Keamanan Informasi Pada SistemWeb Servic

(1)

Keamanan Informasi Pada SistemWeb Service Pertukaran Data

dan MetadataStatistik dengan Schema Validation danSchema

Hardening

Yuliandi

Nim. 110155201014

Jurusan Teknik Informatika Fakultas Teknik, Universitas Maritim Raja Ali Haji (UMRAH)

Jl. Pliteknik Senggarang, Tanjungpinang, Kepulauan Riau, Indonesia

e-mail :

[email protected]

ABSTRAK

Sist e m We b Se r vic e P e r t u ka r a n D a ta d a n Me ta d a ta Sta ti sti k me r u p a ka n si ste m ya n g a ka n me la ya n i p e r min ta a n p e n g g u n a te r h a d a p ke b u tu h a n d a ta sta tis ti k. Se tia p p e r min ta a n ya n g d iki r i mka n d a r i we b se r vic e a ka n d ip r o se s ke we b se r vic e se r ve r . P e sa n d iki r i mka n me la lu i H TTP d e n g a n fo r ma t XML, SO -AP. Dengan keterbukaan sistem, maka diperlukan keamanan informasi terkait unauthorized p e sa n SO AP . We b Se r vi c e Se c u r ity d a p a t d i te r a p ka n p a d a we b se r vi c e , n a m u n k e b u t u h a n k e a m a n a n d a l a m s i s t e m p e r t u k a r a n d a t a t e r s e b u t d i p e r lu ka n tin g ka t ke a ma n a n ya n g le b ih a ma n . H a l in i ka r e n a d a ta - d a t a sta t i sti c d ig u n a ka n se b a g a i p e n g a mb i l ke p u tu sa n d a n me mu a t d a ta - d a ta in d i vu a l ya n g sa n g a t r a h a s ia . Ma ka b e n tu k ke a ma n a n in fo r ma si ta mb a h a n ya n g d a p a t d i te r a p ka n p a d a si s te m te r se b u t a d a la h d e n g a n sc h e ma va l id a tio n d a n sc h e ma h a r d e n i n g . S e t i a p p e s a n p e r m i n t a a n y a n g m a s u k a k a n d i v a l i d a s i , d i a n a l i s i s dan diklasiﬁkasikan, apakah pesan SOAP yang dikirim benar dan bukan se b u a h s e r a n g a n . T u j u a n d a r i k e d u a s i s t e m k e a m a n a n t e r s e b u t a d a l a h u n t u k m e m i n i m a l k a n t e r j a d i n y a k e j a h a t a n p a d a p e s a n S O AP y a n g a k a n d i p r o s e s o le h we b se r vic e se r ve r .

Ka ta ku n c i : we b se r vi c e , SO AP , p e r tu ka r a n d a ta , me ta d a ta sta ti st ik

AB S TRACT

Sist e m We b Se r vic e P e r t u ka r a n D a ta d a n Me ta d a ta Sta ti sti k me r u p a ka n si ste m ya n g a ka n me la ya n i p e r min ta a n p e n g g u n a te r h a d a p ke b u tu h a n d a ta sta tis ti k. Se tia p p e r min ta a n ya n g d iki r i mka n d a r i we b se r vic e a ka n d ip r o se s ke we b se r vic e se r ve r . P e sa n d iki r i mka n me la lu i H TTP d e n g a n fo r ma t XML, SO -AP. Dengan keterbukaan sistem, maka diperlukan keamanan informasi terkait unauthorized p e sa n SO AP . We b Se r vi c e Se c u r ity d a p a t d i te r a p ka n p a d a we b se r vi c e , n a m u n k e b u t u h a n k e a m a n a n d a l a m s i s t e m p e r t u k a r a n d a t a t e r s e b u t d i p e r lu ka n tin g ka t ke a ma n a n ya n g le b ih a ma n . H a l in i ka r e n a d a ta - d a t a sta t i sti c d ig u n a ka n se b a g a i p e n g a mb i l ke p u tu sa n d a n me mu a t d a ta - d a ta in d i vu a l ya n g sa n g a t r a h a s ia . Ma ka b e n tu k ke a ma n a n in fo r ma si ta mb a h a n ya n g d a p a t d i te r a p ka n p a d a si s te m te r se b u t a d a la h d e n g a n sc h e ma va l id a tio n d a n sc h e ma h a r d e n i n g . S e t i a p p e s a n p e r m i n t a a n y a n g m a s u k a k a n d i v a l i d a s i , d i a n a l i s i s dan diklasiﬁkasikan, apakah pesan SOAP yang dikirim benar dan bukan se b u a h s e r a n g a n . T u j u a n d a r i k e d u a s i s t e m k e a m a n a n t e r s e b u t a d a l a h u n t u k m e m i n i m a l k a n t e r j a d i n y a k e j a h a t a n p a d a p e s a n S O AP y a n g a k a n d i p r o s e s o le h we b se r vic e se r ve r .

