Ancaman Pada Physical Security
Sebelum memulai berbagai macam investigasi dan antisipasi terhadap keamanan, kita
perlu mengetahui aspek apa saja dari lingkungan yang bisa mengancam infrastruktur
komputer. Ketika analisa resiko atau penilaian dampak bisnis dilakukan, ancaman yang
mungkin terjadi harus didaftarkan. Tidak peduli kemungkinan terjadinya kerawanan
tersebut rendah atau tidak mungkin, daftar semua ancaman yang mungkin harus disusun.
Beberapa metode assessment seperti CMM atau IAM membuat praktisi melakukan
penyusunan daftar yang lengkap atas kemungkinan terjadinya ancaman keamanan fisik.
Ketiga aspek CIA juga merupakan resiko yang harus dilindungi oleh keamanan fisik.
Beberapa contoh resiko CIA dalam keamanan fisik
adalah seperti berikut ini:
i. Interupsi dalam menyediakan layanan komputer—ketersediaan
ii. Kerusakan fisik—ketersediaan
iii. Keterungkapan informasi—kerahasiaan
iv. Kehilangan kendali atas sistem—keutuhan
v. Pencurian—kerahasiaan, keutuhan, dan ketersediaan
Sedangkan beberapa contoh ancaman terhadap keamanan fisik di antaranya:
Emergensi
- Kebakaran dan kontaminasi asap
- Kerusakan bangunan
- Kehilangan fasilitas utilitas /infrastruktur (listrik, AC, dan pemanas)
- Kerusakan jaringan air (perusakan Pipa)
- Limbah atau bahan beracun
Bencana Alam
- Aktivitas pergerakan bumi (gempa, longsor)
- Kerusakan oleh badai (salju, es, dan banjir)
Intervensi Manusia
- Sabotase
- Vandalisme
- Perang
- Serangan
Donn B.Parker dalam Fighting Commputer Crime (Wiley,1998) telah menyusun daftar
yang sangat komprehensif yang ia sebut tujuh sumber utama yang menyebabkan
kerugian fisik dengan contohnya masing-masing:
1. Temperatur
Suhu panas dan dingin yang bervariasi secara ekstrim seperti sinar matahari,
api, pembekuan, dan pemanasan
2. Gas
Termasuk di dalamnya adalah gas yang digunakan dalam perang, gas
komersial, kelembapan, udara kering, dan partikel mengambang. Sebagai
contoh adalah gas Sarin (gas saraf), asap, kabut, cairan pembersih, uap bahan
bakar, dan partikel kertas dari printer.
3. Cairan
Meliputi air dan bahan kimia. Contohnya adalah banjir, kebocoran pipa air
ledeng, endapan salju, kebocoran bahan bakar, minuman yang tumpah, bahan
kimia pembersih asam dan basa, dan cairan printer.
4. Organisme
Virus, bakteri, manusia, binatang, dan serangga. Misalnya adalah sakitnya
pegawai penting, jamur, kontaminasi minyak dari kulit dan rambut,
kontaminasi cairan tubuh organisme, dan korslet microcircuit akibat jaring
laba-laba
5. Proyektil
Obyek nyata yang bergerak cepat dengan tenaga seperti meteor, benda jatuh,
mobil dan truk, peluru dan roket, ledakan, dan angin.
6. Pergerakan bumi
Keruntuhan, kemiringan, goncangan akibat gempa bumi dan lainnya, getaran,
aliran lava, gelombang laut, dan tanah longsor yang dapat mengakibatkan
jatuhnya atau berguncangnya perangkat yang rentan goncangan sehingga
menjadi rusak.
7. Anomali energi
Berbagai tipe anomali listrik adalah gelombang listrik, magnetisme, listrik
statik, radiasi, gelombang suara, cahaya, radio, microwave, atom, dan
elektromagmetik. Contohnya adalah kegagalan elektrik, kedekatan dengan
sumber magnet dan elektromagnet, listrik statik dari karpet, penghancuran
kertas dan disk magnetik, Electro-Magnetik Pulse (EMP) dari ledakan nuklir,
laser, loudspeaker, senjata High-Energy Radio Frequency (HERF), sistem
radar, radiasi kosmik, dan ledakan.
