Uploaded by User82857

Keamanan Aplikasi dan Database Server (1)

advertisement
Dosen Pembimbing
Mata kuliah
Eki Saputra, S.kom, M.kom
IT Security
Keamanan Aplikasi dan Database Server
DISUSUN OLEH KELOMPOK 2 ( AppData Scurity) :
ALDI SETAUFIK
CAHYA METTA SARI
HANIFAH HUZAIMA
M. KURNIA SANDY
RAHMA KHAIRANI
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSTAS ISLAM NEGERI SULTAN SYARIF KASIM RIAU
2020
i
ii
KATA PENGANTAR
Bismillah, Segala puji syukur saya panjatkan kehadirat Allah azza wa jalla
hingga saat ini masih memberikan nafas kehidupan dan anugerah akal, sehingga
saya dapat menyelesaikan pembuatan makalah ini dengan judul “Keamanan
aplikasi dan database server” tepat pada waktunya. Terimakasih pula kepada
semua pihak yang telah ikut membantu hingga terselesaikannya makalah ini.
Makalah ini dibuat untuk memenuhi salah satu tugas mata kuliah IT
Security.Dalam makalah ini membahas tentang Keamanan aplikasi dan database
server.saya sampaikan terima kasih atas perhatiannya terhadap makalah ini, dan
penulis berharap semoga makalah ini bermanfaat bagi kita semua.
Akhirnya, tidak ada manusia yang luput dari kesalahan dan kekurangan.Dengan
segala kerendahan hati, saran-saran dan kritik yang sifatnya membangun sangat
saya harapkan dari para pembaca guna peningkatan kualitas makalah ini dan
makalah-makalah lainnya pada waktu mendatang.
pekanbaru, 2020
penulis
i
DAFTAR ISI
KATAPENGANTAR ................................................................................................... i
DAFTAR ISI ............................................................................................................... ii
BABI. PENDAHULUAN .......................................................................................... 1
1.1 LatarBelakang ........................................................................................................ 1
1.2 Tujuan .................................................................................................................... 1
BAB II.PEMBAHASAN ........................................................................................... 2
2.1 Keamanan Aplikasi ............................................................................................... 2
2.2 Keamanan Database ...............................................................................................8
BAB III.PENUTUP ................................................................................................. 13
3.1 Kesimpulan ........................................................................................................... 13
3.2 Saran ..................................................................................................................... 14
DAFTAR PUSTAKA .............................................................................................. 15
ii
BAB I
PENDAHULUAN
1.1. Latar Belakang
World Wide Web merupakan salah satu cara yang paling penting bagi
suatu organisasi untuk mempublikasikan informasi, berinteraksi dengan pengguna
Internet, dan membangun keberadaan e-commerce/e-government. Namun
demikian, jika suatu organisasi tidak tepat dalam mengkonfigurasikan dan
mengoperasikan situs Web-nya, kemungkinan situs Web tersebut akan rawan
terhadap berbagai macam ancaman keamanan. Situs Web yang bobol dapat
dijadikan sebagai pintu masuk secara ilegal ke dalam jaringan internal
organisasi.Organisasi dapat kehilangan data sensitif atau bahkan sistem jaringan
komputernya menjadi tidak berfungsi.Contohnya adalah Serangan denial of
service (DoS) dapat membuat para pengguna sulit atau bahkan tidak bisa
mengakses situs Web suatu organisasi.
Terdapat tiga pokok persoalan keamanan yang utama berkaitan dengan operasi
dari suatu situs Web yang dapat diakses secara publik:
1. Kesalahan konfigurasi atau operasi lain yang tidak sesuai pada Web server,
yang mungkin berakibat pada penyingkapan atau perubahan terhadap informasi
yang sensitif.
2. Kerawanan-kerawanan dalam Web server sehingga dapat terjadi suksesnya para
penyerang membobol keamanan server dan host lain dalam jaringan komputer
organisasi.
3. Mekanisme pertahanan yang tidak memadai atau tidak tersedia pada Web
server untuk mencegah jenis-jenis serangan tertentu, seperti serangan DoS yang
dapat mengacaukan ketersediaan Web server dan mencegah para pengguna yang
sah untuk mengakses situs Web ketika dibutuhkan.Selain itu, seiring membaiknya
keamanan instalasi jaringan dan server, aplikasi perangkat lunak dan script yang
ditulis secara sembarang telah menjadi sasaran penyerangan yang akan
memungkinkan para penyerang untuk membobol keamanan Web server atau
