Membangun Sistem Keamanan Jaringan Pada Aplikasi Berbasis Web/Mobile Manajemen Layanan Sistem Informasi

-



A.    Pendahuluan

Perkembangan penggunaan jaringan komputer sebagai jalur untuk pentrasmisian data diikuti oleh beberapa aspek yang berhubungan terhadap ketersedian teknologi yang ada. Teknologi komunikasi tidak hanya berbicara mengenai ketersedian akan hardware , software atau konten tetapi juga terhadap reliabilitas dari data yang dikirimkan melalui jaringan. Reliabilitas data atau lingkungannya merupakan pokok bahasan yang secara langsung membicarakan mengenai keamanan data maupun jaringan komputer.
Membangun sistem kemanan jaringan pada aplikasi berbasis web atau mobile dibutuhkan sebuah sistem yang mampu melakukan kendali terhadap unsur keamanan untuk menjaga agar ketersediaan akan sumber daya komunikasi dan kerahasiaanya/privasi tetap terjaga.

B.     Keamanan Jaringan Pada Aplikasi Web 


Aplikasi web merupakan suatu lingkungan yang terstruktur dalam bentuk program komputer yang memungkinkan pengunjung website memasukkan dan menampilkan data dari dan ke suatu database server melalui internet dengan menggunakan web browser. Kemudian data ditampilkan ke pengguna sebagai informasi yang dihasilkan secara dinamis oleh aplikasi web melalui web server. 

C.    Ciri dan Sifat Aplikasi Web



Menurut Roger S. Pressman dalam bukunya Software Engineering A Practitioner’s Approach dikatakan suatu aplikasi web memiliki perbedaan dengan aplikasi lainnya, karena memiliki sifat dan ciri-ciri sebagai berikut:

Network Intensive

Network intensive Sifat dasar dari suatu aplikasi web adalah terletak pada suatu jaringan (internet, intranet atau extranet) dimana aplikasi web harus melayani bermacam-macam kebutuhan dari penggunanya.
Network intensive Sifat dasar dari suatu aplikasi web adalah terletak pada suatu jaringan (internet, intranet atau extranet) dimana aplikasi web harus melayani bermacam-macam kebutuhan dari penggunanya.

Content Driven

Fungsi utama dari aplikasi web adalah untuk menampilkan informasi berupa teks, gambar, audio, dan video kepada para penggunanya.

Continuous Evolution

Aplikasi web mengalami perubahan secara terus-menerus (continuous evolution), terutama pada bagian isi (informasi) dari aplikasi tersebut.

Document-Oriented

Halaman-halaman web yang bersifat statis akan tetap ada meskipun telah terdapat teknik pemrograman web dengan menggunakan bahasa pemrograman java atau yang lainnya.

Immediacy 

Aplikasi web memiliki karakteristik kesiapan (immediacy), yang berarti aplikasi web tersebut harus sudah siap dan lengkap untuk ditampilkan ke publik dalam jarak waktu beberapa hari atau minggu saja, dan hal ini tidak ditemukan pada perangkat lunak lainnya.

Security

Berkembangnya aplikasi web dan Internet menyebabkan pergerakan sistem informasi untuk menggunakannya sebagai basis. Banyak sistem yang tidak terhubung ke Internet tetapi tetap menggunakan basis aplikasi web sebagai basis untuk sistem informasinya yang dipasang di jaringan Intranet. Untuk itu, keamanan sistem informasi yang berbasis aplikasi web dan teknologi Internet bergantung kepada keamanan sistem aplikasi web tersebut.
Keamanan dibutuhkan untuk melindungi isi dari aplikasi web yang sensitif dan menyediakan proses pengiriman data yang aman, oleh karena itu keamanan aplikasi harus diterapkan pada seluruh infrastruktur yang mendukung web aplikasi, termasuk juga web aplikasi itu sendiri.
Arsitektur sistem aplikasi web terdiri dari dua sisi: server dan klien. Keduanya dihubungkan dengan jaringan komputer (computer network). Selain menyajikan data-data dalam bentuk statis, aplikasi dapat menyajikan data dalam bentuk dinamis dengan menjalankan program. Program ini dapat dijalankan di server (misal dengan CGI, servlet) dan di klien (applet, Javascript).