Kontrol atas Physical Security
Ada beberapa area dalam kontrol keamanan fisik. Secara umum, kontrol ini harus sesuai
dengan ancaman yang terdaftar. Dalam bab ini, kontrol keamanan fisik dibagi dalam 3
grup: kontrol administratif, kontrol lingkungan dan keamanan hidup, serta kontrol fisik
dan teknis.
Kontrol Administratif
Kontrol administratif, sebagai lawan dari kontrol fisik dan teknis, adalah area
perlindungan keamanan fisik yang dilakukan dengan langkah-langkah administratif.
Langkah ini mencakup prosedur emergensi, kontrol personel (dalam area sumber daya
manusia), perencanaan, dan penerapan kebijakan. Di bawah ini adalah pembahasan
elemen kontrol administratif yang terdiri dari perencanaan kebutuhan fasilitas,
manajemen keamanan fasilitas, dan kontrol personel administratif.
Perencanaan Kebutuhan Fasilitas
Perencanaan kebutuhan fasilitas adalah konsep akan perlunya perencanaan kontrol
keamanan fisik pada tahap awal dari pembangunan fasilitas data. Beberapa elemen
keamanan fisik dalam tahap pembangunan meliputi memilih dan merencanakan lokasi
site yang aman.
Memilih Site yang Aman
Lokasi lingkungan dari fasilitas juga menjadi pertimbangan dalam perencanaa awal.
Beberapa pertanyaan yang perlu dipertimbangkan di antaranya :
- Visibilitas
Lingkungan bertetangga seperti apa sebuah lokasi diajukan? Akankah lokasi
tersebut memiliki penanda eksternal yang akan mencirikannya sebagai area yang
sensitif? Visibilitas yang rendah adalah keharusan.
- Pertimbangan Lokasi
Apakah tempat yang diajukan berlokasi dekat dengan sumber bahaya (sebagai
contoh, tempat pembuangan sampah)? Apakah daerah tersebut memiliki tingkat
kriminalitas tinggi?
- Bencana Alam
Apakah tempat tersebut memiliki kemungkinan terjadinya bencana alam yang
lebih tinggi dibanding daerah lainnya? Bencana alam bisa termasuk kendala cuaca
(angin, salju, banjir, dsb) dan keberadaan lempengan gempa bumi.
- Transportasi
Apakah lokasi tersebut memiliki masalah akibat lalu lintas darat, laut, atau udara
yang berlebihan?
- Persewaan bersama
Apakah akses terhadap kontrol lingkungan atau HVAC (heating, ventilation and
air conditioning) dipersulit dengan adanya tanggungjawab bersama? Sebuah data
center tidak boleh memiliki akses penuh ke sistem ketika keadaan emergensi
terjadi.
- Layanan Eksternal
Berapakah jarak lokasi dengan layanan emergensi, seperti polisi, pemadam
kebakaran, rumah sakit, atau fasilitas medis?
Merancang Site yang Aman
Area sebuah sistem informasi adalah fokus utama dalam kontrol fisik. Contoh area yang
perlu mendapat perhatian selama tahap perencanaan pembangunan adalah
- Tembok
Keseluruhan tembok, dari lantai hingga langit-langit, harus memiliki standar
keamanan terhadap kebakaran yang cukup. Lemari atau ruangan yang dijadikan
tempat penyimpanan media harus memiliki standar yang tinggi.
- Langit-langit
Masalah yang dipertimbangkan adalah standar kemampuan menahan beban dan
standar keamanan terhadap kebakaran
- Lantai
Berikut ini adalah hal yang perlu diperhatikan mengenai lantai:
Lempengan, Jika lantai adalah lempengan beton, pertimbangannya adalah beban
yang sanggup didukung (disebut sebagai loading, yang biasanya adalah 150 pon
per kaki persegi), dan ketahanannya terhadap api.
Raised, ketahanannya terhadap api, dan materinya yang tidak menghantarkan
listrik menjadi pertimbangan.
