Universitas Indonesia
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi P.T Penerbit Percetakan Jaya
Ade Gunawan - 7203010022 Dananjaya - 7203010081
Kekhususan Teknologi Informasi Program Magister Ilmu Komputer Fakultas Ilmu Komputer Universitas Indonesia 2004
”@ 2004 Kelompok 74 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini”
TUGAS 1
Studi Kasus: PT. Penerbit Percetakan Jaya
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
i
Daftar Isi I. Pendahuluan ...........................................................................................................................1 II. Susunan Organisasi PT. PPJ...................................................................................................1 III. Analisa Jaringan Komputer PT. PPJ.......................................................................................3 IV. Floor Plan PT. PPJ..................................................................................................................5 V. Konfigurasi Rack Server PT. PPJ...........................................................................................6 VI. Analisa Konfigurasi Struktur Jaringan WAN PT. PPJ ...........................................................7 VII. Analisa 11 (Sebelas) Domain Keamanan Pada Infrastruktur Teknologi Informasi PT. PPJ..9 VII.1 Access Control Systems and Methodology ............................................................... 9 VII.2 Telecommunications & Network Security .............................................................. 11 VII.3 Security Management Practices............................................................................... 12 VII.4 Application and System Development Security ...................................................... 13 VII.5 Cryptography ........................................................................................................... 14 VII.6 Security Architecture dan Models ........................................................................... 15 VII.7 Operations Security ................................................................................................. 16 VII.8 Disaster Recovery & Business Continuity Plan ...................................................... 16 VII.9 Laws, Investigation & Ethics................................................................................... 20 VII.10 Phisical Security ...................................................................................................... 20 VII.11 Auditing & Assurance ............................................................................................. 22
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
ii
Daftar Tabel Tabel 1. Spesifikasi Komputer PT. PPJ........................................................................................... 4 Tabel 2. Spesifikasi Server PT. PPJ ................................................................................................ 5 Tabel 3. Komponen yang berkaitan dengan Infrastruktur............................................................. 17 Tabel 4. Akibat dan Toleransi kegagalan dari Infrastruktur TI ..................................................... 17
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
iii
Daftar Gambar Gambar 1. Struktur Organisasi PT. PPJ _____________________________________________ 3 Gambar 2. Denah Floor Plan PT. PPJ ______________________________________________ 6 Gambar 3. Konfigurasi Rack Server PT. PPJ_________________________________________ 7 Gambar 4. Konfigurasi Jaringan WAN PT. PPJ ______________________________________ 8 Gambar 5. Konfigurasi Jaringan PT. PPJ ___________________________________________ 12
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
iv
I.
Pendahuluan P.T Penerbit Percetakan Jaya adalah sebuah perusahaan yang bergerak di bidang
percetakan dan penerbitan, perusahaan ini berdiri pada tahun 1945 diawali dengan pembukaan kantor pertama di jakarta di bilangan ruko tanah abang dengan luas bangunan sebesar 250M2. Pendiri PT. PPJ adalah dua bersaudara Aseng dan Ahong warga Indonesia keturunan tionghoa yang sekarang menjadi Direktur dari perusahaan. Dengan berjalannya waktu maka semakin berkembanglah bisnis percetakan dan penerbitan milik dua bersaudara ini, yang semula hanya melayani percetakan kartu undangan pernikahan dan sunatan sekarang sudah melayani pencetakan buku best seller, surat kabar dan majalah serta tabloid. Cabang perusahaanpun sudah terdapat pada berbagai kota-kota besar di indonesia, diantaranya adalah di Jakarta, Surabaya, Medan, Balik Papan dan Ujung Pandang. Pada saat dibentuk Aseng dan Ahong hanya mengeluarkan modal sebesar tiga juta rupiah dan saat ini sudah berkembang menjadi aset trilyunan rupiah dengan omzet pertahun berkisar 50 Milyar. Tulisan ini akan melakukan analisa dalam hal keamanan pada infrastruktur teknologi informasi yang di terapkan pada PT. PPJ. Hal pertama yang dilakukan adalah dengan mensurvey dan membuat konfigurasi dari infrastruktur yang saat ini sudah diterapkan, setelah itu akan mengkaji konfigurasi keamanan berdasarkan ke sebelas domain keamanan infrastruktur teknologi informasi.
II.
