Pengendalian Keamanan - STUDI IMPLEMENTASI KEAMANAN BASIS DATA DENGAN DATABASE VAULT PADA ORACL

Pengendalian keamanan berbasis komputer yang telah banyak digunakan antara lain:

- Autorisasi (authorization)

Pemberian hak yang memungkinkan seseorang secara sah mengakses sistem atau objek (tabel, view, aplikasi, prosedur, objek lain dalam sistem).

Kendali autorisasi (kontrol akses) dapat dibangun pada perangkat lunak dengan 2 fungsi:

1. Mengendalikan sistem atau obyek yang dapat diakses. 2. Mengendalikan bagaimana pengguna menggunakannya.

Teknik kontrol akses yang sering digunakan: Mandatory access control

Memberikan sebuah label keamanan terhadap semua subyek dan obyek yang ada dalam sebuah sistem

Tabel 2.2 Klasifikasi data komersial

Clasification Description

Public Data tidak di lindungi dimanapun Sensitive

Informasi bisa berpengaruh terhadap bisnis dan kepercayaan

public jika tidak dilindungi dengan baik Private

Informasi personal yang bisa berakibat negatif terhadap

seseorang jika bocor Confidential

Informasi perusahaan yang bisa berakibat negatif terhadap

organisasi jika bocor

Directional access control

Mempergunakan identitas dari subyek untuk menentukan apakah permintaan akses tersebut akan dipenuhi atau di tolak. Metode ini lebih mudah di implementasikan dan lebih fleksibel. Setiap obyek memiliki permissions, yang menentukan user atau group yang bisa melakukan akses terhadap obyek.

Non-discretionary access control

Tipe kontrol akses ini cocok dipakai pada kasus high turnover atau reassginments. Ketika security di asosiasikan kedalam sebuah role atau task, mengganti orang yang mengerjakan tugas membuat security administration lebih mudah.

Penentuan administrasi kontrol akses: Centralized access control

Memerlukan sebuah pusat keamanan yang bisa menentukan apakah sebuah permintaan akan disetujui atau ditolak. Pendekatan ini sangat mudah karena obyek hanya di pelihara pada lokasi yang tunggal. Salah satu kelemahannya adalah central access control bisa menjadi sebuah single point of failure. Jika central access control rusak, maka semua obyek tidak akan bisa diakses. Dampak negatif yang lainnya adalah dalam masalah perfomance, jika sistem tidak bisa memenuhi semua permintaan dari user

Decentralized access control

Meletakan tanggung jawab dari lebih dekat terhadap obyek. Pendekatan ini memerlukan lebih banyak administrasi daripada centralized access control karena sebuah obyek mungkin saja memerlukan kondisi yang sangat aman pada lokasi tertentu. Tapi hal ini bisa lebih stabil karena tidak ada Single Point Of Failure. Decentralized Access Control biasanya diimplementasikan memakai security domain. Security domain adalah bagian sebuah kepercayaan, atau koleksi dari obyek dan subyek, yang mendefinisikan access rule dan permisions. Subyek harus termasuk dalam domain tersebut. Pendekatan ini bisa memudahkan untuk mengeluarkan subyek yang dicurigai, tetapi bisa membuat

administrasi secara umum lebih sulit karena berbagai macam variasi dari peraturan keamanan.

Model-model akses control

Menyediakan view konseptual dari kebijakan keamanan. Hal ini akan mengijinkan kita untuk melakukan pemetaan antara tujuan dan petunjuk dari kebijakan keamanan anda terhadap event yang spesifik. Proses dari pemetaan ini memungkinkan terbentuknya definisi formal dan spesifikasi yang diperlukan dalam melakukan kontrol terhadap keamanan. Singkatnya, access control model memungkinkan untuk memilah kebijakan keamanan yang kompleks menjadi langkah–langkah keamanan yang lebih sederhana dan terkontrol

State Machine Model

Kumpulan dari defined instances, yang disebut state, dan sebuah transisi yang spesifik yang diijinkan untuk melakukan modifikasi terhadap obyek dari satu state ke state berikutnya. State machine sering dipakai untuk real-life entities ketika state yang spesifik dan transisinya ada dan dimengerti. Ketika sebuah subyek meminta untuk membaca sebuah obyek, harus ada sebuah transisi yang mengijinkan untuk merubah sebuah obyek yang closed menjadi open obyek.

