Keamanan Informasi Pada SistemWeb Servic
Keamanan Informasi Pada SistemWeb Service Pertukaran Data
dan MetadataStatistik dengan Schema Validation danSchema
Hardening
Yuliandi
Nim. 110155201014
Jurusan Teknik Informatika Fakultas Teknik, Universitas Maritim Raja Ali Haji (UMRAH)
Jl. Pliteknik Senggarang, Tanjungpinang, Kepulauan Riau, Indonesia
e-mail : bbanettt26@gmail.com
ABSTRAK
Sistem Web Ser vice P e r tu ka r a n D a ta d a n Meta d a ta Sta tistik me r u p a ka n siste m ya n g a ka n mela ya n i
p er min ta a n p en g g u n a ter h a d a p keb u tu h a n d a ta sta tis tik. Se tia p p e r min ta a n ya n g d ikir imka n d a r i web
se r vic e a ka n d ip r o se s ke web se r vice se r ver . P e sa n d ikir imka n mela lu i H TTP d en g a n fo r ma t XML, SO AP. Dengan keterbukaan sistem, maka diperlukan keamanan informasi terkait unauthorized p esa n SO AP . Web
Ser vice Secu r ity d a p a t d iter a p ka n p a d a web se r vic e, n a m u n k e b u t u h a n k e a m a n a n d a l a m s i s t e m
p e r t u k a r a n d a t a t e r s e b u t d i p e r lu ka n tin g ka t kea ma n a n ya n g leb ih a ma n . H a l in i ka r en a d a ta -d a ta
sta tistic d ig u n a ka n seb a g a i p en g a mb il kep u tu sa n d a n memu a t d a ta -d a ta in d ivu a l ya n g sa n g a t r a h a s ia .
Ma ka b en tu k kea ma n a n in fo r ma si ta mb a h a n ya n g d a p a t d ite r a p ka n p a d a sis tem te r seb u t a d a la h
d en g a n sch ema va lid a tio n d a n sch ema h a r d e n i n g . S e t i a p p e s a n p e r m i n t a a n y a n g m a s u k a k a n
d i v a l i d a s i , d i a n a l i s i s dan diklasifikasikan, apakah pesan SOAP yang dikirim benar dan bukan
seb u a h s e r a n g a n . T u j u a n d a r i k e d u a s i s t e m k e a m a n a n t e r s e b u t a d a l a h u n t u k
m e m i n i m a l k a n t e r j a d i n y a k e j a h a t a n p a d a p e s a n S O AP y a n g a k a n d i p r o s e s o leh web ser vic e
se r ve r .
Ka ta ku n c i : web se r vice, SO AP , p e r tu ka r a n d a ta , meta d a ta sta tistik
AB S TRACT
Sistem Web Ser vice P e r tu ka r a n D a ta d a n Meta d a ta Sta tistik me r u p a ka n siste m ya n g a ka n mela ya n i
p er min ta a n p en g g u n a ter h a d a p keb u tu h a n d a ta sta tis tik. Se tia p p e r min ta a n ya n g d ikir imka n d a r i web
se r vic e a ka n d ip r o se s ke web se r vice se r ver . P e sa n d ikir imka n mela lu i H TTP d en g a n fo r ma t XML, SO AP. Dengan keterbukaan sistem, maka diperlukan keamanan informasi terkait unauthorized p esa n SO AP . Web
Ser vice Secu r ity d a p a t d iter a p ka n p a d a web se r vic e, n a m u n k e b u t u h a n k e a m a n a n d a l a m s i s t e m
p e r t u k a r a n d a t a t e r s e b u t d i p e r lu ka n tin g ka t kea ma n a n ya n g leb ih a ma n . H a l in i ka r en a d a ta -d a ta
sta tistic d ig u n a ka n seb a g a i p en g a mb il kep u tu sa n d a n memu a t d a ta -d a ta in d ivu a l ya n g sa n g a t r a h a s ia .
Ma ka b en tu k kea ma n a n in fo r ma si ta mb a h a n ya n g d a p a t d ite r a p ka n p a d a sis tem te r seb u t a d a la h
d en g a n sch ema va lid a tio n d a n sch ema h a r d e n i n g . S e t i a p p e s a n p e r m i n t a a n y a n g m a s u k a k a n
d i v a l i d a s i , d i a n a l i s i s dan diklasifikasikan, apakah pesan SOAP yang dikirim benar dan bukan
seb u a h s e r a n g a n . T u j u a n d a r i k e d u a s i s t e m k e a m a n a n t e r s e b u t a d a l a h u n t u k
m e m i n i m a l k a n t e r j a d i n y a k e j a h a t a n p a d a p e s a n S O AP y a n g a k a n d i p r o s e s o leh web ser vic e
se r ve r .
Keyword : web service, SOAP, data exchange, metadata statistic
1.
PENDAHULUAN
Badan Pusat Statistik (BPS) adalah lembaga
non-departemen yang berkewa - jiban untuk
menyediakan data statistik dasar yang dalam
pemanfaatannyaditujukan
untuk
kepentingan
yang bersifat luas baik bagi pemerintah,
swastamaupun masyarakat yang mem iliki ciri
lintas sektor, berskala nasional, danbersifat
makro. Hal ini diperkuat dengan UU Nomor 16
Tahun 1997 tentang Statistik dan Peraturan
Pemerintah Nomor 15 Tahun 2009 tentang Penyelenggaraan Statistik[1].
Layanan
data
(diseminasi)
yang
diberikan oleh BPS kepada pengguna
d a t a terkait tupoksi BPS sebagai penyedia data,
terdapat dua tipe layanan yai tu layanan
elektronik dan manual. Layanan secara
elektornik melalui websitedan buku elektronik
(e-book), sedangkan untuk layanan manual yaitu
perpustakaan. Selain fasilitas media layanan,
hal lain yang menjadi perhatian dalam layanan
BPS adalah keterkinian data dan publikasi yang
didesiminasikan
kepada
masyarakat,
serta
kesesuaian terhadap keinginan dan kebutuhan
pengguna data.