Susunan Organisasi PT. PPJ PT. PPJ dikepalai oleh dua orang direktur yaitu Aseng dan Ahong yang mana
keduanya menjabat sebagai direktur utama dari PT. PPJ. Setelah itu dibawah direktur terdapat 5 orang manajer yang masing-masing mengepalai setiap bagian divisi dari PT. PPJ. Divisi yang ada adalah: -
Divisi Produksi Divisi yang khusus menangani produksi dari PT. PPJ seperti pembuatan layout buku, pencetakan buku sampai dengan pendistribusiannya
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
1
-
Divisi Development Divisi ini bertugas untuk melakukan pengembangan produk seperti pembuatan design, layout dan melakukan editing
-
Divisi Keuangan Divisi ini melakukan perencanaan anggaran keuangan bagi perusahaan dan merencanakan cashflow dari perusahaan
-
Divisi Pemasaran dan Sales Divisi yang melakukan kegiatan mencari pasar dan menjual produk jasa yang di berikan oleh perusahaan dalam hal percetakan dan penerbitan.
-
Divisi Teknologi Informasi Divisi ini bertugas melakukan perencanaan infrastruktur bagi perusahaan sekaligus memeliharanya.
Setiap manajer mengepalai dan mengatur anggota divisi yang bertugas untuk berbagai kegiatan sepeti manajer produksi mengepalai dan mengatur anggotanya yang bertugas untuk melakukan tugas produksi seperti percetakan, penerbitan dan distribusi. Begitu juga untuk manajer TI mengepalai anggota-anggota divisinya yang bertugas untuk memelihara jaringan, sistem dan database. Bagan struktur oranisasi PT. PPJ dapat dilihat pada gambar I. Disamping struktur organisasi yang menggambarkan personel fungsional pada perusahaan juga terdapat personel yang berfungsi sebagai pendukung dalam melakukan bisnis perusahaan. Personel pendukung tersebut adalah untuk satu kantor terdapat dua orang office boy, dua orang supir perusahaan dan tiga orang satpam untuk menjaga asetaset dari perusahaan. Dan juga sesuai dengan kebijakan perusahaan maka dalam setiap bagian divisi perusahaan setidaknya terdapat dua orang dengan keahlian yang sama sebagai cadangan apabila orang tersebut melakukan cuti ataupun sakit sehingga tidak masuk kerja sementara ada pekerjaan yang harus diselesaikan dengan segera. Dengan kebijakan ini diharapkan bisnis perusahaan akan tetap dapat berjalan dengan normal walaupun terdapat karyawan yang berhalangan masuk kerja.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
2
Gambar 1. Struktur Organisasi PT. PPJ
Dalam melakukan aktifitas operasi perusahaan PT. PPJ memberlakukan dua buah shift kerja yaitu shift pagi untuk melakukan pencetakan pada sore hari, dan shift malam untuk melakukan pencetakan pada pagi hari. Juga ada shift untuk hari libur seperti sabtu dan minggu yang dijadwalkan untuk setiap pegawai dengan menggantikan hari liburnya.
III. Analisa Jaringan Komputer PT. PPJ Dalam rangka memudahkan dan mengeffektifkan kerja dari pada karyawannya dan untuk meningkatkan kinerja perusahaan maka sejak tahun 1997 PT. PPJ sudah menerapkan infrastruktur Local Area Network di dalam perusahaannya. Pada setiap divisi terdapat komputer dengan spesifikasi yang berbeda-beda, untuk komputer divisi produksi dan development diberikan spesifikasi yang lebih tinggi dari pada divisi lainnya, hal ini disebabkan pada divisi ini dibutuhkan komputer yang cukup bertenaga untuk melakukan editing gambar dengan resolusi tinggi. Dan untuk divisi marketing dan sales di berikan masing-masing laptop karena kerja nya yang berpindahpindah untuk melakukan penjualan dan analisa pasar. Tabel dibawah ini menerangkan jumlah dan spesifikasi dari komputer karyawan PT. PPJ. IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
3
Divisi Produksi
Development
Marketing dan Sales
Keuangan
Teknologi Informasi
Administrasi
Spesifikasi PC Desktop Processor: Pentium 4 Memory : 1GB Video RAM : 512 MB OS: Microsoft Windows XP Printers Scaner PC Desktop Processor: Pentium 4 Memory : 1GB Video RAM : 512 MB OS: Microsoft Windows XP Printers Mobile Computer Processor: Pentium III Memory : 256MB Video RAM : 128 MB OS: Microsoft Windows XP Printers PC Desktop Processor: Pentium 4 Memory : 256MB Video RAM : 128MB OS: Microsoft Windows XP Printers PC Desktop Processor: Pentium 4 Memory : 512MB Video RAM : 256MB OS: Microsoft Windows XP Printers PC Desktop Processor: Pentium III Memory : 256MB Video RAM : 128MB OS: Microsoft Windows XP Printers
Jumlah 10 Buah
5 Buah 5 Buah 5 Buah
3 Buah 7 Buah
3 Buah 3 Buah
1 Buah 7 Buah
2 Buah 2 Buah
1 Buah
Tabel 1. Spesifikasi Komputer PT. PPJ
Selain itu juga terdapat tiga buah server yang berfungsi sebagai pendukung dari infrastruktur teknologi informasi yang di terapkan pada PT. PPJ. Server yang beroperasi dapat dilihat pada tabel 2. IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
4
Server File Server
Domain Server
Mail Server
Spesifikasi Processor: Pentium 4 Memory: 1 GB Video RAM: 256 MB OS: Microsoft Windows 2003 Processor: Pentium 4 Memory: 512 GB Video RAM: 256 MB OS: Microsoft Windows 2003 Processor: Pentium 4 Memory: 1 GB Video RAM: 1GB OS: Microsoft Windows 2003 Aplikasi: Microsoft Exchange
Fungsi Sebagai tempat meletakan berkasberkas pekerjaan dari karyawan agar tersentralisasi dan mudah melakukan pemeliharaan. Sebagai domain controller yang berfungsi mengatur login dan hak akses dari komputer karyawan terhadap berkas-berkas di file server. Sebagai server untuk menampung dan mengirimkan email karyawan.
