Contoh soal sistem keamanan jaringan beserta jawaban

SOAL QUIZ Sistem dan Keamanan Jaringan

Jawablah Pertanyaan di Bawah ini dengan rinci dan benar

1.      Jelaskan perbedaan Indentification, authentication dan authorization ?

                Jawab :  

a.       Indentification,adalah proses pemberian indentitas ke sistem pengendali akses, dimana user yang login menginput data berupa login user dan login password.

b.      Authentification, yaitu Meyakinkan keaslian data, sumber data, orang yang mengakses data, server  yang digunakan: what you have (identity card) ,what you know (password, PIN) , what you are (biometric identity)

c.       Authorization, merupakan suatu proses untuk memberikan izin kepada seseorang untuk melakukan atau memberikan sesuatu. Hal ini berarti untuk membuat seseorang dapat mengakses sesuatu, orang tersebut harus terlebih dahulu diotentifikasi. Dengan kata lain otentifikasi dikerjakan terlebih dahulu sebelum otorisasi. Sebenarnya otentifikasi dari suatu entiti atau identitas, tidak selalu diperlukan dalam otorisasi, jika otorisasi dapat divalidasi dengan cara lain.

2.      Jelaskan gambar di bawah ini.

Jawab :

a.    Vulnerability (kerentanan) yaitu kelemahan dalam mekanisme yang dapat mengancam kerahasiaan, integritas atau ketersediaan aset.

b.    Threat  (ancaman) yaitu seseorang mengungkap kerentanan dan memanfaatkannya.

c.    Risk  (risiko) yaitu probabilitas ancaman menjadi nyata dan sesuai potensi kerusakan.

d.   Exposure (paparan) yaitu ketika agen ancaman mengeksploitasi kerentanan.

e.    Countermeasure (tindakan balasan) yaitu sebuah kontrol dilakukan untuk mengurangi potensi kerugian.

               Kelemahan keamanan pada satu mekanisme sistem dapat mengancam kerahasiaan, integritas atau availabilitas dari suatu program data. Seseorang akan mengekploitasi kerentanan untuk mengungkap kelemahan dan memanfaatkannya. Probabilitas ancaman menjadi nyata dansesuai potensi kerusakan. Ancaman yang terjadi bisa merusak aset dan menimbulkan kerugian. Ketika satu agen ancaman memanfaatkan kelemahan sistem maka perlu ada tindakan balasan sebagai antisipasi keamanan. Sebuah kontrol harus dilakukan untuk mengurangi resiko ancaman dan potensi kerugian.

3.      Jelaskan apa perbedaan Policy (kebijakan) dengan prosedur ?

              Jawab :

a.         Policyatau kebijakan keamanan adalah wujud nyata dari pernyataan dan visi manajemen keamanan yang menjadi elemen dasar bagi penerapan kebijakan keamanan yang didokumenkan. Kebijakan memberikan arahan yang jelas untuk upaya taktis dan administrasi. Anatomi kebijakan keamanan meliputi pembahasan tentang pernyataan misi, unsur keamanan organisasi, isu spesifik elemen kebijakan yang menargetkan bidang yang menjadi perhatian dan system spesifik elemen kebijakan.

b.         Prosedurmerupakan langkah-langkah detail yang perlu diikuti untuk melaksanakan tugas-tugas menjalankan kebijakan/policy. Tujuan dari prosedur adalah menyediakan langkah detail yang dilakukan oleh setiap orang dalam mengimplementasikan kebijakan atau policy, standar, dan panduan yang telah dibuat sebelumnya.

 Dengan demikian kebijakan (policy) keamanan mendefinisikan tujuan, standar, landasan dan pedoman yang memberikan metode yang akan digunakan untuk mencapai tujuan. Sedangkan prosedur mentransforamsi kebijakan (policy) menjadi tugas - tugas yang ditindak lanjuti, memberikan langkah demi langkah untuk memastikan bahwa organisasi tetap sesuai dengan kebijakan keamanan.

4.      Jelaskan apa yang dimaksud dengan CIA (Confidentiality, Integrity, Availability) dan sebutkan jenis ancaman yang dapat mengganggu CIA ?