Untuk
meningkatkan
pelayanan
ke pada
pengguna data, BPS telah mengupa y a k a n
p r o g r a m p e r c e p a t a n ( quick wins) t e r h a d a p
p r o d u k B P S y a n g b e n a r - benar dapat
menyentuh kebutuhan para pengguna data.
Program quick wins i n i d i p i l i h u n t u k
memperhatikan produk statistik yang
m e m i l i k i d a y a u n g k i t ( leverage) tinggi,
inovatif dan merupakan terobosan yang terkait
dengan produk utama (core business) BPS.
Adapun program quick wins tersebut antara
lain: 1. Peningkatan Kepuasan Pelanggan, 2.
Penyempurnaan pelayanan statistik yang terdiri
pelayanan Elektronik (e-Services) dan pelayanan
statistik
terpadu
yang
menggabungkan
pelayanan perpustakaan (digital dan non
digital), konsultasi statistik, toko buku ( e-Shop)
dan pelayanan lainnya, dan 3. Membangunan
Advanced Release Calendar (ARC)[2].
Salah satu upaya untuk penyempurnaan pelayanan
statistik terhadap pelayanan elektronik(e-Services)
adalah dengan merancang sistem web service
pertuk a r a n d a t a d a n m e t a d a t a s t a t i s t i k .
Sistem ini akan memberikan pelayanan
permintaan data dari pengguna data ( data
requestor) ke data repository milik BPS (data
provider). Permintaan data akan langsung diproses dan
seketika ituakan diberikan kepada pengguna data.
Sistem yang dibutuhkan adalah sistem yang
memiliki kharakter terbuka, yaitu untuk data data makro dapat diakses oleh semua pen gguna
data
baik
instansi
pemerintah
maupun
masyarakat umum. Untuk layanan yang sifatnya
adalah permintaan data mikro, layanan hanya
terbuka untuk pengguna yang terdaftar pada
sistem khususnya untuk instansi pemerintahan.
2.
DASAR TEORI
2.1
Web Service
Web service adalah sebuah software yang
tidak terpengaruh oleh platform ia akan
menyediakan method-method yang dapat di akses
oleh jaringan.
2.2
PERTUKARAN
DATA
METADATA STATISTIK
DAN
Menurut
kamus
besar
Bahasa
Indonesia, data adalah kumpulan kejadian
yang diangkat dari suatu kenyataan (fakta), dapat
berupa angka-angka, huruf simbol-simbol
khusus, atau gabungan dari ketiganya.
Data juga dapat diartikan sebagai
sekumpulan file atau informasi dengan tipe
tertentu, baik suara, gambar atau lainnya.
Sedangkan metadata adalah data tentang
data. Metadata dapat disimpan dan diatur
dalam basis data yang biasa disebut
sebagai registry atau repository. Metadata
membantu pengguna dalam memahami arti
dan kualitas data[6].
Dalam
kontek
perstatistikan,
data
dikumpulkan dan d iproses melalui sensus
dan survei. Data Statistik yaitu data
yang diperoleh dari pengumpulan dan
pemrosesan data hasil sensus, survei dan
pendataan lainnya. Data -data tersebut
dapat dianalisis berdasarkan data mikro,
data makro maupun time series.
Sedangkan Metadata Statistik sebagai data
dan dokumen yang menjelaskan data
statistik melalui siklus alur diperolehnya
data tersebut. Sistem pertukaran data dan
metadata statistik adalah layanan dalam
statistic untuk memberikan pelayanan
pertukaran data da n metadata statistik
antara data provider dan data collector.
S e b a g a i data provider y a i t u B P S d a n
data collector adalah pengguna data baik
instansi pemerintah, swasta, mahasiswa
maupun masyarakat umum.
2.3 Web Service dan WS-Security
Web service merupakan sebuah framework
yang mengimplementasikan konsep Service
Architecture Oriented ( S O A ) . S O A a d a l a h
s e b u a h b e n t u k t e k n o l o g i arsitektur yang
mengikuti prinsip-prinsip service-oriented [7].
Sedangkan konsep service-oriented merupakan
sebuah pendekatan dalam penyelesaian
masalah
yang
kompleks
dengan
membaginya menjadi sekumpulan service
yang
digunakan
untuk
menyelesaikan
permasalahan yang spesifik. Web service memiliki
tiga entitas dalam arsitekturnya, yaitu service
provider, service requestor dan service registry.
dalam metoda pull, yaitu data provider (BPS)
dan data collector (pengguna data).
Service provider yaitu pihak yang m e m b u a t
dan memiliki layanan yang boleh
d i g u n a k a n o l e h p i h a k l a i n . Service
requestor yaitu pihak yang meminta dan
menggunakan layanan untuk memenuhi
kebutuhannya. Sedangan service registry merupakan
tempat dimana service provider bisa
menempatkan
layanan
dan
service
requestor mencari dan memanfaatkan layanan.
3.2 Arsitektur Sistem Pertukaran Data
dan Metadata
2.4
SOAP Message
SOAP
adalah
suatu
protokol
pemaketan pesa n antar aplikasi yang telah
distandarisasi.
Spesifikasi
pesan
didefinisikan seperti suatu amplop surat
yang b e r b a s i s X M L y a n g d i k i r i m
beserta aturan-aturan atau cara untuk
m e n e n r jemahkan representasi data XML
tersebut. Pesan SOAP adalah suatu pesan yang
merupakan spesifikasi dari XML. Pesan
SOAP terdiri atas header dan body. Sebuah
pesan SOAP dapat tidak memiliki header,
namun harus memiliki body[8].
Arsitektur sistem pertukaran data dan
metadata adalah gambaran detail ba gaimana
metoda
pull
diproses
oleh
sistem.
Arsitektur disegmentasi menjadi 3 bagian
yaitu data collector, arsitektur system
sendiri dan basis data diseminasi
statistik.
Proses
dimulai
dari
p e r m i n t a a n data dari data collector melalui
pesan SOAP yang dikirimkan ke web
service provider yang telah didefinisikan URL
nya. Web service provider akan mengubah pesan
SOAP yang dalam bentuk XML ke format
yang dapat dibaca oleh data retriever
dengan XML parser. Data retriever akan
meminta layanan kebasis data dan pemetaan
penyimpanan data. Dalam proses ini akan
dilakukan sinkronisasi antara basis data dan
pemetaan struktur data. Data retriever ak an mengirimkan pesan ke data generator,
dan data generator akan mengubah p e s a n
d a r i data retriever k e p e s a n X M L y a n g
a k a n d i t r a n s m i s i k a n k e d a t a collector.
