Untuk postingan pertama saya ingin share sedikit tentang cara mengamankan sistem informasi.Berhubung ini tugas kelompok saya,mana tau teman yang lain membutuhkan.
MENGAMANKAN
SISTEM INFORMASI
A.
Pengertian dan Tujuan
Keamanan Sistem Informasi
Keamanan sistem informasi bisa
diartikan sebagai kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk
mencegah akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap
sistem informasi.
Manajemen pengelolaan keamanan yang bertujuan mencegah, mengatasi, dan melindungi berbagai sistem informasi dari resiko terjadinya tindakan ilegal seperti penggunaan tanpa izin,penyusupan, dan perusakan terhadap berbagai informasi yang dimiliki.
Manajemen pengelolaan keamanan yang bertujuan mencegah, mengatasi, dan melindungi berbagai sistem informasi dari resiko terjadinya tindakan ilegal seperti penggunaan tanpa izin,penyusupan, dan perusakan terhadap berbagai informasi yang dimiliki.
B.
Pengamanan
Sistem Informasi
Pada umumnya, pengamanan dapat
dikategorikan menjadi dua jenis: pencegahan (preventif) dan pengobatan
(recovery). Usaha pencegahan dilakukan agar sistem informasi tidak memiliki
lubang keamanan, sementara usaha-usaha pengobatan dilakukan apabila lubang keamanan
sudah dieksploitasi.Pengamanan sistem informasi dapat dilakukan melalui
beberapa layer yang berbeda. Misalnya di layer “transport”,dapat digunakan“Secure
Socket Layer” (SSL). Metoda ini misalnya umum digunakan untuk Web Site. Secara
fisik, sistem anda dapat juga diamankan dengan menggunakan “firewall” yang
memisahkan sistem anda dengan Internet. Penggunaan teknik enkripsi dapat
dilakukan ditingkat aplikasi sehingga data-data anda atau e-mail anda tidak dapat
dibaca oleh orang yang tidak berhak.
1.
Mengatur akses (Access
Control)
Salah satu cara yang umum digunakan untuk mengamankan Informasi adalah dengan
mengatur akses ke informasi melalui mekanisme “access control”. Implementasi
dari mekanisme ini antara lain dengan menggunakan“password”.Di sistem UNIX,
untuk menggunakan sebuah sistem atau komputer, pemakai diharuskan melalui proses
authentication dengan menuliskan “userid” dan “password”. Informasi yang
diberikan ini dibandingkan dengan userid dan password yang berada di sistem. Apabila
keduanya valid, pemakai yang bersangkutan diperbolehkan menggunakan sistem. Apabila
ada yang salah, pemakai tidak dapat menggunakan sistem. Informasi tentang
kesalahan ini biasanya dicatat dalam berkas log. Besarnya Informasi yang
dicatat bergantung kepada konfigurasi dari sistem setempat. Misalnya, ada yang
menuliskan informasi apabila pemakai memasukkan userid dan password yang salah
sebanyak tiga kali. Ada juga yang langsung menuliskan informasi ke dalam berkas log meskipun baru satu
kali salah. Informasi tentang waktu kejadian juga dicatat.Selain itu asal hubungan
(connection) juga dicatat sehingga administrator dapat memeriksa keabsahan
hubungan.
2.
Memilih Password
Dengan adanya kemungkinan
password ditebak, misalnya dengan menggunakan program password cracker, maka
memilih password memerlukan perhatian khusus. Berikut ini adalah daftar
hal-hal yang sebaiknya tidak digunakan sebagai password.
·
Nama
anda, nama istri / suami anda, nama anak, ataupun namakawan.
·
Nama
komputer yang anda gunakan.
·
Nomor
telepon atau plat nomor kendaran anda.
·
Tanggal
lahir.
·
Alamat
rumah.Nama tempat yang terkenal.
·
Kata-kata
yang terdapat dalam kamus (bahasa Indonesia maupun bahasaInggris)Hal-hal di
atas ditambah satu angkaPassword dengan karakter yang sama diulang-ulang.
3.
