Polisi Keselamatan Bagi Melindungi Maklumat Dalam Internet

Isu keselamatan menjadi topik hangat kepada penggunaan Internet bagi komunikasi. Adalah dipercayai bahawa Internet terdedah kepada curi dengar dan cubaan merosakkan kandungan komunikasi berbanding dengan rangkaian hak milik penuh (proprietary). Keadaan ini terjadi kerana sifat semulajadi Internet dan kurangnya pentadbiran berpusat.

Salah satu contoh kepentingan isu keselamatan ialah dalam industri perbankan. Sektor bank perlukan reka bentuk berstruktur bagi prasarana perbankan Internet. Masalah yang kita hadapi ialah keselamatan sepenuhnya tidak boleh dicapai. Justru aplikasi Internet perlu dilindungi sebaiknya dan sambungan luaran mesti dirancang dan dikawal dengan baik.

Misalnya perbankan elektronik (e-perbankan) pada tahap sepenuhnya boleh melaksanakan setiap transaksi yang sedang kita lakukan sekarang seperti memeriksa maklumat akaun, memesan buku cek, pemindahan wang, bayaran bil, penukaran nombor pengenalan diri (PIN) dan sebagainya. E-perbankan menghadapi pelbagai masalah keselamatan. Terdapat kegiatan memecah masuk dan aktiviti curi dengar (wiretapping). Masalah keselamatan lain ialah kecurian PIN dan wang, juga maklumat akaun yang terdedah.

Jadi apa yang patut kita buat? E-perbankan mesti meletakkan isu keselamatan ini sebagai faktor utama menarik pelanggan. Pelbagai penyelesaian ada dalam pasaran. Antara lain ialah penghadang api (firewall), enkripsi (encryption), tandatangan digital, pemerakuan sijil dan infrastruktur kunci peribadi dan awam.

Masalahnya ialah tahap keberkesanan sesuatu perlindungan. Terdapat kes-kes seperti konfigurasi sistem penghadang api tidak dilakukan dengan betul, laman web dirosakkan, dan perlindungan RSA 256 bit dan DES ditembusi. Wujud banyak ketidakpastian di sini.

E-perbankan perlukan pengurusan risiko bagi meningkatkan kepastian kerana keyakinan pelanggan dibina dari sini. Mereka perlu mengenal pasti risiko, ada rancangan di luar dugaan bagi keselamatan dan menyediakan penyelesaian rintangan bagi melindungi kedua-dua bank dan pelanggan. Pihak bank perlu mengekalkan saksi bukan penyangkalan (non-repudiation), dan orang dalaman patut tahu sebanyak mana orang luar tahu mengenai persekitaran operasi seperti keselamatan fizikal, keselamatan transaksi , kawalan berkembar dan ujian audit selamat.

Bagaimana dengan kerugian yang disebabkan oleh virus? Sumber dari Computer Economics di California, Amerika Syarikat, melaporkan bahawa kesan kerugian ekonomi dari serangan virus ke atas sistem maklumat di seluruh dunia berjumlah US$12 bilion dalam tahun 1999. Justru perniagaan perlukan kaedah berkesan bagi melindungi aset korporat.

Wujud ancaman bersepadu daripada perosak, penggodam, pengebom e-mel dan penghantar e-mel tidak terpelawa dalam talian. Terdapat beberapa kejadian ancaman virus yang boleh dijadikan teladan.

Pertama disebabkan oleh virus Babylonia. Virus ini boleh mengubah gaji seseorang dari jauh. Secara teorinya, virus boleh mengawal sesuatu komputer. Kes kedua ialah serangan DDoS, yang mana ia menggunakan komputer pihak lain sebagai tapak serangan. Penggodam menggunakan kod khusus seperti Trinoo, TFN2K, Stacheldraht dan Shaft sebagai alat yang digunakan bagi memasuki komputer orang lain dan serangan dilancarkan dari situ, tanpa diketahui oleh pihak yang dianiaya. Kes terakhir ialah dari virus 911. Virus ini akan mencari secara rawak cakera komputer yang dikongsi dalam rangkaian. Serangan yang dibuat ialah dengan menyalin diri sendiri ke dalam cakera malang tersebut.