Model state machine yang membuat daftar kontrol akses dan label keamanan untuk mengimplementasikan keamanan objek.

Model Biba

Dibangun berbasis model state machine dan mendefinisikan state dan transisi yang berfokus pada integritas data, bukan kerahasiaan. Fokus utamanya adalah untuk menjamin bahwa subyek yang tidak memiliki otoritas tidak dapat melakukan perubahan terhadap obyek.

Model Clark-Wilson

Tidak berbasis pada model state machine. Model ini menggunakan pendekatan yang berbeda untuk menjamin integritas data. Model Clark-Wilson tidak melakukan pemberian akses suatu subjek terhadap obyek, melainkan memblok semua akses terhadap sejumlah kecil program akses yang dikontrol secara ketat. Pendekatan ini berhasil dalam aplikasi komersial dimana integritas data seringkali lebih penting daripada kerahasiaan data secara keseluruhan. Model Noninterference

Menjamin bahwa perubahan pada sustu tingkat keamanan tidak mengorbankan level keamanan lainnya dan mempengaruhi suatu objek dalam konteks yang lain. Dasar pemikiran dari model noninterference adalah bahwa setiap tingkatan keamanan memiliki perbedaan dan perubahan tidak

akan berpengaruh terhadap tingkatan lain. Jaminan ini mempersempit cakupan suatu perubahan dan mengurangi kemungkinan bahwa suatu perubahan memiliki efek samping yang tidak disengaja. Dengan menutup kemungkinan modifikasi terhadap tingkatan keamanan tertentu, model ini dapat memlihara integritas dan kerahasasiaan data.

Autentifikasi

Mekanisme yang menentukan siapakah seseorang tersebut.

Masing-masing pengguna telah diberikan identifikasi unik yang digunakan sistem operasi untuk menentukan siapakah pengguna tersebut.

Tabel 2.3 Tipe-tipe autentifikasi

Authentification Type Description Examples

Type 1 What you know ^{Password, passphrase, PIN, lock} combination

Type 2 What you have Smart card, token device

Type 3 What you are

Biometrics – fingerprint, palm print, retina/iris pattern, voice pattern

- Tabel views

Merupakan metode pembatasan bagi pengguna untuk mendapatkan model database yang sesuai dengan kebutuhan perorangan. Metode ini dapat menyembunyikan data yang tidak digunakan atau tidak perlu dilihat oleh pengguna.

Contoh pada database relasional, untuk pengamanan dilakukan beberapa level:

Relasi, pengguna diperbolehkan atau tidak diperbolehkan mengakses langsung suatu relasi.

View, pengguna diperbolehkan atau tidak diperbolehkan mengakses data yang terdapat pada view.

Read Authorization, pengguna diperbolehkan membaca data, tetapi tidak dapat memodifikasi.

Insert Authorization, pengguna diperbolehkan menambah data baru, tetapi tidak dapat memodifikasi data yang sudah ada.

Update Authorization, pengguna diperbolehkan memodifikasi data, tetapi tidak dapat menghapus data.

Delete Authorization, pengguna diperbolehkan menghapus data.

Untuk Modifikasi data terdapat autorisasi tambahan:

Index Authorization, pengguna diperbolehkan membuat dan menghapus index data.

Resource Authorization, pengguna diperbolehkan membuat relasi-relasi baru.

Alteration Authorization, pengguna diperbolehkan menambah atau menghapus atribut suatu relasi.

Drop Authorization, pengguna diperbolehkan menghapus relasi yang sudah ada.

