Minggu, 27 Maret 2016
materi keamanan sistem informasi
SISTEM
INFORMASI AKUNTANSI
KEAMANAN SISTEM INFORMASI
Tujuan
Pembelajaran:
1.
Menganalisis kerapuhan dan ancaman dalam
sistem informasi.
2.
Mengenali ancaman aktif dan pasif dalam
sistem informasi.
3.
Mengenali aspek kunci keamanan sistem
informasi.
4.
Membahas perencanaan dan praktek
manajemen risiko kehancuran
Pendahuluan
Keamanan sistem informasi adalah
subsistem dari organisasi yang mengontrol risiko khusus yang terkait dengan
sistem informasi berbasis komputer. Elemen dasar sistem keamanan komputer
meliputi: perangkat keras, database, prosedur dan laporan. Misalnya, data
pemakaian perangkat lunakdan pelanggaran keamanandapat dikumpulkan dalam waktu
nyata, disimpan dalam database, dan digunakan untuk membuat laporan.
Siklus
Hidup Sistem Keamanan Informasi
Sistem keamanan elektronik adalah
sistem informasi yang perkembangannya membutuhkan aplikasi dari pendekatan
siklus hidup. Sistem keamanan komputer dikembangkan dengan menerapkan metode
analisis berikut:
a.
Analisis sistem.
b.
Rancangan sistem.
c.
Implementasi sistem.
d.
Operasional, evaluasi, dan kontrol
sistem.
Tujuan
Masing-masing Fase Siklus Hidup
a.
Analisis sistem. Menganalisis kerapuhan
sistem dari ancaman dan penyingkapan
kerugian .
kerugian .
b.
Rancangan sistem. Merancang keamanan dan
rencana untuk pengendalian
penyingkapan kerugian yang dikenali.
penyingkapan kerugian yang dikenali.
c.
Iplementasi sistem. Mengimplementasikan
keamanan seperti dalam rancangan.
d.
Operasional, evaluasi dan kontrol sistem. Mengoperasikan sistem,
menaksir efektivitas, dan efisiensinya.
Sumber:
George H. Bodnar dan William S. Hopwood, 2001.
Tujuan
baru fase pertama dari siklus hidup sistem keamanan adalah menghasilkan laporan
analisis kerapuhan dan ancaman. Tujuan fase kedua adalah merancang sekumpulan
ukuran pengendalian-risiko yang komprehensif, termasuk ukuran keamanan untuk
mencegah kerugian dan rencana kemungkinan mengatasi kerugian yang terjadi.
Secara kolektif, keempat fase tersebut merupakan manajemen risiko sistem
informasi. Manajemen risiko sistem informasi adalah proses menaksir dan
mengendalikan risiko sistem komputer.
Fase Siklus Hidup Laporan ke Dewan
Direksi :
a. Analisis
sistem. Ringkasan penyingkapan kerugian.
b. Rancangan
sistem. Rencana rinci untuk mengendalikan dan mengatur kerugian,
termasuk anggaran sistem keamanan komputer.
termasuk anggaran sistem keamanan komputer.
c. Implementasi
sistem operasional, evaluasi dan kontrol sistem.
-Penampilan system keamanan
komputer, termasuk perincian kerugian dan pelanggaran keamanan.
-Analisis pemenuhan dan biaya
mengoperasionalkan sistem
keamanan.
keamanan.
Sumber: George H. Bodnar dan
William S. Hopwood, 2001.
Sistem Keamanan Informasi Dalam
Organisasi.
Sistem
keamanan informasi menjadi efektif, bila diatur oleh kepala petugas keamanan
atau chief security officer (CSO). Chief security officer harus melapor
langsung kepada dewan direktur untuk memelihara independensi. Kewajiban utama
chief security officer adalah memberi laporan kepada dewan direktur, mencakup
setiap fase dari siklus hidup.
Menganalisa Kerapuhan
dan Ancaman
Dua pendekatan untuk menganalisa
kerapuhan dan ancaman sistem, yaitu:
a. Pendekatan
kuantitatif.