Tabel 2. Spesifikasi Server PT. PPJ
IV. Floor Plan PT. PPJ Berdasarkan divisi dari PT. PPJ dibuat suatu rancangan denah dari ruangan yang digunakan oleh perusahaan. Divisi terbagi atas 5 bagian yang masing-masing menempati ruangan tersendiri dan juga terdapat ruangan server, pantry dan front office. Denah ini berguna untuk mengetahui rancangan dari infrastruktur jaringan komputer PT. PPJ. Komponen yang terlibat antara lain adalah komputer, printer, scanner dan telepon. Untuk ruang server komponennya adalah server, switch dan PABX. Denah dapat dilihat pada Gambar 2.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
5
Gambar 2. Denah Floor Plan PT. PPJ
V.
Konfigurasi Rack Server PT. PPJ PT. PPJ memiliki 3 buah server, 2 diantaranya di letakan pada rack server yaitu
server email, dan file server sementara server domain berada pada meja bersama dengan monitor CRT. Pada rack server terdapat patch panel, switch, router berfungsi sebagai gateway ke internet, firewall berfungsi untuk menfilter akses ke dalam jaringan lokal dari internet, tape backup untuk melakukan backup file server, ups dan server. Juga terdapat modem yang berfungsi sebagai backup apabila jaringan WAN mengalami kegagalan perusahaan dapat melakukan dial ke internet untuk mengakses data pada kantor cabang. Konfigurasi rack server dapat dilihat pada gambar 3.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
6
Gambar 3. Konfigurasi Rack Server PT. PPJ
VI. Analisa Konfigurasi Struktur Jaringan WAN PT. PPJ PT. PPJ memiliki cabang yang berada pada kota-kota besar di seluruh indonesia, diantaranya adalah Medan, Ujung Pandang, Surabaya dan Balik Papan. Untuk setiap cabang PT. PPJ menggunakan jaringan WAN berupa Frame Relay melalui internet. Jaringan ini berfungsi untuk mempermudahkan sarana komunikasi antar cabang dan juga IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
7
untuk mengakses aplikasi web yang berada pada cabang di Jakarta. Untuk setiap cabang PT. PPJ memiliki konfigurasi yang terhubung antara jaringan intern perusahaan dengan jaringan internet melalui router dan menggunakan firewall untuk mencegah orang dari internet masuk ke dalam jaringan intern dan merusak atau mengambil data-data perusahaan. Konfigurasi jaringan WAN PT. PPJ dapat dilihat pada gambar 4.
