vi

Universitas Kristen Maranatha Efektivitas Kontrol Akses Sistem Komputer di Dalam

Organisasi

Anita Arianti

ABSTRAK

Bagi para profesional keamanan sistem teknologi informasi, perhatian harus diberikan pada kebutuhan akses kontrol dan metode-metode implementasinya untuk menjamin bahwa sistem memenuhi availability (ketersediaan), confidentiality (kerahasiaan), dan integrity (integritas). Dalam komputer jaringan, juga diperlukan pemahaman terhadap penggunaan akses kontrol pada arsitektur terdistribusi dan terpusat.

Mekanisme kontrol perlu ditempatkan untuk mendata siapa yang dapat mengakses data dan apa yang orang dapat lakukan terhadapnya saat pertama kali diakses. Aktivitas tersebut harus dikontrol, diaudit, dan dimonitor. Beberapa tipe informasi yang dipertimbangkan sebagai informasi rahasia adalah misalnya catatan kesehatan, informasi laporan keuangan, catatan kriminal, kode sumber program, perdagangan rahasia, dan rencana taktis militer. Sedangkan beberapa mekanisme yang memberikan kemampuan kerahasiaan sebagai contoh yaitu enkripsi, kontrol akses fisikal dan logikal, protokol transmisi, tampilan database, dan alur trafik yang terkontrol.

Dengan mengkombinasikan sifat kontrol dan implementasinya diharapkan dapat mengefektifkan akses kontrol dalam suatu perusahaan melalui beberapa model dan metode yang diterapkan.

Universitas Kristen Maranatha DAFTAR ISI

LEMBAR PENGESAHAN ... i

LEMBAR PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... ii

LEMBAR PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... iii

KATA PENGANTAR ... iv

ABSTRAK ... vi

DAFTAR ISI ... vi

DAFTAR GAMBAR ... ix

DAFTAR TABEL ... x

BAB I PENDAHULUAN I.1 Latar Belakang ... 1

I.2 Rumusan Masalah ... 3

I.3 Tujuan Pembahasan ... 3

I.4 Batasan Masalah ... 4

I.5 Sistematika Pembahasan ... 4

BAB II LANDASAN TEORI II.1 Pengertian Dasar Kontrol Akses ... 6

II.2 Least Privilege ... 8

II.3 Teknik-Teknik Kontrol Akses ... 8

II.3.1. Rancangan Kontrol Akses ... ₉

II.3.1.1 Mandatory Access Control ... 9

II.3.1.2 Discretional Access Control ... 10

II.3.1.3 Nondiscretionary Access Control ... ₁₁

II.4 Access Control Administration ... 11

II.4.1 Centralized Access Control ... ₁₁

II.4.2 Decentralized Access Control ... 12

II.5 Accountability ... 13

II.6 Metode Otentikasi dan Identifikasi ... 14

II.6.1 Metode Otentikasi ... ₁₄

II.6.2Metode Identifikasi ... ₁₆

II.6.2.1 Single Sign On ... ₁₆

II.6.2.2 Kerberos ... ₁₇

II.7 Sumber Lubang Keamanan ... 17

BAB IIIANALISIS DAN PEMODELAN III.1 Analisis Metode Penyerangan Terhadap Kontrol Akses ... 20

III.2 Kepemilikan File dan Data ... 22

III.2.1 Data Owner (Pemilik Data) ... ₂₂

III.2.2 Data Custodian (Pemelihara Data) ... ₂₂

III.2.3 Data User (Pengguna Data) ... ₂₃

III.3 Model Kontrol Akses ... 23

viii

Universitas Kristen Maranatha

III.3.1.1 Model Bell-LaPadula ... ₂₄

III.3.1.2 Model Biba ... ₂₅

III.3.1.3 Model Clark-Wilson ... ₂₆

III.3.1.4 Model Noninterference ... ₂₆

BAB IV IMPLEMENTASI DAN PENGUJIAN IV.1 Profil Perusahaan ... 28

IV.2 Struktur Organisasi Perusahaan ... 29

IV.3 Aplikasi yang digunakan pada PT. Sumber Kerang Indah ... 31

IV.4 Kebijakan Keamanan Teknologi pada PT. Sumber Kerang Indah 34 IV.5 Kebijakan Penerapan Keamanan Teknologi Informasi ... 35