Contoh perintah menggunakan SQL :

GRANT : memberikan wewenang kepada pemakai

Syntax : GRANT <priviledge list> ON <nama relasi/view> TO <pemakai>

Contoh :

GRANT SELECT ON S TO BUDI

GRANT SELECT, UPDATE (STATUS,KOTA) ON S TO ALI,BUDI

REVOKE : mencabut wewenang yang dimiliki oleh pemakai Syntax: REVOKE <priviledge list> ON <nama relasi/view> FROM <pemakai>

Contoh:

REVOKE SELECT ON S TO BUDI

REVOKE SELECT, UPDATE (STATUS,KOTA) ON S TO ALI,BUDI

Priviledge list: READ, INSERT, DROP, DELETE, ALTERATION, RESOURCE

- Backup data dan recovery

Backup: proses secara periodik untuk mebuat duplikat dari database dan melakukan logging file (atau program) ke media penyimpanan eksternal.

Jurnaling: proses menyimpan dan mengatur log file dari semua perubahan yang dibuat di database untuk proses recovery yang efektif jika terjadi kesalahan.

Isi Jurnal:

1. Record transaksi

- Identifikasi dari record.

- Tipe record jurnal (transaksi start, insert, update, delete, abort, commit)

- Item data sebelum perubahan (operasi update dan delete) - Item data setelah perubahan (operasi insert dan update) - Informasi manajemen jurnal (misal : pointer sebelum dan

record jurnal selanjutnya untuk semua transaksi

2. Record checkpoint: suatu informasi pada jurnal untuk memulihkan database dari kegagalan, kalau sekedar undo (seperti fungsi yang dimiliki pada ms.excel) akan sulit jurnal untuk mencarinya kembali, maka untuk membatasi pencarian menggunakan teknik ini.

Pemulihan (recovery): merupakan upaya uantuk mengembalikan basis data ke keadaaan yang dianggap benar setelah terjadinya suatu kegagalan.

Jenis Pemulihan:

- Pemulihan terhadap kegagalan transaksi: kesatuan prosedur alam program yang dapat mengubah / memperbarui data pada sejumlah tabel.

- Pemulihan terhadap kegagalan media: pemulihan karena kegagalan media dengan cara mengambil atau memuat kembali salinan basis data (backup).

- Pemulihan terhadap kegagalan sistem: karena gangguan sistem, hang, listrik terputus alirannya.

Fasilitas pemulihan pada DBMS :

- Mekanisme backup secara periodik

- Fasilitas logging dengan membuat track pada tempatnya saat transaksi berlangsung dan pada saat database berubah. - Fasilitas checkpoint, melakukan update database yang

terbaru.

- Manager pemulihan, memperbolehkan sistem untuk menyimpan ulang database menjadi lebih konsisten setelah terjadinya kesalahan.

Teknik Pemulihan :

- Defered upate / perubahan yang ditunda: perubahan pada DB tidak akan berlangsung sampai transaksi ada pada poin disetujui (COMMIT). Jika terjadi kegagalan maka tidak akan terjadi perubahan, tetapi diperlukan operasi redo (terdapat pada redo log file) untuk mencegah akibat dari kegagalan tersebut.

- Immediate Upadate / perubahan langsung: perubahan pada DB akan segera tanpa harus menunggu sebuah transaksi tersebut disetujui. Jika terjadi kegagalan diperlukan operasi UNDO untuk melihat apakah ada transaksi yang telah disetujui sebelum terjadi kegagalan.

- Shadow Paging: menggunakan page bayangan dimana pada prosesnya terdiri dari 2 tabel yang sama, yang satu menjadi tabel transaksi dan yang lain digunakan sebagai cadangan. Ketika transaksi mulai berlangsung kedua tabel ini sama dan selama berlangsung tabel transaksi yang menyimpan semua perubahan ke database, tabel bayangan akan digunakan jika terjadi kesalahan. Keuntungannya adalah tidak membutuhkan REDO atau UNDO, kelemahannya membuat terjadinya fragmentasi.