mengumpulkan data dari back end database.
1.2. Tujuan
Tujuan dari Pedoman tentang Pengamanan Web Server adalah merekomendasikan
aspek keamanan untuk perancangan, implementasi, dan pengoperasian Web
server yang dapat diakses secara publik. Aspek yang direkomendasikan dalam
pedoman ini dirancang untuk membantu mengurangi resiko yang berkaitan
dengan Web server dan mengetengahkan prinsip umum yang berlaku untuk
semua sistem.
1
BAB II
PEMBAHASAN
1. Keamanan Aplikasi
Menurut Curtis Coleman, MSIA, CISSP, CISM direktur Global IT
Governance dari perusahaan Seagate Technology mengatakan bahwa kerawanan
yang paling berbahaya pada perusahaan besar yang memiliki jaringan luas adalah
pada aplikasinya. Sistem keamanaan telah banyak terfokus pada antivirus dan
keamanan jaringan, tapi bagian yang amat merisaukan adalah transaksi bisnis
yang memiliki data yang sangat berharga (valuable). Sistem keamanan pada
Aplikasi merupakan tren masa depan yang dapat dikatakan sebagai era baru
setelah era anti Virus dan era keamanan jaringan.
Penggunaan firewall dan SSL bukan menjadi jaminan bahwa pengamanan
data dan aplikasi dapat terjaga dengan baik, berdasarkan hasil pengecekan dengan
menggunakan AppScan didapatkan lebih dari 1000 aplikasi yang telah memiliki
firewall dan solusi enkripsi memiliki tingkat kerawanan rata-rata 98%. Oleh
karena itu mengapa keamanan aplikasi merupakan obyek yang sangat penting,
diantaranya:
1. frekuensi kejadian; sebanyak dua dari 4 website pada perusahaan bisnis rawan
untuk dibobol.
2. Tingkat penembusan; sebanyak 75% para hacker dapat menembus sampai ke
level aplikasi
3. Tidak terdeteksi; Perangkat untuk QA testing tidak didesain dengan baik untuk
mendeteksi lubang keamanan pada suatu aplikasi.
4. Kerugian yang berakibat fatal; Keamanan pada aplikasi tidak dapat dijaga dengan
baik rentan terhadap serangan dan eksploitasi. Ketika telah terjadi eksploitasi,
maka kegiatan bisnis dari suatu perusahaan akan terganggu yang akan
mengakibatkan customer value dan kepercayaan customer menjadi semakin
menurun. Hal ini akan sangat berdampak terhadap performa perusahaan itu
sendiri.
A. Kerentanan terhadap aplikasi
Menurut Eugene Lebanidze ada 10 besar kerawanan pada aplikasi, yaitu:
1. Unvalidated Input
2
Unvalidated input adalah jenis kerawanan yang cukup sering
terjadi sehingga akan menimbulkan masalah/kerusakan yang sangat
serius. Semua aplikasi berbasis web harus dipastikan dapat menangani
permasalahan unvalidated input sehingga menghindari adanya
unauthorized user. Jika aplikasi tidak dapat memvalidasi dengan baik,
maka ketika penyerang mempunyai kesempatan untuk masuk,
komponen aplikasi bagian belakang seperti database dapat diserang
dengan mudah. Point kerawanan
HTTP request dari browse ke web,
HTTP adalah sebuah protokol meminta/menjawab antara klien dan
server.Sebuah klien HTTP (seperti web browser atau robot dan lain
sebagainya),
biasanya
memulai
permintaan
dengan
membuat
Hubungan ke port tertentu di sebuah server Webhosting tertentu
(biasanya port 80).Klien yang mengirimkan permintaan HTTP juga
dikenal
dengan
user
agent.Server
yang
meresponsnya,
yang
menyimpan sumber daya seperti berkas HTML dan gambar, dikenal
juga sebagai origin server.Di antara user agent dan juga origin server,
bisa saja ada penghubung, seperti halnya proxy, gateway, dan juga
tunnel. (Rafiza, 2006) HTTP tidaklah terbatas untuk penggunaan
dengan TCP/IP, meskipun HTTP merupakan salah satu protokol
aplikasi TCP/IP paling populer melalui Internet.
2. Broken Access Control
Access Control yang baik dapat mencegah adanya unauthorized user
mengakses informasi maupun data perusahaan. Akan tetapi ketika Access
Control ini diasalahgunakan atau tidak berjalan dengan baik maka
penyerang/unautorized
user
dapat
mengakses
informasi
sehingga
mengganggu CIA (Confidentiality, Integrity, Availability) dari suatu data
maupun informasi itu sendiri. Kunci untuk menangani kerawanan ini melalui
kebijaksanaan
untuk
access
control
dan
dapat
dilakukan
dengan
menggunakan two-way authentication.
3. Broken Authentication dan Session Management
4. Cross Site Scripting
5. Buffer Overflow
3
6. Injection Flaws
7. Improper Error Handling
8. Insecure Storage
9. Denial of Service
10. Insecure Configuration Management
B. Beberapa Teknik Hardening Server
Pentingnya menjaga keamanan jaringan maupun server harus dipahami
oleh semua elemen di perusahaan sehingga timbulnya “awareness” terhadap
permasalahan keamanan dan apa saja yang menimbulkan kerentanan terhadap
sistem keamanan tersebut. Berikut adalah beberapa teknik untuk melakukan
server hardening:

Gunakan data encryption untuk komunikasi

Hindari penggunaan protokol yang tidak aman yang mengirim informasi atau
password dalam bentuk plain text (misalnya UDP)

Hindari penggunaan software yang tidak diperlukan pada server

Upgrade OS yang digunakan terutama security patches.

Akun user sebaiknya memiliki password yang cukup kuat dan lakukan
penggantian password secara berkala dan tidak menggunakan kembali
password yang pernah digunakan.

Kunci akun ketika terjadi event dimana terlalu banyak terjadi failure login.
 SSH hardening :

ubah port dari default menjadi non-standard

Disable root login secara langsung. Mengubah lebel menjadi root hanya jika
dibutuhkan.

Layanan yang tidak dibutuhkan sebaiknya dinonaktifkan.

Hardening sysctl.conf

Server hardening dengan melakukan instalasi Root Kit Hunter dan ChrootKit
hunter.

Minimalisasi membuka port jaringan menjadi hanya yang dibutuhkan saja

Instal Logwatch dan review logwatch email setiap hari. Hal ini untuk
menginvestigasi jika terjadi aktivitas yang berbahaya pada server

Gunakan firewall, IPS, dan IDS untuk menambah keamanan pada server
4

Instal Linux Socket Monitor untuk mendeteksi ketika adanya socket baru
yang dibuat pada sistem. Pembuatan socket baru dapat mengungkapkan
aktivitas hacker pada sistem.

Batasi akses pengguna sehingga hanya dapat mengakses yang dibutuhkan
saja.