Setiap penyingkapan kerugian
dihitung sebagai produk dari biaya kerugian dikali kemungkinan terjadinya.
Contoh, kemungkinan sebuah kerugian, dilambangkan dengan faktor risiko antara 0
dan 1. Beberapa kesulitan penerapan pendekatan kuantitatif untuk menaksir penyingkapan
kerugian, yaitu:
i.
Mengidentifikasi biaya per kerugian yang
relevan dan kemungkinan yang
terkait.
terkait.
ii.
Memperkirakan kemungkinan kegagalan pada
masa depan, hal ini sulit karena perkembangan teknologi cepat berubah.
b. Pendekatan
kualitatif.
Pendekatan kualitatif hanya
mendaftarkan kerapuhan dan ancaman sistem, secara subyektif mengatur mereka
dengan urutan atas kontribusi mereka kepada penyingkapan kerugian total
perusahaan.
Pendekatan
kuantitatif dan kualitatif digunakan dalam praktek, dan banyak perusahaan mencampurkan
kedua pendekatan tersebut. Terlepas dari pendekatan mana yang digunakan,
analisis harus meliputi penyingkapan kerugian dari bidang berikut:
a. interupsi
bisnis.
b. kerugian
perangkat lunak.
c. kerugian
data.
d. kerugian
perangkat keras.
e. kerugian
fasilitas.
f. kerugian
jasa dan karyawan.
Apabila pendekatan kuantitatif yang
digunakan, biaya yang dapat diperkirakan adalah sebagai berikut:
a. biaya
penggantian.
b. penyangkalan
jasa.
c. pertanggungjawaban
pihak ketiga.
d. interupsi
bisnis.
Kerapuhan dan Ancaman
Kerapuhan
adalah kelemahan dalam sebuah sistem. Ancaman adalah eksploitasi potensial dari
kerapuhan. Dua kategori ancaman, yaitu: aktif dan pasif. Ancaman aktif meliputi
penipuan sistem dan sabotase komputer. Ancaman pasif, meliputi kesalahan
sistem, seperti bencana alam, gempa bumi, banjir, kebakaran, dan badai topan.
Kesalahan sistem merupakan kegagalan peralatan komponen, seperti kegagalan
disk, kekurangan daya.
Ancaman kepada sistem informasi.
Sebuah
serangan yang berhasil atas sebuah sistem informasi membutuhkan akses perangkat
keras, arsip data, atau program kritis. Ketiga kelompok berikut: (1) karyawan
sistem, (2) pemakai, dan (3) pengacau, memiliki kemampuan berbeda dalam
mengakses. Karyawan sistem, memberi ancaman potensial, karena mereka diberi keistimewaan
yang luas untuk akses data dan program. Pemakai, diberi akses yang sempit,
namun mereka dapat menemukan cara untuk melakukan penipuan. Pengacau, tidak
diberikan akses sama sekali, namun mereka mampu mengakibatkan kerugian besar
pada perusahaan.
Beberapa penjelasan orang yang
terkait dalam sistem informasi adalah sebagai berikut:
a. Karyawan
Sistem Komputer Karyawan sistem komputer, meliputi bagian pemeliharaan,
programer, operator, karyawan administratif sistem informasi, dan klerk kontrol
data.
b. Bagian
Pemeliharaan Komputer
Bagian pemeliharaan komputer,
memasang perangkat keras dan lunak, memperbaiki kesalahan kecil dalam perangkat
lunak.
c. Programer
Programer sistem, menulis program untuk memodifikasi dan memperluas sistem operasional jaringan. Programer diberi tanggung jawab dengan akses universal kepada semua arsip perusahaan. Programer aplikasi dapat membuat modifikasi yang tidak diinginkan oleh program yang ada atau menulis program baru untuk hal-hal yang tidak diinginkan.
