• Tidak ada hasil yang ditemukan

Modul ke 13 sim PTIK

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2018

Membagikan "Modul ke 13 sim PTIK"

Copied!
14
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 14 Halaman )

Teks penuh

(1)

Modul 13

Manejemen Sekuriti Informasi

TUJUAN INSTRUKSIONAL KHUSUS (TIK) :

Setelah mempelajari modul ke-13, mahasiswa diharapkan mampu :

 Menjelaskan pentingnya konsep keamanan informasi;

 Menjelaskan akibat tidak adanya system pengamanan informasi;

 Menjelaskan berbagai mancam jenis kejahatan yang terkait dengan system informasi;

 Menjelaskan tindak kejahatan yang terkaitan dengan kejahatan maya;

 Menjelaskan pengertian cybercrime;

 Menjelaskan dasar-dasar keamanan system informasi berbasis internet;

1.

MANAJEMEN SEKURITI INFORMASI

1.1. Pendahuluan

Berdasarkan survey Information Week (USA) : Dari 1271 manajer sistem atau network, hanya 22 % yang menganggap keamanan sistem informasi sebagai komponen penting. Dengan demikian

kesadaran akan masalah kemanan masih rendah !

Bagaimana untuk membujuk manajemen guna melakukan investasi dibidang keamanan sistem informasi ? Hal tersebut m

embutuhkan justifikasi yang memadai sehingga manajemen memandang perlunya investment infrastruktur keamanan. Selama ini, manajemen memandang hal tersebut sebagi cost, bukan sebagai investasi perusahaan.

(2)

Kejahatan komputer yang terdeteksi kurang dari 15 %, dan hanya 10 % dari angka tersebut yang dilaporkan. (FBI National Computer Crime Squad, 1996)

Dari 1000 perusahaan 48 % telah mengalami computer fraud dalam kurun waktu 5 tahun terakhir; (American Bar Association, 1996). Kejahatan komputer naik 200 % dari tahun 1995 – 1996; (NCC Information security Breaches survey, di Inggris, 1996). Kasus persidangan yang berhubungan dengan kejahatan komputer nik 950 % dari tahun 1996 – 1997 dan yang conficted dipengadilan naik 88 %; (FBI, 1997). Seorang hacker dari Massachusetts berhasil mematikan sistem telekomunikasi sebuah bandara lokal (Worchester, Mass.) sehingga memutuskan komunikasi di control tower dan menghalau pesawat yang hendak mendara; (10 Maret 1997).

Berdasarkan statistik tersebut dan keadaan serta kendala yang terjadi selama ini maka sangat sulit mencapai 100% aman. Ada timbal balik antara keamanan vs. kenyamanan (security vs. convenience). Computer security (Garfinkel & spafford) : “a computer is secure if you can depend on it and its software be have as you expect

1.2. Kejahatan Komputer

Pada awalnya istilah kejahatan maya (cyber crime) = kejahatan komputer (computer crime). Namun dengan berkembangnya teknologi informasi dan telekomunikasi, cyber crime lebih luas makna.

The U.S. Department of Justice memberikan pengertian computer crime sebagai ”…any illegal act requiring knowledge of computer technology for its perpetration, investigation, or prosecution”. Pengertian lainnya diberikan oleh Organization of European Community Development, yaitu “any illegal, unethical or unauthorized behavior relating to the automatic processing and/or the transmission of data”.

Kejahatan di bidang komputer secara umum dapat diartikan sebagai penggunaan komputer secara ilegal.

(3)

sarana/alat atau komputer sebagai objek, baik untuk memperoleh keuntungan ataupun tidak, dengan merugikan pihak lain.

Secara ringkas computer crime didefinisikan sebagai perbuatan melawan hukum yang dilakukan dengan menggunakan teknologi komputer yang canggih (Wisnubroto, 1999).