3.3 Aspek Keamanan Sistem
3.
ANALISIS SISTEM
Sistem pertukaran data dan metadata
s t a t i s t i k a d a l a h b e n t u k l a y a n a n webservice
yang melayani kebutuhan data pengguna
d a t a . S i s t e m i n i b e r s i f a t terbuka karena
dapat diakses oleh masyarakat umum tanpa
harus terdaftar dalam sistem. Pengguna data
dapat mengirimkan permintaan (request) d a t a
sesuai pilihan data yang tersedia, dan
sistem
akan
memproses
permintaan
tersebut dan akan langsung memberikan
jawaban.
3.1 Model Pertukaran Data
Model pertukaran data statistik yaitu
mekanisme untuk menyediakan data statistik
yang dapat dimanfaatkan oleh pengguna
data di lingkungan internet[9]. D e n g a n
struktur, format, pengkodean data dan
metadata sesuai yang telah ditentukan
a t a u r e q u i r e m e n t sebelumnya. Model
pertukaran data yang digunakan dalam
sistem adalah metoda “pull”. Metoda ini
mengijinkan
pengguna
data
untuk
mengirimkan permintaan data sesuai
k e b u t u h a n n y a . T e r d a p a t dua pelaku
Data-data hasil kegiatan sensus, survei
dan pendataan lain BPS merupakan data-data
individual yang sangat rahasia seperti identitas,
pendapatan, alamat responden dan lain -lain.
Berdasarkan undang-undang, BPS harus
menjaga kerahasiaan data -data individu
responden, baik dari internal maupun
eksternal.
Data-data yang dipublikasikan kepada
pengguna
data
merupakan
data -data
makro. Untuk menjaga kepercayaan
tersebut, sistem pertukaran data dan
metadata tersebut harus dirancang untuk
menjaga kerahasiaan data dari ben tuk
ancaman keamanan. Aspek keamanan yang
dibutuhkan untuk merancang web service
sistem pertukaran data dan metadata
statistik BPS [10]yaitu :
Confidentiality yaitu menjaga informasi
dari individu yang tidak berhak untuk
mengaksesnya. Data-data yang sifatnya rahasia
dan pribadi harus jaga kerahasiannya.
Authorization y a i t u p e m b e r i a n h a k
akses kepada pihak yang memang
berhak
untuk
mengaksesnya.
Misalkan dalam sistem pertukaran
d a t a dan metadata adalah instansi
pemerintahan
yang
berkepentingan
yangdiberikan
hak
akses
untuk
mengakses data -data mikro.
4.
Data integrity yaitu menjaga data -data
dari
pengubahan
atau
perusakan
terhadap pihak yang tidak berhak
mengubahnya, serta menghindarkan
pengubahan
tanpa
seijin
pemilik
informasi.
Authentication
yaitu
menjaga
atau
memastikan
bahwa
pesan
yang
dikirimkan oleh pengirim merupakan
benar dan bukan merupakan ulangan
pesan yang merupakan serangan, dapat
dilakukan
dengan
teknologi
watermarking dan digital signature.
PERANCANGAN KEAMANAN INFORMASI
Kebutuhan
keamanan
informasi
terhadap sistem pertukaran data dan
metadata statistik dari pengubahan dan
p e m b a c a a n i n f o r m a s i y a n g t i d a k b e r hak
(unauthorised)
sangat
diperlukan.
Untuk
menghindarkan hal tersebut, Babini akan membahas
bagaimana menjaga confidentiality dan integrity pada
pesan SOAP yang dikirimkan oleh pengguna data.
Pesan tersebut akan di validasi untuk memastikan
bahwa pesan tersebut adalah benar dan tidak
diubah oleh sebuah serangan (attacks). Agar
schema validation dapat lebih efektif untuk
memvalidasi pesan SOAP, maka diperlukan
tambahan informasi lain, yaitu dengan
menggunakan
teknik
schema
harden ing.
Schema hardening adalah se buah algoritma
yang dapat memberikan tambahan informasi
sehingga schema lebih kuat/harden dan algoritma
tersebut bersifat self adaptive [4].
4.1
Schema Validation
Untuk menjaga privacy/confidentiality,
integrity dan authentication p e s a n SOAP dari
ketidakwajaran pesan pada web serv ice
client dan web service se rver, maka
Organization for the Advancement of Structured
Information Standards (OASIS) mengusulkan
mengimplementasikan standar WS-Security[13].
Standar yang dapat diterapkan adalah XMLEncryption
dan
XML
Signature
yang
mendefinisikan
struktur
data
untuk
mengenkripsi dan signature dokumen XML.
Agar dapat menerapkan WS -Security, maka
web server client dan web server service
harus menggunakan aturan yang cocok pada
elemen pesan SOAP. Aturan tersebut biasa
disebut WS-Security Policy [14].
XML Schema adalah bahasa XML untuk
mengatasi masalah seperti kerumitan dalam
dokumen XML yang telah komplek. Ada
beberapa bahasa schema yang dapat
digunakan, namun yang terutama adalah
Document Type Definitions (DTDs) dan XML
Schema Definitions (XSD)[15]. XML
schema digunakan untuk memberikan daftar
elemen dan atribut dalam kosa kata; untuk
mengasosiasikan tipe data, seperti integer,
string atau lebih khusus seperti hat size,sock
colour dengan nilai-nilai yang ditemukan dalam
dokumen; untuk membatasi elemen dan atribut
yang dapat muncul, seperti judul bab terjadi
di dalam s e b u a h b a b , d a n b a b h a r u s
terdiri dari judul bab diikuti oleh satu
a t a u l e bih paragraf; untuk menyediakan
dokumentasi yang baik human-readable dan
mesin-processable; untuk memberikan
deskripsi formal dari satu atau lebih
dokumen.