IV.6 Implementasi The Clark-Wilson Integrity Model ... 40

BAB V KESIMPULAN DAN SARAN V.1 Kesimpulan ... 47

V.2 Saran... 48

DAFTAR PUSTAKA... 49 RIWAYAT HIDUP PENULIS

Universitas Kristen Maranatha DAFTAR GAMBAR

Gambar 1. Biometric ... 16

Gambar 2. State Machine sederhana ... 24

Gambar 3. Struktur Organisasi PT. Sumber Kerang Indah ... 30

Gambar 4. Aplikasi SKIK (Penjualan LPG) ... 32

Gambar 5. Aplikasi SKIP (Penjualan Pelumas) ... 33

x

Universitas Kristen Maranatha DAFTAR TABEL

Table I. Kategori Kontrol Umum ... 6

Tabel II. Military Classifies Document ... 9

Tabel III. Klasifikasi Data Komersil ... 10

Tabel IV. Tipe Otentikasi ... 14

Tabel V. Properti Bell-LaPadula ... 25

Tabel VI Properti Biba ... 25

Tabel VII. Interpretasi Window Server 2008 pada Model Clark – Wilson ... 44

Universitas Kristen Maranatha

BAB I

PENDAHULUAN

I.1 Latar Belakang

Dalam mengoperasikan Sistem Informasi Komputer, faktor keamanan data merupakan hal penting yang perlu diperhatikan. Semua ancaman dapat terjadi kapan saja. Oleh karena itu, sebaiknya kita terlebih dahulu mencegah dan mendeteksi ancaman-ancaman terhadap sistem serta memperbaikinya jika ancaman tersebut telah merusak sistem kita. Melakukan kontrol akses pada sistem informasi dan jaringan yang terkait, merupakan hal penting untuk menjaga confidentiality, integrity, authentication dan availability.

Confidentiality atau kerahasiaan dapat diartikan sebagai perlindungan terhadap data dalam sistem informasi perusahaan, sehinggga data perusahaan tidak dapat diakses oleh orang yang tidak berhak. Banyak yang beranggapan bahwa tipe perlindungan seperti ini hanya penting untuk kalangan militer dan pemerintahan, karena mereka perlu merahasiakan rencana dan data yang penting. Akan tetapi kerahasian juga sangat penting bagi kalangan bisnis yang perlu melindungi rahasia dagang mereka dari kompetitor, atau untuk mencegah akses terhadap data yang dianggap sensitif oleh orang-orang yang tidak berhak. Isu seputar privasi yang semakin diperhatikan akhir-akhir ini, telah memaksa badan pemerintahan dan perusahaan swata sekalipun untuk menjaga kerahasiaan informasi secara lebih baik lagi, demi melindungi data pribadi yang disimpan dalam sistem informasi badan pemerintahaan atau perusahaan swasta tersebut.

Integrity atau integritas merupakan perlindungan terhadap sistem dari perubahan yang tidak terotorisasi, baik secara sengaja maupun secara tidak sengaja. Tantangan yang dihadapi setiap sistem keamanan informasi adalah

2

Universitas Kristen Maranatha untuk memastikan bahwa data terpelihara dalam keadaan yang baik. Walau tidak dapat meningkatkan akurasi dari data yang dimasukkan kedalam sistem oleh pemakai. Inisiatif keamanan informasi memastikan bahwa setiap perubahan memang benar-benar dikehendaki dan dilakukan secara benar.