Monitor log server
C. Software untuk melakukan hardening.
1. Basille Linux
Program hardening Bastille mengunci OS, secara aktif melakukan
konfigurasi sistem untuk meningkatkan keamanan dan mengurangi
kerentanannya. Bastille mensupport Red Hat (Fedora Core, Enterprise,
and Numbered/Classic), SUSE, Debian, Gentoo, dan Mandrake dengan
HPUX.
User/administrator diperbolehkan untuk memilih cara malakukan
hardening pada OS. Pada setting default hardeningnya, Bastille akan
menanyakan apakah user memiliki pertanyaan, menjelaskan topic akan
pertanyaan tersebut, dan membuat kebijakan berdasarkan jawaban user.
Kebijakan
tersebut
akan
diterapkan
ke
sistem.
Dalam
mode
assessmentnya, Bastille membuat laporan yang dapat digunakan user
untuk mempelajari lebih lanjut mengenai setting keamanan yang
digunakan dan juga memberikan informasi ke user mengenai setting
mana yang perlu diperketat.
2. JASS untuk Solaris systems
SolarisTM Security Toolkit, yang dikenal juga dengan JumpStartTM
Architecture
and
Security Scripts
(JASS)
toolkit,
menyediakan
mekanisme yang fleksibel dan ekstensibel untuk meminimasi, melakukan
hardening, dan mengamankan sistem Solaris Operating Environment
systems.
Goal
utama
pengembangan
toolkit
ini
adalah
untuk
menyederhanakan dan meng-otomatis-kan proses pengamanan Solaris
system.
3. Syhunt Apache/PHP Hardener
Syhunt Apache/PHP Hardener digunakan untuk melakukan evaluasi
ancaman keamanan dan identifikasi countermeasure yang sesuai pada
5
tahap konfigurasi web server, sehingga menyediakan proteksi ekstra
terhadap web hacking dan merupakan level tertinggi keamanan
aplikasi.Berikut
ini
merupakan
fitur
utama
Syhunt.Memeriksa
konfigurasi keamanan web server dengan melakukan hampir 50
pemeriksaan keamanan. Menyediakan analisis heuristic file konfigurasi
web server untuk mendeteksi error pada konfigurasi keamanan