Gambar 4. Konfigurasi Jaringan WAN PT. PPJ
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
8
VII. Analisa 11 (Sebelas) Domain Keamanan Infrastruktur Teknologi Informasi PT. PPJ
Pada
VII.1 Access Control Systems and Methodology Access Control Systems adalah suatu metoda bagaimana mengkontrol pengaksesan sumber daya sehingga mencegah pembukaan dan pemodifikasian oleh orang-orang yang tidak berhak. Penerapan akses kontrol oleh PT. PPJ di terapkan terhadap: a. Ruangan Kantor Ruangan kantor dijaga agar hanya dapat dimasuki oleh orang-orang yang berhak saja, seperti karyawan PT. PPJ. Untuk itu metoda pengamanan nya adalah: 1. Penjagaan oleh Satpam Untuk keamanan ruangan di pintu depan terdapat receptionist dan satpam sehingga apabila ada tamu ia tidak di perbolehkan memasuki ruang kantor begiru saja. Hal ini untuk menghindari tamu tersebut menggunakan salah satu komputer karyawan dan mengakses jaringan lokal PT.PJJ untuk mengambil data ataupun untuk menghindari terjadinya pencurian. 2. Penggunaan Magnetic Card Access Control Penggunaan magnetic card sebagai access control keluar masuk ruangan perkantoran sehingga diharapkan yang dapat memasuki ruangan kantor hanyalah orang-orang yang berhak saja seperti karyawan PT. PPJ. Hal ini untuk menghindari terjadinya pencurian dan perusakan baik barang ataupun data oleh orang yang tidak berhak dan tidak berwewenang. b. Ruangan Server Ruangan server memerlukan akses kontrol untuk menjaga terjadinya kesalahan konfigurasi server oleh orang yang tidak berhak. Akses kontrol yang dilakukan diantaranya adalah:
1. Penggunaan Akses magnetic card yang terbatas IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
9
Ruangan server selalu terkunci dan yang hanya dapat dibuka dengan menggunakan magnetic card karyawan tertentu. Dalam hal ini adalah bagian Teknologi Informasi seperti Netwok Administrator atau System Administrator. Hal ini dilakukan untuk mencegah masuknya orang yang tidak berhak yang dapat menyebabkan kegagalan pada server baik akibat kegagalan fisik ( kabel yang tercabut) ataupun kesalahan konfigurasi. 2. Penggunaan password yang unik pada server Setiap server diberikan password yang unik untuk bisa mengakses kedalam. Yang mengetahui password tersebut hanyalah orang-orang tertentu saja di dalam perusahaan, dalam hal ini adalah orang-orang teknologi informasi. Dengan penggunaan password yang unik di harapkan untuk menghindari kesalahan konfigurasi dan akses dari orang yang tidak berhak dan tidak berwewenang yang ingin mengakses server dan merubah konfigurasi. c. Jaringan LAN Penggunaan LAN juga dibatasi dengan akses kontrol untuk mencegah pengaksesan berkas-berkas perusahaan oleh orang yang tidak berhak atau tidak memiliki wewenang. Metoda ini diterapkan dengan cara: 1. Penggunaan login dan password untuk memasuki LAN Karyawan yang ingin memasuki jaringan internal perusahaan dan mengakses berkas-berkas pada perusahaan harus memasukan login dan passwordnya sehingga dapat diketahui hak akses yang dimilikinya. Metoda ini diterapkan dengan penggunaan domain controller untuk mengatur setiap hak akses dari karyawan berdasarkan login yang dimasukan. Dengan diterapkannya metoda ini diharapkan akses user terhadap berkas-berkas perusahaan dapat dibatasi berdasarkan hak aksesnya saja. Contoh: Karyawan pada divisi Produksi tidak boleh melihat berkas-berkas yang disimpan oleh karyawan pada divisi Keuangan.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
10
2. Penggunaan Virtual LAN (VLAN) Penggunaan Virtual LAN dengan me Keuangan atau Produksi. Dengan demikian pengaksesan berkas oleh orang yang tidak berhak dapat dicegah. 3. Pencatatan Log kegagalan login Pada server domain juga terdapat log sebagai audit yang mencatat kegagalan login dari user, apabila terdapat lima kali kegagalan memasukan password maka account user tersebut akan di kunci sampai dengan dibukakan oleh administrator. Hal ini dilakukan untuk mencegah percobaan akses ke sumber daya server oleh orang yang tidak berhak secara berulang-ulang.misahkan segment-segment dari jaringan komputer untuk setiap divisi dari perusahaan diharapkan dapat mencegah pengaksesan berkas-berkas yang seharusnya tidak boleh di akses. Karena dengan penggunaan Virtual LAN jaringan komputer dapat di sekat-sekat menjadi suatu segmen yang terpisah secara logis walaupun secara fisik bergabung. Dengan pemisahan secara logis tersebut karyawan pada divisi TI tidak dapat melihat komputer karyawan pada divisi VII.2 Telecommunications & Network Security Jaringan pada PT PJJ menggunakan protokol Open Standard yaitu protokol TCP/IP berbasiskan ethernet dengan koneksi sebesar 100MB. Topologi yang digunakan adalah topologi star dengan menggunakan switch yang masing-masing divisi dipisahkan oleh Virtual LAN (VLAN) untuk mencegah pengaksesan berkas-berkas rahasia pada masing-masing divisi. Alamat IP yang digunakan adalah tipe C untuk private IP yaitu 192.168.1.x/24 dan menggunakan fasilitas NAT untuk mengakses internet melalui router. PT. PPJ juga menggunakan DNS lokal pada server domain untuk memetakan nama-nama komputer karyawan ke dalam alamat IP. Firewall juga digunakan untuk melindungi jaringan lokal diakses oleh orang lain dari Internet. Konfigurasi firewall di set seaman mungkin berdasarkan port-port yang boleh di akses. Port yang dibuka adalah port untuk http yaitu port 80.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
11
Untuk jaringan dengan kantor-kantor cabang di seluruh nusantara PT.PJJ menggunakan jaringan Frame Relay 2MB yang diperlukan untuk saling mengirimkan berkas-berkas redaksional dan mempermudah untuk pertukaran informasi dengan menggunakan intranet perusahaan melalui web. Selain itu juga tersedia layanan dial-up sebagai backup apabila jaringan frame relay mengalami kegagalan dengan menggunakan fasilitas VPN. Konfigurasi jaringan PT. PPJ dapat dilihat pada gambar 5.
