-Ancaman : - Lingkungan, Manusia, Alam
-Kelemahan :
- Prepentive : pencegahan Conth: Instal antivirus
- Detective : Pemeriksaan Conth : Scanning
- Corrective : Koreksi cntoh : Instal ulang
7 hal utama dalam sistem
1. Efektivitas
2. Kerahasiaan
3. Efisiensi
4. Keberadaan
5. Kehandalan
6. Kepatuhan
7. Integritas
Ketujuh hal diatas juga disebut sebagai standarisasi sebuah sistem dikategorikan baik.
Agar ke 7 hal diatas dapat berjalan dengan baik, ada 10 hal yang harus diperhatikan:
1. Akses control (identifikasi, autentifikasi, otorisasi)
2. Telekomunikasi
3. Pengoperasian (alat yang digunakan)
4. Arsitektur (bentuk pola dari sistem itu)
5. Kriptografi
6. Manajemen praktis(lebih pada fitur)
7. Pengembangan sistem(pengembangan sistem kedepannya
8. Bussines continuity Plan(BCP)(lebih kepada back-up dan dokumentasi)
9. Kebutuhan hukum(dituntut menggunakan software original)
10. Tata letak fisik
Senin, 06 September 2010
THH
1. Apa yang di maksud dengan Dialog Design? Sebutkan jenis2nya!
Dialog Design adalah struktur dari percakapan antara user dan sistem komputer.
Jenis-Jenis Dialog
1. Command Language
2. WIMP (Window, Icon, Menu, Pointer)
3. Direct Manipulation
4. PDA dan Pen
5. Speech dan Natural Language
6. Form-fillin
2. Sebutkan keuntungan dan kerugian menggunakan menu?
Keuntungan :
- Mempersingkat waktu training
- Mengurangi pengetikan tombol key
- membutuhkan sedikit memory komputer
- Terstruktur
- Tool untuk desain dan menu tersedia.
- Ideal bagi pengguna baru/tidak ahli
- memungkinkan eksplorasi (pengguna bisa melihat menu untuk perintah lainnya yang cocok.
- menstrukturkan pengambilan keputusan
- adanya penanganan kesalahan yang mudah(tidak perlu di parsed seperti halnya comand entry.
- pengguna tidak perlu mengingat item yang mereka inginkan.
Kerugian :
- Kurang baik jika terlalu banyak menu.
- Bisa memperlambat user yang sering memakai sistem
- Membutuhkan banyak tempat dilayar
- Tidak cocok untuk entri data
- Membutuhkan display yang unjuk kerjanya cepat.
- tidak cocok untuk tampilan grafis kecil
- cukup lambat bagi pengguna ahli
- terlalu banyak menu menyebabkan overload informasi
3. Berikan contoh desain penerapan form filinl?
4. Apa yang dimaksud dengan Direct Manipulation??? Dan sebutkan keuntungan dan kerugian menggunakan Direct Manipulation?
Direct Manipulation adalah manipulasi langsung yang mengacu pada sistem yang menggunakan icon untk merepresentasikan objek, yang bisa digerakkan dilayar lewat kursor yang dikontrol oleh mouse.
-Kesinambungan tampilan dari objek-objek dan aksi-aksi yang
dilakukan.
- Cepat, dapat dikembalikan, peningkatan aksi dimana efeknya
dapat segera terlihat.
Keuntungan :
- Mudah dipelajari dan diingat, khususnya untuk pemula.
- WYSIWYG
- Fleksibel
- Menyediakan konteks dan tampilan yang cepat dari feedback,
sehingga user dapat mengetahui apakah tujuan telah tercapai.
- Membatasai beberapa jenis kesalahan yang dapat terjadi.
Kekurangan :
- Penggunaan seluruh ruang pada layar.
- Harus mempelajari arti dari komponen-komponen yang tampak
pada layar.
- Tampilan visual mungkin dapat disalah artikan.
- Penggunaan mouse dapat lebih lambat daripada pengetikan.
- Tidak ada penjelasan otomatis.
- Tidak bagus pada: pengulangan, penyimpanan history, tugas
tertentu (seperti merubah semua huruf cetak miring menjadi
cetak tebal), variabel.
5. Sebutkan 10 kesalahan saat mendesain web?
1. Mesin pencarian yang buruk
2. File pdf yang di gunakan untuk membaca on line
3. Tidak mengubah warna text link tanda bahwa link tersebut sudah pernah di kunjungi
4.Text yang tidak sistemATIS
5. Ukuran font yg tidak dapat berubah-ubah.
6. judul halaman yg menyebabkan halaman tersebut sulit ditemukan oleh mesin pencari (tidak visible)
7. apapun yg tampak seperti iklan
8. melanggar konvensi desain
9. membuka jendela browser baru
10. tidak menjawab pertanyaan user
6.Sebutkan pengendali GUI yang anda ketahui , baik pada interface windows atau web?
# Teks , Edit , UpDown , Gambar
# Button , Checkbox , Radio Button , Checkbox , Radio
# DropDownList , ComboBox DropDownList , combobox
# ListBox , ListView , TreeView ListBox , ListView , TreeView
# Hotkey , DateTime , MonthCal Hotkey , DateTime , MonthCal
# Slider , Progress Slider , Kemajuan
# GroupBox , Tab2 , StatusBar , Internet Explorer Control GroupBox , Tab2 , statusbar , Kontrol Internet Explorer
Dialog Design adalah struktur dari percakapan antara user dan sistem komputer.
Jenis-Jenis Dialog
1. Command Language
2. WIMP (Window, Icon, Menu, Pointer)
3. Direct Manipulation
4. PDA dan Pen
5. Speech dan Natural Language
6. Form-fillin
2. Sebutkan keuntungan dan kerugian menggunakan menu?
Keuntungan :
- Mempersingkat waktu training
- Mengurangi pengetikan tombol key
- membutuhkan sedikit memory komputer
- Terstruktur
- Tool untuk desain dan menu tersedia.
- Ideal bagi pengguna baru/tidak ahli
- memungkinkan eksplorasi (pengguna bisa melihat menu untuk perintah lainnya yang cocok.
- menstrukturkan pengambilan keputusan
- adanya penanganan kesalahan yang mudah(tidak perlu di parsed seperti halnya comand entry.
- pengguna tidak perlu mengingat item yang mereka inginkan.
Kerugian :
- Kurang baik jika terlalu banyak menu.
- Bisa memperlambat user yang sering memakai sistem
- Membutuhkan banyak tempat dilayar
- Tidak cocok untuk entri data
- Membutuhkan display yang unjuk kerjanya cepat.
- tidak cocok untuk tampilan grafis kecil
- cukup lambat bagi pengguna ahli
- terlalu banyak menu menyebabkan overload informasi
3. Berikan contoh desain penerapan form filinl?
4. Apa yang dimaksud dengan Direct Manipulation??? Dan sebutkan keuntungan dan kerugian menggunakan Direct Manipulation?
Direct Manipulation adalah manipulasi langsung yang mengacu pada sistem yang menggunakan icon untk merepresentasikan objek, yang bisa digerakkan dilayar lewat kursor yang dikontrol oleh mouse.
-Kesinambungan tampilan dari objek-objek dan aksi-aksi yang
dilakukan.
- Cepat, dapat dikembalikan, peningkatan aksi dimana efeknya
dapat segera terlihat.
Keuntungan :
- Mudah dipelajari dan diingat, khususnya untuk pemula.