- Kesatuan data dan Enkripsi

Enkripsi: keamanan data, pengkodean data dengan algoritma khusus sehingga data tidak dapat dibaca oleh program tanpa kunci dekripsi, memproteksi data yang ditransmisikan melalui jalur komunikasi

Integritas: metode pemeriksaan dan validasi data (metode integrity constrain), yaitu berisi aturan-aturan atau batasan-batasan untuk tujuan terlaksananya integritas data.

Konkuren: mekanisme untuk menjamin bahwa transaksi yang konkuren pada database multi user tidak saling menganggu operasinya masing-masing. Adanya penjadwalan proses yang akurat (time stamping).

RAID terdiri atas array disk, meningkatkan keandalan atau kinerja dengan data stripping, penyimpanan informasi redundan dengan skema error-correcting

Level pada RAID :

RAID 0 - nonredundant, pada level ini tidak ada redundansi data dan memiliki performa yang paling baik karena tidak harus di replikasi.

RAID 1 – mirrored, dilakukan mirroring pada data .

RAID 0+1 – nonredudant dan mirrored, merupakan penggabungan stripping dan mirroring.

RAID 2 – memory-style-error-correcting codes, stripping unit adalah bit tunggal dan hamming code digunakan sebagai skema redundansi

RAID 3 – bit interleaved parity, redundansi dengan menyimpan informasi parity pada disk tunggal di array. RAID 4 – block interleaved parity, stripping unit adalah disk block.

RAID 5 – block interleaved distributed parity, menggunakan data parity untuk redundansi.

RAID 6 – P+Q redundancy, mirip dengan RAID 5 tapi penambahan data redundan digunakan untuk proteksi akan kegagalan disk.

- Tiga prinsip dasar yang digunakan untuk menetapkan pengendalian integritas adalah:

Memberikan akses dalam kerangka need-to-know basis User seharusnya hanya diberikan akses terhadap file dan program yang mereka butuhkan untuk melakukan fungsi -fungsi pekerjaan mereka. Keleluasaan akses terhadap data produksi atau source code oleh user seharusnya diperketat menggunakan metode transaksi, dimana dapat memastikan bahwa user dapat mengubah data hanya dalam cara yang terkontrol dengan baik sehingga menjaga integritas data. Elemen umum dari metode transaksi ini adalah pencatakan modifikasi data dalam sebuah log, yang dapat diperiksa lebih lanjut untuk memastikan bahwa hanya perubahan yang diotorisasi dan benar saja yang dilakukan didalam sistem. Agar lebih efektif, metode transaksi ini harus memastikan bahwa data hanya dapat dimanipulasi menggunakan program – program tertentu saja. Program-program tersebut harus diawasi secara hati-hati, baik dalam pengembangan dan instalasinya, dan diterapkan pengendalian untuk mencegah modifikasi yang tidak terotorisasi. Karena user harus dapat bekerja secara efisien, hak akses harus diberikan secara bijaksana sehingga memungkinkan fleksibilitas operasional yang memadai. Akses berdasarkan need to - know basis ini harus

memungkinkan terjadinya kontrol maksimal dengan pembatasan seminimal mungkin terhadap user. Setiap inisiatif keamanan informasi harus menerapkan keseimbangan yang baik antara tingkat keamanan yang ideal dan produktivitas kerja

Pemisahan tugas (separation of duties)

Untuk memastikan di bahwa tidak satu orang karyawan pun yang mengendalikan sebuah transaksi dari awal sampai akhir, dua atau lebih orang harus bertanggung jawab untuk melakukannya.

Rotasi Tugas

Penugasan suatu pekerjaan harus diubah-ubah secara periodik sehingga mempersulit user dalam berkolaborasi untuk mengendalikan sepenuhnya sebuah transaksi dan mengalihkannya untuk tujuan-tujuan terlarang.

