Membangun Sistem Keamanan Jaringan pada Aplikasi Berbasis
Web Manajemen Layanan Sistem Informasi
Disusun oleh
Randy Adityanda |
14117950
Universitas Gunadarma
Pada era global seperti sekarang ini,
keamanan sistem informasi menjadi suatu keharusan untuk lebih diperhatikan
terutama yang berbasis unternet, karena jaringan internet yang sifatnya publik
dan global pada dasarnya tidak aman. Pada saat data terkirim dari suatu
komputer ke komputer yang lain di dalam internet, data itu akan melewati sejumlah
komputer yang lain yang berarti akan memberi kesempatan pada user tersebut
untuk mengambil alih satu atau beberapa komputer. Kecuali suatu komputer
terkunci di dalam suatu ruangan yang mempunyai akses terbatas dan komputer
tersebut tidak terhubung ke luar dari ruangan itu, maka komputer tersebut akan
aman.
Definisi dari keamanan
informasi menurut G. J. Simons adalah bagaimana kita dapat mencegah penipuan
(cheating)atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem
yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.
Permasalahan pokok sebenarnya dalam hal keamanan sistem informasi terletak pada
kelemahan dan ancaman atas sistem informasi yang pada gilirannya masalah
tersebut akan berdampak kepada resiko dan pada gilirannya berdampak kepada 7
hal yang utama dalam sistem informasi yaitu :
1.
Efektifitas
2.
Efisiensi
3.
Kerahaasiaan
4.
Integritas
5.
Keberadaan
6.
Kepatuhan
7.
Keandalan
Dasar-dasar dari keamanan
informasi, meliputi:
1.
Tujuan
a.
Menjaga keamanan sumber-sumber informasi , disebut dengan
Manajemen Pengamanan Informasi(information security management-ISM)
b.
Memelihara fungsi-fungsi perusahaan setelah terjadi bencana atau
pelanggaran keamanan, disebut dengan Manajemen Kelangsungan Bisnis (business
continuity management-BCM).
2.
CIO (chief information officer) akan menunjuk sekelompok khusus
pegawai sebagai bagian keamanan sistem informasi perusahaan. (corporate
information systems security officer-CISSO), atau bagian
penjamin informasi perusahaan (corporate information assurance officer-CIAO).
Adapun tujuan keamanan
Informasi menurut Garfinkel, antara lain:
1.
Kerahasiaan/privacy
Inti utama aspek privacy atau confidentiality adalah usaha
untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah datadata
yang sifatnya privat sedangkan confidentiality biasanya
berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu
(misalnya
sebagai bagian dari pendaftaran sebuah servis) dan hanya
diperbolehkan untuk keperluan tertentu tersebut.
2.
Ketersediaan/ availability
Agar data dan informasi perusahaan tersedia bagi pihak-pihak yang
memiliki otoritas untuk menggunakannya.
3.
Integritas/ integrity.
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa
seijin pemilik informasi. Adanya virus,trojan
horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan
contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja “ditangkap” di tengah jalan, diubah
isinya kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas
dari informasi sudah tidak terjaga. Penggunaanenkripsi dan digital
signature, misalnya, dapat mengatasi masalah ini.
4.
Autentikasi/ Authentication .
Berhubungan dengan metoda untuk menyatakan bahwa informasi
betul-betul asli, orang yang mengakses atau memberikan informasi adalah
betul-betul orang yang dimaksud, atau server yang dihubungi adalah betul-betul server yang asli. Authentication biasanya
diarahkan kepada orang (pengguna), namun tidak pernah ditujukan kepada server atau mesin.
5.
Access Control
Berhubungan dengan cara pengaturan akses kepada informasi. Hal ini
biasanya berhubungan dengan klasifikasi data (public, private, confidential, top secret) dan user (guest, admin, top manager)
mekanismeauthentication dan
juga privacy.
6.
Non-repudiation
Menjaga agar seseorang tidak dapat
menyangkal telah melakukan sebuah transaksi.
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem
informasi akan terus meningkat dikarenakan beberapa hal:
a.
Aplikasi bisnis berbasis teknologi informasi dan jaringan komputer
semakin meningkat.
b.
Desentralisasi server sehingga lebih banyak sistem
yang harus ditangani dan membutuhkan lebih banyak operator dan administrator
yang handal.
c.
Semakin kompleksnya sistem yang digunakan, seperti semakin
besarnya program (source
code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang
keamanan.
d.
Semakin banyak perusahaan yang menghubungkan sistem informasinya
dengan jaringan komputer yang global seperti internet..
e.
Transisi dari single
vendor ke multi-vendor sehingga lebih banyak yang harus dimengerti
dan masalahinteroperability antar
vendor yang lebih sulit ditangani.
f.
Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai
banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya.
g.
