Senin, 15 November 2010

Pengamanan Sistem Informasi (Bagian 1)



Implementasi kriptografi ke dalam sebuah Sistem Informasi (SI) adalah salah satu bagian kecil dari SI, namun merupakan bagian yang sangat penting. Hal ini karena kriptografi biasanya pada umumnya diimplementasikan sebagai benteng pertahanan terakhir yang mengamankan secara langsung isi informasi dalam suatu sistem pengamanan SI.

Pesatnya perkembangan teknologi komputer dan komunikasi, telah membuka peluang munculnya berbagai sistem dan aplikasi keamanan dengan menggunakan kriptografi di dalamnya. Seperti diungkapkan dalam Cryptography, Security and the Future, hal lain yang tidak kalah pentingnya adalah bagaimana cara kriptografi itu dapat diimplementasikan dalam kehidupan nyata dan pentingnya pemahaman yang memadai terhadap pengetahuan kriptologi yang terkait.

Hal lain yang tidak kalah pentingnya dari hasil implementasi kriptografi di dalam suatu SI tertentu adalah bagaimana cara agar pemanfaatan kriptografi tidak secara signifikan mengurangi kualitas layanan (Quality of Services) ataupun kinerja (Performance) dari SI. Secara khusus, hal ini tidak akan dibahas pada bab ini, namun untuk referensi lebih lanjut dapat dibaca pada buku “Practical Cryptography” oleh Niels Ferguson dan Bruce Schneier. Pada bab ini hanya akan dibahas beberapa contoh bagaimana kriptografi diterapkan dan dimanfaatkan pada berbagai bidang khususnya yang terkait dengan pengamanan SI dan aplikasinya.



Pengamanan informasi perlu dilakukan di setiap titik SI, di mana tempat informasi tersebut berada; sesuaian dengan hakekat dan bentuk ancaman atau gangguan yang mungkin terjadi di titik tersebut.
Security attack, atau serangan terhadap keamanan sistem informasi, dapat dilihat dari sudut peranan komputer atau jaringan komputer yang fungsinya adalah sebagai penyedia informasi. Menurut W. Stallings [6140] ada beberapa kemungkinan jenis serangan (attack):
1.Interruption
Perangkat sistem menjadi rusak atau tidak tersedia. Serangan ditujukan kepada ketersediaan (availability) dari sistem.
2.Interception
Pihak yang tidak berwenang berhasil mengakses aset atau informasi. Contoh dari serangan ini adalah penyadapan kabel (wiretapping).
3.Modification
Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi web site dengan pesan-pesan yang merugikan pemiliknya.
4.Fabrication
Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesan-pesan palsu seperti e-mail palsu ke dalam sebuah jaringan komputer.

