Nama : Mohammad MN
NIM : 262050091
---Berikut ini adalah hal-hal yang dapat anda lakukan untuk pengamanan Sistem Informasi anda:
1. Kontrol Pencegahan (Preventative Controls)
Kontrol Pencegahan adalah kontrol yang dirancang untuk mencapai dua hal yakni untuk merendahkan jumlah dan akibat dari kesalahan yang tidak disengaja yang memasuki sistem dan untuk mencegah penerobos yang tidak berhak dari mengakses sistem melalui internal atau ekternal. Contoh dari tipe kontrol seperti ini antara lain adalah pemberian nomor urutan pada form-form atau validasi data dan prosedur pemeriksaan untuk mencegah duplikasi.
2. Kontrol Penyidikan (Detective Controls)
Kontrol Penyidikan digunakan untuk mendeteksi sebuah kesalahan tepat pada saat terjadi. Tidak seperti kontrol pencegahan, kontrol ini berjalan setelah kejadian dan dapat digunakan untuk melacak transaksi yang tidak berhak dan selanjutnya dituntut, atau dapat juga dijadikan sumber informasi untuk mengurangi akibat dari kesalahan pada sistem dengan mengidentifikasikannya secara cepat sebelumterjadinya kesalahan serupa. Contoh dari tipe kontrol seperti ini antara lain adalah jejak audit (audit trails).
3. Kontrol Koreksi/Pengembalian Ulang (Corrective/Recovery Controls)
Kontrol Koreksi diterapkan untuk membantu mitigasi dampak dari kejadian kehilangan melalui prosedur recovery. Kontrol ini dapat digunakan untuk mengatur langkah-langkah yang harus diambil agar suatu sistem dapat kembali ke kondisi seperti semula (recover) setelah kerusakan, contohnya antara lain yakni langkah-langkah untuk mengembalikan kembali data yang secara tidak disengaja terhapus dari floppy disk.
Sedangkan beberapa hal berikut ini adalah kategori kontrol tambahan:
1. Kontrol Pembatas/Pengarah (Deterrent/Directive Controls)
Kontrol Pembatas digunakan untuk mendorong suatu kepatuhan (compliance) dengan kontrol ekternal, seperti regulatory compliance. Kontrol ini ditujukan untuk melengkapi kontrol lain, seperti kontrol pencegahan dan penyidikan. Kontrol ini dikenal juga sebagai kontrol pengarah.
2. Kontrol Aplikasi (Application Controls)
Kontrol Aplikasi adalah kontrol yang dirancang ke dalam aplikasi perangkat lunak untuk mengurangi dan mendeteksi ketidakbiasaan/keanehan operasi perangkat lunak. Sebagai tambahan, kontrol-kontrol selanjutnya adalah juga merupakan bagian dari beragam tipe kontrol aplikasi.
3. Kontrol Transaksi (Transaction Controls)
Kontrol Transaksi digunakan untuk menyediakan kontrol pada berbagai tahapan peristiwa transaksi – dimulai dari inisiasi sampai output melalui kontrol pengujian dan perubahan.
Ada beberapa tipe Kontrol Transaksi:
a. Kontrol Input (Input Controls)
Kontrol Input digunakan untuk memastikan bahwa transaksi-transaksi yang dilakukan, secara benar masuk ke dalam sistem satu kali saja. Unsur dari kontrol ini meliputi penghitungan data dan pemberian tanda waktu/tanggal data tersebut dimasukkan atau diubah.
b. Kontrol Pemroresan (Processing Controls)
Kontrol Pemroresan digunakan untuk menjamin bahwa transaksi-transaksi yang dilakukan adalah valid dan akurat serta masukan-masukan yang salah diproses ulang secara benar dan diketahui.
c. Kontrol Output (Output Controls)
Kontrol Output digunakan untuk dua hal yakni untuk melindungi konfidensialitas dari output dan untuk memverifikasi integritas dari output dengan cara membandingkan transaksi input dan data output. Unsur dari kontrol output yang benar adalah dengan meliputi penjaminan bahwa output
telah mencapai user yang semestinya, membatasi akses ke output cetak pada suatu area penyimpanan, heading dan trailing banners dari suatu cetakan, dan mencetak banner “tidak ada output” ketika laporan yang ingin dicetak memang kosong.