Jawab :

a.       Confidentiality adalah informasi dan data pada sistem komputer terjamin kerahasiaannya, hanya dapat diakses oleh pihak-pihak yang diotorisasi, keutuhan serta konsistensi data pada system tersebut tetap terjaga.

b.      Integrity adalah menjamin konsistensi dan menjamin data tersebut sesuai dengan aslinya. Bahwa data tidak boleh diubah (modified) oleh pihak yang tidak berhak.

c.       Availability adalah menjamin pengguna yang sah untuk selalu dapat mengakses informasi dan sumber daya yang diotorisasi. Untuk memastikan bahwa orang-orang yang memang berhak untuk mengakses informasi yang memang menjadi haknya.

d.      Jenis Ancaman pada CIA

Confidentiality	Integrity	Availability
Penyadapan atas data, dengan cara teknis: sniffing /logger, virus maupun non teknis dengan social engineering. Virus juga dapat merusak data dan menyembunyikannya.	Pengubahan data oleh pihak yang tidak berhak (spoofing), Virus yang dapat juga merubah data.	Peniadaan layanan (denial of service Dos, distributed denial of service Ddos), atau menghambat layanan (respon server menjadi lambat), malware, worm dan lain-lain.

5.      Jelaskan apa fungsi security awareness dan berikan contoh security awareness ?

Jawab :

Security awareness atau kesadaran akan keamanan adalah pengetahuan dan sikap dari setiap orang dalam organisasi terhadap kepedulian keamanan aset informasi dan data dari organisasi tersebut. Menjadi sadar terhadap keamanan sistem berarti memahami bahwa ada potensi bagi ancaman yang sengaja atau tanpa sengaja mencuri, melakukan pengrusakan, atau penyalahgunaan data yang disimpan dalam sistem komputer perusahaan dan seluruh organisasi. Oleh karena itu, maka akan lebih bijaksana untuk mendukung aset lembaga (informasi, fisik, dan pribadi) dengan mencoba untuk menghentikan hal itu terjadi.

Contoh security awareness :

a.       Data dan informasi dalam media yang sudah tidak digunakan lagi misalnya dalam harddisk komputer yang rusak hendaknya dihancurkan, agar tidak dapat dibaca oleh orang yang tidak berhak.

b.      Kebijakan terhadap password dan penggunaan otentikasi dua faktor.

c.       Masing-masing pengguna dibiasakan untuk selalu logout dari aplikasi dan tidak meninggalkan dalam keadaan masih login.

d.      Menyimpan username dan kata sandi untuk login ke berbagai aplikasi dengan baik dantidak memberikan informasi tersebut kepada orang lain.

6.      Jika kita ingin mengimplementasi kontrol akses Biometrics, sebaiknya kita perhatikan False Rejection Rate dan False Acceptance Rate . Jelaskan apa arti kedua istilah ini. ?

Jawab :

a.       False Rejection Rate (FRR) adalah suatu kondisi untuk ukuran/tingkatan dimana data yang diinput oleh user ditolak oleh mesin kontrol akses biometrik sedangkan data yang dimasukkan adalah data yang benar. Sistem mungkin menolak subjek yang memiliki otoritas. Diakibatkan karena rendahnya pengaturan untuk FRR.

b.      False Acceptance Rate (FAR) adalah suatu kondisi untuk ukuran/tingkatan dimana data yang diinput oleh user diterima oleh mesin kontrol akses biometrik sedangkan data yang dimasukkan adalah data yang salah. Sistem mungkin menerima subjek yang tidak memiliki otoritas. Diakibatkan karena rendahnya pengaturan FAR.

Permasalahan pada biometrik adalah ketika sensitifitas sistem biometric diatur untuk menurunkan FRR, maka FAR meningkat. Begitu juga berlaku sebaliknya. Posisi pengaturanyang terbaik adalah bila nilai FRR dan FAR seimbang.

7.      Jelaskan kenapa perusahaan atau organisasi perlu membuat data classification policy ?

Jawab :

Data classification adalah kategorisasi atau klasifikasi data untuk penggunaan yang paling efektif dan efisien. Dalam pendekatan dasar untuk penyimpanan data komputer, data dapat diklasifikasikan menurut nilai kritis dan kepentingannya atau seberapa sering perlu diakses.Jenis klasifikasi cenderung untuk mengoptimalkan penggunaan penyimpanan data untuk beberapa tujuan: teknis, administratif, hukum, dan ekonomi. Dengan klasifikasi data yang ada pada setiap perusahaan atau organisasi dimana memiliki dokumen-dokumen rahasia, baik itu dokumen keuangan, rancangan atau dokumen yang memiliki hak paten sendiri, maka akan sangat membantu dalam mengidentifikasi informasidan data yang sensitif dan penting serta menunjukkan komitmen terhadap keamanan informasi.

