Senin, 27 Desember 2010

Makalah Sistem Keamanan Komputer

SISTEM KEAMANAN KOMPUTER

Disampaikan sebagai salah satu tugas Mata Kuliah Pendidikan Dasar Komputer

Dosen : M. Nur Iksan





Oleh :
JOHAN WAHYU UTOMO
105050100111028

FAKULTAS PETERNAKAN
UNIVERSITAS BRAWIJAYA
MALANG
2010
KATA PENGANTAR


Puji syukur kehadirat Allah SWT yang telah memberikan rahmat serta hidayahnya sehingga penyusunan makalah yang berjudul SISTEM KEAMANAN KOMPUTER ini dapat diselesaikan dengan baik dan sesuai rencana.

Tujuan penulisan makalah ini adalah untuk menyelesaikan tugas mata kuliah Dasar Komputer Fakultas Peternakan Universitas Brawijaya.

Makalah ini memberikan gambaran tentang bagaimana dampak positif dan negatif dari penggunaan teknologi internet saat ini.

Tak lupa penulis mengucapkan terima kasih kepada semua pihak yang telah membantu dalam penyusunan makalah ini. Diantaranya adalah :
1.Bapak M. Nur Iksan selaku dosen Mata Kuliah Dasar Komputer,
2.Rekan-rekan satu kelas yang telah memberi motivasi dalam penyusunan makalah ini,
3.Pihak-pihak lain yang telah membantu baik langsung maupun tidak langsung dalam penyusunan makalah ini.

Penulis juga berharap agar makalah ini dapat bermanfaat bagi pembaca pada umumnya dan penulis pada khususnya. Namun demikian, penulis menyadari bahwa makalah ini belumlah sempurna. Dengan lapang dada dan kerendahan hati penulis bersedia untuk diberi saran dan kritik yang bersifat membangun dan dapat memperbaiki makalah ini.


Malang, 20 Desember 2010

Penulis
DAFTAR ISI

Halaman
HALAMAN JUDUL i
KATA PENGANTAR ii
DAFTAR ISI iii
BAB I PENDAHULUAN
1.1Latar Belakang 1
1.2Rumusan Masalah 3
BAB II PEMBAHASAN
2.1 Konsep Dasar Keamanan Komputer 4
2.2 Administrasi Keamanan Komputer 5
BAB III PENUTUP
3.1 Kesimpulan 14
DAFTAR PUSTAKA



BAB I
PENDAHULUAN

1.1 Latar Belakang

Keamanan dan kerahasian data pada jaringan komputer saat ini menjadi isu yang sangat penting dan terus berkembang. Beberapa kasus menyangkut keamanan jaringan komputer saat ini menjadi suatu pekerjaan yang membutuhkan biaya penanganan dan pengamanan yang sedemikian besar. Sistem-sistem vital, seperti sistem pertahanan, sistem perbankan, sistem bandara udara dan sistem-sistem yang lain setingkat itu, membutuhkan tingkat keamanan yang sedemikian tinggi. Hal ini lebih disebabkan karena kemajuan bidang jaringan komputer dengan konsep open system-nya sehingga siapapun, di mananapun dan kapanpun, mempunyai kesempatan untuk mengakses kawasan-kawasan vital tersebut. Untuk menjaga keamanan dan kerahasiaan pesan, data, atau informasi dalam suatu jaringan komputer maka diperlukan beberapa enkripsi guna membuat pesan, data, atau informasi agar tidak dapat dibaca atau dimengerti oleh sembarang orang, kecuali oleh penerima yang berhak. Pengamanan pesan, data, atau informasi tersebut selain bertujuan untuk meningkatkan keamanan, juga berfungsi untuk:
1.Melindungi pesan, data, atau informasi agar tidak dapat dibaca oleh orang-orang yang tidak berhak.
2.Mencegah agar orang-orang yang tidak berhak, menyisipkan atau menghapus pesan, data dan atau informasi. Salah satu hal yang penting dalam komunikasi menggunakan komputer dan dalam jaringan komputer untuk menjamin kerahasiaan pesan, data, ataupun informasi adalah enkripsi.

