Memahami Keamanan Sistem Dalam Sistem Operasi - Halo Sobat! kali ini eduloka akan membahas artikel tentang keamanan sistem dalam sistem operasi yang mencakup Autentifikasi, Proteksi Sistem dan, Virus dan Anti-Virus. Baiklah, langsung saja simak artikel berikut ini.
AUTENTIFIKASI
Autentikasi adalah proses dalam rangka validasi user pada saat memasuki sistem, nama dan password dari user di cek melalui proses yang mengecek langsung ke daftar mereka yang diberikan hak untuk memasuki sistem tersebut. Autorisasi ini di set up oleh administrator, webmaster atau pemilik situs (pemegang hak tertinggi atau mereka yang ditunjuk di sistem tersebut. Untuk proses ini masing-masing user akan di cek dari data yang diberikannya seperti nama, password serta hal-hal lainnya yang tidak tertutup kemungkinannya seperti jam penggunaan, lokasi yang diperbolehkan.
Autentikasi merupakan suatu langkah untuk menentukan atau mengonfirmasi bahwa seseorang (atau sesuatu) adalah autentik atau asli. Melakukan autentikasi terhadap sebuah objek adalah melakukan konfirmasi terhadap kebenarannya. Sedangkan melakukan autentikasi terhadap seseorang biasanya adalah untuk memverifikasi identitasnya. Pada suatu sistem komputer, autentikasi biasanya terjadi pada saat login atau permintaan akses.
Selain itu authentification juga merupakan salah satu dari banyak metode yang digunakan untuk menyediakan bukti bahwa dokumen tertentu yang diterima secara elektronik benar-benar datang dari orang yang bersangkutan dan tak berubah caranya adalah dengan mengirimkan suatu kode tertentu melaui e-mail dan kemudian pemilik e-mail mereplay email tersebut atau mengetikan kode yang telah dikirimkan.
Autentikasi server berfungsi untuk mengenali user yang berintegrasi ke jaringan dan memuat semua informasi dari user tersebut, dalam praktek biasanya authentification server mempunyai backupp yang berfungsi untuk menjaga jika server itu ada masalah sehingga jaringan dan pelayanan tidak terganggu.
Dalam aplikasi Web dibutuhkan mekanisme yang dapat melindungi data dari pengguna yang tidak berhak mengaksesnya, misalnya sebuah situs Web yang berisikan foto-foto keluarga dan hanya dapat diakses sesama anggota keluarga. Mekanisme ini dapat diimplementasikan dalam bentuk sebuah proses login yang biasanya terdiri dari tiga buah tahapan yaitu : identifikasi, otentikasi dan otorisasi
Proses otentifikasi pada prinsipnya berfungsi sebagai kesempatan pengguna dan pemberi layanan dalam proses pengaksesan resource. Pihak pengguna harus mampu memberikan informasi yang dibutuhkan pemberi layanan untuk berhak mendapatkan resourcenya. Sedang pihak pemberi layanan harus mampu menjamin bahwa pihak yang tidak berhak tidak akan dapat mengakses resource ini.
Metode-Metode Autentikasi
Autentikasi bertujuan untuk membuktika siapa anda sebenarnya, apakah anda benar-benar orang yang anda klaim sebagai dia (who you claim to be). Ada banyak cara untuk membuktikan siapa anda.
Metode autentikasi bisa dilihat dalam 4 kategori metode:
A. Something you know.
Ini adalah metode autentikasi yang paling umum. Cara ini mengandalkan kerahasiaan informasi, contohnya adalah password dan PIN. Cara ini berasumsi bahwa tidak ada seorangpun yang mengetahui rahasia itu kecuali anda seorang.
B. Something you have.
Cara ini biasanya merupakan faktor tambahan untuk membuat autentikasi menjadi lebih aman. Cara ini mengandalkan barang yang sifatnya unik, contohnya adalah kartu magnetic/smartcard, hardware token, USB token dan sebagainya. Cara ini berasumsi bahwa tidak ada seorangpun yang memiliki barang tersebut kecuali anda seorang.
C. Something you are.
Ini adalah metode yang paling jarang dipakai karena faktor teknologi dan manusia juga. Cara ini menghandalkan keunikan bagian-bagian tubuh anda yang tidak mungkin ada pada orang lain seperti sidik jari, suara atau sidik retina. Cara ini berasumsi bahwa bagian tubuh anda seperti sidik jari dan sidik retina, tidak mungkin sama dengan orang lain.
D. Something you do.
Melibatkan bahwa setiap user dalam melakukan sesuatu dengan cara yang berbeda. Contoh : Penggunaan analisis suara (voice recognation), dan analisis tulisan tangan.
Ada beberapa metode untuk melakukan autentikasi, salah satunya dan yang paling umum adalah menggunakan password.Metode autentikasi dengan menggunakan password statis adalah yang paling banyak digunakan. Tetapi jika user menggunakan password yang sama (password statis) beberapa kali untuk masuk ke dalam suatu sistem, password tersebut akan menjadi rentan terhadap sniffer jaringan. Salah satu bentuk serangan ke sistem komputer jaringan adalah seseorang mencoba masuk ke dalam suatu koneksi jaringan untuk mendapatkan informasi autentikasi, seperti ID login dan password yang berbeda setiap kali user akan masuk ke sistem. Sistem autentikasi One Time Password (OTP) dibuat untuk mengatasi serangan seperti diatas.
Untuk menghindari pencurian password dan pemakaian sistem secara illegal, akan bijaksana bila jaringan kita dilengkapi sistem password sekali pakai. Cara penerapan sistem password sekali pakai yaitu dengan cara :
Menggunakan sistem perangko terenkripsi. Dengan cara ini, password baru dikirimkan setelah terlebih dulu dimodifikasi berdasarkan waktu saat itu.
Menggunakan sistem challenge-response (CR), dimana password yang kita berikan tergantung challenge dari server. Dapat dianalogikan kita menyiapkan suatu daftar jawaban/response yang berbeda bagi pertanyaan/challenge yang diberikan oleh server. Untuk menghafal sekian banyak password bukanlah mudah, sehingga akan lebih mudah jika yang dihafal itu adalah aturan untuk mengubah challenge yang diberikan menjadi response (jadi tidak random). Misalnnya aturan kita adalah : “kapitalkan huruf kelima dan hapus huruf keempat”, maka password yang kita berikan adalahMxyPtlk1W2 untuk challenge sistem Mxyzptlk1W2.
