Keamanan Komputer (Computer Security)

5/17/2018 Keamanan Komputer (Computer Security) - slidepdf.com

http://slidepdf.com/reader/full/keamanan-komputer-computer-security 1/12

1

KEAMANAN KOMPUTER (Computer Security)

Definisi computer security:

(Garfinkel & Spafford)“A computer is secure if you can depend on it and its software to behave as you expect”.

G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating)

atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi,

dimana informasinya sendiri tidak memiliki arti fisik.

• Jika kita berbicara tentang keamanan sistem informasi, selalu kata kunci yang dirujuk

adalah pencegahan dari kemungkinan adanya virus, hacker, cracker dan lain-lain.

• Padahal berbicara masalah keamanan sistem informasi maka kita akan berbicara kepada

kemungkinan adanya resiko yang muncul atas sistem tersebut.

Sehingga pembicaraan tentang keamanan sistem tersebut maka kita akan berbicara 2 masalah

utama yaitu :

1) Threats (Ancaman) atas sistem dan

2) Vulnerability (Kelemahan) atas sistem

Tujuan Keamanan Komputer dalam CASIFO:

1).Kerahasiaan

Perusahaan berusaha melindungi data dan informasi dari pengungkapan kepada orang – orang

yang tidak berhak 2).Ketersediaan

Tujuan SIFO adalah menyediakan data dan informasi bagi mereka yang berwenang

menggunakannya.

4).Integritas

Semua subsistem SIFO harus menyediakan gambaran akurat dari sistem fisik yang

diwakilinya.



2

Masalah tersebut pada gilirannya berdampak kepada 11 hal yang utama dalam Audit & Kontrol

Sistem Informasi yaitu :

I. Access Control ( Kontrol Akses)

Access Control digunakan untuk mengontrol terhadap cara subjek (bisanya manusia) dapat

mengakses objek (biasanya data). Access Control mengendalikan pekerjaan dengan beberapa

cara, utamanya Akses Subjek dan Akses Layanan. Access Control dapat diartikan juga sebagai

security dengan jalan membatasi akses subyek terhadap obyek subyek terhadap obyek.

Dicapai melalui 3 tahap, yaitu :

1) Identifikasi pemakai (user identification)

2) Pembuktian keaslian pemakai (user authentication)

3) Otorisasi pemakai (user authorization)

Tujuan Kontrol Akses :• Kontrol akses membatasi penggunaan sumber daya sistem komputer untuk pengguna yang

sah,

• membatasi pengguna dapat dilakukan dengan tindakan yang berhubungan dengan sumber

sumber, dan

• memastikan bahwa pengguna hanya memperoleh sumber daya komputer yang otentik.

• mereka menjalankan fungsi fungsi dalam tiga langkah:

1). mengotentikasi pengguna yang mengidentifikasi diri mereka ke sistem.

2). mengotentikasi sumber daya yang diminta oleh pengguna (membatasi pengguna)

Terdapat beberapa persoalan yang berhubungan dengan mekanisme access control yang

digunakan dalam database subsystem:

a). Discretionary access controls (Kebebasan menentukan/memilih sesuai kebijakan Mandatory)

Berdasarkan kebijakan kontrol akses discretionary, pengguna dapat menentukan untuk

mekanisme kontrol akses yang dapat mengakses sumber daya mereka. Berdasarkan kebijakan

kendali akses mandatory, baik pengguna dan sumber daya yang ditugaskan tetap atribut

keamanan. Wajib kebijakan kontrol akses lebih mudah untuk menegakkan tetapi kurang

fleksibel.



3

b). Mandatory access controls (Perintah)

Keuntungan utama dari implementasi Mandatory Access Cotrol adalah dapat menahan Trojan

Horse, sebuah code/program tersembunyi yang berusaha merusak/memanfaatkan obyek tanpa

harus mempunyai hak akses terhadap objek.