Programer sistem, menulis program untuk memodifikasi dan memperluas sistem operasional jaringan. Programer diberi tanggung jawab dengan akses universal kepada semua arsip perusahaan. Programer aplikasi dapat membuat modifikasi yang tidak diinginkan oleh program yang ada atau menulis program baru untuk hal-hal yang tidak diinginkan.
d. Operator
Jaringan
Operator jaringan, orang yang
meramalkan dan mengawasi operasional jaringan komputer dan komunikasi. Umumnya,
operator ditugaskan dengan ijin keamanan tingkat tinggi, untuk secara rahasia
mengawasi semua komunikasi jaringan (termasuk pemakai individual yang
memasukkan kata kunci).
e. Personil
Administrasi Sistem Informasi
Penyelia system mendapatkan posisi
kepercayaan yang besar. Orang ini memiliki akses rahasia keamanan, arsip, dan
program.
f. Klerk
Kontrol Data
Klerk kontrol data bertanggung
jawab memasukkan secara manual dan otomatis data ke dalam komputer. Ia memiliki
kesempatan untuk melakukan kecurangan dengan memanipulasi data masukan.
g. Pemakai
Pemakai terdiri dari kelompok yang heterogen dan dapat dibedakan dari lainnya, karena area fungsional mereka tidak berada dalam pemrosesan data. Banyak pemakai memiliki akses ke data sensitif yang dapat mereka bocorkan kepada para pesaing. Banyak kasus, pemakai bisa mengendalikan masukan komputer yang penting, seperti memo kredit, dan kredit akun.
Pemakai terdiri dari kelompok yang heterogen dan dapat dibedakan dari lainnya, karena area fungsional mereka tidak berada dalam pemrosesan data. Banyak pemakai memiliki akses ke data sensitif yang dapat mereka bocorkan kepada para pesaing. Banyak kasus, pemakai bisa mengendalikan masukan komputer yang penting, seperti memo kredit, dan kredit akun.
h. Pengacau
Pengacau adalah orang yang mengakses peralatan, data elektronik, atau arsip
tanpa otorisasi yang benar. Pengacau yang menyerang sistem informasi untuk
kesenangan dan tantangan disebut hacker. Jenis pengacau lain yaitu: pengacau tidak ketahuan, penyadap kawat, piggybacker, pengacau peniru, dan pencuri dengar.
Pengacau adalah orang yang mengakses peralatan, data elektronik, atau arsip
tanpa otorisasi yang benar. Pengacau yang menyerang sistem informasi untuk
kesenangan dan tantangan disebut hacker. Jenis pengacau lain yaitu: pengacau tidak ketahuan, penyadap kawat, piggybacker, pengacau peniru, dan pencuri dengar.
i.
Pengacau yang Tidak Ketahuan
Pelanggan dapat masuk ke dalam area
yang tidak terjaga dan membaca data sensitive pada komputer pribadi yang tidak
dipelihara. Seorang hacker dapat masuk dan menyerobot atau merusak situs web
perusahaan.
j.
Penyadap Kawat
Sebagian besar informasi yang
diproses oleh komputer perusahaan bergerak melalui kawat dan kabel. Sebagian
informasi dikirimkan dari satu ruang ke ruang lainnya, dan informasi lainnya dapat dikirimkan lintas
negara melalui internet. Jalur ini rapuh terhadap penyadap kawat, yang dapat
dilakukan dengan alat yang murah misalnya kaset rekamandan sepotong kawat),
yang mampu melakukan tugas tanpa memberikan tanda bahwa kawatnya disadap.
k. Piggybacker
Piggybacking merupakan jenis penyadap kawat yang paling canggih. Pelaku memotong informasi yang sah dan mengganti dengan informasi yang lain.
Piggybacking merupakan jenis penyadap kawat yang paling canggih. Pelaku memotong informasi yang sah dan mengganti dengan informasi yang lain.
l.