- WYSIWYG
- Fleksibel
- Menyediakan konteks dan tampilan yang cepat dari feedback,
sehingga user dapat mengetahui apakah tujuan telah tercapai.
- Membatasai beberapa jenis kesalahan yang dapat terjadi.
Kekurangan :
- Penggunaan seluruh ruang pada layar.
- Harus mempelajari arti dari komponen-komponen yang tampak
pada layar.
- Tampilan visual mungkin dapat disalah artikan.
- Penggunaan mouse dapat lebih lambat daripada pengetikan.
- Tidak ada penjelasan otomatis.
- Tidak bagus pada: pengulangan, penyimpanan history, tugas
tertentu (seperti merubah semua huruf cetak miring menjadi
cetak tebal), variabel.
5. Sebutkan 10 kesalahan saat mendesain web?
1. Mesin pencarian yang buruk
2. File pdf yang di gunakan untuk membaca on line
3. Tidak mengubah warna text link tanda bahwa link tersebut sudah pernah di kunjungi
4.Text yang tidak sistemATIS
5. Ukuran font yg tidak dapat berubah-ubah.
6. judul halaman yg menyebabkan halaman tersebut sulit ditemukan oleh mesin pencari (tidak visible)
7. apapun yg tampak seperti iklan
8. melanggar konvensi desain
9. membuka jendela browser baru
10. tidak menjawab pertanyaan user
6.Sebutkan pengendali GUI yang anda ketahui , baik pada interface windows atau web?
# Teks , Edit , UpDown , Gambar
# Button , Checkbox , Radio Button , Checkbox , Radio
# DropDownList , ComboBox DropDownList , combobox
# ListBox , ListView , TreeView ListBox , ListView , TreeView
# Hotkey , DateTime , MonthCal Hotkey , DateTime , MonthCal
# Slider , Progress Slider , Kemajuan
# GroupBox , Tab2 , StatusBar , Internet Explorer Control GroupBox , Tab2 , statusbar , Kontrol Internet Explorer
Kamis, 02 September 2010
SBD
Sistem Basis Data adalah suatu sistem menyusun dan mengelola
record-record menggunakan computer untuk menyimpan atau
merekam serta memelihara data operasional lengkap sebuah
organisasi/perusahaan sehingga mampu menyediakan informasi yang
optimal yang diperlukan pemakai untuk proses mengambil keputusan.
Basis data terdistribusi adalah kumpulan database yang disimpan di banyak komputer pada lokasi yang berbeda-beda dan menampilkan ke user sebagai single database
Data warehouse adalah relasional database yang didesain untuk proses query dan analisa
Data warehouse didesain untuk proses analisa data
Contoh: data penjualan pada suatu perusahaan. Dengan data warehouse maka dapat menjawab pertanyaan “siapakah customer terbesar pada akhir pada akhir tahun?”
Data Mining
Suatu metode yang digunakan untuk mengekstrak pola dari suatu data
Data mining disebut juga KKD
Proses KKD:
Identifikasi masalah
Menyiapkan data
Membangun model data (data mining)
Menggunakan dan memonitoring model
Data Mining Task’s
Association, menemukan hubungan dan korelasi antara berbagai data item
Classification, menganalisa data percobaan dan membangun model berdasarkan fitur dari data
Prediction, memprediksi nilai-nilai yang mungkin terjadi dari data yang hilang atau distribusi nilai dari atribut tertentu dalam kumpulan obyek
Clustering, mengidentifikasi cluster yang tersimpan dalam data, dimana cluster tersebut merupakan kumpulan data yang memiliki kesamaan dengan yang lain
Time-series analysis, mencari urutan kesamaan, pola (pattern), periode dan deviasi
Data Mining Method’s
Classification and regression
classification menghasilkan data categorical dan regression menghasilkan data numeric
Clustering
menggunakan algoritma k-mean, k-median
Association
menemukan pola pada data transaksional. Berhubungan dengan market basket analysis
Keunggulan
penyimpanan database besar, dalam hitungan megabyte, gigabyte, terabyte
Relationship yang komplek antar field. Gabungan antara data numerical dan categorical
Skalabilitas tinggi.
1. PROSEDUR
Prosedur adalah program yang dapat dipanggil/dielsekusi oleh program lainnya,
atau dieksekusi dari SQL-Prompt seperti ISQL.
Prosedur yang paling sering digunakan adalah stored procedure yang berawalan sp,
dan extended stored procedure (xp), program yang dikompilasi sebagai EXE atau DLL
(Dynamic Link Library).
Membuat Prosedur
CREATE PROCEDURE pr_honor AS
SELECT kd_ass, honor FROM honor_xxx
RETURN
1. Transact-SQL
TRANSACT-SQL adalah bahasa pemrograman yang dikembangkan dari SQL.
Seperti diketahui SQL adalah bahasa non procedural, artinya alur program tidak seperti
bahasa pemrograman bisa, melainkan melalui “request” dan “response”.
1. Database Trigger
Trigger adalah blok program transact-SQL yang diassosiasikan dengan tabel dan
disimpan dalam database. Trigger dieksekusi bila terjadi suatu database “event”.
Database event adalah insert, update dan delete.
Trigger akan beraksi bila terjadi misalnya :
- sebuah baris baru (record) dimasukkan ketabel
- peremajaan record
- penghapusan record
Karena itu sebuah trigger terdiri atas :
- uraian, kapan trigger dilepaskan (fired)
- tabel yang diassosiasikan dengan trigger tersebut
- program transact-sql yang dijalankan oleh trigger tersebut
Manfaat Trigger
Meluruskan aturan-aturan yang harus berlaku
Menjaga nilai sebelum dimasukkan ke dalam database
Keamanan Sistem
Membuat historical record (riwayat perubahan)
Dan lain-lain
CREATE TRIGGER namatrigger
ON namatabel for insert,update,delete
AS
DECLARE …………..
CREATE TRIGGER mytrigger ON mahasiswa_XXX FOR INSERT
AS PRINT 'Record baru :' +CONVERT(char(30),getdate(),103 +’ By
Big_bugsBSD 2002’)
1. View
Sebuah VIEW adalah tabel yang dibangun dari satu atau beberapa tabel yang sudah
ada. Secara fisik VIEW tidak membuat penyimpanan data seperti tabel, melainkan
hanya menyimpan referansi/pointer ke record pada tabel-tabel yang berkaitan. VIEW
disebut juga sebagai “Virtual Table”.
2. INDEX
Dalam konteks SQL-Server, index adalah sebuah obyek database yang dibuat
berdasarkan kolom dalam tabel.
Fungsi dalam SQL
1. Aritmatik
Penghitungan aritmatika dapat dilakukan dengan menggunakan * / + - seperti
umumnya
2. Kelompok Nilai
Fungsi AVG, Max, MIN, SUM, COUNT adalah fungsi yang memproses tabel
dengan kualifikasi tertentu.
3. AVG
Mencari rata-rata SELECT AVG(field_numerik) from nama_tabel
SELECT * FROM Ambil_kuliah_XXX WHERE nilai_uas>(select
AVG (nilai_uas) from ambil_kuliah_XXX)
4. MAX
Mencari maksimum
SELECT MAX(nilai_uas) FROM ambil_kuliah_XXX
5. MIN
Mencari minimum
SELECT MIN(nilai_uas) FROM ambil_kuliah_XXX
6. COUNT
Menghitung record dengan kualilfikasi tertentu. COUNT(*) menyatakan hitung
seluruh record yang berlaku.
