Polisi Keselamatan Bagi Melindungi Maklumat Dalam Internet
Isu keselamatan menjadi topik hangat kepada
penggunaan Internet bagi komunikasi. Adalah dipercayai bahawa
Internet terdedah kepada curi dengar dan
cubaan merosakkan kandungan komunikasi berbanding dengan rangkaian hak milik
penuh (proprietary). Keadaan ini
terjadi kerana sifat semulajadi Internet dan kurangnya pentadbiran
berpusat.
Salah satu contoh kepentingan
isu keselamatan ialah dalam industri
perbankan. Sektor bank perlukan reka
bentuk berstruktur bagi prasarana perbankan Internet. Masalah yang kita
hadapi ialah keselamatan sepenuhnya tidak boleh dicapai.
Justru aplikasi Internet perlu dilindungi sebaiknya dan sambungan luaran
mesti dirancang dan dikawal dengan
baik.
Misalnya perbankan elektronik (e-perbankan) pada tahap sepenuhnya boleh melaksanakan setiap transaksi yang sedang kita lakukan
sekarang seperti memeriksa maklumat akaun, memesan buku cek, pemindahan
wang, bayaran bil, penukaran nombor pengenalan diri (PIN) dan sebagainya. E-perbankan
menghadapi pelbagai masalah keselamatan. Terdapat kegiatan memecah masuk dan aktiviti
curi dengar (wiretapping).
Masalah keselamatan lain ialah kecurian
PIN dan wang, juga maklumat akaun
yang terdedah.
Jadi apa
yang patut kita buat? E-perbankan
mesti meletakkan isu keselamatan ini sebagai faktor
utama menarik pelanggan. Pelbagai penyelesaian ada
dalam pasaran. Antara lain ialah penghadang api
(firewall), enkripsi (encryption), tandatangan digital, pemerakuan sijil dan infrastruktur
kunci peribadi dan awam.
Masalahnya ialah tahap keberkesanan
sesuatu perlindungan. Terdapat
kes-kes seperti konfigurasi sistem penghadang api
tidak dilakukan dengan betul, laman
web dirosakkan, dan perlindungan RSA 256 bit dan DES ditembusi. Wujud banyak ketidakpastian
di sini.
E-perbankan perlukan pengurusan risiko bagi meningkatkan
kepastian kerana keyakinan pelanggan dibina dari sini. Mereka perlu
mengenal pasti risiko, ada rancangan
di luar dugaan
bagi keselamatan dan menyediakan penyelesaian rintangan bagi melindungi kedua-dua bank dan pelanggan. Pihak bank perlu mengekalkan saksi bukan penyangkalan
(non-repudiation), dan orang
dalaman patut tahu sebanyak mana
orang luar tahu mengenai persekitaran
operasi seperti keselamatan fizikal, keselamatan transaksi , kawalan berkembar
dan ujian audit selamat.
Bagaimana dengan kerugian yang disebabkan oleh virus? Sumber dari
Computer Economics di California, Amerika
Syarikat, melaporkan bahawa kesan kerugian
ekonomi dari serangan virus ke atas sistem maklumat
di seluruh dunia berjumlah US$12 bilion dalam tahun
1999. Justru perniagaan perlukan
kaedah berkesan bagi melindungi aset korporat.
Wujud ancaman bersepadu daripada perosak, penggodam, pengebom e-mel dan penghantar
e-mel tidak terpelawa dalam talian. Terdapat beberapa kejadian
ancaman virus yang boleh dijadikan teladan.
Pertama disebabkan oleh virus
Ingat lagi virus I Love You atau lebih dikenali sebagai pepijat cinta? Mengikut Computer Economics lagi, lebih 45 juta komputer
di seluruh dunia telah dijangkiti
oleh pelbagai bentuk serangan oleh virus berkenaan. Nilai kerosakan meningkat dari US$1 bilion kepada US$1.5 bilion sehari sehinggalah virus berjaya dihapuskan. Begitulah teruknya kesan serangan virus terhadap perniagaan.
Apa yang patut
kita buat? Kita perlu mengamalkan
pendekatan pengkomputeran selamat dan strategi
anti virus bagi organisasi.
