Konsep security
Sekuriti komputer juga sudah sering dimanfaatkan untuk sarana iklan yang seringkali memakan korban akibat kurangya pemahaman pengguna. Pertama adalah issue firewall, lalu sistem deteksi intrusi, kemudian Virtual Private Network (VPN), dan yang sekarang sering digunakan dalam produk yang berkaitan dengan sekuriti adalah Certificate Authority (CA) dan Public Key Infrastructure (PKI). Sehingga sering digunakan sebagai peralatan marketing yang berujung pada pernyataan untuk membujuk pembeli :
``Bila anda membeli produk A maka anda akan aman''.
Tetapi kenyataannya tak seindah itu, terutama dalam era Internet yang serba cepat ini. (Schneier, 1999). Sekuriti terbentuk dari suatu mata rantai yang akan memiliki kekuatan sama dengan mata rantai yang terlemah. Sistem sekuriti berbasiskan CA akan memiliki rantai yang tak seluruhnya hanya merupakakn sistem kriptografi. Manusia akan banyak terlibat,
Sekuriti komputer memiliki definisi yang beragam, sebagai contoh berikut ini adalah definisi sekuriti komputer yang sering digunakan (Gollmann, 1999) :
Computer security deals with the prevention and detection of unauthorized actions by users of a computer system.
Tetapi dengan makin pentingnya eCommerce dan Internet, maka masalah sekuriti tidak lagi sekedar masalah keamanan data belaka. Berikut ini dikutipkan salah satu pernyataan Erkki Liikanen Commissioner for Enterprise and Information Society European Commission yang disampaikan pada Information Security Solutions Europe (ISSE 99), Berlin 14 October 1999. Berikut ini adalah cuplikan utama :
- Security is the key to securing users trust and confidence, and thus to ensuring the further take-up of the Internet. This can only be achieved if security features are incorporated in Internet services and if users have sufficient safety guarantees
- Securing the Internal Market is crucial to the further development of the European security market, and thus of the European cryptographic industry.This requires an evolution of mentalities: Regulation in this field transcends national borders. Let's "think European".
- European governments and the Commission now have a converging view on confidentiality. We see this in Council, in Member State policies and in the constructive discussions we have. We must take this debate further and focus of the potential of encryption to protect public security rather than mainly seeing it as a threat to public order.
- Finally, the promotion of open source systems in conjunction with technology development is certainly one important step towards unlocking the potential of the desktop security market for the European cryptographic industry.
Jadi masalah sekuriti pada infrastruktur e-Commerce dan Internet tidak saja terletak pada masalah teknologi dan ekonomi saja, tetapi menyangkut juga dengan masalah keamanan suatu negara atau ketergantungan suatu negara terhadap negara lain,karena pemanfaatan suatu teknologi tidak dibatasi oleh negera lain. Namun dalam kenyataannya, sebagai contoh USA dengan ITAR-nya membatasi pemanfaatan jenis teknologi kriptografi tertentu. Hal ini sangatlah tidak adil dalam pemanfaatan teknologi informasi pada saat ini.
CIA dan 3M
Perlindungan data adalah hal yang penting dalam masalah sekuriti. Pada bahasan sekuriti data didefinisikan sebagai :
Phsical phenomena chosen by convention to represent certain aspects of our conceptual and real world. The meanings we assign to data are called information. Data is used to transmit and store information and to derive new information by manipulating the data according to formal rules
Dari definisi di atas, data dianggap merepresentasikan informasi. Pada sistem sekuriti data dapat dikategorikan menjadi ;
- Data publik, yaitu data yang dapat diakses oleh siapapun
- Data rahasia, yaitu data yang tak boleh bocor ke pihak lain yang tidak berhak
- Data sembarang yaitu data yang sifatnya bebas
Seringkali orang mempertimbangkan masalah akses yang tidak sah dalam sekuriti karena pengaksesan tersebut tidak melalui si-empunya. Banyak hal yang perlu dipertimbangkan dalam pengaksesan data. Dalam perancangan dan pembahasan sistem sekuriti kazimnya kita akan dihadapkan pada pertimbangan dengan istilah segitiga CIA ;
- Confidentiality, yaitu segala usaha yang berkaitan dengan pencegahan pengaksesan terhadap informasi yang dilakukan oleh pihak lain yang tidak berhak.