SELECT COUNT(*) FROM mahasiswa_XXX
7. SUM
Menjumlah nilai dari kolom tertentu
SELECT SUM(nilai_uas) FROM ambil_kuliah_XXX
GROUP BY
Group By Menyeleksi himpunan yangdihitung berdasarkan fungsi spesifik seperti
AVG, COUNT atau lainya.
SELECT nrp,COUNT(*) FROM ambil_kuliah GROUP BY nrp
9. GROUP BY … HAVING
HAVING berlaku untuk kelompok query Group By dan berfungsi seperti WHERE.
Hanya group yang mempunyai kriteria tersebut yang akan diproses(pada where
yang diproses adalah setiap record dalam tabel). Berikut adalah daftar mahasiswa
yang mempunyai nilai uas rata-rata diatas 80 :
SELECT nrp,AVG(nilai_uas) FROM ambil_kuliah GROUP BY nrp HAVING
AVG(nilai_uas)>80
10. JOIN
Join adalah teknik yang digunakan untuk mengakses lebih dari satu tabel dan
menggabungkan hasilnya. Perhatikan tabel sesi di bawah ini
SELECT nrp, mahasiswa_XXX.nama, grade FROM ambil_kuliah_XXX,
mahasiswa_XXX WHERE ambil_kuliah_XXX.nrp=mahasiswa_XXX.nrp
Normalisasi adalah proses pembentukan struktur basis data sehingga sebagian besar ambiguity bisa dihilangkan.
Tahap Normalisasi dimulai dari tahap paling ringan (1NF) hingga paling ketat (5NF)
Biasanya hanya sampai pada tingkat 3NF atau BCNF karena sudah cukup memadai untuk menghasilkan tabel-tabel yang berkualitas baik.
record-record menggunakan computer untuk menyimpan atau
merekam serta memelihara data operasional lengkap sebuah
organisasi/perusahaan sehingga mampu menyediakan informasi yang
optimal yang diperlukan pemakai untuk proses mengambil keputusan.
Basis data terdistribusi adalah kumpulan database yang disimpan di banyak komputer pada lokasi yang berbeda-beda dan menampilkan ke user sebagai single database
Data warehouse adalah relasional database yang didesain untuk proses query dan analisa
Data warehouse didesain untuk proses analisa data
Contoh: data penjualan pada suatu perusahaan. Dengan data warehouse maka dapat menjawab pertanyaan “siapakah customer terbesar pada akhir pada akhir tahun?”
Data Mining
Suatu metode yang digunakan untuk mengekstrak pola dari suatu data
Data mining disebut juga KKD
Proses KKD:
Identifikasi masalah
Menyiapkan data
Membangun model data (data mining)
Menggunakan dan memonitoring model
Data Mining Task’s
Association, menemukan hubungan dan korelasi antara berbagai data item
Classification, menganalisa data percobaan dan membangun model berdasarkan fitur dari data
Prediction, memprediksi nilai-nilai yang mungkin terjadi dari data yang hilang atau distribusi nilai dari atribut tertentu dalam kumpulan obyek
Clustering, mengidentifikasi cluster yang tersimpan dalam data, dimana cluster tersebut merupakan kumpulan data yang memiliki kesamaan dengan yang lain
Time-series analysis, mencari urutan kesamaan, pola (pattern), periode dan deviasi
Data Mining Method’s
Classification and regression
classification menghasilkan data categorical dan regression menghasilkan data numeric
Clustering
menggunakan algoritma k-mean, k-median
Association
menemukan pola pada data transaksional. Berhubungan dengan market basket analysis
Keunggulan
penyimpanan database besar, dalam hitungan megabyte, gigabyte, terabyte
Relationship yang komplek antar field. Gabungan antara data numerical dan categorical
Skalabilitas tinggi.
1. PROSEDUR
Prosedur adalah program yang dapat dipanggil/dielsekusi oleh program lainnya,
atau dieksekusi dari SQL-Prompt seperti ISQL.
Prosedur yang paling sering digunakan adalah stored procedure yang berawalan sp,
dan extended stored procedure (xp), program yang dikompilasi sebagai EXE atau DLL
(Dynamic Link Library).
Membuat Prosedur
CREATE PROCEDURE pr_honor AS
SELECT kd_ass, honor FROM honor_xxx
RETURN
1. Transact-SQL
TRANSACT-SQL adalah bahasa pemrograman yang dikembangkan dari SQL.
Seperti diketahui SQL adalah bahasa non procedural, artinya alur program tidak seperti
bahasa pemrograman bisa, melainkan melalui “request” dan “response”.
1. Database Trigger
Trigger adalah blok program transact-SQL yang diassosiasikan dengan tabel dan
disimpan dalam database. Trigger dieksekusi bila terjadi suatu database “event”.
Database event adalah insert, update dan delete.
Trigger akan beraksi bila terjadi misalnya :
- sebuah baris baru (record) dimasukkan ketabel
- peremajaan record
- penghapusan record
Karena itu sebuah trigger terdiri atas :
- uraian, kapan trigger dilepaskan (fired)
- tabel yang diassosiasikan dengan trigger tersebut
- program transact-sql yang dijalankan oleh trigger tersebut
Manfaat Trigger
Meluruskan aturan-aturan yang harus berlaku
Menjaga nilai sebelum dimasukkan ke dalam database
Keamanan Sistem
Membuat historical record (riwayat perubahan)
Dan lain-lain
CREATE TRIGGER namatrigger
ON namatabel for insert,update,delete
AS
DECLARE …………..
CREATE TRIGGER mytrigger ON mahasiswa_XXX FOR INSERT
AS PRINT 'Record baru :' +CONVERT(char(30),getdate(),103 +’ By
Big_bugsBSD 2002’)
1. View
Sebuah VIEW adalah tabel yang dibangun dari satu atau beberapa tabel yang sudah
ada. Secara fisik VIEW tidak membuat penyimpanan data seperti tabel, melainkan
hanya menyimpan referansi/pointer ke record pada tabel-tabel yang berkaitan. VIEW
disebut juga sebagai “Virtual Table”.
2. INDEX
Dalam konteks SQL-Server, index adalah sebuah obyek database yang dibuat
berdasarkan kolom dalam tabel.
Fungsi dalam SQL
1. Aritmatik
Penghitungan aritmatika dapat dilakukan dengan menggunakan * / + - seperti
umumnya
2. Kelompok Nilai
Fungsi AVG, Max, MIN, SUM, COUNT adalah fungsi yang memproses tabel
dengan kualifikasi tertentu.
3. AVG
Mencari rata-rata SELECT AVG(field_numerik) from nama_tabel
SELECT * FROM Ambil_kuliah_XXX WHERE nilai_uas>(select
AVG (nilai_uas) from ambil_kuliah_XXX)
4. MAX
Mencari maksimum
SELECT MAX(nilai_uas) FROM ambil_kuliah_XXX
5. MIN
Mencari minimum
SELECT MIN(nilai_uas) FROM ambil_kuliah_XXX
6. COUNT
Menghitung record dengan kualilfikasi tertentu. COUNT(*) menyatakan hitung
seluruh record yang berlaku.