Dengan demikian dibutuhkan sebuah keamanan untuk mengelola dokumen tersebut agar tetapaman, sehingga data classification policy sangat berguna untuk melindungi dokumen-dokumen tersebut dari suatu kebijakan pengamanan data di dalamnya, hak penciptaan hingga dapat mengontrol keabsahan dokumen-dokumen yang ada, dan juga untuk menjaga dokumen dari aktifitas di luar perusahaan yang menyalahgunakan dokumen atau memalsukannya. Juga dengan menerapkan data classification policy akan mendukung terwujudnya CIA (Confidentiality, Integrity, Availability) serta sebagai salah satu alasan untuk peraturan hukum.

8.      Jelaskan apa yang dimaksud dengan segregation of dutie, least privilege dan singlesign on ?

Jawab :

a.       Segregation of duties adalah suatu kegiatan pemisahan tugas yang dilakukan agar tidak terjadinya penunpukan tugas dan tidak terjadinya antrian yang berarti, hal ini di lakukan untuk menghindari terjadinya sebuah proses yg dapat menghentikan sebuah kegiatan atau tugas yg berjalan yang di akibatkan tingginya frekuensi tugas yg harus di selesaikan sedangakan sistem tidak mampu untuk menyelesaikan tugas-tugas dengan cepat.

b.      Least privilege adalah prinsip yang menyatakan bahwa setiap proses dan user/pengguna suatu sistem komputer harus beroperasi pada level/tingkatan terendah yang diperlukan untuk menyelesaikan tugasnya. Dengan kata lain setiap proses dan user hanya memiliki hak akses yang memang benar-benar dibutuhkan. Hak akses harus secara eksplisit diminta, ketimbang secara default diberikan.Tindakan seperti ini dilakukan untuk mengantisipasi kerusakan yang dapat ditimbulkan oleh suatu penyerangan.

c.       Single sign on adalah sebuah sistem authentifikasi terhadap user dengan sekali login akan bias mengakses beberapa aplikasi tanpa harus login di masing-masing aplikasi.

Memiliki 2 bagian yaitu Single Sign On (login satu aplikasi, maka aplikasi lain yang didefinisikan ikut dalam SSO otomatis akan bisa diakses) dan Single Sign Out (log out di satu aplikasi, maka semua aplikasi yang didefinisikan ikut dalam SSO akan ikut logout secaraotomatis).

9.      Jelaskan langkah-langkah dalam melakukan analisa kebutuhan keamanan ( security requirement analysis ) dengan menggunakan metode SQUARE. ?

Jawab :

Metodologi SQUARE (System Quality Requirements Engineering) adalah sembilan langkah proses yang dikembangkan untuk membantu organisasi atau lembaga menjamin keamanandan keberlangsungan sistem dan aplikasi berbasis Teknologi Informasi dalam sebuah Sistem Manajemen Aset. Proses ini meliputi proses mengidentifikasi dan menilai serta teknik untuk melakukan identifikasi kebutuhan, analisis, spesifikasi, dan manajemen. Metodologi SQUARE juga berfokus pada isu-isu manajemen yang terkait dengan perkembangan keamanan dan persyaratan privasi sistem TI yang baik.

Step 1: Definitions

Mendeskripsikan perangkat lunak yang dibangun dan mendefinisikan istilah-istilah keamanan informasi untuk sistem yang akan dianalisis yang disepakati di dalam organisasi.

Step 2: Safety and Security Goals

Menganalisis tujuan dan persyaratan keamanan sistem yang diperlukan oleh organisasi untuk memastikan keamanan secara keseluruhan sistem dan ketersediaan (availability) setiap saat.

Step 3: System Architecture

Menjelaskan arsitektur aplikasi yang dibangun. Arsitekturnya dapat berupa arsitektur aplikasi, data dan jaringan.

Step 4: Use Case

Menggambarkan diagram Use Case aplikasi menggunakan UML dan menjelaskannya dalam tabel use case untuk masing-masing kasus penggunaan. Use Case memberikan garis besar fungsi sistem dari perspektif pengguna, dengan klasifikasi hak istimewa tingkat pengguna dengan Access Control List (ACL). Penggambaran untuk use case meliputi:

a.              pengguna yang berinteraksi dengan sistem, digambarkan sebagai seorang actor.

b.             deskripsi tujuan yang akan dicapai melalui kasus penggunaan.

c.              asumsi yang  harus dipenuhi untuk kasus penggunaan akan selesai dengan sukses.

d.             daftar langkah-langkah yang sebenarnya antara aktor dan system.

e.              variasi atau alternatif cara untuk mencapai tujuan.

f.              non-fungsional bahwa use case harus memenuhi, seperti kinerja atau keandalan.

