Pengamanan Informasi dan Kriptografi

Menambah khasanah bacaan kriptologi dan pengamanan informasi bagi masyarakat Indonesia

  • Card Recovery Professional

    Recover Lost Or Deleted Files In 3 Steps. 100% Risk Free! Support All Camera Memory Card, Such As Sd Card, Xd Card, Cf Card, Etc. Support All Camera Brands And Almost All Raw File Formats.

  • Instant Wordpess Theme To Match Your Existing Website Design!

    World's First Automatic And Online HTML To Wordpress Converter. Theme Matcher Uses A Regular Site To Instantly And Effortlessly Create A Matchcing Wordpress Theme.

  • Laptop Repair Made Easy

    Laptop Repair Made Easy Is A Complete High Definition Video Series On How To Repair Laptops For Fun Or Profit. Laptop Repair Is A Huge Multi-billion Industry & That Means Lot Of $$$ For You

  • Masukkan alamat surat elektronik Anda untuk mengikuti blog ini dan menerima pemberitahuan tentang pos baru melalui surat elektronik.

    Bergabunglah dengan 25 pengikut lainnya

  • Arsip

  • November 2007
    S S R K J S M
    « Okt   Des »
     1234
    567891011
    12131415161718
    19202122232425
    2627282930  
  • Blog Stats

    • 396,300 hits
  • Pengunjung

Kegunaan Manajemen Keamanan Informasi

Posted by hadiwibowo pada November 4, 2007

Seri Manajemen Keamanan Informasi : Access Control (2)

Seiring dengan perkembangan teknologi komputer dan komunikasi, mengelola program keamanan komputer dan jaringannya akan menjadi semakin kompleks dan menantang. Manajer Keamanan Informasi harus menyusun dan memelihara program keamanan informasi untuk memastikan terpenuhinya 3 syarat dasar sumber daya informasi organisasi yaitu : 81) kerahasiaan, (2) keutuhan dan (3) ketersediaan data/informasi.

A. Kerahasiaan data/informasi

Yang dimaksud kerahasiaan (konfidensialitas) di sini adalah melindungi data/informasi dalam sistem agar hanya dapat diakses oleh pihak-pihak yang berhak saja. Pada masa lalu berkembang asumsi bahwa hanya militer dan diplomasi saja yang memiliki informasi yang harus dirahasiakan. Padahal sesungguhnya dunia bisnis dan individu pun memerlukannya. Terlebih dengan kemajuan teknologi komputer dan komunikasi serta kompetisi secara global, kebutuhan akan kerahasiaan informasi menjadi semakin meningkat.

Agar informasi tersebut dapat digunakan secara optimal, pendefinisian kerahasiaan harus dilakukan dengan tepat disertai prosedur pemeliharaan yang dilakukan dengan hati-hati. Aspek yang menonjol dari kerahasiaan adalah identifikasi dan otorisasi user seperti yang telah dibahas disini.

1. Ancaman terhadap kerahasiaan data/informasi

Kerahasiaan dapat dikompromikan dalam berbagai cara. Berikut adalah ancaman terhadap kerahasiaan informasi yang sering terjadi :

Hackers : adalah orang-orang yang berusaha menerobos sistem pengendalian akses dengan cara mengambil keuntungan atas celah keamanan yang ada dalam sistem. Aktifitasnya menjadi ancaman serius keamanan informasi.

Masqueraders : adalah pihak-pihak yang sesungguhnya tidak berhak namun mendapatkan hak akses dengan menggunakan user ID dan password pihak lain, untuk memperoleh keuntungan dari sumber daya komputer tersebut. Hal ini sering terjadi pada organisasi dimana karyawannya gemar bertukar password.

Aktifitas pihak yang tidak berhak : terjadi akibat lemahnya pengendalian akses, sehingga memungkinkan pihak yang tidak berhak melakukan aktifitas dalam sistem.

Men-download file rahasia tanpa pengamanan : download file rahasia dapat saja dilakukan, namun perlu kecermatan dalam prosesnya. Bila file rahasia dipindahkan dari komputer host yang aman ke komputer client yang tidak aman, file rahasia tersebut dapat saja diakses oleh pihak lain yang tidak berhak.