Keyword : web service, SOAP , data exchange, metadata statistic

1. PENDAHULUAN

Badan P usat Statistik (BPS) adalah lembaga non-departemen yang berke wa - jiban untuk

(2)

makro. Hal ini diperkuat dengan UU Nomor 16 Tahun 1997 tentang Statistik dan Peraturan Pemerintah Nomor 15 Tahun 2009 tentang Penyeleng-garaan Statistik[1].

L a y a n a n d a t a ( d i s e m i n a s i ) y a n g d i b e r i k a n o l e h B P S k e p a d a p e n g g u n a d a t a terkait tupoksi BPS sebagai penyedia data, terdapat dua tipe layanan yai tu layanan elektronik dan manual. Layanan secara elektornik melalui websitedan buku elektronik (e-book ), sedangkan untuk layanan manual yaitu perpustakaan. Selain fasilitas media layanan, hal lain yang menjadi perhatian dalam layanan BPS adalah keterkinian data dan publikasi yang didesiminasikan kepada masyarakat, serta kesesuaian terhadap keinginan dan kebutuhan pengguna data.

Untuk meningkatkan pelayanan ke pada pengguna data, BPS telah mengupa y a k a n p r o g r a m p e r c e p a t a n ( quick wins) t e r h a d a p p r o d u k B P S y a n g b e n a r - benar dapat menyentuh kebutuhan para pengguna data. Program quick wins i n i d i p i l i h u n t u k m e m p e r h a t i k a n p r o d u k s t a t i s t i k y a n g m e m i l i k i d a y a u n g k i t ( leverage) tinggi, inovatif dan merupakan terobosan yang terkait dengan produk uta ma ( core business) BPS. Adapun program quick wins tersebut antara lain: 1. Peningkatan Kepuasan Pelanggan, 2. Penyempurnaan pelayanan statistik yang terdiri pelayanan Elektronik (e-Services) dan pelayanan statistik terpadu yang menggabungkan pelayanan perpustakaan (digital dan non digital), konsultasi statistik, toko buku ( e-Shop) dan pelayanan lainnya, dan 3. Membangunan Advanced Release Calendar (ARC)[2].

Salah satu upaya untuk penyempurnaan pelayanan statistik terhadap pelayanan elektronik( e-Services) adalah dengan merancang sistem web service memiliki kharakter terbuka, yaitu untuk data -data makro dapat diakses oleh semua pen gguna data baik instansi pemerintah maupun masyarakat umum. Untuk layanan yang sifatnya adalah permintaan data mikro, layanan hanya terbuka untuk pengguna yang terdaftar pada sistem khususnya untuk instansi pemerintahan.

2. DASAR TEORI

2.1 Web Service

Web service adalah sebuah software yang tidak terpengaruh oleh platform ia akan menyediakan method-method yang dapat di akses oleh jaringan.

2.2 PERTUKARAN DATA DAN METADATA STATISTIK

Menurut kamus besar Bahasa Indonesia, data adalah kumpulan kejadian yang diangkat dari suatu kenyataan (fakta), dapat berupa angka-angka, huruf simbol-simbol khusus, atau gabungan dari ketiganya. Data juga dapat diartik an sebagai

sekumpulan ﬁle atau informasi dengan tipe

tertentu, baik suara, gambar atau lainnya. Sedangkan meta data adalah data tentang data. Metadata dapat disimpan dan diatur dalam basis data yang biasa disebut sebagai registry atau repository. Metadata membantu pengguna dalam memahami arti pendataan lainnya. Data -data tersebut dapat dianalisis berdasarkan data mikro, data makro maupun time series.

Sedangkan Metadata Statistik sebagai data dan dokumen yang menjelaskan data statistik melalui siklus alur diperolehnya data tersebut. Sistem pertukaran data dan metadata statistik adalah layanan dalam statistic untuk memberikan pelayanan pertukaran data da n metadata statistik antara data provider dan data collector. S e b a g a i data provider y a i t u B P S d a n data collector adalah pengguna data baik instansi pemerintah, s wasta, mahasis wa maupun masyarakat umum.

2.3 Web Service dan WS-Security

(3)

tiga entitas dalam arsitekturnya, yaitu service menggunakan layanan untuk memenuhi kebutuhannya. Sedangan service registry merupakan tempat dimana service provider bisa mene mpatkan layanan dan service requestor mencari dan memanfaatkan layanan.