Pengguna dapat menyediakan tiga kelas informasi otentikasi ke mekanisme kontrol akses:

1). informasi ingat (mis. password)

2). memiliki objek (misalnya, kartu plastik),

3). karakteristik pribadi (misalnya, sidik jari)

Informasi ingat adalah bentuk yang paling umum digunakan dari informasi otentikasi.

keterbatasan utama adalah bahwa hal itu dapat dilupakan utama adalah bahwa hal itu dapat

dilupakan. Akibatnya, pengguna menggunakan strategi untuk membantu mereka mengingat

informasi yang dapat menyebabkan informasi yang sedang dikompromikan (misalnya, mereka

menuliskan password).

A. Ancaman terhadap Keamanan Sistem Informasi

Karena kontrol akses hanya terbatas pada aset yang diproteksi dengan pengguna sistem,

kontrol akses seringkali diserang oleh pihak yang ingin melewatinya. Dan memang kebanyakan

serangan terhadap komputer-komputer dan jaringan-jaringan yang menyimpan aset yang

berharga adalah serangan terhadap kontrol aksesnya melalui menipu, mengalahkan, dan melewati

kontrol terhadap akses sistem.

Ancaman terhadap kontrol akses meliputi :

- malware (kode virus, trojan, dan lainnya yang bertujuan untuk melewati pengendalian akses),

- Eavesdropping (pemasangan alat sniffing tools untuk mengambil informasi sensitif dari

sistem),

- Backdoor (Suatu alat atau kode program yang dibuat untuk membuat kerusakan atau sebagai

pintu masuk bagi penyerang untuk masuk ke dalam sistem tanpa melewati prosedur

pengendalian akses), dan Scanning attacks (suatu usaha yang dilakukan oleh penyerang untuk

melihat kelemahan pada pengendalian akses melalui jaringan komputer).

B. Kelemahan Sistem atau Vulnerability

Kelemahan sistem yang umum terjadi meliputi Sistem yang tidak di patch, Konfigurasi

sistem pabrik, Default Password , Application Logic.

C. Access Control melalui Identification, Authentication, dan Authorization

Identifikasi dan otentikasi (I&A) di dalam access control untuk software adalah proses

untuk membuat dan membuktikan identitas pengguna. I&A adalah suatu blok bangunan

pengamanan yang kritis, dikarenakan I&A sangat dibutuhkan untuk sebagian besar tipe

dari pengendalian akses dan merupakan persyaratan untuk memastikan identitas

pengguna. Beberapa kelemahan dari tidak melakukan I&A yang bisa saja dieksploitasi untuk



4

mendapatkan akses yang tidak diotentikasi ke dalam sistem meliputi Metode otentikasi yang

lemah, Potensi pengguna melewati (bypass) mekanisme otentikasi, Kurangnya kerahasiaan dan

integritas dari informasi otentikasi yang disimpan, Kurangnya enkripsi, dan Kurangnya

pengetahuan pengguna mengenai bahaya dari sharing elemen-elemen otentikasi semisal

password, security tokens, dan lainnya.

Otentikasi secara umum dikategorikan sebagai “Sesuatu yang Anda ketahui” misalnya password,

“Sesuatu yang Anda punya” misalnya token cards , atau “Sesuatu yang memang Anda” misalnya

biometrics.

Proses otorisasi digunakan yang digunakan untuk mengontrol akses mensyaratkan bahwa sistem

bisa mengidentifikasi dan membedakan antara setiap pengguna. Kendali akses (access rules) atau

otorisasi menspesifikasikan siapa yang bisa melakukan akses terhadap sesuatu. Sebagai contoh,

pengendalian akses seringkali berbasis pada least privilege atau sedikit kewenangan, yang

menunjukkan bahwa setiap pengguna hanya diberi wewenang untuk mengakses objek sistemsesuai jabatannya. Akses hanya akan diberikan pada prosedur terdokumentasi berbasis tipe akses

“Harus diketahui” dan “Harus dikerjakan”.