LANs : jaringan komputer dapat menjadi ancaman terhadap kerahasiaan informasi, sebab data yang mengalir dalam LAN dapat saja dilihat oleh setiap orang dalam jaringan tersebut. Penyandian adalah salah satu cara paling baik bagi file rahasia saat ditransmisikan dalam LAN.

Trojan horses : Adalah program aktif yang dirancang untuk menyusup dan meng-copy file-file rahasia. Sekali program trojan horse ini tereksekusi maka dia akan menetap dalam sistem dan secara rutin meng-copy file-file tertentu dan menempatkannya ke tempat yang tidak dilindungi.

Kesadaran memelihara keamanan informasi dari para user dan juga kedisiplinan para profesional keamanan informasi menjadi sangat penting untuk meminimalisir ancaman-ancaman tersebut.

2. Model kerahasiaan

Model kerahasiaan digunakan untuk menggambarkan tindakan yang harus diambil guna menjamin kerahasiaan informasi. Model ini berisikan spesifikasi alat dan bahan pengamanan yang digunakan untuk memenuhi tingkat keamanan yang diinginkan.

Model kerahasiaan yang terkenal adalah Bell-LaPadula. Model ini menggambarkan hubungan antara objek (file, program atau informasi) dan subjek (orang, proses atau devices). Hubungan tersebut dapat didefinisikan sebagai hak atau tingkat akses yang diberikan pada subjek (dikenal dengan sebutan security clearance) dan tingkat sensitifitas pada objek (dikenal dengan sebutan security classification).

Model kerahasiaan yang lain adalah access control, yang mengelola sistem dalam objek (sumber daya yang menjadi sasaran tindak), subjek (orang atau program yang bertindak) dan operasional (proses interaksi objek dan subjek).

Kriteria trusted sistem akan memberikan panduan yang baik pada penerapan model kerahasiaan. Kriteria tersebut paling pas dibuat oleh Departemen Keamanan Informasi (kalau departemen ini ada).

B. Keutuhan data/informasi

Yang dimaksud dengan keutuhan (integritas) data disini adalah melindungi sistem dan data dari perubahan-perubahan yang tidak dikehendaki baik secara sengaja ataupun tidak terduga. Menjadi tantangan program keamanan adalah memastikan bahwa data dikelola pada keadaan yang telah diprogram.

Walaupun program keamanan tidak meningkatkan keakuratan, karena data diletakkan ke dalam sistem oleh users, namun dapat menolong memastikan bahwa semua perubahan adalah sesuai dengan yang telah diprogram.

Untuk menjaga keutuhan data, sistem perlu dilindungi dari manipulasi oleh pihak yang tidak berhak, kecurangan dan kesalahan operasi. Menjaga keutuhan data ini menjadi sangat diperlukan bila dihadapkan pada data-data penting yang sensitif seperti data laporan keuangan internal, sistem kendali produksi, lalu-lintas udara atau payroll karyawan.

Kebijakan kerahasiaan, identifikasi dan otentikasi adalah kunci dan elemen dari kebijakan keutuhan data/informasi. Ya, keutuhan data/informasi bergantung pada pengendalian akses.

1. Melindungi keutuhan data/informasi

Seperti halnya kerahasiaan data, keutuhan data dapat terancam oleh hackers, masqueraders, aktifitas pihak yang tidak berhak, men-download file rahasia tanpa pengamanan, LANs dan program malware (virus dan trojan). Semua ancaman tersebut dapat memicu perubahan data yang tidak dikehendaki.

Terdapat 3 prinsip dasar yang digunakan untuk mengendalikan keutuhan data adalah :

* Need-to-know access : penerapannya harus dalam kendali penuh dengan sesedikit mungkin berbenturan dengan kepentingan users. Hal ini penting mengingat program keamanan perlu menyeimbangkan antara kebutuhan keamanan informasi yang ideal dengan aktifitas produksi perusahaan.

Need-to-know access adalah jaminan bagi user untuk masuk kedalam sistem dan hanya mendapatkan hak akses yang sudah ditentukan disesuaikan dengan jenis pekerjaan/tugasnya.