Faktor-Faktor Autentikasi
Tiga jenis faktor autentikasi yang umum digunakan adalah:
Sedangkan, beberapa faktor autentikasi lain yang lebih jarang digunakan adalah:
OTORISASI
Otorisasi adalah fungsi menentukan hak akses ke sumber daya yang terkait dengan keamanan informasi dan keamanan komputer pada umumnya dan kontrol akses pada khususnya. Secara formal, "mengotorisasi" adalah untuk mendefinisikan kebijakan akses. Misalnya, staf sumber daya manusia biasanya diberi wewenang untuk mengakses catatan karyawan dan kebijakan ini biasanya diformalkan sebagai aturan kontrol akses dalam sistem komputer. Selama operasi, sistem ini menggunakan aturan kontrol akses untuk memutuskan apakah permintaan akses dari pengguna yang sudah diautentifikasi harus disetujui (diberikan) atau ditolak (ditolak) untuk menggunakan sumber daya. Sumber daya termasuk file individual atau data item, program komputer, perangkat komputer dan fungsionalitas yang disediakan oleh aplikasi komputer. Contoh pengguna adalah pengguna komputer, program komputer dan perangkat lain di komputer.
Akses kontrol dalam sistem komputer dan jaringan mengandalkan kebijakan akses. Proses kontrol akses dapat dibagi menjadi dua tahap berikut:
Pada otorisasi, fungsi dari fase pendefinisi kebijakan sangat diperlukan sebelum fase penegakan kebijakan di mana permintaan akses disetujui atau ditolak berdasarkan otorisasi yang ditetapkan sebelumnya.
Sebagian besar sistem operasi modern, multi-user, memiliki kontrol akses yang digunakan untuk keperluan pada otorisasi. Kontrol akses juga menggunakan otentikasi untuk memferifikasi identitas konsumen. Ketika konsumen mencoba untuk mengakses sumber daya, proses kontrol akses memeriksa bahwa konsumen telah diizinkan untuk menggunakan sumber daya tersebut. Otorisasi tanggung jawab atas sebuah otoritas, seperti manajer departemen, dalam lingkup domain aplikasi, tetapi sering didelegasikan kepada kustodian seperti administrator sistem. Otorisasi dinyatakan sebagai kebijakan akses di beberapa jenis aplikasi, misalnya dalam bentuk daftar kontrol akses atau kemampuan (capability), atas dasar "prinsip paling istimewa": konsumen harus hanya diberi wewenang untuk mengakses apa saja yang mereka butuhkan untuk melakukan pekerjaan mereka. Sistem operasi versi awal dan ‘single user’ memiliki otentikasi dan kontrol akses sistem yang lemah atau tidak ada.
Konsumen “Anonymous" atau "tamu", adalah konsumen yang tidak memerlukan otentikasi. Mereka sering memiliki wewenang terbatas. Pada sistem terdistribusi, sering diinginkan untuk memberikan akses tanpa memerlukan identitas yang unik.
“Trusted” komsumen sering mendapat wewenang untuk akses tak terbatas ke sumber daya pada sistem, tetapi harus terautentifkasi sehingga sistem kontrol akses dapat membuat keputusan persetujuan akses. "Partially trusted" dan tamu akan memdapat otorisasi terbatas untuk melindungi sumber daya terhadap akses dan penggunaan yang tidak benar. Kebijakan akses di beberapa sistem operasi, secara default, memberikan semua konsumen akses penuh ke semua sumber daya. Sedangkan sistem operasi yang lainnya melakukan sebaliknya, bersikeras bahwa hanya administrator yang secara eksplisit memiliki kewenangan untuk menggunakan setiap sumber daya.
Bahkan ketika akses dikendalikan melalui kombinasi otentikasi dan daftar kontrol akses, masalah menjaga data otorisasi tidak sepele, dan sering mewakili sebanyak beban administrasi sebagai managing autentifikasi. Hal ini sering diperlukan untuk mengubah atau menghapus otorisasi pengguna: hal ini dilakukan dengan mengubah atau menghapus aturan akses yang sesuai pada sistem. Menggunakan otorisasi atom adalah sebuah alternatif untuk manajemen otorisasi per-sistem, di mana pihak ketiga yang terpercaya aman mendistribusikan informasi otorisasi
KEAMANAN SISTEM
Pendahuluan
Pertama-tama kita harus mengetahui perbedaan antara keamanan dan proteksi. Proteksi menyangkutmengenai faktor-faktor internal suatu sistem komputer. Sedangkan keamanan mempertimbangkan faktor-faktor eksternal (lingkungan) di luar sistem dan faktor proteksi terhadap sumber daya sistem.Melihat perbedaan ini, terlihat jelas bahwa keamanan mencakup hal yang lebih luas dibanding dengan proteksi.
Bagaimana suatu sistem dapat dikatakan aman? Suatu sistem baru dapat dikatakan aman apabila resource yang digunakan dan diakses sesuai dengan kehendak user dalam berbagai keadaan.Sayangnya, tidak ada satu sistem komputer pun yang memiliki sistem keamanan yang sempurna. Data atau informasi penting yang seharusnya tidak dapat diakses oleh orang lain mungkin dapat diakses, dibaca ataupun diubah oleh orang lain.
Oleh karena itu dibutuhkan suatu keamanan sistem untuk menanggulangi kemungkinan dimana informasi penting dapat diakses oleh orang lain. Diatas dijelaskan bahawa tidak ada satu sistem komputer yang memiliki sistem keamanan yang sempurna. Akan tetapi, setidaknya kita harusmempunyai suatu mekanisme yang membuat pelanggaran semacam itu jarang terjadi.
Pada kesempatan ini kita akan membahas hal-hal yang menyangkut mengenai suatu keamanan sistem, dengan mempelajarinya diharapkan akan membantu kita mengurangi pelanggaran-pelanggaran yang dapat terjadi.
Manusia dan Etika
Berbicara mengenai manusia dan etika, kita mengetahui bahwa di muka bumi ini terdapat bermacam-macam karakter orang yang berbeda-beda. Sebagian besar orang memiliki hati yang baik dan selalu mencoba untuk menaati peraturan. Akan tetapi, ada beberapa orang jahat yang ingin menyebabkan kekacauan. Dalam konteks keamanan, orang-orang yang membuat kekacauan di tempat yang tidak berhubungan dengan mereka disebut intruder. Ada dua macam intruder, yaitu:
Ketika merancang sebuah sistem yang aman terhadap intruder, penting untuk mengetahui siste tersebut akan dilindungi dari intruder macam apa. Empat contoh kategori:
1. Keingintahuan seseorang tentang hal-hal pribadi orang lain. Banyak orang mempunyai PC yang terhubung ke suatu jaringan dan beberapa orang dalam jaringan tersebut akan dapat membaca e-mail dan file-file orang lain jika tidak ada 'penghalang' yang ditempatkan. Sebagai contoh, sebagian besar sistem UNIX mempunyai default bahwa semua file yang baru diciptakan dapat dibaca oleh orang lain.
2. Penyusupan oleh orang-orang dalam. Pelajar, programmer sistem, operator, dan teknisi menganggap bahwa mematahkan sistem keamanan komputer lokal adalah suatu tantangan. Mereka biasanya sangat ahli dan bersedia mengorbankan banyak waktu untuk usaha tersebut.
