KONSEP DAN MEKANISME 2.1 Threats (Ancaman) Ancaman dapat dilihat sebagai potensi bagi pelanggaran keamanan, dan keberadaanya disebabkan oleh kelemahan yang ada pada sistem tersebut. Ada 2 tipe dasar ancaman : 1. Accidental Threats Ancaman yang sifatnya kecelakaan / tidak sengaja, yang menyebabkan terungkapnya informasi rahasia atau berlangsungnya suatu sistem yang ilegal 2. Intentional Threats Ancaman yang disengaja, atau lebih tepat dikatakan sebagai attacks (serangan) Accidental Threats Dapat terjadi berupa modifikasi sebuah object. Pengungkapan dapat terjadi baik terhadap hardware maupun software seperti halnya kesalahan operasional yang menyebabkan pelanggaran atas kerahasiaan sebuah object. Contohnya ketika user mengirimkan e-mail rahasia pada orang yang salah.

Intentional Threats / Attacks Dilakukan oleh sebuah object dengan niat melanggar keamanan. Contohnya pengrusakan, modifikasi, interupsi, atau intersepsi data. Serangan yang menyebabkan terungkapnya suatu informasi adalah sebuah pelanggaran atas kerahasiaan. Serangan dapat dilakukan dengan 2 cara : Serangan secara aktif, biasanya dilakukan dengan membuat perubahan atas suatu sistem dengan berbagai cara. Contohnya menyelipkan pesan baru pada network, modifikasi object, menduplikasi atau menghapus pesan yang ada, merusak software secara sengaja yang mengakibatkan kegagalan sistem, atau mencuri magnetic tapes, dll. Serangan aktif lebih mudah dideteksi bila tindakan-tindakan pencegahan yang tepat telah dilakukan, misalkan memasang software anti virus, firewall, dll. Serangan secara pasif, dilakukan dengan memonitor sebuah sistem dalam pelaksanaan tugasnya dan mengumpulkan informasi. Pada umumnya sulit mendeteksi serangan pasif karena mereka tidak berinteraksi ata mengganggu fungsi-fungsi sistem. Contohnya dengan memantau lalu lintas network, penggunaan CPU, ataupun penggunaan disk.

Covert channels adalah sebuah saluran yang tidak diproteksi / terbuka yang digunakan oleh sebuah object untuk mengirimkan informasi rahasia kepada object-object yang tidak berwenang dan dapat menyebabkan pelanggaran keamanan. Pada umumnya sulit untuk mengidentifikasi covert channels dalam sebuah sistem karena bentuknya yang bermacam-macam, seperti : Variasi panjang pesan selama transmisi Waktu dan panjangnya transmisi Ukuran file Waktu pembuatan sebuah object Modulasi penggunaan disk Waktu penggunaan CPU Sangat sulit untuk menghilangkan covert channels sepenuhnya dalam sebuah sistem, karena channel dengan bandwidth yang tinggi berarti akan memiliki ancaman yang lebih tinggi pula. Kebanyakan mekanisme keamanan mencoba melakukan penyelamatan dengan cara mengurangi bandwidth dari channels tersebut, tetapi akan berakibat pada berkurangnya kinerja dari sistem tersebut. Misalkan yang biasanya waktu pengiriman data hanya sepersekian detik berubah menjadi sekian menit.

2.2 Forms of Security Bentuk-bentuk keamanan terbagi 3 bagian utama : Hardware Security Berhubungan dengan proteksi atas kelemahan-kelemahan yang ada dalam penanganan hardware. Hardware Security dibagi menjadi 2 bagian : 1. Physical Security Proyeksi atas ancaman dari luar, misalkan pencurian, pengrusakan, gempa bumi, banjir, dll. 2. Emanation Security Proteksi atas emisi sinyal-sinyal yang berasal dari h/w, misal emisi elektromagnetik dari display, emisi radio dari printer atau keyboard, dll. Information Security Berhubungan dengan proteksi atas kelemahan-kelemahan yang ada dalam arsitektur sistem, yaitu kelemahan dalam s/w, kelemahan dalam h/w, begitu juga kombinasi atas keduanya. Information Security dibagi menjadi 2 bagian : 1. Computer Security Proteksi atas serangan-serangan yang memanfaatkan kelemahan arsitektur sistem.