* Pemisahan/pembagian tugas : Seperti telah dijelaskan dalam artikel sebelumnya (dalam bagian pengendalian administratif), pemisahan tugas ini dimaksudkan agar tidak ada seorang karyawan pun yang memegang kendali proses dari awal sampai akhir, sehingga transaksi data tidak dapat dimanipulasi tanpa semua yang terlibat dalam proses itu ikut serta.

* Rotasi tugas : Merotasi tugas yang diberikan kepada karyawan perlu dilakukan secara periodik, untuk menghindari kejemuan, kecurangan dan kecenderungan negatif lain. Namun rotasi tugas ini akan menemui permasalahan manakala sumber daya manusia dalam organisasi sangat terbatas dan tidak terlatih dengan cukup baik.

2. Model keutuhan data/informasi

Model keutuhan data digunakan untuk menggambarkan apa yang perlu dilakukan untuk menjalankan kebijakan menjaga keutuhan data dan untuk memenuhi 3 sasaran yaitu : (1) mencegah pihak yang tidak berhak membuat perubahan data/program; (2) mencegah pihak yang mendapatkan akses melakukan perubahan yang tidak semestinya atau bukan kewenangannya; dan (3) mengelola kekonsistenan data/program baik internal maupun ekternal.

Hal pertama yang perlu diperhatikan dalam membuat model keutuhan data adalah mengidentifikasi dan memberi label pada masing-masing data, tentang jenis perlakuan yang dilakukan dan penerapan 2 prosedur terhadapnya.

Prosedur pertama adalah memverifikasi kevalidan data. Prosedur kedua adalah perubahan transaksi data yang sah, yaitu merubah data ke bentuk lain yang merupakan bagian dari pemeliharaan.

Sistem penyedia keutuhan data selalu mengharuskan semua perubahan data tercatat, untuk memudahkan dalam pengecekan atau pemeriksaan.

Aspek lain dari penjagaan keutuhan data adalah yang berhubungan dengan sistemnya sendiri yang mana sistem tersebut harus dapat selalu konsisten dan dapat dipercaya.

National Computer-Security Centre (di Amerika Serikat) pada bulan September 1991 menyarankan 5 (lima) model penjaga keutuhan data dengan pendekatan yang berbeda-beda :

– Model integritas Biba : diperkenalkan oleh Biba pada tahun 1977. Model ini berbasiskan hierarki pola geometris dari tingkat integritas yang diinginkan dan sama persis dengan model kerahasiaan Bell-LaPadula yaitu (1) subjek tidak dapat mengeksekusi objek yang tingkat integritasnya lebih rendah dari subjek; (2) subjek tidak dapat memodifikasi objek yang tingkat integritasnya lebih tinggi; dan (3) subjek tidak dapat memberikan pelayanan kepada subjek yang tingkat integritasnya lebih tinggi.

– Model integritas Gouguen-Moseguer : dipublikasikan pada tahun 1992. Model ini berbasiskan prinsip matematika yang bergerak secara otomatis (mekanisme pengendalian desain yang otomatis mengikuti sequence yang telah didefinisikan sebelumnya dari sebuah operasi / respon untuk mengkode instruksi) dan pemisahan domain. Domain itu sendiri adalah daftar objek yang dapat diakses oleh users.

– Model integritas Sutherland : dipublikasikan pada tahun 1986, terdiri atas pembatasan akses terhadap subjek dan alur informasi terbatas diantara objek. Model ini berbasiskan berbagai keadaan mesin dan perubahan fungsi yang memetakan dari kondisi inisial ke kondisi saat ini. Pendekatan integritasnya dengan memfokuskan pada apa yang menjadi permasalahan.

– Model integritas Clark-Wilson : dipublikasikan pada tahun 1987 dan di up-date pada tahun 1989, meliputi 2 elemen utama untuk mendapatkan keutuhan data yaitu transaksi yang baik dan pemisahan tugas. Model ini berbeda dengan model yang lain yaitu berorientasi pada subjek dan objek yang diawali oleh program akses sebagai elemen ketiga sehingga disebut triple access. Selain itu juga menggunakan prosedur verifikasi dan tranformasi untuk memelihara kekonsistenan data secara internal dan eksternal. Model ini juga menuju pada 3 sasaran integritas data.

