RANCANGAN PENGAMANAN SISTEM INFORMASI PADA
PERANGKAT ANDROID
Prasetyo Adi Wibowo Putro
Sekolah Tinggi Sandi Negara
JL Raya H. Usa, Putat Nutug, Ciseeng, Bogor prasetyo.adi@stsn-nci.ac.id
Abstract
The development of android devices now provide new functionality as tablets, smartphones, and computers. With little resources, android devices provide high mobility. The need for information systems also began to be applied on android devices. Web-based information system will work best if the security is properly managed. This study intends to find a good security design for the information system that is installed on android-based devices. The designwas made by identifying design security security on two systems that have been studied for the information security. Subsequently we identified what technology will be used to implement the design on android devices. As the result showed that all the design in the area of network security and physical can be implemented android device. In addition to the value of the security we also recommended a audit model to comply security in personnel area.
Keywords: android, security, information system
Abstrak
Perkembangan perangkat android saat ini sudah memberikan fungsi baru perangkat android sebagai tablet, smartphone, dan komputer. Dengan sumber daya yang kecil, perangkat android memberikan mobilitas yang tinggi. Kebutuhan akan sistem informasi juga mulai diterapkan pada perangkat android. Sistem Informasi berbasis Web akan berfungsi maksimal jika pengamanannya dikelola dengan baik. Penelitian ini bermaksud mencari rancangan pengamanan yang baik untuk sistem informasi yang dipasang pada perangkat berbasis android. Rancangan pengamanan dibuat dengan mengidentifikasi rancangan pengamanan pada dua sistem informasi yang sudah diteliti keamanannya. Selanjutnya diidentifikasi teknologi apa yang akan digunakan untuk mengimplementasikan rancangan tersebut pada perangkat android. Sebagai hasil penelitian didapatkan bahwa semua rancangan pengamanan di sektor jaringan dan fisik dapat diimplementasikan pada perangkat android. Sebagai tambahan nilai keamanan juga direkomendasikan model audit keamanan untuk jaminan keamanan di sektor pengamanan personil.
1.PENDAHULUAN
Perkembangan teknologi mobile tidak hanya menyentuh pada kebutuhan pengguna (end user). Dengan adanya smartphone yang memiliki karakteristik perangkat keras menyerupai komputer, satu persatu fungsi komputer mulai coba dipindahkan ke
smartphone. Perangkat komunikasi smartphone yang semula dibuat untuk kebutuhan
pribadi pengguna, saat ini sudah menyediakan fasilitas perkantoran.
Salah satu fungsi komputer yang menarik untuk dipindahkan ke perangkat bergerak adalah sebagai server. Sebagai server sebuah komputer dapat menyediakan layanan sistem informasi. Jika selama ini sebuah sistem informasi identik dengan kebutuhan minimal laptop sebagai sebuah server maka dengan menggunakan perangkat bergerak, siapa saja dapat menjadikan smartphonenya sebagai server. Smartphone
dengan sistem operasi seperti android misalnya, dengan karakteristiknya yang menyerupai sistem operasi linux maka banyak fitur dari linux yang diadopsi oleh perangkat android. Salah satu fitur linux yang diadopsi di android adalah sebagai web server. Sebagai web server, perangkat android dapat difungsikan sebagai server sistem informasi.
Keberadaan server tentu saja tidak bisa dipisahkan dari pengamanannya. Perpindahan server dari komputer ke perangkat bergerak tentu saja tidak hanya mensyaratkan layanan dapat dipindahkan dari komputer ke perangkat bergerak namun pengamanannya juga. Untuk dapat dengan yakin memindahkan layanan server dari komputer ke perangkat bergerak, perlu dibuat rancangan layanan pengamanan pada sistem informasi pada perangkat android
2.METODE PENELITIAN
Kebutuhan pengamanan sistem infromasi diidentifikasi dari dua penelitian yaitu perancangan secure electronic archive dan perancangan secure electronic health record
information system sebagaimana terlihat pada gambar 1. Dari dua penelitian tersebut
2.1. Kebutuhan Pengamanan Pada Secure Elektronik Archive
Perancangan sistem informasi Secure Electronic Archive (SEA) mengacu pada metodologi pengembangan sistem Framework for the Application of System Technology
(FAST)[4].FAST dilakukan hingga tahap keenam yaitu scope definition (definisi lingkup), problem analysis (analisa masalah), requirement analysis (analisa kebutuhan),
logical design (desain logis), decision analysis (analisa keputusan), dan physical design
and integration (desain fisik dan integrasi). Pada tahap requirement analysis digunakan
diagram pareto untuk membantu mendefinisikan kebutuhan sistem dengan memusatkan persoalan utama pada pengarsipan.
Keamanan sistem informasi SEA dibagi menjadi tiga yaitu network security,
computer security, dan application security. Diakhir penelitian dihasilkan project
charter, kebutuhan sistem, Data Flow Diagram, Physical Data Flow Diagram, Entitiy
Relational Diagram dengan normalisasi hingga 3NF, desain antarmuka sistem, dan
rekomendasi keamanan sistem informasi SEA.