1.3. Beberapa Kejahatan Komputer

a. Unauthorized Access to Computer Sistem and Service

Kejahatan yang dilakukan dengan memasuki/ menyusup ke dalam suatu sistem jaringan komputer secara tidak sah, tanpa izin atau tanpa sepengetahuan dari pemilik sistem jaringan komputer yang dimasukinya.

b. Illegal Contents

Merupakan kejahatan dengan memasukkan data atau informasi ke internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau mengganggu ketertiban umum.

c. Data Forgery

Merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scriptless document melalui internet.

d. Cyber Espionage

Merupakan kejahatan yang memanfaatkan jaringan internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer (computer network sistem) pihak sasaran.

e. Cyber Sabotage and Extortion

(4)

f. Offense Against Intellectual Property

Kejahatan ini ditujukan terhadap hak atas kekayaan intelektual yang dimiliki pihak lain di internet. Sebagai contoh adalah peniruan tampilan pada web page suatu situs milik orang lain secara ilegal, penyiaran suatu informasi di internet yang ternyata merupakan rahasia dagang orang lain dan sebagainya.

g. Infringements of Privacy

Kejahatan ini ditujukan terhadap informasi seseorang yang merupakan hal yang sangat pribadi dan rahasia. Kejahatan ini biasanya ditujukan terhadap keterangan seseorang pada formulir data pribadi yang tersimpan secara computerized, yang apabila diketahui oleh orang lain akan dapat merugikan korban secara materil maupun immateril, seperti nomor kartu kredit, nomor PIN ATM, cacat atau penyakit tersembunyi dan sebagainya.

Berbagai macam bentuk kejahatan komputer makin hari makin meningkat. Hal tersebut dipengaruhi oleh beberapa sebab utama yaitu :

 Aplikasi bisnis yang berbasis komputer atau internet meningkat a. Electronic commerce (e-commerce)

b. Electronic data interchange (EDI)

 Desentralisasi server; lebih banyak server yang harus ditangani dan butuh lebih banyak SDM yang handal, padahal sulit mencari SDM

 Transisi dari single vendor ke multi vendor; banyak jenis perangkat dari berbagai vendor yang harus dipelajari

 Pemakai makin melek teknologi;

a. ada kesempatan untuk mencoba, tinggal download software (script kiddies)

b. Sistem administrator harus selangkah di depan

 Kesulitan penegak hukum untuk mengejar kemajuan dunia telekomunikasi dan komputer;

(5)

 Meningkatnya kompleksitas sistem; a. Program semakin besar (megabytes) b. Potensi lubang keamanan semakin besar

1.4. Klasifikasi Keamanan Sistem Informasi

Menurut David Icove :

 Keamanan yang bersifat fisik (physical security);

 Keamanan yang berhubungan dengan orang (personel security);

 Keamanan dari data dan media serta teknik komunikasi;

 Keamanan dalam operasi.

Berdasarkan Fungsinya :

a. Network security; Fokus pada saluran pembawa informasi; b. Application security; Fokus pada aplikasinya sendiri;

c. Computer security; Fokus kepada keamanan dari komputer (end sistem)

Pelayanan dari Keamanan Sistem a. Privacy / confidentiality;

Proteksi data [pribadi] yang senstif:

Nama, ttl, agama, hobby, penyakit yang pernah diderita, status perkawinan. Data pelanggan;

Sangat sensitif dalam e-commerce, dan healthcare. Serangan : sniffer.

b. Integrity;

Informasi tidak berubah tanpa izin (tampered, altered, modified) Serangan : spoof, virus, trojan horse.

c. Authentication;

(6)

Serangan : password palsu. d. Availability;

Informasi harus dapat tersedia ketika dibutuhkan.

Serangan : Denial of service (DoS) attack, dalam bentuk antara lain Server dibuat hang, down, atau crash.

e. Non-repudiation;

Tidak dapat menyangkal (telah melakukan transaksi) : - Menggunakan digital signature

- Perlu pengaturan masalaha hukum f. Access control.

Mekanisme untuk mengatur siapa boleh melakukan apa : - Biasanya menggunakan password

- Adanya kelas / klasifikasi

Jenis-jenis serangan terhadap keamanan sistem informasi (Menurut W. Stalling), yaitu :

 Interruption;

 Interception;

 Modification;

 Fabrication.