Salah satu cara mudah
ialah menidakkan fungsian Windows Scripting Host dan
jangan menyembunyikan sambungan fail bagi fail-fail
yang diketahui jenisnya.
Bagi sistem e-mel, syarikat mesti
mempastikan arahan amaran dikeluarkan sebelum membuka sesuatu lampiran e-mel, dan amaran
sebelum perubahan dibuat ke atas
satu fail bagi membentuk fail jenis global (misalnya fail Words disimpan sebagai fail teks yang boleh dibaca oleh
semua pembaca teks). Pengguna Internet Explorer
pula dinasihatkan supaya setkan paras
keselamatan paling kurangpun
kepada Medium.
Syarikat mesti mempunyai strategi anti virus bagi melindungi sumber dalaman. Pastikan semua pintu masuk ke rangkaian,
dan setiap PC dan pelayan dilengkapi
dengan anti virus yang mempunyai
senarai virus terkini.
Hentikan
virus dari merebak serta merta dan
bina infrastruktur yang boleh dikendalikan.
Dalam penyelidikan yang dilakukan oleh pihak Forrester Research (badan penyelidik terkenal terletak di Amerika Syarikat),
yang diterbitkan dalam
November 1998, mengatakan bahawa
teknologi yang digunakan dalam setiap ketegori
bidang keselamatan komputer dan rangkaian
mempunyai penyelesaian berbeza. Jadi satu kaedah
paling baik dibuat ialah memilih yang terbaik dari setiap
kategori.
PENGENALAN KEPADA KESELAMATAN
KOMPUTER
Tiga matlamat keselamatan komputer:
·
Kerahsiaan (confidetiality) - orang
yang berhak sahaja boleh akses aset
(reading, viewing, printing or just knowing)
·
Keutuhan (integrity)
- orang yang berhak sahaja boleh mengubahsuai
(wrinting, changing, deleting and creating)
§
Precise
§
Accurate
§
Unmodified
§
Consistent
·
Adanya (availability)
- orang yang berhak sepatutnya dapat akses bila dikehendaki
§
Presence
of object or service in usable form
§
Adequate
time/timeliness of service
§
Fault
tolerance
§
Support
for simultananeous access.
4 Kategori Ancaman Keselamatan Komputer:
·
Interruption - aset hilang/rosak, destruction, unavailable & unusable
·
Interception - unauthorized party gain access to
an asset
§
Illicit
copying program
§
Wiretapping
·
Modification - unauthorized party tampers with an
asset
§
Performs
an additional computation
§
Modify
data being transmitted electronically
·
Fabricate - counterfeit (nama
macam tidak ada perubahan)
§
Add
records to an existing data base
Tiga sumber penting yang perlu dilindungi:
·
Perkakasan - water, burned, gassed, lightning,
broken cable, particles of dust, fires, bombs, electromagnetic/static
·
Perisian - destroyed, modified, deleted.
Antara perisian perosak; logic bomb, trojan
horse, virus dan trapdoor.
·
Data - sangat penting kerana kerosakan boleh memberi akibat yang sangat buruk. Data yang terdedah menimbulkan kerugian dan kebolehpercayaan yang kurang.
Orang-orang
yang terlibat dalam pencerobohan keselamatan komputer:
·
Amateurs -
§
penjenayahan komputer banyak dilakukan mereka.
§
Normal
people who observe a flaw in a security system
·
Crackers - may be university or high school
students who attempt to access computing facilities for which they have not
been authorized.
·
Career Criminals - professionals who engage in
computer crime and find the prospects and the payoff good.
Kaedah Kawalan:
·
Pengengkripan - transforming
data so that it is unintelligible to the outside observer - provide
confidentiality and integrity.
·
Kawalan perisian -
§
Internal
program controls
§
Operating
system controls
§
Development
controls.
·
Kawalan Perkakasan - smartcard etc.
·
Polisi - frequent changes of passwords,
training and administration, legal and ethical controls.
·
Kawalan fizikal - locks on doors, guards, backup copies, reduces the
risk of natural disasters.