Elemen tambahan dari integritas adalah kebutuhan untuk melindungi proses atau program yang digunakan untuk memanipulasi data dari modifikasi yang tidak terotorisasi. Saat paling penting dalam pemrosesan data dari kalangan komersial dan pemerintahan adalah memastikan integritas data untuk mencegah penipuan (fraud) dan kesalahan (error).

Authentication atau otentikasi merupakan aspek yang berhubungan dengan metode atau cara untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud. Biasanya metode yang sangat kita kenal untuk terkoneksi dan masuk ke dalam sistem adalah dengan metode password di mana terdapat suatu karakter yang diberikan oleh pengguna ke server dan server mengenalinya sesuai dengan kebijakan (policy) yang ada. Saat ini dengan perkembangan teknologi informasi terdapat beberapa metode authentication atau otentikasi yang lebih canggih dan aman seperti menggunkan retina mata, pengenalan suara, dan telapak tangan pengguna.

Availability (ketersediaan) memastikan bahwa bagi pengguna(user) yang berhak memakai sistem, memiliki waktu dan akses yang bebas gangguan pada informasi dalam sistem. Informasi, sistem, dan sumberdaya harus tersedia untuk pengguna (user) pada waktu diperlukan sehingga produktifitas tidak terpengaruh. Kebanyakan informasi perlu dapat diakses dan tersedia bagi pengguna (user) saat diminta, sehingga mereka dapat menyelesaikan tugas-tugas dan memenuhi tanggung jawab pekerjaan mereka.

Tujuan kontrol akses lainnya adalah reliability dan utilitas. Tujuan-tujuan tersebut mengalir dari kebijakan keamanan suatu organisasi. Kebijakan ini merupakan pernyataan tingkat tinggi dari pihak manajemen berkaitan dengan

Universitas Kristen Maranatha kontrol pada akses suatu informasi dan orang yang berhak menerima informasi tersebut.

Tiga hal lainnya yang patut dipertimbangkan untuk perencanaan dan implementasi mekanisme kontrol akses adalah ancaman pada sistem (threats), kerawanan sistem pada ancaman (vulnerabilities), dan resiko yang ditimbulkan oleh ancaman tersebut.

I.2 Rumusan Masalah

Saat ini kita berada pada era digital kemajuan komunikasi dan pertukaran informasi berlangsung dalam suatu jaringan yang kian hari semakin meluas. Di dalam sistem tersebut, pengguna (user) saling berinteraksi melalui sebuah pengenal untuk merepresentasikan dirinya. Pengenal ini lazim disebut identitas user. Pengguna yang telah memiliki hak akses memiliki wewenang untuk mengolah data yang terdapat dalam sistem tersebut. Namun, kita perlu waspada dengan kemajuan teknologi yang begitu pesat. Banyak orang yang tidak bertanggung jawab menyalahgunakan kemajuan teknologi. Hal inilah yang perlu kita hindari, pentingnya kontrol akses dalam suatu sistem komputer dalam suatu organisasi untuk mengantisipasi penyusup-penyusup yang tidak bertanggung jawab serta ancaman baik itu ancaman virus maupun ancaman dari alam.

Oleh karena itu diperlukan suatu kebijakan dalam menerapkan keamanan teknologi informasi yang berfungsi menghindari berbagai ancaman yang dapat menggangu keutuhan suatu data di dalam suatu organisasi.

I.3 Tujuan Pembahasan

4

Universitas Kristen Maranatha 1. Menganalisis dan menentukan kebijakan penerapan keamanan teknologi

informasi di dalam organisasi.

2. Menghindari hal-hal yang tidak diinginkan yang dapat merusak kerahasiaan, integritas dan ketersediaan data pada sistem komputer.