- Metode Penyerangan yang umum dilakukan untuk mengakses objek:

Brute Force Attack

Tujuan dari serangan ini adalah mencoba beberapa kombinasi karakter yang memenuhi otentikasi tipe 1. Seringkali disebut menebak password, sebuah program mengirim beberapa login percobaan, masing-masingnya dengan password yang sedikit berbeda. Sebagai tambahan atas serangan sendiri, atur level sistem monitor untuk

memberi tahu ketika aktifitas yang tidak umum sedang terjadi. Ide bagus juga untuk mengatur level penguncian ke tingkat yang agresif sehingga account terkunci setelah beberapa kegagalan login. Hal ini akan merepotkan bagi pemakai yang melupakan password-nya, tetapi hal ini menyediakan pertahanan yang baik terhadap brute force attack.

Dictionary Attack

Merupakan turunan dari brute force attack. Sebagai ganti dari mencoba semua kombinasi password, dictionary atack mencoba untuk memenuhi permintaan password dengan memberikan password umum dari sebuah daftar atau kamus. Banyak daftar dari password yang umum digunakan mudah untuk dicari. Meskipun mereka membuat sumber yang bagus untuk dictionary attack, mereka juga menyediakan contoh password yang dihindari. Pada kenyataannya, salah satu cara terbaik untuk mencegah dictionary attack adalah dengan kebijakan password yang ketat.

Spoofing Attack

Tipe lain dari serangan kontrol akses adalah login spoofing. Seorang penyerang meletakkan program login palsu yang meminta kepada pemakai, user ID dan password. Tampilannya seperti login normal, sehingga pemakai

memberikan informasi yang diminta. Alih-alih memasukkan pemakai ke dalam sistem, program tersebut menyimpan informasi dan menampilkan pemberitahuan bahwa login gagal. Pertahanan terbaik melawan serangan jenis ini adalah membangun jalur yang terpercaya antara pemakai dan server ketika memungkinkan. Lakukan percobaan untuk meminimalkan peluang bagi penyerang untuk masuk antara pemakai dan server. Didalam lingkungan dimana keamanan menjadi sangat penting, pemakai harus dengan hati-hati mempelajari semua percobaan login yang gagal dan memastikan kegagalan tersimpan dan dilaporkan.

Trojan Horse

Cara yang sering digunakan penyusup untuk menjebak user agar menginstall program yang membuka pintu belakang di sistem yang digunakan, sehingga penyusup tersebut dapat dengan mudah mengakses komputer milik user tanpa sepengetahuan pemiliknya. Kemudian, penyusup tersebut bisa melakukan perubahan konfigurasi sistem atau menularkan virus ke komputer tersebut.

Back Door dan Remote Administration Program

Di komputer yang menggunakan operating system, pada umumnya penyusup menggunakan tiga tool, back Orificem Netbus, dan Sub Seven untuk mendapatkan akses ke

komputer secara remote. Setelah diinstall, back door atau remote administration program ini memungkinkan orang lain untuk mengakses dan mengendalikan komputer tersebut. Platform komputer lainnya mungkin juga memiliki kelemahan terhadap model serangan seperti ini, sehingga user harus selalu memantau laporan-laporan mengenai vulnerability dari sistem yang digunakan.

Denial of Service

Ini adalah tipe serangan yang menyebabkan komputer crash atau menjadi sangat sibuk memproses data, sehingga user tidak mempergunakannya. Umumnya, serangan seperti ini bisa diatasi dengan menginstall patch terakhir dari sistem yang digunakan.

Pencurian Identitas

Informasi yang disimpan dalam sebuah home computer bisa menjadi sumber informasi pribadi yang mencukupi bagi para penyusup untuk mendaftarkan kartu kredit atau identitas lainnya, dengan mengatasnamakan korban tersebut Tunneling

Saat karyawan bekerja di rumah dan mengirimkan file ke sebuah komputer di kantor, ada potensi bahwa sesorang dapat mengakses home computer tersebut dan menyusupkan file rahasia didalam sebuah dokumen yang nantinya disimpan di dalam sistem milik perusahaan.

Dalam dokumen STUDI IMPLEMENTASI KEAMANAN BASIS DATA DENGAN DATABASE VAULT PADA ORACLE DATABASE 10G RELEASE 2. Laporan Tugas Akhir (Halaman 23-40)