Salah satu dari bagian kriptografi adalah fungsi hash satu arah. Fungsi hash satu arah adalah dimana kita dengan mudah melakukan enkripsi untuk mendapatkan cipher-nya tetapi sangat sulit untuk mendapatkan plaintext-nya. Salah satu fungsi hash yang paling banyak digunakan adalah Message Digest 5 (MD-5). MD-5 merupakan fungsi hash satu arah yang diciptakan oleh Ron Rivest pada tahun 1991 untuk menggantikan hashfunction sebelumnya. MD-5 adalah salah satu aplikasi yang digunakan untuk mengetahui bahwa pesan yang dikirim tidak ada perubahan sewaktu berada di jaringan. Algoritma MD-5 secara garis besar adalah mengambil pesan yang mempunyai panjang variabel diubah menjadi ‘sidik jari’ atau ‘intisari pesan’ yang mempunyai panjang tetap yaitu 128 bit. ‘Sidik jari’ ini tidak dapat dibalik untuk mendapatkan pesan, dengan kata lain tidak ada orang yang dapat melihat pesan dari ‘sidik jari’ MD-5. Message digest atau intisari pesan harus mempunyai tiga sifat penting, yaitu :
1.Bila P diketahui, maka MD(P) akan dengan mudah dapat dihitung.
2.Bila MD(P) diketahui, maka tidak mungkin menghitung P.
3.Tidak seorang pun dapat memberi dua pesan yang mempunyai intisari pesan yang sama. H(M) H(M’) .
Keamanan komputer adalah menjamin data atau informasi tidak dibaca, tidak dimodifikasi oleh orang lain yang tidak diberi otorisasi. Keamanan sistem dibagi menjadi tiga bagian :
1.Keamanan Eksternal
Keamanan eksternal berkaitan dengan fasilitas komputer dari penyusup dan bencana seperti kebakaran atau bencana alam.
2.Keamanan Interface Pamakai
Keamanan interface pemakai yang berkaitan dengan identifikasi pemakai sebelum pemakai diizinkan mengakses data atau program.
3.Keamanan Internal
Keamanan internal berkaitan dengan beragam kendali yang dibangun pada perangkat keras dan perangkat lunak yang menjamin operasi yang handal dan tidak terganngu untuk menjaga integritas data.
Sementara itu kebutuhan keamanan sistem komputer dapat dikategorikan menjadi aspek-aspek sebagai berikut :
1. Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluantertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut.
2. Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan encryption dan digital signature, misalnya, dapat mengatasi masalah ini.
3.Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli.
4. Availability
Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi

1.2 Rumusan Masalah
1.Bagaimana masalah keamanan sistem komputer secara umum dan dasar-dasar gangguan keamanan komputer?
2.Prinsip dasar perancangan sistem yang aman?

BAB II
PEMBAHASAN


1.Konsep Dasar Keamanan Komputer
1.Pengertian keamanan computer
Sekuriti : Segala sesuatu yang mengenai keamanan
Komputer : Suatu sistem yang meliputi CPU (Prosesor), Memori, I/O Device, dll
Sekuriti Komputer : Segala sesuatu yang mengenai keamanan bagi Sistem Komputer

Filosofi (dasar pemikiran) Keamanan Komputer
Agar dapat mengamankan sistem komputer dengan benar, maka kita harus tahu karakteristik penganggu yang akan mendatangi sisten komputer kita.
Komponen sistem Komputer :
Perangkat Keras (Hardware)
Misalnya : dari pencurian, dll
Perangkat Lunak (Software)
Misalnya : dari serangan virus, harckres, dll
Perangkat Manusia (Brainware)
Pembajakan tenaga kerja


Ada 2 pihak yang terkait
Pihak yang diganggu
(Sistem Komputer)
Pihak yang mengganggu
Perangkat lunak
Perangkat keras
Perangkat manusia
Manajemen
Basis Data
Operasional
Fisik
Lingkungan
Fisika
Kimia
Manajemen
Organisasi
Perangkat Lunak
Perangkat Keras
Sistem Operasi
Telekomunikasi

