Pengamanan Informasi

    Home/Pendidikan / Pengamanan Informasi
Pengamanan Informasi

Pengamanan Informasi

Posted in Pendidikan gjlkc 0

Pengamanan Informasi

Pengamanan Informasi

Pengamanan Informasi

Pengamanan data dapat dilakukan dengan dua cara, yaitu:
1. Steganography

Dalam Wikipedia disebutkan bahwa steganografi berasal dari bahasa Yunani yaitu steganos yang artinya adalah penyamaran atau penyembuyian dan graphein yang artinya adalah tulisan. Jadi steganografi dapat diartikan sebagai seni menyamarkan/menyembunyikan pesan tertulis kedalam pesan lainnya.
Selengkapnya…

Selasa, 24 Maret 2009

Pengenalan Kemanan Jaringan

Keamanan dan Manajemen Perusahaan
Seringkali sulit untuk membujuk management perusahaan atau
pemilik sistem informasi untuk melakukan investasi di bidang
keamanan. Di tahun 1997 majalah Information Week melakukan
survey terhadap 1271 system atau network manager di Amerika
Serikat. Hanya 22% yang menganggap keamanan sistem informasi
sebagai komponen sangat penting (“extremely important”).
Assets terdiri dari hardware, software, dokumnentasi, data, komunikasi, lingkungan dan manusia.
Threats (ancaman) terdiri dari pemakai (users), teroris, kecelakaan, carakcers, penjahat, kriminal, nasib, (acts of God), intel luar negeri (foreign intellegence)
Vulneribalities (kelemahan) terdiri dari software bugs, hardware bugs, radiasi, tapping, crostalk, cracker via telepon, storage media

Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang
disebut “countermeasures” yang dapat berupa:
• usaha untuk mengurangi Threat
• usaha untuk mengurangi Vulnerability
• usaha untuk mengurangi impak (impact)
• mendeteksi kejadian yang tidak bersahabat (hostile event)

Klasifiksai Kejahatan Komputer

Kejahatan komputer dapat digolongkan kepada yang sangat
berbahaya sampai ke yang hanya mengesalkan (annoying). Menurut
David Icove [13] berdasarkan lubang keamanan, keamanan dapat
diklasifikasikan menjadi empat, yaitu:
1. Keamanan yang bersifat fisik (physical security): termasuk akses
orang ke gedung, peralatan, dan media yang digunakan. Beberapa
bekas penjahat komputer (crackers) mengatakan bahwa
mereka sering pergi ke tempat sampah untuk mencari berkas-berkas
yang mungkin memiliki informasi tentang keamanan. Misalnya
pernah diketemukan coretan password atau manual yang
dibuang tanpa dihancurkan. Wiretapping atau hal-hal yang berhubungan
dengan akses ke kabel atau komputer yang digunakan
juga dapat dimasukkan ke dalam kelas ini. Denial of service, yaitu akibat yang ditimbulkan sehingga servis
tidak dapat diterima oleh pemakai juga dapat dimasukkan ke
dalam kelas ini. Denial of service dapat dilakukan misalnya dengan
mematikan peralatan atau membanjiri saluran komunikasi dengan
pesan-pesan (yang dapat berisi apa saja karena yang diutamakan
adalah banyaknya jumlah pesan). Beberapa waktu yang
lalu ada lubang keamanan dari implementasi protokol TCP/IP
yang dikenal dengan istilah Syn Flood Attack, dimana sistem (host)
yang dituju dibanjiri oleh permintaan sehingga dia menjadi terlalu
sibuk dan bahkan dapat berakibat macetnya sistem (hang).
2. Keamanan yang berhubungan dengan orang (personel): termasuk
identifikasi, dan profil resiko dari orang yang mempunyai
akses (pekerja). Seringkali kelemahan keamanan sistem informasi
bergantung kepada manusia (pemakai dan pengelola). Ada
sebuah teknik yang dikenal dengan istilah “social engineering”
yang sering digunakan oleh kriminal untuk berpura-pura sebagai
orang yang berhak mengakses informasi. Misalnya kriminal ini
berpura-pura sebagai pemakai yang lupa passwordnya dan
minta agar diganti menjadi kata lain.
3. Keamanan dari data dan media serta teknik komunikasi (communications).
Yang termasuk di dalam kelas ini adalah kelemahan
dalam software yang digunakan untuk mengelola data. Seorang
kriminal dapat memasang virus atau trojan horse sehingga dapat
mengumpulkan informasi (seperti password) yang semestinya
tidak berhak diakses.
4. Keamanan dalam operasi: termasuk prosedur yang digunakan
untuk mengatur dan mengelola sistem keamanan, dan juga termasuk
prosedur setelah serangan (post attack recovery).