SELECT COUNT(*) FROM mahasiswa_XXX
7. SUM
Menjumlah nilai dari kolom tertentu
SELECT SUM(nilai_uas) FROM ambil_kuliah_XXX
GROUP BY
Group By Menyeleksi himpunan yangdihitung berdasarkan fungsi spesifik seperti
AVG, COUNT atau lainya.
SELECT nrp,COUNT(*) FROM ambil_kuliah GROUP BY nrp
9. GROUP BY … HAVING
HAVING berlaku untuk kelompok query Group By dan berfungsi seperti WHERE.
Hanya group yang mempunyai kriteria tersebut yang akan diproses(pada where
yang diproses adalah setiap record dalam tabel). Berikut adalah daftar mahasiswa
yang mempunyai nilai uas rata-rata diatas 80 :
SELECT nrp,AVG(nilai_uas) FROM ambil_kuliah GROUP BY nrp HAVING
AVG(nilai_uas)>80
10. JOIN
Join adalah teknik yang digunakan untuk mengakses lebih dari satu tabel dan
menggabungkan hasilnya. Perhatikan tabel sesi di bawah ini
SELECT nrp, mahasiswa_XXX.nama, grade FROM ambil_kuliah_XXX,
mahasiswa_XXX WHERE ambil_kuliah_XXX.nrp=mahasiswa_XXX.nrp
Normalisasi adalah proses pembentukan struktur basis data sehingga sebagian besar ambiguity bisa dihilangkan.
Tahap Normalisasi dimulai dari tahap paling ringan (1NF) hingga paling ketat (5NF)
Biasanya hanya sampai pada tingkat 3NF atau BCNF karena sudah cukup memadai untuk menghasilkan tabel-tabel yang berkualitas baik.
Rabu, 01 September 2010
ANALISA SIFO
Pedoman-pedoman dalam Membuat Flowchart
Bagan alir (flowchart) adalah bagan (chart) yang menunjukkan alir (flow) di
dalam program atau prosedur sistem secara logika. Bagan alir digunakan terutama
untuk alat bantu komunikasi dan untuk dokumentasi. Pada waktu akan
menggambar suatu bagan alir, analis sistem atau pemrogam dapat mengikuti
pedoman-pedoman sebagai berikut ini. 1
1. Bagan alir sebaiknya digambar dari atas ke bawah dan mulai dari bagian kiri
dari suatu halaman.
2. Kegiatan di dalam bagan alir harus ditunjukkan dengan jelas.
3. Harus ditunjukkan dari mana kegiatan akan dimulai dan dimana akan
berakhirnya.
4. Masing-masing kegiatan di dalam bagan alir sebaiknya digunakan suatu kata
yang mewakili suatu pekerjaan, misalnya:
- "Persiapkan" dokumen
"Hitung" gaji
5. Masing-masing kegiatan di dalam bagan alir harus di dalam urutan yang
semestinya.
6. Kegiatan yang terpotong dan akan disambung di tempat lain harus
ditunjukkan dengan jelas menggunakan simbol penghubung.
7. Gunakanlah simbol-simbol bagan alir yang standar.
Jenis-jenis Flowchart
Ada lima macam bagan alir yang akan dibahas di modul ini, yaitu sebagai
berikut ini.
1. Bagan alir sistem (systems flowchart).
2. Bagan alir dokumen (document flowchart).
3. Bagan alir skematik (schematic flowchart).
4. Bagan alir program (program flowchart).
5. Bagan alir proses (process flowchart).
Systems Flowchart
Bagan alir sistem (systems flowchart) merupakan bagan yang menunjukkan
arus pekerjaan secara keseluruhan dari sistem. Bagan ini menjelaskan urut-urutan
dari prosedur-prosedur yang ada di dalam sistem. Bagan alir sistem menunjukkan
apa yang dikerjakan di sistem.
Document Flowchart
Bagan alir dokumen (document flowchart) atau disebut juga bagan alir
formulir ( f o rm flowchart) atau paperwork flowchart merupakan bagan alir yang
menunjukkan arus dari laporan dan formulir termasuk tembusan-tembusannya.
Bagan alir dokumen ini menggunakan simbol-simbol yang sama dengan yang
digunakan di dalam bagan alir sistem.
Schematic Flowchart
Bagan alir skematik (schematic flowchart) merupakan bagan alir yang mirip
dengan bagan alir sistem, yaitu untuk menggambarkan prosedur di dalam sistem.
Perbedaannya adalah, bagan alir skematik selain menggunakan simbol-simbol
bagan alir sistem, juga menggunakan gambar-gambar komputer dan peralatan
lainnya yang digunakan. Maksud penggunaan gambar-gambar ini adalah untuk
memudahkan komunikasi kepada orang yang kurang paham dengan simbol-simbol
bagan alir. Penggunaan gambar-gambar ini memudahkan untuk dipahami, tetapi
sulit dan lama menggambarnya.
Program Flowchart
Bagan alir program (program flowchart) merupakan bagan yang menjelaskan
secara rinci langkah-langkah dari proses program. Bagan alir program dibuat dari
derivikasi bagan alir sistem.
Konsep Perancangan Terstruktur
Karena banyak terjadi permasalahan-permasalahan di pendekatan klasik, maka
kebutuhan akan pendekatan pengembangan sistem yang lebih baik mulai terasa
dibutuhkan. Sayangnya sampai sekarang masih banyak orang yang tidak menyadari
bahwa hanya dengan mengikuti tahapan di life cycle saja tidak akan membuat
pengembangan sistem informasi menjadi berhasil. Oleh karena itu diperlukan suatu
pendekatan pengembangan sistem yang baru yang dilengkapi dengan beberapa alat
dan teknik supaya membuatnya berhasil.
Pendekatan ini yang dimulai dari awal tahun 1970 disebut dengan pendekatan
terstruktur (structured approach). Pendekatan terstruktur dilengkapi dengan alat-alat
(tools) dan teknik-teknik (techniques) yang dibutuhkan dalam pengembangan sistem,
sehingga hasil akhir dari sistem yang dikembangkan akan didapatkan sistem yang
strukturnya didefinisikan dengan baik dan jelas.
Melalui pendekatan
terstruktur, permasalahan-permasalahan yang komplek di organisasi dapat dipecahkan
dan hasil dari sistem akan mudah untuk dipelihara, fleksibel, lebih memuaskan
pemakainya, mempunyai dokumentasi yang baik, tepat pada waktunya, sesuai dengan
anggaran biaya pengembangannya, dapat meningkatkan produktivitas dan kualitasnya
akan lebih baik (bebas kesalahan).
Salah satu tools dan teknik dalam pengembangan sistem terstruktur adalah
menggunakan DFD (Data Flow Diagram = Diagram Arus Data, DAD).
