Klasifikasi keamanan sistem informasi menurut David Icove, yaitu :
1. Fisik ( Physical security),
2. Manusia (people/personal security),
3. Data, media, teknik komunikasi,
4. Kebijakan dan prosedur (polocy & procedure).
Akan tetapi, kebanyakan orang hanya terfokus pada Data, media, teknik komunikasi. Dan berdasarkan elemen sistem terdapat beberapa sistem keamanan, yaitu :
1. Network security, elemen ini memfokuskan pada saluran (media) pembawa informasi atau jalur yang dilalui.
2. Application security, elemien ini memfokuskan pada sistem tersebut serta database dan servicenya.
3. Computer security, elemen ini memfokuskan pada keamanan dari komputer pengguna (end system) yang digunakan untuk mengakses aplikasi, termasuk operating system(OS).
Pada suatu sistem keamanan juga mempunyai dasar-dasarnya, yaitu :
Authentication
➔ Menyatakan bahwa data atau informasi yang digunakan atau diberikan oleh pengguna adalah asli milik orang tersebut, begitu juga dengan server dan sistem informasi yang diakses.
➔ Serangan pada jaringan berupa DNS Corruption atau DNS Poison, terminal palsu (spooffing), situs aspal dan palsu, user dan password palsu.
➔ Countermeasure : Digital Signature misalnya teknologi SSL/TLS untuk web dan mail server.
Authorization atau Access Control
➔ Pengaturan siapa dapat melakukan apa, atau dari mana menuju kemana. Dapat menggunakan mekanisme user/password atau mekanisme lainnya.
➔ Ada pembagian kelas atau tingkatan.
➔ Implementasi : pada “ACL” antar jaringan, pada “ACL” proxy server (misalnya Pembatasan bandwidth/delaypools).
Privacy/confidentiality
➔ Keamanan terhadap data data pribadi, messages/pesan-pesan atau informasi lainnya yang sensitif.
➔ Serangan pada jaringan berupa aktifitas sniffing (menyadap) dan adanya keylogger. Umumnya terjadi karena kebijakan/policy yang kurang jelas. Admin atau ISP nakal.
➔ Coutermeasure : gunakan teknologi enkripsi/kriptografi.
Integrity
➔ Bahwa informasi atau pesan dipastikan tidak dirubah atau berubah. Karena ketika melewati jaringan internet, sebenarnya data telah berjalan sangat jauh melintasi berbagai negara. Pada saat perjalanan tersebut, berbagai gangguan dapat terjadi terhadap isinya, baik hilang, rusak, ataupun dimanipulasi oleh orang yang tidak seharusnya.
➔ Serangan pada jaringan dapat berupa aktifitas spoofing, mail modification, trojan horse, MITM Attack.
➔ Countermeasure : dengan teknologi digital signature dan Kriptografi spt PGP, 802.1x, WEP, WPA.
Availability
➔ Keamanan atas ketersediaan layanan informasi.
➔ Serangan pada jaringan: DoS (denial of services) baik disadari/sengaja maupun tidak. Aktifitas malware, worm, virus dan bomb mail sering memacetkan jaringan.
➔ Countermeasure : Firewall dan router filtering, backup dan redundancy, IDS dan IPS
Non-repudiation
➔ Menjaga agar jika sudah melakukan transaksi atau aktifitas online, maka tidak dapat di sangkal bahwa mereka telah mengirim atau menerima sebuah file mengakomodasi Perubahan.
➔ Umumnya digunakan untuk aktifitas e-commerce. Misalnya email yang digunakan untuk bertransaksi menggunakan digital signature.
➔ Pada jaringan dapat menggunakan digital signature, sertifikat dan kriptografi.
Auditing
➔ Adanya berkas semacam rekaman komunikasi data yang terjadi pada jaringan untuk keperluan audit seperti mengidentifikasi serangan serangan pada jaringan atau server.
➔ Implementasi : pada firewall (IDS/IPS) atau router menggunakan system logging (syslog).
Disini akan diulas lebih dalam tentang AUDITING.
Tujuan keamanan komputer (security goals) adalah terjaminnya “confidentiality”, “integrity”, dan “availability” sebuah sistem komputer. Untuk menjamin supaya tujuan keamanan tersebut dapat tercapai maka diperlukan beberapa proses yang dilakukan secara bersama-sama. Salah satu proses tersebut adalah dengan melakukan audit terhadap sistem komputer dan jaringan komputer didalamnya.