Aspek Dari Keamanan Jaringan

Garfinkel mengemukakan bahwa keamanan komputer
(computer security) melingkupi empat aspek, yaitu privacy, integrity,
authentication, dan availability. Selain keempat hal di atas, masih
ada dua aspek lain yang juga sering dibahas dalam kaitannya
dengan electronic commerce, yaitu access control dan nonrepudiation.
Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality adalah usaha untuk
menjaga informasi dari orang yang tidak berhak mengakses. Privacy
lebih kearah data-data yang sifatnya privat sedangkan
confidentiality biasanya berhubungan dengan data yang diberikan
ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian
dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk
keperluan tertentu tersebut. Contoh hal yang berhubungan dengan
privacy adalah e-mail seorang pemakai (user) tidak boleh dibaca oleh
administrator. Contoh confidential information adalah data-data yang
sifatnya pribadi (seperti nama, tempat tanggal lahir, social security
number, agama, status perkawinan, penyakit yang pernah diderita,
nomor kartu kredit, dan sebagainya) merupakan data-data yang
ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari
confidentiality adalah daftar pelanggan dari sebuah Internet Service
Provider (ISP).
Serangan terhadap aspek privacy misalnya adalah usaha untuk
melakukan penyadapan (dengan program sniffer). Usaha-usaha
yang dapat dilakukan untuk meningkatkan privacy dan
confidentiality adalah dengan menggunakan teknologi kriptografi.
Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa
seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai
lain yang mengubah informasi tanpa ijin merupakan contoh
masalah yang harus dihadapi. Sebuah e-mail dapat saja “ditangkap”
(intercept) di tengah jalan, diubah isinya, kemudian diteruskan ke
alamat yang dituju. Dengan kata lain, integritas dari informasi
sudah tidak terjaga. Penggunaan enkripsi dan digital signature,
misalnya, dapat mengatasi masalah ini.
Salah satu contoh kasus trojan horse adalah distribusi paket
program TCP Wrapper (yaitu program populer yang dapat
digunakan untuk mengatur dan membatasi akses TCP/IP) yang
dimodifikasi oleh orang yang tidak bertanggung jawab. Jika anda
memasang program yang berisi trojan horse tersebut, maka ketika
anda merakit (compile) program tersebut, dia akan mengirimkan
eMail kepada orang tertentu yang kemudian memperbolehkan dia
masuk ke sistem anda. Informasi ini berasal dari CERT Advisory,
“CA-99-01 Trojan-TCP-Wrappers” yang didistribusikan 21 Januari
1999. Contoh serangan lain adalah yang disebut “man in the middle
attack” dimana seseorang menempatkan diri di tengah pembicaraan
dan menyamar sebagai orang lain.
Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa
informasi betul-betul asli, atau orang yang mengakses atau
memberikan informasi adalah betul-betul orang yang dimaksud.
Masalah pertama, membuktikan keaslian dokumen, dapat
dilakukan dengan teknologi watermarking dan digital signature.
Watermarking juga dapat digunakan untuk menjaga “intelectual
property”, yaitu dengan menandai dokumen atau hasil karya dengan
“tanda tangan” pembuat . Masalah kedua biasanya berhubungan
dengan access control, yaitu berkaitan dengan pembatasan orang
yang dapat mengakses informasi. Dalam hal ini pengguna harus
menunjukkan bukti bahwa memang dia adalah pengguna yang sah,
misalnya dengan menggunakan password, biometric (ciri-ciri khas
orang), dan sejenisnya. Penggunaan teknologi smart card, saat ini
kelihatannya dapat meningkatkan keamanan aspek ini.
Availability
Aspek availability atau ketersediaan berhubungan dengan
ketersediaan informasi ketika dibutuhkan. Sistem informasi yang
diserang atau dijebol dapat menghambat atau meniadakan akses ke
informasi. Contoh hambatan adalah serangan yang sering disebut
dengan “denial of service attack” (DoS attack), dimana server dikirimi
permintaan (biasanya palsu) yang bertubi-tubi atau permintaan
yang diluar perkiraan sehingga tidak dapat melayani permintaan
lain atau bahkan sampai down, hang, crash. Contoh lain adalah
adanya mailbomb, dimana seorang pemakai dikirimi e-mail bertubitubi
(katakan ribuan e-mail) dengan ukuran yang besar sehingga
sang pemakai tidak dapat membuka e-mailnya atau kesulitan
mengakses e-mailnya (apalagi jika akses dilakukan melalui saluran
telepon). Bayangkan apabila anda dikirimi 5000 email dan anda
harus mengambil (download) email tersebut melalui telepon dari
rumah.
Serangan terhadap availability dalam bentuk DoS attack merupakan
yang terpopuler pada saat naskah ini ditulis. Pada bagian lain akan
dibahas tentang serangan DoS ini secara lebih rinci.
Access Control
Aspek ini berhubungan dengan cara pengaturan akses kepada
informasi. Hal ini biasanya berhubungan dengan masalah
authentication dan juga privacy. Access control seringkali dilakukan
dengan menggunakan kombinasi userid/password atau dengan
menggunakan mekanisme lain.
Non-repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah
melakukan sebuah transaksi. Sebagai contoh, seseorang yang
mengirimkan email untuk memesan barang tidak dapat menyangkal
bahwa dia telah mengirimkan email tersebut. Aspek ini sangat
penting dalam hal electronic commerce. Penggunaan digital
signature dan teknologi kriptografi secara umum dapat menjaga
aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum
sehingga status dari digital signature itu jelas legal. Hal ini akan
dibahas lebih rinci pada bagian tersendiri.

Baca Juga :