d. Kontrol Perubahan (Change Controls)
Kontrol Perubahan diimplementasikan untuk melindungi integritas data dalam sebuah sistem pada saat perubahan dilakukan terhadap konfigurasi. Prosedur dan standar akan diterapkan untuk mengelola perubahan tersebut dan modifikasi pada sistem dan konfigurasinya.
e. Kontrol Uji (Test Controls)
Kontrol Uji dilaksanakan pada saat pengujuan sebuah sistem untuk menghindari pelanggaran konfidensialitas dan untuk menjamin integritas transaksi. Sebagai contoh dari tipe kontrol yang seperti ini adalah penggunaan secara tepat dari data uji yang telah disaring. Kontrol uji seringkali merupakan bagian dari proses kontrol perubahan.
---Meski sebuah sistem informasi sudah dirancang memiliki perangkat pengamanan, dalam operasi masalah keamanan harus selalu dimonitor. Hal ini disebabkan oleh beberapa hal, antara lain:
• Ditemukannya lubang keamanan (security hole) yang baru. Perangkat lunak dan perangkat keras biasanya sangat kompleks sehingga tidak mungkin untuk diuji seratus persen. Kadang-kadang ada lubang
keamanan yang ditimbulkan oleh kecerobohan implementasi.
• Kesalahan konfigurasi. Kadang-kadang karena lalai atau alpa, konfigurasi sebuah sistem kurang benar sehingga menimbulkan lubang keamanan. Misalnya mode (permission atau kepemilikan) dari berkas yang menyimpan password (/etc/passwd di sistem UNIX) secara tidak sengaja diubah sehingga dapat diubah atau ditulis oleh orang-orang yang tidak berhak.
• Penambahan perangkat baru (hardware dan/atau software) yang menyebabkan menurunnya tingkat security atau berubahnya metoda untuk mengoperasikan sistem. Operator dan administrator harus belajar
lagi. Dalam masa belajar ini banyak hal yang jauh dari sempurna, misalnya server atau software masih menggunakan konfigurasi awal dari vendor (dengan password yang sama).
---Dalam pembuatan SI, kadang lubang keamanan (security hole) dapat terjadi karena beberapa hal; salah disain (design flaw), salah implementasi, salah konfigurasi, dan salah penggunaan.
Salah Disain
Lubang keamanan yang ditimbulkan oleh salah disain umumnya jarang terjadi. Akan tetapi apabila terjadi sangat sulit untuk diperbaiki. Akibat disain yang salah, maka biarpun dia diimplementasikan dengan baik,
kelemahan dari sistem akan tetap ada.
Contoh sistem yang lemah disainnya adalah algoritma enkripsi ROT13 atau Caesar cipher, dimana karakter digeser 13 huruf atau 3 huruf. Meskipun diimplementasikan dengan programming yang sangat teliti, siapapun yang mengetahui algoritmanya dapat memecahkan enkripsi tersebut.
Implementasi kurang baik
Lubang keamanan yang disebabkan oleh kesalahan implementasi sering terjadi. Banyak program yang diimplementasikan secara terburu-buru sehingga kurang cermat dalam pengkodean. Akibatnya cek atau testing yang harus dilakukan menjadi tidak dilakukan. Sebagai contoh, seringkali batas (“bound”) dari sebuah “array” tidak dicek sehingga terjadi yang disebut out-of-bound array atau buffer overflow yang dapat dieksploitasi (misalnya overwrite ke variable berikutnya). Lubang keamanan yang terjadi karena masalah ini sudah sangat banyak, dan yang mengherankan terus terjadi, seolah-olah para programmer tidak belajar dari pengalaman
Salah konfigurasi
Meskipun program sudah diimplementasikan dengan baik, masih dapat terjadi lubang keamanan karena salah konfigurasi. Contoh masalah yang disebabkan oleh salah konfigurasi adalah berkas yang semestinya tidak dapat diubah oleh pemakai secara tidak sengaja menjadi “writeable”. Apabila berkas tersebut merupakan berkas yang penting, seperti berkas yang digunakan untuk menyimpan password, maka efeknya menjadi lubang. keamanan. Kadangkala sebuah komputer dijual dengan konfigurasi yang sangat lemah. Ada masanya workstation Unix di perguruan tinggi didistribusikan dengan berkas /etc/aliases (berguna untuk mengarahkan email), /etc/utmp (berguna untuk mencatat siapa saja yang sedang menggunakan sistem) yang dapat diubah oleh siapa saja. Contoh lain dari salah konfigurasi adalah adanya program yang secara tidak sengaja diset menjadi “setuid root” sehingga ketika dijalankan pemakai memiliki akses seperti super user (root) yang dapat melakukan apa saja.