Komponen DFD
Beberapa komponen atau simbol yang digunakan DFD untuk maksu mewakili :
1. external entity (kesatuan luar) atau boundary (batas sistem)
2. data flow (arus data)
3. process (proses)
4. data store (simpanan data)
KESATUAN LUAR
Setiap sistem pasti mempunyai batas sistem (boundary) yang memisahkan suatu
sistem dengan lingkungan luarnya. Sistem akan menerima input dan menghasilkan
output kepada lingkungan luarnya. Kesatuan luar (external entity) merupakan
kesatuan (entity) di lingkungan luar sistem yang dapat berupa orang, organisasi atau
sistem lainnya yang berada di lingkungan luarnya yang akan memberikan input atau
menerima output dari sistem. Kesatuan luar ini kebanyakan adalah salah satu dari
berikut ini :
a. Suatu kantor, departemen, atau divisi dalam perusahaan teatpi di luar sistem yang
sedang dikembangkan
b. Orang atau sekelompok orang di organisasis tetapi di luar sistem yang sedang
dikembangkan
c. Suatu organisasi atau orang uang berada di luar organisasi seperti misalnya
langganan, pemasok
d. Sistem infromasi yang lain di luar sistem yang sedang dikembangkan
e. Sumber asli dari suatu transaksi
f. Penerima akhir dari suatu laporan yang dihasilkan oleh system
ARUS DATA
Arus data (data flow) di DFD diberi simbol suatu panah. Arus data ini mengalir
diantara proses (process), simpanan data (data store) dan kesatuan luar (external
entity). Arus data ini menunjukkan arus dari data yang dapat berupa masukan untuk
sistem atau hasil dari proses sistem dan dapat berbentuk sebagai berikut ini :
a. Formulir atau dokumen yang digunakan di perusahaan
b. Laporan tercetak yang dihasilkan oleh sistem
c. Tampilan atau output di layar komputer yang dihasilkan oleh sistem
d. Masukan untuk komputer
e. Komunikasi ucapan
f. Surat-surat atau memo
g. Data yang dibaca atau direkamkan ke suatu file
h. Suatu isian yang dicatat pada buku agenda
i. Transmisi data dari suatu komputer ke komputer yang lain
PROSES
Suatu proses adalah kegiatan atau kerja yang dilakukan oleh orang, mesin atau
komputer dari hasil suatu arus data yang masuk ke dalam proses untuk dihasilkan
arus data yang akan keluar dari proses. Untuk physical data flow diagram (PDFD),
proses yang dapat dilakukan oleh orang, mesin atau komputer, sedang untuk logical
data flow diagram (LDFD), suatu proses hanya menunjukkan proses dari komputer.
Suatu proses dapat ditunjukkan dengan simbol lingkaran atau dengan simbol empat
persegi panjang tegak dengan sudut-sudutnya tumpul :
SIMPANAN DATA
Simpanan data (data store) merupakan simpanan dari data yang dapat berupa
sebagai berikut ini :
a. Suatu file atau database di sistem komputer
b. Suatu arsip atau catatan manual
c. Suatu kotak tempat data di meja seseorang
d. Suatu tabel acuan manual
e. Suatu agenda atau buku
Simpanan data di DFD dapat disimbolkan dengan sepasang garis horisontal paralel
yang tertutup di salah satu ujungnya
Desain Sistem Secara Umum
Tujuan dari desain sistem secara umum adalah untuk memberikan gambaran
secara umum kepada user tentang sistem yang baru. Desain sistem secara umum
merupakan persiapan dari desain terinci. Desain secara umum mengidentifikasikan
komponen-komponen sistem informasi yang akan didesain secara rinci. Desain terinci
dimaksudkan untuk pemrogram komputer dan ahli teknik lainnya yang akan
mengimplementasi sistem. Tahap desain sistem secara umum dilakukan setelah tahap
analisis sistem selesai dilakukan dan hasil analisis disetujui oleh manajemen.
Seperti halnya arsitek yang akan membangun rumah tempat tinggal, setelah
arsitek selesai melakukan analisis, maka arsitek mulai membuat sketsa secara garis
besar kepada calon pemakai rumah. Sketsa ini hanya dimaksudkan kepada calon
pemakai rumah, bukan kepada ahli teknik dan insinyur-insinyur teknik sispil yang
akan membangun rumah ini. Desain terinci yang memuat potongan-potongan gambar
dengan ukuran-ukurannya yang terinci akan dibuat setelah desain secara umum ini
disetujui oleh calon pemakai rumah. Arsitek belum akan menggambar detail
bangunannya dengan ukurannya terinci sebelum bentuk dan susunan rumah itu
sendiri disetujui oleh calon pemakai rumah.
Analisis sistem dapat mendesain model dari sistem informasi yang diusulkan
dalam bentuk physical systems dan logical model. Bagan alir sistem (systems
flowchart) merupakan alat yang tepat digunakan untuk menggambarkan physical
systems. Simbol-simbol bagan allir sistem ini menunjukkan secara tepat arti fisiknya,
seperti simbol terminal, hard disk, laporan-laporan.
Logical model dari sistem informasi lebih menjelaskan kepada user bagaimana
nantinya fungsi-fungsi di sistem informasi secara logika akan bekerja. Logical model
dapat digambar dengan menggunakan diagram arus data (data flow diagram). Arus
dari data di diagram arus data dapat dijelaskan dengan menggunakan kamus data
(data dictionary).
Sketsa dari physical systems dapat menunjukkan kepada user bagaimana nantinya
sistem secara fisik akan diterapkan. Pengolahan data dari sistem informasi berbasis
komputer membutuhkan metode-metode dan prosedur-prosedur. Metode-metode dan
prosedur-prosedur ini merupakan bagian dari model sistem informasi (model
prosedur) yang akan mendefinisikan urut-urutan kegiatan untuk menghasilkan output
dari input yang ada. Metode (method) adalah suatu cara untuk melakukan suatu
kegiatan. Suatu prosedur merupakan rencana tahap demi tahap untuk menerapkan
suatu metode. Bagan alir sistem (systems flowchart) merupakan alat berbentuk grafik
yang dapat digunakan untuk menunjukkan urut-urutan kegiatan dari sistem informasi
berbasis komputer ini. Seringkali gambar bagan alir sistem untuk sistem informasi
juga dapat digabung dengan bagan alir formulir dalam perusahaan untuk
menunjukkan hubungan dan prosedur antara sistem informasi dengn sistem-sistem
lainnya di perusahaan.
Pada tahap desain secara umum, komponen-komponen sistem informasi
dirancang dengan tujuan untuk dikomunikasikan kepada user bukan untuk
pemrogram. Komponen sistem informasi yang didesain adalah :
Desain Output
Output (keluaran) adalah produk dari sistem informasi yang dapat dilihat. Istilah
output ini kadang-kadang membingungkan, karena output dapat terdiri dari macammacam
jenis. Output dapat berupa hasil di media keras (seperti misalnya kertas,
microfilm) atau hasil di media lunak (berupa tampilan di layar video). Disamping itu
output dapat berupa hasil dari suatu proses yang akan digunakan oleh proses lain dan
tersimpan di suatu media seperti tape, disk atau kartu. Yang akan dimaksud dengan
output pada tahap desain ini adalah output yang berupa tampilan di media keras atau
di layar video.
TIPE OUTPUT
Output dapat diklasifikasikan ke dalam beberapa tipe, yaitu :
1. Output Intern (internal output)
Adalah output yang dimaksudkan untuk mendukung kegiatan manajemen. Output
ini akan tetap tinggal di dalam perusahaan dan akan disimpan sebagai arsip atau
dimusnahkan bila sudah tidak digunakan lagi. Output jenis ini dapat berupa
laporan-laporan terinci, laporan-laporan ringkasan dan laporan-laporan lainnya.
2. Output Ekstern (external output)
Adalah output yang akan didistribusikan kepada pihak luar yang
membutuhkannya. Contoh output ekstern adalah faktur, check, tanda terima
pembayaran dan lain sebagainya. Banyak output ekstern ini dibuat di formulir
yang sudah tercetak sebelumnya (preprinted form) dan sistem informasi hanya
menambahkan bagian-bagian tertentu yang masih harus diisi.