Gambar 5. Konfigurasi Jaringan PT. PPJ
Pada server-server PT. PPJ juga diimplementasikan teknologi RAID sebagai redundansi apabila terjadi kerusakan pada salah satu disk. Dilakukan backup setiap seminggu sekali untuk berkas-berkas yang terdapat pada server berkas. Dan untuk ruang rapat di implementasikan Wireless LAN sehingga setiap laptop yang memiliki card wireless dapat tersambung dengan jaringan lokal. VII.3 Security Management Practices Manajemen keamanan
adalah proses bagaimana mengatur pengamanan
infrastruktur dapat selalu terpelihara dalam operasi sehari-hari. PT. PPJ mengimplementasikan manajemen keamanan adalah dengan membuat aturanaturan dan panduan antara lain adalah aturan pembuatan password. Contoh aturan yang diimplementasikan dalam PT. PPJ dalam hal manajemen password: a. Panjang password harus minimal 6 karakter IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
12
b. Password terdiri dari huruf dan angka c. Password diganti setiap bulan sekali d. Penggantian password tidak boleh sama dengan password sebelumnya e. Password tidak boleh di catat dimanapun Selain itu PT. PPJ juga mempekerjakan IT Security specialist yang menangani keamanan dari keseluruhan jaringan dan data-data perusahaan agar tidak bocor keluar, juga mengatur akses kontrol dan role dari masing-masing pegawai dalam operasi seharihari perusahaan. Penggunaan domain controller untuk mengatur hak akses dari setiap karyawan juga termasuk ke dalam manajemen keamanan yang di terapkan pada PT. PPJ. Update antivirus setiap seminggu sekali juga merupakan manajemen keamanan yang terdapat di PT. PPJ. VII.4 Application and System Development Security Application and System Development Security adalah keamanan yang berkaitan dengan aplikasi. PT. PPJ tidak melakukan pengembangan aplikasi tetapi terdapat aplikasi yang digunakan secara bersama-sama oleh seluruh kantor cabang, yaitu aplikasi intranet PT. PPJ. Keamanan yang di terapkan pada aplikasi ini adalah dengan menggunakan login dan password untuk setiap karyawan. Pada setiap login terdapat hak akses yang di terapkan berdasarkan peranan dari masing-masing karyawan. Apabila yang login adalah karyawan bagian keuangan maka dia akan dapat melihat anggaran keuangan yang di rencanakan dan cash flow dari perusahaan, sementara apabila yang login adalah karyawan bagian produksi maka hal tersebut tidak muncul. Selain keamanan berdasarkan login dan password aplikasi ini juga berada dibalik firewall dan hanya bisa diakses dengan menggunakan port 80 karena hanya port itu sajalah yang diperbolehkan masuk ke dalam jaringan lokal oleh firewall. Didalam server aplikasi ini juga di install aplikasi Intrusion Detection System (IDS) sehingga apabila ada percobaan untuk memasuki sistem secara illegal dapat segera diketahui. Adalah tugas dari IT Security Specialist untuk melakukan pengecekan log dari sistem maupun dari IDS. IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
13
VII.5 Cryptography Cryptography adalah proses meng enkript suatu data untuk mengamankan data tersebut. Proses enkripsi yang terdapat pada PT. PPJ adalah penggunaan digital signature dan metoda symetric key dalam pengiriman email.Antar kepala cabang dari PT PJJ dalam melakukan komunikasi menggunakan email selalu menggunakan encrypsi dengan menggunakan metoda symetric key dan disertai dengan digital signature dari pengirim email. Hal ini dimaksudkan untuk melindungi data email yang dikirimkan agar tidak mudah di sadap oleh orang lain ataupun di palsukan. Dengan penggunaan symetric key dalam mengenkripsikan email maka diharapkan data email yang dikirimkan akan aman dari sadapan orang lain, dan dengan menyertakan digital signature di dalam email maka akan dapat menjaga ke otentikan dari email yang dikirimkan. Selain digunakan dalam email proses enkripsi juga di gunakan untuk mengirimkan berkas-berkas yang berhubungan dengan strategi marketing dan peluncuran produk-produk baru yang akan dikirimkan kekantor cabang. Data akan di enkripsi terlebih dahulu dengan menggunakan metoda symetric key sebelum dilakukan pengiriman melalui jaringan internet. Dengan melakukan proses enkripsi diharapkan isi dari berkas yang dikirimkan tidak akan di sadap oleh orang lain di dalam internet, karena data tersebut berisi strategi perusahaan untuk kantor cabang. Apabila sampai tersadap oleh pesaing PT. PPJ maka strategi tersebut akan sia-sia. Dalam keperluan dari System Administrator untuk mengakses server pada kantor cabang maka metoda yang digunakan adalah dengan menggunakan fasilitas SSH (Secure Shell) yaitu fasilitas remote akses yang meng enkripsikan login dan password sebelum dikirimkan melalui internet. Dengan melakukan metoda ini diharapkan login dan password yang dikirimkan tidak akan di sadap oleh orang lain dan digunakan untuk mengakses secara illegal server dari PT. PPJ.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