Auditing adalah sebuah untuk melacak semua kejadian-kejadian, kesalahan-kesalahan, dan percobaan akses dan otentikasi dalam sebuah komputer server. Auditing membantu seorang administrator jaringan dan analis keamanan komputer untuk mengidentifikasi kelemahan-kelemahan jaringan komputer dalam sebuah organisasi dan sangat membantu dalam mengembangkan kebijakan dalam keamanan jaringan komputer. Melalui proses audit, integritas data dapat dijamin, juga dapat memelihara kerahasiaan data dan ketersediaanya tetap terjamin. Secara garis besar, audit terhadap sebuah sistem keamanan jaringan komputer dibagi kedalam 3 kategori yaitu: audit terhadap hak akses (privilege audit), audit terhadap penggunaan sumber daya (usage audit), audit terhadap eskalasi (escalation audit).
• Privilege Audit, Audit jenis ini tujuannya adalah untuk melakukan verifikasi apakah “group”, “roles” dan “account” sudah diterapkan dengan tepat dalam sebuah organisasi dan keamanan yang di terapkan didalamnya juga sudah tepat. Audit ini juga melakukan verifikasi apakah kebijakankebijakan yang di terapkan dalam sebuah organisasi sudah diikuti dengan benar atau belum, sudah akurat atau belum, dan apakah akses ke sistem sudah di terapkan dengan benar. Privilege audit dilakukan dengan cara melakukan review secara lengkap terhadap semua “group” dan “account” dalam sebuah sistem jaringan untuk sebuah organisasi. Misalnya,ketika seorang karyawan di mutasi dalam sebuah organisasi, maka nama karyawan tersebut seharusnya di hapus dari grupnya yang lama. Kesalahan dalam melakukan hal tersebut dapat menyebabkan seorang user bisa mendapatkan akses lebih tinggi dari yang seharusnya didapatkan oleh user tersebut.
• Usage Audit, Audit jenis ini melakukan verifikasi apakah perangkat lunak dan sistem yang digunakan dalam sebuah organisasi dipakai secara konsisten dan tepat sesuai dengan kebijakan yang berlaku dalam organisasi tersebut. Audit ini akan melakukan review secara lengkap dari sisi fisik sebuah sistem, mem-verifikasi konfigurasi perangkat lunak, dan aktifitas-aktifitas sistem yang lain. Perhatian yang utama dari audit jenis ini adalah bagaimana penginstalan dan lisensi perangkat lunak dengan benar. Organisasi harus menguji sistem secara berkala untuk melakukan verifikasi bahwahanya perangkat lunak yang di lisensi oleh organisasi tersebut yang boleh di instal di setiap komputer yang ada dalam organisasi tersebut. Selain masalah perangkat lunak dan keamanan fisik sistem yang di audit, hal yang juga menjadi pertimbangan adalah masalah lubang keamanan yang mungkin saja di timbulkan oleh perangkat lunak yang di instal di dalam sistem organisasi tersebut. Sehingga harus dapat dipastikan bahwa perangkat lunak-perangkat lunak yang di instal tersebut sudah di update sesuai dengan kebutuhannya. Audit ini juga melakukan pengujian terhadap penggunaan jaringan komputer dalam sebuah organisasi. Pengecekan dilakukan untuk mengetahui apakah sumber daya jaringan komputer digunakan sesuai dengan peruntukannya atau tidak. Setiap penggunaan jaringan yang tidak sesuai penggunaannya akan diberi tanda oleh proses audit ini dan dapat di hentikan sebelum hal ini menjadi masalah di kemudian hari.
• Escalation Audit, Eskalasi audit mem-fokuskan seputar bagaimana pihak manajemen/decision-makers mengendalikan sistem jaringan jika menemukan masalah darurat terhadap sistem tersebut. Jenis audit ini akan melakukan pengujian bagaimana sebuah organisasi mampu menghadapi masalah-masalah yang mungkin muncul ketika keadaan darurat terjadi. Misalnya, pengujian dan proses verifikasi sistem terhadap “disaster recovery plans” dan “business continuity plans”. Jenis-jenis perencanaan ini dapat menjadi “outdated” secara cepat dan sebuah proses audit dapat digunakan untuk menjamin bahwa segala sesuatunya dapat di selesaikan dan rencana-rencana tersebut dapat sukses di terapkan jika masalah terjadi pada sistem jaringan komputer organisasi tersebut.