Step 5: Misuse Case

Mengidentifikasi kemungkinanan ancaman dan kasus potensi penyalahgunaan aplikasi yang disepakati dalam organisasi. Tujuannya adalah untuk mengetahui kerentanan dalam aplikasi yang ada dan memberikan rekomendasi arsitektur dan kebijakan dalam mengurangi kerentanan untuk mengamankan komponen kritis Sistem Manajemen Aset. Digambarkan dalam bentuk diagram misuse case.

Step 6: Attack Tree

Attack tree adalah pendekatan formal untuk memeriksa kasus penyalahgunaan dan untuk memverifikasi bahwa rekomendasi arsitektur misuse case atau kasus penyalahgunaan dan kebijakan yang diambil cukup dapat mengatasi semua potensi kerentanan yang dapat menyebabkan terjadinya penyalahgunaan. Attack tree merupakan representasi hirarkis, banyak jenis pelanggaran keamanan yang didasarkan kepada misuse case. Setiap skenario di attack tree diperiksa secara rinci untuk melihat apakah ada sekumpulan rekomendasi yang cukup dapat mengurangi risikonya. Jika ada skenario yang saat ini tidak tercakup, tambahan arsitektur dan/atau rekomendasi kebijakan perlu dipertimbangkan dan ditambahkan ke daftar rekomendasi. Dengan kata lain,attack tree adalah visualisasi rinci misuse case dan elemen penting dari validasi untuk arsitektur dan rekomendasi kebijakan dari misuse case.

Step 7: Prioritization

Tahap metodologi SQUARE difokuskan pada prioritas persyaratan keselamatan dan keamanan. Untuk memprioritaskan persyaratan keselamatan dan keamanan digunakan misuse case dan kategorinya untuk menentukan misuse casemana yang paling penting untuk menjamin survivabilitas dari Sistem Manajemen Aset. Dengan mengevaluasi setiap misusecase atau kasus penyalahgunaan dan atributnya, akan mampu membuat daftar prioritas kerentanan dan penyalahgunaan yang merugikan Sistem Manajemen Aset.

Step 8: Categorizing and Detailing Recommendation

Membuat daftar kategori dan memberikan rekomendasi detail terhadap arsitektur dan kebijakan persyaratan penerapan keamanan system. Semua solusi teknis yang ada kemudian diteliti berdasarkan pada tingkatan prioritas misuse case, yang akan menyediakan semua yang diperlukan, mula darii langkah demi langkah keamanan dan teknis dalam rangka implementasi pada komponen inti dari Sistem Manajemen Aset.

Step 9: Budgeting and Analisis

Dalam situasi ideal, semua misuse case atau kasus penyalahgunaan yang diprioritaskan (tinggi, menengah dan rendah) akan diatasi dan diselesaikan untuk melindungi Sistem Manajemen Aset. Namun, karena keterbatasan jumlah sumber daya yang tersedia, hanya bagian tertentu dari misuse case dan secara inheren, arsitektur dan kebijakan rekomendasi harus dipilih.Untuk mengoptimalkan bagian ini, model matematika dirumuskan untuk memecahkan kombinasi terbaik dari misuse case. Hasilnya dalam tabel yang mereferensikan use case mana yang harus ditangani berdasarkan anggaran yang tersedia.

10.   Jelaskan pengertian tentang cryptografi ?

Jawab :

Kriptografi adalah suatu ilmu yang mempelajari bagaimana cara menjaga agar data atau pesan tetap aman saat dikirimkan, dari pengirim ke penerima tanpa mengalami gangguan dari pihak ketiga. Menurut Bruce Scheiner dalam bukunya "Applied Cryptography", kriptografi adalah ilmu pengetahuan dan seni menjaga message-message agar tetap aman (secure).

Kriptografi adalah cabang dari ilmu matematika yang memiliki banyak fungsi dalam pengamanan data. Kriptografi adalah proses mengambil pesan/message dan menggunakan beberapa fungsi untuk menggenerasi materi kriptografis (sebuah digest atau
message terenkripsi).

Kriptografi, secara umum adalah ilmu dan seni untuk menjaga kerahasiaan berita [bruce Schneier - Applied Cryptography]. Selain pengertian tersebut terdapat pula pengertian ilmu yang mempelajari teknik-teknik matematika yang berhubungan dengan aspek keamanan informasi seperti kerahasiaan data, keabsahan data, integritas data, serta autentikasi data [A. Menezes, P. van Oorschot and S. Vanstone - Handbook of Applied Cryptography]. Tidak semua aspek keamanan informasi ditangani oleh kriptografi.

Semoga bermanfaat, Terimakasih

=====BONUS =====