14
VII.6 Security Architecture dan Models Security model adalah pemodelan yang digunakan dalam rangka implementasi konsep keamanan kedalam infrastruktur teknologi informasi. Security model terbagi atas: a. Bell- LaPadula Model ini menfokuskan pada perlindungan kerahasiaan data. -
User tidak dapat membaca data pada level keamanan yang lebih tinggi
-
User tidak dapat menulis data pada level keamanan yang lebih rendah
b. Biba Model ini lebih menekankan pada integritas dari data -
User tidak dapat membaca data pada level keamanan yang lebih rendah
-
User tidak bisa memodifikasi data pada level keamanan yang lebih tinggi
c. Clark-Wilson Model ini mencegah user yang telah ter authorisasi melakukan perubahan yang tidak diperkenankan pada data -
User hanya bisa merubah data melalui aplikasi yang ter authorisasi
-
Diperlukan auditing
Berdasarkan konsep security model diatas maka security model yang digunakan oleh PT. PPJ adalah mengedepankan aspek dari kerahasiaan informasi dengan menggunakan model Bell-LaPadula (No read up, No write down). Setelah karyawan memasukan login dan password kedalam domain dari PT. PPJ maka karyawan tersebut akan terikat oleh hak akses yang dimilikinya. Karyawan tersebut tidak diperkenankan membaca data pada level security yang lebih tinggi dari hak aksesnya hanya sebatas keperluannya saja. Dan menurut klasifikasi dari Orange Book maka PT. PPJ dapat diklasifikasikan kedalam kelas C2 (Controlled Access Protection) dimana setiap karyawan diperlukan identifikasi melalui login dan password sebelum diperkenankan memasuki jaringan lokal PT. PPJ dan mengakses sumber daya.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
15
VII.7 Operations Security Operation Security adalah kegiatan rutin untuk memelihara operasional seharihari setelah infrastruktur teknologi informasi di implementasikan agar selalu berjalan dengan baik dan dalam keadaan aman. Kegiatan Operation Security yang dilakukan di PT. PPJ untuk menjaga operasi sehari-hari infrastruktur teknologi informasinya adalah: a. Mengupdate patch pada server windows yang dilakukan oleh system administrator b. Mengupdate antivirus update definition c. Selalu memeriksa log dari audit login apakah ada yang mencuriga kan d. Memeriksa log dari IDS. Clipping level di berlakukan pada log-log yang dihasilkan sehingga hanya pada level tertentu saja maka hal tersebut dianggap mencurigakan e. Dilakukan dokumentasi change control dalam hal seperti ada komputer baru yang terinstall dan masuk kedalam jaringan LAN, aplikasi baru, patch baru, dan perubahan konfigurasi network f.
Menerapkan least privillages atau need-to-know kepada setiap user dimana hanya mendapatkan privilleges yang paling minimum dalam melakukan pekerjaannya.
g. Dalam hal keamanan pada email maka PT. PPJ selalu mengedukasi karyawannya mengenai keamanan email, email sepeti apa yang mengandung virus dan tidak boleh di buka. h. Selain itu juga selalu mengupdate definisi email scanner di dalam server email. VII.8 Disaster Recovery & Business Continuity Plan Disaster Recovery dan Business Continuity Plan adalah proses untuk meminimalisasikan efek yang disebabkan terjadinya bencana dan melakukan proses pemulihan dengan secepatnya sehingga bisnis dapat berjalan dengan baik kembali. PT. PPJ telah menganalisa Business Analisis Impact dalam hal terjadi kegagalan pada infrastruktur. Proses BIA yang dilakukan adalah sebagai berikut: a. Mendeskripsikan komponen yang berhubungan dengan infrastruktur Komponen pembentuk infrastruktur dapat di lihat pada tabel dibawah ini: IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
16
KOMPONEN
JUMLAH
SERVER EMAIL SERVER DOMAIN SERVER FILE PC KLIEN PRINTER SCANNER SWITCH ROUTER
1 1 1 35 15 5 2 1
Tabel 3. Komponen yang berkaitan dengan Infrastruktur
b. Kemudian mengidentifikasi akibat dan toleransi dari kegagalan Berdasarkan konsultasi dengan pengguna sumber daya PT. PPJ maka didapat akibat dan toleransi dari kegagalan seperti pada tabel 4.