3. Mengimplementasikan model kontrol akses untuk menghindari ancaman-ancaman terhadap data di dalam suatu perusahaan.

I.4 Batasan Masalah

Mengingat pembahasan mengenai kontrol akses cukup luas maka penulis membatasi ruang lingkup tugas akhir ini dengan beberapa hal diantaranya :

1. Pemahaman kontrol akses dan metodologinya.

2. Analisis serta menjelaskan model-model kontrol akses. 3. Penerapan kebijakan kontrol akses terhadap dunia nyata.

4. Pengimplementasian model kontrol akses di dalam perusahaan.

I.5 Sistematika Pembahasan

Sistematika penulisan laporan tugas akhir ini dimaksudkan untuk mempermudah pembahasan dan memberikan gambaran yang jelas, sistematika penulisan laporan tersebut dijelaskan sebagai berikut :

BAB I PENDAHULUAN

Berisi penjelasan mengenai latar belakang, rumusan masalah, tujuan pembahasan, ruang lingkup kajian, sumber data, sistematika penulisan.

BAB II DASAR TEORI

Menguraikan pengertian serta konsep dasar akses kontrol suatu sistem komputer.

Universitas Kristen Maranatha BAB III ANALISIS DAN PEMODELAN

Menguraikan analisis mengenai model-model kontrol akses yang akan digunakan secara lengkap.

BAB IV IMPLEMENTASI DAN PENGUJIAN

Menguraikan bagaimana menerapkan kebijakan keamanan teknologi informasi di dunia nyata serta implementasi model kontrol akses terhadap sistem komputer.

BAB V KESIMPULAN DAN SARAN

Pada bab kesimpulan dan saran mengemukakan kesimpulan yang dapat ditarik dari seluruh uraian dan saran yang diajukan.

47

Universitas Kristen Maranatha

BAB V

KESIMPULAN DAN SARAN

V.1 Kesimpulan

Setelah melakukan analisis dan merancang model kontrol akses pada suatu perusahaan, maka terdapat beberapa hal yang dapat disimpulkan diantaranya :

1. Sangatlah penting sebuah perusahaan memperhatikan keamanan teknologi informasi guna menjaga asset _{dan data perusahaan.}

Menerapkan kebijakan kontrol akses yang baik dapat mencegah adanya ancaman-ancaman terhadap asset _{dan data perusahaan.}

2. Dalam melakukan kebijakan penerapan keamanan teknologi informasi ada beberapa hal yang perlu diperhatikan diantaranya :

a. Perusahaan mengetahui bagaimana cara pengelolaan User _dan Password _{yang benar agar terhindar dari akses} user _{yang tidak}

bertanggung jawab.

b. Suatu perusahaan sebaiknya melakukan tindakan pengamanan PC dan server. _{Telah kita ketahui, bahwa semua} asset _{dan data}

perusahaan tersimpan dalam server_{. Oleh karena itu, pengamanan} server _{merupakan hal yang terpenting guna menghindari pengambilan}

data oleh orang yang tidak berwenang.

c. Suatu perusahan perlu melakukan kebijakan umum dalam menjaga keamanan perusahaan, seperti memasang CCTV, absen melalui sidik jari, dan sebagainya.

3. Model kontrol akses Clark-Wilson lebih mudah diimplementasikan terhadap Window Server 2008 daripada Redhat, karena memiliki sistem dan komponen keamanan yang lebih kompleks.

Universitas Kristen Maranatha V.2 Saran

Implementasi dari Efektivitas Kontrol Akses Sistem Komputer ini masih banyak kekurangan. Adapun saran dari penulis guna untuk menghasilkan keefektifan kontrol akses terhadap data secara maksimal :

1. Setiap model kontrol akses ada diimplementasikan sehingga dapat terlihat model mana yang memiliki kelebihan dalam menjaga confidentiality, integrity, authentication, dan availability data.

2. Perlunya penjabaran cara mengatasi setiap serangan yang mengganggu kerahasiaan data di dalam perusahaan.

49

Universitas Kristen Maranatha

DAFTAR PUSTAKA

Solomon,G, Michael. Chapple, Mike. 2004. Information Security Illuminated. Jones and Bartiett Illuminated Series.

