Pengelolaan terhadap keamanan dapat di lihat dari sisi pengelolaan resiko (risk management). Lawrie Brown dalam “”Lecture Notes for Use with Cryptografy and Network Security by Willism Stalling” menyarankanmenggunakan “Risk Management Model” untuk menghadapi ancaman (managing threats).
Terkadang seringkali kita menemui kesulitan dalam membujuk pihak
management perusahaan/pemilik sistem informasi untuk melakukan investasi
di bidang keamanan. ada tiga (3) komponen yang memberikan kontribusi
pada risk (resiko) yaitu:
- Assets (aset) seperti hardware, software, dokumentasi, data, komunikasi, lingkungan, manusia.
- Threats (Ancaman) seperti pemakai (users), teroris, kecelakaan (accidents), crackers, penjahat kriminal, nasib (acts of God), intel luar negeri (foreign intelligence).
- Vulneralbilities (kelemahan) seperti software bugs, hardware bugs, radiasi (dari layar, transmisi), tapping, crosstalk, unauthorized users cetakan, hardcopy atau
print out, keteledoran (oversight), cracker via telepon, storage media.
Untuk menanggulanginya hal-hal yang harus dilakukan adalah:
- Usaha untuk mengurangi Threats.
- usaha untuk mengurahi Vulneralbility.
- usaha untuk mengurangi dampak yang terburuk.
- mendeteksi kejadian yang tidak bersahabat/janggal.
- kembali (recover) kejadian.
Jumlah kejahatan komputer terutama yang berhubungan dengan sistem
informasi semakin meningkat dikarenakan beberapa hal, diantaranya
adalah:
- Aplikasi Bisnisyang berbasis kepada teknologi informasi dan jaringan komputer semakin meningkat.
- Desentralisasi server menyebabkan lebih banyak sistem yang harus ditangani. Hal ini membutuhkan banyak operator dan administrator yang handal yang juga kemungkinan harus disebar di seluruh lokasi padahal mencari operator dan administrator yang handal lumayan sulit.
- Transisi dari Single Vendor ke Multi Vendor sehingga lebih banyak sistem/perangkat yang harus harus dimengerti dan masalah Interoperability antar vendor sulit untuk ditangani.
- Meningkatnya kemampuan pemakai di bidang komputer sehingga banyak user yang mencoba untuk bermain atau membongkar sistem yang digunakannya.
- Penegak hukum menemui kesulitan dalam mengejar pelaku kejahatan komputer.
- Semakin kompleksnya sistem yang digunakan sehingga semakin besar probabilitas terjadi lubang keamanan yang disebabkan kesalahan pemrograman.
KlasifikasiKejahatan Komputer
Berdasarkan lubang keamanan,keamanan dapat diklasifikasikan menjadi empat, yaitu
- Keamanan Yang Bersifat Fisik (physical security) :termasuk akses orang ke gedung,peralatan, dan media yang digunakan.
- Keamanan Yang Berhubungan Dengan Orang (Personel) : termasuk identifikasi, dan profil resiko dari orang yang mempunyai akses (pekerja).
- Keamanan dari data media serta teknik komnukasi(Communication) : termasuk juga kelemahan dalam software yang digunakan untuk mengelola data.
- Keamanan dalam Operasi : Termasuk kebijakan (policy) dan prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan dan juga termasuk prosedur setelah serangan (post Attack Recovery).
Aspek dari Keamanan Jaringan
Garfinkel dalam “Practical UNIX & Internet Security” mengemukakan
bahwa keamanan komputer(computer security) melingkupi empat aspek,yaitu
privacy,integrityt,authentication dan availability.
selain hal di atas ada dua aspek yang ada kaitannya dengan electronic commerce yaitu acces control dan non-repudiation.
selain hal di atas ada dua aspek yang ada kaitannya dengan electronic commerce yaitu acces control dan non-repudiation.
- Privacy/Confidentiality
Adalah usaha untuk menjaga informasi dari orang yang tidak berhak
mengakses,Privacy lebih kearah data-data yang sifatnya privat sedangkan
confidentiality berhubungan dengan data yang diberikan ke pihak lain
untuk keperluan tertentu.
- Integiry
Aspek ini menekankan informasi tidak boleh diubah tanpa seijin pemilik informasi.
Serangan : virus,trojan horse atau pemakai lain yang mengubah informasi tanpa izin merupakan contoh Masalah Yang Harus dihadapi. sebuah e-mail dapat saja “ditangkap”(intercept) di tengah jalan,diubah isinya(altered,tempered,modified) kemudian diteruskan ke alamat yang dituju. penaggulangan : penggunaan enkripsi dan digital signature.
Serangan : virus,trojan horse atau pemakai lain yang mengubah informasi tanpa izin merupakan contoh Masalah Yang Harus dihadapi. sebuah e-mail dapat saja “ditangkap”(intercept) di tengah jalan,diubah isinya(altered,tempered,modified) kemudian diteruskan ke alamat yang dituju. penaggulangan : penggunaan enkripsi dan digital signature.
- Authentication
Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi
betul-betul asli,orang yang mengakses atau memberikan informasi adalah
betul betul orang yang dimaksud atau Server Yang Kita Hubungi Adalah
betul-betul server asli.
Penanggulangan :
- Membuktikan keaslian dokumen dengan teknologi watermarking dan digital signature.Watermaking dapat digunakan untuk menjaga “Intelectual Property”,Yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan” pembuat.
- Acces Control, Yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi.
- Availability
Aspek avaibility atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan.
sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi.
Serangan :
sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi.
Serangan :
- “Denial Of Service Attack”(DoS Attack)
- Mailbomb
- Access Control
Aspek ini berhubungan dengan cara pengaturan akses kepada
informasi.hal ini biasanya berhubungan dengan klasifikasi
data(public,private,confidential,top secret) dan user(quest,admin,top
manager,dsb).
- Non-Repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi,sebagai contoh,seseorang yang mengirimkan email untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan email tersebut. Penggunaan digital signature,certifiates , dan teknologi kriptografi secara umum dapat menjaga aspek ini.
Akan tetapi hal ini masih harus didukung oleh hukum sehingga status dari digital signature itu jelas legal.
Aspek Serangan
1.Interruption
Suatu aset dari suatu sistem diserang sehingga menjadi tidak tersedia
atau tidak dapat dipaikai oleh yang berwenang. Contohnya adalah
perusakan/modifikasi terhadap piranti keras atau saluran jaringan.
2.Interception
Suatu pihak yang tidak berwenang mendapatkan akses padasuatu aset. Pihak yang
dimaksud bisa berupa orang, program, atau sistem yang lain. Contohnya adalah penyadapan
terhadap data dalam suatu jaringan.
3.Modification
Suatu pihak yang tidak berwenang dapat melakukan perubahan terhadap suatu aset.
Contohnya adalah perubahannilai pada file data, modifikasi program sehingga berjalan
dengan tidak semestinya, dan modifikasi pesan yang sedang
ditransmisikan dalam jaringan.
4.Fabrication
Suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem.
Contohnya adalah pengiriman pesan palsu kepada orang lain.
Tidak ada komentar:
Posting Komentar