Pada network security, perancangan sistem informasi SEA merekomendasikan pengamanan jaringan menggunakan SSL VPN untuk pengamanan jaringan intranet. Arsitektur SSL VPN pada perancangan Sistem Informasi SEA dapat dilihat pada gambar 2. Pada computer security di persayaratkan adanya password dan antivirus sedangkan pada application security dipersyaratkan kendali akses dan pengamanan
database. Penggunaan kerberos dan captcha untuk pembuktian keaslian pengguna pada
skema kendali akses. Sedangkan pengamanan penyimpanan database pada sistem informasi SEA menggunakan metode enkripsi algoritma AES 256 bit.
Internet Firewall
Database server Microsoft SQL Server 2008
Aplikasi SEA Hub Switch 16 Port10/100 Mbps
Pengelola Sistem
Firewall Firewall
SSL VPN Appliance
SSL VPN
Sistem Informasi SEA Pengguna Sistem
Encrypted, authenticated, and authorized traffic via internet
Gambar 2. Rancangan Network Security SEA[4]
2.2. Kebutuhan Pengamanan Pada Sistem Informasi Rekam Medis
Sistem informasi rekam medik yang dirancang melibatkan beberapa user diantaranya Pimpinan RSPAD Gatot Soebroto (Kepala Rumah Sakit, Kepala Bagian INFOLAHTA, Kepala Bagian Administrasi Pasien, dan Kepala Bagian Pengamanan RSPAD Gatot Soebroto), petugas kesehatan di RSPAD Gatot Soebroto (dokter, perawat, petugas pengatur administrasi pendaftaran pasien dan petugas bagian INFOLAHTA sebagai administrator).
SQL Server Standard Edition 2008 R2. Dan dilakukan penerapan akses kontrol pada seluruh user.
Kebutuhan fungsional yang berhubungan dengan pengamanan pada sistem informasi rekam medis adalah otentikasi user dengan menggunakan proses login yaitu permintaan kepada user untuk suatu masukkan berupa user ID dan password, password disimpan dalam bentuk nilai hash, dan adanya peringatan ketika terjadi kesalahan dalam proses.
2.3. Model Pengamanan Sistem Informasi
Sistem informasi adalah sistem yang mempunyai kemampuan untuk mengumpulkan informasi dari semua sumber dan menggunakan media untuk menampilkan informasi [6]. Sistem informasi merupakan kombinasi teratur dari sumber daya manusia, hardware, software, jaringan komunikasi dan sumber daya data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi. Sistem Informasi dapat digambarkan sebagai sebuah basis data dengan serangkaian mekanisme input dan serangkaian model matematis untuk output. Basisdata adalah kumpulan seluruh sumber daya berbasis komputer milik organisasi dan sistem manajemen database adalah aplikasi perangkat lunak yang menyimpan struktur database, hubungan antar data dalam basisdata, serta berbagai formulir dan laporan yang berkaitan dengan database itu.
Ancaman terhadap keamanan sistem ada karena serangan yang mungkin terjadi terhadap sistem. Jenis serangan yang mungkin adalah [7] interruption, interception,
modification dan fabrication. Untuk mencegah ancama tersebut, maka diperlukan
keamanan sistem. Keamanan sistem dimaksudkan untuk mencapai tiga tujuan utama keamanan adalah : kerahasiaan (Confidentiality), ketersediaan (Availability), integritas
(Integrity).
Sebuah rancangan pengamanan harus mengacu pada sebuah model agar pengamanan yang diberikan sesuai suatu standar. Pengamanan pada sistem informasi dapat dikelompokan dalam tiga sektor yaitu sektor jaringan, sektor fisik dan sektor personil[2]. Setiap sektor memiliki target pengamanan yang berbeda-beda. Kebijakan, penilaian dan penentuan kendali keamanan harus dilakukan di setiap sektor untuk menjamin kerahasiaan, keutuhan dan keaslian informasi.
Pengamanan Sistem Informasi merupakan proses berkelanjutan. Sebuah rancangan pengamanan yang telah diimplementasikan harus diuji, dinilai dan diperbarui[1]. Model pengamanan sistem informasi yang baik sebaiknya memberikan pembelajaran kepada penggunanya melalui keterlibatan dalam penilaian keamanan. Proses audit dan penilaian keamanan sistem informasi akan memberikan masukan bagi pengguna sistem dan secara tidak langsung akan menumbuhkan kesadaran pengamanan personilnya.
3.HASIL DAN PEMBAHASAN
Pengamanan yang diberikan pada rancangan Secure Electronic Archive (SEA)
dan Secure Electronic Health Record Information System (SEHRIS) memiliki ruang
pengamanan yaitu pengamanan jaringan, pengamanan fisik komputer dan pengamanan aplikasi. Penggabungan rancangan pengamanan SEA dan SEHRIS akan menghasilkan rancangan pengamanan sistem informasi di sektor jaringan dan fisik aplikasi sebagaimana terlihat pada Tabel 1.