Kesulitan dari penegak hukum untuk mengejar kemajuan dunia
komputer dan telekomunikasi yang sangat cepat. Begitu pentingnya nilai sebuah
informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh
orang-orang tertentu, karena jatuhnya informasi ke tangan pihak lain dapat
menimbulkan kerugian bagi pemilik informasi itu sendiri.
A. Kelemahan
& Ancaman
Cacat atau kelemahan dari
suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur,
mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga
memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem
tersebut. Kelemahan tersebut dimanfaatkan oleh orang-orang yang tidak
bertanggung jawab seperti gangguan /serangan:
a.
Untuk mendapatkan akses (access attacks)
Berusaha mendapatkan akses ke
berbagai sumber daya komputer atau data/informasi
b.
Untuk melakukan modifikasi (modification attacks)
Didahului oleh usaha untuk mendapatkan akses, kemudian mengubah
data/informasi secara tidak sah
c.
Untuk menghambat penyediaan layanan (denial of service attacks)
Berusaha mencegah pemakai yang sah untuk mengakses sebuah sumber
daya atau informasi Menghambat penyediaan layanan dengan cara mengganggu
jaringan computer
Beberapa cara dalam melakukan serangan, antara lain:
1. Sniffing
Memanfaatkan metode
broadcasting dalam LAN, membengkokkan aturan Ethernet, membuat network
interface bekerja dalam mode promiscuousn, cara pencegahan dengan pendeteksian
sniffer (local & remote) dan penggunaan kriptografi
2.
Spoofing
Memperoleh akses dengan acara berpura-pura menjadi seseorang atau
sesuatu yang memiliki hak akses yang valid, Spoofer mencoba mencari data dari user yang sah agar bisa masuk ke
dalam sistem. Pada saat ini, penyerang sudah mendapatkan username & password yang sah
untuk bisa masuk ke server
3. Man-in-the-middle
Membuat client dan server sama-sama
mengira bahwa mereka berkomunikasi dengan pihak yang semestinya (client mengira
sedang berhubungan dengan server, demikian pula sebaliknya)
4. Menebak password
Dilakukan secara sistematis dengan teknik brute-force atau dictionary (
mencoba semua kemungkinanpassword )
Teknik dictionary: mencoba dengan koleksi
kata-kata yang umum dipakai, atau yang memiliki relasi dengan user yang
ditebak (tanggal lahir, nama anak, dan sebagainya)
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun
dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman
tersebut berasal dari individu, organisasi, mekanisme, atau kejadian yang
memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi
perusahaan. Dan pada kenyataannya, ancaman dapat terjadi dari internal, eksternalperusahaan
serta terjadi secara sengaja atau tidak sengaja Berdasarkan hasil survey menemukan
49% kejadian yang membahayakan keamanan informasi dilakukan pengguna yang sah
dan diperkirakan 81 %
kejahatan komputer dilakukan oleh pegawai perusahaan. Hal ini
dikarenakan ancaman dari internperusahaan memiliki bahaya yang
lebih serius dibandingkan yang berasal dari luar perusahaan dan untuk kontrol
mengatasinya/ menghadapi ancaman internal dimaksudkan dengan
memprediksi gangguan keamanan yang mungkin terjadi. Sementara untuk kontrol
ancaman yang besumber dari eksternal perusahaan baru muncul/ mulai bekerja jika
serangan terhadap keamanan terdeteksi. Namum demikian tidak semuanya ancaman
berasal dari perbuatan yang disengaja, kebanyakan diantaranya karena
ketidaksengajaan atau kebetulan, baik yang berasal dari orang di dalam maupun
luar perusahaan.
Timbulnya ancaman sistem
informasi juga dimungkinkan oleh kemungkin timbul dari kegiatan pengolahan
informasi berasal dari 3 hal utama, yaitu :
1.
Ancaman Alam
·
Ancaman air, seperti : Banjir, Stunami, Intrusi air laut,
kelembaban tinggi,badai, pencairan salju
·
Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung Meletus
·
Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado,
angin ribut
2. Ancaman Manusia
3. Ancaman Lingkungan
Menurut sifatnya ancaman terhadap sistem informasi terdiri dari
ancaman aktif. Ancaman aktif dapat berupa penyelewengan aktivitas, penyalahgunaan
kartu kredit, kecurangan dan kejahatan komputer, pengaksesan oleh orang yang
tidak berhak, sabotase maupun perogram yang jahil, contohvirus,torjan,cacing,bom waktu
dan lain-lain. Sedangkan ancaman pasif berupa kesalahan manusia, kegagalan
sistem maupun bencana alam dan politik. Besar kecilnya suatu ancaman dari
sumber ancaman yang teridentifikasi atau belum teridentifikasi dengan jelas
tersebut, perlu di klasifikasikan secara matriks ancaman sehingga kemungkinan
yang timbul dari ancaman tersebut dapat di minimalisir dengan pasti. Setiap ancaman
tersebut memiliki probabilitas serangan yang beragam baik dapat
terprediksi maupun tidak dapat terprediksikan seperti terjadinya gempa bumi
yang mengakibatkan sistem informasi mengalami mall function.