Di setiap titik dimungkinkan kerawanan dalam bentuk :
1.Penangkapan --> Kesalahan persepsi, hal ini dapat terjadi pada saat manusia yang melakukannya lalai maupun atau adanyadari suatu situasi tertentu yang menyebabkan proses untuk mendapatkan persepsi yang utuh tidak/sulit dilakukan.
2.Masukan --> Penyadapan, interupsi dan pemalsuan, proses penyadapan dapat dimungkinkan misalnya dengan menyimpan mikrofon dan pemancar mini yang tersembunyi atau menyadap jalur kabel papan ketik untuk mendapatkan pulsa dari papanalat itutersebut. Interupsi dapat terjadi misal dengan adanya gelombang elektromagnetik yang mengganggu atau terputusnya sumber tenaga. Pemalsuan dapat terjadi jika alat masukan telah mengalami modifikasi, sehingga hasil dari alat tersebut tidak seperti yang diharapkan.
3.Pengolahan --> Penyadapan dan interupsi, teknik untuk mengetahui denyut mikroprosesor dan membaca perintah serta kegiatan di dalamnya telah membuka kemungkinan untuk menyadap alat komputasi elektromagnetiselektronis. Interupsi dapat terjadi saat mikroprosesor kehilangan sumber tenaga.
4.Pengiriman --> Penyadapan, interupsi, pemalsuan dan modifikasi, proses pengiriman adalah proses yang paling rawan dalam suatu sistem telekomunikasi. Karena sulitnya mengawasi fisik sistem secara langsung dari kerawanan yang mungkin timbul. Apalagi dalam suatu model telekomunikasi nirkabel yang pengawasan terjadinya penyadapan sangat sulit dilakukan. Ancaman utama adalah penyadapan, metode intersepsi yang digunakan dimulai dari wiretapping sampai dengan penyadapan jarak jauh. Pada komunikasi gelombang radio dapat dilakukan dengan menangkap gelombang radio yang dipancarkan. Hal tersebut dapat dilakukan dengan menggunakan perangkat keras maupun perangkat lunak.
5.Penerimaan --> Penyadapan dan interupsi, penyadapan pada alat penerima misal adanya perangkat keras lain yang memancarulangkan informasi yang diterima atau terjadi kebocoran sinyal pada alat penerima.
6.Keluaran --> Interupsi dan penyadapan,penyadapan pada media keluaran dapat diterapkan pada media yang terproteksi menggunakan teknik Digital Right Management (DRM). Suatu film yang terproteksi, mau tidak mau harus dapat ditampilkan di layar monitor atau proyektor untuk dapat dilihat oleh penonton. Suatu lagu mau tidak mau harus dapat didengarkan melalui pengeras suara. Penyadapan dilakukan dengan membelokkan kabel ke perangkat perekaman video/audio (video/audio capture device) dan disimpan untuk proses duplikasi, misal ke cakram optik. Interupsi dapat dilakukan dengan men-jamming induksi magnetis monitor sehingga mengalami gangguan. Suatu contoh sederhana saat sebuah telepon genggam menerima panggilan dan berdekatan dengan monitor CRT maka monitor tersebut akan sedikit bergetar tampilan layarnya.
7.Penyimpanan --> Penyadapan dan interupsi. Penyadapan pada media penyimpanan dapat dilakukan dengan duplikasi atau penyalinan data.
8.Pemusnahan --> Rekonstruksi, interupsi dan penyadapan. Pada media penyimpanan magnetis, data yang telah dihapus secara logis, masih dapat direkonstruksi lagi, bahkan yang terhapus fisik pun masih dapat direkonstruksi kembali.
9.Pemaknaan --> Kesalahan persepsi, penerima tidak dapat menterjemahkan data yang diterima menjadi informasi yang sesungguhnya, dapat disebabkan karena pengetahuan yang belum sesuai atau situasi lain yang tidak mendukung termaknainya data.
10.Pelaksanaan --> Pengamatan/pengintaian. Pengintaian dari pelaksanaan maksud informasi dengan alat tertentu atau suatu metode intelijen, dikenal pula istilah social engineering dalam sistem komputer.

Untuk memperkenalkan tentang teknologi kriptografi dan kriptanalisis dalam suatu teknologi pengamanan informasi, tentunya diperlukan pemahaman tentang hal-hal yang terkait dengan pengamanan informasi secara umum. Hal yang paling penting adalah memahami hakekat ancaman/gangguan dan bentuk-bentuknya yang memungkinkan suatu tujuan pengamanan informasi tidak tercapai/mengalami kegagalan.

Pengamanan informasi dibuat dan diterapkan dalam model dan bentuk yang beragam, tergantung kepada situasi infrastruktur yang ada dan kebutuhan serta keterbatasan. Pada kenyataannya, investasi dan belanja pemilikanuntuk infrastruktur pengamanan informasi dibatasi oleh dana, tingkat urgensi dan model sistem.

Semua pihak dalam transaksi harus memiliki keyakinan bahwa sistem informasi yang dipergunakan telah terpenuhi syarat keamanannya. Langkah-langkah pengamanan dan prosedur harus dipenuhi dan diyakini benar dapat dilaksanakan dengan baik, sesuai tujuannya.

Memang tidak semua tujuan pengamanan informasi dapat terpenuhi hanya dengan set protokol dan algoritma matematis saja, namun juga memerlukan suatu aturan, bahkan payung hukum perundang-undangan yang praktis dan dapat diterapkan. Peraturan tersebut harus memiliki tingkat adopsi adaptasi tertentu yang tinggi terhadap perkembangan teknologi, demikarena untuk menjamin terjaminnya keberlangsungan payung hukum itu sendiri, .dinamika perkembangan teknologi sangat mempengaruhi penggunaannya di masyarakat dan memiliki kecenderungan untuk terus berganti sesuai dengan permintaan pengguna.