1.5. Dasar-dasar Keamanan Sistem Informasi

Kriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan agar aman. Crypto berarti secret (rahasia) dan graphy berarti tulisan (writing). Sebuah algoritma kriptografik disebut cipher, merupakan persamaan matematik yang digunakan untuk proses enkripti dan dekripsi.

Enkripsi (encryption) adalah : Proses untuk mengamankan sebuah pesan (plaintext) menjadi pesan yang tersembunyi (chipertext); disebut pula enchiper. Proses untuk mengubah chipertext menjadi plaintext disebut Dekripsi (decryption) atau dechiper. Cryptanalysist adalah seni dan ilmu untuk memecahkan ciphertext tanpa bantuan kunci. Cryptology : gabungan dari chryptography dan cryptanalysis

(7)

Untuk menyandikan data atau informasi sehingga tidak dapat dibaca oleh orang yang tidak berhak. Data disandikan (encrypted) dengan sebuah kunci (key) dan untuk membuka (decrypt) nya diguna-kan sebuah kunci yang sama (private key cryptography) atau dengan kunci yang berbeda (public key cryptography).

Fungsi Enkripsi : E(M) = C Fungsi Dekripsi : D(C) = M

dengan M = plaintext dan C = ciphertext Algoritma Enkripsi dan Dekripsi

Adalah fungsi-fungsi yang digunakan untuk melakukan fungsi enkripsi dan dekripsi (basis matematika). Kekuatan algoritma yang sangat tergantung pada pengetahuan orang terhadap algoritma yang digunakan disebut restricted algorithm.

Kekuatan penyandian tergantung pada kunci yang digunakan & panjangnya. Beberapa algoritma enkripsi memiliki kelemahan pada kunci yang digunakan. Kunci yang lebih panjang biasanya lebih aman dibandingkan dengan kunci yang lebih pendek (dalam ukuran bit)

Plaintext adalah pesan atau informasi yang akan dikirimkan dalam format yang mudah dibaca (bentuk aslinya). Ciphertext adalah informasi yang sudah dienkripsi.

Caesar cipher, digunakan oleh Julius Caesar. Prinsipnya : setiap huruf digantikan dengan huruf yang berada tiga posisi berikutnya dalam urutan alfabet. Plain : a b c d e f g h i j k l m n o …

Cipher :d e f g h i j k l m n o p q r …..

ROT 13 digunakan di sistem UNIX. Prinsipnya adalah setiap huruf digantikan dengan huruf yang letaknya 13 posisi darinya.

Secara matematis dinyatakan dengan : C = ROT13(M)

Untuk mengembalikan ke bentuk semula :

M = ROT13(C) atau

M = ROT13(ROT13(M))

(8)

Salah satu penyerangan yang dapat dilakukan adalah dengan menganalisa statistik dari frekuensi huruf yang muncul à frequency analysis.

Untuk meningkatkan keamanan, enkripsi dapat dilakukan dengan mengelompokkan beberapa huruf menjadi sebuah kesatuan (unit) yang kemudian dienkripsi. Teknik tersebut dinamakan Multiple-letter encryption.

Penggunaan Kunci

Hal-hal yang perhatian dalam penggunaan kunci, diantaranya :

 Cara untuk meningkatkan keamanaan algoritma enkripsi/dekripsi.

 Rentang dari kemungkinan angka dari kunci K disebut keyspace.

 Persamaan matematis : Ek (M) = C

Dk (C) = M

Sehingga, keamanan sistem tidak bergantung pada algoritma yang digunakan, melainkan pada kunci K yang digunakan.

Usaha untuk mencari kunci sangat bergantung pada keyspace dari kunci K yang digunakan. Bila keyspace relatif kecil maka cara mencoba semua kombinasi kunci dapat dilakukan. Sebaliknya, menjadi tidak realistis.

Pada sistem Public-key cryptography, enkripsi dan dekripsi menggunakan kunci yang berbeda. Hal tersebut menyebabkan Key management sangat baik. Pada sistem Symmetric cryptography, enkripsi dan dekripsi meggunakan satu kunci yang sama. Sehingga Enkripsi data dan

Kecepatan serta keamanan sangat baik.