Pengacau Peniru
Pengacau peniru adalah orang yang
meniru orang lain untuk menipu perusahaan. Pengacau jenis ini menggunakan ID
dan kata kunci pemakai yang didapatkan dengan tidak sah untuk mengakses sumber
daya elektronik perusahaan.
m. Pencuri
Dengar
Tabung sinar katoda atau cathode
ray tubes (CRT) standar yang digunakan dalam unit display video umumnya
mengeluarkan gangguan elektromagnetik (EMI) pada sebuah frekuensi yang mampu
diambil oleh pesawat televisi biasa. Wim Van Eck, periset elektronik Belanda, membuktikan
pada sejumlah bank, bahwa ada hal yang mungkin untuk membaca informasi pada CRT
mereka meski dari jarak satu mil, dengan menggunakan televisi biasa, sebuah
antenna pengarah dan sebuah generator sync eksternal. Siapa saja dengan alat
ini dapat mengawasi informasi sensitif saat muncul pada CRT perusahaan.
Ancaman Aktif kepada
Sistem Informasi
Menurut
George H. Bodnar dan William S. Hopwood (2001) terdapat enam metode yang dapat
digunakan untuk melakukan penipuan sistem informasi adalah sebagai berikut:
a. Manipulasi
Masukkan
Manipulasi masukan adalah metode
yang digunakan. Orang dapat mengubah masukan tanpa pengetahuan tentang bagaimana
sistem komputer beroperasi.
b. Pengubahan
Program
Pengubahan program adalah metode
yang paling umum digunakan untuk melakukan penipuan komputer. Hal ini
dikarenakan membutuhkan ketrampilan pemrograman yang hanya dimiliki oleh
sejumlah kecil orang.
c. Pengubahan
Arsip Langsung
Banyak kasus, orang-orang akan
menemukan berbagai cara memotong proses normal untuk memasukkan data ke dalam
program komputer.
d. Pencurian
Data
Pencurian data yang penting,
misalnya informasi kuantitatif, dan kualitatif tentang kompetitor seseorang.
Sejumlah besar informasi dikirimkan antarperusahaan melalui internet. Informasi
ini rapuh terhadap pencurian selama dalam perjalanan, hal ini dapat dipotong
atau disadap. Disk optis (disket), flash disk, juga dapat dicuri dengan
menyelundupkannya ke luar dari perusahaan dalam sebuah kantong atau tas. Barang
yang tebal dapat diselundupkan ke luar dalam tempat sampah.
e. Sabotase
Pengrusakan sebuah komputer atau perangkat lunak dapat menyebabkan kebangkrutan sebuah perusahaan. Beberapa kasus, seorang penipu dapat menggunakan sabotase untuk mengecoh dan menutupi penipuannya. Contoh, seorang dapat mengubah database akuntansi, kemudian menutupinya dengan mensabotase disk komputer atau media lainnya. Banyak cara yang menyebabkan komputer mengalami kerusakan serius. Magnet dapat digunakan untuk menghapus pita magnetis dan disk magnetik, dengan meletakkan magnet di dekat media tersebut. Sinar radar dapat memiliki efek serupa bila diarahkan pada sebuah bangunan yang mengandung media magnetik.
Pengrusakan sebuah komputer atau perangkat lunak dapat menyebabkan kebangkrutan sebuah perusahaan. Beberapa kasus, seorang penipu dapat menggunakan sabotase untuk mengecoh dan menutupi penipuannya. Contoh, seorang dapat mengubah database akuntansi, kemudian menutupinya dengan mensabotase disk komputer atau media lainnya. Banyak cara yang menyebabkan komputer mengalami kerusakan serius. Magnet dapat digunakan untuk menghapus pita magnetis dan disk magnetik, dengan meletakkan magnet di dekat media tersebut. Sinar radar dapat memiliki efek serupa bila diarahkan pada sebuah bangunan yang mengandung media magnetik.
f. Penyalahgunaan
atau Pencurian Sumber Informasi Salah satu jenis penyalahgunaan sumber
informasi dapat terjadi saat karyawan menggunakan sumber computer perusahaan
untuk bisnis mereka sendiri.