Men-support file konfigurasi Apache dan PHP

Memproduksi laporan HTML yang simple dan mudahdimengerti

Melakukan update secara otomatis.
Referensi
Sahari, (2018).”Implementasi sistem keamanan web server berbasis distrolinux
debian dan mikrotik” Universitas Putra Indonesia “YPTK” Padang
2. Keamanan Database
Perkembangan organisasi /perusahaan mempunyai dampakpada
bertambahnya volume datayang harus disimpan mengenaisegala aspek
kegiatanoperasionalnya.Data-datatersebut dapat digunakan olehorganisasi untuk
dijadikan dasardalam pengambilan keputusanyang penting.Hal inimenunjukkan
bahwa data-datatersebut mempunyai peran yangsangat penting bagi
organisasi,sehingga perlu diperhatikan darisisi keamanannya.Berdasarkanalasan
ini pula, setiap personildalam sebuah organisasi haruspeka terhadap
ancamankeamanan dan mengambiltindakan-tindakan untukmelindungi data pada
organisasimereka.Masalah keamanan datasangatlah komplek.Seringkalimasalah
keamanan data dapatmelibatkan aspek hukum, sosialatau etika, kebijakan
yangberhubungan denganpelaksanaan atau terkait denganpengendalian peralatan
secarafisik.Keamanan databaseberkaitan dengan perlindunganterhadap database
terhadapancaman yang disengaja atautidak disengaja, denganmenggunakan
elemen kontrolperalatan komputasi atau yangtidak.Keamanandatabase (basis
data) tidak hanyacukup pada layanan yangdisediakan oleh DBMS, tetapijuga
mencakup masalah-masalahyang terkait dengan database dan keamanan
lingkungannya.Pertimbangan keamanan tidakhanya berlaku untuk data
yangterdapat dalam database saja,karena kesenjangan keamananpada bagian lain
dapatmempengaruhi sistem, yang padagilirannya dapat mempengaruhikeamanan
database. Sehingga,dengan berfokus pada keamanandatabase saja tidak
akanmenjamin bahwa database akanaman. Semua bagian dari sistemharus aman,
antara lain :database, jaringan, sistem operasi, bangunan di manadatabase berada
secara fisik dan orang-orang yang memilikikesempatan untuk mengaksessistem.
6
Gambar 1. Keamanan Database
Ancaman terhadap databasedapat mengakibatkanberkurangnya atau
bahkanhilangnya tujuan dari keamanandatabase, yaitu menjamin :integritas data,
ketersediaan data, dan kerahasiaan data.
1) Hilangnya integritas,mengacu pada kebutuhaninformasi yangdilindungi dari
modifikasiyang tidak benar. Modifikasidata meliputi penciptaan,penyisipan,
update,
mengubah
status
data,
danpenghapusan.
2) Kehilangan ketersediaan datamengacu pada penyediaaninformasi untuk
pengguna yang memiliki hak aksesyang sah.
3) Kehilangan kerahasiaan.Kerahasiaan databasemengacu pada perlindungan data
dari pengungkapan yangtidak sah.penyebab adanyagangguan dari database
bisaberasal dari dalam sistemkomputer maupun dari manusiasebagai pengguna
sistemkomputer. Dari dalam sistemkomputer yang digunakan,penyebabnya bisa
berasal dari :
a. Malware
Malware yang menyerang pada sistem dan jaringan komputer
bisamenyebabkan juga terjadinyagangguan pada server database.Gangguan
yang ditimbulkan bisaberupa terganggunya akses terhadaplayanan data dan
bahkan bisamerusak data-data pada computer maupun server database. Halhalberikut bisa menjadi ciri-ciriterjadinya gangguan akses terhadapdatabase
yang disebabkan olehmalware, antara lain :
1) Anti virus tidak berfungsi sepertiyang diharapkan.
2) Kegagalan membuka utilitassistem pada sisi client.
3) Lambatnya Respon CPU.
4) Sistem / Aplikasi crash.
b. Gangguan sistem jaringan computer
Salah satu faktor penting darikeamanan database adalahketersediaan dari
database itusendiri.Saat ini, hampir semuadatabase ditempatkan pada
7
mesinkhusus yang berupa server database.Untuk mengakses data-data
dalamdatabase, bisa dilakukan denganmenggunakan model client server.Pada
model client server, peranandari jaringan komputer sangatlahpenting.