FORMAT OUTPUT
Bentuk atau format dari output dapat berupa keterangan-keterangan (narrative),
tabel atau pabrik. Yang paling banyak dihasilkan adalah output yang berbentuk tabel.
Akan tetapi sekarang dengan kemampuan teknologi komputer yang dapat
menampilkan bentuk grafik, maka output berupa grafik juga mulai banyak dihasilkan,
terutama ooutput untuk keperluan manajemen tingkat menengah ke atas.
LANGKAH-LANGKAH DESAIN OUTPUT SECARA UMUM
Desain output secara umum ini dapat dilakukan dengan langkah-langkah sebagai
berikut :
1. Menentukan kebutuhan output dari sistem baru
Output yang akan didesain dapat ditentukan dari diagram arus data, DAD, sistem
baru yang telah dibuat. Output di DAD ditunjukkan oleh arus data dari suatu
proses ke kesatuan luar atau dari suatu proses ke proses lainnya.
2. Menentukan parameter dari output
Setelah output-output yang akan didesain telah dapat ditentukan, maka parameter
dari output selanjutnya juga dapat ditentukan. Parameter ini meliputi tipe dari
output, formatnya, media yang digunakan, alat output yang digunakan, jumlah
tembusannya, distribusinya dan periode output
Desain Input
Bila berpikir tentang input, biasanya juga akan berpikir tentang alat input (input
device) yang akan digunakan, semacam keyboard, card reader dan lain sebagainya.
Alat input dapat digolongkan ke dalam 2 golongan, yaitu alat input langsung (online
input device). Alat input langsung merupakan alat input yang langsung dihubungkan
dengan CPU, misalnya adalah keyboard, mouse, touch screen dan lain sebagainya.
Alat input tidak langsung adalah alat input yang tidak langsung dihubungkan dengan
CPU, misalnya KTC (key-to-card), KTT (key-to-tape) dan KTD (key-to-disk).
PROSES INPUT
Tergantung dari alat input yang digunakan, proses dari input dapat melibatkan dua
atau tiga tahapan utama, yaitu :
1. Penangkapan data (data capture)
Merupakan proses mencatat kejadian nyata yang terjadi akibat transaksi yang
dilakukan oleh organisasi ke dalam dokumen dasar. Dokumen dasar merupakan
bukti transaksi.
2. Penyiapan data (data preparation)
Yaitu mengubah data yang telah ditangkap ke dalam bentuk yang dapat dibaca
oleh mesin (machine readable form, misalnya kartu plong, pita magnetik atau
disk magnetik)
3. Pemasukan data (data entry)
Merupakan proses membacakan atau memasukkan data ke dalam computer
Pengertian Wawancara
Wawancara dikenal sebagai teknik penemuan fakta yang paling penting dan paling sering digunakan. Interview/wawancara melibatkan sejumlah persyaratan yang dipenuhi melalui interaksi langsung/tatap muka. Wawancara dapat digunakan untuk mencapai beberapa atau semua tujuan berikut : menemukan fakta, validasi fakta, kejelasan fakta, antusiasme, mendapatkan pengguna yang terlibat, mengidentifikasi persyaratan, menyatukan berbagai ide dan opini. Ada dua aturan yang harus diperhatikan dalam wawancara. Analis system sebagai seorang interviewer (pewawancara), bertanggung jawab atas pengorganisasian dan pengadaan wawancara. Pengguna dan pemilik system adalah interviewee (orang yang diwawancarai), yang diminta untuk menjawab pertanyaan-pertanyaan yang diajukan. Wawancara memungkinkan analis sistem mendengar tujuan-tujuan, perasaan, pendapat dan prosedur-prosedur informal dalam wawancara dengan para pembuat keputusan organisasional.
Tujuan Wawancara
Analis sistem menggunakan wawancara untuk mengembangkan hubungan mereka dengan klien, mengobservasi tempat kerja, serta untuk mengumpulkan data-data yang berhubungan dengan kelengkapan informasi. Meskipun e-mail dapat digunakan untuk menyiapkan orang yang diwawancarai dengan memberi pertanyaanpertanyaan yang berkaitan dengan temuan, namun akan lebih baik bila wawancara dijalankan secara personal bukan elektronis.
Jenis Wawancara
Ada dua tipe wawancara, terstruktur dan tidak terstruktur.
2.4.a Unstructured interview /wawancara tidak terstruktur
Unstructured interview adalah wawancara yang dilakukan hanya dengan satu tujuan atau topik dan dengan beberapa beberapa, jika ada, pertanyaan spesifik. Unstructured interview ditandai dengan pertanyaan umum yang membolehkan orang yang diwawancarai untuk melakukan percakapan. Tipe ini sering keluar jalur, dan analis harus siap untuk mengembalikan wawancara ke tujuan semula. Oleh sebab itu, wawancara yang tidak terstruktur biasanya tidak bekerja dengan baik bagi analisis dan desain sistem.
2.4.b Structured Interview
Wawancara di mana pewawancara mempunyai sekumpulan pertanyaan spesifik untuk ditanyakan kepada inter iewee. Pewawancara meminta orang yang diwawancarai untuk menyajikan sebuah kerangka kerja dan mengarahkan percakapan. Pada structured interview/wawancara terstruktur, pewawancara mengajukan pertanyaan-pertanyaan khusus yang didesain untuk mengdapatkan jawaban khusus dari orang yang diwawancarai. Tergantung respons orang yang diwawancarai, pewawancara akan memberikan pertanyaan tambahan untuk mendapatkan klarifikasi atau penegasan. Beberapa pertanyaan ini dapat direncanakan dan lainnya bisa dilontarkan secara spontan.
Jenis-Jenis Pertanyaan
2.5.a Open-ended question
Pertanyaan yang membolehkan interviewee merespons dalam sembarang cars yang kelihatan tepat.
Beberapa contoh pertanyaan terbuka:
- Bagaimana pendapat Anda tentang kondisi bisnis ke bisnis ecommerce di peusahaan Anda ?
- Apa tujuan terpenting departemen Anda ?
- Sekali data diajukan lewat website bagaimana data-data tersebut akhirnya diproses ?
- Gambarkan proses monitoring yang tersedia secara online ?
- Apa rasa frustasi terbesar yang Anda alami selama masa peralihan menuju e-commerce ?
2.5.b Closed-ended question
Pertanyaan yang membatasi jawaban•jawaban pada pilihan spesifik atau respons langsung dan singkat.
Beberapa contoh pertanyaan tertutup:
- Berapa lama dalam seminggu gudang informasi proyek diperbaharui?
- Rata-rata berapa kali panggilan yang diterima pusat panggilan setiap bulannya ?
- Dari sumber-sumber informasi berikut yang mana yang paling bermanfaat menurut Anda ?
• Formulir keluhan konsumen
• Keluhan lewat e-mail dari konsumen yang mengunjungi website
• Interaksi tatap muka dengan konsumen
• Barang yang dikembalikan konsumen
Struktur-Struktur Pertanyaan
2.6.a Struktur Piramid
Dengan menggunakan bentuk ini, penanya mulai menanyakan pertanyaan-pertanyaan mendetail, biasanya berupa pertanyaan tertutup. Kemudian penanya memperluas topik dengan mengajukan pertanyaan-pertanyaan terbuka dan membuka respons-respons yang lebih umum.