KOMPONEN SERVER EMAIL SERVER DOMAIN SERVER FILE
10 PC KLIEN 3 PRINTER 2 SCANNER 1 SWITCH 1 ROUTER
TOLERANSI KEGAGALAN User tidak dapat mengirim dan 2 Hari AKIBAT
menerima email, email yang lama pada server hilang User tidak dapat login ke dalam jaringan dan mengambil berkas yang dibutuhkan User tidak dapat mengambil berkas yang dibutuhkan dan ada kemungkinan berkas tersebut hilang User tidak dapat bekerja dengan komputer nya User tidak dapat mencetak laporan ataupun sample dari produksi User tidak dapat men scan gambar dalam kegiatan produksi User tidak dapat koneksi kedalam jaringan untuk login kedalam domain User tidak dapat melakukan koneksi ke kantor cabang dan tidak dapat melakukan koneksi ke internet
2 Hari 1 Hari
1 Hari 5 Hari 3 Hari 2 Hari 2 Hari
Tabel 4. Akibat dan Toleransi kegagalan dari Infrastruktur TI
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
17
c. Analisa Rancangan Ketersediaan Infrastruktur PT. PPJ Berdasarkan tabel pada tahap ke dua maka dapat PT. PPJ membuat perancangan ketersediaan infrastruktur untuk komponen-komponen infrastruktur sebagai berikut: a. Server •
Dual Power Supply Pada server untuk mencegah kegagalan akibat kerusakan pada power supply maka server-server yang kritikal dibuat dengan konfigurasi menggunakan dual power supply, sehingga apabila terjadi kerusakan pada salah satu power supply server dapat tetap beroperasi secara normal
•
UPS UPS digunakan untuk mencegah kegagalan akibat kelistrikan. Apabila terjadi kegagalan akibat kelistrikan maka UPS dapat untuk sementara menyediakan tenaga listrik sementara proses berjalan. Dan jika kegagalan berlangsung lama admin dapat mematikan server secara normal untuk mencegah terjadinya kehilangan data.
•
RAID Solusi RAID digunakan untuk mencegah kegagalan pada disk sebagai metoda redundansi disk. Solusi RAID yang digunakan adalah RAID 0+1. Dengan implementasi solusi RAID 0+1 yaitu striping dan mirrorin maka apabila terjadi kegagalan pada salah satu disk masih terdapat mirror nya pada disk yang lain. Juga dengan implementasi striping dapat mempercepat proses transaksi.
•
Backup data Server Proses backup dilakukan setiap seminggu sekali mengunakan tape backup. Dengan adanya backup diharapkan apabila terjadi kerusakan pada data di server data yang hilang tidak terlalu banyak atau tidak ada data yang hilang sama sekali.
•
Dual Ethernet Dual ethernet adalah solusi server untuk mencegah kegagalan pada interface ethernet. Dengan adanya dua ethernet sehingga apabila salah satu
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
18
ethernet mengalami kerusakan dapat dengan segera digantikan oleh ethernet cadangannya. Dengan demikian akan mengurangi waktu akibat terjadinya kegagalan akibat kerusakan ethernet. b. PC Client Untuk solusi ketersediaan PC Client PT. PPJ memberlakukan solusi sebagai berikut: •
Implementasi Konsep Imaging Dengan ada nya image dari komputer klien proses pemulihan komputer dapat dilakukan dengan cepat tanpat perlu menginstall semua aplikasi lagi cukup dengan me-restore image yang terlah dibuat.
•
Penyimpanan berkas pada Server Berkas Setiap karyawan diwajibkan untuk menyimpan data-data pekerjaannya pada server berkas. Dengan demikian apabila terjadi kegagalan pada komputernya data-data pekerjaan masih dapat diambil pada server berkas dan pekerjaan masih dapat dilakukan dengan menggunakan komputer lainnya.