Gangguan keamanan padajaringan komputer biasmengakibatkan gangguan
padalayanan database. Pengamatanpertama yang bisa dilihat padagangguan
adalah lamanya waktuyang dibutuhkan untuk mengaksesserver database,
bahkan koneksiterhadap database bisa terputus.Gangguan lain pada sistem
jaringanadalah terdapatnya prosespemindaian dan capture data-padayang
keluar masuk pada serverdatabase. Proses ini bisa terdeteksidengan
menggunakan tool IDSberbasis host pada server, maupunIDS berbasis
jaringan. Identifikasibisa dilakukan dengan melakukanpemeriksaan pada log
dari IDStersebut. Disamping memasang IDS,tool lainnya yang bisa
digunakanadalah snort, TCPdump, ettercap.
c. Kerentanan aplikasi database yangdigunakan
Konfigurasi dan manajemen patchadalah pendekatan prinsip
untukmemperbaiki kelemahan dari sistembasis data. Fitur-fitur default
dariaplikasi pembangun database harusdiubah. Identifikasi dapat
dilakukandengan melihatpatch yang pernahdilakukan dan memeriksa fiturfiturdefault dari sistem aplikasi database.
d. Kerentanan kode / program
Kerentanan
kode-kode
(program)yang
digunakan
untuk
mengaksesdatabase, dapat dimanfaatkan olehpenyerang untuk menembus
sistemkeamanan dari database. Kode-kodeitu meliputi kode-kode SQL
maupunkode-kode yang digunakan untukmembangun aplikasi dari
sistemdatabase.Pemeriksaan terhadapkode-kode itu bisa dilakukan
untukmengidentifikasi dari adanyagangguan keamanan pada database.Contoh
dari serangan pada rentannyakode-kode adalah SQL Injection,buffer overflow,
cross site scripting.
e. Kelalaian pengguna database.
Apabila
tidak
ditemukannya
adanyatanda-tanda
bahwa
penyebabnyaberasal pada sistem komputer, makaidentifikasi harus diarahkan
kepadapara
pengguna
sistem
komputer.Beberapa
perilaku
dari
penggunakomputer yang bisa membahayakankeamanan data, antara lain:
1) Penggunaan password yangsembarangan.Kerahasiaan password yangtidak
terjaga dengan baik, bisamengakibatkan password jatuhke pihak yang tidak
diinginkan. Akibatnya adalah pihak-pihakyang tidak memiliki akses kedalam
database dapat mengaksesdatabase tersebut. Dengandemikian maka pihak
tersebutakan
dengan
mudah
menguasaidatabase.
2) Lupa melakukan log off darisistem komputer.Kealpaan dalam melakukan
logoff pada sistem komputer dapatdimanfaatkan oleh pihak lainuntuk
mengambil dan bahkanmenghapus data-data pentingyang terdapat pada
sistemkomputer. Identifikasi dari kasusini bisa berupa ditolaknya
8
akseskedalam database (record telahdiubah atau dihapus), padahal tidak
ditemukannya gejalamalware, gangguan pada sistemjaringan komputer, dan
kerentanan
kodekode
SQL
danprogram
aplikasi
database
yangdigunakan.Sedangkan padakasus tercurinya database,identifikasi sulit
dilakukan,karena dampak dari pencuriandatabase tidak bisa dirasakansecara
langsung.Pemilik databaru menyadari bahwa data-datatelah tercuri apabila
pihakpencuri telah melakukan eksposeterhadap data-data yang telahdicuri
tersebut.Pada tahapidentifikasi ini, disampingmelakukan identifikasi
untukmengetahui penyebabterganggunya sistem database,juga dilakukan
identifikasiterhadap penting atau tidaknyadata / informasi yang
telahmengalami
gangguan.Hal
itu
dilakukan untuk melihat dampakyang diakibatkan olehterganggunya data /
informasiyang memiliki tingkatkerahasiaan tinggi.
Gambar 2.Summary of potentialthreats to computer systems
a) Penanggulangan Ancaman Pada Database
9
Penanggulangan terhadapancaman keamanan databaseyang digunakan
pada lingkunganmulti user dapat difokuskan pada2 hal, yaitu kontrol secara
fisiksistem komputernya danprosedur administrasi.
Gambar 3. Representation of atypical multi-user computerenvironment
Kontrol keamanan basis databerbasis komputer padalingkungan multi user
dapatdilakukan dengan beberapa cara,antara lain :
1. AuthorizationYaitu pemberian wewenangatau hak istimewa(priviledge) untuk