Salah menggunakan program atau system
Salah penggunaan program dapat juga mengakibatkan terjadinya lubang keamanan. Kesalahan menggunakan program yang dijalankan dengan menggunakan account root (super user) dapat berakibat fatal. Sering terjadi cerita horor dari sistem administrator baru yang teledor dalam menjalankan perintah “rm -rf” di sistem UNIX (yang menghapus berkas atau direktori beserta sub direktori di dalamnya). Akibatnya seluruh berkas di system menjadi hilang mengakibatkan Denial of Service (DoS). Apabila system yang digunakan ini digunakan bersama-sama, maka akibatnya dapat lebih fatal lagi. Untuk itu perlu berhati-hati dalam menjalan program, terutama apabila dilakukan dengan menggunakan account administrator seperti root tersebut.
Untuk mengamankan SI anda, berikut hal-hal yang perlu anda lakukan:
Pada umunya, pengamanan dapat dikategorikan menjadi dua jenis:
pencegahan (preventif) dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem informasi tidak memiliki lubang keamanan, sementara usaha-usaha pengobatan dilakukan apabila lubang keamanan
sudah dieksploitasi.Berikut ini langkah-langkah yang kami sarankan untuk anda lakukan untuk mengamankan SI anda:
a. Mengatur akses (Access Control)
b. Menutup servis yang tidak digunakan
c. Memasang Proteksi
d. Pasanaglah Firewall
e. Gunakan sistem pemantau “intruder detection system” (IDS).
f. Pemantau integritas system
g. Audit: Mengamati Berkas Log
h. Backup secara rutin
i. Penggunaan enkripsi untuk meningkatkan keamanan
j. Telnet atau shell aman
sumber: dari kumpulan artikel Pak Budi Rahardjo
NIM : 262050091
---Berikut ini adalah hal-hal yang dapat anda lakukan untuk pengamanan Sistem Informasi anda:
1. Kontrol Pencegahan (Preventative Controls)
Kontrol Pencegahan adalah kontrol yang dirancang untuk mencapai dua hal yakni untuk merendahkan jumlah dan akibat dari kesalahan yang tidak disengaja yang memasuki sistem dan untuk mencegah penerobos yang tidak berhak dari mengakses sistem melalui internal atau ekternal. Contoh dari tipe kontrol seperti ini antara lain adalah pemberian nomor urutan pada form-form atau validasi data dan prosedur pemeriksaan untuk mencegah duplikasi.
2. Kontrol Penyidikan (Detective Controls)
Kontrol Penyidikan digunakan untuk mendeteksi sebuah kesalahan tepat pada saat terjadi. Tidak seperti kontrol pencegahan, kontrol ini berjalan setelah kejadian dan dapat digunakan untuk melacak transaksi yang tidak berhak dan selanjutnya dituntut, atau dapat juga dijadikan sumber informasi untuk mengurangi akibat dari kesalahan pada sistem dengan mengidentifikasikannya secara cepat sebelumterjadinya kesalahan serupa. Contoh dari tipe kontrol seperti ini antara lain adalah jejak audit (audit trails).
3. Kontrol Koreksi/Pengembalian Ulang (Corrective/Recovery Controls)
Kontrol Koreksi diterapkan untuk membantu mitigasi dampak dari kejadian kehilangan melalui prosedur recovery. Kontrol ini dapat digunakan untuk mengatur langkah-langkah yang harus diambil agar suatu sistem dapat kembali ke kondisi seperti semula (recover) setelah kerusakan, contohnya antara lain yakni langkah-langkah untuk mengembalikan kembali data yang secara tidak disengaja terhapus dari floppy disk.
Sedangkan beberapa hal berikut ini adalah kategori kontrol tambahan:
1. Kontrol Pembatas/Pengarah (Deterrent/Directive Controls)
Kontrol Pembatas digunakan untuk mendorong suatu kepatuhan (compliance) dengan kontrol ekternal, seperti regulatory compliance. Kontrol ini ditujukan untuk melengkapi kontrol lain, seperti kontrol pencegahan dan penyidikan. Kontrol ini dikenal juga sebagai kontrol pengarah.