Akses ke komputer bisa disetting ke berbagai tingkatan. Sebagai contoh, pembatasan akses pada

tingkatan file secara garis besar meliputi beberapa hal berikut:

• Read, Inquiry, atau Copy saja.

• Write, Create, Update, atau Delete saja.

• Execute saja

• Kombinasi dari setiap hak akses diatas.

Daftar file terkomputerisasi dan infrastruktur/fasilitas yang digunakan secara garis besar di setiap

tingkatan dari jaringan komputer, platforms, basis data, dan aplikasi yang harus dilindungi oleh

kontrol akses non-fisik meliputi Data, Data Dictionary/ Directory, Jalur telekomunikasi dan

jalur telpon, Sistem operasi untuk router jaringan dan switches, DNS atau Domain Name

Servers, Systems Software, Libraries/Directories, Application Software (Development dan

Production), Web Applications, System Procedure Libraries, System Utilities, Operator Systems

Exits, Access Control Software, Passwords, Logging Files, Temporary Disk Files, Tape Files,

Spool Queues.



5

Gbr 1. Subskema yang membatasi akses ke database

Gambar 1 menggambarkan suatu aturan dari tampilan pemakai. Misalnya pemakai SMith,

Jones, dan Adam, semuanya mempunyai akses ke rangkaian data yang sama (nomor akun, nama

pelanggan, saldo akun). Diasumsikan, semua memiliki otoritas untuk membaca, tetapi hanya

Jones yang memiliki otoritas untuk memodifikasi dan menghapus data.

II. Integrity Control ( Kontrol Integritas)

Integritas kontrol adalah sifat potensi dan kemampuan yang memberikan gambaran yang

lengkap dan akurat dari sistem fisik baikpun non fisik yang akan dihasilkan dan yang akan

diproses.

Kontrol integritas memiliki entitas pembatas yang berfungsi mengatur jalannya Relationship,

Data Model dan Object Model :

1. Entity-Relationship Model Integrity Constraints

=> Hubungan Model Entitas terhadap pembatas integritas.

2. Relational Data Model Integrity Constraints

=> Relasi Model data terhadap pembatas integritas.

3. Object Data Model Integrity Constraints=> Sasaran Model Data terhadap pembatas integritas.



6

III. Software Aplication Control ( Kontrol Software Aplikasi)

Kontrol Sofware Aplikasi adalah kontrol internal yang berlaku khusus untuk aplikasi

komputer tertentu. Pengendalian ini sering disebut pengendalian perspektif teknis.

Wilayah yang dicakupnya meliputi :

a. Kontrol masukan (Input Control)

Digunakan untuk menjamin kekurasian data, kelengkapan masukan, dan validasi terhadap

masukan

b. Kontrol pemrosesan (Process Control)

Pemeriksaan terhadap kebenaran hasil pemrosesan kadang-kadang perlu dilakukan sehingga

apabila terjadi hal-hal yang tidak sesuai bisa langsung diketahui.

c. Kontrol keluaran (Output Control)

Dilakukan secara manual untuk memastikan bahwa hasil pemrosesan memang sesuai dengan

yang diharapkan.

d. Kontrol Database (Database Control)

Pemeriksaan sekaligus pengendalian data dalam konten basis data.e. Kontrol Telekomunikasi (Communication Control)

Penyadapan informasi dapat dilakukan melalui sarana ini dengan cara menyergap gelombang

radio dalam sistem tanpa kabel (wireless) atau dengancara menyadap jalur fisik dalam

jaringan.

Untuk mengantisipasi keadaan seperti ini, kontol terhadap telekomunikasi dapat dilakukan

dengan cara mengenkripsi informasi sehingga penyadap tidak dapat membaca informasi yang

sesungguhnya.

f. Kontrol Batas (Boundary Control)

Untuk Menentukan identitas dan keaslian calon pengguna sistem komputer, keaslian sumber

daya pengguna, dan pembatasan tindakan pengguna terhadap sumber daya komputer untuk

serangkaian tindakan yang berwenang.