Aspek ancaman keamanan komputer
atau keamanan sistem informasi
· Interruption : informasi dan data yang ada dalam sistem komputer dirusak dan
dihapus sehingga jika dibutuhkan, data atau informasi tersebut tidak ada lagi.
· Interception : informasi
yang ada disadap atau orang yang tidak berhak mendapatkan akses ke komputer
dimana informasi tersebut disimpan.
· Modifikasi : orang yang tidak berhak berhasil menyadap lalu lintas
informasi yang sedang dikirim dan diubah sesuai keinginan orang tersebut.
· Fabrication : orang yang tidak berhak berhasil meniru suatu informasi yang
ada sehingga orang yang menerima informasi tersebut menyangka informasi
tersebut berasal dari orang yang dikehendaki oleh si penerima informasi
tersebut.
B. Resiko
Dengan mengetahui ancaman dan kelemahan pada sistem informasi
terdapat beberapa kriteria yang perlu diperhatikan dalam masalah keamanan
sistem informasi yang dikenal dengan 10 domain, yaitu :
· Akses kontrol sistem yang digunakan
· Telekomunikasi dan jaringan yang dipakai
· Manajemen praktis yang di pakai
· Pengembangan sistem aplikasi yang digunakan
· Cryptographs yang diterapkan
· Arsitektur dari sistem informasi yang diterapkan
· Pengoperasian yang ada
· Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
· Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
· Tata letak fisik dari sistem yang ada
Kesepuluh domain tersebut
dimaksudkan sebagai antisipasi resiko keamanan informasi yaitu hasil yang tidak
diinginkan akibat terjadinya ancaman dan gangguan terhadap keamanan informasi.
Semua risiko mewakili aktivitasaktivitas yang tidak sah atau di luar dari yang
diperbolehkan perusahaan.
Macam-macam resiko tersebut dapat berupa:
a.
Pengungkapan dan pencurian
Ketika database dan perpustakaan perangkat lunak dapat diakses
oleh orang yang tidak berhak.
b.
Penggunaan secara tidak sah
Terjadi ketika sumber daya perusahaan dapat digunakan oleh orang
yang tidak berhak menggunakannya, biasa disebut hacker.
c.
Pengrusakan secara tidak sah dan penolakan pelayanan
Penjahat komputer dapat masuk ke dalam jaringan komputer dari
komputer yang berada jauh dari lokasi dan menyebabkan kerusakan fisik, seperti
kerusakan pada layar monitor, kerusakan pada disket, kemacetan
pada printer, dan tidak berfungsinya keyboard.
d.
Modifikasi secara tidak sah
Perubahan dapat dibuat pada data-data perusahaan, informasi, dan
perangkat lunak. Beberapa perubahan tidak dapat dikenali sehingga menyebabkan
pengguna yang ada di output system menerima informasi yang salah dan membuat
keputusan yang salah. Tipe modifikasi yang paling dikhawatirkan adalah
modifikasi disebabkan oleh perangkat lunak yang menyebabkan kerusakan, biasanya
dikelompokkan sebagai virus.
C. Pengendalian
Pengendalian yang dimaksud
adalah sejauh mana pengendalian keamanan sistem informasi memiliki peran dalam
mencegah dan mendeteksi adanya kesalahan-kesalahan Kontrol-kontrol untuk
pengamanan sistem informasi antara lain:
1)
Kontrol Administratif
Kontrol ini mencakup hal-hal
berikut:
·
Mempublikasikan kebijakan kontrol yang membuat semua pengendalian
sistem informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak
dalam organisasi.
·
Supervisi terhadap para pegawai, termasuk pula cara melakukan
kontrol kalau pegawai melakukan penyimpangan terhadap yang diharapkan.
·
Pemisahan tugas-tugas dalam pekerjaan dengan tujuan agar tak seorangpun
yang dapat menguasai suatu proses yang lengkap. Sebagai contoh, seorang
pemrogram harus diusahakan tidak mempunyai akses terhadap data produksi
(operasional) agar tidak memberikan kesempatan untuk melakukan kecurangan.
·
Prosedur yang bersifat formal dan standar pengoperasian
disosialisasikan dan dilaksanakan dengan tegas. Termasuk hal ini adalah proses
pengembangan sistem, prosedur untuk backup, pemulihan data, dan
manajemen pengarsipan data.
·
Perekrutan pegawai secara berhati-hati yang diikuti dengan
orientasi pembinaan, dan pelatihan yang diperlukan.
2)
Kontrol Pengembangan dan Pemeliharaan Sistem
Dibutuhkan peran auditor sistem informasi, dengan dilibatkannya
dari masa pengembangan hingga pemeliharaan sistem, untuk memastikan bahwa
sistem benar-benar terkendali, termasuk dalam hal otorisasi pemakai sistem.