Aesthetics

Selain sisi teknis, estetis juga merupakan suatu hal yang harus diperhatikan dalam sebuah aplikasi web, karena tampilan dan keindahan adalah salah satu hal yang utama, yang digunakan sebagai daya tarik pengunjung.

D.    Serangan Keamanan Aplikasi Web



Dunia internet saat ini mengenal banyak jenis serangan yang dilakukan dan sering merugikan. Jenis-jenis serangan terjadi selama ini dapat dikategorikan dalam empat kategori berdasarkan kriteria target serangan yaitu:

Interruption : serangan atas ketersediaan informasi. Penyerang mengganggu dengan melakukan penghentian aliran informasi kepada klien.

Interception : serangan atas kerahasiaan. Mengakses informasi yang bukan menjadi haknya adalah tujuan dari serangan ini. Informasi dapat digunakan untuk hal-hal yang merugikan pihak lain.

Modification : serangan atas integrasi suatu informasi. Mengakses informasi dan dapat juga mengubah isi informasi menjadi sasaran serangan ini.

Fabrication  : serangan terhadap proses autentifikasi. Membangkitkan objek palsu yang dikenal sebagai bagian dari sistem merupakan tujuan dari serangan jenis. 

Dari sisi motif tindakan, serangan yang terjadi dapat dikategorikan berdasarkan jenis tindakan yang dilakukan, dan dikelompokkan menjadi sebagai berikut:

Ancaman Pasif

Serangan yang dilakukan lebih bersifat mengamati perilaku sasaran, pada tahap ini penyerang berusaha mengenali setiap bagian sasaran. Tindakan yang dilakukan antara lain:

      ·       Melepaskan serangkaian pesan ke target untuk mengetahui respon target, dan mendapatkan informasi awal tentang target.         
      ·         Analisa trafik, dilakukan untuk mengetahui pola trafik data pada target.

Ancaman aktif

Serangan yang dilakukan telah ditujukan untuk berdampak langsung pada target. Beberapa tindakan serangan yang banyak dikenal merugikan merupakan contoh dari tindakan ini. Berikut beberapa diantaranya: 

       ·         Masquerade, penyerangan dikenali sebagai bagian dari alias identitas yang berwenang.
       ·         Reply
       ·         Modifikasi isi pesan (Mengubah pesan layanan yang diberikan oleh sistem)
       ·         Denial of service (Menghilangkan kemampuan sistem untuk memberikan layanan).

E.     Threat Modeling ( Penanganan Ancaman Demi Keamanan Jaringan Aplikasi Web )



Threat Modeling merupakan teknik yang cukup populer digunakan untuk membantu desainer sistem mengetahui ancaman keamanan yang mungkin timbul pada suatu sistem atau aplikasi web-nya. Oleh karena itu pemodelan ancaman dapat dijadikan sebuah ukuran untuk memperkirakan resiko yang mungkin terjadi pada sebuah aplikasi web. Dalam kenyataannya pemodelan ancaman memungkinkan desainer dalam mengembangkan strategi untuk mengatasi masalah pada bagian dari aplikasi yang mudah diserang (vulnerabilities) dan membantu desainer agar tetap fokus pada pengerjaan kebutuhan sistem aplikasi web yang terbatas oleh sumber daya, dimana aplikasi web tersebut dituntut segera terselesaikan.

Selain itu terdapat pula kelebihan dan kekurangan yang dimiliki oleh teknik pengujian aplikasi web yang dilakukan dengan mengunakan teknik pemodelan ancaman, adalah sebagai berikut:

Kelebihan 

      ·         Merupakan teknik yang dilihat dari perspektif seorang penyerang (attacker) sistem aplikasi web.
      ·         Fleksibel 
      ·         Dilakukan pada permulaan SDLC


Kekurangan 

      ·         Relatif merupakan teknik baru 
      ·         Pemodelan ancaman yang baik tidak dilakukan secara otomatis oleh perangkat lunak

Selain itu pemodelan ancaman merupakan suatu metode yang digunakan untuk mengenali atau mengetahui ancaman (Vulnerability), serangan (attack), dan kelemahan (vulnerabilities) yang berhubungan dengan aplikasi web. Pembentukan pemodelan ancaman dibagi ke dalam beberapa tahap:

Identify Security Objectives

Tahap ke-1: identify security objectives, dilakukan untuk mengetahui tujuan/kebutuhan keamanan aplikasi web, hal ini digunakan untuk membantu menentukan aktivitas pemodelan ancaman, dan untuk menentukan berapa banyak usaha pengujian yang perlu dilakukan. 