Contoh:
- Bagaimana masalah yang Anda alami dengan firewall ?
- Apakah Anda mempertimbangkan metode-metode lain untuk meningkatkan keamanan data-data perusahaan ?
Struktur Corong
Struktur ini memulai wawancara dengan pertanyaan-pertanyaan umum dan terbuka, lalu membatasi respons dengan mengajukan pertanyaanpertanyaan yang lebih mendetail dan tertutup.
Contoh:
- Bagaimana reaksi Anda terhadap pencarian berbasis Web yang baru?
- Departeman mana yang akan mengimplemantasikannya ?
- Item-item apa yang tersedia untuk pembelian lewat situs ?
Struktur Berbentuk Wajik
Struktur ini harus dimulai dengan suatu cara khusus, kemudian menentukan hal-hal yang umum, dan akhirnya mengarah pada kesimpulan yang sangat spesifik.
Contoh:
- Sebutkan lima jenis informasi yang dibawa layanan penggunaan website secara gratis seperti yang Anda gunakan.
- Sebutkan kegiatan-kegiatan promosional yang Anda buat fiturnya di website untuk layanan ini.
Bagaimana Melakukan Wawancara
Memilih Orang yang Diwawancarai
Menyiapkan Wawancara
Kelebihan Teknik Wawancara
1. Wawancara memberikan kesempatan kepada pewawancara untuk memotivasi orang yang diwawancarai untuk menjawab dengan bebas dan terbuka terhadap pertanyaa-pertanyaan yang diajukan.
2. Memungkinkan pewawancara untuk mengembangkan pertanyaanpertanyaan sesuai dengan situasi yang berkembang.
3. Pewawancara dapat menilai kebenaran jawaban yang diberikan dari gerak-gerik dan raut wajah orang yang diwawancarai.
4. Pewawancara dapat menanyakan kegiatan-kegiatan khusus yang tidak selalu terjadi.
Kekurangan Wawancara
1. Proses wawancara membutuhkan waktu yang lama, sehingga secara relatif mahal dibandingkan dengan teknik yang lainnya.
2. Keberhasilan hasil wawancara sangat tergantung dari kepandaian pewawancara untuk melakukan hubungan antar manusia.
3. Wawancara tidak selalu tepat untuk kondisi-kondisi tenpat yang tertentu, misalnya di lokasi- lokasi yang ribut dan rmai.
4. Wawancara sangat menganggu kerja dari orang yang diwawancarai bila waktu yang dimilikinya sangat terbatas.
Joint Application Design (JAD)
Kelebihan utama dari JAD adalah :
1. Menghemat waktu wawancara.
2. Memungkinkan perkembangan yang cepat.
3. Kemungkinan pengembangan kepemilikan sistem informasi.
4. Pengembangan disain yang kreatif.
Sedangkan kekurangan dari JAD adalah sebagai berikut :
1. Membutuhkan komitmen waktu dari 18-20 partisipan.
2. Persiapan untuk setiap sesi JAD tidak cukup memadai terutama jika laporan tindak lanjut serta dokumentasi untuk spesifikasi tertentu tidak lengkap.
3. Keahlian organisasional dan budaya organisasional yang diperlukan tidak cukup dikembangkan sehingga memungkinkan upaya-upaya bersama yang lebih produktif.
Kelebihan teknik observasi:
1. Data yang dikumpulkan melalui observasi cenderung mempunyai
keandalan yang tinggi.
2. Penganalisis melalui observasi dapat melihat langsung apa yang sedang
dikerjakan. Pekerjaan-pekerjaan yang rumit kadang-kadang sulit untuk
dijelaskan dengan kata-kata. Melalui observasi, penganalisis dapat
mengidentifikasikan kegiatan-kegiatan yang tidak tepat yang telah
digambarkan oleh teknik pengumpulan data yang lain.
3. Dengan observasi, penganalisis dapat menggambarkan lingkungan fisik
dari kegiatan-kegiatan, misalnya tata letak fisik perlatan, penerangan,
gangguan suara, dsb.
Kekurangan teknik observasi:
1. Umumnya orang yang diamati merasa terganggu atau tidak nyaman,
sehingga akan melakukan pekerjaanya dengan tidak semestinya.
2. Pekerjaan yang sedang diobservasi mungkin tidak dapat mewakili suatu
tingkat kesulitas pekerjaan tertentu atau kegiatan-kegiatan khusus yang
tidak selalu dilakukan.
3. Observasi dapat mengganggu pekerjaan yang sedang dilakukan.
4. Orang yang diamati cenderung melakukan pekerjaannya dengan lebih
baik dari biasanya dan sering menutupi kejelekannya.
Konsep Dasar dalam Object Oriented Analysis and Design
Obyek
Obyek adalah benda secara fisik atau konseptual, yang dapat kita temui
disekeliling kita. Hardware, software, dokumen atau manusia dan bahkan konsep semuanya adalah contoh obyek. Untuk kepentingan memodelkan perusahaannya, seorang kepala eksekutif akan melihat gedung, karyawan, divisi, dokumen dan keuntungan sebagai obyek. Seorang teknisi mesin akan melihat ban, pintu, mesin, laju tertinggi dan banyaknya bahan bakar sebagai sebuah obyek. Dan seorang software engineer akan memandang tumpukan, antrian, jendela dan check box sebagai sebuah obyek.
Sebuah obyek memiliki keadaan (state) dan perilaku (behavior). State dari sebuah obyek adalah kondisi obyek tersebut atau himpunan dari keadaan yang menggambarkan obyek tersebut. Sebagai contoh, bola lampu adalah obyek, dan salah satu keadaan nyala atau tidak nyala adalah state dari obyek bola lampu
tersebut.
State dinyatakan dengan nilai dari sebuah atribut obyeknya. Atribut adalah
nilai internal suatu obyek yang mencerminkan antara lain karakteristik obyek, kondisi obyek, kondisi sesaat, koneksi dengan obyek lain dan identitas. Perubahan state dicerminkan oleh perilaku (behavior) obyek tersebut.
Behavior suatu obyek mendefinisikan bagaimana sebuah obyek bertindak
(beraksi) dan memberikan reaksi. Behavior ditentukan oleh himpunan semua atau beberapa operation yang dapat dilakukan dalam obyek itu sendiri. Behavior dari sebuah obyek dicerminkan oleh interface, service dan method dari obyek tersebut.
Interface adalah pintu untuk mengakses service obyek. Service adalah fungsi yang
bisa diemban obyek.Method adalah mekanisme internal obyek yang mencerminkan perilaku (behavior) obyek tersebut. Sebagai contoh, jika printer merupakan sebuah obyek maka perilaku (behavior) atau service nya mencetak apapun yang dia terima.
Keunggulan Object Oriented dalam Banyak Kasus
Sekarang ini terdapat beberapa paradigma yang digunakan dalam rekayasa software, diantaranya procedure-oriented, object-oriented, data structure-oriented, data flow-oriented dan constraint oriented. Tiap-tiap paradigma tersebut cocok untuk beberapa kasus dan bagian dari seluruh kemungkinan ruang lingkup aplikasi, tetapi menurut Booch berdasarkan pengalamannya, object-oriented dapat diaplikasikan dalam seluruh ruang lingkup.