mengaksessistem atau obyek database.Kendali otorisasi dapatdibangun pada
perangkatlunak dengan 2 fungsi, yaitu :mengendalikan sistem atauobyek yang
dapat diaksesdan mengendalikanbagaimana penggunamenggunakannya. Dalam
halini, seorang sistemadministrasi yangbertanggung jawab untukmemberikan hak
aksesdengan membuat accountpengguna.
2. Access ControlsKontrol akses merupakanteknik keamanan yangdirancang
untuk mengatursiapa atau jadi apa dan apayang dilakukan padapenggunaan
sumber dayadalam lingkungan komputasi.Penggunaan kontrol aksesyang benar
membutuhkankolaborasi antara sistemadministrator danpengembang database.
3. ViewsMerupakan metodepembatasan bagi penggunauntuk mendapatkan
modeldatabase yang sesuai dengankebutuhan perorangan.Metode ini
10
dapatmenyembunyikan data yangtidak digunakan atau tidakperlu dilihat oleh
pengguna.
4. Backup And RecoveryBackup adalah proses secaraperiodik untuk
mebuatduplikat dari database danmelakukan logging file (atauprogram) ke
mediapenyimpanan eksternal.Sedang recovery merupakanupaya untuk
mengembalikanbasis data ke keadaaan yangdianggap benar setelahterjadinya
suatu kegagalan.Terdapat 3 jenis pemulihanpada saat terjadi kegagalan,antara lain
:
a) Pemulihan terhadapkegagalan transaksi, yaitukesatuan prosedur
dalamprogram yang dapatmengubah ataumemperbarui data padasejumlah
tabel.
b) Pemulihan terhadapkegagalan media, yaitupemulihan karenakegagalan
media dengancara mengambil ataumemuat kembali salinanbasis data
(backup).
c) Pemulihan terhadapkegagalan system, yaitupemulihan yangdilakukan
karena adanya gangguansistem, hang, listrikterputus alirannya.
5. IntegrityIntegritas juga memberikankontribusi dalam menjagakeamanan
database, gunamenjaga data tetap valid,sehingga sistem informasidapat
memberikan informasiyang benar dan akurat.
6. EncryptionUntuk melakukanpencegahan terhadapkemungkinan ancaman
dariluar (eksternal), makadipandang perlu dilakukanencode terhadap datadatayang bersifat sensitif. Saatini, beberapa DBMS telahmenyediakan fasilitas
untukmelakukan
encoding(enkripsi).DBMS
dapatmengakses
data
setelahdilakukan
decoding
terlebihdahulu
terhadap
data.Metode
enkripsi
dapat
membantudalam
keamanan
database,meskipun
ada
penurunankinerja karena penambahanwaktu yang digunakan untukmemecahkan
kode enkripsi.
7. Redundant Array ofIndependent Disks (RAID)technologyPerangkat keras yang
bekerjapada DBMS harus dapatberjalan dengan toleran,artinya DBMS harus
terusberoperasi bahkan jika salahsatu komponen hardwaremengalami
kegagalan.Komponen hardware yangharus dapat berjalan dengantoleran antara
laindisk drive,kontroler disk, CPU, pasokanlistrik dan kipas pendingin.Diantara
semua hardwaretersebut, disk drivemempunyai tingkatkerentanan yang
palingtinggi.Solusi
untukmengatasi
hal
tersebut
adalahpenggunaan
RedundantArray of Independent Disks(RAID) technology.RAIDtechnology
menggabungkanbeberapa hard disk fisik kedalam sebuah unit logispenyimpanan,
denganmenggunakan perangkat lunak atau perangkat keraskhusus.
b) Penanganan Terhadap InsidenDalam Keamanan Database
Penanganan suatu insidenditujukan untuk mencapai hal-halsebagai berikut:
1) Mengumpulkan informasisebanyak mungkin tentangsifat insiden;
11
2) Menghalangi atau mencegaheskalasi kerusakan yangdisebabkan oleh
insidentersebut, jika mungkin;
3) Memperbaiki kerusakan yangdisebabkan oleh insidentersebut;
4) Mengumpulkan bukti insidenitu, yang sesuai;
5) Memulihkan layanansesegera mungkin;
6) Mengambil langkah -langkah proaktif untukmengurangi insiden masadepan.
Supaya tujuan di atas dapatterlaksana dengan baik, makaperlu ditentukan
tahap-tahapuntuk melakukan penangananterhadap insiden yang terjadi. Tahaptahap tersebut dapatdigambarkan sebagai berikut:
1) Tahap Persiapan(Preparation) Langkah-langkah yang harusdiambilpada tahap