Create Application Overview

Tahap ke-2: Create Application Overview, dilakukan untuk mengetahui karakteristik dan aktor pada aplikasi web, hal ini digunakan untuk membantu mengenali ancaman yang ada. 

Decompose Application

Tahap ke-3: Decompose Application, dilakukan untuk mengetahui mekanisme aplikasi web secara detail, hal ini juga digunakan untuk membantu mengenali ancaman yang ada. 

Identify Threats 

Tahap Ke-4: Identify Threat, dilakukan untuk mengenali ancaman yang ada, yaitu dengan menggunakan tahap ke-2 dan ke-3. 

Identify Vulnerabilities

Tahap Ke-5 Identify Vulnerabilities, dilakukan untuk mengetahui kelemahan yang terdapat pada aplikasi web, hal ini digunakan untuk membantu mengenali area yang terjadi kesalahan.


REFERENSI

http://xerma.blogspot.com/2014/01/menjelaskan-keamanan-aplikasi-web.html
http://itnetcomp.blogspot.com/2016/07/membangun-sistem-keamanan-jaringan.html


Komentar

Posting Komentar

Postingan populer dari blog ini

Sejarah Perkembangan Drone

-
Gambar
Pada kali ini saya akan membahas salah satu inovasi teknologi informasi yaitu Drone. Apa sih Drone itu? Drone adalah pesawat tanpa awak yang dikendalikan dari jarak jauh.Dahulu digunakan oleh militer sebagai pengintai alat untuk mematai musuh tetapi sekarang banyak digunakan untuk mengambil visual gambar atau video dari ketinggian.Drone sangat berguna bagi perkembangan multimedia di dunia saat ini.   Tahukah kamu bagaimana sejarah drone dari awal kemunculannya hingga saat ini ? Nah ,disini saya akan mengulas dan  menjelaskan sejarah perkembangan drone saat pertama kali muncul hingga saat era modern ini. Sejarah Drone Sejarah Pengembangan teknologi drone muncul pertama kali sejak awal abad 19, di tanggal 22 Agustus 1849 sebelum perang dunia I. Pada saat itu, terjadi pertempuran antara Austria melawan kota Venesia, Italia. Austria yang berhasil menguasai mayoritas wilayah Italia meluncurkan rat...
Baca selengkapnya

Standar dan Panduan untuk Audit Sistem Informasi seperti ISACA, IIA COSO dan ISO1799

-
Gambar
ISACA ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi. ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, t...
Baca selengkapnya

Jenis-jenis Audit (Audit Internal, Audit Eksternal, Audit Sistem Informasi, Audit Keuangan, dan Audit Kecurangan)

-
Gambar
Audit merupakan suatu proses pengumpulan dan pengevaluasian bukti tentang informasi yang dapat diukur yang dilakukan seorang yang kompeten dan independen (auditor) untuk dapat menentukan dan melaporkan kesesuaian informasi dengan kriteria-kriteria yang telah ditetapkan. Secara singkat, audit merupakan perbandingan antara kondisi yang terjadi dengan kriteria yang sudah ditetapkan.   A.   Pentingnya Peranan Audit dalam Sebuah Perusahaan Sebuah perusahaan besar jika tidak dilakukan proses audit, maka akan ada kesalahan yang disengaja ataupun tidak disengaja yang tentunya dapat mempengaruhi bagaimana perusahan tersebut berjalan. Oleh karena itu, laporan keuangan yang belum diaudit kurang dipercayai kewajarannya oleh pihak yang berkepentingan terhadap laporan keuangan tersebut.   Jenis-jenis audit sistem informasi dibagi menjadi beberapa jenis, antara lain sebagai berikut :   1.     Audit Internal Audit Internal atau Internal Audit memiliki peranan pent...
Baca selengkapnya