Integrity Checking

Mekanisme pengujian integritas antara lain mencakup:

 Parity checking

 Checksum

 Hash function

Pengujian integritas data adalah dengan memberikan perubahan data/karakter akan memberikan hasil yang berbeda.

(9)

Fungsi yang bersifat satu arah, jika dimasukkan data maka akan menghasilkan sebuah “checksum” dari data tersebut.

Yang umum digunakan : MD5 dan SHA Evaluasi Sistem Keamanan

Alasannya :

 Ditemukannya security hole yang baru (ditimbulkan pada saat kecerobohan implementasi)

 Adanya kesalahan konfigurasi

 Adanya penambahan perangkat baru

Berdasarkan alasan yang pertama sumber security hole, diantaranya dapat berupa : a. Salah Disain (design flaw)

Jarang terjadi, sangat sulit diperbaiki, kelemahan sistem masih tetap ada (walaupun diimplemen-tasikan dengan baik).

Misal : Algoritma ROT13 & Caesar cipher, bila diketahui algoritmanya maka dengan mudah memecahkan enkripsinya.

b. Salah Implementasi

Sering terjadi, dilakukan secara tergesa-gesa, tidak ada proses cek dan testing (batas array, memfilter karakter yang aneh-aneh).

c. Salah konfigurasi

berkas yang tidak dapat diubah menjadi writeable (berkas password), program yang diset menjadi setuid root sehingga pemakai memiliki akses seperti super user (root) yang dapat melakukan apa saja.

d. Salah penggunaan

kesalahan penggunaan program oleh super user bisa berakibat fatal (rm-rf : menghapus berkas/direktori-sub direktori; del *.*)

Penguji Keamanan Sistem

Administrator dari sistem informasi membutuhkan automated tools yang membantu menguji atau mengevaluasi keamanan sistemnya.

Misalkan : a.

(10)

Untuk menduga atau memecahkan password dengan menggunakan sebuah/beberapa kamus secara brute force cracking (mengenkripsi sebuah kata dari kamus, bandingkan hasil enkripsi dengan password yang ingin dipecahkan, terus menerus sampai terpecahkan). Juga memiliki program heuristic.

b. Land & latierra,

Program yang dapat membuat sistem windows 95/NT menjadi macet (hang, lock up), dengan mengirimkan sebuah paket yang sudah di-spoofed sehingga seolah-olah berasal dari mesin yang sama.

c. Ping-o-death

Sebuah program (ping) yang dapat meng-crash-kan windows 95/NT dan beberapa versi UNIX

d. Winuke,

Program untuk memacetkan sistem berbasisi windows Mendeteksi Probing

Probing dilakukan untuk mengetahui servis dan data apa saja yang tersedia pada suatu sistem untuk melakukan serangan. Probing biasanya meninggalkan jejak di berkas log pada sistem. Dengan mengamati entry di dalam berkas log, dapat diketahui adanya probing dengan terpasangnya program yang memonitor.

OS Fingerprinting

Adalah untuk menganalisa OS dari suatu sistem yang akan dituju oleh cracker sebagai target serangan. Cara yang paling konvensional yaitu melakukan telnet ke server yang dituju dan akan memberikan informasi nama OS serta versinya.

Program Penyerang

Salah satu cara untuk mengetahui kelemahan suatu sistem informasi kita adalah dengan menyerang diri sendiri melalui paket-paket program penyerang. Sehingga dapat diketahui apakah SI kita rentan dan eksploitasi oleh orang lain. Jangan menggunakan program tersebu untuk menyerang sistem orang lain.

(11)

Network monitoring digunakan untuk mengetahui adanya lubang keamanan, antara lain : mampu mendeteksi orang yang tidak berhak mengakses server dalam sistem internal, dan lokasi akses dari tempat lain serta usaha-usaha untuk melumpuhkan sistem dengan mengirimkan paket yang jumlahnya berlebihan (denial of service attack - DoS). NM biasanya menggunakan protokol SNMP (simple network monitoring protocol).