Aplikasi dilengkapi dengan audit trail sehingga kronologi
transaksi mudah untuk ditelusuri
3)
Kontrol Operasi
Termasuk dalam kontrol ini:
·
Pembatasan akan akses terhadap data
·
Kontrol terhadap personel pengoperasi
·
Kontrol terhadap peralatan
·
Kontrol terhadap penyimpanan arsip
·
Pengendalian terhadap virus
·
Proteksi fisik terhadap pusat data
·
Faktor lingkungan yang menyangkut suhu, kebersihan, kelembaban
udara, bahaya banjir, dan keamanan fisik ruangan perlu diperhatikan dengan
benar.
4)
Proteksi Fisik terhadap Pusat Data Faktor lingkungan yang
menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir, dan keamanan
fisik ruangan perlu diperhatikan dengan benar.
·
Untuk mengatisipasi kegagalan sistem komputer, terkadang
organisasi menerapkan sistem komputer yang berbasis fault-tolerant (toleran
terhadap kegagalan).
·
Pada sistem ini, jika komponen dalam sistem mengalami kegagalan
maka komponen cadangan atau kembarannya segera mengambil alih peran komponen
yang rusak
5)
Kontrol Perangkat Keras
Sistem fault-tolerant dapat diterapkan pada lima level, yaitu pada
·
komunikasi jaringan, toleransi kegagalan terhadap jaringan
dilakukan dengan menduplikasi jalur komunikasi dan prosesor komunikasi.
·
prosesor, redundasi prosesor dilakukan (1 antara lain dengan
teknik watchdog procesWr, yang akan mengambil alih prosesor
yang bermasalah.
·
penyimpan eksternal,terhadap kegagalan pada penyimpan eksternal
antara lain dilakukan melalui disk memoring atau disk
shadowing, yang menggunakan teknik dengan menulis seluruh data ke dua disk
secara pararel. Jika salah satu disk mengalami kegagalan, program aplikasi
tetap bisa berjalan dengan menggunakan disk yang masih baik.
·
catu daya, toleransi kegagalan pada catu daya diatasi melalui UPS.
·
transaksi, toleransi kegagalan pada level transaksi
ditanganimelalui mekanisme basis data yang disebut rollback, yang akan
mengembalikan ke keadaan semula yaitu keadaan seperti sebelum transaksi dimulai
sekiranya di pertengahan pemrosesan transaksi terjadi kegagalan.
6)
Kontrol Akses terhadap Sistem Komputer
a.
Sistem-sistem yang lebih maju mengombinasikan dengan teknologi
lain.
b.
Teknologi yang lebih canggih menggunakan sifat-sifat biologis
manusia yang bersifat unik, seperti sidik jari dan retina mata, sebagai kunci
untuk mengakses system
c.
Pada sistem yang terhubung ke Internet, akses Intranet dari
pemakai luar (via Internet) dapat dicegah dengan menggunakan firewall.
Firewall dapat berupa program ataupun perangkat keras yang memblokir
akses dari luar intranet.
d.
Ada kemungkinan bahwa seseorang yang tak berhak terhadap
suatu informasi berhasil membaca informasi tersebut melalui jaringan
(dengan menggunakan teknik sniffer. Untuk mengantisipasi keadaan seperti ini,
alangkah lebih baik sekiranya informasi tersebut dikodekan dalam bentuk yang
hanya bisa dibaca oleh yang berhak
7)
Kontrol terhadap akses informasi
Dua teknik yang popular untuk melakukan enskripsi yaitu DES dan
public-key encryption
a.
DES merupakan teknik untuk melakukan enskripsi dan deskripsi yang
dikembangkan oleh IBM pada tahun 1970-an. Kunci yang digunakan berupa kunci
privat yang bentuknya sama. Panjang kunci yang digunakan sebesar 64 bit.
Algoritma yang digunakan mengonversi satu blok berukuran 64 bit (8karakter)
menjadi blok data berukuran 64 bit. • Sistem DES yang menggunakan kunci privat
memiliki kelemahan yang terletak pada keharusan untuk mendistribusikan kunci
ini. Pendistribusian inilah yang menjadi titik rawan untuk diketahui oleh pihak
penyadap.
b.
Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi
berhasil membaca informasi tersebut melalui jaringan (dengan menggunakan
teknik sniffer). Untuk mengantisipasi keadaan seperti ini, alangkah
lebih baik sekiranya informasi tersebut dikodekan dalam bentuk yang hanya bisa
dibaca oleh yang berhak
c.
Studi tentang cara mengubah suatu informasi kedalam bentuk yang
tak dapat dibaca oleh orang lain dikenal dengan istilah kriptografi. Adapun
d.