Ruang Lingkup

a. Kategori Input Control

Jenis-jenis pengendalian : Otorisasi dan validasi masukan,transmisi dan konversi data,

penanganan kesalahan.

b. Kategori Proses Control

Jenis-jenis pengendalian : Pemeliharaan ketepatan data, pengujian atas batasan dan

memadainya pengolahan.c. Kategori Output Control

Jenis-jenis pengendalian : Penelaahan dan pengujian hasil pengolahan, distribusi keluaran.

d. Kategori Database Control

Jenis-jenis pengendalian : Akses Integritas data.

e. Kategori Communication Control

Jenis-jenis pengendalian : Pengendalian untuk kerja, gangguan komunikasi.



7

f. Kategori Boundary Control

Jenis-jenis pengendalian : Otoritas akses ke sistem aplikasi, identitas dan otentitas pengguna.

Kelompok Kontrol Software Aplikasi

1. Kontrol Preventif => Untuk mencegah terjadinya resiko.

2. Kontrol Detektif => Untuk menemukan kesalahan (terjadinya resiko)

3. Kontrol Korektif => Jika terjadi resiko

IV. Concurrency Control ( Kontrol Konkurensi)

Untuk memungkinkan pengguna database untuk berbagi sumber data yang sama.

Kontrol konkurensi menguraikan tugas-tugas dan fungsi hal :

A. Nature of the share data resource (Sharing sumber daya secara alamai)

B. Problem (Masalah)C. The problem of Deadlock (Masalah Jalan Buntu)

D. Solution to deadlock (Solusi Jalan Buntu)

E. Preventing deadlock (Pencegahan Jalan Buntu)

F. Distributed database concurrency (Distribusi konkurensi database)

D. Controls (Pengendalian)

V. Cryptographic Control ( Kontrol Kriptografi)

Kontrol Kriptografi digunakan secara luas di seluruh subsistem batas. Kriptografi kontrol

melindungi privasi data dan mencegah modifikasi data yang tidak sah. Mereka mencapai tujuan

ini dengan mengacak data sehingga tidak bermakna bagi siapa pun yang tidak memiliki sarana

untuk menguraikan itu.

Pengertian Dasar

Suatu pesan yang tidak disandikan disebut sebagai plaintext ataupun dapat disebut juga sebagai

cleartext . Proses yang dilakukan untuk mengubah plaintext ke dalam ciphertext disebut

encryption atau encipherment . Sedangkan proses untuk mengubah ciphertext kembali ke

plaintext disebut decryption atau decipherment . Secara sederhana istilah-istilah di atas dapatdigambarkan sebagai berikut :

Gb. 1. Proses Enkripsi/Dekripsi Sederhana



8

Cryptography adalah suatu ilmu ataupun seni mengamankan pesan, dan dilakukan oleh

cryptographer . Sedang, cryptanalysis adalah suatu ilmu dan seni membuka (breaking) ciphertextdan orang yang melakukannya disebut cryptanalyst .

Cryptographic system atau cryptosystem adalah suatu fasilitas untuk mengkonversikan plaintext

ke ciphertext dan sebaliknya. Dalam sistem ini, seperangkat parameter yang menentukantransformasi pencipheran tertentu disebut suatu set kunci. Proses enkripsi dan dekripsi diatur

oleh satu atau beberapa kunci kriptografi. Secara umum, kunci-kunci yang digunakan untuk proses pengenkripsian dan pendekripsian tidak perlu identik, tergantung pada sistem yang

digunakan.

Secara umum operasi enkripsi dan dekripsi dapat diterangkan secara matematis sebagai berikut :

EK (M) = C (Proses Enkripsi)

DK (C) = M (Proses Dekripsi)

Pada saat proses enkripsi kita menyandikan pesan M dengan suatu kunci K lalu dihasilkan pesan

C. Sedangkan pada proses dekripsi, pesan C tersebut diuraikan dengan menggunakan kunci K

sehingga dihasilkan pesan M yang sama seperti pesan sebelumnya.