Sistem pertukaran data dan metadata
adalah sistem yang mendukung interaks i
antara mesin ke mesin untuk mengakses
sumberdaya yang ada pada system dengan
menggunakan pesan SOAP ( Simple Object
Access Protocol) melalui jaringan. Pesan SOAP
ditulis dalam format XML dan terdistribusi pada
lingkungan
jaringan,
sehingga
rawan
terhadap serangan seperti XML injection.
Pesan yang telah diubah atau sudah
tidak sesuai dengan aslinya akan tetap
diteruskan ke Web Service Server.
Web
server
akan
memproses
pesan
tersebut.Apabila tidak ditemukan, maka
sistem akan mengirimkan HTTP response
co-de:500 dan web server tidak akan
memberikan
informasi
atas
masalah
dalampesan SOAP tersebut. Namun buruknya
apabila permintaan data tersebut ada dalam
sistem maka sistem akan memberikan data
yang diinginkan, meskipun sebenarnya data
tersebut
adalah
salah.
Untuk
menghindarkan hal tersebut, WS-security t i d a k
c u k u p u n t u k m e n g amankan pesan SOAP.
WS-Security Policy dapat
memberikan
tambahan pengamanan pada web service
server, aturan tersebut disebut sebagai
Extended validation yang dapat diterapkan untuk
mengamankan pesan SOAP.
Extended Validation dapat didekomposisi
menjadi beberapa bagian, yaitu:
Pemeriksaan
keamanan
tokens
dikirimkan dalam pesan SOAP,
Pemerikasaan
pesan
yang
dienkripsi dan signed message,
yang
telah
Verifikasi tanda tangan digital (digital
signature) yang diperlukan untuk menjaga
integrity dan authenticity pesan,
Mendekripsi
pesan
yang
telah
dienkripsi,
Memvalidasi pesan SOAP.
4.2 Schema Hardening
Schema
Hardening
yang
akan
dijelaskan dalam makalah ini adalah
adaptive schema hardening algoritma. Algoritma
tersebut bertujuan untuk mengenali dan
mengklasifikasikan
jenis -jenis
pesan.
Tujuannya adalah agar web service server
mengetahui atau mengenali jenis pesan
yang diterimanya apakah pesan masuk ke
dalam kelas serangan atau bukan. Se lain itu
server juga dapat mengambil keputusan lebih
tepat apakah pesan tersebut diproses atau di
kembalikan tanpa diproses. Sebelum pesan
dikirimkan ke web service serve r, pesan
tersebut telah di validasi dan dilengkapi
informasi tambahan mengenai analisis dan kelas
dari
pesanyang
diterima.
Al g o r i t m a
menampung semua log pesan SOAP.
Dari
log-log
permintaan
ter sebut,
Algoritma akan menampungnya dalam
schema reposit o r y . D a l a m t a m p u n g a n
tersebut
log-log
pesan
akan
d i i n d e n t i fi k a s i d a n d i klasifikasika dengan
cara membandingkan antara pesan SOAP dengan
domain XML dalam hal ini XSD. Pesan akan
dikenali dari fitur-fitur dalam pesan yang
dicocokkan dengan XSD. Pesan yang telah
diubah atau mendapat serangan,pesan
tersebut akan diisolasi dan diident ifikasi
sebagai kelas serangan[10 ].
5.
KESIMPULAN
Sistem Web Service Pertukaran Data dan
Metadata Statistik merupakan sis tem yang akan
melayani
permintaan pengg una
terhadap
kebutuhan data statistik. Setiap permintaan
yang dikirimkan dari web service akan diproses
keweb service server. Pesan dikirimkan melalui
HTTP dengan format XML, SO-AP. Dengan
keterbukaan sistem, maka diperlukan keamanan
informasi terkait unauthorized pesan SOAP. WSSecurity
dapat
diterapkan
pada
web
service,n a m u n k e b u t u h a n k e a m a n a n d a l a m
sistem
pertukaran
data
tersebut
d i p e r lukan tingkat keamanan yang l ebih aman.
Hal ini karena data-data statistic digunakan
sebagai pengambil keputusan dan memuat data data indivual yang sangat rahasia. Maka bentuk
keamanaa informasi tambahan yang dap at
diterapkan pada sistem tersebut adalah dengan
schema validation dan sc hema h a r d e n i n g .
Setiap pesan permintaan yang masuk
akan
divalidasi,
dianalisis
dan
diklasifikasikan, apakah pesan SOAP yang
dikirim benar dan bukan se b u a h s e r a n g a n .
Tujuan dari kedua sistem keamanan
tersebut adalah untuk meminimalkan
terjadinya kejahatan pada pesan SOAP
y a n g a k a n d i p r o s e s oleh web service server.
6.
REFERENSI
[1] BPS. [Online] Available : http://bps.go.id/,
Maret 2013.
[2] D. D. S. B. P. Statistik, Peningkatan Pelayanan
Diseminasi Statistik BPS Provinsi/Kab/Kota.
Badan Pusat Statistik, Jakarta, November
2011.
[3] W3C, Web Services Architecture [Online]
Available
:
http://www.w3.org/:W3C
Publications, 2004.
[4] V. Patel, “Attacks on web services
a n d m i t i g a t i o n s c h e m e s , ” i n Security and
Cryptography(SECRYPT), Proceedings of the
2010 International Conference on, p p . 1 – 6 ,
2010.
[5]
M. R. K.Pre ffers, T.Tunanen and S.
Chatterjee, “A design science resear ch
methodology for information systems
research,” in Journal of Management
Information Systems, vol. vol.24, pp. 45 –78,
2007.
[6] D. W. Bruce E.Bargmeyer, “Metadata
standards and metadata registries: An
overview,” 2012.[ 7 ] T . E r l , Service Oriented
Architecture. Prentice Hall PTR, 2004.
[ 8 ] J . S n e l l , Programming Web Service with
SOAP. O Reilly, 2001.
[9] Eurostat, SDMX Architecture Using t he
Pull Method for Data Sharing. Directorate
B: tatistical Methodologies and Tools Unit
B-5: Statistical Information Technologies,
September 2010.
[10] M. D. S. V. R. E. d. A. M. J.D. Meier, Alex
Mackman, Improving Web Application Security:
Threats and Countermeasures.
