AKSES KONTROL AUTHENTICATION, AUTHORIZATION & ACCOUNTING

Authentication, Authorization dan Accounting (AAA).
AAA (Authentication, Authorization dan Accounting) merupakan nama yang diambil berdasarkan pada fungsi yang dapat dilakukannya yakni sistem melakukan kegiatan otentikasi, otorisasi dan akunting terhadap setiap orang yang mengakses jaringan secara remote. AAA terdiri dari:

• Authentication, sebuah metode untuk memverifikasi user, berbasiskan pada username dan password, Token card atau respon Challenge.
• Authorization, berarti untuk menyediakan access control terhadap resource atau operasi yang dapat dilakukan oleh user.
• Accounting, yang berarti untuk menelusuri tindakan user, resource yang diakses dan lamanya mengakses suatu resource. 

Sistem AAA digunakan untuk :

• Melindungi jaringan dari intruder yang berusaha untuk mengakses dengan cara tidak sah.
• menyediakan sekuriti jaringan untuk lingkungan kampus, dial-up dan internet.

Sistem AAA merupakan bagian kunci dari pengamanan jaringan jika remote access diijinkan: 

• AAA melindungi akses ke NAS (Network Access Server), yang disimpan pada jaringan perimeter (perbatasan)
• AAA melindungi akses ke jaringan itu sendiri.

KEBIJAKAN KEAMANAN SISTEM INFORMASI

KEBIJAKAN KEAMANAN SISTEM INFORMASI

Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah  penipuan (cheating)  atau,  paling  tidak,  mendeteksi  adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.

Keamanan sistem informasi dapat diartikan sebagai kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap sistem informasi. Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat keras dan perangkat lunak komputer, jaringan dan data.

Keamanan informasi menggambarkan usaha untuk melindungi komputer dan non peralatan komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh orang yang tidak bertanggungjawab.Keamanan informasi dimaksudkan untuk mencapai kerahasiaan, ketersediaan, dan integritas di dalam sumber daya informasi dalam suatu perusahaan.Masalah keamanan informasi merupakan salah satu aspek penting dari sebuah sistem informasi.Akan tetapi, masalah keamanan ini kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi.Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting.Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah “information-based society”.Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat essensial bagi suatu organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi).Hal ini dimungkinkan dengan perkembangan pesat di bidang teknologi komputer dan telekomunikasi.

Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi.  Jaringan komputer seperti LAN(Local Area Network) dan internet, memungkinkan untuk menyediakan informasi secara cepat.Hal ini menjadi salah satu alasan perusahaan mulai berbondong-bondong membuat LAN untuk sistem informasinya dan menghubungkan LAN tersebut ke Internet.Terhubungnya komputer ke internet membuka potensi adanya lubang keamanan(security hole) yang tadinya bisa ditutupi dengan mekanisme keamanan secara fisik.

Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan untuk mencapai sasaran utama yaitu:

A.  Kerahasiaan

Melindungi data dan informasi perusahaan dari penyingkapan orang-orang yang tidak berhak. Inti utama dari aspek kerahasiaan adalah usaha untuk menjaga informasi dari orang-orang yang tidak berhak mengakses.Privacy lebih kearah data-data yang sifatnya privat.Serangan terhadap aspek privacy misalnya usaha untuk melakukan penyadapan.Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy adalah dengan menggunakan teknologi kriptografi.Kriptografi adalah ilmu yang mempelajari teknik-teknik matematika yang berhubungan dengan aspek keamanan informasi seperti keabsahan, integritas data, serta autentikasi data.

B.  Ketersediaan

Aspek ini berhubungan dengan  metode untuk menyatakan bahwa informasi benar-benar asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud. Masalah pertama untuk membuktikan keaslian dokumen dapat dilakukan dengan teknologi watermarking dan digital signature.Watermarking juga dapat digunakan untuk menjaga intelektual property, yaitu dengan menandatangani dokumen atau hasil karya pembuat. Masalah kedua biasanya berhubungan dengan akses control, yaitu berkaitan dengan pembatasan orang-orang yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bahwa memang dia adalah pengguna yang sah atau yang berhak menggunakannya.

C.  Integritas

Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa izin. Sistem informasi perlu menyediakan representasi yang akurat dari sistem fisik yang direpresentasikan.