Setiawan, Deris. 2005. Sistem Keamanan Komputer. PT. Elex Media

Komputindo. Jakarta

Krutz, L. Ronald. 2001. The CISSP Pre Guide: Mastering the Ten Domains of Computer Security. John Wiley & Sons, Inc.

www.microsoft.com [Akses 6 November 2009 pukul 15.00 WIB]

http://technet.microsoft.com [Akses 6 November 2009 pukul 15.05 WIB]

http://www.windowsnetworking.com/articles_tutorials/Windows-Server-2008-First-Look.html [Akses 6 November 2009 pukul 15.00 WIB]

http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/selinux-guide [Akses 10 November 2009 pukul 12.00 WIB]

Russel, Charlie. Zacker, Craig. 2010. Introducing Windows Server 2008 R2. Microsoft Corporation

http://id.wikipedia.org/wiki/Windows_Server_2008 [Akses 6 November 2009 pukul 15.00]

Universitas Kristen Maranatha kontrol pada akses suatu informasi dan orang yang berhak menerima informasi tersebut.

Tiga hal lainnya yang patut dipertimbangkan untuk perencanaan dan implementasi mekanisme kontrol akses adalah ancaman pada sistem (threats), kerawanan sistem pada ancaman (vulnerabilities), dan resiko yang ditimbulkan oleh ancaman tersebut.

I.2 Rumusan Masalah

Saat ini kita berada pada era digital kemajuan komunikasi dan pertukaran informasi berlangsung dalam suatu jaringan yang kian hari semakin meluas. Di dalam sistem tersebut, pengguna (user) saling berinteraksi melalui sebuah pengenal untuk merepresentasikan dirinya. Pengenal ini lazim disebut identitas user. Pengguna yang telah memiliki hak akses memiliki wewenang untuk mengolah data yang terdapat dalam sistem tersebut. Namun, kita perlu waspada dengan kemajuan teknologi yang begitu pesat. Banyak orang yang tidak bertanggung jawab menyalahgunakan kemajuan teknologi. Hal inilah yang perlu kita hindari, pentingnya kontrol akses dalam suatu sistem komputer dalam suatu organisasi untuk mengantisipasi penyusup-penyusup yang tidak bertanggung jawab serta ancaman baik itu ancaman virus maupun ancaman dari alam.

Oleh karena itu diperlukan suatu kebijakan dalam menerapkan keamanan teknologi informasi yang berfungsi menghindari berbagai ancaman yang dapat menggangu keutuhan suatu data di dalam suatu organisasi.

I.3 Tujuan Pembahasan

Universitas Kristen Maranatha 1. Menganalisis dan menentukan kebijakan penerapan keamanan teknologi

informasi di dalam organisasi.

2. Menghindari hal-hal yang tidak diinginkan yang dapat merusak kerahasiaan, integritas dan ketersediaan data pada sistem komputer.

3. Mengimplementasikan model kontrol akses untuk menghindari ancaman-ancaman terhadap data di dalam suatu perusahaan.

I.4 Batasan Masalah

Mengingat pembahasan mengenai kontrol akses cukup luas maka penulis membatasi ruang lingkup tugas akhir ini dengan beberapa hal diantaranya :

1. Pemahaman kontrol akses dan metodologinya.

2. Analisis serta menjelaskan model-model kontrol akses. 3. Penerapan kebijakan kontrol akses terhadap dunia nyata.

4. Pengimplementasian model kontrol akses di dalam perusahaan.

I.5 Sistematika Pembahasan

Sistematika penulisan laporan tugas akhir ini dimaksudkan untuk mempermudah pembahasan dan memberikan gambaran yang jelas, sistematika penulisan laporan tersebut dijelaskan sebagai berikut :

BAB I PENDAHULUAN

Berisi penjelasan mengenai latar belakang, rumusan masalah, tujuan pembahasan, ruang lingkup kajian, sumber data, sistematika penulisan.

BAB II DASAR TEORI

Menguraikan pengertian serta konsep dasar akses kontrol suatu sistem komputer.