Sistemnya disebut sistem kripto. Secara lebih khusus, proses untuk
mengubah teks asli (cleartext atau plaintext) menjadi teks yang telah dilacak
(cliphertext) dinamakan enskripsi, sedangkan proses kebalikannya, dari
chiphertext menjadi cleratext, disebut dekrpisi.
Untuk mengatasi kelemahan
sistem kripto simetrik, diperkenalkan teknik yang disebut kriptografi kunci
publik. Sistem ini merupakan model sistem kripto asimetrik, yang menggunakan
kunci enkripsi dan dekripsi yang berbeda. Caranya adalah dengan menggunakan
kunci privat dan kunci publik.
8)
Kontrol terhadap Bencana
a.
Rencana pemulihan (recovery plan) menentukan
bagaimana pemrosesan akan dikembalikan ke keadaan seperti aslinya secara
lengkap, termasu mencakup tanggung jawab masing-masing personil.
b.
Rencana pengujian (test plan) menentukan
bagaimana komponenkomponen dalam rencana pemulihan akan diuji atau
disimulasikan
c.
Rencana darurat (emergency plan) menentukan
tidakan-tindakan yang harus dilakukan oleh para pegawai manakala bencana
terjadi.
d.
Rencana cadangan (backup plan) menentukan
bagaimana pemrosesan informasi akan dilaksanakan selama masa darurat.
9)
Kontrol Terhadap Perlidungan Terakhir
·
Rencana pemulihan terhadap bencana.
·
Asuransi.
10) Kontrol Aplikasi
Merupakan kontrol yang diwujudkan secara sesifik dalam suatu
aplikasi SI. Wilayah yang dicakup oleh kontrol ini meliputi:
·
Kontrol Masukan
·
Kontrol Pemrosesan
·
Kontrol Keluaran
·
Kontrol Basis Data
·
Kontrol Telekomunikasi
Metodologi Keamanan Sistem
Informasi
a)
Keamanan level 0
Keamanan fisik, merupakan keamanan tahap awal dari komputer security. Jika
keamanan fisik tidak terjaga dengan baik, maka data-data bahkan hardware komputer
sendiri tidak dapat diamankan.
b)
Keamanan level 1
Meliputi database, data security, keamanan dari
PC itu sendiri, device, dan application.
c)
Keamanan level 2
Keamanan Network security. Komputer yang terhubung
dengan jaringan sangat rawan dalam masalah keamanan, oleh karena itu keamanan
level 2 harus dirancang supaya tidak terjadi kebocoran jaringan, akses ilegal
yang dapat merusak keamanan data tersebut.
d)
Keamanan level 3
Menyangkut information
security, keamanan informasi yang kadang kala tidak begitu
dipedulikan oleh administrator seperti
memberikan password ke
teman, atau menuliskannya dikertas, maka bisa menjadi sesuatu yang fatal jika
informasi tersebut diketahui oleh orang yang tidak bertanggung jawab.
Cara mendeteksi suatu serangan
atau kebocoran sistem Terdiri dari 4 faktor yang merupakan cara untuk mencegah
terjadinya serangan atau kebocoran sistem :
a.
Desain sistem
Desain sistem yang baik tidak meninggalkan celah-celah yang
memungkinkan terjadinya penyusupan setelah sistem tersebut siap dijalankan.
b.
Aplikasi yang Dipakai
Aplikasi yang dipakai sudah diperiksa dengan seksama untuk
mengetahui apakah program yang akan dipakai dalam sistem tersebut dapat diakses
tanpa harus melalui prosedur yang seharusnya dan apakah aplikasi sudah
mendapatkan kepercayaan dari banyak orang.
c.
Manajemen
Pada dasarnya untuk membuat suatu sistem yang aman/terjamin tidak
lepas dari bagaimana mengelola suatu sistem dengan baik. Dengan demikian
persyaratan good practice standard seperti Standard
Operating Procedure (SOP) haruslah diterapkan di samping
memikirkan hal teknologinya.
d.
Manusia (Administrator)
Manusia adalah salah satu fakor yang sangat penting, tetapi sering
kali dilupakan dalam pengembangan teknologi informasi dan dan sistem keamanan.
D.
Strategi dan Langkah Pengamanan
Strategi dan taktik keamanan
sistem informasi yang dimaksud, meliputi:
a.
Keamanan fisik
Siapa saja memiliki hak akses ke sistem. Jika hal itu tidak
diperhatikan, akan terjadi hal-hal yang tidak dikehendaki.
b.
Kunci Komputer
Banyak case PC modern menyertakan atribut penguncian.
Biasanya berupa soket pada bagian depancase yang memungkinkan kita
memutar kunci yang disertakan ke posisi terkunci atau tidak.
c.
Keamanan BIOS
Untuk mencegah orang lain me-reboot ulang komputer kita dan
memanipulasi sisten komputer kita.
d.
Mendeteksi Gangguan Keamanan Fisik
Hal pertama yang harus diperhatikan adalah pada saat komputer akan
direboot.