Secara umum tujuan pengamanan informasi adalah menjamin ketersediaan (availability), keutuhan (integrity), kerahasiaan (confidentiality) dan ketepatan tujuan sistem informasi. Tujuan tersebut jika dijelaskan secara rinci adalah :
1. privasi/kerahasiaan (privacy/confidentiality), menjaga kerahasiaan informasi dari semua pihak, kecuali yang memiliki kewenangan;
2. integritas (integrity), meyakinkan bahwa data tidak mengalami perubahan oleh yang tidak berhak atau oleh suatu hal lain yang tidak diketahui (misalnya buruknya transmisi data);
3. otentikasi/identifikasi (authentication/identification), pengecekan terhadap identitas suatu entitas, bisa berupa orang, kartu kredit atau mesin;
4. tanda tangan (signature), mengesahkan suatu informasi menjadi satu kesatuan di bawah suatu otoritas;
5. otorisasi (authorization), pemberian hak/kewenangan kepada entitas lain di dalam sistem;
6. validasi (validation), pengecekan keabsahan suatu otorisasi;
7. kontrol akses (access control), pembatasan akses terhadap entitas di dalam sistem;
8. sertifikasi (certification), pengesahan/pemberian kuasa suatu informasi kepada entitas yang terpercaya;
9. pencatatan waktu (timestamping), mencatat waktu pembuatan atau keberadaan suatu informasi di dalam sistem;
10. persaksian (witnessing), memverifikasi pembuatan dan keberadaan suatu informasi di dalam sistem bukan oleh pembuatnya
11. tanda terima (receipt), pemberitahuan bahwa informasi telah diterima;
12. konfirmasi (confirmation), pemberitahuan bahwa suatu layanan informasi telah tersedia;
13. kepemilikan (ownership), menyediakan suatu entitas dengan sah untuk menggunakan atau mengirimkan kepada pihak lain;
14. anonimitas (anonimity), menyamarkan identitas dari entitas terkait dalam suatu proses transaksi;
15. nir-penyangkalan (non-repudiation), mencegah penyangkalan dari suatu entitas atas kesepakatan atau perbuatan yang sudah dibuat;
16. penarikan (revocation), penarikan kembali suatu sertifikat atau otoritas.

Kebijakan (Policy) bagaikan mercusuar dalam sebuah badai ancaman terhadap informasi dan membantu organisasi untuk menempatkan pertahanan berpola dan bertingkat. Policy adalah elemen inti dari pengamanan informasi, karena tanpa sebuah kebijakan sistem informasi, implementasi router yang bagus, firewall dan sistem deteksi gangguan intrusi (Intrusion detection system) terhadap sebuah sistem maka integritas sistem tersebut akan kehilangan arah. Policy Kebijakan mengendalikan aplikasi penerapan suatu set teknologi pada sebuah sistem.

Dua buah tindakan analisis perlu dilakukan sebelum policy kebijakan dapat diterapkan. Pertama adalah mencakup inventarisasi aset informasi yang dimiliki oleh organisasi. Gambaran umum dari keseluruhan jaringan, server, workstation, alat komunikasi lain dan data harus dipahami benar dan didokumentasikan, sebelum policy kebijakan dirancang. Kemudian suatu hal yang sangat penting adalah menganalisa menganalisis bagaimana aset informasi dipergunakangunakan oleh pegawai, rekanan atau pihak terkait lainnya. Masukan dari analisaanalisis tersebut memberikan dasar pijakan perancangan policykebijakan keamanan sistem informasi.

Perlu disadari sebelumnya, bahwa penerapan sebuah sistem keamanan pada sebuah sistem akan menurunkan performa dari sistem tersebut, dalam hal ini biasanya berkaitan langsung dengan kecepatan respon dari sistem. Karena beberapa hal proses tambahan harus dilakukan untuk melaksanakan verifikasi, otentikasi dan prosedur-prosedur lain, sebelum informasi tersebut mendapatkan tanggapan dari sebuah sistem. Oleh karenanya, penerapan kekuatan sistem keamanan sangat bergantung pada seberapa penting informasi yang harus dilindungi, sehingga akan tetap terjaga kesetimbangan antara reliabilitas sistem dan kekuatan keamanannya. Policy/Kebijakan yang baik akan memperlakukan pengamanan pada sebuah informasi dengan memperhatikan tingkatan ”harga” informasi tersebut bagi organisasi. Penentuan harga tersebut sangatlah subyektif dan dipengaruhi oleh pemahaman user terhadap informasi dan sistem. Berbagai bentuk sosialisasi maupun pelatihan terhadap kebijakan pengamanan informasi adalah suatu keharusan.

Disarikan dari Jelajah Kriptologi 2007

Tidak ada komentar:

Posting Komentar