Corporation, 2003.
Microsoft
dan MetadataStatistik dengan Schema Validation danSchema
Hardening
Yuliandi
Nim. 110155201014
Jurusan Teknik Informatika Fakultas Teknik, Universitas Maritim Raja Ali Haji (UMRAH)
Jl. Pliteknik Senggarang, Tanjungpinang, Kepulauan Riau, Indonesia
e-mail : bbanettt26@gmail.com
ABSTRAK
Sistem Web Ser vice P e r tu ka r a n D a ta d a n Meta d a ta Sta tistik me r u p a ka n siste m ya n g a ka n mela ya n i
p er min ta a n p en g g u n a ter h a d a p keb u tu h a n d a ta sta tis tik. Se tia p p e r min ta a n ya n g d ikir imka n d a r i web
se r vic e a ka n d ip r o se s ke web se r vice se r ver . P e sa n d ikir imka n mela lu i H TTP d en g a n fo r ma t XML, SO AP. Dengan keterbukaan sistem, maka diperlukan keamanan informasi terkait unauthorized p esa n SO AP . Web
Ser vice Secu r ity d a p a t d iter a p ka n p a d a web se r vic e, n a m u n k e b u t u h a n k e a m a n a n d a l a m s i s t e m
p e r t u k a r a n d a t a t e r s e b u t d i p e r lu ka n tin g ka t kea ma n a n ya n g leb ih a ma n . H a l in i ka r en a d a ta -d a ta
sta tistic d ig u n a ka n seb a g a i p en g a mb il kep u tu sa n d a n memu a t d a ta -d a ta in d ivu a l ya n g sa n g a t r a h a s ia .
Ma ka b en tu k kea ma n a n in fo r ma si ta mb a h a n ya n g d a p a t d ite r a p ka n p a d a sis tem te r seb u t a d a la h
d en g a n sch ema va lid a tio n d a n sch ema h a r d e n i n g . S e t i a p p e s a n p e r m i n t a a n y a n g m a s u k a k a n
d i v a l i d a s i , d i a n a l i s i s dan diklasifikasikan, apakah pesan SOAP yang dikirim benar dan bukan
seb u a h s e r a n g a n . T u j u a n d a r i k e d u a s i s t e m k e a m a n a n t e r s e b u t a d a l a h u n t u k
m e m i n i m a l k a n t e r j a d i n y a k e j a h a t a n p a d a p e s a n S O AP y a n g a k a n d i p r o s e s o leh web ser vic e
se r ve r .
Ka ta ku n c i : web se r vice, SO AP , p e r tu ka r a n d a ta , meta d a ta sta tistik
AB S TRACT
Sistem Web Ser vice P e r tu ka r a n D a ta d a n Meta d a ta Sta tistik me r u p a ka n siste m ya n g a ka n mela ya n i
p er min ta a n p en g g u n a ter h a d a p keb u tu h a n d a ta sta tis tik. Se tia p p e r min ta a n ya n g d ikir imka n d a r i web
se r vic e a ka n d ip r o se s ke web se r vice se r ver . P e sa n d ikir imka n mela lu i H TTP d en g a n fo r ma t XML, SO AP. Dengan keterbukaan sistem, maka diperlukan keamanan informasi terkait unauthorized p esa n SO AP . Web
Ser vice Secu r ity d a p a t d iter a p ka n p a d a web se r vic e, n a m u n k e b u t u h a n k e a m a n a n d a l a m s i s t e m
p e r t u k a r a n d a t a t e r s e b u t d i p e r lu ka n tin g ka t kea ma n a n ya n g leb ih a ma n . H a l in i ka r en a d a ta -d a ta
sta tistic d ig u n a ka n seb a g a i p en g a mb il kep u tu sa n d a n memu a t d a ta -d a ta in d ivu a l ya n g sa n g a t r a h a s ia .
Ma ka b en tu k kea ma n a n in fo r ma si ta mb a h a n ya n g d a p a t d ite r a p ka n p a d a sis tem te r seb u t a d a la h
d en g a n sch ema va lid a tio n d a n sch ema h a r d e n i n g . S e t i a p p e s a n p e r m i n t a a n y a n g m a s u k a k a n
d i v a l i d a s i , d i a n a l i s i s dan diklasifikasikan, apakah pesan SOAP yang dikirim benar dan bukan
seb u a h s e r a n g a n . T u j u a n d a r i k e d u a s i s t e m k e a m a n a n t e r s e b u t a d a l a h u n t u k
m e m i n i m a l k a n t e r j a d i n y a k e j a h a t a n p a d a p e s a n S O AP y a n g a k a n d i p r o s e s o leh web ser vic e
se r ve r .
Keyword : web service, SOAP, data exchange, metadata statistic
1.
PENDAHULUAN
Badan Pusat Statistik (BPS) adalah lembaga
non-departemen yang berkewa - jiban untuk
menyediakan data statistik dasar yang dalam
pemanfaatannyaditujukan
untuk
kepentingan
yang bersifat luas baik bagi pemerintah,
swastamaupun masyarakat yang mem iliki ciri
lintas sektor, berskala nasional, danbersifat
makro. Hal ini diperkuat dengan UU Nomor 16
Tahun 1997 tentang Statistik dan Peraturan
Pemerintah Nomor 15 Tahun 2009 tentang Penyelenggaraan Statistik[1].
Layanan
data
(diseminasi)
yang
diberikan oleh BPS kepada pengguna
d a t a terkait tupoksi BPS sebagai penyedia data,
terdapat dua tipe layanan yai tu layanan
elektronik dan manual. Layanan secara
elektornik melalui websitedan buku elektronik
(e-book), sedangkan untuk layanan manual yaitu
perpustakaan. Selain fasilitas media layanan,
hal lain yang menjadi perhatian dalam layanan
BPS adalah keterkinian data dan publikasi yang
didesiminasikan
kepada
masyarakat,
serta
kesesuaian terhadap keinginan dan kebutuhan
pengguna data.
Untuk
meningkatkan
pelayanan
ke pada
pengguna data, BPS telah mengupa y a k a n
p r o g r a m p e r c e p a t a n ( quick wins) t e r h a d a p
p r o d u k B P S y a n g b e n a r - benar dapat
menyentuh kebutuhan para pengguna data.
