Monday, 5 October 2015

Keamanan Informasi




Informasi adalah salah satu aset bagi sebuah perusahaan atau organisasi, yang sebagaimana aset lainnya memiliki nilai tertentu bagi perusahaan atau organisasi tersebut sehingga harus dilindungi.
keamanan informasi adalah aspek-aspek yang dilingkupi dan melingkupi keamanan informasi dalam sebuah sistem informasi. Aspek-aspek ini adalah :
Ø  privasi/kerahasiaan, menjaga kerahasiaan informasi dari semua pihak, kecuali yang memiliki kewenangan;
Ø  integritas, meyakinkan bahwa data tidak mengalami perubahan oleh yang tidak berhak atau oleh suatu hal lain yang tidak diketahui (misalnya buruknya transmisi data);
Ø  otentikasi/identifikasi, pengecekan terhadap identitas suatu entitas, bisa berupa orang, kartu kredit atau mesin;
Ø  tanda tangan, mengesahkan suatu informasi menjadi satu kesatuan di bawah suatu otoritas;
Ø  otorisasi, pemberian hak/kewenangan kepada entitas lain di dalam sistem;
Ø  validasi, pengecekan keabsahan suatu otorisasi;
Ø  kontrol akses, pembatasan akses terhadap entitas di dalam sistem;
Ø  sertifikasi, pengesahan/pemberian kuasa suatu informasi kepada entitas yang tepercaya;
Ø  pencatatan waktu, mencatat waktu pembuatan atau keberadaan suatu informasi di dalam sistem;
Ø  persaksian, memverifikasi pembuatan dan keberadaan suatu informasi di dalam sistem bukan oleh pembuatnya
Ø  tanda terima, pemberitahuan bahwa informasi telah diterima;
Ø  konfirmasi, pemberitahuan bahwa suatu layanan informasi telah tersedia;
Ø  kepemilikan, menyediakan suatu entitas dengan sah untuk menggunakan atau mengirimkan kepada pihak lain;
Ø  anonimitas, menyamarkan identitas dari entitas terkait dalam suatu proses transaksi;
Ø  nirpenyangkalan, mencegah penyangkalan dari suatu entitas atas kesepakatan atau perbuatan yang sudah dibuat;
Ø  penarikan, penarikan kembali suatu sertifikat atau otoritas
Tinjauan keamanan informasi adalah:
a.      Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
b.      Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi
c.       Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
d.      Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
e.       Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.
  


Keamanan informasi memiliki beberapa aspek yang harus dipahami untuk bisa menerapkannya. Beberapa aspek tersebut, tiga yang pertama disebut C.I.A triangle model [3], adalah sebagai berikut:
Ø  Confidentiality: harus bisa menjamin bahwa hanya mereka yang memiliki hak yang boleh mengakses informasi tertentu.
Ø  Integrity: harus menjamin kelengkapan informasi dan menjaga dai korupsi, kerusakan, atau ancaman lain yang menyebabkannya berubah dari aslinya.
Ø  Availability: adalah aspek keamanan informasi yang menjamin pengguna dapat mengakses informasi tanpa adanya gangguan dan tidak dalam format yang tak bisa digunakan. Pengguna, dalam hal ini bisa jadi manusia, atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses informasi.
                        Aspek yang lain disebutkan oleh Dr. Michael E.Whitman dan Herbert J.Mattord dalam bukunya Management Of Information Security adalah:
Ø  Privacy: Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik informasi dari orang lain
Ø  Identification: Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali individu pengguna. Identifikasi: langkah pertama dalam memperoleh hak akses ke informasi yang diamankan. Identifikasi secara umum dilakukan dalam penggunaan user name atau user ID.
Ø  Authentication: Autentikasi terjadi pada saat sistem dapat membuktikan bahwa pengguna memang benar-benar orang yang memiliki identitas yang mereka klaim.
Ø  Authorization: Setelah identitas pengguna diautentikasi, sebuah proses yang disebut autorisasi memberikan jaminan bahwa pengguna (manusia ataupun komputer) telah mendapatkan autorisasi secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus isi dari aset informasi.
Ø  Accountability: Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua aktifitas terhadap aset informasi yang telah dilakukan, dan siapa yang melakukan aktifitas itu.