3. Keinginan untuk mendapatkan uang. Beberapa programmer bank mencoba mencuri uang dari bank tempat mereka bekerja dengan cara-cara seperti mengubah software untuk memotong bunga daripada membulatkannya, menyimpan uang kecil untuk mereka sendiri, menarik uang dari account yang sudah tidak digunakan selama bertahun-tahun, untuk memeras ("Bayar saya, atau saya akan menghancurkan semua record bank anda").
4. Espionase komersial atau militer. Espionase adalah usaha serius yang diberi dana besar oleh saingan atau negara lain untuk mencuri program, rahasia dagang, ide-ide paten, teknologi, rencana bisnis, dan sebagainya. Seringkali usaha ini melibatkan wiretaping atau antena yang diarahkan pada suatu komputer untuk menangkap radiasi elektromagnetisnya.
Perlindungan terhadap rahasia militer negara dari pencurian oleh negara lain sangat berbeda dengan perlindungan terhadap pelajar yang mencoba memasukkan message-of-the-day pada suatu sistem. Terlihat jelas bahwa jumlah usaha yang berhubungan dengan keamanan dan proteksi tergantung pada siapa "musuh"nya.
Kebijaksanaan Pengamanan
Kebijaksanaan pengamanan yang biasa digunakan yaitu yang bersifat sederhana dan umum. Dalam hal ini berarti tiap pengguna dalam sistem dapat mengerti dan mengikuti kebijaksanaan yang telah ditetapkan. Isi dari kebijaksanaan itu sendiri berupa tingkatan keamanan yang dapat melindungi data-data penting yang tersimpan dalam sistem. Data-data tersebut harus dilindungi dari tiap pengguna yang menggunakan sistem tersebut.
Beberapa hal yang perlu dipertimbangkan dalam menentukan kebijaksanaan pengamanan adalah: siapa sajakah yang memiliki akses ke sistem, siapa sajakah yang diizinkan untuk menginstall program ke dalam sistem, siapa sajakah memiliki data-data tertentu, perbaikan terhadap kerusakan yang mungkin terjadi, dan penggunaan yang wajar dari sistem.
Keamanan Fisik
Lapisan keamanan pertama yang harus diperhitungkan adalah keamanan secara fisik dalam sistem komputer. Keamanan fisik menyangkut tindakan mengamankan lokasi adanya sistem komputer terhadap intruder yang bersenjata atau yang mencoba menyusup ke dalam sistem komputer.
Pertanyaan yang harus dijawab dalam menjamin keamanan fisik antara lain:
Banyak keamanan fisik yang berada dalam sistem memiliki ketergantungan terhadap anggaran dan situasi yang dihadapi. Apabila pengguna adalah pengguna rumahan, maka kemungkinan keamanan fisik tidak banyak dibutuhkan. Akan tetapi, jika pengguna bekerja di laboratorium atau jaringan komputer, banyak yang harus dipikirkan.
Saat ini, banyak komputer pribadi memiliki kemampuan mengunci. Biasanya kunci ini berupa socket pada bagian depan casing yang bisa dimasukkan kunci untuk mengunci ataupun membukanya. Kunci casing dapat mencegah seseorang untuk mencuri dari komputer, membukanya secara langsung untuk memanipulasi ataupun mencuri perangkat keras yang ada.
Keamanan Perangkat Lunak
Contoh dari keamanan perangkat lunak yaitu BIOS. BIOS merupakan perangkat lunak tingkat rendah yang mengkonfigurasi atau memanipulasi perangkat keras tertentu. BIOS dapat digunakan untuk mencegah penyerang mereboot ulang mesin dan memanipulasi sistem LINUX.
Contoh dari keamanan BIOS dapat dilihat pada LINUX, dimana banyak PC BIOS mengizinkan untuk mengeset password boot. Namun, hal ini tidak banyak memberikan keamanan karena BIOS dapat direset, atau dihapus jika seseorang dapat masuk ke case. Namun, mungkin BIOS dapat sedikit berguna. Karena jika ada yang ingin menyerang sistem, untuk dapat masuk ke case dan mereset ataupun menghapus BIOS akan memerlukan waktu yang cukup lama dan akan meninggalkan bekas. Hal ini akan memperlambat tindakan seseorang yang mencoba menyerang sistem.
Keamanan Jaringan
Pada dasarnya, jaringan komputer adalah sumber daya (resources) yang dibagi dan dapat digunakan oleh banyak aplikasi dengan tujuan berbeda. Kadang-kadang, data yang ditransmisikan antara aplikasi- aplikasi merupakan rahasia, dan aplikasi tersebut tentu tidak mau sembarang orang membaca data tersebut.
Sebagai contoh, ketika membeli suatu produk melalui internet, pengguna (user) memasukkan nomor kartu kredit ke dalam jaringan. Hal ini berbahaya karena orang lain dapat dengan mudah menyadap dan membaca data tsb pada jaringan. Oleh karena itu, user biasanya ingin mengenkripsi (encrypt) pesan yang mereka kirim, dengan tujuan mencegah orang-orang yang tidak diizinkan membaca pesan tersebut.
Kriptografi
Dasar enkripsi cukup sederhana. Pengirim menjalankan fungsi enkripsi pada pesan plaintext, ciphertext yang dihasilkan kemudian dikirimkan lewat jaringan, dan penerima menjalankan fungsi dekripsi (decryption) untuk mendapatkan plaintext semula. Proses enkripsi/dekripsi tergantung pada kunci (key) rahasia yang hanya diketahui oleh pengirim dan penerima. Ketika kunci dan enkripsi ini digunakan, sulit bagi penyadap untuk mematahkan ciphertext, sehingga komunikasi data antara pengirim dan penerima aman.
Kriptografi macam ini dirancang untuk menjamin privacy: mencegah informasi menyebar luas tanpa ijin. Akan tetapi, privacy bukan satu-satunya layanan yang disediakan kriptografi. Kriptografi dapat juga digunakan untuk mendukung authentication (memverifikasi identitas user) dan integritas (memastikan bahwa pesan belum diubah).
Kriptografi digunakan untuk mencegah orang yang tidak berhak untuk memasuki komunikasi, sehingga kerahasiaan data dapat dilindungi. Secara garis besar, kriptografi digunakan untuk mengirim dan menerima pesan. Kriptografi pada dasarnya berpatokan pada key yang secara selektif telah disebar pada komputer-komputer yang berada dalam satu jaringan dan digunakan untuk memproses suatu pesan.
Operasional
Keamanan operasional (operations security) adalah tindakan apa pun yang menjadikan sistem beroperasi secara aman, terkendali, dan terlindung. Yang dimaksud dengan sistem adalah jaringan, komputer, lingkungan. Suatu sistem dinyatakan operasional apabila sistem telah dinyatakan berfungsi dan dapat dijalankan dengan durasi yang berkesinambungan, yaitu dari hari ke hari, 24 jam sehari, 7 hari seminggu.