Program quick wins i n i d i p i l i h u n t u k
memperhatikan produk statistik yang
m e m i l i k i d a y a u n g k i t ( leverage) tinggi,
inovatif dan merupakan terobosan yang terkait
dengan produk utama (core business) BPS.
Adapun program quick wins tersebut antara
lain: 1. Peningkatan Kepuasan Pelanggan, 2.
Penyempurnaan pelayanan statistik yang terdiri
pelayanan Elektronik (e-Services) dan pelayanan
statistik
terpadu
yang
menggabungkan
pelayanan perpustakaan (digital dan non
digital), konsultasi statistik, toko buku ( e-Shop)
dan pelayanan lainnya, dan 3. Membangunan
Advanced Release Calendar (ARC)[2].
Salah satu upaya untuk penyempurnaan pelayanan
statistik terhadap pelayanan elektronik(e-Services)
adalah dengan merancang sistem web service
pertuk a r a n d a t a d a n m e t a d a t a s t a t i s t i k .
Sistem ini akan memberikan pelayanan
permintaan data dari pengguna data ( data
requestor) ke data repository milik BPS (data
provider). Permintaan data akan langsung diproses dan
seketika ituakan diberikan kepada pengguna data.
Sistem yang dibutuhkan adalah sistem yang
memiliki kharakter terbuka, yaitu untuk data data makro dapat diakses oleh semua pen gguna
data
baik
instansi
pemerintah
maupun
masyarakat umum. Untuk layanan yang sifatnya
adalah permintaan data mikro, layanan hanya
terbuka untuk pengguna yang terdaftar pada
sistem khususnya untuk instansi pemerintahan.
2.
DASAR TEORI
2.1
Web Service
Web service adalah sebuah software yang
tidak terpengaruh oleh platform ia akan
menyediakan method-method yang dapat di akses
oleh jaringan.
2.2
PERTUKARAN
DATA
METADATA STATISTIK
DAN
Menurut
kamus
besar
Bahasa
Indonesia, data adalah kumpulan kejadian
yang diangkat dari suatu kenyataan (fakta), dapat
berupa angka-angka, huruf simbol-simbol
khusus, atau gabungan dari ketiganya.
Data juga dapat diartikan sebagai
sekumpulan file atau informasi dengan tipe
tertentu, baik suara, gambar atau lainnya.
Sedangkan metadata adalah data tentang
data. Metadata dapat disimpan dan diatur
dalam basis data yang biasa disebut
sebagai registry atau repository. Metadata
membantu pengguna dalam memahami arti
dan kualitas data[6].
Dalam
kontek
perstatistikan,
data
dikumpulkan dan d iproses melalui sensus
dan survei. Data Statistik yaitu data
yang diperoleh dari pengumpulan dan
pemrosesan data hasil sensus, survei dan
pendataan lainnya. Data -data tersebut
dapat dianalisis berdasarkan data mikro,
data makro maupun time series.
Sedangkan Metadata Statistik sebagai data
dan dokumen yang menjelaskan data
statistik melalui siklus alur diperolehnya
data tersebut. Sistem pertukaran data dan
metadata statistik adalah layanan dalam
statistic untuk memberikan pelayanan
pertukaran data da n metadata statistik
antara data provider dan data collector.
S e b a g a i data provider y a i t u B P S d a n
data collector adalah pengguna data baik
instansi pemerintah, swasta, mahasiswa
maupun masyarakat umum.
2.3 Web Service dan WS-Security
Web service merupakan sebuah framework
yang mengimplementasikan konsep Service
Architecture Oriented ( S O A ) . S O A a d a l a h
s e b u a h b e n t u k t e k n o l o g i arsitektur yang
mengikuti prinsip-prinsip service-oriented [7].
Sedangkan konsep service-oriented merupakan
sebuah pendekatan dalam penyelesaian
masalah
yang
kompleks
dengan
membaginya menjadi sekumpulan service
yang
digunakan
untuk
menyelesaikan
permasalahan yang spesifik. Web service memiliki
tiga entitas dalam arsitekturnya, yaitu service
provider, service requestor dan service registry.
dalam metoda pull, yaitu data provider (BPS)
dan data collector (pengguna data).
Service provider yaitu pihak yang m e m b u a t
dan memiliki layanan yang boleh
d i g u n a k a n o l e h p i h a k l a i n . Service
requestor yaitu pihak yang meminta dan
menggunakan layanan untuk memenuhi
kebutuhannya. Sedangan service registry merupakan
tempat dimana service provider bisa
menempatkan
layanan
dan
service
requestor mencari dan memanfaatkan layanan.
3.2 Arsitektur Sistem Pertukaran Data
dan Metadata
2.4
SOAP Message
SOAP
adalah
suatu
protokol
pemaketan pesa n antar aplikasi yang telah
distandarisasi.
Spesifikasi
pesan
didefinisikan seperti suatu amplop surat
yang b e r b a s i s X M L y a n g d i k i r i m
beserta aturan-aturan atau cara untuk
m e n e n r jemahkan representasi data XML
tersebut. Pesan SOAP adalah suatu pesan yang
merupakan spesifikasi dari XML. Pesan
SOAP terdiri atas header dan body. Sebuah
pesan SOAP dapat tidak memiliki header,
namun harus memiliki body[8].
Arsitektur sistem pertukaran data dan
metadata adalah gambaran detail ba gaimana
metoda
pull
diproses
oleh
sistem.
Arsitektur disegmentasi menjadi 3 bagian
yaitu data collector, arsitektur system
sendiri dan basis data diseminasi
statistik.
Proses
dimulai
dari
p e r m i n t a a n data dari data collector melalui
pesan SOAP yang dikirimkan ke web
service provider yang telah didefinisikan URL
nya. Web service provider akan mengubah pesan
SOAP yang dalam bentuk XML ke format
yang dapat dibaca oleh data retriever
dengan XML parser. Data retriever akan
meminta layanan kebasis data dan pemetaan
penyimpanan data. Dalam proses ini akan
dilakukan sinkronisasi antara basis data dan
pemetaan struktur data. Data retriever ak an mengirimkan pesan ke data generator,
dan data generator akan mengubah p e s a n
d a r i data retriever k e p e s a n X M L y a n g
a k a n d i t r a n s m i s i k a n k e d a t a collector.
