Garfinkel mengemukakan bahwa keamanan
computer (computer security) melingkupi beberapa aspek, yaitu :
A.
Confidentiality
Confidentiality merupakan aspek yang menjamin
kerahasiaan data atau informasi. Sistem yang digunakan untuk
mengimplementasikan e-procurement harus dapat menjamin kerahasiaan data yang
dikirim, diterima dan disimpan. Bocornya informasi dapat berakibat batalnya
proses pengadaan.
Kerahasiaan
ini dapat diimplementasikan dengan berbagai cara, seperti misalnya menggunakan
teknologi kriptografi dengan melakukan proses enkripsi (penyandian, pengkodean)
pada transmisi data, pengolahan data (aplikasi dan database), dan penyimpanan
data (storage). Teknologi kriptografi dapat mempersulit pembacaan data tersebut
bagi pihak yang tidak berhak.
Seringkali
perancang dan implementor dari sistem informasi atau sistem transaksi
elektronik lalai dalam menerapkan pengamanan. Umumnya pengamanan ini baru
diperhatikan pada tahap akhir saja sehingga pengamanan lebih sulit
diintegrasikan dengan sistem yang ada. Penambahan pada tahap akhir ini
menyebabkan sistem menjadi tambal sulam. Akibat lain dari hal ini adalah adanya
biaya yang lebih mahal daripada jika pengamanan sudah dipikirkan dan
diimplementasikan sejak awal.
Akses
terhadap informasi juga harus dilakukan dengan melalui mekanisme otorisasi (authorization)
yang ketat. Tingkat keamanan dari mekanisme otorisasi bergantung kepada tingkat
kerahasiaan data yang diinginkan.
Contoh
: data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social
security number, agama, status perkawinan, penyakit yang pernah diderita, nomor
kartu kredit, dan sebagainya) harus dapat diproteksi dalam penggunaan dan
penyebarannya.Confidentiality akan terlihat apabila diminta untuk
membuktikan kejahatan seseorang, apakah pemegang informasi akan memberikan
infomasinya kepada orang yang memintanya atau menjaga klientnya.
Menjaga informasi dari orang
yang tidak berhak mengakses. Privacy : lebih kearah data-data yang
sifatnya privat , Contoh : e-mail seorang pemakai (user) tidak boleh
dibaca oleh administrator. Confidentiality : berhubungan dengan data yang
diberikan ke pihak lain untuk keperluan tertentu dan hanya diperbolehkan untuk
keperluan tertentu tersebut.
Teknologi kriptografi
Kriptografi ini adalah suatu
cara untuk mengubah data menjadi bentuk lain (enkripsi) atau istilah awamnya
adalah mengubah menjadi kode rahasia atau bentuk sandi-sandi yang sulit untuk
dipecahkan (dekripsi). Yang bisa memecahkan kode ini hanya si pemilik data dan
si penerima yang valid atau yang benar-benar berhak atas data itu. Kriptografi
bertujuan menjaga kerahasiaan informasi yang terkandung dalam data sehingga
informasi tersebut tidak dapat diketahui oleh pihak yang tidak sah.
Otorisasi (authorization) ketat
Authorization adalah proses
pengecekan wewenang user, mana saja hak-hak akses yang diizinkan serta yang
tidak diizinkan untuk user. Proses ini dilakukan oleh server dengan cara
mengecek hak-hak akses user tersimpan di dalam database. Setelah hak aksesnya
diketahui, kemudian server akan menyerahkan hak-hak tersebut kepada user
sehingga user telah dapat mengakses resource yang ada didalam jaringan. Tingkat
keamanan dari mekanisme otorisasi bergantung kepada tingkat kerahasiaan data
yang diinginkan.
B. Integrity
Aspek ini menekankan bahwa
informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus,
Trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan
contoh masalah yang harus dihadapi. Sebuah email dapat saja “ditangkap”
(intercept) di tengah jalan, diubah isinya (altered, tampered, modified),
kemudian diterukan ke alamat yang dituju. Dengan kata lain, integritas dari
informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature,
misalnya dapat mengatasi masalah ini.