Manajemen Administratif (Administrative Management) adalah penugasan individu untuk mengelola fungsi-fungsi keamanan sistem. Beberapa hal yang terkait:
Kategori utama dari kontrol keamanan operasional antara lain:
Kategori lainnya mencakup:
BCP/DRP
Berdasarkan pengertian, BCP atau Business Continuity Plan adalah rencana bisnis yang berkesinambungan, sedangkan DRP atau Disaster Recovery Plan adalah rencana pemulihan dari kemungkinan kerusakan-kerusakan yang terjadi.
Aspek yang terkandung di dalam suatu rencana bisnis yang berkesinambungan yaitu rencana pemulihan dari kemungkinan kerusakan-kerusakan yang terjadi. Dengan kata lain, DRP terkandung di dalam BCP.
Rencana untuk pemulihan dari kerusakan, baik yang disebabkan oleh alam maupun manusia, tidak hanya berdampak pada kemampuan proses komputer suatu perusahaan, tetapi juga akan berdampak pada operasi bisnis perusahaan tersebut. Kerusakan-kerusakan tersebut dapat mematikan seluruh sistem operasi. Semakin lama operasi sebuah perusahaan mati, maka akan semakin sulit untuk membangun kembali bisnis dari perusahaan tersebut.
Konsep dasar pemulihan dari kemungkinan kerusakan-kerusakan yang terjadi yaitu harus dapat diterapkan pada semua perusahaan, baik perusahaan kecil maupun perusahaan besar. Hal ini tergantung dari ukuran atau jenis prosesnya, baik yang menggunakan proses manual, proses dengan menggunakan komputer, atau kombinasi dari keduanya.
Pada perusahaan kecil, biasanya proses perencanaannya kurang formal dan kurang lengkap. Sedangkan pada perusahaan besar, proses perencanaannya formal dan lengkap. Apabila rencana tersebut diikuti maka akan memberikan petunjuk yang dapat mengurangi kerusakan yang sedang atau yang akan terjadi.
Proses Audit
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit:
Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit. Metodologi audit:
Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas:
VIRUS DAN ANTI-VIRUS
Virus komputer merupakan program komputer yang dapat menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam program atau dokumen lain. Virus komputer dapat dianalogikan dengan virus biologis yang menyebar dengan cara menyisipkan dirinya sendiri ke sel makhluk hidup. Virus komputer dapat merusak (misalnya dengan merusak data pada dokumen), membuat pengguna komputer merasa terganggu, maupun tidak menimbulkan efek sama sekali.
Cara kerja
Virus komputer umumnya dapat merusak perangkat lunak komputer dan tidak dapat secara langsung merusak perangkat keras komputer tetapi dapat mengakibatkan kerusakan dengan cara memuat program yang memaksa over process ke perangkat tertentu. Efek negatif virus komputer adalah memperbanyak dirinya sendiri, yang membuat sumber daya pada komputer (seperti penggunaan memori) menjadi berkurang secara signifikan. Hampir 95% virus komputer berbasis sistem operasi Windows. Sisanya menyerang Linux/GNU, Mac, FreeBSD, OS/2 IBM, dan Sun Operating System. Virus yang ganas akan merusak perangkat keras.
Jenis
Virus komputer adalah sebuah istilah umum untuk menggambarkan segala jenis serangan terhadap komputer. Dikategorikan dari cara kerjanya, virus komputer dapat dikelompokkan ke dalam kategori sebagai berikut:
Cara mengatasi
Serangan virus dapat dicegah atau ditanggulangi dengan menggunakan antivirus. Jenis perangkat lunak ini dapat juga mendeteksi dan menghapus virus komputer. Virus komputer ini dapat dihapus dengan basis data (database/ Signature-based detection), heuristik, atau peringkat dari program itu sendiri (Quantum).
Daftar Pustaka
AUTENTIFIKASI
Autentikasi adalah proses dalam rangka validasi user pada saat memasuki sistem, nama dan password dari user di cek melalui proses yang mengecek langsung ke daftar mereka yang diberikan hak untuk memasuki sistem tersebut. Autorisasi ini di set up oleh administrator, webmaster atau pemilik situs (pemegang hak tertinggi atau mereka yang ditunjuk di sistem tersebut. Untuk proses ini masing-masing user akan di cek dari data yang diberikannya seperti nama, password serta hal-hal lainnya yang tidak tertutup kemungkinannya seperti jam penggunaan, lokasi yang diperbolehkan.
Autentikasi merupakan suatu langkah untuk menentukan atau mengonfirmasi bahwa seseorang (atau sesuatu) adalah autentik atau asli. Melakukan autentikasi terhadap sebuah objek adalah melakukan konfirmasi terhadap kebenarannya. Sedangkan melakukan autentikasi terhadap seseorang biasanya adalah untuk memverifikasi identitasnya. Pada suatu sistem komputer, autentikasi biasanya terjadi pada saat login atau permintaan akses.
Selain itu authentification juga merupakan salah satu dari banyak metode yang digunakan untuk menyediakan bukti bahwa dokumen tertentu yang diterima secara elektronik benar-benar datang dari orang yang bersangkutan dan tak berubah caranya adalah dengan mengirimkan suatu kode tertentu melaui e-mail dan kemudian pemilik e-mail mereplay email tersebut atau mengetikan kode yang telah dikirimkan.
Autentikasi server berfungsi untuk mengenali user yang berintegrasi ke jaringan dan memuat semua informasi dari user tersebut, dalam praktek biasanya authentification server mempunyai backupp yang berfungsi untuk menjaga jika server itu ada masalah sehingga jaringan dan pelayanan tidak terganggu.
Dalam aplikasi Web dibutuhkan mekanisme yang dapat melindungi data dari pengguna yang tidak berhak mengaksesnya, misalnya sebuah situs Web yang berisikan foto-foto keluarga dan hanya dapat diakses sesama anggota keluarga. Mekanisme ini dapat diimplementasikan dalam bentuk sebuah proses login yang biasanya terdiri dari tiga buah tahapan yaitu : identifikasi, otentikasi dan otorisasi
Proses otentifikasi pada prinsipnya berfungsi sebagai kesempatan pengguna dan pemberi layanan dalam proses pengaksesan resource. Pihak pengguna harus mampu memberikan informasi yang dibutuhkan pemberi layanan untuk berhak mendapatkan resourcenya. Sedang pihak pemberi layanan harus mampu menjamin bahwa pihak yang tidak berhak tidak akan dapat mengakses resource ini.
image source: www.iconfinder.com |
baca juga: Memahami Manajemen File Dalam Sistem Operasi
Metode-Metode Autentikasi
Autentikasi bertujuan untuk membuktika siapa anda sebenarnya, apakah anda benar-benar orang yang anda klaim sebagai dia (who you claim to be). Ada banyak cara untuk membuktikan siapa anda.