Memasang Proteksi
Untuk lebih meningkatkan keamanan
sistem informasi, proteksi dapat ditambahkan. Proteksi ini dapat berupa filter
(secara umum) dan yang lebih spesifik adalah firewall. Filter dapat digunakan untuk
memfilter e-mail, informasi, akses atau bahkan dalam level packet. Sebagai
contoh, di sistem UNIX ada paket program“tcpwrapper” yang dapat digunakan untuk
membatasi akses kepada servis atau aplikasi tertentu. Misalnya, servis untuk “telnet”
dapat dibatasi untuk untuk sistem yang memiliki nomor IP tertentu, atau
memiliki domain tertentu. Sementara firewall dapat digunakan untuk melakukan
filter secara umum. Untuk mengetahui apakah server anda menggunakan tcp wrapper
atau tidak, periksa isi berkas/etc/inetd.conf.Biasanya tcp wrapper
dirakit menjadi “tcpd”.Apabila servis di server anda (misalnya telnet atau ftp)
dijalankan melalui tcpd, maka server anda menggunakan tcp wrapper. Biasanya,
konfigurasi tcp wrapper (tcpd) diletakkan di berkas /etc/hosts.allow dan/etc/hosts.deny.
4.
Firewall
Firewall merupakan sebuah perangkat
yang diletakkan antara Internet dengan jaringan internal.Informasi yang
keluaratau masuk harus melalui firewall ini.Tujuan utama dari firewall adalah
untuk menjaga (prevent) agar akses (ke dalam maupun ke luar) dari orang yang
tidak berwenang(unauthorized access) tidak dapat dilakukan. Konfigurasi dari firewall
bergantung kepada kebijaksanaan (policy) dari organisasiyangbersangkutan, yang
dapat dibagi menjadi dua jenis:
1)
Apa-apa
yang tidak diperbolehkan secara eksplisit dianggap tidak diperbolehkan
(prohibitted).
2)
Apa-apa
yang tidak dilarang secara eksplisit dianggap diperbolehkan(permitted).
Firewall bekerja dengan mengamati
paket IP (Internet Protocol) yang melewatinya. Berdasarkan konfigurasi dari
firewall maka akses dapat diatur berdasarkan IP address, port, dan arah
informasi. Detail dari konfigurasi bergantung kepada masing-masing
firewall.Firewall dapat berupa sebuah perangkat keras yang sudah dilengkapi
dengan perangkat lunak tertentu, sehingga pemakai(administrator) tinggal
melakukan konfigurasi dari firewall tersebut.Firewall juga dapat berupa
perangkat lunak yang ditambahkan kepada sebuah server (baik UNIX maupun Windows
NT), yang dikonfigurasi menjadi firewall. Dalam hal ini, sebetulnya perangkat komputer
dengan prosesor Intel 80486 sudah cukup untuk menjadi firewall yang sederhana. Firewall
biasanya melakukan dua fungsi; fungsi (IP) filtering dan fungsi proxy. Keduanya
dapat dilakukan pada sebuah perangkat komputer (device) atau dilakukan secara terpisah. Beberapa
perangkat lunak berbasis UNIX yang dapat digunakan untuk melakukan IP filtering
antara lain:
·
ipfwadm:
merupakan standar dari sistem Linux yang dapat diaktifkan pada level kernel
·
ipchains:
versi baru dari Linux kernel packet filtering yang diharapkan dapat menggantikan
fungsi ipfwadm
Fungsi proxy dapat dilakukan oleh
berbagai software tergantung kepada jenis proxy yang dibutuhkan, misalnya web
proxy,rloginproxy, ftp proxy dan seterusnya. Di sisi client sering kala
dibutuhkan software tertentu agar dapat menggunakan proxyserver ini, seperti
misalnya dengan menggunakan SOCKS. Beberapa perangkat lunak berbasis UNIX untuk
proxy antara lain:
·
Socks:
proxy server oleh NEC Network Systems Labs
·
Squid:
web proxy server
5.
Pemantau adanya serangan
Sistem pemantau (monitoring
system) digunakan untuk mengetahui adanya tamu tak diundang (intruder) atau
adanya serangan (attack).Nama lain dari sistem ini adalah “intruder detection
system” (IDS).Sistem ini dapat memberitahu administrator melalui e-mail maupun melalui
mekanisme lain seperti melalui pager. Ada berbagai cara untuk memantau adanya
intruder. Ada yang sifatnya aktif dan pasif. IDS cara yang pasif misalnya dengan
memonitor logfile. Contoh software IDS antara lain:
·
Autobuse,
mendeteksi probing dengan memonitor logfile.
·
Courtney,
mendeteksi probing dengan memonitor packet yang lalulalang
·
Shadow
dari SANS
6.
Pemantau integritas
sistem
Pemantau integritas sistem
dijalankan secara berkala untuk menguji integratitas sistem. Salah satu contoh
program yang umum digunakan di sistem UNIX adalah program Tripwire. Program
paket Tripwire dapat digunakan untuk memantau adanya perubahan pada berkas.