Sistem Keamanan Sistem
Informasi
Mengendalikan
keamanan dapat dilakukan dengan mengimplementasikan ukuran keamanan dan rencana
kemungkinan. Ukuran keamanan berfokus pada pencegahan dan mendeteksi ancaman,
rencana kemungkinan berfokus pada memperbaiki efek ancaman. Tidak ada sistem
keamanan yang berarti tanpa didukung oleh kejujuran dan kesadaran akan
keamanan. Sistem keamanan komputer harus menjadi bagian dari struktur
pengendalian internal keseluruhan perusahaan. Hal ini berarti bahwa elemen
dasar dari pengendalian internal (antara lain: pengawasan yang memadai, rotasi
pekerjaan, pemeriksaan validitas) adalah penting untuk sistem keamanan
komputer. Keamanan sistem komputer merupakan aplikasi khusus dari prinsip
pengendalian internal yang telah dibuat untuk masalah tertentu dalam sistem
informasi.
Pengendalian untuk
Ancaman Aktif
Cara utamamencegah ancaman aktif yang
berkaitan dengan penipuan dan sabotase adalah dengan mengimplementasikan urutan
lapisan dari pengendalian akses. Filosofi dibalik pendekatan berlapis pada
kontrol akses melibatkan sejumlah lapisan kontrol yang memisahkan calon pelaku
dari target potensialnya. Tiga lapisan ini yaitu: pengendalian akses tempat,
pengendalian akses sistem, dan pengendalian akses arsip. Langkah pertama dalam
membangun pengendalian akses adalah menggolongkan semua data dan peralatan
sesuai dengan kepentingan dan kerapuhan mereka. Peralatan dan data yang kritis
harus diberikan pengendalian yang paling ketat.
Pengendalian akses tempat.
Pengendalian
akses tempat adalah secara fisik memisahkan orang yang tidak sah dari sumber
komputer. Pemisahan fisik, secara khusus diterapkan kepada perangkat keras,
area entri data, area keluaran data, perpustakaan data, dan penghubungan
komunikasi.
Pengendalian akses sistem.
Kontrol
akses sistem adalah pengendalian berorientasi perangkat lunak yang dirancang
untuk menjaga agar pemakai yang tidak sah tidak menggunakan sistem. Tujuan
pengendalian akses sistem adalah untuk mengotentikasi pemakai dengan
menggunakan cara seperti ID pemakai, kata kunci, alamat IP, dan alat perangkat
keras.
Pengendalian akses arsip.
Lapisan
terakhir dari pengendalian akses diterapkan pada tingkat arsip. Pengendalian
akses arsip mencegah akses tidak sah pada data. Pengendalian akses arsip yang
paling fundamental adalah otorisasi dan prosedur untuk mengakses dan mengubah
arsip. Semua program penting harus disimpan dalam arsip terkunci, artinya
program dapat dijalankan, namun tidak dapat dilihat atau diubah.
Pengendalian untuk
Ancaman Pasif
Ancaman pasif meliputi kegagalan daya,
dan perangkat keras. Pengendalian untuk ancaman pasif dapat preventif atau
korektif. Pengendalian untuk ancaman pasif dapat dilakukan dengan sistem
toleran kesalahan dan memperbaiki kesalahan pendukung arsip.
Sistem toleran kesalahan.
