Adakah Sistem Yang Aman?

computersecurity.pngKetika ada pertanyaan, sebenarnya sistem seperti apa yang disebut benar-benar aman, maka mungkin jawaban yang pas adalah seperti apa yang dikatakan Eugene H. Spafford di bawah:

The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards – and even then I have my doubts  (Eugene H. Spafford).

Tentu bukan seperti itu yang kita inginkan. Kalau sebuah sistem atau komputer hanya kita matikan, masukkan ke ruangan yang tidak berpintu dan dijaga sepasukan militer, maka tentu sistem atau komputer tersebut tidak ada gunanya lagi bagi kita. Ukuran sebuah sistem yang aman diarahkan ke beberapa parameter dibawah:

  • Sebuah sistem dimana seorang penyerang (intruder) harus mengorbankan banyak waktu, tenaga dan biaya besar dalam rangka penyerangan
  • Resiko yang dikeluarkan penyerang (intruder) tdk sebanding dengan hasil yang diperoleh

Sistem yang aman juga adalah suatu trade-off atau sebuah tarik ulur perimbangan antara keamanan dan biaya (cost). Semakin aman sebuah sistem (tinggi levelnya), maka semakin tinggi biaya yang diperlukan untuk memenuhinya. Karena itu dalam kenyataan, level sistem yang aman boleh dikatakan merupakan level optimal (optimal level) dari keamanan. Artinya titik dimana ada perimbangan antara biaya yang dikeluarkan dan tingkat keamanan yang dibutuhkan. Fenomena ini dijelaskan oleh Thomas Olovsson dengan teori security cost function yang ditulisnya.

Jadi bisa kita simpulkan bahwa kebutuhan keamanan untuk sebuah sistem komputer berbeda-beda, tergantung pada:

  • Aplikasi yang ada didalamnya
  • Nilai dari data yang ada dalam sistem
  • Ketersediaan sumber dana

Tidak mungkin kita memaksakan diri mengamankan sistem secara lengkap apabila ternyata tidak ada data yang penting di dalamnya, tidak aplikasi yang harus dilindungi atau tidak tersedia sumber dana yang cukup untuk mengamankan sebuah sistem. Security cost function ini dalam pelaksanaannya dijabarkan dalam bentuk security policy (kebijakan keamanan), yaitu:

Suatu set aturan yang menetapkan hal-hal apa saja yang diperbolehkan dan apa saja yang dilarang terhadap penggunaan atau pemanfaatan akses pada sebuah sistem selama operasi normal, berdasarkan keseimbangan yg tepat antara biaya proteksi dan resiko yang timbul.

Dari konsep pemikiran diatas, munculah satu cabang ilmu komputer yang membahas khusus tentang keamanan yang disebut dengan computer security (keamanan komputer). Kemanan komputer didefinisikan oleh John D. Howard sebagai:

Computer security is preventing attackers from achieving objectives through unauthorized access or unauthorized use of computers and networks. (John D. Howard)

Kita bisa simpulkan dari berbagai definisi yang ada, keamanan komputer adalah:

  • Suatu usaha pencegahan dan pendeteksian penggunaan komputer secara tidak sah atau tidak diizinkan
  • Usaha melindungi aset dan menjaga privacy dari para cracker yang menyerang

ttd-small.jpg