Tabel 1. Analisis Celah Pengamanan Pada SEA dan SEHRIS
Sektor Pengamanan SEA SEHRIS
Jaringan SSL VPN -
Fisik Aplikasi Password Anti Virus Kendali Akses Enkripsi Basis Data Kerberos
Capcha
Kendali Akses
Enkripsi dengan AES-256 Enkripsi dengan SHA-256
Perangkat bergerak berbasis Android memiliki beberapa keterbatasan sumber daya namun demikian, sebagai sistem operasi open source Android sudah didukung beberapa aplikasi padanan untuk aplikasi serupa yang berjalan di sistem operasi Windows atau Linux. Android juga sudah menyediakan beberapa metode enkripsi dengan algoritma standar.
Layanan sistem informasi berbasis web di perangkat android dapat dilakukan melalui aplikasi web server di Google Play seperti Paw Server[8]. Sebagaimana sebuah server, Paw Server menyediakan pengamanan berupa pembatasan hak akses pengguna sistem informasi sehingga tidak dapat mengakses tempat diluar yang sudah ditentukan. Sistem Informasi berbasis web dapat dibuat dengan bahasa pemrograman php dan basis data sqlite. Rancangan pengamanan captcha, password dan kreberos dapat diimplementasikan dalam rancangan sistem informasi. Pengamanan lain seperti kendali akses juga dapat ditambahkan dengan menggunakan pemrograman php.
Pengamanan pada basisdata SQLite sudah menyediakan enkripsi basis data berupa RC4, AES-256 dan AES-128[9]. Enkripsi SHA yang umumnya digunakan untuk pengamanan password tidak di dukung SQLite oleh karena itu solusi enkripsi password dilakukan melalui fungsi php. Antivirus untuk perangkat android dapat dengan mudah digunakan karena sebagian besar gratis dan opensystem. Walaupun demikian, antivirus untuk perangkat android masih memiliki banyak kelemahan khusunya untuk menanggulangi spyware exploit karena dari 5 antivirus hanya 2 yang dapat mengenali exploit tersebut[3].
Implementasi rancangan SSL VPN untuk perangkat android dapat menggunakan aplikasi seperti Open VPN[10]. Konfigurasi Open VPN membutuhkan sertifikat kunci publik dan untuk itu dapat diperoleh dari penyedia sertifikat kunci publik baik yang berbayar maupun gratis. Sertifikat OpenSSL juga dapat di buat sendiri dengan standar OpenSSL.
4.KESIMPULAN
Perkembangan pemrograman berbasis android memungkinkan kita untuk menyediakan layanan sistem informasi melalui perangkat android. Rancangan pengamanan sistem informasi yang diperoleh dari dua penelitian SEA dan SEHRIS sepenuhnya dapat diimplementasikan di perangkat android. Pengamanan yang diberikan oleh antivirus perangkat android hanya untuk 30% serangan oleh karena itu direkomendasikan sistem informasi untuk perangkat android hanya digunakan di jaringan tertutup dan terpercaya.
Jaminan keamanan yang diberikan masih di sektor jaringan dan fisik aplikasi. Dengan keberadaan perangkat android yang pada umumnya merupakan perangkat bergerak (mobile) maka perlu diteliti lebih jauh bagaimana rancangan pengamanan di sektor fisik perangkat android sebagai server dan pengamanan di sektor personil.
5.DAFTAR PUSTAKA
Hussain A.H. Awad and Fadi M. Battah “Enhancing Information Systems
Security in Educational Organizations in KSA through proposing security model”,
IJCSI International Journal of Computer Science Issues, Vol. 8, Issue 5, No 3, Jeddah, 2011
Abdullah Alshboul, “Information Systems Security Measures and
Countermeasures: Protecting Organizational Assets from Malicious Attacks”,
Communications of the IBIMA, Vol 2010, IBIMA Publishing, Chicago, Article ID 486878, 2010.
Rahul Ramachandran, Tae Oh and William Stackpole , “Android Anti-Virus
Analysis”, Annual Symposium On Information Assurance & Secure Knowledge
Management, JUNE 5-6 2012, New York,35-40, 2012.
Tri Agustina Rahayu, “Perancangan Sistem Informasi Secure Archive”,
Tugas Akhir Sekolah Tinggi Sandi Negara, Tidak Dipublikasikan, Bogor, 2012
Mahful Huda, “Perancangan Secure Electronic Health Record Information System”, Tugas Akhir Sekolah Tinggi Sandi Negara, Tidak Dipublikasikan, Bogor, 2011
O’Brien, James A, “Pengantar Sistem Informasi: Perspektif Bisnis dan
Manajerial 12th edition” Terjemahan Salemba Empat, Jakarta, 2005
Stallings, William, “Cryptography and Network Security Principle and
Pratices, Fourth Edition”, Prentice Hall, New Jersey, 2005
Website, Diakses tanggal 28 April 2013,
http://paw-android.fun2code.de/pdf/paw_functions.pdf
Website, Diakses tanggal 28 April 2013, http://www.sqlite.org/support.html
Website, Diakses tanggal 28 April 2013, https://code.google.com/p/ics-openvpn/