Ingat lagi virus I Love You atau lebih dikenali sebagai pepijat cinta? Mengikut Computer Economics lagi, lebih 45 juta komputer di seluruh dunia telah dijangkiti oleh pelbagai bentuk serangan oleh virus berkenaan. Nilai kerosakan meningkat dari US$1 bilion kepada US$1.5 bilion sehari sehinggalah virus berjaya dihapuskan. Begitulah teruknya kesan serangan virus terhadap perniagaan.

Apa yang patut kita buat? Kita perlu mengamalkan pendekatan pengkomputeran selamat dan strategi anti virus bagi organisasi. Salah satu cara mudah ialah menidakkan fungsian Windows Scripting Host dan jangan menyembunyikan sambungan fail bagi fail-fail yang diketahui jenisnya.

Bagi sistem e-mel, syarikat mesti mempastikan arahan amaran dikeluarkan sebelum membuka sesuatu lampiran e-mel, dan amaran sebelum perubahan dibuat ke atas satu fail bagi membentuk fail jenis global (misalnya fail Words disimpan sebagai fail teks yang boleh dibaca oleh semua pembaca teks). Pengguna Internet Explorer pula dinasihatkan supaya setkan paras keselamatan paling kurangpun kepada Medium.

Syarikat mesti mempunyai strategi anti virus bagi melindungi sumber dalaman. Pastikan semua pintu masuk ke rangkaian, dan setiap PC dan pelayan dilengkapi dengan anti virus yang mempunyai senarai virus terkini. Hentikan virus dari merebak serta merta dan bina infrastruktur yang boleh dikendalikan.

Dalam penyelidikan yang dilakukan oleh pihak Forrester Research (badan penyelidik terkenal terletak di Amerika Syarikat), yang diterbitkan dalam November 1998, mengatakan bahawa teknologi yang digunakan dalam setiap ketegori bidang keselamatan komputer dan rangkaian mempunyai penyelesaian berbeza. Jadi satu kaedah paling baik dibuat ialah memilih yang terbaik dari setiap kategori.

 

PENGENALAN KEPADA KESELAMATAN KOMPUTER

 

 

 

Tiga matlamat keselamatan komputer:

·          Kerahsiaan (confidetiality) - orang yang berhak sahaja boleh akses aset (reading, viewing, printing or just knowing)

·          Keutuhan (integrity) - orang yang berhak sahaja boleh mengubahsuai (wrinting, changing, deleting and creating)

§            Precise

§            Accurate

§            Unmodified

§            Consistent

·          Adanya (availability) - orang yang berhak sepatutnya dapat akses bila dikehendaki

§            Presence of object or service in usable form

§            Adequate time/timeliness of service

§            Fault tolerance

§            Support for simultananeous access.

               

 

4 Kategori Ancaman Keselamatan Komputer:

·          Interruption - aset hilang/rosak, destruction, unavailable & unusable

·          Interception - unauthorized party gain access to an asset

§            Illicit copying program

§            Wiretapping

·          Modification - unauthorized party tampers with an asset

§            Performs an additional computation

§            Modify data being transmitted electronically

·          Fabricate - counterfeit (nama macam tidak ada perubahan)

§            Add records to an existing data base

 

 

Tiga sumber penting yang perlu dilindungi:

·          Perkakasan - water, burned, gassed, lightning, broken cable, particles of dust, fires, bombs, electromagnetic/static

·          Perisian - destroyed, modified, deleted.

Antara perisian perosak; logic bomb, trojan horse, virus dan trapdoor.

·          Data - sangat penting kerana kerosakan boleh memberi akibat yang sangat buruk.  Data yang terdedah menimbulkan kerugian dan kebolehpercayaan yang kurang.

 

 

Orang-orang yang terlibat dalam pencerobohan keselamatan komputer:

·          Amateurs -

§            penjenayahan komputer banyak dilakukan mereka.

§            Normal people who observe a flaw in a security system

·          Crackers - may be university or high school students who attempt to access computing facilities for which they have not been authorized.

·          Career Criminals - professionals who engage in computer crime and find the prospects and the payoff good.

 

 

 

Kaedah Kawalan:

·          Pengengkripan - transforming data so that it is unintelligible to the outside observer - provide confidentiality and integrity.

·          Kawalan perisian -

§            Internal program controls

§            Operating system controls

§            Development controls. 

·          Kawalan Perkakasan - smartcard etc.

·          Polisi - frequent changes of passwords, training and administration, legal and ethical controls.

·          Kawalan fizikal - locks on doors, guards, backup copies, reduces the risk of natural disasters.