Contoh program NM antara lain :

 Etherboy (windows), Etherman (unix)

 HP Openview (windows)

 Packetboy (windows), Packetman (unix)

 SNMP Collector (windows)

 Webboy (windows)

 Iptraf

 Netwatch

 Ntop (memantau proses di sistem unix)

 Trafshow (menunjukkan traffic antar host dalam bentuk text-mode.

2.

IKHTISAR

Masalah keamanan sistem informasi tingkat kesadaran masih sangat rendah, bahkan sampai dengan level manajer. Hal tersebut tampak pada kurangnya perhatian perusahaan dalam melengkapi sistem informasi dengan pengamanan yang memadai. Hal tersebut muncul karena adanya paradigma yang menyatakan hal tersebut sebagai sebuah cost, bukan sebagai investasi bagi perusahaan.

Kejahatan komputer atau yang lebih luas yaitu kejahatan maya (cyber crime) makin hari makin meningkat. Hal tersebut disebabkan oleh beberapa sebab utama yakni Aplikasi bisnis yang berbasis komputer atau internet meningkat, desentralisasi server; lebih banyak server yang harus ditangani dan butuh lebih banyak SDM yang handal, padahal sulit mencari SDM,

(12)

kesulitan penegak hukum untuk mengejar kemajuan dunia telekomunikasi dan komputer; meningkatnya kompleksitas sistem.

Beberapa bentuk kejahatan komputer yaitu Unauthorized Access to Computer Sistem and Service, Illegal Contents, Data Forgery, Cyber Espionage, Cyber Sabotage and Extortion, Offense Against Intellectual Property, dan Infringements of Privacy

Dasar-dasar keamanan sistem informasi mencakup kriptographi, eknripsi, dan dekripsi, yang berkembang menjadi ilmu kriptologi.

Manajer manufaktur telah menerapkan computer dalam dua cara dasar, yakni sebagai sistem fisik dan sistem informasi. CAD, CAM, dan robotic digunakan dalam sistem produksi fisik untuk melaksanakan tugas secara lebih baik dan mengurangi biaya.

Aplikasi computer sebagai suatu sistem konseptual dalam area manufaktur dimulai dengan persediaan. Sistem pertama menyatukan pendekatan titik pemesanan kembali, tetapi rancangan tersebut digantikan oleh konsep MRP yang lebih proaktif. MRP yang berarti material requirements planning diperluas untuk bias berintegrasi dengan sistem lain dalam lingkungan perusahaan sehingga dikenal dengan istilah manufacturing resources planning (MRP II).

Sistem informasi manufaktur terdiri dari subsistem input dan subsistem output serta database.subsistem informasi akuntansi mengumpulkan data internal, sering dengan menggunakan terminal pengumpulan data, dan mengumpulkan data lingkungan sebagai hasil transaksi dengan pemasok. Subsisem industrial engineering mengumpulkan data internal yang berhubungan dengan sistem produksi fisik. Subsistem intelijen manufaktur mengumpulkan data lingkungan yang menjelaskan serikat pekerja dan pemasok.

(13)

menyediakan informasi yang memungkinkan manajemen menjaga biaya produksi tetap rendah.

Sistem informasi manufaktur merupakan suatu penerapan teknologi informasi dalam produksi yang mantap, tetapi ini hanya satu dimensi dari penggunaan computer. CIM adalah suatu filosofi manajemen yang diarahkan pada pengintegrasian semua sistem informasi berbasis computer yang terpisah ditambah otomatisasi pabrik. Mencapai CIM akan menjadi tantangan yang sulit bagi para manajer, industrial engineering, dan spesialis informasi.

3.

PERTANYAAN / DISKUSI :

1. Mengapa kesadaran akan keamanan sistem informasi masih sangat rendah pada level manajemen ?

2. Apa yang dimaksud dengan kejahatan komputer ?

3. Apa yang dimaksud dengan kejahatan maya (cyber crime) ? 4. Sebutkan dan jelaskan bentuk-bentuk kejahatan komputer ? 5. Sebutkan sebab utama meningkatnya kejahatan komputer ? 6. Apa yang dimaksud dengan enkripsi dan dekripsi ?