2.4 SOAP Message

SOAP adalah suatu protokol pemaketan pesa n antar aplikasi yang telah

distandarisasi. Spesiﬁkasi pesan

dideﬁnisikan seperti suatu amplop surat

yang b e r b a s i s X M L y a n g d i k i r i m b e s e r t a a t u r a n - a t u r a n a t a u c a r a u n t u k m e n e n r jemahkan representasi data XML tersebut. Pesan SOAP adalah suatu pesan yang

merupakan spesiﬁkasi dari XML. Pesan

SOAP terdiri atas header dan body. Sebuah dapat mengirimkan permintaan (request) d a t a s e s u a i p i l i h a n d a t a y a n g t e r s e d i a , d a n s i s t e m a k a n m e m p r o s e s p e r m i n t a a n tersebut dan akan langsung memberikan jawaban.

3.1 M odel Pertukaran Data

Model pertukaran data statistik yaitu mekanisme untuk menyediakan data statistik yang dapat dimanfaatkan oleh pengguna data di lingkungan internet[9]. D e n g a n s t r u k t u r , f o r m a t , p e n g k o d e a n d a t a d a n m e t a d a t a s e s u a i y a n g t e l a h d i t e n t u k a n a t a u r e q u i r e m e n t sebelumnya. Model pertukaran data yang digunakan dalam

sistem adalah metoda “pull”. Metoda ini

Arsitektur sistem pertukaran data dan metadata ad alah gambaran detail ba gaimana metoda pull diproses oleh sistem. Arsitektur disegmentasi menjadi 3 bagian yaitu data collector, arsitektur system s e n d i r i d a n b a s i s d a t a d i s e m i n a s i s t a t i s t i k . P r o s e s d i m u l a i d a r i p e r m i n t a a n data dari data collector melalui pesan SOAP yang dikirimkan ke web service provider yang telah dideﬁnisikan URL nya. Web service provider akan mengubah pesan SOAP yang dalam bentuk XML ke format yang dapat dibaca oleh data retriever dengan XML parser. Data retriever akan meminta layanan kebasis data dan pemetaan penyimpanan data. Dalam proses ini akan

Data-data hasil kegiatan sensus, survei dan pendataan lain BPS merupakan data-data individual yang sangat rahasia seperti identitas, pendapatan, alamat responden dan lain -lain. Berdasarkan undang -undang, BPS harus menjaga kerahasiaan data -data individu responden, baik dari internal maupun eksternal.

Data-data yang dipublikasikan kepada pengguna data merupakan data -data m a k r o . U n t u k m e n j a g a k e p e r c a y a a n t e r s e b u t , s i s t e m p e r t u k a r a n d a t a d a n metadata tersebut harus dirancang untuk menjaga kerahasiaan data dari ben tuk ancaman keamanan. Aspek keamanan yang dibutuhkan untuk m erancang web service sistem pertukaran data dan metadata statistik BPS [10]yaitu :

 Conﬁdentiality yaitu menj aga informasi

(4)

pemerintahan yang berkepentingan

 Authentication yaitu menjaga atau memastikan bahwa pesan yang dikirimkan oleh pengirim merupakan benar dan bukan merupakan ulangan pesan yang merupakan serangan, dapat dilakukan dengan teknologi menghindarkan hal tersebut, Babini akan membahas

bagaimana menjaga conﬁdentiality dan integrity pada pesan SOAP yang dikirimkan oleh pengguna data. Pesan tersebut akan di validasi untuk me mastikan bahwa pesan tersebut adalah benar dan tidak diubah oleh sebuah serangan ( attacks). Agar schema validation dapat lebih efektif untuk memvalidasi pesan SOAP, maka diperlukan tambahan informasi lain, yaitu dengan menggunakan teknik schema harden ing. Schema hardening adalah se buah algoritma yang dapat memberikan tambahan informasi sehingga schema lebih kuat/harden dan algoritma tersebut bersifat self adaptive [4].

4.1 Schema Validation

Untuk menjaga privacy/conﬁdentiality, integrity dan authentication p e s a n SOAP dari ketidakwajaran pesan pada web serv ice client dan web service se rver, maka Organization for the Advancement of Structured Information Standards (OASIS) mengusulkan mengimplementasikan standar WS-Security[13]. mengatasi masalah seperti kerumitan dalam dokumen XML yang telah komplek. Ada mengasosiasikan tipe data, seperti integer, string atau lebih khusus seperti hat size, sock colour dengan nilai-nilai yang ditemukan dalam dokumen; untuk membatasi elemen dan atribut yang dapat muncul, seperti judul bab terjadi di dala m s e b u a h b a b , d a n b a b h a r u s t e r d i r i d a r i j u d u l b a b d i i k u t i o l e h s a t u a t a u l e bih paragraf; untuk menyediakan dokumentasi yang baik human-readable dan m e s i n - p r o c e s s a b l e ; u n t u k m e m b e r i k a n d e s k r i p s i f o r m a l d a r i s a t u a t a u l e b i h dokumen.

Sistem pertukaran data dan metadata adala h sistem yang mendukung interaks i antara mesin ke mesin untuk mengakses sumberdaya yang ada pada syste m dengan menggunakan pesan SOAP ( Simple Object Access Protocol) melalui jaringan. Pesan SOAP ditulis dalam format XML dan terdistribusi pada lingkungan jaringan, sehingga rawan terhadap serangan seperti XML injection. P e s a n y a n g t e l a h d i u b a h a t a u s u d a h t i d a k s e s u a i d e n g a n a s l i n y a a k a n t e t a p diteruskan ke Web Service Server.

Web server akan memproses pesan tersebut.Apabila tidak ditemukan, maka sistem akan mengirimka n HTTP response co-de:500 dan web server tidak akan memberikan informasi atas masalah dalampesan SOAP tersebut. Namun buruknya apabila permintaan data tersebut ada dalam sistem maka sistem akan memberikan data yang diinginkan, meskipun sebenarnya data tersebut adalah salah. Untuk menghindarkan hal tersebut, WS-security t i d a k c u k u p u n t u k m e n g amankan pesan SOAP. WS-Security Policy dapat memberikan tambahan pengamanan pada web service server, aturan tersebut disebut sebagai Extended validation yang dapat diterapkan untuk mengamankan pesan SOAP.

Extended Validation dapat didekomposisi menjadi beberapa bagian, yaitu:

 Pemeriksaan keamanan tokens yang dikirimkan dalam pesan SOAP,

(5)

 Veriﬁkasi tanda tangan digital (digital

signature) yang diperlukan untuk menjaga integrity dan authenticity pesan, tersebut bertuj uan untuk mengenali dan

mengklasiﬁkasikan jenis-jenis pesan.

Tujuannya adalah agar web service server mengetahui atau mengenali jenis pesan yang diterimanya apakah pesan masuk ke dalam kelas serangan atau bukan. Se lain itu server j uga dapat meng ambil keputusan lebih tepat apakah pesan tersebut diproses atau di kembalikan tanpa diproses. Sebelum pesan dikirimkan ke web service serve r, pesan tersebut telah di vali dasi dan dilengkapi informasi tambahan mengenai analisis dan kelas dari pesanyang diterima. Al g o r i t m a m e n a m p u n g s e m u a l o g p e s a n S O A P . D a r i l o g - l o g permintaan ter sebut, Algorit ma akan menampungnya dalam schema reposit o r y . D a l a m t a m p u n g a n t e r s e b u t l o g - l o g p e s a n a k a n

d i i n d e n t i ﬁ ka s i d a n d iklasiﬁkasika dengan cara membandingkan antara pesan SOAP dengan domain XML dalam hal ini XSD. Pesan akan

dikenali dari ﬁtur-ﬁtur dalam pesan yang

dicocokkan dengan XSD. Pesan yang telah diubah atau mendapat serangan,pesan tersebut akan diisolasi dan diidentiﬁkasi sebagai kelas serangan[10 ].

5. KESIMPULAN

Sistem Web Service Pertukaran Data dan Metadata Statistik merupakan sis tem yang akan melayani permintaan pengg una terhadap kebutuhan data sta tistik. Setiap permintaan yang dikirimkan dari web service akan diproses ke web service server. Pesan dikirimkan melalui HTTP dengan fo rmat XML, SO -AP. Dengan keterbukaan sistem, maka diperlukan keamanan informasi terkait unauthorized pesan SOAP. W S -Security dapat diterapkan pada web service,n a m u n k e b u t u h a n k e a m a n a n d a l a m keamanaa informasi tambahan yang dap at diterapkan pada sistem tersebut adalah dengan schema validation dan sc hema h a r d e n i n g .

S e t i a p p e s a n p e r m i n t a a n y a n g m a s u k a k a n d i v a l i d a s i , d i a n a l i s i s dan

diklasiﬁkasikan, apakah pesan SOAP yang

dikirim benar dan bukan se b u a h s e r a n g a n . Badan Pusat Statistik, Jakarta, November 2011. methodology for information syste ms

research,” in Journal of Mana gement

Information Systems, vol. vol.24, pp. 45–78, 2007.

[6] D. W. Bruce E.Bargmeyer, “Metadata

standards and metadata registries: An

overview,” 2012.[ 7 ] T . E r l , Service Oriented B: tatistical Methodologies and Tools Unit B-5: Statistical Information Technologies, September 2010.

(6)