Inetegry
juga ,merupkan aspek yang menjamin bahwa data tidak boleh berubah tanpa ijin
pihak yang berwenang (authorized). Untuk aplikasi e-procurement, aspek
integrity ini sangat penting. Data yang telah dikirimkan tidak dapat diubah oleh
pihak yang berwenang. Pelanggaran terhadap hal ini akan berakibat tidak
berfungsinya sistem e-procurement.
Secara
teknis ada banyak cara untuk menjamin aspek integrity ini, seperi misalnya
dengan menggunakan messange authentication code, hash
function, digital signature.
Informasi
tidak boleh diubah tanpa seijin pemilik informasi, keaslian pesan yang
dikirim melalui sebuah jaringan dan dapat dipastikan bahwa informasi yang
dikirim tidak dimodifikasi oleh orang yang tidak berhak dalam perjalanan informasi
tersebut.
Contoh
: e-mail di intercept di tengah jalan, diubah isinya, kemudian diteruskan ke
alamat yang dituju.
Bentuk
serangan : Adanya virus, trojan horse, atau pemakai lain yang mengubah
informasi tanpa ijin, “man in the middle attack” dimana seseorang menempatkan
diri di tengah pembicaraan dan menyamar sebagai orang lain. Tanpa ada pengaman data-data dapat diubah sehingga tidak
utuh lagi. Jika hal ini terjadi maka keabsahan data dapat dipertanyakan.
Pengamanan
terhadap aspek ini adalah dengan menggunakan (digital) signature, checksum,
hash algorithm , dan teknik-teknik lain. Pada intinya system pengamanan akan
memberikan tanda apabila data sudah berubah. Karena seringkali serangan
terhadap aspek ini dilakukan dengan menggunakan virus, maka penggunaan
antivirus menjadi salah satu mekanisme pengamanan yang harus dilakukan.
C.
Authentication
Ini akan dilakukan sewaktu user
login dengan menggunakan nama user dan passwordnya, apakah cocok atau tidak,
jika cocok diterima dan tidak akan ditolak. Ini biasanya berhubungan dengan hak
akses seseorang, apakah dia pengakses yang sah atau tidak.
Aspek ini berhubungan dengan metoda
untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau
memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang
kita hubungi adalah betul-betul server yang asli. Untuk membuktikan keaslian
dokumen dapat dilakukan dengan teknologi watermarking dan digital signature.
Sedangkan untuk menguji keaslian orang atau server yang dimaksud bisa dilakukan
dengan menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya.
Ada tiga hal yang dapat ditanyakan kepada orang untuk menguji siapa dia :
What
you have (misalnya kartu identitas ~KTP,SIM,dll~)
What you know (misalnya PIN atau password)
What you are (misalnya sidik jari, biometric, Captcha)
Authentication, adalah berhubungan dengan
identifikasi/pengenalan, baik secara kesatuan sistem maupun informasi itu
sendiri. Dua pihak yang saling berkomunikasi harus saling memperkenalkan diri.
Informasi yang dikirimkan melalui kanal harus diautentikasi keaslian, isi datanya,
waktu pengiriman, dan lain-lain. Pihak yang berkomunikasi harus dapat memastkan
bahwa pihak lain yang diajak berkomunikasi adalah benar-benar pihak yang
dikehendaki.
ini akan dilakukan sewaktu user
login dengan menggunakan nama user dan passwordnya, apakah cocok atau tidak,
jika cocok diterima dan tidak akan ditolak. Ini biasanya berhubungan dengan hak
akses seseorang, apakah dia pengakses yang sah atau tidak.
Dukungan :
- Adanya Tools membuktikan keaslian
dokumen, dapat dilakukan dengan teknologi watermarking(untuk menjaga “intellectual
property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda
tangan” pembuat ) dan digital signature.
- Access control, yaitu berkaitan
dengan pembatasan orang yang dapat mengakses informasi. User harus
menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya.
Authentication adalah suatu
proses untuk melakukan validasi terhadap user credentials, yang
ditujukan untuk menentukan apakah seorang user diperkenankan
untuk mengakses jaringan atau computing resources. Bentuk authentication yang
paling sering kita hadapi adalah saat kita diharuskan untuk memasukkanuser
name dan password. Kedua data tersebut kemudian
dievaluasi untuk menentukan apakah Anda adalah user yang
sudah dikenal oleh sistem atau bukan–verifikasi identitas. Proses authenticationbisa
lebih diperkuat dari sekedar menggunakan user name danpassword sederhana,
dengan teknik-teknik yang beragam mulai dari penggunaan one-way hashes sampai smart
cards yang menggunakan teknik-teknik strong encryption.