Langkah keamanan sistem
informasi
1. Aset
Perlindungan aset merupakan hal yang penting dan merupakan langkah
awal dari berbagai implementasi keamanan komputer.
2. Analisis Resiko
Menyangkut identifikasi akan resiko yang mungkin terjadi,
sebuah even yang potensial yang bisa mengakibatkan suatu
sistem dirugikan.
3. Perlindungan
Melindungi jaringan internet dengan pengaturan Internet
Firewall yaitu suatu akses yang mengendalikan jaringan internet dan
menempatkan web dan FTP server pada suatu server yang
sudah dilindungi olehfirewall.
4. Alat
Alat atau tool yang digunakan pada suatu komputer merupakan peran
penting dalam hal keamanan karena tool yang digunakan harus benar-benar aman.
5. Prioritas
Jika keamanan jaringan merupakan suatu prioritas, maka suatu
organisasi harus membayar harga baik dari segi material maupun non material.
Suatu jaringan komputer pada tahap awal harus diamankan dengan firewall atau
lainnya yang mendukung suatu sistem keamanan. Upaya melindungi sisstem
informasi perlu ditindak lanjuti melalui pendekatan dari keamanan dan pada
umumnya yang digunakan, antara lain:
·
Pendekatan preventif yang bersifat mencegah dari
kemungkinan terjadinya ancaman dan kelemahan
·
Pendekatan detective yang bersifat mendeteksi
dari adanya penyusupan dan proses yang mengubah sistem dari keadaan normal
menjadi keadaan abnormal
·
Pendekatan Corrective yang bersifat mengkoreksi
keadaan sistem yang sudah tidak seimbang untuk dikembalikan dalam keadaan
normal
Tindakan tersebutlah menjadikan
bahwa keamanan sistem informasi tidak dilihat hanya dari kaca mata timbulnya
serangan dari virus, mallware, spyware dan masalah lain, akan
tetapi dilihat dari berbagai segi sesuai dengan domain keamanan sistem itu
sendiri.
Dari domain tersebutlah isu
keamanan sistem informasi dapat kita klasifikasikan berdasarkan ancaman dan
kelemahan sistem yang dimiliki.Karena keamanan merupakan faktor penting yang
perlu diperhatikan dalam pengoperasian sistem informasi, yang dimaksudkan untuk
mencegah ancaman terhadap sistem serta untuk mendeteksi dan membetulkan akibat
kerusakan sistem.
E.
Ciri dan Sifat Aplikasi Web
Aplikasi web merupakan
suatu lingkungan yang terstruktur dalam bentuk program komputer yang
memungkinkan pengunjung website memasukkan dan menampilkan data dari dan ke
suatu database server melalui internet dengan menggunakan web browser. Kemudian
data ditampilkan ke pengguna sebagai informasi yang dihasilkan secara dinamis
oleh aplikasi web melalui web server.
Menurut Roger S.
Pressman dalam bukunya Software Engineering A Practitioner’s Approach dikatakan
suatu aplikasi web memiliki perbedaan dengan aplikasi lainnya, karena memiliki
sifat dan ciri-ciri sebagai berikut:
1.
Network Intensive
Network intensive Sifat dasar dari suatu
aplikasi web adalah terletak pada suatu jaringan (internet, intranet atau
extranet) dimana aplikasi web harus melayani bermacam-macam kebutuhan dari
penggunanya.
Network intensive Sifat dasar dari suatu
aplikasi web adalah terletak pada suatu jaringan (internet, intranet atau
extranet) dimana aplikasi web harus melayani bermacam-macam kebutuhan dari
penggunanya.
2.
Content Driven
Fungsi utama dari aplikasi web adalah untuk
menampilkan informasi berupa teks, gambar, audio, dan video kepada para
penggunanya.
3.
Continuous Evolution
Aplikasi web mengalami perubahan secara
terus-menerus (continuous evolution), terutama pada bagian isi (informasi) dari
aplikasi tersebut.
4.
Document-Oriented
Halaman-halaman web yang bersifat statis akan
tetap ada meskipun telah terdapat teknik pemrograman web dengan menggunakan
bahasa pemrograman java atau yang lainnya.
5.
Immediacy
Aplikasi web memiliki karakteristik kesiapan
(immediacy), yang berarti aplikasi web tersebut harus sudah siap dan lengkap
untuk ditampilkan ke publik dalam jarak waktu beberapa hari atau minggu saja,
dan hal ini tidak ditemukan pada perangkat lunak lainnya.
6.
Security
Berkembangnya aplikasi web dan Internet
menyebabkan pergerakan sistem informasi untuk menggunakannya sebagai basis.
Banyak sistem yang tidak terhubung ke Internet tetapi tetap menggunakan basis
aplikasi web sebagai basis untuk sistem informasinya yang dipasang di jaringan
Intranet. Untuk itu, keamanan sistem informasi yang berbasis aplikasi web dan
teknologi Internet bergantung kepada keamanan sistem aplikasi web tersebut.