7. Apa yang dimaksud dengan kriptologi ?

8. Jelaskan perbedaan antara hackers dengan crackers !

9. Sebutkan sumber security hole dalam keamanan sistem informasi !

10. Sebutkan dan jelaskan beberapa automated tools yang membantu menguji atau mengevaluasi keamanan sistem informasi !

11. Mengapa sistem pemesanan titik kembali (ROP) dikatakan sebagai suatu strategi reaktif ?

12. Sebutkan dan jelaskan yang termasuk dalam subsistem material requirements planning (MRP) !

13. Kapan EMQ digunakan menggantikan EOQ ?

14. Sebutan dan jelaskan subsistem input dalam model sistem informasi manufaktur !

(14)

4.

DAFTAR ACUAN :

1. Budi Rahardjo; Keamanan Sistem Informasi berbasis Internet; PT. Insan Infonesia, Bandung & PT. Indocisc, Jakarta, 2002.

2. Barefoot, J. Kirk & Maxwell, David A; Corporate Security administration

and Management; Butterworth Publishers, Boston, 1987.

3. Green, Gion & Farber, Raymond C; Introduction to Security; Security World Publishing Co. Inc.; Los Angeles, 1978.

4. McLeod, Raymond, Management Information System, 7th ed., Prentice

Hall, New Jersey, 1998.

5. McNurlin, Barbara C,; Sparague, Ralph H Jr., Information Systems

Management in Practice, 4th ed., Prentice Hall, New Jersey, 1998.

Referensi

Unduh sekarang ( DOC - 14 Halaman - 113.50 KB )

Dokumen terkait

PENGEMBANGAN SISTEM. Universitas Indonesia

Sistem prakiraan cuaca jangka pendek menggunakan sejumlah tabel basis data dalam proses pembuatan pohon keputusan, tabel-tabel ini berfungsi untuk menyimpan

EFEK PEWARISAN AKIBAT RADIASI PENGION

Ini antara lain dapat disebabkan karena sangat sedikit informasi yang ada tentang kerusakan pada materi genetik manusia akibat radiasi, mutasi yang diinduksi radiasi bersifat

Menurut Ir. H.J. Struyk dan Prof. Ir. K.H.C.W Van der Veen, jembatan dapat dibagi dalam golongan golongan seperti berikut :

Dalam hal dimana beban lalu lintas vertikal mengurangi pengaruh dari gaya rem (seperti pada stabilitas guling dari pangkal jembatan), maka Faktor Beban Ultimit

Pengaruh Konsentrasi Hcl Sebagai Pelarut Pada Ekstraksi Pektin Dari Labu Siam

Untuk mengetahui hubungan antara kadar metoksil dan asam galakturonat labu siam dengan variabel konsentrasi pelarut pada suhu 90 o C dan waktu ekstraksi 120 menit

Perancangan Sistem Autonomous pada Pesawat Model UAV Jenis Glider

Parameter atur pada filght controller merupakan kontrol Propotional-Integral-Derivative (PID) yang mengatur respon suatu sistem instrumentasi dengan karakteristik

Modul 8 Melakukan Koneksi Internet dan

Jika Anda ingin mengirim pesan pada 2 orang, pada kolom To dan pada kolom Bcc, keduanya akan menerima Email tetapi penerima yang ada di kolom To tidak akan mengetahui (blind)

PEMANFAATAN OBAT TRADISIONAL DENGAN PERT (1)

Rasio antara keberhasilan terapi dan efek samping yang timbul harus menjadi pertim- bangan dalam pemilihan jenis tana- man obat yang akan digunakan dalam terapi.. Contoh, daun

Gambaran Pengetahuan Dan Sikap Wanita Usia Subur Yang Belum Menikah Tentang Tradisi Badapu Di Wilayah Kerja Puskesmas Singkil Kabupaten Aceh Singkil Tahun 2013

Berdasarkan latar belakang yang telah dikemukakan diatas, maka yang menjadi rumusan masalah dalam penelitian ini adalah bagaimana gambaran pengetahuan dan sikap

Image