3.3 Aspek Keamanan Sistem
3.
ANALISIS SISTEM
Sistem pertukaran data dan metadata
s t a t i s t i k a d a l a h b e n t u k l a y a n a n webservice
yang melayani kebutuhan data pengguna
d a t a . S i s t e m i n i b e r s i f a t terbuka karena
dapat diakses oleh masyarakat umum tanpa
harus terdaftar dalam sistem. Pengguna data
dapat mengirimkan permintaan (request) d a t a
sesuai pilihan data yang tersedia, dan
sistem
akan
memproses
permintaan
tersebut dan akan langsung memberikan
jawaban.
3.1 Model Pertukaran Data
Model pertukaran data statistik yaitu
mekanisme untuk menyediakan data statistik
yang dapat dimanfaatkan oleh pengguna
data di lingkungan internet[9]. D e n g a n
struktur, format, pengkodean data dan
metadata sesuai yang telah ditentukan
a t a u r e q u i r e m e n t sebelumnya. Model
pertukaran data yang digunakan dalam
sistem adalah metoda “pull”. Metoda ini
mengijinkan
pengguna
data
untuk
mengirimkan permintaan data sesuai
k e b u t u h a n n y a . T e r d a p a t dua pelaku
Data-data hasil kegiatan sensus, survei
dan pendataan lain BPS merupakan data-data
individual yang sangat rahasia seperti identitas,
pendapatan, alamat responden dan lain -lain.
Berdasarkan undang-undang, BPS harus
menjaga kerahasiaan data -data individu
responden, baik dari internal maupun
eksternal.
Data-data yang dipublikasikan kepada
pengguna
data
merupakan
data -data
makro. Untuk menjaga kepercayaan
tersebut, sistem pertukaran data dan
metadata tersebut harus dirancang untuk
menjaga kerahasiaan data dari ben tuk
ancaman keamanan. Aspek keamanan yang
dibutuhkan untuk merancang web service
sistem pertukaran data dan metadata
statistik BPS [10]yaitu :
Confidentiality yaitu menjaga informasi
dari individu yang tidak berhak untuk
mengaksesnya. Data-data yang sifatnya rahasia
dan pribadi harus jaga kerahasiannya.
Authorization y a i t u p e m b e r i a n h a k
akses kepada pihak yang memang
berhak
untuk
mengaksesnya.
Misalkan dalam sistem pertukaran
d a t a dan metadata adalah instansi
pemerintahan
yang
berkepentingan
yangdiberikan
hak
akses
untuk
mengakses data -data mikro.
4.
Data integrity yaitu menjaga data -data
dari
pengubahan
atau
perusakan
terhadap pihak yang tidak berhak
mengubahnya, serta menghindarkan
pengubahan
tanpa
seijin
pemilik
informasi.
Authentication
yaitu
menjaga
atau
memastikan
bahwa
pesan
yang
dikirimkan oleh pengirim merupakan
benar dan bukan merupakan ulangan
pesan yang merupakan serangan, dapat
dilakukan
dengan
teknologi
watermarking dan digital signature.
PERANCANGAN KEAMANAN INFORMASI
Kebutuhan
keamanan
informasi
terhadap sistem pertukaran data dan
metadata statistik dari pengubahan dan
p e m b a c a a n i n f o r m a s i y a n g t i d a k b e r hak
(unauthorised)
sangat
diperlukan.
Untuk
menghindarkan hal tersebut, Babini akan membahas
bagaimana menjaga confidentiality dan integrity pada
pesan SOAP yang dikirimkan oleh pengguna data.
Pesan tersebut akan di validasi untuk memastikan
bahwa pesan tersebut adalah benar dan tidak
diubah oleh sebuah serangan (attacks). Agar
schema validation dapat lebih efektif untuk
memvalidasi pesan SOAP, maka diperlukan
tambahan informasi lain, yaitu dengan
menggunakan
teknik
schema
harden ing.
Schema hardening adalah se buah algoritma
yang dapat memberikan tambahan informasi
sehingga schema lebih kuat/harden dan algoritma
tersebut bersifat self adaptive [4].
4.1
Schema Validation
Untuk menjaga privacy/confidentiality,
integrity dan authentication p e s a n SOAP dari
ketidakwajaran pesan pada web serv ice
client dan web service se rver, maka
Organization for the Advancement of Structured
Information Standards (OASIS) mengusulkan
mengimplementasikan standar WS-Security[13].
Standar yang dapat diterapkan adalah XMLEncryption
dan
XML
Signature
yang
mendefinisikan
struktur
data
untuk
mengenkripsi dan signature dokumen XML.
Agar dapat menerapkan WS -Security, maka
web server client dan web server service
harus menggunakan aturan yang cocok pada
elemen pesan SOAP. Aturan tersebut biasa
disebut WS-Security Policy [14].
XML Schema adalah bahasa XML untuk
mengatasi masalah seperti kerumitan dalam
dokumen XML yang telah komplek. Ada
beberapa bahasa schema yang dapat
digunakan, namun yang terutama adalah
Document Type Definitions (DTDs) dan XML
Schema Definitions (XSD)[15]. XML
schema digunakan untuk memberikan daftar
elemen dan atribut dalam kosa kata; untuk
mengasosiasikan tipe data, seperti integer,
string atau lebih khusus seperti hat size,sock
colour dengan nilai-nilai yang ditemukan dalam
dokumen; untuk membatasi elemen dan atribut
yang dapat muncul, seperti judul bab terjadi
di dalam s e b u a h b a b , d a n b a b h a r u s
terdiri dari judul bab diikuti oleh satu
a t a u l e bih paragraf; untuk menyediakan
dokumentasi yang baik human-readable dan
mesin-processable; untuk memberikan
deskripsi formal dari satu atau lebih
dokumen.