Universitas Kristen Maranatha BAB III ANALISIS DAN PEMODELAN

Menguraikan analisis mengenai model-model kontrol akses yang akan digunakan secara lengkap.

BAB IV IMPLEMENTASI DAN PENGUJIAN

Menguraikan bagaimana menerapkan kebijakan keamanan teknologi informasi di dunia nyata serta implementasi model kontrol akses terhadap sistem komputer.

BAB V KESIMPULAN DAN SARAN

Pada bab kesimpulan dan saran mengemukakan kesimpulan yang dapat ditarik dari seluruh uraian dan saran yang diajukan.

Universitas Kristen Maranatha

BAB V

KESIMPULAN DAN SARAN

V.1 Kesimpulan

Setelah melakukan analisis dan merancang model kontrol akses pada suatu perusahaan, maka terdapat beberapa hal yang dapat disimpulkan diantaranya :

1. Sangatlah penting sebuah perusahaan memperhatikan keamanan teknologi informasi guna menjaga asset _{dan data perusahaan.} Menerapkan kebijakan kontrol akses yang baik dapat mencegah adanya ancaman-ancaman terhadap asset _{dan data perusahaan.}

2. Dalam melakukan kebijakan penerapan keamanan teknologi informasi ada beberapa hal yang perlu diperhatikan diantaranya :

a. Perusahaan mengetahui bagaimana cara pengelolaan User _dan Password _{yang benar agar terhindar dari akses} user _{yang tidak} bertanggung jawab.

b. Suatu perusahaan sebaiknya melakukan tindakan pengamanan PC dan server. _{Telah kita ketahui, bahwa semua} asset _{dan data} perusahaan tersimpan dalam server_{. Oleh karena itu, pengamanan} server _{merupakan hal yang terpenting guna menghindari pengambilan} data oleh orang yang tidak berwenang.

c. Suatu perusahan perlu melakukan kebijakan umum dalam menjaga keamanan perusahaan, seperti memasang CCTV, absen melalui sidik jari, dan sebagainya.

3. Model kontrol akses Clark-Wilson lebih mudah diimplementasikan terhadap Window Server 2008 daripada Redhat, karena memiliki sistem dan komponen keamanan yang lebih kompleks.

Universitas Kristen Maranatha

V.2 Saran

Implementasi dari Efektivitas Kontrol Akses Sistem Komputer ini masih banyak kekurangan. Adapun saran dari penulis guna untuk menghasilkan keefektifan kontrol akses terhadap data secara maksimal :

1. Setiap model kontrol akses ada diimplementasikan sehingga dapat terlihat model mana yang memiliki kelebihan dalam menjaga confidentiality, integrity, authentication, dan availability data.

2. Perlunya penjabaran cara mengatasi setiap serangan yang mengganggu kerahasiaan data di dalam perusahaan.

Universitas Kristen Maranatha

DAFTAR PUSTAKA

Solomon,G, Michael. Chapple, Mike. 2004. Information Security Illuminated.

Jones and Bartiett Illuminated Series.

Setiawan, Deris. 2005. Sistem Keamanan Komputer. PT. Elex Media

Komputindo. Jakarta

Krutz, L. Ronald. 2001. The CISSP Pre Guide: Mastering the Ten Domains of

Computer Security. John Wiley & Sons, Inc.

www.microsoft.com [Akses 6 November 2009 pukul 15.00 WIB]

http://technet.microsoft.com [Akses 6 November 2009 pukul 15.05 WIB]

http://www.windowsnetworking.com/articles_tutorials/Windows-Server-2008-First-Look.html [Akses 6 November 2009 pukul 15.00 WIB]

http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/selinux-guide [Akses 10 November 2009 pukul 12.00 WIB]

Russel, Charlie. Zacker, Craig. 2010. Introducing Windows Server 2008 R2.

Microsoft Corporation

http://id.wikipedia.org/wiki/Windows_Server_2008 [Akses 6 November 2009 pukul 15.00]