A. Konversi Data ke Teks

Ada tiga kelas teknik yang digunakan untuk mengubah data menjadi teks yang jelas:

1)Transposition cipher

2)Subtitutions cipher

3) Product cipher

Kebanyakan sistem kriptografi modern menggunakan sandi produk karena itu dianggap yang

paling sulit (memiliki faktor tertinggi kerja).

B. Kerugian sistem Kriptografi

• Kerugian utama cryptosystem yang utama adalah bahwa pihak pihak yang ingin bertukar

informasi harus berbagi kunci,rahasia pribadi.

• Untuk mengatasi kelemahan ini, cryptosystem kunci algoritma publik telah dikembangkan.

algoritma ini menggunakan dua kunci yang berbeda untuk mengenkripsi data dan untuk

mendekripsi data. Salah satu kunci dapat dibuat publik, dan kunci lainnya bersifat rahasia.

• Dari sudut pandang audit, aspek yang paling penting cryptosystem adalah cara di mana kunci

kriptografi dikelola.

Kriptografi kunci manajemen harus mengatasi tiga fungsi :

1) Bagaimana kunci akan dihasilkan

2) Bagaimana mereka akan didistribusikan kepada pengguna

3) Bagaimana bila mereka akan dipasang di fasilitas kriptografi



9

C. Manajemen Kriptografi kunci

ManajemenKriptografi kunci harus mengatasi tiga fungsi:

1 Bagaimana kunci akan dihasilkan

2.Bagaimana mereka akan didistribusikan kepada pengguna

3.Bagaimana bila mereka akan dipasang di fasilitas kriptografi.

VI. File Handling Control ( Kontrol Penanganan File)

Kontrol Penanganan File adalah kontrol terhadap data maupun media penyimpan data,

sehingga jika terjadi suatu kerusakan data akan dapat di-recovery dengan back-up.

Untuk mengatisipasi kegagalan sistem komputer, terkadang organisasi menerapkan sistem

komputer yang berbasis fault-tolerant (toleran terhadap kegagalan).

Pada sistem ini, jika komponen dalam sistem mengalami kegagalan maka komponen cadangan

atau kembarannya segera mengambil alih peran komponen yang rusak.

Sistem fault-tolerant dapat diterapkan pada lima level, yaitu pada :

1) Komunikasi jaringan, toleransi kegagalan terhadap jaringan dilakukan dengan menduplikasi

jalur komunikasi dan prosesor komunikasi.

2) Prosesor, redundasi prosesor dilakukan antaralain dengan teknik watchdog processor, yang

akan mengambil alih prosesor yang bermasalah.

3) Penyimpan eksternal,terhadap kegagalan pada penyimpan eksternal antara lain dilakukan

melalui disk memoring atau disk shadowing, yang menggunakan teknik dengan menulis

seluruh data ke dua disk secara pararel. Jika salah satu disk mengalami kegagalan, program

aplikasi tetap bisa berjalan dengan menggunakan disk yang masih baik.

4) Catu daya, toleransi kegagalan pada catu daya diatasi melalui UPS.

5) Transaksi, toleransi kegagalan pada level transaksi ditanganimelalui mekanisme basis data

yang disebut rollback, yang akan mengembalikan ke keadaan semula yaitu keadaan seperti

sebelum transaksi dimulai sekiranya di pertengahan pemrosesan transaksi terjadi kegagalan.

VII. Audit Trail Control ( Kontrol Jejak Audit)

Dalama keamanan komputer Kontrol Jejak Audit merupakan penjaga kronologis peristiwa

yang terjadi ketika output ditentukan sampai waktu di hilangkan secara lengkap oleh user.

Kejadian ini disebut rekam jejak kegiatan secara kronologis berurutan.