2. Kontrol Aplikasi (Application Controls)
Kontrol Aplikasi adalah kontrol yang dirancang ke dalam aplikasi perangkat lunak untuk mengurangi dan mendeteksi ketidakbiasaan/keanehan operasi perangkat lunak. Sebagai tambahan, kontrol-kontrol selanjutnya adalah juga merupakan bagian dari beragam tipe kontrol aplikasi.
3. Kontrol Transaksi (Transaction Controls)
Kontrol Transaksi digunakan untuk menyediakan kontrol pada berbagai tahapan peristiwa transaksi – dimulai dari inisiasi sampai output melalui kontrol pengujian dan perubahan.
Ada beberapa tipe Kontrol Transaksi:
a. Kontrol Input (Input Controls)
Kontrol Input digunakan untuk memastikan bahwa transaksi-transaksi yang dilakukan, secara benar masuk ke dalam sistem satu kali saja. Unsur dari kontrol ini meliputi penghitungan data dan pemberian tanda waktu/tanggal data tersebut dimasukkan atau diubah.
b. Kontrol Pemroresan (Processing Controls)
Kontrol Pemroresan digunakan untuk menjamin bahwa transaksi-transaksi yang dilakukan adalah valid dan akurat serta masukan-masukan yang salah diproses ulang secara benar dan diketahui.
c. Kontrol Output (Output Controls)
Kontrol Output digunakan untuk dua hal yakni untuk melindungi konfidensialitas dari output dan untuk memverifikasi integritas dari output dengan cara membandingkan transaksi input dan data output. Unsur dari kontrol output yang benar adalah dengan meliputi penjaminan bahwa output
telah mencapai user yang semestinya, membatasi akses ke output cetak pada suatu area penyimpanan, heading dan trailing banners dari suatu cetakan, dan mencetak banner “tidak ada output” ketika laporan yang ingin dicetak memang kosong.
d. Kontrol Perubahan (Change Controls)
Kontrol Perubahan diimplementasikan untuk melindungi integritas data dalam sebuah sistem pada saat perubahan dilakukan terhadap konfigurasi. Prosedur dan standar akan diterapkan untuk mengelola perubahan tersebut dan modifikasi pada sistem dan konfigurasinya.
e. Kontrol Uji (Test Controls)
Kontrol Uji dilaksanakan pada saat pengujuan sebuah sistem untuk menghindari pelanggaran konfidensialitas dan untuk menjamin integritas transaksi. Sebagai contoh dari tipe kontrol yang seperti ini adalah penggunaan secara tepat dari data uji yang telah disaring. Kontrol uji seringkali merupakan bagian dari proses kontrol perubahan.
---Meski sebuah sistem informasi sudah dirancang memiliki perangkat pengamanan, dalam operasi masalah keamanan harus selalu dimonitor. Hal ini disebabkan oleh beberapa hal, antara lain:
• Ditemukannya lubang keamanan (security hole) yang baru. Perangkat lunak dan perangkat keras biasanya sangat kompleks sehingga tidak mungkin untuk diuji seratus persen. Kadang-kadang ada lubang
keamanan yang ditimbulkan oleh kecerobohan implementasi.
• Kesalahan konfigurasi. Kadang-kadang karena lalai atau alpa, konfigurasi sebuah sistem kurang benar sehingga menimbulkan lubang keamanan. Misalnya mode (permission atau kepemilikan) dari berkas yang menyimpan password (/etc/passwd di sistem UNIX) secara tidak sengaja diubah sehingga dapat diubah atau ditulis oleh orang-orang yang tidak berhak.
• Penambahan perangkat baru (hardware dan/atau software) yang menyebabkan menurunnya tingkat security atau berubahnya metoda untuk mengoperasikan sistem. Operator dan administrator harus belajar
lagi. Dalam masa belajar ini banyak hal yang jauh dari sempurna, misalnya server atau software masih menggunakan konfigurasi awal dari vendor (dengan password yang sama).
---Dalam pembuatan SI, kadang lubang keamanan (security hole) dapat terjadi karena beberapa hal; salah disain (design flaw), salah implementasi, salah konfigurasi, dan salah penggunaan.