Keamanan dibutuhkan untuk melindungi isi dari
aplikasi web yang sensitif dan menyediakan proses pengiriman data yang aman,
oleh karena itu keamanan aplikasi harus diterapkan pada seluruh infrastruktur
yang mendukung web aplikasi, termasuk juga web aplikasi itu sendiri.
Arsitektur sistem aplikasi web terdiri dari
dua sisi: server dan klien. Keduanya dihubungkan dengan jaringan komputer
(computer network). Selain menyajikan data-data dalam bentuk statis, aplikasi
dapat menyajikan data dalam bentuk dinamis dengan menjalankan program. Program
ini dapat dijalankan di server (misal dengan CGI, servlet) dan di klien
(applet, Javascript).
7.
Aesthetics
Selain sisi teknis, estetis juga merupakan
suatu hal yang harus diperhatikan dalam sebuah aplikasi web, karena tampilan
dan keindahan adalah salah satu hal yang utama, yang digunakan sebagai daya
tarik pengunjung.
F.
Kualitas Aplikasi Web
Kualitas yang baik dari suatu aplikasi web
dapat diukur melalui beberapa karakteristik, diantaranya, usability,
functionality, reliability, efficiency, dan maintainability [6]. Gambar 2
menunjukkan faktor-faktor yang membantu pengembang dalam merancang dan
membangun aplikasi web yang dapat diterima dan memenuhi kebutuhan penggunanya
yang begitu beragam.
Gambar Faktor Kualitas Aplikasi Web
G.
Arsitektur Aplikasi Web
Menurut Krutchen sebuah arsitektur aplikasi web
dibangun berdasarkan pada empat buah tinjauan, yaitu Logical, Process, Physical
dan Development View, masing-masing tinjauan tersebut memiliki pengertian yang
berbeda dan semua tinjauan tersebut harus diperiksa untuk memperoleh pemahaman
yang baik mengenai aplikasi web secara keseluruhan. Untuk menambahkan sebuah
kebutuhan khusus pada aplikasi web, seperti keamanan dapat ditambahkan tinjauan
lainnya pada arsitektur aplikasi web.
.png)
Gambar Logical View pada Aplikasi Web
1.
Logical View
Ditinjau secara logis, aplikasi web merupakan
abstraksi dari sebuah sistem yang memiliki domain masalah tertentu. Sebuah
aplikasi digambarkan sebagai interaksi antara komponen-komponen yang berbeda.
Pada level arsitektur, sebuah aplikasi web dapat digolongkan ke dalam bentuk
2-tier atau sebagai 3-tier (seperti yang ditunjukkan pada Gambar)
.png)
Gambar Tinjauan Model Arsitektur 4+1
Presentation Logic tier bertanggung jawab
untuk melakukan interaksi antara komponen-komponen untuk menghasilkan tampilan
user. Komponen pada bagian ini hanya berinteraksi dengan komponen yang berada
pada Business Logic tier. Komponen yang terdapat pada Business Logic tier
berisi semua pengetahuan yang dibutuhkan untuk melakukan proses modifikasi
komponen data yang terdapat pada Databases tier. Databases tier berisi semua
komponen data yang digunakan untuk menyediakan penyimpanan data untuk data dan
informasi dari suatu aplikasi web.
Arsitektur 3-tierd menyediakan perhatian lebih
terhadap pembagian permasalahan. Pada arsitektur 2-tierd bagian business logic
dan databases disatukan. Keuntungan dari arsitektur 3-tierd adalah sistem
database dapat dengan mudah dilakukan perubahan tanpa mempengaruhi bagian
business logic.
2.
Development View
Development view berfokus pada pemetaan antara
konsep komponen logical view ke implementasi sebenarnya. Development view pada
suatu aplikasi web terdiri dari:
·
Struktur link dari halaman aplikasi
·
Teknik user session management
·
Teknologi halaman aplikasi web
3.
Physical View
Physical view menggambarkan pemetaan antara
komponen yang terdapat pada development view ke lingkungan aplikasi web
diletakkan. Aplikasi web mempunyai lingkungan yang sangat kompleks, yang
terdiri dari komponen-komponen sebagai berikut:
·
Web browsers
·
Web servers
·
Application servers
·
Database
·
Object terdistribusi (seperti, Java Beans)
Pengguna aplikasi web menggunakan web browser
sebagai interface untuk dapat mengakses fungsi dari suatu aplikasi web. Sebuah
browser mengirimkan permintaan (request) ke web server, mengirim-nya dengan
menggunakan protokol HTTP. Sebuah web server memberikan permintaan tersebut
jika permintaan tersebut dapat dipenuhi secara langsung, dengan melibatkan
proses yang terdapat pada application server.