ini adalah: Penyiapan Personil (orang),Dokumen Kebijakan danProsedur
2) Tahap IdentifikasiTahap ini adalah tahap dimana penelusuran terhadapinsiden
yang terjadi padadata / database organisasimulai diidentifikasi.
3) Tahap Containmenttahap ini akan dilakukanpencegahan lebih lanjutterhadap
kerusakan ataukebocoran lebih lanjut daridata - data penting / rahasiadari
organisasi.
4)
Tahap
PemberantasanTahap
ini
merupakan
tahapanuntuk
melakukanpemberantasan terhadappenyebab dari terjadinyainsiden pada data /
database.
5) Tahap PemulihanPemulihan merupakan tahapuntuk mengembalikanseluruh
sistem bekerjanormal seperti semula.
6) Tahap Tindak LanjutTahap ini adalah fase dimana semua dokumentasi kegiatan
yang dilakukandicatat sebagai referensiuntuk dimasa mendatang.Fase ini dapat
memberikanmasukan kepada tahappersiapan untukmeningkatkan pertahanan.
Reverensi:
Gatot Susilo, (2016). “Keamanan Database Pada Sistem Informasi Di Era
Global” ¹Program Studi Sistem Informasi, STMIK Bina Patria Magelang Jl.
Raden Saleh No. 2, Magelang
12
BAB III
PENUTUP
3.1. Kesimpulan
Setelah penulis membuat makalah mengenai keamanan aplikasi dan
database server, maka didapat kesimpulan sebagai berikut :
1. Kerawanan yang paling berbahaya pada perusahaan besar yang memiliki
jaringan luas adalah pada aplikasinya, Menurut Eugene Lebanidze ada 10
besar kerawanan pada aplikasi, yaitu Unvalidated Input, Broken Access
Control, Broken Authentication dan Session Management, Cross Site
Scripting, Buffer Overflow, Injection Flaws, Improper Error Handling,
Insecure Storage, Denial of Service dan Insecure Configuration
Management.
2. Beberapa teknik untuk melakukan server hardening, Gunakan data
encryption untuk komunikasi, Hindari penggunaan protokol yang tidak
aman yang mengirim informasi atau password dalam bentuk plain text
(misalnya UDP), Hindari penggunaan software yang tidak diperlukan pada
server, Upgrade OS yang digunakan terutama security patches., Akun user
sebaiknya memiliki password yang cukup kuat dan lakukan penggantian
password secara berkala dan tidak menggunakan kembali password yang
pernah digunakan., Kunci akun ketika terjadi event dimana terlalu banyak
terjadi failure login.
3. Adapun Software untuk melakukan hardening yaitu Basille Linux, JASS
untuk Solaris systems, Syhunt Apache/PHP Hardener.
4. Ancaman
terhadap
databasedapat
mengakibatkanberkurangnya
atau
bahkanhilangnya tujuan dari keamanandatabase, yaitu menjamin :integritas
data, ketersediaan data,dan kerahasiaan data. Penyebab adanyagangguan
dari database bisaberasal dari dalam sistemkomputer maupun dari
manusiasebagai pengguna sistemcomputer. Kontrol keamanan basis
13
databerbasis komputer padalingkungan multi user dapatdilakukan dengan
beberapa cara,antara lain Authorizatio, Access Controls,Views, Backup And
RecoveryBackup, Integrity,Encryption dan Redundant Array ofIndependent
Disks (RAID)technology.
3.2. Saran
Dari kesimpulan diatas, maka dapat di berikan saran yang membangun
untuk kemajuan makalah ini :
1.
Untuk kedepannya sebaiknya makalah ditulis dengan lebih focus dan
detail dengan sumber-sumber yang lebih banyak yang tentunya dapat
dipertanggung jawabkan.
2.
Untuk lebih bisa dipahami terkait materi yang disajikan dalam makalah
ini, sebaiknya ditambahkan contoh studi kasus yang berkaitan dengan
pembahasan.
14
DAFTAR PUSTAKA
Gatot Susilo., 2016. Keamanan Database Pada Sistem Informasi di Era Global.
Jurnal Sistem Informasi. Magelang.
Sahari., 2018. Implementasi Sistem Keamanan Web Server Berbasis Distrolinux
Debian dan Mikrotik.Jurnal Universitas Putra Indonesia. Padang.
Susilo,T., 2018. Penerapan Algoritma Asimetris RSA Untuk Keamanan Data
Pada Aplikasi Penjualan CV. Sinergi Computer Lubuklinggau Berbasis
Web. Jurnal SIMETRIS.
15
Download