Salah Disain
Lubang keamanan yang ditimbulkan oleh salah disain umumnya jarang terjadi. Akan tetapi apabila terjadi sangat sulit untuk diperbaiki. Akibat disain yang salah, maka biarpun dia diimplementasikan dengan baik,
kelemahan dari sistem akan tetap ada.
Contoh sistem yang lemah disainnya adalah algoritma enkripsi ROT13 atau Caesar cipher, dimana karakter digeser 13 huruf atau 3 huruf. Meskipun diimplementasikan dengan programming yang sangat teliti, siapapun yang mengetahui algoritmanya dapat memecahkan enkripsi tersebut.
Implementasi kurang baik
Lubang keamanan yang disebabkan oleh kesalahan implementasi sering terjadi. Banyak program yang diimplementasikan secara terburu-buru sehingga kurang cermat dalam pengkodean. Akibatnya cek atau testing yang harus dilakukan menjadi tidak dilakukan. Sebagai contoh, seringkali batas (“bound”) dari sebuah “array” tidak dicek sehingga terjadi yang disebut out-of-bound array atau buffer overflow yang dapat dieksploitasi (misalnya overwrite ke variable berikutnya). Lubang keamanan yang terjadi karena masalah ini sudah sangat banyak, dan yang mengherankan terus terjadi, seolah-olah para programmer tidak belajar dari pengalaman
Salah konfigurasi
Meskipun program sudah diimplementasikan dengan baik, masih dapat terjadi lubang keamanan karena salah konfigurasi. Contoh masalah yang disebabkan oleh salah konfigurasi adalah berkas yang semestinya tidak dapat diubah oleh pemakai secara tidak sengaja menjadi “writeable”. Apabila berkas tersebut merupakan berkas yang penting, seperti berkas yang digunakan untuk menyimpan password, maka efeknya menjadi lubang. keamanan. Kadangkala sebuah komputer dijual dengan konfigurasi yang sangat lemah. Ada masanya workstation Unix di perguruan tinggi didistribusikan dengan berkas /etc/aliases (berguna untuk mengarahkan email), /etc/utmp (berguna untuk mencatat siapa saja yang sedang menggunakan sistem) yang dapat diubah oleh siapa saja. Contoh lain dari salah konfigurasi adalah adanya program yang secara tidak sengaja diset menjadi “setuid root” sehingga ketika dijalankan pemakai memiliki akses seperti super user (root) yang dapat melakukan apa saja.
Salah menggunakan program atau system
Salah penggunaan program dapat juga mengakibatkan terjadinya lubang keamanan. Kesalahan menggunakan program yang dijalankan dengan menggunakan account root (super user) dapat berakibat fatal. Sering terjadi cerita horor dari sistem administrator baru yang teledor dalam menjalankan perintah “rm -rf” di sistem UNIX (yang menghapus berkas atau direktori beserta sub direktori di dalamnya). Akibatnya seluruh berkas di system menjadi hilang mengakibatkan Denial of Service (DoS). Apabila system yang digunakan ini digunakan bersama-sama, maka akibatnya dapat lebih fatal lagi. Untuk itu perlu berhati-hati dalam menjalan program, terutama apabila dilakukan dengan menggunakan account administrator seperti root tersebut.
Untuk mengamankan SI anda, berikut hal-hal yang perlu anda lakukan:
Pada umunya, pengamanan dapat dikategorikan menjadi dua jenis:
pencegahan (preventif) dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem informasi tidak memiliki lubang keamanan, sementara usaha-usaha pengobatan dilakukan apabila lubang keamanan
sudah dieksploitasi.Berikut ini langkah-langkah yang kami sarankan untuk anda lakukan untuk mengamankan SI anda:
a. Mengatur akses (Access Control)
b. Menutup servis yang tidak digunakan
c. Memasang Proteksi
d. Pasanaglah Firewall
e. Gunakan sistem pemantau “intruder detection system” (IDS).
f. Pemantau integritas system
g. Audit: Mengamati Berkas Log
h. Backup secara rutin
i. Penggunaan enkripsi untuk meningkatkan keamanan
j. Telnet atau shell aman
sumber: dari kumpulan artikel Pak Budi Rahardjo
Tidak ada komentar:
Posting Komentar