D.
Non-repudiation
Non-repudiation, atau nirpenyangkalan adalah
usaha untuk mencegah terjadinya penyangkalan terhadap pengiriman/terciptanya
suatu informasi oleh yang mengirimkan/membuat. Pembuktian korespondensi antara
pihak yang mengirimkan suatu informasi dengan yang dikirimkan juga perlu
dilakukan sehingga identitas pengirim suatu informasi dapat dipastikan dan
penyangkalan pihak tersebut atas informasi yang telah dikirimnya tidak dapat
dilakukan.
Aspek ini menjaga agar
seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Dukungan
bagi electronic commerce.
Non-repudiation
merupakan aspek yang sangat penting dalam transaksi elektronik. Aspek ini
seringkali dilupakan. Aspek non-repudiation menjamin bahwa pelaku transaksi
tidak dapat mengelak atau menyangkal telah melakukan transaksi.
Dalam
sistem transaksi konvensional, aspek non-repudiation ini diimplementasikan
dengan menggunakan tanda tangan. Dalam transaksi elektronik, aspek
non-repudiation dijamin dengan penggunaan tanda tangan digital (digital signature), penyediaan audit trail (log), dan pembuatan sistem
dapat diperiksa dengan mudah (auditable).
Implementasi mengenai hal ini sudah tersedia, hanya perlu diaktifkan dan diakui
saja. Dalam rancangan Cyberlaw Indonesia – yang dikenal dengan nama RUU
Informasi dan Transaksi Elektronik – tanda tangan digital diakui sama sahnya
dengan tanda tangan konvensional.
E.Authority (Acces control)
Aspek kontrol merupakan fitur-fitur
keamanan yang mengontrol bagaimana user dan sistem berkomunikasi dan
berinteraksi dengan system dan sumberdaya yang lainnya. Akses kontrol
melindungi sistem dan sumberdaya dari akses yang tidak berhak dan umumnya
menentukan tingkat otorisasi setelah prosedur otentikasi berhasil dilengkapi.
Kontrol akses adalah sebuah term luas yang mencakup beberapa tipe mekanisme
berbeda yang menjalankan fitur kontrol akses pada sistem komputer, jaringan,
dan informasi. Kontrol akses sangatlah penting karena menjadi satu dari garis
pertahanan pertama yang digunakan untuk menghadang akses yang tidak berhak ke
dalam sistem dan sumberdaya jaringan.
cara pengaturan akses kepada informasi.
berhubungan dengan masalah authentication dan juga privacy . Metode :
menggunakan kombinasi userid/password atau dengan menggunakan mekanisme lain.
Metode : Access control seringkali
dilakukan menggunakan kombinasi userid/password atau dengan menggunakan
mekanisme lain.
Berguna untuk memastikan seseorang
memiliki autorisasi yang sesuai pihak-pihak yang dapat mengakses informasi atau
masuk dalam suatu jaringan hanyalah orang yang memiliki autorisasi ke dalam
jaringan dan bukan pihak lain yang sebenarnya tidak diizinkan untuk mengakses
informasi dalam suatu.
Salah satu bagian mendasar dalam
Information System Security adalah Access Control. Menurut definisi dari CISSP
(Certified Information System Security Profesional) Study Guide, Access Control
didefinisikan sebagai suatu proses untuk mengatur / mengontrol siapa saja yang
berhak mengakses suatu resource-rosource tertentu yang terdapat di dalam sebuah
sistem.
Di dalam proses ini akan diidentifikasi siapa yang sedang melakukan request untuk mengases suatu resource tertentu dan apakah orang tersebut memiliki hak akses (authorized) untuk mengakses resource tersebut.
Di dalam proses ini akan diidentifikasi siapa yang sedang melakukan request untuk mengases suatu resource tertentu dan apakah orang tersebut memiliki hak akses (authorized) untuk mengakses resource tersebut.
Ketika membahas tentang Access Control,
kita akan menemui dua entitas utama yang terlibat, yaitu
1. Subject of the Access Control
Yang menjadi subject di sini adalah
entitas yang mengajukan request / permintaan untuk melakukan akses ke data.