Sistem
toleran kesalahan adalah bila satu bagian dari sistem itu gagal, bagian lainnya
segera mengambil alih, dan sistem terus beroperasi tanpa interupsi. Toleransi
kesalahan dapat diterapkan pada lima tingkatan, yaitu: komunikasi jaringan,
prosesor CPU, DASD, power suply, dan transaksi individual. Jaringan dapat dibuat
toleran kesalahan dengan memberikan jalur komunikasi duplikat dan prosesor
komunikasi. Dua pendekatan utama untuk prosesor central prosessing unit (CPU)
yaitu: sistem protokol berbasis konsensus dan sistem prosesor anjing penjaga
(watchdog). Sistem protokol berbasis konsensus berisi jumlah ganjil prosesor,
bila satu prosesor tidak sesuai dengan lainnya, maka setelah itu akan
diabaikan, sedangkan sistem prosesor watchdog, mengambil alih pemrosesan bila
sesuatu terjadi pada prosesor pertama. DASD dibuat toleran kesalahan dengan
beberapa metode, termasuk pemeriksaan baca setelah tulis, penguncian sektor
buruk, dan pembuatan cermin disk. Pemeriksaan baca setelah tulis, disk drive
membaca kembali sebuah sektor setelah menuliskannya ke disk, mengkonfirmasikan
bahwa ia dituliskan tanpa kesalahan. Bila konfirmasi gagal, sektor pada disk
diberi tanda (flagged) dan dikunci, sehingga ia tidak dapat digunakan lagi,
kemudian data dapat dituliskan ke sektor yang baik. Toleransi kesalahan untuk
kegagalan daya dapat dicapai dengan power supply yang baik. Apabila dayanya
gagal, sistem pendukung yang berdaya aki mengambil alih dengan cepat, sehingga
tidak terjadi kerugian kontinuitas dalam aktivitas pemrosesan. Dalam hal ini
ada waktu cukup untuk memindahkan sistem ke generator atau mematikannya dengan
cara yang benar. Akhirnya, beberapa alat menghaluskan turun naiknya tegangan,
yang dapat menyebabkan kerusakan parah pada beberapa komponen elektronik.
Toleransi kesalahan pada tingkatan transaksi melibatkan pemrosesan rollback dan
pembuatan bayangan database. Pemrosesan rollback, transaksi tidak pernah
ditulis ke disk, hingga selesai. Apabila daya gagal atau kesalahan lain
terjadi, sementara sebuah transaksi ditulis, maka program database secara
otomatis menggulung dirinya ke belakang pada keadaan sebelum terjadi kesalahan.
Pembuatan bayangan database adalah serupa dengan pembuatan bayangan disk.
Sebuah duplikat dari semua transaksi dibuat dan barangkali dikirimkan melalui
komunikasi ke lokasi yang jauh.
Memperbaiki kesalahan pendukung
arsip.
Sebuah
sistem yang memusatkan pembuatan arsip pendukung adalah sesuatu yang penting.
Tiga jenis pendukung, yaitu: pendukung penuh, pendukung kenaikan, dan pendukung
diferensial. Pendukung penuh membuat pendukung semua arsip pada disk tertentu.
Setiap arsip berisi bit arsip yang diatur hingga 0 selama proses pembuatan
pendukung. Sistem operasional secara otomatis mengatur bit hingga 1 kapan saja
sebuah arsip diubah. Setiap bit arsip diatur kembali hingga 0 selama proses
pembuatan pendukung. Jadi, pendukung kenaikan hanya membuat pendukung arsip
yang telah dimodifikasi sejak pembuatan pendukung penuh atau kenaikan yang
terakhir. Akhirnya, pembuatan pendukung diferensial adalah sama seperti
pembuatan pendukung kenaikan, hanya saja bit arsipnya tidak diatur ulang hingga
0 selama pembuatan pendukung.
Keamanan Internet
Internet
membuat sebuah jendela elektronik ke dunia luar yang menghilangkan sumber
informasi perusahaan secara fisik, sehingga tidak mungkin sepenuhnya
mengimplementasikan lapisan pemisahan fisik dari pendekatan akses keamanan yang
berlapis. Contoh, perusahaan dapat meletakkan sebuah komputer dibalik pintu
terkunci, namun komputer tidak benar-benar terisolasi bila terhubung dengan
internet.
Menurut George H. Bodnar dan William S. Hopwood (2001), kerapuhan terhubung internet dapat muncul dari kelemahan dalam lima bidang berikut:
Menurut George H. Bodnar dan William S. Hopwood (2001), kerapuhan terhubung internet dapat muncul dari kelemahan dalam lima bidang berikut:
a. Sistem
operasional atau konfigurasinya.
b. Server
web atau konfigurasinya.
c. Jaringan
pribadi dan konfigurasinya.
d. Beragam
program server.
e. Prosedur
keamanan umum.
Kerapuhan sistem operasional.