Metode autentikasi bisa dilihat dalam 4 kategori metode:
A. Something you know.
Ini adalah metode autentikasi yang paling umum. Cara ini mengandalkan kerahasiaan informasi, contohnya adalah password dan PIN. Cara ini berasumsi bahwa tidak ada seorangpun yang mengetahui rahasia itu kecuali anda seorang.
B. Something you have.
Cara ini biasanya merupakan faktor tambahan untuk membuat autentikasi menjadi lebih aman. Cara ini mengandalkan barang yang sifatnya unik, contohnya adalah kartu magnetic/smartcard, hardware token, USB token dan sebagainya. Cara ini berasumsi bahwa tidak ada seorangpun yang memiliki barang tersebut kecuali anda seorang.
C. Something you are.
Ini adalah metode yang paling jarang dipakai karena faktor teknologi dan manusia juga. Cara ini menghandalkan keunikan bagian-bagian tubuh anda yang tidak mungkin ada pada orang lain seperti sidik jari, suara atau sidik retina. Cara ini berasumsi bahwa bagian tubuh anda seperti sidik jari dan sidik retina, tidak mungkin sama dengan orang lain.
D. Something you do.
Melibatkan bahwa setiap user dalam melakukan sesuatu dengan cara yang berbeda. Contoh : Penggunaan analisis suara (voice recognation), dan analisis tulisan tangan.
Ada beberapa metode untuk melakukan autentikasi, salah satunya dan yang paling umum adalah menggunakan password.Metode autentikasi dengan menggunakan password statis adalah yang paling banyak digunakan. Tetapi jika user menggunakan password yang sama (password statis) beberapa kali untuk masuk ke dalam suatu sistem, password tersebut akan menjadi rentan terhadap sniffer jaringan. Salah satu bentuk serangan ke sistem komputer jaringan adalah seseorang mencoba masuk ke dalam suatu koneksi jaringan untuk mendapatkan informasi autentikasi, seperti ID login dan password yang berbeda setiap kali user akan masuk ke sistem. Sistem autentikasi One Time Password (OTP) dibuat untuk mengatasi serangan seperti diatas.
Untuk menghindari pencurian password dan pemakaian sistem secara illegal, akan bijaksana bila jaringan kita dilengkapi sistem password sekali pakai. Cara penerapan sistem password sekali pakai yaitu dengan cara :
Menggunakan sistem perangko terenkripsi. Dengan cara ini, password baru dikirimkan setelah terlebih dulu dimodifikasi berdasarkan waktu saat itu.
Menggunakan sistem challenge-response (CR), dimana password yang kita berikan tergantung challenge dari server. Dapat dianalogikan kita menyiapkan suatu daftar jawaban/response yang berbeda bagi pertanyaan/challenge yang diberikan oleh server. Untuk menghafal sekian banyak password bukanlah mudah, sehingga akan lebih mudah jika yang dihafal itu adalah aturan untuk mengubah challenge yang diberikan menjadi response (jadi tidak random). Misalnnya aturan kita adalah : “kapitalkan huruf kelima dan hapus huruf keempat”, maka password yang kita berikan adalahMxyPtlk1W2 untuk challenge sistem Mxyzptlk1W2.
Faktor-Faktor Autentikasi
Tiga jenis faktor autentikasi yang umum digunakan adalah:
- Sesuatu yang diketahui oleh pengguna Contoh: password,passphrase, dan PIN (Personal Identification Number).
- Sesuatu yang dimiliki oleh pengguna Contoh: ID card, kartu kredit, telepon seluler, dan perangkat token.
- Sesuatu yang ‘ada’ pada pengguna Contoh: sidik jari, DNA, suara, pola retina atau aspek biometrik lain.
Sedangkan, beberapa faktor autentikasi lain yang lebih jarang digunakan adalah:
- Berbasis pengenalan (recognition) atau autentikasi cognometric, yaitu sesuatu yang dikenal oleh pengguna Contoh: Pengguna harus mengenali dari beberapa wajah yang dirahasiakan.
- Berbasis cybermetric, yaitu sesuai yang ada pada komputer Contoh: Membatasi akses hanya dari komputer yang memiliki kombinasi unik hardware dan software tertentu.
- Berbasis lokasi Contoh: Membatasi penggunaan ATM atau kartu kredit hanya pada cabang tertentu, membatasi login root hanya dari terminal tertentu.
- Berbasis waktu Contoh: Membatasi penggunaan sebuah account hanya pada waktu tertentu, misalnya jam kerja.
- Berbasis ukuran Contoh: Membatasi terjadinya transaksi hanya pada sejumlah tertentu saja.
OTORISASI
Otorisasi adalah fungsi menentukan hak akses ke sumber daya yang terkait dengan keamanan informasi dan keamanan komputer pada umumnya dan kontrol akses pada khususnya. Secara formal, "mengotorisasi" adalah untuk mendefinisikan kebijakan akses. Misalnya, staf sumber daya manusia biasanya diberi wewenang untuk mengakses catatan karyawan dan kebijakan ini biasanya diformalkan sebagai aturan kontrol akses dalam sistem komputer. Selama operasi, sistem ini menggunakan aturan kontrol akses untuk memutuskan apakah permintaan akses dari pengguna yang sudah diautentifikasi harus disetujui (diberikan) atau ditolak (ditolak) untuk menggunakan sumber daya. Sumber daya termasuk file individual atau data item, program komputer, perangkat komputer dan fungsionalitas yang disediakan oleh aplikasi komputer. Contoh pengguna adalah pengguna komputer, program komputer dan perangkat lain di komputer.
Akses kontrol dalam sistem komputer dan jaringan mengandalkan kebijakan akses. Proses kontrol akses dapat dibagi menjadi dua tahap berikut:
- Fase definisi kebijakan di mana akses berwenang, dan
- Fase penegakan kebijakan di mana permintaan akses tersebut disetujui atau ditolak.
Pada otorisasi, fungsi dari fase pendefinisi kebijakan sangat diperlukan sebelum fase penegakan kebijakan di mana permintaan akses disetujui atau ditolak berdasarkan otorisasi yang ditetapkan sebelumnya.
Sebagian besar sistem operasi modern, multi-user, memiliki kontrol akses yang digunakan untuk keperluan pada otorisasi. Kontrol akses juga menggunakan otentikasi untuk memferifikasi identitas konsumen. Ketika konsumen mencoba untuk mengakses sumber daya, proses kontrol akses memeriksa bahwa konsumen telah diizinkan untuk menggunakan sumber daya tersebut. Otorisasi tanggung jawab atas sebuah otoritas, seperti manajer departemen, dalam lingkup domain aplikasi, tetapi sering didelegasikan kepada kustodian seperti administrator sistem. Otorisasi dinyatakan sebagai kebijakan akses di beberapa jenis aplikasi, misalnya dalam bentuk daftar kontrol akses atau kemampuan (capability), atas dasar "prinsip paling istimewa": konsumen harus hanya diberi wewenang untuk mengakses apa saja yang mereka butuhkan untuk melakukan pekerjaan mereka. Sistem operasi versi awal dan ‘single user’ memiliki otentikasi dan kontrol akses sistem yang lemah atau tidak ada.