2. Object of the Access Control
Yang menjadi object di sini adalah
entitas yang mengandung atau mengatur data. Atau dengan kata lain object adalah
resource yang tersedia di dalam suatu sistem
F.Availability
Aspek
availability atau ketersedia hubungan dengan ketersediaan informasi ketika
dibutuhkan. Sistem informasi yang diserang dapat menghambat atau meniadakan
akses ke informasi. Contoh hambatan adalah serangan yang sering disebut dengan
“Denial of Service attack” (DoS attack), dimana server dikirimi permintaan
(biasanya palsu) yang bertubi-tubi atau permintaan diluar perkiraan sehingga
tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.
Contoh lain adanya mailbomb, dimana seorang pemakai dikirimi email bertubi-tubi
dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka emailnya
atau kesulitan mengakses emailnya.
Availability
merupakan aspek yang menjamin bahwa data tersedia ketika dibutuhkan. Dapat
dibayangkan efek yang terjadi ketika proses penawaran sedang dilangsungkan
ternyata sistem tidak dapat diakses sehingga penawaran tidak dapat diterima.
Ada kemungkinan pihak-pihak yang dirugikan karena tidak dapat mengirimkan
penawaran, misalnya.
Hilangnya
layanan dapat disebabkan oleh berbagai hal, mulai dari benca alam (kebakaran,
banjir, gempa bumi), ke kesalahan sistem (server rusak, disk rusak, jaringan
putus), sampai ke upaya pengrusakan yang dilakukan secara sadar (attack).
Pengamanan terhadap ancaman ini dapat dilakukan dengan menggunakan sistem
backup dan menyediakan disaster recovery
center (DRC) yang dilengkapi dengan panduan untuk melakukan pemulihan (disaster recovery plan).
Contoh
hambatan
a)
“denial of service attack” (DoS attack), dimana server dikirimi permintaan
(biasanya palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan
sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang,
crash.
b) mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya.
b) mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya.
.
·
Data Availability merupakan
ketersediaan data pada database yang diakses semua user dan dapat diperoleh
setiap saat ketika dibutuhkan. Data Availability dimaksudkan sebagai suatu
kesiapan data dimana ketika user membutuhkan data tersebut maka data tersebut
merespon secara langsung.
- Secara tidak langsung
ketersediaan data tersebut selalu dipengaruhi oleh beberapa hal, salah
satunya yang paling penting adalah Disaster Recovery. Disaster recovery
ini bisa terjadi karena virus atau manusia itu sendiri. Seorang DBA
(Database Administrator) setidaknya melihat apakah database tersebut
terancam oleh sesuatu hal. Jika iya, maka DBA harus menyediakan plan b
(atau strategi cadangan) dalam mengantisipasi pencegahan/penanggulangannya
(bias dikatakan siap siaga – jaga-jaga).
Komponen – Komponen Data
Availability
Data Avaibility terdiri dari 4
komponen, dimana komponen – komponen tersebut menjadi satu dan saling
berhubungan untuk memastikan bahwa sistem dapat dijalankan dan proses bisnisnya
dapat dilakukan sesuai dengan kebutuhan. Komponen – komponen tersebut terdiri
dari :
- Manageability -- Yaitu kemampuan untuk membuat dan memelihara
lingkungan yang efektif yang memberikan layanan kepada pengguna.
- Recoverability -- Yaitu kemampuan untuk membangun kembali
layanan jika mengalami kesalahan atau kegagalan komponen.
- Reliability -- Yaitu kemampuan untuk memberikan pelayanan
pada tingkat tertentu untuk jangkan waktu lain.
- Serviceability -- Yaitu kemampuan untuk menentukan adanya masalah,
pemeriksaan secara menyeluruh, dan memperbaiki masalah itu sendiri.
Manfaat dari Data Avaibility
- Dapat diakses dari jarak jauh
- Data tersedia pada saat
dibutuhkan
- Kemampuan menangani crash agar
service tetap berjalan seperti biasa
- Pemindahan atau penghapusan
data yang sudah tidak diperlukan agar menghemat tempat penyimpanan data
Daftar Pustaka
Rahardjo,Budi, “Keamanan Sistem
Informasi Berbasis Internet”.http://budi.insan.co.id.
keamanan-komputer.html
0 komentar:
Posting Komentar