- Jendela
Jendela biasanya tidak dibuat pada sebuah data center. Jika ada, jendela harus
tembus cahaya dan anti pecah.
asalkan mencantumkan pernyataan hak cipta ini
- Pintu
Pintu pada sebuah data center harus tahan terhadap pembobolan, dan memiliki
ketahanan terhadap api yang sama seperti pada tembok. Jalan keluar darurat harus
dicirikan dengan jelas, terawasi/termonitor, dan beralarm. Ketika emergensi,
kunci pintu elektrik harus dalam keadaan tidak dapat digunakan jika daya listrik
lumpuh agar memungkinkan evakuasi yang aman. Meskipun hal ini dianggap
sebagai masalah bagi keamanan, keselamatan personel harus didahulukan, dan
pintu ini harus dijaga dalam keadaan darurat.
- Pemancar Air
Lokasi dan tipe sistem pemadaman api harus direncanakan.
- Jaringan pipa dan gas
Katup pipa air dan gas di seluruh bangunan harus diketahui. Begitu pula drainase
yang baik, yaitu yang mengalir ke luar bangunan, sehingga tidak membawa zat
kontaminan ke dalam bangunan
- AC
Sumber daya listrik untuk AC harus disediakan khusus, dan diketahui dimana
lokasi saklar EPO (Emergency Power Off)-nya. Sebagaimana halnya drainase air,
udara dari sistem pendingin harus mengalir keluar dengan tekanan udara yang
positif, serta memiliki ventilasi yang melindungi fasilitas dari udara yang
mengandung racun.
- Kebutuhan Kelistrikan
Fasilitas harus memiliki sumber daya listrik cadangan dan alternatif yang layak.
Kontrol akses terhadap panel distribusi listrik harus dijaga.
Manajemen Keamanan Fasilitas
Manajemen keamanan fasilitas terdiri dari jejak audit dan prosedur emergensi. Keduanya
adalah elemen kontrol keamanan administratif yang tidak berhubungan dengan
perencanaan awal penentuan site yang aman, namun dibutuhkan sebagai dasar
operasionalnya.
Jejak Audit
Jejak audit atau log audit adalah rekaman kejadian. Sebuah sistem komputer dapat
memiliki beberapa jejak audit, yang masing-masing fokus pada jenis kegiatan tertentu—
seperti mendeteksi pelanggaran keamanan, masalah kinerja serta mendeteksi cacat desain
dan pemrograman dalam aplikasi. Dalam domain keamanan fisik, jejak audit dan log
kontrol akses adalah penting karena manajemen perlu mengetahui dari mana usaha akses
ke sistem dilakukan dan siapa pelakunya.
Jejak audit atau log akses harus merekam hal berikut:
- Tanggal dan tempat usaha akses
- Apakah usaha akses berhasil
- Dimana akses diberikan (contoh: pintu yang mana)
- Siapa yang mengusahakan akses
- Siapa yang mengubah hak akses pada level supervisor
Beberapa sistem jejak audit dapat mengirimkan alarm atau tanda pada personel jika usaha
ada akses yang berkali-kali gagal dilakukan.
Jejak audit dan log akses adalah pendeteksian dan bukan pencegahan. Keduanya tidak
dapat menghentikan penyusupan—meskipun diketahui bahwa jejak audit dari usaha
akses yang disusun mungkin mempengaruhi penyusup untuk tidak melakukan usaha
asalkan mencantumkan pernyataan hak cipta ini
akses. Bagaimanapun, jejak audit menolong seorang administrator merekonstruksi detail
penyusupan setelah kejadian.
Prosedur Emergensi
Implementasi prosedur emergensi dan pelatihan pegawai serta pengetahuan akan
prosedur adalah bagian penting dari kontrol fisik administratif. Prosedur-prosedur ini
harus didokumentasikan dengan jelas, siap akses (termasuk salinan yang disimpan di
tempat lain pada kejadian bencana), dan di-update secara periodik.
Elemen administrasi prosedur emergensi harus mencakup hal berikut:
- Prosedur shutdown sistem darurat
- Prosedur Evakuasi
- Pelatihan pegawai, pendalaman pengetahuan secara periodik
- Testing sistem dan peralatan secara periodik
Kontrol Personel Administratif
Kontrol personel administratif mencakup proses administratif yang biasa
diimplementasikan oleh departemen SDM selama perekrutan dan pemecatan pegawai.