Konsumen “Anonymous" atau "tamu", adalah konsumen yang tidak memerlukan otentikasi. Mereka sering memiliki wewenang terbatas. Pada sistem terdistribusi, sering diinginkan untuk memberikan akses tanpa memerlukan identitas yang unik.
“Trusted” komsumen sering mendapat wewenang untuk akses tak terbatas ke sumber daya pada sistem, tetapi harus terautentifkasi sehingga sistem kontrol akses dapat membuat keputusan persetujuan akses. "Partially trusted" dan tamu akan memdapat otorisasi terbatas untuk melindungi sumber daya terhadap akses dan penggunaan yang tidak benar. Kebijakan akses di beberapa sistem operasi, secara default, memberikan semua konsumen akses penuh ke semua sumber daya. Sedangkan sistem operasi yang lainnya melakukan sebaliknya, bersikeras bahwa hanya administrator yang secara eksplisit memiliki kewenangan untuk menggunakan setiap sumber daya.
Bahkan ketika akses dikendalikan melalui kombinasi otentikasi dan daftar kontrol akses, masalah menjaga data otorisasi tidak sepele, dan sering mewakili sebanyak beban administrasi sebagai managing autentifikasi. Hal ini sering diperlukan untuk mengubah atau menghapus otorisasi pengguna: hal ini dilakukan dengan mengubah atau menghapus aturan akses yang sesuai pada sistem. Menggunakan otorisasi atom adalah sebuah alternatif untuk manajemen otorisasi per-sistem, di mana pihak ketiga yang terpercaya aman mendistribusikan informasi otorisasi
KEAMANAN SISTEM
Pendahuluan
Pertama-tama kita harus mengetahui perbedaan antara keamanan dan proteksi. Proteksi menyangkutmengenai faktor-faktor internal suatu sistem komputer. Sedangkan keamanan mempertimbangkan faktor-faktor eksternal (lingkungan) di luar sistem dan faktor proteksi terhadap sumber daya sistem.Melihat perbedaan ini, terlihat jelas bahwa keamanan mencakup hal yang lebih luas dibanding dengan proteksi.
Bagaimana suatu sistem dapat dikatakan aman? Suatu sistem baru dapat dikatakan aman apabila resource yang digunakan dan diakses sesuai dengan kehendak user dalam berbagai keadaan.Sayangnya, tidak ada satu sistem komputer pun yang memiliki sistem keamanan yang sempurna. Data atau informasi penting yang seharusnya tidak dapat diakses oleh orang lain mungkin dapat diakses, dibaca ataupun diubah oleh orang lain.
Oleh karena itu dibutuhkan suatu keamanan sistem untuk menanggulangi kemungkinan dimana informasi penting dapat diakses oleh orang lain. Diatas dijelaskan bahawa tidak ada satu sistem komputer yang memiliki sistem keamanan yang sempurna. Akan tetapi, setidaknya kita harusmempunyai suatu mekanisme yang membuat pelanggaran semacam itu jarang terjadi.
Pada kesempatan ini kita akan membahas hal-hal yang menyangkut mengenai suatu keamanan sistem, dengan mempelajarinya diharapkan akan membantu kita mengurangi pelanggaran-pelanggaran yang dapat terjadi.
Manusia dan Etika
Berbicara mengenai manusia dan etika, kita mengetahui bahwa di muka bumi ini terdapat bermacam-macam karakter orang yang berbeda-beda. Sebagian besar orang memiliki hati yang baik dan selalu mencoba untuk menaati peraturan. Akan tetapi, ada beberapa orang jahat yang ingin menyebabkan kekacauan. Dalam konteks keamanan, orang-orang yang membuat kekacauan di tempat yang tidak berhubungan dengan mereka disebut intruder. Ada dua macam intruder, yaitu:
- Passive intruder. Intruder yang hanya ingin membaca berkas yang tidak boleh mereka baca.
- Active intruder. Lebih berbahaya dari passive intruder. Mereka ingin membuat perubahan yang tidak diijinkan (unauthorized) pada data.
Ketika merancang sebuah sistem yang aman terhadap intruder, penting untuk mengetahui siste tersebut akan dilindungi dari intruder macam apa. Empat contoh kategori:
1. Keingintahuan seseorang tentang hal-hal pribadi orang lain. Banyak orang mempunyai PC yang terhubung ke suatu jaringan dan beberapa orang dalam jaringan tersebut akan dapat membaca e-mail dan file-file orang lain jika tidak ada 'penghalang' yang ditempatkan. Sebagai contoh, sebagian besar sistem UNIX mempunyai default bahwa semua file yang baru diciptakan dapat dibaca oleh orang lain.
2. Penyusupan oleh orang-orang dalam. Pelajar, programmer sistem, operator, dan teknisi menganggap bahwa mematahkan sistem keamanan komputer lokal adalah suatu tantangan. Mereka biasanya sangat ahli dan bersedia mengorbankan banyak waktu untuk usaha tersebut.
3. Keinginan untuk mendapatkan uang. Beberapa programmer bank mencoba mencuri uang dari bank tempat mereka bekerja dengan cara-cara seperti mengubah software untuk memotong bunga daripada membulatkannya, menyimpan uang kecil untuk mereka sendiri, menarik uang dari account yang sudah tidak digunakan selama bertahun-tahun, untuk memeras ("Bayar saya, atau saya akan menghancurkan semua record bank anda").
4. Espionase komersial atau militer. Espionase adalah usaha serius yang diberi dana besar oleh saingan atau negara lain untuk mencuri program, rahasia dagang, ide-ide paten, teknologi, rencana bisnis, dan sebagainya. Seringkali usaha ini melibatkan wiretaping atau antena yang diarahkan pada suatu komputer untuk menangkap radiasi elektromagnetisnya.
Perlindungan terhadap rahasia militer negara dari pencurian oleh negara lain sangat berbeda dengan perlindungan terhadap pelajar yang mencoba memasukkan message-of-the-day pada suatu sistem. Terlihat jelas bahwa jumlah usaha yang berhubungan dengan keamanan dan proteksi tergantung pada siapa "musuh"nya.
Kebijaksanaan Pengamanan
Kebijaksanaan pengamanan yang biasa digunakan yaitu yang bersifat sederhana dan umum. Dalam hal ini berarti tiap pengguna dalam sistem dapat mengerti dan mengikuti kebijaksanaan yang telah ditetapkan. Isi dari kebijaksanaan itu sendiri berupa tingkatan keamanan yang dapat melindungi data-data penting yang tersimpan dalam sistem. Data-data tersebut harus dilindungi dari tiap pengguna yang menggunakan sistem tersebut.