2.Administrasi Keamanan Komputer
1.Perencanaan Sekuriti
Latar Belakang
What is Security Management?
Q: Apa yang anda lakukan jika enemukan disk dengan label “confidential” berada di meja makan?
Q: Apakah anda pernah mendapatkan user ID dan password superisor?
Q: Apakah orang luar dapat menggunakan PC dan mencoba log-on ke sistem komputer?
Q: Apa yang harus dilakukan jika laptop perusahaan hilang?
Q: Apa yang harus dilakukan jika saya ingin mengirimka data “confidential” ke kantor cabang melalui e-mail?
Security Management
Proses manajemen dalam melindungi informasi dan IT Services pada tingkatan keamanan tertentu.
Identifikasi aset dan pengembangan keamanan dalam implementasi kebijakan, standard, guidelines dan prosedur
Praktik manajemen: analisa resiko dan klasifikasi data/aset TI
Security Management: Issues
Security Management IT => part of manager’s job
Bertanggung-jawab dalam melindungi insiden keamanan
Berhubungan dengan kebijakan/strategi dan operasional => bagian dari quality (assurance) management
Issues :
- Insiden: event yang dapat terjadi baik disengaja atau tidak yang merugikan nilai dari informasi
- Meniadakan insiden? Sulit dilakukan!
Mencapai “acceptable level” dari resiko.
- Faktor penting perlindungan nilai dari informasi:
Kerahasiaan, Integritas dan Ketersediaan informasi
Information Security
Information security merupakan metode & teknologi untuk melindungi informasi:
- Confidentially (privacy),
- Integrity, and
- Availability
Kategori utama: Big Three (C.I.A)
- Tolak ukur terhadap: perlindungan (safeguard), ancaman (threat), kerawanan (vulnerability) dan proses manajemen keamanan.


Confidetiality (Kerahasiaan)
What information needs to be kept secret?
Kerahasiaan:
- Pencegahan terhadap usaha yang disengaja atau tidak yang melanggar otorisasi untuk mengakses/menyebarkan informasi
How much protection is needed?
For how long must the information be kept secret?
Integrity (Keutuhan)
Information that cannot be trusted is worse than useless – it costs money and time to create and store, but provides no benefit.
Integrity:
Pencegahan terhadap modifikasi data oleh orang yang tidak berhak atau perubahan yang tidak di-otorisasi.
Konsistensi data/informasi: eksternal dan internal.
Who create/send the information?
Can we prove who create the data?
We know the information is not changed or altered by “unauthorized personnel”
Availability (Ketersediaan)
Information which is not available when required is of no use, even if its confidentiality is secure and its integrity intact
Availability:
Menjamin informasi/services tetap ada saat diperlukan
What information must we have readily available?
How readily must be able to access the information?
Days?, Hours?; Minutes or seconds?
Important Concepts
Identification
Authentication
Accountability
Authorization
Privacy
Non Repudiation
Objectives

Security Controls:
Sulit untuk ancaman dan dampak kerugian
Feasible: mengurangi atau menurunkan dampak kerugian maupun kemungkinan terjadi insiden
Sebagai contoh: objektif dari security control dapat menurunkan matrix diatas dari titik 3, ke titik 2 atau ke titik 1.
Matrix ini dapat digunakan untuk melakukan evaluasi penerapan security control.
Security Measures (1)
Tindakan Keamanan
Tidak semua informasi sama penting/bernilai => perlu klasifikasi jenis aset (informasi + services) yang perlu dilindungi.
Manajemen: pertimbangan faktor cost (waktu, SDM dan biaya) dalam melindungi informasi
Required resources vs tingkat proteksi yang diperlukan
Insiden => Tindakan Keamanan yang diperlukan
Mencegah dan menangani insiden yang dapat terjadi pada setiap tahapan
Security Measures (2)


Discussion
Berikan contoh tindakan keamanan dalam kategori?
Ancaman
Kerawanan
Resiko
Deteksi
Represi (pengurangan)
Pencegahan/Perbaikan
Example: Threat
Table 3-1 Relationship of Threat Agents, Vulnerabilities and Risks
Threat Agents
Can Exploit This Vulnerability
Resulting in This Risk
Virus
Lack of antivirus software
Virus Infection
Hacker
Powerful services running on a server
Unauthorized access to confidential information
Users
Misconfigured parameter in the operating system
System malfunction
Fire
Lack of fire extinguishers
Facility and computer damage, and possibly loss of life
Employee
Lax access control mechanisms
Damaging mission-critical information
Contractor
Lax access control mechanisms
Stealing trade secrets
Attacker
Poorly written application
Conducting a buffer overflow
Intruder
Lack of security guard
Breaking windows and stealing computers and devices
Employee
Lack of auditing
Altering data inputs and outputs from data processing applications
Attacker
Lack of stringer firewall settings
Conducting a denial of service attack