Contoh kontrol personel yang diterapkan adalah sebagai berikut:
- Screening pra kepegawaian:
Pengecekan sejarah kepegawaian, pendidikan, dan referensi. Penyelidikan latar
belakang atau penghargaan untuk posisi yang penting dan sensitif
- Pengawasan kepegawaian
Kejelasan tingkat keamanan—dibuat jika pegawai memiliki akses ke dokumen
rahasia. Penilaian atau review pegawai oleh penyelia mereka
- Prosedur pasca kepegawaian
Wawancara ketika pegawai keluar. Penghapusan akses ke jaringan dan
penggantian password. Pengembalian inventaris komputer dan laptop.
Kontrol Lingkungan dan Keselamatan Hidup
Kontrol lingkungan dan keselamatan hidup dianggap sebagai kontol kemanan fisik yang
dibutuhkan untuk menjamin baik lingkungan operasi komputer maupun lingkungan
operasi personel. Hal di bawah ini adalah tiga area utama dari kontrol lingkungan:
Daya Listrik
Sistem kelistrikan adalah darah bagi pengoperasian komputer. Suplai listrik kontinyu
yang bersih dan stabil dibutuhkan untuk memelihara lingkungan personel yang layak dan
juga pengoperasian data. Banyak hal yang mengancam sistem daya listrik, yang paling
umum adalah noise, brownout, dan kelembapan
Noise, Noise dalam sistem kelistrikan mengacu pada adanya radiasi listrik dalam sistem
yang tidak dikehendaki dan berinterferensi dengan listrik yang bersih. Beberapa masalah
daya listrik telah dibahas dalam Bab 3,”Keamanan Jaringan dan Telekomunikasi”, seperti
UPS (Uninterruptable Power Supplies), dan daya listrik cadangan. Dalam bab ini akan
dibahas lebih detil mengenai tipe masalah kelistrikan dan solusi yang direkomendasikan
Ada beberapa jenis noise, yang paling umum adalah Electromagnetic Interference (EMI)
dan Radio Frequency Interference (RFI). EMI adalah noise yang disebabkan oleh adanya
radiasi akibat perbedaan tegangan listrik antara tiga kabel listrik—hot wire, kabel netral,
dan kabel ground. Dua tipe EMI yang umum disebabkan oleh sistem kelistrikan:
- common-mode noise. Noise dari radiasi yang dihasilkan oleh perbedaan tegangan
antara hot wire dan kabel ground
- traverse-mode noise. Noise dari radiasi yang dihasilkan oleh perbedaan tegangan
antara hot wire dan kabel netral.RFI dihasilkan oleh komponen-komponen dalam
sebuah sistem kelistrikan, seperti radiasi kabel listrik, pencahayaan dengan
fluoresens, dan pemanas listrik. RFI bisa menjadi masalah serius karena tidak
hanya tidak hanya menginterferensi komputer, tapi juga bisa mengakibatkan
kerusakan permanen pada komponen yang sensitif.
Beberapa tindakan perlindungan terhadap noise di antaranya adalah:
- Pengkondisian jaringan sistem kelistrikan
- Grounding yang baik
- Membatasi kedekatan dengan magnet, cahaya fluorensens, motor listrik, dan
pemanas.
Biometrics
Keamanan di internet merupakan suatu permasalahan besar sejak dunia
diperkenalkan dengan trend e-commerce pada tahun 1994, dengan dibukanya
situs-situs belanja pertama dan internet banking. Seiring dengan kecepatan
informasi yang tersebar karena kemudahan yang ditawarkan oleh internet,
informasi mengenai kelemahan sistem jaringan tersebut serta cara
memanfaatkannya juga tersebar pula dalam komunitas bawah tanah mereka
yang ingin memanfaatkannya. account Internet yang berbeda-beda, apalagi jika praktek keamanan yang
dianjurkan adalah menggunakan password yang berbeda-beda untuk tiap peranti.
Belum lagi jika kita mempunyai beberapa kartu ATM yang tentunya juga
memerlukan pengamanan berupa PIN. Keamanan dengan sistem biometrik
bekerja atas dasar ciri-ciri fisik pelaku (orangnya). Beberapa yang sudah
dikembangkan diantaranya adalah dengan sidik jari, telapak tangan, wajah ,
retina dan suara.
