IMPLEMENTASI KEBIJAKAN KEAMANAN KEAMANAN SISTEM IMPLEMENTASI KEBIJAKAN KEAMANAN

#Agenda Kebijakan Keamanan Perbedaan antara Kebijakan, Standar, Panduan, dan Prosedur Hubungan antara Service dengan Teknologi Pendukung

Pentingnya Perencanaan Kebijakan Keamanan Kebijakan keamanan merupakan dasar dari implementasi kebijakan keamanan TI Perencanaan terhadap kebijakan keamanan harus dilakukan dengan baik Kebijakan keamanan harus direncanakan dari awal Kebijakan keamanan harus dikembangkan untuk menjamin bahwa semua komponen keamanan akan berfungsi dengan baik untuk mencapai tujuan yang sama

Pendukung Kebijakan Keamanan Langkah selanjutnya adalah pengembangan dan implementasi prosedur, standar, dan petunjuk yang mendukung kebijakan keamanan Kebijakan keamanan diimplementasikan menggunakan pendekatan atas bawah Inisiasi, dukungan, serta arahan datang dari manajemen tingkat atas yang diturunkan ke manajemen di bawahnya dilanjutkan ke seluruh karyawan perusahaan

Implementasi kebijakan keamanan bisa berjalan dengan baik apabila didukung oleh seluruh komponen perusahaan Untuk menjamin dukungan dari seluruh komponen perusahaan, maka kebijakan keamanan didukung oleh kebijakan, standar, panduan, dan prosedur

Perbedaan antara Kebijakan, Standar, Panduan, dan Prosedur Kebijakan adalah pernyataan tertulis yang dibuat oleh manajemen senior yang menjadi elemen dasar bagi penerapan kebijakan keamanan

Standar merupakan penggunaan metodologi yang seragam untuk perangkat keras dan perangkat lunak dengan teknologi tertentu Standar merujuk kepada standarisasi, dimana perusahaan dapat menerapkan metodologi yang seragam yang digunakan untuk kontrol keamanan dan bersifat wajib untuk dilaksanakan

Panduan merupakan rekomendasi dari tindakan maupun operasional yang ditujukan kepada pengguna Panduan ini mengacu pada metodologi yang digunakan oleh perusahaan dan bersifat tidak wajib untuk dilaksanakan Panduan ini dapat digunakan sebagai suatu cara untuk mengembangkan standar

Prosedur merupakan langkah-langkah detail yang perlu diikuti untuk melaksanakan tugas-tugas tertentu Tujuan dari implementasi prosedur adalah menyediakan langkah detail yang dilakukan oleh setiap orang dalam mengimplementasikan kebijakan, standar, dan panduan yang telah dibuat sebelumnya

Baseline merupakan tingkat terendah dari keamanan dan dibutuhkan sebelum arsitektur keamanan dikembangkan Biasanya baseline digunakan sebagai acuan bagi pembuatan standar

Contoh Hubungan antara Kebijakan, Standar, Panduan dan Prosedur Kebijakan: Semua perangkat keras dan perangkat lunak yang digunakan harus didukung oleh pihak ketiga yang kompeten dalam pembangunan sistem dan pemeliharaan Standar: Sistem operasi untuk semua klien dan server adalah Microsoft Windows XP Panduan: Untuk mendukung keamanan sistem, sebaiknya disable fungsi ActiveX pada aplikasi IE Anda

Prosedur: Untuk men-disable program ActiveX pada IE6: Buka program Internet Explorer Pilih menu Tools, pilih Internet Options Pilih Tab Security, pilih menu Custom Level Disable semua pilihan pada setting ActiveX control and setting Baseline: Sistem operasi untuk semua klien minimal adalah Microsoft Windows 98, dan untuk server adalah Microsoft Windows 2003

Prinsip-prinsip Disain Arsitektur Keamanan Ketika sebuah dokumen kebijakan keamanan sudah terbentuk, langkah berikutnya yang harus dilakukan adalah melakukan implementasi keamanan berdasarkan kebijkan yang sudah dibuat. Untuk lebih mengarahkan dam memudahkan dalam proses implementasi kemanan perlu dirancang sebuah arsitektur keamanan yang menentukan bentuk dari implementasi. Berikut ini adalah beberapa contoh prinsip-prinsip yang dapat dipakai dalam mendisain sebuah arsitektur keamanan:

Prinsip 1: Level keamanan yang diterapkan terhadap aset sebaiknya…… terhadap nilai aset tersebut terhadap organisasi dan cukup mengurangi resiko pada level yang dapat diterima. Keamanan adalah business enabler dengan sejumlah biaya-biaya yang harus dikeluarkan. Biaya keamanan harus diseimbangkan dengan keuntungan yang diharapkan. Alasan: Kebutuhan keamanan sangat bervariasi tergantung pada sistem informasi, jenis dan jumlah koneksi ke sistem lain, sensitifitas data dan kemungkinan gangguan. Setiap jenis transaksi akan memiliki kebutuhan keamanan masing-masing. Biaya keamanan dapat meningkat melebihi nilai aset yang dilindungi. Jangan terapkan metode keamanan lebih dari yang dibutuhkan.