– Model integritas Brewer Nash : dipublikasikan pada tahun 1989, menggunakan teori dasar matematika untuk mengimplementasikan otorisasi akses yang selalu berubah secara dinamis. Model ini dapat menyediakan keutuhan data dalam sebuah database yang terintegrasi yang digunakan secara bersama-sama oleh perusahaan yang saling bersaing. Yaitu subjek dapat mengakses objek hanya bila objek tersebut tidak kontra produktif dengan standar persaingan yang adil.

Teknik penerapannya adalah dengan cara pengelompokan data secara diam-diam dan dirahasiakan tingkat pengamanannya untuk data-data tertentu yang tidak dibuka pada pesaing.

3. Penerapan model keutuhan data/informasi

Model-model keutuhan data dapat diterapkan/diimplementasikan dalam berbagai cara misalnya yang direkomendasikan oleh National Computer Security Center (di Amerika Serikat) adalah :

– Metode implementasi Lipner : dipublikasikan pada tahun 1982, diterapkan dalam 2 cara yaitu, pertama menggunakan model kerahasiaan Bell-LaPadula dan yang kedua menggunakan kombinasi model Bell-LaPadula dengan model integritas Biba. Kedua metode ini memberikan kategori tingkat keamanan dan fungsi pada subjek (perubahannya sampai tingkat personal clearance dan fungsi pekerjaan) dan objek (sensitifitas data/program dan fungsinya didefinisikan).

Pentingnya konsep ini menjadi jelas bila diterapkan menggunakan model integritas Clark-Wilson. Program ini mengijinkan user untuk melakukan perubahan data, sehingga perlu dikendalikan dengan baik batasan akses dan kewenangan user terhadap perubahan objeknya.

– Metode implementasi Boebert dan Kain : secara terpisah diumumkan pada tahun 1985 dan 1988 dengan menerapkan model integritas Gouguen-Meseguer. Metode ini menggunakan sebuah subsistem yang tidak dapat tidak, harus dilakukan dengan benar, sebab sistem akan mengecek setiap akses yang dilakukan untuk memastikan bahwa akses tersebut sesuai dengan kebijakan yang ditetapkan.

Ada 3 atribut keamanan dalam metode implementasi ini : (1) objek dan subjek ditetapkan tingkat sensitifitasnya; (2) subjek didefinisikan menurut user yang melakukan kegiatan dan objek didefinisikan menurut daftar kewenangan user mengakses objek; dan (3) domain, yaitu bagian program yang didefinisikan untuk subjek, dan jenis objek didefinisikan menurut isi informasinya.

Ketiga atribut keamanan tersebut digunakan ketika sistem harus memutuskan jenis akses yang diijinkan untuk subjek. Akhirnya, hak akses diputuskan melalui perbandingan subjek domain dengan jenis objek.

– Metode implementasi Lee dan Shockley : secara terpisah pada tahun 1988 Lee dan Shockley mengembangkan penerapan model integritas Clark-Wilson dengan menggunakan kategori integritas Biba dan trusted subjek. Kedua implementasi tersebut berbasiskan pada tingkat sensitifitas yang dibangun dari masing-masing elemen. Setiap tingkatannya merepresentasikan sensitifitas pengungkapan dan sensitifitas modifikasi.

Data hanya dapat dimanipulasi melalui transmisi yang sah dan diijinkan serta hanya dilakukan oleh subjek yang terpercaya. Pola geometris dari filosofi Biba diterapkan disini.

– Metode implementasi Karger : pada tahun 1988, Karger mengajukan metode impelmentasi lainnya dari model integritas Clark-Wilson yaitu dengan menambahkan arsitektur keamanan dan model keamanan pola geometris umum. Arsitektur keamanan ini dikombinasikan dengan daftar kendali akses yang merepresentasikan fleksibilitas pola keamanan dalam implementasi integritas.