Classification
Klasifikasi informasi/data
Sesuai dengan sifat organisasi: sensitivitas, dampak kerugian yang dapat ditimbulkan.
Penentuan klasifikasi data penting untuk menentukan kontrol akses dan menjamin data yang penting aman.
Contoh DoD – pemerintah mempunyai klasifikasi sbb:
Top Secret
Secret
Confidential
Unclassified
Classification: General
Klasifikasi yang umum:
Confidential: rahasia, internal use only; kerahasiaan merupakan hak dan kritis untuk operasi dan strategi bisnis perusahaan. Sering mempunyai dampak langsung pada bisnis atau masalah hukum, jika tidak dilindungi.
Private: informasi yang hanya untuk akses internal saja. Distribusi keluar dapat menimbulkan kerugian besar dan kredibilitas perusahaan.
Sensitive: perlu proteksi terhadap akses dan perubahan yang tidak ter-otorisasi.
Public: informasi umum, semua data yang tidak masuk dalam kategori di atas.

Classification: Roles
Peranan (roles) dalam prosedur klasifikasi
Owner: pemilik data/informasi (mis. Manajer dari bisnis unit)
Tanggung-jawab akhir terhadap proteksi data/informasi
Paling mengetahui dalam menentukan klasifikasi data/informasi
Custodian
Penjaga/proteksi data secara operasional
Umumnya didelegasikan oleh owner, mis. Staf TI.
Contoh operasionil: penyandian data, backup data dsb.
User: pemakai data/informasi

2.Analisa resiko
Risk Management (1)
General Approach
Threat – possible (event) attacks on the system
Vulnerability – weakness that may be exploited to cause loss or harm
Risk – probability of loss actually occuring, due to realization of threat.
Protection – measure to reduce risk, by reducing the probability of a threat being realized, reducing the loss if a threat is realized or both
Risk only exist if there is a threat than can exploit the actual vulnerability and the go adversely impact the asset value
Risk
Risk Category
Damage – Result in physical loss of an asset or the inability to access the asset, such as as cutting a network cable
Disclosure – Disclosing critical information regardless of where or how it was disclosed
Losses – these might be permanent or temporary, including the altering of data or the inability to access data
Risk Factor
Physical damage: i.e. natural disasters, power loss or vandalism.
Malfunction: the failure of systems, networks, or peripherals.
Attacks: inside or outside, virus, i.e. unauthorized disclosure,
Human or Application errors: accidental incidents
Risk Analysis (1/3)
Proses:
Melakukan analisa resiko, dan justifikasi cost/benefit jika dilakukan proteksi.
Kuantifikasi (besaran, benchmark) – dampak ancaman jika terjadi.
Implementasi dan review proteksi
Definisi & Terminologi:
Asset – resource, proses, produk, infrastruktur TI yang perlu dilindungi. Ancaman terhadap asset dapat memberikan dampak terhadap C.I.A dari sistem informasi.
Exposure Factore (EF) – presentase kerugian jika insiden ancaman terjadi pada asset tertentu. Misalkan presentase kecil jika hanya satu modul software yang rusak, tapi besar jika mencakup semua software di server.
Risk Analysis (2/3)
Quantitative
Pendekatan secara finansial: nilai ($) dlm melakukan analisa resiko dan cost
Qualitative
Pendekatan menggunakan “scoring system”: rank ancaman dan efektivitas “counter measures” relatif terhadap sistem & lingkungannya.
Analisa kuantitatif:
Lebih sulit dilakukan
Dapat mendukung perencanaan budgets dan mampu memberikan informasi kepada manajemen
Risk Analysis (3/3)
Identifikasi asset-asset perusahaannya
Berikan nilai pada asset
Identifikasi resiko dan ancaman yang langsung terkait dengan setiap asset
Estimasi potensial loss dari resiko atau ancaman
Estimasi berapa sering kemungkinan munculnya ancaman
Hitung biaya resiko
Rekomendasi ukuran atau aktivitas yang muncul
Single Loss Expectancy (SLE)
Kerugian financial yang muncul jika terjadi sekali (1) bencana
SLE = Asset Value x Exposure Factor
Exposure Factor: 0%-100%, yakni besarnya prosentasi kerugian yang diderita dalam satu bencana
Misal:
Dalam suatu bencana banjir, akan menyebabkan ATM terendam di 30% lokasi di Jakarta. Replacement cost ATM = Rp. 100 juta/ATM. Total ATM yang dimiliki 200 unit
SLE = Rp. 100 juta x 30% x 200 = Rp. 6 milyar
Threat Frequency
Seberapa sering ancaman itu terjadi? Misalnya:
Kebakaran besar: 1 dalam 40 tahun
Banjir besar: 1 dalam 6 tahun
System crash: 1 dalam 6 bulan
Unauthorized access: 2 dalam bulan
Dihitung dalam Annualized Rate of Occurance (ARO):
Kebakaran: 1/40
Banjir besar: 1/6
System crash: 2
Unauthorized access: 2 x 2 = 24
Annualized Loss Expectancy (ALE)
Annualized rate of occurrence (ARO)
On an annualized basis, the frequency with which a threat is expected to occur
Annualized loss expectancy (ALE)
Single loss expectance x annualized rate of occurance = ALE
ALE = Single Loss Expectancy x Annualized Rate of Occurance
Contoh:
Dalam kasus ATM, SLE = Rp. 6 milyar dan ARO = 1/6, maka ALE = Rp. 6 milyar x 1/6 = Rp. 1 milyar
Dibaca: “Setiap tahunnya diperkirakan akan ada biaya ATM yang harus diperbaiki/diganti akibat sebesar Rp. 1 milyar”
Cost/benefit analysis
Cost of a loss
Seringkali sulit untuk menentukan secara akurat
Cost of prevention
Jangka panjang / jangka pendek
Adding up the numbers
Output yang berasal dari listing asset di spreadsheet Excel, resiko-resiko dan kemungkinan kehilangan
Untuk setiap kehilangan, perlu diketahui kemungkinan, prediksi kehilangan dan jumlah uang yang dibutuhkan untuk mempertahankan keadaan setelah kehilangan