D.  Ancamn Virus

Ancaman yang paling terkenal dalam keamanan sistem informasi adalah virus.Virus adalah sebuah program komputer  yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna. Ancaman dalam sistem informasi merupakan serangan yang dapat muncul pada sistem yang digunakan. Serangan dapat diartikan sebagai “tindakan yang dilakukan dengan menggunakan metode dan teknik tertentu dengan berbagai tools yang diperlukan sesuai dengan kebutuhan yang disesuaikan dengan objek serangan tertentu baik menggunakan serangan terarah maupun acak“. Serangan yang terjadi terhadap sebuah sistem jaringan dikalangan praktisi lazim sering disebut dengan penetration.Dalam materi keamanan sistem dikenal sangat banyak dan beragam teknik serangan terhadap sebuah sistem sesuai dengan sifat dan karakteristiknya. Teknik serangan semakin lama semakin canggih dan sangat sulit di prediksi dan dideteksi. Ancaman virus seperti, virus, worms, trojan horse.

PHYSICAL SECURITY & LOGICAL SECURITY

PHYSICAL SECURITY & LOGICAL SECURITY

A.  PHYSICAL SECURITY

Keamanan adalah hal yang sangat penting untuk diorganisasikan, dan didalam keamanan itu sendiri keamann fisik adalah yang tidak kalah pentingnya.

Physical Security atau keamanan fisik membahas ancaman, kerawanan dan tindakan yang dapat diambil untuk mamberi perlindungan fisik tehadap sumber daya organisasi dan informasi yang sensitif. Sistem keamanan fisik sering mengacu pada tindakan yang diambil untuk melindungi sistem, gedung dan infrastruktur pendukung yang terkait terhadap ancaman yang berhubungan dengan lingkungan fisik. Secara singkat Physical Security dapat diartikan sebagai keamanan infrastruktur teknologi informasi secara fisik.
Metodologi Keamanan

Dalam metodology keamanan ada tingkatan level keamanan yang harus diperhatikan

ü  Level 0 –> Keamanan fisik

ü  Level 1 –> Keamanan database, data, komputer, peralatan & aplikasi

ü  Level 2 –> Keamanan jaringan

ü  Level 3 –> Keamanan informasi

ü  Level 4 –> Keamanan

-

Daftar Physical security

1.     Company Surroundings

Sebuah perusahaan besar biasanya memiliki sistem keamanan yang terstruktur dengan sangat baik. Untuk memasuki wilayah perusahaan dibutuhkan hak akses yang sah, dan hanya orang-orang tertentu saja yang memiliki hak tersebut.

Beberapa cara mengamankan daerah sekitar perusahaan:

ü  Pagar / gerbang

ü  Tembok tinggi

ü  Penjaga

ü  Menggunakan alarm keamanan

2.     Reception

Posisi seorang resepsionis harus diperhatikan, karena orang luar perusahaan dapat dengan mudah untuk melihat dan mengetahui segala aktivitas yang dilakukan resepsionis terhadap komputer perusahaan. Sebaiknya:

ü  Posisi monitor komputer tidak menghadap ke orang luar

ü  Tidak meninggalkan komputer dalam keadaan menyala

3.     Server

Komputer server pada sebuah perusahaan adalah bagian yang paling penting, karena dalam komputer tersebut tersimpan data-data penting (rahasia) perusahaan. Perlindungan terhadap komputer server dapat dilakukan dengan 2 cara:

Pertama: Perlindungan data pada computer server, biasanya dari serangan virus dan spy. Disarankan untuk menginstall antivirus dan sering-sering untuk mengpdatenya.

Kedua: Perlindungan fisik komputer server dari berbagai serangan, khususnya dari serangan bencana alam.

4.     Workstation area

Workstation area merupakan tempat yang sangat rawan untuk keamanan data, karena orang dapat dengan mudah untuk mengambil data dari komputer milik orang lain. Sebaiknya kita melakukan pengamanan dengan cara:

ü  Tidak meninggalkan meja kerja dengan keadaan komputer menyala, komputer harus dalam keadaan terkunci

ü  Gunakan kamera CCTV

ü  Tidak meninggalkan usb / media drives lainnya masih terhubung ke komputer

5.     Wireless access points

Keberadaan alat wireless access points sudah semakin meluas dan dibutuhkan pengamanan yang lebih ketat. Untuk mencegah akses-akses yang tidah sah, sebaiknya wireless access harus lebih terjaga/ terjamin. Lakukanlah hal-hal berikut:

ü  Nyalakan WEP encryption

ü  Rubah default SSID-nya

ü  Access point harus menggunakan password

ü  Password harus cukup kuat sehingga tidak mudah untuk dicrack

6.     Access control

Access control digunakan untuk mencegah panggunaan akses yang tidak sah terhadap area-area operasional sensitif perusahaan. Pengontrolan dapat dilakukan dengan cara:

ü  Kartu pengenal yang dilengkapi chip

ü  Biometric device: retina mata, sidik jari, pengenal suara

7.    Computer equipment maintenance

Pemeliharaan komputer secara rutin sangat disarankan, karena dapat membuat komputer tahan lama dan tetap stabil untuk jangka waktu yang panjang. Sebaiknya:

ü  Perusahaan memiliki orang-orang yang terlatih dan bertanggungjawab dalam bidang maintenance

ü  Tidak membiarkan orang luar perusahaan untuk melakukan maintenance

8.     Wiretapping

Wiretapping adalah tindakan secara diam-diam mendengarkan pembicaraan orang lain melalui saluran telepon. Biasa dikenal dengan istilah penyadapan. Pengamanan dapat dilakukan dengan

ü  Tidak membiarkan kabel berserakkan sembarangan, susun kabel secara rapih

ü  Lindungi kabel dengan pelindung kabel

9.    Remote access

Remote access dapat mempermudah pegawai untuk mengakses komputer perusahaan dari luar perusahaan. Namun sebaiknya penggunaan remote access ini dihindari karena keamanan dari remote access sangat rendah dan rentan terhadap pencurian data.

Keamanan fisik memilki tingkat kerentanan, ancaman yang berbeda dari keamanan informasi. Keamanan fisik lebih cenderung kepada perusakan fisik, penyusup, isu lingkungan, pencurian, dan vandalisme. Etika seorang yang ahli dalam bidang keamanan melihat kedalam keamanan informasi, mereka berpikir tentang bagaimana seseorang dapat masuk kedalam lingkunagn yang ia tidak memilki hak melalui port, modem, atau wireless access point.

Tetapi ketika yang ahli dalam bidang keamanan melihat kedalam keamanan fisik, mereka akan berpikir bagaimana orang dapat secara fisik masuk ke lingkungan kompuer dan menyebabkan berbagai kerusakan. Ancaman yang mungkin terjadi dalam keamanan fisik dapat dibagi menjadi beberapa katagori:

1)   Ancaman alam. Seperti banjir, gempa bumi, badai dan tornado, kebakaran, kondisi temperatur, dan lain sebagainya.

2)   Ancaman sistem. Seperti distribusi tegangan, gangguan komunikasi, gangguan ke berbagai sumber daya lainnya seperti air, uap air, gas dan lain sebagainya.

3)   Ancaman yang dibuat manusia. Orang yang tidak memilki akses (internal maupun eksternal), ledakan bom, dendam pegawai, kesalahan dan kecelakaan pegawai, vandalisme, penipuan, pencurian, dan lain sebagainya.

4)   Ancaman bermotivasi politik. Mogok kerja, kerusuhan, pemberontak, serangan teroris, pemboman, dan sebagainya.

B.   LOGICAL SECURITY

Logical security merupakan jenis kontrol dalam sebuat sistem informasi yang berikaitan dengan aturan pengaksesan pengguna sesuai dengan wewenang yang diberikan/ditentukan dalam penggunaan data/informasi serta program-program sistem informasi. Maka dari itu logical security banyak berhubungan dengan user-ID untuk setiap pengguna sistem informasi.

1.      Logical security bertujuan untuk

Melindungi data/informasi yang tersimpan di dalam perangkat sistem informasi, dari perusakan

atau penghancuran yang dilakukan baik disengaja maupun tidak disengaja.

Menghindari dan mendeteksi perubahan terhadap data/informasi yang dilakukan oleh pihak 

tidak berwenang, serta menjaga agar informasi tidak disebarkan kepada pihak yang tidak

berwenang.

2.      Aplikasi Logical Security

Terdapat beberapa pengaplikasian logical security terhadap sistem informasi yang pada umumnya aplikasi tersebut juga diimplementasikan ke dalam beberapa sistem aplikasi lainnya. Pengaplikasian tersebut diantaranya user-ID, password, access level, closed menu.

a)   User-id

Tujuan dari user-ID adalah untuk mengidentifikasi pengguna yang memiliki otoritas untuk mengakses sistem informasi. Sebelumnya sistem harus mendapatkan data semua user-ID yang akan disimpan pada basisdata sistem informasi. User-ID merupakan perisai pertama terhadap pengaksesan sistem. Setiap user-ID harus diidentifikasi oleh satu data yang bersifat unik (biasanya berupa kunci utama dalam sebuah basisdata). Beberapa data yang biasanya termasuk ke dalam user-ID diantaranya:

1)      Username

Username merupakan data yang menidentifikasi setiap pengguna. Username lebih baik bersifat unik untuk dapat mengidentifikasi setiap pengguna. Username dapat dibuat menggunakan kodifikasi. Sebagai contoh username dengan nilai BDGCSAP001 (BDG = Bandung, CS = Customer Service, AP = Agus Putra, 001 = Nomor urut apabila ada pengguna yang bekerja di bagian yang sama dan nama yang sama).