Pada mulanya, tripwire dijalankan dan membuat database mengenai berkas-berkas
atau direktori yang ingin kita amati beserta“signature” dari berkas tersebut. Signature
berisi informasi mengenai besarnya berkas, kapan dibuatnya, pemiliknya, hasil checksum atau
hash (misalnya dengan menggunakan program MD5), dansebagainya.
Apabila ada perubahan pada berkas tersebut,maka keluaran dari hash
function akan berbeda dengan yang ada didatabase sehingga ketahuan adanya
perubahan.
7.
Audit (Mengamati Berkas
Log)
Segala (sebagian besar) kegiatan
penggunaan sistem dapat dicatat dalamberkas yang biasanya disebut “logfile”
atau “log” saja. Berkaslog ini sangat berguna untuk mengamati penyimpangan yang
terjadi. Kegagalan untuk masuk ke sistem (login), misalnya, tersimpan di dalam
berkas log. Untuk itupara administrator diwajibkan untuk rajin memelihara dan
menganalisa berkas log yang dimilikinya
8.
Backup secara rutin
Seringkali tamu tak diundang
(intruder) masuk ke dalam sistem dan merusaksistem dengan menghapus
berkas-berkas yang dapat ditemui.Jika intruder ini berhasil menjebol sistem
dan masuk sebagai super user (administrator), maka ada kemungkinan dia dapat
menghapus seluruh berkas.Untuk itu, adanya backup yang dilakukan secara rutin
merupakan sebuah hal yang esensial. Bayangkan apabila yang dihapus oleh tamu
ini adalah berkas penelitian, tugas akhir, skripsi, yang telah dikerjakan
bertahun-tahun.Untuk sistem yang sangat esensial, secara berkala perlu dibuat
backup yang letaknya berjauhan secara fisik.Hal ini dilakukan untuk menghindari
hilangnya data akibat bencana seperti kebakaran, banjir, dan lain sebagainya. Apabila data-data
dibackup akan tetapi diletakkan pada lokasi yang sama, kemungkinan data akan
hilang jika tempat yang bersangkutan mengalami bencana seperti kebakaran.Untuk
menghindari hal ini, enkripsi dapat digunakan untuk melindungi adanya sniffing.
Paket yang dikirimkan dienkripsi dengan RSA atau IDEA sehingga tidak dapat
dibaca oleh orang yang tidak berhak. Salah satu implementasi mekanisme ini
adalah SSH (Secure Shell). Ada beberapa implementasi SSH ini, antara lain:
·
SSH
untuk UNIX (dalam bentuk source code, gratis)
S SH untuk Windows95 dari Data
Fellows(komersial)
·
TTSSH,
yaitu skrip yang dibuat untuk Tera Term Pro (gratis,untuk Windows95)
·
SecureCRT
untuk Windows95 (shareware / komersial)
Penggunaan Enkripsi untuk
meningkatkan keamanan salah satu mekanisme untuk meningkatkan keamanan adalah dengan
menggunakan teknologi enkripsi.Data-data yang anda kirimkan diubah sedemikian
rupa sehingga tidak mudah disadap.Banyak servis di Internet yang masih
menggunakan “plain text”untuk authentication, seperti penggunaan
pasangan userid danpassword. Informasi ini dapat dilihat dengan mudah oleh
program penyadap (sniffer).Contoh servis yang menggunakan plain text antara
lain:
·
Akses
jarak jauh dengan menggunakan telnet dan rlogin
·
Transfer
file dengan menggunakan FTP
·
Akses
email melalui POP3 dan IMAP4
·
Pengiriman
email melalui SMTP
·
Akses
web melalui HTTP
Penggunaan enkripsi untuk remote
akses (misalnya melalui ssh sebagai penggani telnet atau rlogin) akan dibahas
di bagian tersendiri.Telnet atau remote login digunakan untuk mengakses
sebuah “remotesite”atau komputer melalui sebuah jaringan komputer.Akses
inidilakukan dengan menggunakan hubungan TCP/IP dengan menggunakan userid
danpassword. Informasi tentang userid dan password ini dikirimkan
melalui jaringan komputer secara terbuka. Akibatnya ada kemungkinan
seorang yang nakal melakukan“sniffing” dan mengumpulkan informasi tentang
pasangan Userid dan Password ini.