Terdiri dari :- Accounting Audit Trail => responsitif terhadap audit trail akuntan

- identitas seseorang (organisasi) yang memiliki sumber data

- identitas seseorang (organisasi) yang memasukan data ke system

- waktu dan tanggal memasukan data

- detail dari transaksi

- nomor setumpuk data fisik dan logic untuk transaksi



10

- waktu pengambilan dari dalam sumber dokumen utama

- Operation Audit Trail => responsitif terhadap audit trail operasi dimana data telah ditransfer

dan diproses dalam akuntan.

- Identifikasi proses, nama dan nomor versi dari proses.

- Identitas dari proses yang menjadi trigger transaksi dan kondisi yang dihasilkan.

- Hasil antara.

- Nilai item input dan output data.

- Tanggal dan waktu dari proses.

- Nama user.

VIII. Existence Controls ( Kontrol Keberadaan)

Seluruh atau sebagian dari database bisa hilang (hancur/rusak) melalui 5 jenis

kegagalan:

1. Application program error2. System software error

3. Hardware failure

4. Procedural error

5. Environmental failure

IX. Inference Control ( Kontrol Kesimpulan)

Kontrol kesimpulan memiliki arti yaitu user bisa mengakses pada item-item data, akan tetapi

disana terjadi pembatasan untuk mendapatkan kesimpulan dengan menggunakan data tersebut.

Inference control (kontrol kesimpulan) bertujuan untuk melindungi data dari deteksi tidak

langsung. Ini memastikan query non-data sensitif bila disatukan tidak mengungkapkan informasi

sensitif. Tujuan dari kontrol inferensi adalah untuk mencegah pengguna dari menyelesaikan

setiap saluran inferensi.

A. Inference control dipakai untuk menyaring output yang diijinkan ke user

• Kontrol ini termasuk :

• Menghasilkan dan mendistribusikan batch output dan online output

• Akses statistik database (ringkasan, rata2, maks, min dll)

B. Inferensi kontrol atas database statistik berusaha untuk mencegah empat jenis kompromiberikut :

1) Positif : user menetapkan bahwa orang memliliki nilai atribut khusus

2) Negatif : user menetapkan bahwa orang tidak dapat memiliki nilai atribut khusu

3) Tepat : user menetapkan nilai pasti untuk atribut yang dimiliki

4) Perkiraan / approximate : user menetapkan atribut dalam range tertentu.



11

X. Produksi dari Keluaran dan Kontrol Distribusi

( Batch Output production and Distribution control )

• Batch output : output yang dibuat pada saat pemrosesan pengumpulan atau distribusi dan

sesudahnya yang dikerjakan oleh user yang berhak.

• Production and Distribution control dilakukan

untuk memastikan bahwa output yang dibuat dan didistribusikan telah akurat lengkap dan

tepat waktu kepada yang membutuhkan dan berhak menerima dari user yang berhak.

Batch Report Design Control :

1) Report name

2) Time and Date

3) Distribution list

4) Processing period covered

5) Program (incl version) producing report

6) Contact persons7) Security classification

8) Retention date

9) Method of destruction

10) Page heading

11) Page number

12) End of job marker

XI. Produksi dari Keluaran Secara Online dan Kontrol Distribusi

(ONLINE Output production and Distribution control)

Memastikan bahwa hanya pihak yang berwenang yang menerima output tersebut,

melindungi secara integritas ketika output dikirimkan lewat jaringan komunikasi agar tidak

terlihat oleh pihak yang tidak berwenang.

Jenis ONLINE Output production and Distribution control :

1) Source Control

2) Distribution Control

3) Communication Control

4) Receipt Control

5) Review Control6) Disposition Control

7) Retention Control

8) Deletion Control



12

O l e h R a h m a d N H u t a

g a l u n g

BIOGRAFI PENULIS

[null]

Form dan SAP DOSEN.

Untuk Mata Kuliah :

- Computer Security

- Control & Analisa Sistem Informasi

- Management Kemananan Komputer

- Analisa Sistem Informasi

-<Dikhususkan untuk mahasiswa>

E-Mail1 : [email protected]

E-Mail2 : -

Keamanan Komputer (Computer Security)

Documents

Transcript of Keamanan Komputer (Computer Security)