2)      Password

Password juga merupakan bagian dari data set user-ID. Tetapi dalam materi ini akan dibahas secara terpisah di sub bab berikutnya. Password merupakan kunci untuk masuk ke dalam sistem atau mendapatkan akses.

3)      Initial Menu

Initial menu merupakan informasi menu apa saja yang akan ditampilkan pada sebuah sistem informasi berkaitan dengan hak akses setiap pengguna. Sebagai contoh pada sistem informasi akademik, menu untuk bagian akademik dengan menu untuk guru harus berbeda. Daftar menu yang dapat ditampilkan untuk setiap jenik hak akses dapat disimpan dalam basis data atau juga dapat diseleksi langsung menggunakan kode program.

4)      Output Queue

Menentukan arah output dari setiap proses yang harus dikirimkan oleh sistem.

5)      Special Authorities

terdapat seorang pengguna yang diberikan wewenang tambahan untuk mengakses data atau proses, dapat didefinisikan di bagian special authorities.

6)      Password change date

Tanggal setiap ada perubahan password harus selalu terekam atau tersimpan.

7)      Access Levels

     Menentukan hak pengaksesan untuk setiap level pengguna yang berkaitan dengan data dan program (modul). Pembahasan lebih lengkap ada pada sub bab berikutnya.

b)   Password

Password berkaitan dengan user-ID, untuk membuktikan bahwa pengguna memiliki wewenang untuk memaki dan masuk ke dalam sistem. Oleh karena itu setiap pengguna sebelum masuk ke dalam sistem informasi harus mengetik/memasukan username beserta password. Untuk menghindari percobaan pengaksesan oleh pengguna yang tidak memiliki wewenang, harus dikontrol dengan mengkombinasikan kontrol preventif dan pendeteksian. Hal tersebut dapat dilakukan dengan cara:

1.  Ditentukan batasan kesalahan dalam memasukan username dan password (misalnya sebanyak 3 kali). Apabila sudah melebihi batas tersebut maka secara otomatis username yang berkaitan dinonaktifkan oleh sistem. Dapat juga dinonaktifkan terminal yang dipakai apabila tidak akan menggangu proses sistem informasi lainnya. Untuk fasilitas pengaktifan dapat diterapkan pada sistem administrator. Kontrol ini juga dapat memberikan informasi terhadap pemilik sistem bahwa adanya aktifitas percobaan pengaksesan sistem secara illegal.

2.    Percobaan tersebut harus direkam di log file. Dimana nantinya secara berkala harus diaudit untuk menginvestigasi beberapa penyebabnya.

Sistem informasi yang baik akan merekam semua kegiatan pengguna (diwakili oleh user-ID setiap pengguna). Contohnya sistem akan merekam user-ID (beserta tanggal kejadian) yang melakukan perubahan dan penghapusan terhadap data

c)    Access level

Setelah pengguna berhasil masuk ke dalam sistem dengan menggunakan user-ID dan passwordnya, maka sistem hanya akan menyediakan data dan informasi yang sesuai dengan level akses pengguna tersebut. Selain itu modul-modul yang digunakan juga sesuai dengan level akses. Oleh karena itu rincian tingkat pengaksesan harus diimplementasikan ke dalam sistem. Berikut beberapa level akses yang umum diterapkan, diantaranya:

1.      No Access

Tingkat pengaksesan ini berarti pengguna tidak diizinkan memakai program beserta datanya. Sebagai default, semua file dan program memiliki tingkat pengaksesan ini.

2.      Execute

Tingkat pengaksesan ini berlaku untuk program yang diizinkan untuk dijalankan oleh pengguna.

3.      Read Only

Pengguna hanya diperbolehkan untuk menjalankan program yang diakses dengan membaca atau mencetak beberapa file yang berkaitan dengan program tersebut. Akan tetapi tidak diberikan akses untuk memodifikasi dan/atau menghapus data yang ada pada file tersebut.

4.      Modify/Update

Pengguna diberikan akses untuk memodifikasi data yang ada pada file.

5.      Delete

Pengguna diberikan akses untuk menghapus data yang ada pada file.

6.      Add/Write

Memungkinkan pengguna untuk menambahkan record ke dalam file.