- Integrity. Yaitu sesuatu yang berkaitan dengan pencegahan dalam modifikasi informasi yang dilakukan oleh pihak lain yang ttidak berhak.
- Availability, yaitu pencegahan penguasaan informasi atau sumber daya oleh pihak lain yang tidak berhak.
Disain suatu sistem sekuriti akan mencoba menyeimbangkan ke tiga hal di atas.
Confidentiality berkaitan dengan privacy (data personal) dan secrecy (kerahasiaan). Prvaicy lebih berkaitan dengan data pribadi, sedang secrecy lebih berkaitan dengan data yang dimiliki oleh suatu organisasi.
Secara umum integrity berkaitan dengan jaminan bahwa sesuatu berada dalam kondisi seharusnya. Pada sekuriti ini akan berkaitan dengan proses pengubahan data. Integrity didefinisikan oleh Clark and Wilson adalah :
No user of the system, even if authorized, may be permitted to modify data items in such a way that asses or a accounting records of the company are lost or corrupted.
Pada Orange Book ( panduan untuk evaluasi sekuriti) didefinisikan data integrity adalah :
The state that exists when computerized data is the same as that in the source documents and has not been exposed to accidental or malicious alteration or destruction.
Dalam hal ini jelas bahwa integrity berkaitan dengan konsistensi eksternal. Suatu data yang disimpan dalam sistem komputer harus benar menggambarkan realita yang ada di luar sistem komputer. Sedangkan dalam hal communication security, integrity sendiri memiliki definsi sebagai :
The detection and correction of modification, insertion, deletion or replay of transmitted data including both intentional manipulations and random transmission errors.
Availability didefinisikan oleh ISO 7498-2 adalah :
The property of being accessbile and useable upan demand by an authorized entity.
Salah satu kasus yang sering terjadi pada aspek ini adalah adanya Denial of Service, yang didefinisikan sebagai :
The prevention of authorized access to resources or the delaying the time-critical operations.
Setiap pengguna harus bertanggung jawab terhadap aksi yang dilakukan pada sistem . Untuk itulah konsep accountability menjadi penting pada sistem komputer.
Accountability :
Audit information must be selectively kept and protected so that action affecting security can be traced to the responsible party
Merupakan suatu proses pencatatan yang memadai atas pemakaian resources dalam suatu sistem oleh para penggunanya
Dalam membangun sebuah sistem informasi, perlu diperhatikan beberapa objektif dari sekuriti komputer untuk dipertimbangkan dalam desain, implementasi, dan operasional. Di samping hal di atas ada ada beberapa objektif sekuriti yang penting dan diperlukan sebagai pertimbangan dalam membangun sekuriti adalah :
· Authentication
Sekuriti menjamin proses dan hasil identifikasi oleh sistem terhadap pengguna dan oleh pengguna terhadap sistem
· Non Repudiation
Setiap informasi yang ada dalam sistem tidak dapat disangkal oleh pemiliknya
Pendekatan tradisional pada sekuriti komputer hanya berorientasi pada teknologi dan produk (hardware dan software). Dalam pendekatan ini, terdapat anggapan bahwa hanya sebagian orang saja yang harus mengerti dan bertanggungjawab dalam masalah sekuriti. Disamping itu pihak manajemen menempatkan sekuriti komputer pada prioritas yang rendah. Pendekatan tradisional biasanya ditandai dengan ketidakmengertian pengguna akan pentingnya keikutsertaan mereka dalam membangun sekuriti. Pengguna menganggap dengan membeli dan menggunakan produk-produk sekuriti seperti firewall dan kriptografi dapat menjamin keamanan suatu sistem.
Pendekatan tradisional harus dihindari dalam membangun sekuriti. Kenyataan membuktikan bahwa pengguna adalah mata rantai terlemah dalam rantai sekuriti itu sendiri. Oleh karena itu diperlukan pendekatan modern yang komprehensif, yang mengikutsertakan user, policy, manajemen, dan teknologi.
Pada hakekatnya seringkali orang melupakan bahwa dalam pelaksanaan sekuriti akan melibatkan 3 M yaitu :
- Matematika
- Manajemen
- Manusia
