikasi biaya relevan
per kerugian dan kemungkinan-
kemungkinan yang terkait.
• Kesulitan menaksir kemungkinan dari suatu
kegagalan yang memerlukan peramalan
masa depan.
 Analisa Kerentanan dan Ancaman
Di dalam pendekatan kwalitatif merinci
daftar kerentanan dan ancaman terhadap
sistem, kemudian secara subjektif maranking
item-item tersebut berdasarkan kontribusi
setiap item tersebut terhadap total eksposur
kerugian perusahaan.
Terlepas metoda yang digunakan, setiap
analisa harus mencakup kemungkinan
kerugian untuk masalah berikut ini:
 Analisa Kerentanan dan Ancaman
Terlepas metoda yang digunakan, setiap
analisa harus mencakup kemungkinan
kerugian untuk masalah berikut ini:
1. gangguan bisnis
2. kehilangan perangkat lunak
3. kehilangan data
4. kehilangan perangkat keras
5. kehilangan fasilitas-fasilitas
6. kehilangan layanan dan pegawai.
 Analisa Kerentanan dan Ancaman
Terlepas metoda yang digunakan, setiap
analisa harus mencakup kemungkinan
kerugian untuk masalah berikut ini:
1. gangguan bisnis
2. kehilangan perangkat lunak
3. kehilangan data
4. kehilangan perangkat keras
5. kehilangan fasilitas-fasilitas
6. kehilangan layanan dan pegawai.
 Kerentanan dan Ancaman
Apa yang dimaksud dengan kerentanan ?
Kerentanan adalah suatu kelemahan di
suatu sistem.

Apa yang dimaksud dengan ancaman ?

Ancaman adalah suatu eksploitasi potensial
kerentanan sistem.
 Kerentanan dan Ancaman
• Dua kategori ancaman sistem:
1. Ancaman-ancaman aktif
2. Ancaman-ancaman pasif
 Kerentanan dan Ancaman
• Contoh ancaman aktif adalah penipuan
komputer dan sabotase komputer.
• Contoh ancaman pasif adalah sistim
bermasalah, seperti karena bencana alam.
Sistem bermasalah juga karena kegagalan-
kegagalan peralatan dan komponen.
 Individu Yang Menimbulkan Ancaman
Keamanan Informasi
• Suatu serangan yang sukses di satu sistem
informasi memerlukan akses ke perangkat
keras, file data sensitip, atau program kritis.
• Tiga kategori individu yang bisa
menimbulkan serangan ke sistem
informasi:
1. Karyawan sistim informasi
2. Para pemakai
3. Pengganggu
 Individu Yang Menimbulkan Ancaman
Keamanan Informasi
Karyawan sistim informasi meliputi:
1. Karyawan pemeliharaan komputer
2. Programmer
3. Operator komputer dan jaringan
4. Karyawan administrasi sistim informasi
5. Karyawan pengendalian data
 Individu Yang Menimbulkan Ancaman
Keamanan Informasi
Karyawan sistim informasi meliputi:
1. Karyawan pemeliharaan komputer
2. Programmer
3. Operator komputer dan jaringan
4. Karyawan administrasi sistim informasi
5. Karyawan pengendalian data

Para pemakai sistem informasi terdiri dari kelompok

orang yang beragam dan satu sama lain dapat dibedakan
berdasarkan kegiatan fungsional mereka tanpa memandang
pengolahan data.
 Individu Yang Menimbulkan Ancaman
Keamanan Informasi
Pengganggu adalah setiap orang yang mengakses
peralatan, data elektronik, atau memfile tanpa otorisasi
yang tepat
• Siapakah hacker?

• Hacker adalah seorang pengganggu yang

menyerang suatu sistim untuk iseng dan tantangan.
 Individu Yang Menimbulkan Ancaman
Keamanan Informasi
• Jenis-jenis lain dari pengganggu-pengganggu?
• unnoticed intruders
Sorang pelanggan bisa saja berjalan masuk ke dalam area yang tidak dijaga dan
melihat data yang sensitif di dalam komputer personal yang sedang tidak ada
orangnya.
• wiretappers
Jaringan ini rentan terhadap kemungkinan wiretapper (penyadapan). Penyadapan ini
bisa dilakukan, bahkan dengan peralatan yang tidak mahal (seperti sebuah tape
recorder dan sepotong kabel) yang memungkinkan terjadinya penyadapan tanpa
ada indikasi bahwa sedang terjadi penyadapan.
• piggybackers
Salah satu jenis penyadapan yang paling canggih adalah piggybacking. Dengan
metode ini, penyadap menyadap informasi legal dan menggantinya dengan
informasi yang salah.
• impersonating intruders
Intruder impersonating adalah individu-individu tertentu yang bertujuan melakukan
kecurangan terhadap perusahaan. Tipe penyusup lain adalah mata-mata industri
yang profesional, yang biasanya memasuki melalui pintu samping dengan
menggunakan seragam karyaan atau servis.
• Eavesdroppers
Standar yang banyak digunakan di unit display video menghasilkan interferensi
elektromagnetik pada satu frekuensi ayng dapat ditangkap dengan seperangkat
televisi sederhana.
 Ancaman Aktif Sistem Keamanan Informasi
• Manipulasi Input
Dalam banyak kasus kejahatan komputer, manipulasi input merupakan metode
yang biasa digunakan. Metode ini mensyaratkan kemampuan teknis yang
paling minimal. Seseorang bisa saja mengubah input tanpa memiliki
pengetahan mengenai cara operasi sistem komputer.
•Mengubah Program
menugbah program mngkn merupakan metode yang paling jarang digunakan
untuk melakukan kejahatan komputer. Langkanya pengguaan metode ini
mungkin karena dibutuhkan keahlian pemrograman yang hanya dimiliki oelh
sejumlah orang yang terbatas. Selain itu, banyak perusahaan besar memiliki
metode pengujian program yang dapat digunakan utnuk mendeteksi adanya
perubahan dalam program.
Trapdoor merupakan sebagian program komputer yang memungkinkan
seseorang mengakses program dengan mengabaikan jalur keamanan program
tersebut.
•Mengubah File Secara Langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara utnuk
memotong (bypass) proses normal untuk mengiputkan data ke dalam program
komputer. Jika hal ini terjadi, hasil yang di tuai.
 Ancaman Aktif Sistem Keamanan Informasi
•Pencurian Data
Pencurian data penting merupakan salah satu masalah yang cukup dalam
dunia bisnis hari ini. Dalam industri dengan tingkat persaingan merupakan
salah satu informasi yang cukup diburu.
•Sabotase
Sabotase komputer membahayakan sistem informasi. Perusakan sebuah
komputer atau perangkat lunak dapat menyebabkan kebangkrutn suatu
perushaan. Karyawan tidak puas, khususnya yang teah dipecat, biasanya
merupakan pelaku sabotase utama. Koda troya merupakan sebuah program
yang destruktif yang berkamuflase seolah-olah ia merupakan program yang
legal. Worm merupakan satu jensi virus yang menyebarkan dirinya melalui
jaringan kmputer. Kata virus ada kalanya mencakup juga semua program yang
mengandung niat jahat, termasuk bom logika, kuda troya dan worm. Bentuk
sabotase yang lain adalah serangan denial-of-service.
•Penyalahgunaan atau Pencurian Sumber Daya Informasi
Salah satu jenis penyalahgunaan informasi terjadinya pada saat seseorang
menggunakan sumber daya kmputer organisasi untuk kepentingan pribadi.