Pengamanan dengan Sidik Jari
Sensor sidik jari sepertinya sudah tidak asing lagi penggunaannya. Dewasa ini
banyak hardware yang ada dipasaran menggunakan pengamanan dengan sidik
jari. Salah satu yang paling banyak adalah sistem presensi dengan sidik jadi.
Bahkan pengamanan biometrik ini sudah merambah pula ke note book. Sebagai
contoh IBM ThinkPad T42 menggunakan pengamanan sidik jari pada alas
pergelangan tangan yang didukung sejumlah peranti di dalam notebook yang
disebut sebagai Embedded Security Subsystem. Baru-baru ini Hawlet Packard
pun menyusul menggunakan teknologi yang sama untuk laptopnya.
Pengamanan dengan Pengenalan Wajah
Sistem pengenalan wajah sebagai kunci (password) menggunakan ekspresi
seseorang yang tanpa dibuat-buat (dramatic) atau dengan kata lain relaxed face.
Para psikolog menggolongkan ekspresi wajah ini, secara universal ke dalam 6
(enam) bentuk yakni: happines, sadness, disgust, anger, surprise dan fear. Dari
enam ekspresi wajah ini, dapat dibangun suatu sistem yang dapat memahami
dan melakukan komunikasi. Sistem analisis ekspresi wajah tersebut ditekankan
pada enam ungkapan secara universal, bedasarkan pada gerakan muka dan
aktifitas otot. Sistem pendeteksian wajah yang terdiri dari enam bagian titik
dianggap paling dapat dipercaya untuk digunakan.
Pengamanan dengan Retina
Salah satu bagian tubuh manusia yang bersifat unik dan bisa dijadikan sebagai
media pengamanan adalah iris atau selaput pelangi pada mata manusia. Letak
selaput pelangi ini berada antara kornea dan lensa mata. Selaput pelangi ini
sendiri akan terlihat oleh mata telanjang dari luar mata dan memiliki pola tertentu.
Dari pola yang dimiliki oleh selaput pelangi ini, ternyata setiap orang mempunyai
pola yang unik. Selain unik pola ini juga memiliki kekonsistenan dan kestabilan
yang tinggi bertahun-tahun tanpa mengalami perubahan. Dari kondisi ini maka
para ahli mata mengusulkan bahwa iris ini dapat dijadikan seperti sidik jari untuk
identitas pribadi seseorang.
Pengolahan Citra
Dari metode pengamanan yang telah dijelaskan diatas, semua menggunakan
konsep pengolahan citra. Citra merupakan dimensi spatial yang berisi informasi
warna dan tidak bergantung pada waktu. Citra merupakan sekumpulan titik-titik
dari gambar, yang disebut piel (picture elemen). Titik-titik terebut
menggambarkan posisi koordinat dan mempunyai intensitas yang dapat
dinyatakan dengan bilangan. Intensitas ini menunjukkan warna citra, melalui
penjumlahan (misal: Red, Green, Blue/RGB).
Koordinat memberikan informasi warna pixel berdasarkan : Brigthness
(ketajaman), warna cahaya (hitam, abu-abu, putih) dari sumber, hue (corak
warna) yang ditimbulkan oleh warna (merah, kuning, hijau dll) dan merupakan
panjang gelombang dominan dari sumber.
Misalnya citra dengan 8 bit per pixel mempunyai 256 warna dan citra dengan 24
bit mempunyai 32768 warna, jadi tiap pixel dinyatakan dengan:
• bit 0 sampai 7 untuk warna merah
• bit 8 sampai dengan 15 untuk warna hijau.
• Bit 16 sampai dengan 24 untuk warna biru.
Kemungkinan kombinasi warna yang ada adalah = 2563 + 2562 + 2561 =
16.843.008, dimana nilai 0 menyatakan warna hitam sedangkan nilai 16.843.008
menyatakan warna putih.
Daftar Pustaka :
- Krutz, R.L and Russel D. Vines, “The CISSP® Prep Guide: Gold Edition”, John Wiley Publising, Inc., 2003.
- Stalling, William. 2000, Cryptography and Network Security: Principles and Practice.
Prentice- Hall.
Tidak ada komentar:
Posting Komentar