Prinsip 2: Arsitektur harus dapat mengakomodasi bermacam-macam kebutuhan keamanan. Variasi tingkat proteksi harus dapat didukung tanpa perlu melakukan perubahan pada arsitektur keamanan. Alasan: Kebutuhan keamanan berbeda-beda biasanya tergantung pada sifat komunikasi, sesitifitas informasi dan resiko perusahaan. Kebutuhan untuk keamanan berbeda-beda didalam dan antar agensi. Keamanan memerlukan perubahan. Layanan-layanan keamanan harus cukup granular untuk mengakomodasi tingkat yang berbeda dari jaminan yang diperlukan, dan cukup dapat diperluas untuk memenuhi kebuthan dimasa depan.

Prinsip 3: Arsitektur harus memberikan layanan keamanan yang menyeluruh untuk memungkinkan perusahaan melakukan bisnis elektronis yang aman. Perusahaan harus dapat melakukan bisnis secara elektronis sambil memelihara ketersediaan, kepercayaan, dan integritas informasi. Alasan: Biasanya perusahaan akan terus meningkatkan volume bisnis berbasis elektronik. Transaksi ini harus aman. Dengan menyediakan layanan keamanan yang menyeluruh memungkinkan pertumbuhan bisnis berbasis elektronik.

Prinsip 4: Sebuah sistem tunggal yang konsisten dan akurat dalam waktu dan tanggal harus selalu dipelihara dalam sebuah perusahaan. Sistem waktu dan tanggal yang tunggal, akurat dan konsisten penting untuk semua fungsi keamanan dan akuntabilitas. Alasan: Validitas dari tanda tangan digital dan transaksi elektronik bergantung pada informasi tanggal dan waktu yang tepat, akurat dan handal. Sistem pemeriksaan yang dapat dipertanggungjawabkan bergantung pada menmpatkan kejadian-kejadian secara beruurt berdasarkan tanggal dan waktu.

Security Goals, Services and Technologies Grafik berikut memperlihatkan hubungan antar tujuan-tujuan keamanan sebagai berikut: 1) Memelihara kerahasiaan, 2) Menjamin integritas data, sistem dan infrastruktur dan, 3) Menyediakan akses yang kontinu terhadap aset yang ada. Keamanan akan dapat dicapai melalui serangkaian lima layanan yang dibawa oleh setiap sub fungsinya, standar dan teknologi yang dibuthkan untuk mendukung ketiga tujuan. Setiap layanan yang berhasil diidentifikasi memiliki bagian dalam arsitektur untuk menjelaskan komponen teknologi, bisnis praktis yang paling baik, dan standar yang dipakai untuk mendukung teknologi.

Misi dari arsitektur keamanan adalah menyediakan sebuah kerangka yang menjamin ketersediaan, integritas, dan kerahasiaan informasi infrastruktur, sistem dan data. Hal ini dicapai dengan menyediakan layanan identification, authentication, authorization/access control, administration, dan audit security dengan menggunakan komponen teknologi, best practices, panduan dan standar. Jadi arsitektur keamanan sebuah organisasi harus dibangun berdasarkan layanan keamanan, komponen teknologi, best practices, panduan dan standar.

Layanan keamanan yang dipakai untuk melindungi infrastruktur informasi adalah: Identification – Proses untuk membedakan satu pengguna dengan pengguna yang lain. Authentication – Proses untuk melakukan verifikasi identitas seorang pengguna. Authorization dan Access Control – Suatu cara untuk memberikan dan memaksakan hak-hak pengguna. Administration –Proses untuk membentuk, mengelola dan memelihara keamanan. Audit – Proses monitoring identification, authentication, authorization and access control, and administration untuk menentukan apakah keamanan sudah dengan tepat dilaksanakan dan dipelihara. Masing-masing layanan ini diberikan dengan melakukan implementasi dari satu atau lebih komponen teknologi.

Gambar – Kerangka hubungan antara tujuan keamanan, layanan yang disediakan dan teknologi.