Beberapa hal yang perlu dipertimbangkan dalam menentukan kebijaksanaan pengamanan adalah: siapa sajakah yang memiliki akses ke sistem, siapa sajakah yang diizinkan untuk menginstall program ke dalam sistem, siapa sajakah memiliki data-data tertentu, perbaikan terhadap kerusakan yang mungkin terjadi, dan penggunaan yang wajar dari sistem.
Keamanan Fisik
Lapisan keamanan pertama yang harus diperhitungkan adalah keamanan secara fisik dalam sistem komputer. Keamanan fisik menyangkut tindakan mengamankan lokasi adanya sistem komputer terhadap intruder yang bersenjata atau yang mencoba menyusup ke dalam sistem komputer.
Pertanyaan yang harus dijawab dalam menjamin keamanan fisik antara lain:
- Siapa saja yang memiliki akses langsung ke dalam sistem?
- Apakah mereka memang berhak?
- Dapatkah sistem terlindung dari maksud dan tujuan mereka?
- Apakah hal tersebut perlu dilakukan?
Banyak keamanan fisik yang berada dalam sistem memiliki ketergantungan terhadap anggaran dan situasi yang dihadapi. Apabila pengguna adalah pengguna rumahan, maka kemungkinan keamanan fisik tidak banyak dibutuhkan. Akan tetapi, jika pengguna bekerja di laboratorium atau jaringan komputer, banyak yang harus dipikirkan.
Saat ini, banyak komputer pribadi memiliki kemampuan mengunci. Biasanya kunci ini berupa socket pada bagian depan casing yang bisa dimasukkan kunci untuk mengunci ataupun membukanya. Kunci casing dapat mencegah seseorang untuk mencuri dari komputer, membukanya secara langsung untuk memanipulasi ataupun mencuri perangkat keras yang ada.
Keamanan Perangkat Lunak
Contoh dari keamanan perangkat lunak yaitu BIOS. BIOS merupakan perangkat lunak tingkat rendah yang mengkonfigurasi atau memanipulasi perangkat keras tertentu. BIOS dapat digunakan untuk mencegah penyerang mereboot ulang mesin dan memanipulasi sistem LINUX.
Contoh dari keamanan BIOS dapat dilihat pada LINUX, dimana banyak PC BIOS mengizinkan untuk mengeset password boot. Namun, hal ini tidak banyak memberikan keamanan karena BIOS dapat direset, atau dihapus jika seseorang dapat masuk ke case. Namun, mungkin BIOS dapat sedikit berguna. Karena jika ada yang ingin menyerang sistem, untuk dapat masuk ke case dan mereset ataupun menghapus BIOS akan memerlukan waktu yang cukup lama dan akan meninggalkan bekas. Hal ini akan memperlambat tindakan seseorang yang mencoba menyerang sistem.
Keamanan Jaringan
Pada dasarnya, jaringan komputer adalah sumber daya (resources) yang dibagi dan dapat digunakan oleh banyak aplikasi dengan tujuan berbeda. Kadang-kadang, data yang ditransmisikan antara aplikasi- aplikasi merupakan rahasia, dan aplikasi tersebut tentu tidak mau sembarang orang membaca data tersebut.
Sebagai contoh, ketika membeli suatu produk melalui internet, pengguna (user) memasukkan nomor kartu kredit ke dalam jaringan. Hal ini berbahaya karena orang lain dapat dengan mudah menyadap dan membaca data tsb pada jaringan. Oleh karena itu, user biasanya ingin mengenkripsi (encrypt) pesan yang mereka kirim, dengan tujuan mencegah orang-orang yang tidak diizinkan membaca pesan tersebut.
Kriptografi
Dasar enkripsi cukup sederhana. Pengirim menjalankan fungsi enkripsi pada pesan plaintext, ciphertext yang dihasilkan kemudian dikirimkan lewat jaringan, dan penerima menjalankan fungsi dekripsi (decryption) untuk mendapatkan plaintext semula. Proses enkripsi/dekripsi tergantung pada kunci (key) rahasia yang hanya diketahui oleh pengirim dan penerima. Ketika kunci dan enkripsi ini digunakan, sulit bagi penyadap untuk mematahkan ciphertext, sehingga komunikasi data antara pengirim dan penerima aman.
Kriptografi macam ini dirancang untuk menjamin privacy: mencegah informasi menyebar luas tanpa ijin. Akan tetapi, privacy bukan satu-satunya layanan yang disediakan kriptografi. Kriptografi dapat juga digunakan untuk mendukung authentication (memverifikasi identitas user) dan integritas (memastikan bahwa pesan belum diubah).
Kriptografi digunakan untuk mencegah orang yang tidak berhak untuk memasuki komunikasi, sehingga kerahasiaan data dapat dilindungi. Secara garis besar, kriptografi digunakan untuk mengirim dan menerima pesan. Kriptografi pada dasarnya berpatokan pada key yang secara selektif telah disebar pada komputer-komputer yang berada dalam satu jaringan dan digunakan untuk memproses suatu pesan.
Operasional
Keamanan operasional (operations security) adalah tindakan apa pun yang menjadikan sistem beroperasi secara aman, terkendali, dan terlindung. Yang dimaksud dengan sistem adalah jaringan, komputer, lingkungan. Suatu sistem dinyatakan operasional apabila sistem telah dinyatakan berfungsi dan dapat dijalankan dengan durasi yang berkesinambungan, yaitu dari hari ke hari, 24 jam sehari, 7 hari seminggu.
Manajemen Administratif (Administrative Management) adalah penugasan individu untuk mengelola fungsi-fungsi keamanan sistem. Beberapa hal yang terkait:
- Pemisahan Tugas (Separation of Duties). Menugaskan hal-hal yang menyangkut keamanan kepada beberapa orang saja. Misalnya, yang berhak menginstall program ke dalam sistem komputer hanya admin, user tidak diberi hak tersebut.
- Hak Akses Minimum (Least Privilege). Setiap orang hanya diberikan hak akses minimum yang dibutuhkan dalam pelaksanaan tugas mereka.
- Keingin-tahuan (Need to Know). Yang dimaksud dengan need to know adalah pengetahuan akan informasi yang dibutuhkan dalam melakukan suatu pekerjaan.
Kategori utama dari kontrol keamanan operasional antara lain:
- Kendali Pencegahan (Preventative Control). Untuk mencegah error dan intruder memasuki sistem. Misal, kontrol pencegahan untuk mencegah virus memasuki sistem adalah dengan menginstall antivirus.
- Kontrol Pendeteksian (Detective Control). Untuk mendeteksi error yang memasuki sistem. Misal, mencari virus yang berhasil memasuki sistem.