Model implementasi Karger menetapkan 3 tingkat perlindungan integritas yaitu : (1) Triples (nama subjek dan objek yang meminta akses dan nama program yang menyediakan akses) dalam daftar access control menyediakan integritas dasar; (2) Arsitektur keamanan dapat digunakan bersama daftar access control untuk memberikan akses yang cepat dan pemisahan domain; dan (3) daftar access control dan arsitektur keamanan mendukung baik pemisahan secara dinamis dari tugas-tugas dan juga transaksi yang sah.

– Metode implementasi Jueneman : pada tahun 1989 Jueneman memperkenalkan metode implementasi pendeteksi pertahanan yang digunakan pada jaringan yang dinamis dari koneksi komunikasi antara trusted komputer dalam medium yang tidak aman (unsecure media).

Metode implementasi ini berdasarkan pada perintah dan kebijaksanaan pengendalian akses, penyandian, checksum dan tanda tangan digital.

Mekanisme pengendalian akses adalah bahwa pemilik awal objek bertanggung jawab pada kerahasiannya dan penerima objek bertanggung jawab pada integritas data dalam jaringan. Mekanisme penyandian digunakan untuk menghindari terungkapnya sebuah objek. Checksum memferivikasi bahwa komunikasi yang diterima adalah benar-benar komunikasi yang dikirim, dengan tanda tangan digital sebagai buktinya.

– Metode implementasi Gong : dikembangkan tahun 1989 merupakan metode implementasi berbasis identitas dan berorientasi kemampuan dari sistem keamanan untuk mendistribusikan sistem dalam jaringan. Kemampuan yang dimaksud tersebut akan mengidentifikasi setiap objek dan menentukan hak akses yang diperbolehkan terhadap setiap subjek yang mempunyai otorisasi akses (tersedia dalam daftar hak akses).

Metode implementasi Gong terdiri dari subjek, objek, objek servers (berisi pengendalian kemampuan setiap objek), dan server pengendalian akses yang terpusat (berisi daftar access control). Metode ini sangat fleksibel karena kebijakan perlindungan yang independen.

Inti semua metode implementasi tersebut adalah memastikan bahwa pihak yang tidak berhak tidak dapat melakukan modifikasi data dan melindungi pihak yang berhak untuk hanya melakukan modifikasi sesuai kewenangannya.

C. Ketersediaan data/informasi

Yang dimaksud dengan ketersediaan data adalah jaminan bahwa sistem komputer dapat selalu diakses oleh pihak yang berhak. Dua hal yang biasanya mempengaruhi ketersediaan data adalah : Denial of service (DoS) dan kehilangan data sebagai akibat bencaan alam, kesalahan manusia (human error) atau kegiatan manusia (misalnya terkena serangan bom).

DoS biasanya merujuk pada kegagalan servis dari sistem komputer akibat aktifitas yang berlebihan. Hal ini biasa jadi dilakukan oleh worm/virus/trojan yang ada dalam komputer yang menggunakan sumber daya komputer hingga melebihi 10 %, akibatnya komputer menjadi tidak dapat merespon user.

Kehilangan data akibat bencana, baik oleh alam maupun oleh manusia dapat terjadi sewaktu-waktu. Memiliki rencana alternatif untuk menghadapi keadaan darurat dan pemulihannya serta pencegahan secara fisik, tehnik dan administratif seperti telah dibahas dalam artikel yang lalu, sangat diperlukan.

Pendidikan dan latihan bagi para karyawan yang bersentuhan dengan informasi seperti operator, programer, staf keamanan informasi dan user sangat berguna untuk mengurangi kesalahan dan ancaman yang dapat membuat sistem komputer stak atau rusak. -antz-

Sumber : Handbook of Information Security Management

3 Tanggapan to “Kegunaan Manajemen Keamanan Informasi”

  1. hany said

    mau nanya tentang keberhasilan dan kegagalan sistem informasi?

  2. […] Kegunaan Manajemen Keamanan Informasi […]

  3. Write more, thats all I have to say. Literally, it seems as
    though you relied on the video to make your point.
    You definitely know what youre talking about, why waste your intelligence on just
    posting videos to your site when you could be giving us something informative to
    read?

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: