MANAJEMEN KONTROL KEAMANAN
PRETEST
1. Untuk mengamankan suatu Sistem Informasi menurut anda apa saja yang perlu dilindungi?
Jawab :
Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan sebagai ‘ quality or state of being secure-to be free from danger ‘. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi masing-masing memiliki fokus dan dibangun pada masing-masing kekhususannya. Contoh dari tinjauan keamanan informasi adalah:
a.
Physical Security
Memfokuskan
strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan
tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa
otorisasi, dan bencana alam.
b.
Personal Security
Yang
overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam
organisasi
c.
Operation
Memfokuskan
strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja
tanpa gangguan.
d.
Communications
Bertujuan
mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan
untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
e.
Network Security
Memfokuskan
pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya,
serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi
komunikasi data organisasi.
Masing-masing komponen di atas berkontribusi dalam program keamanan informasi secara keseluruhan. Keamanan informasi adalah perlindungan informasi termasuk sistem dan perangkat yang digunakan, menyimpan, dan mengirimkannya. Keamanan informasi melindungi informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investasi dan peluang usaha .
Metodologi keammanan sistem informasi
1.
Keamanan level 0
Keamanan
fisik, merupakan keamanan tahap awal dari komputer security. Jika keamanan fisik
tidak terjaga dengan baik, maka data-data bahkan hardware komputer sendiri
tidak dapat diamankan.
2.
Keamanan level 1
Terdiri
dari database, data security, keamanan dari PC itu sendiri, device, dan
application. Contohnya : jika kita ingin database aman, maka kita harus
memperhatikan dahulu apakah application yang dipakai untuk membuat desain
database tersebut merupakan application yang sudah diakui keamanannya seperti
oracle. Selain itu kita harus memperhatikan sisi lain yaitu data security. Data
security adalah cara mendesain database tersebut. Device security adalah
alat-alat apa yang dipakai supaya keamanan dari komputer terjaga. Computer
security adalah keamanan fisik dari orang-orang yang tidak berhak mengakses
komputer tempat datadase tersebut disimpan.
3.
Keamanan level 2
Merupakan
network security. Komputer yang terhubung dengan jaringan sangat rawan dalam
masalah keamanan, oleh karena itu keamanan level 2 harus dirancang supaya tidak
terjadi kebocoran jaringan, akses ilegal yang dapat merusak keamanan data
tersebut.
4.
Keamanan level 3
Merupakan
information security. Keamanan informasi yang kadang kala tidak begitu
dipedulikan oleh administrator seperti memberikan password ke teman, atau
menuliskannya dikertas, maka bisa menjadi sesuatu yang fatal jika informasi
tersebut diketahui oleh orang yang tidak bertanggung jawab.
5.
Keamanan level 4
Merupakan keamanan
secara keseluruhan dari komputer. Jika level 1-3 sudah dapat dikerjakan dengan
baik maka otomatis keamanan untuk level 4
Cara mendeteksi suatu serangan atau kebocoran sistem
Terdiri dari 4 faktor yang merupakan
cara untuk mencegah terjadinya serangan atau kebocoran sistem:
1.
Desain sistem
Desain
sistem yang baik tidak meninggalkan celah-celah yang memungkinkan terjadinya
penyusupan setelah sistem tersebut siap dijalankan.
2.
Aplikasi yang Dipakai
Aplikasi
yang dipakai sudah diperiksa dengan seksama untuk mengetahui apakah program
yang akan dipakai dalam sistem tersebut dapat diakses tanpa harus melalui
prosedur yang seharusnya dan apakah aplikasi sudah mendapatkan kepercayaan dari
banyak orang.
3.
Manajemen
Pada
dasarnya untuk membuat suatu sistem yang aman/terjamin tidak lepas dari
bagaimana mengelola suatu sistem dengan baik. Dengan demikian persyaratan good
practice standard seperti Standard Operating Procedure (SOP) haruslah
diterapkan di samping memikirkan hal teknologinya.
4.
Manusia (Administrator)
Manusia
adalah salah satu fakor yang sangat penting, tetapi sering kali dilupakan dalam
pengembangan teknologi informasi dan dan sistem keamanan. Sebagai contoh,
penggunaan password yang sulit menyebabkan pengguna malah menuliskannya pada
kertas yang ditempelkan di dekat komputer. Oleh karena itu, penyusunan
kebijakan keamanan faktor manusia dan budaya setempat haruslah sangat
diperhatikan.
PRETEST
1. Aset Sistem Informasi harus dilindungi melalui sistem keamanan yang baik. Sebut dan jelaskan langkah-langkah utama pelaksanaan program keamanan tsb.
Jawab :
Mengamankan suatu Sistem Informasi Pengamanan dapat dikategorikan menjadi dua jenis: pencegahan (preventif) dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem informasi tidak memiliki lubang keamanan, sementara usaha-usaha pengobatan dilakukan apabila lubang keamanan sudah dieksploitasi. Pentingnya Keamanan Sistem Sistem informasi rentan terhadap gangguan keamanan karena:
1.
Sistem yang dirancang bersifat terbuka
2.
Sikap dan pandangan pemakai
3.
Keterampilan pengamanan kurang
Beberapa cara
melakukan serangan:
a.
Sniffing adalah memfaatkab metode
broadcasting dalam LAN, membuat network interface bekerja dalam metode
promiscuocus
b.
Spoofing atau pemalsuan. Memperoleh
akses secara berpura - pura menjadi seseorang atau sesuatu yang memiliki hak
akses yang valid. Spoofer mencoba mencari data dari user yang sah agar bisa
masuk kedalam sistem
c.
Man-in-the-middle. Membuat client dan
server sama - sama mengira bahwa mereka berkomunikasi dengan pihak yang
semestinya.
d.
Menebak password. dilakukan dengan
sistematis dengan teknik brute-force yaitu teknik mencoba semua kemungkinan
password.
e.
Modification Attacks. Biasanya
didahului oleh access attack untuk mendapatkan akses, dilakukan untuk
mendapatkan keuntungan dari berubahnya informasi.
f.
Denail of Service Attacks. Berusaha
mencegah pemakai yang sah untuk mengakses informasi.
Cara mengamankan
informasi:
a.
Mengatur akses
b. Setting user dan password
c. Merubah properti user
d. Pengaturan user
e. Merubah password secara berkala
f. Menutup service yang tidak digunakan
g. Memasang proteksi
Meski
sebuah sistem sudah dirancang memiliki perangkat keamanan yang sedemikian rupa,
tetap saja sistem itu perlu dan harus selalu dimonitor, hal ini disebabkan:
1. Ditemukan security
hole2. Kesalahan Konfigurasi
3. Penambahan perangkat baru (software dan hardware) yang menyebabkan menurunnya tingkat security
Penguji Keamanan
Sistem
Yang berhak menguji
keamanan dari sebuah sistem yang telah dibangun adalah administrator dari
perusahaan tersebut. Apabila orang lain yang melakukan pengujian sistem dapat
diapastika informasi perusahaan dapat bocor. Administrator dari sistem
informasi membutuhkan sebuah software untuk menguji dan mengevaluasi sistem
ysng dikelola.
a.
Untuk sistem sistem berbasis UNIX bisa
menggunakan : Cops, Tripware, Satan
b.
Untuk sistem sistem berbasis Windows NT
menggunakan Ballista
1.
Probing Service
Service di internet
menggunakan port yang berbeda - beda, misalnya:a. SMTP, untuk mengirim dan menerima email, TCP, port 25
b.
DNS, untuk domain, TCP port 53
c.
HTTP, untuk server, TVP, port 80
d.
POP3, untuk mengambil email, TCP, port
110
Untuk mendeteksi adanya probing ke sistem dapat dipasang suatu program yang memonitorinya. Probing biasanya meninggalkan jejak di berkas loh di sistem.
3.
OS Fingerprinting
Fingerprinting
merupakan istilah untuk menganalisa OS sistem yang dituju. Cara yang paling
umum adalah melalaui telnet server yang dituju, Service FTP di port 21,
menggunakan program netcat.
4.
Kegunaan Program Penyerang
Salah
satu cara mengetahui ketahanan sistem ialah dengan menyerang diri sendiri
dengan paket - paket program yabg tersedia di internet.
5.
Penggunaan Sistem Pemantau Jaringan
Sistem
pemantau jaringan dapat digunakan untuk memantau adanya lubang keamanan
6. Pemantau adanya serangan
Sistem pemantau digunakan untuk mengetahui adanya tamu tak diundang atau serangan. Nama lain dari sistem ini adalah "intruder detection system" (IDS). Sistem ini dapat memberitahu administrator memalui email.
http://dindanurlysa.blogspot.co.id/2013/11/
http://ranggaindrasatria.blogspot.co.id/2015/01/
