1. Latar Belakang Perlunya Keamanan sistem informasi
Informasi saat ini sudah menjadi sebuah komoditi yang sanagt penting. Bahkan ada yang mengatakan bahwa masyarakat kita sudah berada di sebuah "information based society". kemampuan mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, seperti perusahaan, perguruan tinggi, lembaga pemerintah, maupun individual. Begitu pentingnya sebuah informasi menyebabkan seringkali informasi diinginkan hanay boleh diakses oleh orang - orang tertentu. jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi.
2. Pengertian Keamanan sistem informasi/ Keamanan Komputer
* John D. Howard, Computer security is preventing attackers from achieving objectives through unauthorized acces or anauthorized use of computers and networks.
* G. J. Simons, keamanan sistem informasi adalah bagaimana kita dapat mencegah penipuan(cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis nformasi, dimana informasinya sendiri tidak memiliki arti fisik.
* Wikipedia, keaman komputer atau sering diistilahkan keamanan sistem informasi adalah cabang dari teknologi komputer yang diterapkan untuk komputer dan jaringan.
3.Tujuan Keamanann sistem informasi
Keperluan pengembangan keamanan sistem informsi memliki tujuan sebaagi berikut ( Rahmat M. Samik-Ibrahim, 2005) :
a.penjaminan integritas informasi
b. pengamanan kerahasiaan data
c. pemastian kesiagaan sistem informasi
d. pemastian memenuhi peraturan, hukum, dan bakuan yang berlaku.
4.Aspek Keamanan sistem informasi
Garfinkel
mengemukakan bahwa keamanan komputer (computer security)
melingkupi empat aspek, yaitu privacy, integrity, authentication, dan
availability. Selain keempat hal di atas, masih ada dua aspek lain yang
juga sering dibahas dalam kaitannya dengan electronic commerce, yaitu access
control dan non-repudiation
*
Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality
adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses.
Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality
biasanya berhubungan dengan data yang diberikan ke pihak lain untuk
keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis)
dan hanya diperbolehkan untuk keperluan tertentu tersebut.
Contoh hal yangberhubungan dengan privacy
adalah e-mail seorang pemakai tidak boleh dibaca oleh administrator. Contoh
confidential information adalah data-data yang sifatnya pribadi seperti nama, tempat
tanggal lahir, social security number, agama, status perkawinan,
penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan
data-data yang ingin diproteksi penggunaan dan
penyebarannya. Contoh lain dari confidentiality adalah daftar pelanggan dari
sebuah Internet Service Provider (ISP).
*Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus
dihadapi. Sebuah e-mail dapat saja “ditangkap” di tengah jalan, diubah isinya kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini.
Salah
satu contoh kasus adalah trojan horse dengan distribusi paket program TCP
Wrapper (yaitu program populer yang dapat digunakan untuk mengatur dan
membatasi akses TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggung
jawab. Jika anda memasang program yang berisi trojan horse tersebut, maka
ketika anda merakit (compile) program tersebut, dia akan mengirimkan eMail
kepada orang tertentu yang kemudian memperbolehkan dia masuk ke sistem anda.
Contoh serangan lain adalah yang disebut “man in the middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai
orang lain.
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi
betul-betul asli, orang yang mengakses atau memberikan informasi adalah
betul-betul orang yang dimaksud, atau server yang kita hubungi adalah
betul-betul server yang asli. Masalah pertama, membuktikan keaslian dokumen,
dapat dilakukan dengan teknologi watermarking dan digital signature. Watermarking
juga dapat digunakan untuk menjaga “intelectual property”, yaitu dengan
menandai dokumen atau hasil karya dengan “tanda tangan” pembuat. Masalah kedua
biasanya berhubungan dengan access control, yaitu berkaitan dengan pembatasan
orang yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan
bukti bahwa memang dia adalah pengguna yang sah, misalnya dengan menggunakan
password, biometric (ciri-ciri khas orang), dan sejenisnya. Ada tiga hal yang
dapat ditanyakan kepada orang untuk menguji siapa dia:
§ What you have (misalnya kartu ATM)
§ What you know (misalnya PIN atau password)
§ What you are (misalnya sidik jari, biometric)
Penggunaan
teknologi smart card, saat ini kelihatannya dapat meningkatkan keamanan aspek
ini. Secara umum, proteksi authentication dapat menggunakan digital
certificates. Authentication biasanya
diarahkan kepada orang (pengguna), namun tidak pernah ditujukan kepada
server atau mesin. Pernahkan kita bertanya bahwa mesin ATM yang sedang kita
gunakan memang benar-benar milik bank
yang bersangkutan? Bagaimana jika ada orang nakal yang membuat mesin seperti ATM sebuah bank dan meletakkannya di tempat umum? Dia dapat menyadap data-data (informasi yang ada di magnetic strip) dan PIN dari orang yang tertipu. Memang membuat mesin ATM palsu tidak mudah. Tapi, bisa anda bayangkan betapa mudahnya membuat web site palsu yang menyamar sebagai web site sebuah bank yang memberikan layanan Internet Banking. (Ini yang terjadi dengan kasus klikBCA.com.)
yang bersangkutan? Bagaimana jika ada orang nakal yang membuat mesin seperti ATM sebuah bank dan meletakkannya di tempat umum? Dia dapat menyadap data-data (informasi yang ada di magnetic strip) dan PIN dari orang yang tertipu. Memang membuat mesin ATM palsu tidak mudah. Tapi, bisa anda bayangkan betapa mudahnya membuat web site palsu yang menyamar sebagai web site sebuah bank yang memberikan layanan Internet Banking. (Ini yang terjadi dengan kasus klikBCA.com.)
*Availability
Aspek
availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika
dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau
meniadakan akses ke informasi. Contoh hambatan adalah serangan yang sering disebut dengan “denial of service attack” (DoS
attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubitubi
atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan
lain atau bahkan sampai down, hang, crash. Contoh lain adalah adanya mailbomb,
dimana seorang pemakai dikirimi e-mail bertubi-tubi dengan ukuran yang besar
sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses
e-mailnya . Bayangkan apabila anda dikirimi 5000 email dan anda harus mengambil
(download) email tersebut melalui telepon dari rumah. Serangan terhadap
availability dalam bentuk DoS attack merupakan yang terpopuler pada saat naskah
ini ditulis. Pada bagian lain akan dibahas tentang serangan DoS ini secara lebih rinci.
Tidak ada komentar:
Posting Komentar