Sistem pertukaran data dan metadata
adalah sistem yang mendukung interaks i
antara mesin ke mesin untuk mengakses
sumberdaya yang ada pada system dengan
menggunakan pesan SOAP ( Simple Object
Access Protocol) melalui jaringan. Pesan SOAP
ditulis dalam format XML dan terdistribusi pada
lingkungan
jaringan,
sehingga
rawan
terhadap serangan seperti XML injection.
Pesan yang telah diubah atau sudah
tidak sesuai dengan aslinya akan tetap
diteruskan ke Web Service Server.
Web
server
akan
memproses
pesan
tersebut.Apabila tidak ditemukan, maka
sistem akan mengirimkan HTTP response
co-de:500 dan web server tidak akan
memberikan
informasi
atas
masalah
dalampesan SOAP tersebut. Namun buruknya
apabila permintaan data tersebut ada dalam
sistem maka sistem akan memberikan data
yang diinginkan, meskipun sebenarnya data
tersebut
adalah
salah.
Untuk
menghindarkan hal tersebut, WS-security t i d a k
c u k u p u n t u k m e n g amankan pesan SOAP.
WS-Security Policy dapat
memberikan
tambahan pengamanan pada web service
server, aturan tersebut disebut sebagai
Extended validation yang dapat diterapkan untuk
mengamankan pesan SOAP.
Extended Validation dapat didekomposisi
menjadi beberapa bagian, yaitu:
Pemeriksaan
keamanan
tokens
dikirimkan dalam pesan SOAP,
Pemerikasaan
pesan
yang
dienkripsi dan signed message,
yang
telah
Verifikasi tanda tangan digital (digital
signature) yang diperlukan untuk menjaga
integrity dan authenticity pesan,
Mendekripsi
pesan
yang
telah
dienkripsi,
Memvalidasi pesan SOAP.
4.2 Schema Hardening
Schema
Hardening
yang
akan
dijelaskan dalam makalah ini adalah
adaptive schema hardening algoritma. Algoritma
tersebut bertujuan untuk mengenali dan
mengklasifikasikan
jenis -jenis
pesan.
Tujuannya adalah agar web service server
mengetahui atau mengenali jenis pesan
yang diterimanya apakah pesan masuk ke
dalam kelas serangan atau bukan. Se lain itu
server juga dapat mengambil keputusan lebih
tepat apakah pesan tersebut diproses atau di
kembalikan tanpa diproses. Sebelum pesan
dikirimkan ke web service serve r, pesan
tersebut telah di validasi dan dilengkapi
informasi tambahan mengenai analisis dan kelas
dari
pesanyang
diterima.
Al g o r i t m a
menampung semua log pesan SOAP.
Dari
log-log
permintaan
ter sebut,
Algoritma akan menampungnya dalam
schema reposit o r y . D a l a m t a m p u n g a n
tersebut
log-log
pesan
akan
d i i n d e n t i fi k a s i d a n d i klasifikasika dengan
cara membandingkan antara pesan SOAP dengan
domain XML dalam hal ini XSD. Pesan akan
dikenali dari fitur-fitur dalam pesan yang
dicocokkan dengan XSD. Pesan yang telah
diubah atau mendapat serangan,pesan
tersebut akan diisolasi dan diident ifikasi
sebagai kelas serangan[10 ].
5.
KESIMPULAN
Sistem Web Service Pertukaran Data dan
Metadata Statistik merupakan sis tem yang akan
melayani
permintaan pengg una
terhadap
kebutuhan data statistik. Setiap permintaan
yang dikirimkan dari web service akan diproses
keweb service server. Pesan dikirimkan melalui
HTTP dengan format XML, SO-AP. Dengan
keterbukaan sistem, maka diperlukan keamanan
informasi terkait unauthorized pesan SOAP. WSSecurity
dapat
diterapkan
pada
web
service,n a m u n k e b u t u h a n k e a m a n a n d a l a m
sistem
pertukaran
data
tersebut
d i p e r lukan tingkat keamanan yang l ebih aman.
Hal ini karena data-data statistic digunakan
sebagai pengambil keputusan dan memuat data data indivual yang sangat rahasia. Maka bentuk
keamanaa informasi tambahan yang dap at
diterapkan pada sistem tersebut adalah dengan
schema validation dan sc hema h a r d e n i n g .
Setiap pesan permintaan yang masuk
akan
divalidasi,
dianalisis
dan
diklasifikasikan, apakah pesan SOAP yang
dikirim benar dan bukan se b u a h s e r a n g a n .
Tujuan dari kedua sistem keamanan
tersebut adalah untuk meminimalkan
terjadinya kejahatan pada pesan SOAP
y a n g a k a n d i p r o s e s oleh web service server.
6.
REFERENSI
[1] BPS. [Online] Available : http://bps.go.id/,
Maret 2013.
[2] D. D. S. B. P. Statistik, Peningkatan Pelayanan
Diseminasi Statistik BPS Provinsi/Kab/Kota.
Badan Pusat Statistik, Jakarta, November
2011.
[3] W3C, Web Services Architecture [Online]
Available
:
http://www.w3.org/:W3C
Publications, 2004.
[4] V. Patel, “Attacks on web services
a n d m i t i g a t i o n s c h e m e s , ” i n Security and
Cryptography(SECRYPT), Proceedings of the
2010 International Conference on, p p . 1 – 6 ,
2010.
[5]
M. R. K.Pre ffers, T.Tunanen and S.
Chatterjee, “A design science resear ch
methodology for information systems
research,” in Journal of Management
Information Systems, vol. vol.24, pp. 45 –78,
2007.
[6] D. W. Bruce E.Bargmeyer, “Metadata
standards and metadata registries: An
overview,” 2012.[ 7 ] T . E r l , Service Oriented
Architecture. Prentice Hall PTR, 2004.
[ 8 ] J . S n e l l , Programming Web Service with
SOAP. O Reilly, 2001.
[9] Eurostat, SDMX Architecture Using t he
Pull Method for Data Sharing. Directorate
B: tatistical Methodologies and Tools Unit
B-5: Statistical Information Technologies,
September 2010.
[10] M. D. S. V. R. E. d. A. M. J.D. Meier, Alex
Mackman, Improving Web Application Security:
Threats and Countermeasures.
Corporation, 2003.
Microsoft