TEKNOLOGI DAN BEST PRACTICE UNTUK SETIAP LAYANAN Yang perlu diperhatikan pada bagian ini adalah bahwa teknologi yang tercantum disini akan senantiasa mengalami perubahan sesuai dengan perkembangan teknologi yang ada. Layanan-layanan keamanan ini dapat diterapkan bersama-sama dengan komponen teknologinya, sekumpulan panduan best practice dan standar-standar industri yang ada. Contoh pada layanan otentikasi, otorisasi dan kontrol akses

Layanan Otentikasi Otentikasi adalah proses untuk menguji identitas seorang pemakai. Otentikasi menjawab pertanyaan:”Apakah Anda adalah yang Anda katakan?”. Otentikasi adalah cara untuk membentuk dan melaksanakan hak-hak pemakai dan hak untuk mengakses sumber daya tertentu. Transaksi e-bisnis memiliki kebutuhan yang ketat untuk identikasi secara unik dan otentikasi pengirim atau penerima dari informasi elektronik.

Komponen Teknologi Keamanan Otentikasi Komponen-komponen teknologi yang dipakai dalam otentikasi didasarkan pada standar yang sudah ada dan yang akan berkembang. Implementasi yang berbeda, sekalipun standar yang dipakai sama, dapat menciptakan dinding terhadap solusi bagi enterprise. Agar infrastruktur keamanan enterprise dapat berhasil, maka teknologi harus menggunakan protokol dan standar yang terbuka dan interoperable. Sehingga ketika solusi yang lengkap belum ada, komponen-komponen dasar telah tersedia.

Komponen-komponen teknologi yang digunakan dalam otentikasi adalah: Kriptografi Adalah teknologi yang dipakai untuk melindungi kerahasiaan informasi. Kriptografi menggunakan algoritma untuk mengacak (enkrip) dan menyusun ulang (dekrip) informasi sedemikian hingga hanya pemegang kunci kriptografi yang dapat mengekrip dan mendekrip informasi. Kunci kriptografi adalah sebuah string karakter alphanumerik yang dipakai bersama-sama dengan informasi sebagai masukan bagi algoritma kriptografi

Teknologi Public Key/Private Key Otentikasi yang memerlukan identifikasi unik seorang pemakai biasanya didasarkan pada kriptografi Public/Private Key. Bentuk kriptografi ini menggunakan dua kunci yang saling berhubungan. Informasi yang dienkripsi dengan salah satu kunci hanya dapat didekripsi dengan kunci satunya. Public key dibuat terbuka dan tersedia dalam sebuah repositori untuk siapa saja yang ingin berkomunikasi dengan pemakai lain secara aman. Sedangkan private key hanya disimpan oleh pemiliknya dan tidak pernah dibocorkan. Karena hanya pemiliknya yang memiliki private key, maka pemakaian key ini dianggap cukup untuk secara unik mengotentikasi pemilik informasi.

Public Key Certificate Public key seorang pengguna didistribusikan dengan menggunakan dokumen elektronik yang disebut Public Key Certificate. Sertifikasi ini berisi nama pengguna, public key, tanggal kadaluarsa dan informasi lainnya. Sertifikat ini dianggap sah ketika pemberi otoritas yang dipercaya menandatanganinya secara digital. Pemberi otoritas yang dipercaya yang mengeluarkan sertifikat dikenal sebagai Certificate Authorities.

Message Digest Message digest dipakai untuk menjamin integritas informasi. Integritas berarti bahwa informasi tidak akan dapat diubah tanpa diketahui. Hal ini dilakukan dengan menerapkan fungsi hash pada informasi. Fungsi ini akan menghasilkan sebuah nilai numerik yang kecil yang disebut message digest. Perubahan terkecil sekalipun pada informasi akan menghasilkan message digest yang berbeda. Untuk menguji infomasi tidak diubah, seorang pemakai harus menerapkan fungsi hash yang sama pada informasi yang ingin diuji untuk menghasilkan message digest. Jika message digest yang dihasilkan sama dengan message digest yang asli, menandakan informasi tidak diubah. Salah satu contoh pemakaian penting message digest adalah tanda tangan digital.

Digital Signature Tanda tangan digital pada prinsipnya sama dengan tanda tangan biasa yaitu menandakan seseorang pada sebuah dokumen. Langkah pertama dalam menandatangani dokumen secara digital adalah membuat sebuah message digest dari dokumen tersebut. Si penandatangan mengenkripsi message digest ini dengan mengunakan private key miliknya. Kemudian dokumen dan message digest yang telah dienkripsi dikirim ke penerima. Penerima mengenerate message digest dari dokumen dengan menggunakan public key si penandatangan. Hal ini sekaligus membuktikan bahwa dokumen ini seharusnya data dari di penandatangan karena hanya dialah yang memiliki private key. Jika message digest yang berhasil didekrip sama dengan message digest yang di-generate, maka berarti dokumen tidak mengalami perubahan dan pengirim tidak dapat menyangkal tanda tangan digitalnya.