2. Communication Security Proteksi atas informasi selama transportasi. Informasi dapat saja dimodifikasi, reorder, atau dihancurkan, selama masa transmisi tersebut. Administration Security Berhubungan dengan proteksi atas kelemahan-kelemahan yang disebabkan oleh users, dan ancaman atas kelemahan pengaturan keamanan. Administration Security dibagi menjadi 2 bagian : 1. Personel Security Memproteksi object-object dari serangan user yang berwenang. Contoh aksinya adalah dengan cara menyuap, membohongi, dll. 2. Operation Security Memproteksi object-object dari kelemahan-kelemahan yang ada dalam organisasi yang memelihara sistem tersebut. Misalkan : Bagaimana menerapkan kebijakan keamanan Tindakan apa yang harus diambil bila terjadi pelanggaran Mekanisme apa yang perlu diimplementasikan, dll.

Aspek keamanan dibagi menjadi 2 bagian, yaitu : Category Form of security Aspect Target serangan Contoh ancaman Mekanisme Security awal Hardware Physical Emanation Conf. + Integ. Conf. H/W H/w Pencurian, Modifikasi Suara mesin Diamankan H/w diperbaiki Information Computer Communication S/w (h/w) Informasi Pengrusakan Sistem Perekaman informasi S/w (h/w) diperbaharui Enkripsi data Administration Personnel Operation User Penyuapan user Operational mistakes Dikenai sangsi Training 2.3 Aspek Keamanan Aspek keamanan dibagi menjadi 2 bagian, yaitu : Confidentiality (kerahasiaan) Integrity (keterpaduan) Confidentiality (kerahasiaan) adalah sebuah hal mengenai bagaimana melindungi object dari akses oleh pihak-pihak yang tidak bertanggung jawab Mekanisme perlindungan yang digunakan harus memungkinkan individu dapat menentukan apakah objectnya harus menjadi confidential atau tidak. Mekanisme yang baik juga harus memperbolehkan pemilik sistem menentukan siapa yang boleh dan siapa yang tidak boleh mengakses sebuah object.

Integrity (keterpaduan) membahas tentang bagaimana memelihara object-object agar nilai dari object tetap terjaga, contohnya adalah bagaimana menghindari pemodifikasian atas suatu object. User yang tidak berwenang mungkin tidak mampu membaca isi sebuah object tetapi proteksi sistem harus mampu mencegah sesuatu yang dapat menambah atau memodifikasi bagian manapun dari suatu object. Integritas atas sebuah sumber daya berarti membahas mengenai bagaimana memelihara sumber daya dan melindunginya dari modifikasi oleh pihak yang tidak berwenang. 2.4 Policy / Kebijakan Deskripsi detail tentang lingkungan teknis dari sistem dan hukum yang berlaku. Analisa resiko yang mengidentifikasi ancaman yang dihadapi oleh assest-assest tersebut. Biaya yang harus dikeluarkan untuk kerusakan / kehilangan asset-asset tersebut

2.5 Faktor-faktor Pendukung Keamanan Memastikan semua account memiliki password yang sulit ditebak Menggunakan Tool, misal sebuah teknik Kriptografi untuk memastikan integritas perangkat lunak sistem Menggunakan teknik pemrograman yang aman Selalu bersikap waspada terhadap penggunaan dan konfigurasi jaringan komputer Memeriksa secara rutin dokumen-dokumen dan sistem keamanan Meng-audit sistem secara rutin 2.6 Faktor-faktor yang mempengaruhi keberhasilan Policy Keamanan Komitmen dari pengelola Dukungan tekhnologi Keefektifan penyebaran policy Kesadaran semua user2.6