3.Kebijakan keamanan organisasi
Business Perspectives
Organisasi dan implementasi: tanggung-jawab tugas dsb
Traceable to business needs: value of information
Umumnya disusun dalam bentuk abstraksi:
Kebijakan (policy): “which objective we aiming for?”
Proses: “What has to happen to achieve those objectives?”
Prosedur/standard/guidelines: who does, what and when
Pendekatan “top-down”
Pengembangan mulai dari security policy: “blue print” untuk perencanaan dan implementasi



Policy Hierarchy


Information security policies
Components of an effective policy:
Title
Purpose
Authorizing individual
Author/sponsor
Reference to other policies
Scope
Measurement expectations
Exception process
Accountability
Effective/expiration dates
Definitions


BAB III
PENUTUP

Kesimpulan :
Keamanan sistem dibagi menjadi tiga bagian :
1.Keamanan Eksternal
2.Keamanan Interface Pamakai
3.Keamanan Internal
Kebutuhan keamanan sistem komputer dapat dikategorikan menjadi aspek-aspek sebagai berikut :
1. Privacy / Confidentiality
2.Integrity
3.Authentication
4.Availability










DAFTAR PUSTAKA

Indrajit, R.E., 2000, Pengantar Konsep Dasar Manajemen Sistem Informasi dan Teknologi Informasi, 1st Edition, Jakarta: PT. Elex Media Komputindo.
Applegate, McFarlan, McKenney, 1999, Corporate Information Systems Management: Text and Cases, 5th Edition, Singapore: Mc Graw Hill.
Remenyi Dan et al, 1995, Effective Measurement and Management of IT Costs and Benefits, Butterworth Heinemann.
Waterhouse, Price, 1996, System Management Methodology Strategic Information Systems Planning (SISP), version 2.1, Inc.: Price Waterhouse World Firm Services BV.
Earl, M.J., 1989, Management Strategies For Information Technology, 1st Edition, London: Prentice Hall.
Parker, Marilyn et al, 1988, Information Economics, Linking Business Performance to IT, Prentice Hall.
Channon, D. F., 1986, Encyclopedic Dictionary of Strategic Management, International Edition, England: Blackwell Business.
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)