Public Key Infrastructure (PKI) Public Key Infrastructure (PKI) menghasilkan, mendistribusikan dan mengelola public key. Sebuah PKI mencakup layanan-layanan berikut: Menghasilkan, mendistribusikan, memperbaharui, dan mencabut sertifikat. Menyimpan histori sebuah key, melakukan backup dan recovery. Repositori sertifikat.

Layanan Otorisasi dan Kontrol Akses Otorisasi menjawab pertanyaan:”Apakah Anda diijinkan melakukan sesuatu yang sedang Anda coba lakukan?”. Otorisasi adalah ijin untuk menggunakan sumber daya komputer. Akses adalah kemampuan untuk melakukan sesuatu dengan sumber daya komputer. Kontrol akses adalah cara secara teknis untuk melaksanakan ijin tersebut. Kontrol akses bisa dilakukan pada sistem operasi, bisa digabungkan dalam program aplikasi atau diimplementasikan dalam perangkat yang mengontrol komunikasi antar komputer (misal router).

Pengamanan data pada jaringan dapat dilakukan dengan beberapa cara: Didalam aplikasi dengan menggunakan mekanisme keamanan yang tersedia Antara aplikasi-aplikasi pada link yang dienkripsi Pada layer-layer bawah protokol komunikasi untuk mengamankan komunikasi melalui jaringan

Pengamanan enterprise dari akses luar yang tidak sah dapat dilakukan dengan cara: Pertahanan perimeter seperti firewall Kontrol akses jarak jauh pada perimeter Membangun komunikasi yang aman dari enterprise ke pihak luar yang sah. Pertahanan berlayer pada titik-titik dan komponen-komponen infrastruktur didalam firewall.

Komponen Teknologi Keamanan Kontrol Akses Kriptografi Dokumen, komunikasi dan data yang melintas didalam dan diluar enterprise adalah dalam bentuk elektronik. Informasi elektronik mudah untuk dibaca, dimodifikasi atau diganti tanpa diketahui. Tetapi, dalam banyak situasi, kerahasiaan informasi yang sedang berjalan harus dipelihara. Kombinasi antara kriptografi public key dengan kriptografi secret key dapat dipakai untuk mengimplementasikan komunikasi yang terotentikasi dan terproteksi bagi kontrol akses yang aman.

Kriptografi Secret Key Teknologi secret key adalah sebuah bentuk teknologi kriptogradi dimana enkripsi dan dekripsi menggunakan key yang sama, yaitu sebuah secret key. Data yang dienkripsi dengan sebuah secret key didekripsi dengan secret key yang sama. Teknologi secret key biasa dipakai pada kebanyakan enkripsi karena lebih cepat dari teknik-teknik yang lain. Contoh algoritma yang biasa dipakai adalah DES, 3-DES, RC2, RC4, IDEA dan CAST.

Protokol Keamanan Protokol adalah format message yang dipakai untuk berkomunikasi dalam sistem jaringan. Kurangnya standar yang bersifat inter-operable secara luar dapat menciptakan pembatas bagi solusi bagi enterprise. Ketika memilih produk, sangat penting untuk mengecek kesesuaian dengan standar yang sekarang maupun yang akan datang.

Protokol-protokol keamanan yang penting dijelaskan berikut ini: Secure Socket Layer (SSL) : secara luas dipakai untuk mengamankan komunikasi antara browser Web dengan server Web. SSL membuat sebuah link terenkripsi antara klien dan server yang memerlukan komunikasi dengan aman. Otentikasi bisa dilakukan baik pada server maupun klien. SSL juga dapat dipakai dengan aplikasi-aplikasi lain, serperti ftp, telnet, daln lainnya. Simple Key Management fo Internet Protocol (SKIP) : adalah protokol pertukaran secret key yang beroperasi dibawah layer IP dalam protokol komunikasi TCP/IP. Metode ini dapat dipakai untuk menyediakan keamanan yang transparan antar entitas.

Security Multi-part for MIME (S/MIME) : adalah protokol keamanan aplikasi. Diimplementasikan pada email tetapi dapat lebih luas dipakai dalam pesan-pesan yang bersifat store-and-forward. Internet Protocol Security Extension (IPSec) : adalah protokol keamanan yang didefinisikan untuk jaringan IP, yang beroperasi pada layer network dalam protokol komunikasi TCP/IP. IPsec menambahkan perpanjangan header pada protokol komunikasi IP dan didesain untuk memberikan keamanan end-to-end bagi paket-paket yang melintasi Internet.

Internet Key Exchange (IKE) : menyediakan manajemen keamanan dan pertukaran kunci kriptografi antar perangkat yang berjauhan. Ini adalah standar mekanisme pertukaran kunci untuk IPsec.

#Daftar Pustaka An Information Technology Security, Architecture for the State of Arizona