c. Printer Solusi printer PT. PPJ memberlakukan backup antar printer, disediakan minimal terdapat 3 printer yang berjalan secara normal. Apabila terjadi kegagalan pada salah satu printer maka karyawan dapat menggunakan printer yang lainnya karena semua printer terhubung dengan jaringan. d. Scanner Solusi scanner adalah sama seperti solusi printer diberlakukan backup antar scanner selama masih ada 2 scanner yang masih berfungsi proses bisnis masih dapat berjalan dengan baik.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
19
e. Switch Untuk solusi ketersediaan switch PT. PPJ menyediakan 2 buah switch sebagai backup apabila salah satu switch mengalami kegagalan dapat menggunakan switch yang satunya lagi sebagai redundansi. Kedua nya sudah terhubung ke dalam jaringan. Disediakan juga extra port sebagai solusi redundansi port switch. f. Router Untuk keperluan koneksi ke internet dan ke kantor cabang PT. PPJ menyediakan fasilitas modem dengan dial-up sebagai cadangan backup apabila terjadi kegagalan pada router. Selama router diperbaiki agar proses bisnis dapat tetap berjalan dengan baik maka solusi dial-up menjadi backup nya. VII.9 Laws, Investigation & Ethics Laws, Investigations & Ethics adalah mengenai keamanan dari segi hukum dan etika serta kejahatan di dalam dunia komputer. Dalam hal hukum PT. PPJ selalu mengedepankan aspek legalitas sebagaimana produk-produk PT. PPJ juga selalu menyertakan label CopyRight sebagai hak cipta dari PT. PPJ. Pengunaan software adalah pembelian asli berlisensi seperti software sistem operasi microsoft windows xp adalah berasal dari pembelian komputer branded. Begitu juga untuk software-software pada server semuanya adalah berlisensi. VII.10 Phisical Security Physical Security adalah suatu metoda yang digunakan untuk melindungi aset perusahaan dari ancaman secara fisik. Ancaman yang dapat terjadi adalah: 1. Ancaman dari dalam (Internal Physical Threats) sepertu kebakaran, kegagalan pada kelistrikan 2. Ancaman dari Manusia (Human Threats) seperti pencurian, perusakan 3. Ancaman dari luar (External Threats) seperti banjir, gempa bumi
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
20
Implementasi PT. PPJ terhadap keamanan secara fisik diantaranya adalah menerapkan: 1. Penjagaan satpam secara shift di pintu masuk ke kantor. Hal ini untuk melindungi ancaman dari manusia seperti pencurian dan perusakan 2. Penggunaan magnetik card untuk setiap karyawan. Dengan penerapan magnetik card dapat membatasi orang yang dapat masuk ke dalam kantor yang akan meningkatkan keamanan aset dari ancaman tindak pencurian oleh orang luar. Selain itu dengan penerapan magnetik card ini dapat diketahui log dari keluar masuknya pegawai sehingga apabila terjadi pencurian dapat diketahui siapa yang berada di dalam kantor pada saat kejadian berlangsung. 3. Ruang server yang selalu terkunci dengan hak akses yang terbatas Ruang server selalu terkunci dan yang dapat memasuki ruang server terbatas hanya oleh beberapa orang saja dengan hak akses tertentu. Hal ini untuk mencegah terjadi nya orang masuk dan melakukan miskonfigurasi pada server ataupun pada perangkat jaringan. 4. Penggunaan UPS pada server Dengan digunakannya UPS pada server dapat mencegah kegagalan server yang diakibatkan kegagalan pada kelistrikan. Dalam rentang waktu tertentu apabila kegagalan kelistrikan tetap berlangsung maka server dapat dimatikan secara normal dengan menggunakan tenaga baterai dari UPS. 5. Fire Detector PT. PPJ menerapkan fire detektor pada setiap ruangan kantornya sehingga apabila terjadi kebakaran pada suatu ruangan dapat dengan segera mengaktifkan alarm dan menyiramkan air untuk mematikan api agar tidak menyebar pada ruangan lainnya.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
21
VII.11 Auditing & Assurance Dalam hal penerapan Audit Sistem Informasi di PT. PPJ maka hal-hal yang perlu di audit adalah: 1. Audit Internal Jaringan LAN Hal yang perlu di audit adalah apakah setiap karyawan sudah memperoleh hak akses yang sesuai dengan pekerjaannya ataukah ada beberapa karyawan yang ternyata memiliki hal akses yang berlebih sehingga dapat melihat atau merubah berkas-berkas yang bukan merupakan haknya. 2. Audit External Jaringan WAN Yang perlu di audit adalah konfigurasi dari Router dan Firewall, apakah konfigurasi Router sudah di lakukan dengan mempertimbangkan aspek keamanan ataukah hanya mempertimbangkan akses koneksi saja. Dan konfigurasi firewall apakah sudah aman sehingga dapat mencegah akses sumber daya perusahaan dari luar jaringan internet oleh orang-orang yang tidak bertanggung jawab. Dengan demikian hal-hal yang perlu di perhatikan diantaranya adalah konfigurasi dari peralatan jaringan beserta dengan log-log yang dihasilkannya.
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
22