Server
Web adalah perpanjangan dari sistem operasional. Hasilnya, kelemahan dalam
keamanan sistem operasional akan membuat kelemahan yang terkait pada keamanan
server Web. Alasan ini, mendukung administrator keamanan untuk mengamankan
sistem operasional. Masalahnya, tidak ada sistem operasional yang anti
serangan, dan hacker terus menerus menemukan kelemahan baru dalam sistem
operasional, sehingga administrator harus terus menerus mengawasi buletin
keamanan yang dibuat oleh pemasok sistem operasional. Contoh, Microsoft tetap
mengikuti informasi keamanan untuk Windows pada situs Web-nya di http://www.microsoft.com/.
Kerapuhan server Web.
Server
Web dan browser Web cenderung lebih sering diperbarui daripada sistem
operasional, dan pembaharuannya selalu datang dengan kemungkinan keamanan baru
yang lemah. Server Web lebih berfungsi pada garis depan keamanan, karena server
Web adalah portal yang sering dilewati orang luar. Keamanan server Web dapat
menurun, karena masalah konfigurasi. Salah satu masalah konfigurasi yang paling
umum terdapat pada mengkonfigurasikan ijin untuk direktori dan arsip yang
berkaitan dengan program skript yang bisa dilaksanakan. Program skript yang
dapat dilaksanakan adalah komponen yang diperlukan untuk hampir semua situs Web
komersial.
Kerapuhan jaringan pribadi.
Risiko
khusus terjadi saat sebuah server Web diletakkan pada sebuah komputer utama
yang dihubungkan dengan berbagai komputer pemakai melalui jaringan area lokal,
dan hacker dapat menyerang satu komputer melalui yang lain. Apabila komputer
pemakai memiliki akses kepada komputer yang menjadi tuan rumah server Web, maka
hacker pertama-tama dapat menerobis masuk ke dalam salah satu komputer pemakai,
kemudian bergantung kepada akses pemakai untuk menduduki komputer utama untuk
server Web. Masalah ini begitu sulit, karena secara virtual tidak mungkin
administrator server menjamin keamanan yang memadai atas semua mesin
pemakainya, karena banyak perusahaan (pemakai) mengakses internet, menjalankan
semua jenis program, dan tidak aman, serta mengkonfigurasi sistem operasional
dengan tidak benar. Hacker menyerang satu komputer melalui komputer pengganti
dengan mengirimkan surat elektronik (e-mail) dalam bentuk lampiran
(attachment)berupa program kuda Troya ke komputer pengganti. Hacker mengakali
penerima pada komputer pengganti umtuk membuka lampiran e-mail dengan
menggunakan alamat pemngembalian dari seseorang yang telah dikenal. Hacker
dalam hal ini, umumnya memperoleh daftar e-mail dari direktori perusahaan yang
tersedia di situs Web perusahaan.
Kerapuhan dari beragam program
server.
Banyak
komputer utama server Web yang bukan saja menjalankan server Web, namun juga
server lainnya, termasuk server FTP (untuk pengiriman arsip ke dan dari
komputer lain), server e-mail, dan server kontrol jarak jauh (yang mengijinkan
komputer jarak jauh yang sah untuk mengambil kendali komputer utama).
Masalahnya, setiap server tambahan memberikan risiko keamanan tambahan, dan cacat
keamanan yang berhubungan dengan salah satu server yang dapat membuka pintu
untuk hacker agar dapat menyerang server lainnya di semua arsip pada komputer,
bahkan komputer lain yang berada pada jaringan area lokal yang sama.
Prosedur keamanan umum.
Perangkat
lunak keamanan terbaik di dunia tidak akan membantu, bila administrator sistem
tidak memaksakan kebijakan. Selanjutnya, semua kesalahan dan pengecualian harus
dicatatkan ke arsip aman, dan catatan ini harus dimonitor secara konstan.
Sumber :
https://harjantodb18.wordpress.com/2013/10/24/minggu-ke-4-sistem-informasi-akuntansi/
http://putrariyadhi1.blogspot.co.id/2013/11/tugas-3-makalah-komputer-dan-keamanan.html
Langganan:
Postingan (Atom)