C. Kebijakan
Keamanan Sistem Informasi
Setiap organisasi akan selalu
memiliki pedoman bagi karyawannya untuk mencapai sasarannya. Setiap karyawan
tidak dapat bertindak semaunya sendiri dan tidak berdisiplin dalam melaksanakan
tugasnya.Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk
mencapai sasarannya. Kebijakan keamanan sistem informasi biasanya disusun oleh
pimpinan operasi beserta pimpinan ICT(Information Communication Technology) dengan
pengarahan dari pimpinan organisasi. Rangkaian konsep secara garis besar dan dasar
bagi prosedur keamanan sistem informasi adalah:
·
Penetapan
pemilik sistem informasi Akan berguna sekali apabila seseorang ditunjuk sebagai
pemilik sistem (atau sistem) yang bertanggung jawab atas keamanan sistem dan
data yang dipakainya. Ia berhak untuk mengajukan permintaan atas
pengembangansistem lebih lanjut atau pembetulan di dalam sistem yang menyangkut
bagiannya. Personel ini merupakan contact person dengan bagian ICT(Information
Communication Technology).
·
Langkah
keamanan harus sesuai dengan peraturan dan undang-undangTergantung dari bidang
yang ditekuni, perusahaan harus mematuhi undang-undang yang telah ditetapkan
yang berkaitan dengan proteksi data, computercrime, dan hak cipta.
·
Antisipasi
terhadap kesalahan. Dengan meningkatkan proes transaksi secara online dan ral
time dan terkoneksi sistem jaringan internaisonal, transaksi akan terlaksanaka
hanya dalam hitunngan beberapa detik dan tidak melibatkan manusia.
·
Pengaksesan
ke dalam sistem harus berdasarkan kebutuhan fungsi User harus dapat meyakinkan
kebutuhannya untuk dapat mengakses ke sistem sesuai dengan prinsip “need to
know”. Pemilik sistem harus bertanggung jawab atas pemberian akses ini.
·
Hanya
data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di
sistem Informasi Sistem computer milik perusahaan beserta jaringannya hanya
diperbolehkan untuk dipakai demi kepentingan bisnis perusahaan. Data perusahaan
hanyadiperbolehkan dipakai untuk bisnis perusahaan dan pemilik sistem
bertanggung jawab penuh atas pemberian pengaksesan terhadap data tersebut.
·
Pekerjaan
yang dilakukan oleh pihak ketiga Apabila pihak ketiga melakukan pekerjaan yang
tidak dapat ditangani olehperusahaan, maka perusahaan harus dilindungi oleh
keamanan atas informasiperusahaan.Di dalam kontrak harus didefinisikan
agar pihak ketiga mematuhi peraturan dan keamanan sistm informasi perusahaan.
Manajemen harus bertanggung jawab agar pihak ketiga mematuhi dan mengikuti
peraturan keamanan yang telah ditentukan.
·
Pemisahan
aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai akhir
sistem informasi untuk menjaga kestabilan sistem informasi di lingkungan
perusahaan, dianjurkan agar diadakan pemisahan secara fungsional antara
pengembangsistem, pengoperasian sistem harian dan pemakai akhir. Untuk mencapai
tujuan ini, pihak ICT terutama bagian pengembangan sistem tidak dibenarkan
apabila ia menangani administrasi yang menyangkut keamanan sistem.
·
Implementasi
sistem baru atau permintaan perubahan terhadap sistem yang sudah ada harus
melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan
permintaan perubahan (change request)Perubahan terhadap sistem informasi hanya
melalui prosedur yang berlaku untuk pengembangan dan implementasi sistem baru.
Setiap permintaan perubahan program harus disertai alasan yang kuat serta
keuntungan yang akan didapatkan dan pemohon harus dapat meyakini manajer terkait
dan pemilik sistem mengenai perubahan ini. Oleh karena itu, sangat penting
apabila semua pihak yang terkait harus menandatangani “change request”sebelum
kegiatan ini dimulai.
·
Sistem
yang akan dikembangkan harus sesuai dengan standart metode pengembangan sistem
yang diemban oleh organisasi Sistem yang akan dibangun harus memakai
bahasa pemograman yang telah ditetapkan. Tidak dibenarkan apabila programer
membuatnya dengan bermacam-macam bahasa pemograman. Patut dipertimbangkan
semua risiko keamanan beserta penanggulannya di dalam sistem. Sebelum
sistem aplikasi diimplementasikan, pemilik sistem harus mengevaluasi dan
menilai keadaankeamanan di dalam aplikasi tersebut.
Pemakai bertanggung
jawab penuh atas semua aktivitas yang dilakukandengan memakai kode identiitasnya
(user-ID)Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua
aktivitas yang dilakukan dengan ID ini akan terekam di dalam audit-trial. Pemakai
tidak dapat memungkiri bukti ini, apabila terjadi kesalahan fatalyang
mengakibatkan kerugian terhadap perusahaan. Kesalahan yang berdampak akan
mengakibatkan peringatan atau pemutusan hubungan kerja terhadap pemilik user-ID
ini.