Seperti yang terlihat pada Gambar, apabila
pengguna ingin mengambil data yang terdapat pada databases, maka application
server harus dilibatkan. Akhirnya web server dengan hasil yang telah diperoleh
dari application server menghasilkan halaman HTML dan mengembalikannya kepada
pengguna aplikasi web.
Sumber :
1 Jelaskan definisi dari manajemen layanan sistem
informasi
è Manajemen Layanan Sistem
Informasi adalah suatu metode pengelolaan sistem informasi(SI) yang secara
filosofis terpusat pada perspektif konsumen layanan SI terhadap bisnis
perusahaan.
2. Apa tujuan dan manfaat dari manajemen layanan sistem
informasi
è
·
Menambah kecepatan akses/aksesibilitas
data yang tersaji tepat waktu dan akurat bagi para pengguna Manajemen
Layanan Sistem Informasi tersebut tanpa adanya suatu perantara sistem
informasi.
·
Menjamin tersedianya keterampilan dan kualitas
dalam memanfaatkan sistem informasi secara baik dan benar.
·
Mengidentifikasikan kebutuhan-kebutuhan akan
keterampilan pendukung sistem informasi.
·
Menetapkan investasi yang akan diarahkan pada
sistem informasi.
3. Jelaskan strategi membangun aplikasi manajemen
layanan sistem informasi
è Strategi Paspor Online
Paspor merupakan dokumen resmi sebagai identitas dinegara asing,
biasanya paspor berisi informasi tentang negara asal pemegang paspor. Tanpa
paspor tidak akan diperbolehkan melewati imigrasi keberangkatan ataupun
ketibaan dibandara. Untuk membuat paspor dapat mengunjungi kantor imigrasi,
namun kini ada inovasi paspor online dimana pengurusan paspor online dapat
dilakukan secara online sehingga memudahkan masyarakat dalam pengurusan paspor.
Proses aplikasinya singkat dan lebih praktis daripada secara manual dikantor
imigrasi. Walaupun pembuatan paspor online ini masih harus datang ke
kantor imigrasi untuk sidik jari,verifikasi berkas, wawancara dan foto tetapi
jadwal kedatangan dapat diatur dihari kedatangan ke kantor
imigrasi jadi tidak perlu datang pagi sekali untuk antri.
Desain Website Paspor Online
Pada form login dan pendaftaran didesain sangat simple agar mudah
dipahami pengguna(user friendly).
Kemudian
pada bagian home setelah login, terdapat beberapa menu seperti List Kanim yang
isinya daftar kantor imigrasi setiap daerah, Profile yang isinya data diri
pemohon, Syarat dan Prosedur yang isinya tata cara pembuatan paspor untuk
memudahkan pengguna, serta Daftar Permohonan yang isinya daftar permohonan
pemohon.
4. Jelaskan konsep keamanan jaringan dengan berbasis
web/mobile
è Definisi dari keamanan
informasi menurut G. J. Simons adalah bagaimana kita dapat mencegah penipuan
(cheating)atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem
yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.
Permasalahan pokok sebenarnya dalam hal keamanan sistem informasi terletak pada
kelemahan dan ancaman atas sistem informasi yang pada gilirannya masalah
tersebut akan berdampak kepada resiko dan pada gilirannya berdampak kepada 7
hal yang utama dalam sistem informasi yaitu :
1.
Efektifitas
2.
Efisiensi
3.
Kerahaasiaan
4.
Integritas
5.
Keberadaan
6.
Kepatuhan
7.
Keandalan
5 Manfaat promosi/iklan untuk meningkatkan profit
bisnis perusahaan
è Promosi adalah sebuah usaha
untuk menginformasikan dan mempengaruhi target konsumen agar nantinya tertarik
untuk melakukan pembelian, berikut ini beberapa manfaat promosi yang perlu Anda
ketahui:
1.
Customer Loyalty; Promosi bermanfaat untuk meningkatkan
loyalitas konsumen agar nantinya tidak beralih ke produk kompetitor.
2.
Media Komunikasi; Promosi akan dapat membantu sebuah
perusahaan untuk menyampaikan informasi-informasi yang ingin disampaikan kepada
para konsumen dan calon konsumennya.
3.
Pertahanan; Promosi merupakan salah satu cara paling efektif
untuk mempertahankan citra dari serangan-serangan agresif para kompetitor
sebuah perusahaan.
4.
Trial and Repeat Buying; Dengan melakukan promosi, akan meningkatkan
kemungkinan sebuah perusahaan untuk terus mendapatkan pembeli baru dan juga
pembeli berulang.
5.
Membangun Merek; Seperti yang sudah disebut diawal artikel,
promosi berfungsi untuk meningkatkan Brand Awareness, dan juga dengan semakin
tingginya tingkat Brand Airing, akan membuat sebuah produk dapat menjadi Top of
Mind di masyarakat.
Komentar
Posting Komentar