- Kontrol Perbaikan (Corrective/Recovery Control). Membantu mengembalikan data yang hilang melalui prosedur recovery data. Misal, memperbaiki data yang terkena virus.
Kategori lainnya mencakup:
- Kendali Pencegahan (Deterrent Control). Untuk menganjurkan pemenuhan (compliance) dengan kontrol eksternal.
- Kendali Aplikasi (Application Control). Untuk memperkecil dan mendeteksi operasi-operasi perangkat lunak yang tidak biasa.
- Kendali Transaksi (Transaction Control). Untuk menyediakan kendali di berbagai tahap transaksi (dari inisiasi sampai keluaran, melalui kontrol testing dan kontrol perubahan).
BCP/DRP
Berdasarkan pengertian, BCP atau Business Continuity Plan adalah rencana bisnis yang berkesinambungan, sedangkan DRP atau Disaster Recovery Plan adalah rencana pemulihan dari kemungkinan kerusakan-kerusakan yang terjadi.
Aspek yang terkandung di dalam suatu rencana bisnis yang berkesinambungan yaitu rencana pemulihan dari kemungkinan kerusakan-kerusakan yang terjadi. Dengan kata lain, DRP terkandung di dalam BCP.
Rencana untuk pemulihan dari kerusakan, baik yang disebabkan oleh alam maupun manusia, tidak hanya berdampak pada kemampuan proses komputer suatu perusahaan, tetapi juga akan berdampak pada operasi bisnis perusahaan tersebut. Kerusakan-kerusakan tersebut dapat mematikan seluruh sistem operasi. Semakin lama operasi sebuah perusahaan mati, maka akan semakin sulit untuk membangun kembali bisnis dari perusahaan tersebut.
Konsep dasar pemulihan dari kemungkinan kerusakan-kerusakan yang terjadi yaitu harus dapat diterapkan pada semua perusahaan, baik perusahaan kecil maupun perusahaan besar. Hal ini tergantung dari ukuran atau jenis prosesnya, baik yang menggunakan proses manual, proses dengan menggunakan komputer, atau kombinasi dari keduanya.
Pada perusahaan kecil, biasanya proses perencanaannya kurang formal dan kurang lengkap. Sedangkan pada perusahaan besar, proses perencanaannya formal dan lengkap. Apabila rencana tersebut diikuti maka akan memberikan petunjuk yang dapat mengurangi kerusakan yang sedang atau yang akan terjadi.
Proses Audit
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit:
- Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice yang dapat disepakati semua pihak.
- Tetapkan langkah-langkah audit yang rinci.
- Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
- Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
- Telaah apakah tujuan audit tercapai.
- Sampaikan laporan kepada pihak yang berkepentingan.
- Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit. Metodologi audit:
- Audit subject. Menentukan apa yang akan diaudit.
- Audit objective. Menentukan tujuan dari audit.
- Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit.
- Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.
- Audit procedures dan steps for data gathering. Menentukan cara melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara.
- Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
- Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi.
- Audit Report Preparation. Enentukan bagaimana cara mereview hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit.
Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas:
- Pendahuluan. Tujuan, ruang lingkup, lamanya audit, prosedur audit.
- Kesimpulan umum dari auditor. -
- Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau tidak.
VIRUS DAN ANTI-VIRUS
Virus komputer merupakan program komputer yang dapat menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam program atau dokumen lain. Virus komputer dapat dianalogikan dengan virus biologis yang menyebar dengan cara menyisipkan dirinya sendiri ke sel makhluk hidup. Virus komputer dapat merusak (misalnya dengan merusak data pada dokumen), membuat pengguna komputer merasa terganggu, maupun tidak menimbulkan efek sama sekali.
Cara kerja
Virus komputer umumnya dapat merusak perangkat lunak komputer dan tidak dapat secara langsung merusak perangkat keras komputer tetapi dapat mengakibatkan kerusakan dengan cara memuat program yang memaksa over process ke perangkat tertentu. Efek negatif virus komputer adalah memperbanyak dirinya sendiri, yang membuat sumber daya pada komputer (seperti penggunaan memori) menjadi berkurang secara signifikan. Hampir 95% virus komputer berbasis sistem operasi Windows. Sisanya menyerang Linux/GNU, Mac, FreeBSD, OS/2 IBM, dan Sun Operating System. Virus yang ganas akan merusak perangkat keras.
Jenis
Virus komputer adalah sebuah istilah umum untuk menggambarkan segala jenis serangan terhadap komputer. Dikategorikan dari cara kerjanya, virus komputer dapat dikelompokkan ke dalam kategori sebagai berikut:
- Worm - Menduplikatkan dirinya sendiri pada harddisk. Ini membuat sumber daya komputer (Harddisk) menjadi penuh akan worm itu.
- Trojan - Mengambil data pada komputer yang telah terinfeksi dan mengirimkannya pada pembuat trojan itu sendiri.
- Backdoor - Hampir sama dengan trojan. Namun, Backdoor bisanya menyerupai file yang baik-baik saja. Misalnya game.
- Spyware - Virus yang memantau komputer yang terinfeksi.
- Rogue - merupakan program yang meniru program antivirus dan menampilkan aktivitas layaknya antivirus normal, dan memberikan peringatan-peringatan palsu tentang adanya virus. Tujuannya adalah agar pengguna membeli dan mengaktivasi program antivirus palsu itu dan mendatangkan uang bagi pembuat virus rogue tersebut. Juga rogue dapat membuka celah keamanan dalam komputer guna mendatangkan virus lain.
- Rootkit - Virus yang bekerja menyerupai kerja sistem komputer yang biasa saja.
- Polymorphic virus - Virus yang gemar beubah-ubah agar tidak dapat terdeteksi.
- Metamorphic virus - Virus yang mengubah pengkodeannya sendiri agar lebih sulit dideteksi.
- Virus ponsel - Virus yang berjalan di telepon seluler, dan dapat menimbulkan berbagai macam efek, mulai dari merusak telepon seluler, mencuri data-data di dalam telepon seluler, sampai membuat panggilan-panggilan diam-diam dan menghabiskan pulsa pengguna telepon seluler.
Cara mengatasi
Serangan virus dapat dicegah atau ditanggulangi dengan menggunakan antivirus. Jenis perangkat lunak ini dapat juga mendeteksi dan menghapus virus komputer. Virus komputer ini dapat dihapus dengan basis data (database/ Signature-based detection), heuristik, atau peringkat dari program itu sendiri (Quantum).
Daftar Pustaka
- Masyarakat Digital Gotong Royong (MDGR), Pengantar Sistem Operasi Komputer, 2006
- Bambang H, Sistem Operasi, Revisi Kelima, Penerbit Informatika, 2012
Sekian artikel tentang Memahami Keamanan Sistem Dalam Sistem Operasi.
Memahami Keamanan Sistem Dalam Sistem Operasi
4/
5
Oleh
Unknown