7.      Owner

Memungkinkan pengguna memberikan hak pengaksesan terhadap file-file atau/dan menjalankan program-program tertentu kepada pengguna lain.

d)   Clodes menu

Closed menu merupakan informasi menu apa saja yang akan ditampilkan pada sebuah sistem informasi berkaitan dengan hak akses setiap pengguna. Setiap pengguna akan diberikan menu program sesuai hak akses yang sudah ditentukan. Sebagai contoh pada sistem informasi akademik, menu untuk bagian akademik dengan menu untuk guru harus berbeda. Daftar menu yang dapat ditampilkan untuk setiap jenik hak akses dapat disimpan dalam basis data atau juga dapat diseleksi langsung menggunakan kode program.

CYBERCRIME YANG TERJADI DI DUNIA

Kasus Cybercrime yang terjadi di dunia

     Semakin berkembangnya teknologi, semakin berkembang juga kejahatan dunia maya yang sifatnya merugikan suatu pihak tertentu. Kasus kejahatan internet sendiri umumnya berkaitan  dengan privasi seseorang, baik itu pencurian dokumen rahasia, peretasan, hingga hal lain yang sudah pasti bersifat merugikan. Pelaku kejahatan dalam dunia maya atau internet biasa disebut dengan hacker.

Beberapa macam kejahatan internet yang gunanya sebagai pengetahuan:

1. Carding
   Carding bisa dibilang sebagai salah satu tindak pencurian, namun bersifat digital. Carding adalah sebutan untuk aktivitas berbelanja secara ilegal menggunakan nomor atau identitas kartu kredit orang lain. Adapun pelakunya sendiri disebut dengan carder. Indonesia merupakan negara kedua setelah Ukraina dengan tingkat kejahatan carding terbanyak di dunia. Tidak tanggung-tanggung lagi, 20% transaksi internet dari Indonesia merupakan hasil carding. Oleh sebab itu, tidak heran bayak situs belanja online dunia yang memblokir alamat IP asal Indonesia. Dalam artian, blacklist sehingga orang Indonesia tidak dapat berbelanja di situs tersebut. Intinya Carding merupakan kejahatan internet yang sangat merugikan orang lain.

2.  Defacing

    Defacing bekerja dengan mengubah suatu halaman situs atau website pihak lain. Biasanya karena kekecewaan, dan ini tidak bersifat fatal. Dalam arti tidak terlalu merugikan.

3.  Hacking

    Hacking atau hacker adalah kegiatan pencurian privasi dengan cara meretas progam komputer milik orang atau pihak lain. Akan tetapi meski tergolong satu tindakan kejahatan, hacking sendiri rupanya terbagi menjadi dua kategori, yaitu baik dan buruk. Hacker baik adalah hacker yang mengamati keamanan suatu program milik orang lain, apabila ditemukan celah, hacker tersebut segera memberi tahu developer-nya bahwa program aplikasi tidak aman dan sebaiknya segera diperbaiki. Sedangkan hacker buruk biasanya justru memanfaatkan celah keamanan untuk tujuan jahat. Misalnya mengacaukan program komputer, mencuri privasi, atau mengambil alih sebuah program aplikasi.

4.  Cracking
   Cracking yang disimpulkan sebagai peretasan bersifat jahat atau merusak. Pelakunya sendiri disebut cracker. Kejahatan ini bisa diibaratkan dengan hacker. Namun jika hacker ada yang bersifat baik, maka Cracking cenderung hanya bersifat buruk. Intinya mencuri, merampok, dan lain-lain dalam dunia maya.

5.    Spamming

     Spamming adalah aktivitas mengirimkan pesan atau iklan yang tidak dikehendaki melalui email atau surat elektronik. Pengiriman pesan tersebut biasanya bertubi-tubi, sehingga tidak heran jika pesan masuk ke folder spam. Ada berbagai macam pesan spam yang biasa masuk ke email kita seperti mengatasnamakan dapat hadiah, lotere, atau seseorang yang mengaku mempunyai rekening di sebuah negara, dan lain sebagainya.

6.      Malware

     Malware merupakan suatu virus, malware rupanya juga bisa dibilang sebagai tindak kejahatan. Sebab, malware dapat membobol atau merusak suatu software bahkan sistem operasi. Ada berbagai macam rupa malware seperti worm, trojan, horse, adware, dan lain-lain. Meskipun dapat di tangani dengan program antivirus atau anti-malware, namun kejahatan ini perlu diwaspadai. Dikarenakan beberapa pihak mengatakan bahwa malware dapat mengakses data privasi seseorang yang tersimpan di dalam komputer tanpa diketahui. Mengingat teknologi berkembang dengan cepat, maka malware juga ikut berkembang dari waktu ke waktu.