                Menurut David Icove [John D. Howard, “An Analysis Of Security Incidents On The Internet 1989 ‐ 1995,” PhD thesis, Engineering and Public Policy, Carnegie Mellon University, 1997.
                Keamanan yang bersifat fisik (physical security): termasuk akses orang ke gedung, peralatan, dan media yang digunakan maupun berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
Contoh :
a.       Wiretapping atau hal‐hal yang ber‐hubungan dengan akses ke kabel atau komputer yang digunakan juga dapat dimasukkan ke dalam kelas ini.
b.      Denial of service, dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan‐pesan (yang dapat berisi apa saja karena yang diuta‐makan adalah banyaknya jumlah pesan)
c.       Syn Flood Attack, dimana sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadi terlalu sibuk dan bahkan dapat berakibat macetnya sistem.
d.      Kawasan Terbatas, Kamera Pemantau dan Detektor Pergerakan, Bunker (dalam tanah), Pencegahan dan Pemadaman Api, Pemagaran, Alarm.

Thursday, 1 October 2015

Membuat Function dan Trigger di Oracle



Function


Gambar: Membuat Function 

Untuk membuat function digunakan perintah :
  1. CREATE OR REPLACE FUNCTION (baris ke-1) artinya function akan dibuat, bila sudah ada (exist) maka akan diganti dengan yang baru (replace/overwrite). Nama function pada contoh adalah sum_sals (fungsi untuk menghitung pengeluaran untuk gaji karyawan dari suatu departemen/bagian) dengan parameter masukan/input berupa informasi kode departemen.
  2. Baris ke-1 berisi parameter-parameter input yaitu nama_parameter tipe_data. Pada contoh di atas adalah (id employees.departement_id%TYPE). Pada PL/SQL anda bisa juga tidak menyebutkan tipe data secara eksplisit namun digantikan dengan tipe data  field dari suatu tabel dalam  hal ini employees.departement_id%TYPE. Field departement_id pada tabel employee adalah bertipe NUMBER
  3. Baris ke 2 berisi return value atau nilai kembalian ketika function dipanggil, pada contoh NUMBER.
  4. Baris ke-3 adalah variable sementara yaitu total bertipe NUMBER untuk menghitung total pengeluaran gaji untuk suatu departemen.
  5. Baris ke-5 sd 11 adalah syntax PL/SQL untuk menjalankan fungsi tersebut.
Untuk menjalankan Function, tidak menggunakan EXEC, namun perintah SELECT nama_function(param1, param2, dst) FROM dual/nama_tabel. Pada contoh di atas dijalankan perintah sum_sals(50) yaitu menghitung total pengeluaran gaji untuk departemen dengan kode=50, Hasilnya adalah $ 160.432,-


Trigger


Gambar: Syntax Trigger
Trigger adalah bentuk statement PL/SQL pasif, artinya statement tsb akan dieksekusi otomatis ketika terjadi event/kejadian. Contoh sederhananya, memakai jas hujan adalah sebuah kegiatan Trigger. Kita akan memakai jas hujan kalau ada kejadian/event hujan. 

Pelaksanaan Trigger:
  1. Trigger bisa eksekusi otomatis sebelum kejadian/event terjadi (BEFORE) atau setelah kejadian (AFTER).
  2. Trigger disulut karena event DML seperti ada event/kejadian DELETE/INSERT/UPDATE. Selain itu sebenarnya ada Trigger lain selain DML yang akan dibahas pada bagian ke-2
  3. Trigger bisa terjadi jika Event mengenai suatu baris data [FOR EACH ROW] atau terjadi pada kolom tertentu saja.
  4. Trigger akan menjalankan suatu statement/perintah pada blok BODY (lihat gambar atas).

Gambar: Penerapan Trigger untuk logging/perekaman jejak.
Gambar di atas merupakan contoh implementasi Trigger untuk aktifitas logging (perekaman jejak otomatis). Pada contoh di atas, awalnya penulis membuat tabel sal_hist yang mencatat aktifitas perubahan gaji. Kemudian penulis membuat statemen trigger (CREATE OR REPLACE TRIGGER sal_trig) dengan penjelasan sbb:
  1. Trigger akan dijalankan setelah ada event/kejadian (AFTER) user melakukan perubahan data (UPDATE) pada tabel employees (lihat baris ke-2).
  2. Event akan di fire/sulut jika ada perubahan pada suatu baris, tidak peduli kolom mana yang berubah.
  3. Baris ke-5-8 adalah bagian body yang menjelaskan bagaimana trigger bereaksi. Ketika ada perubahan pada tabel employees (AFTER UPDATE), maka perubahan tersebut langsung tercatat di tabel sal_hist (lihat baris ke-6) yang mencatat informasi ID pegawai, kapan dilakukan perubahan (TIMESTAMP), siapa user yang mengubah (WHO), berapa gaji lama (OLD_SAL) dan berapa gaji terbaru (NEW_SAL).
Selanjutnya tunggu bagian ke-2 yang akan menjelaskan Function dan Trigger secara lebih spesifik (kalo penulis sedang menganggur). Terima kasih