Untuk memahami mengapa OOAD unggul dalam banyak kasus, harus memahami masalah yang dihadapi perusahaan rekayasa software. Pertama, software sulit untuk dimodifikasi bila memerlukan pengembangan. Kedua, proses pembuatan software memerlukan waktu yang cukup lama sehingga kadang kala melebihi anggaran dalam pembuatannya. Ketiga, para pogrammer selalu membuat software dari dasar karena tidak adanya kode yang bisa digunakan ulang (reuse)
Pemrograman Berorientasi Object
Pemrograman berorientasi obyek merupakan kelanjutan dari proses analisis dan desain berorientasi obyek. Dalam pemrograman berorientasi obyek ini, komponen yang didesain dalam proses desain kemudian diimplementasikan dengan menggunakan bahasa pemrograman berorientasi obyek. Syarat sebuah bahasa pemrograman berorientasi obyek adalah bila bahasa pemrograman tersebut memiliki fitur untuk mengimplementasikan ke 4 konsep berorientasi obyek, yaitu abstraksi1, encapsulation2, polymorphism3 dan inheritance4.
Bagan alir (flowchart) adalah bagan (chart) yang menunjukkan alir (flow) di
dalam program atau prosedur sistem secara logika. Bagan alir digunakan terutama
untuk alat bantu komunikasi dan untuk dokumentasi. Pada waktu akan
menggambar suatu bagan alir, analis sistem atau pemrogam dapat mengikuti
pedoman-pedoman sebagai berikut ini. 1
1. Bagan alir sebaiknya digambar dari atas ke bawah dan mulai dari bagian kiri
dari suatu halaman.
2. Kegiatan di dalam bagan alir harus ditunjukkan dengan jelas.
3. Harus ditunjukkan dari mana kegiatan akan dimulai dan dimana akan
berakhirnya.
4. Masing-masing kegiatan di dalam bagan alir sebaiknya digunakan suatu kata
yang mewakili suatu pekerjaan, misalnya:
- "Persiapkan" dokumen
"Hitung" gaji
5. Masing-masing kegiatan di dalam bagan alir harus di dalam urutan yang
semestinya.
6. Kegiatan yang terpotong dan akan disambung di tempat lain harus
ditunjukkan dengan jelas menggunakan simbol penghubung.
7. Gunakanlah simbol-simbol bagan alir yang standar.
Jenis-jenis Flowchart
Ada lima macam bagan alir yang akan dibahas di modul ini, yaitu sebagai
berikut ini.
1. Bagan alir sistem (systems flowchart).
2. Bagan alir dokumen (document flowchart).
3. Bagan alir skematik (schematic flowchart).
4. Bagan alir program (program flowchart).
5. Bagan alir proses (process flowchart).
Systems Flowchart
Bagan alir sistem (systems flowchart) merupakan bagan yang menunjukkan
arus pekerjaan secara keseluruhan dari sistem. Bagan ini menjelaskan urut-urutan
dari prosedur-prosedur yang ada di dalam sistem. Bagan alir sistem menunjukkan
apa yang dikerjakan di sistem.
Document Flowchart
Bagan alir dokumen (document flowchart) atau disebut juga bagan alir
formulir ( f o rm flowchart) atau paperwork flowchart merupakan bagan alir yang
menunjukkan arus dari laporan dan formulir termasuk tembusan-tembusannya.
Bagan alir dokumen ini menggunakan simbol-simbol yang sama dengan yang
digunakan di dalam bagan alir sistem.
Schematic Flowchart
Bagan alir skematik (schematic flowchart) merupakan bagan alir yang mirip
dengan bagan alir sistem, yaitu untuk menggambarkan prosedur di dalam sistem.
Perbedaannya adalah, bagan alir skematik selain menggunakan simbol-simbol
bagan alir sistem, juga menggunakan gambar-gambar komputer dan peralatan
lainnya yang digunakan. Maksud penggunaan gambar-gambar ini adalah untuk
memudahkan komunikasi kepada orang yang kurang paham dengan simbol-simbol
bagan alir. Penggunaan gambar-gambar ini memudahkan untuk dipahami, tetapi
sulit dan lama menggambarnya.
Program Flowchart
Bagan alir program (program flowchart) merupakan bagan yang menjelaskan
secara rinci langkah-langkah dari proses program. Bagan alir program dibuat dari
derivikasi bagan alir sistem.
Konsep Perancangan Terstruktur
Karena banyak terjadi permasalahan-permasalahan di pendekatan klasik, maka
kebutuhan akan pendekatan pengembangan sistem yang lebih baik mulai terasa
dibutuhkan. Sayangnya sampai sekarang masih banyak orang yang tidak menyadari
bahwa hanya dengan mengikuti tahapan di life cycle saja tidak akan membuat
pengembangan sistem informasi menjadi berhasil. Oleh karena itu diperlukan suatu
pendekatan pengembangan sistem yang baru yang dilengkapi dengan beberapa alat
dan teknik supaya membuatnya berhasil.
Pendekatan ini yang dimulai dari awal tahun 1970 disebut dengan pendekatan
terstruktur (structured approach). Pendekatan terstruktur dilengkapi dengan alat-alat
(tools) dan teknik-teknik (techniques) yang dibutuhkan dalam pengembangan sistem,
sehingga hasil akhir dari sistem yang dikembangkan akan didapatkan sistem yang
strukturnya didefinisikan dengan baik dan jelas.
Melalui pendekatan
terstruktur, permasalahan-permasalahan yang komplek di organisasi dapat dipecahkan
dan hasil dari sistem akan mudah untuk dipelihara, fleksibel, lebih memuaskan
pemakainya, mempunyai dokumentasi yang baik, tepat pada waktunya, sesuai dengan
anggaran biaya pengembangannya, dapat meningkatkan produktivitas dan kualitasnya
akan lebih baik (bebas kesalahan).
Salah satu tools dan teknik dalam pengembangan sistem terstruktur adalah
menggunakan DFD (Data Flow Diagram = Diagram Arus Data, DAD).
Komponen DFD
Beberapa komponen atau simbol yang digunakan DFD untuk maksu mewakili :
1. external entity (kesatuan luar) atau boundary (batas sistem)
2. data flow (arus data)
3. process (proses)
4. data store (simpanan data)
KESATUAN LUAR
Setiap sistem pasti mempunyai batas sistem (boundary) yang memisahkan suatu
sistem dengan lingkungan luarnya. Sistem akan menerima input dan menghasilkan
output kepada lingkungan luarnya. Kesatuan luar (external entity) merupakan
kesatuan (entity) di lingkungan luar sistem yang dapat berupa orang, organisasi atau
sistem lainnya yang berada di lingkungan luarnya yang akan memberikan input atau
menerima output dari sistem. Kesatuan luar ini kebanyakan adalah salah satu dari
berikut ini :
a. Suatu kantor, departemen, atau divisi dalam perusahaan teatpi di luar sistem yang
sedang dikembangkan
b. Orang atau sekelompok orang di organisasis tetapi di luar sistem yang sedang
dikembangkan
c. Suatu organisasi atau orang uang berada di luar organisasi seperti misalnya
langganan, pemasok
d. Sistem infromasi yang lain di luar sistem yang sedang dikembangkan
e. Sumber asli dari suatu transaksi
f. Penerima akhir dari suatu laporan yang dihasilkan oleh system
ARUS DATA
Arus data (data flow) di DFD diberi simbol suatu panah. Arus data ini mengalir
diantara proses (process), simpanan data (data store) dan kesatuan luar (external
entity). Arus data ini menunjukkan arus dari data yang dapat berupa masukan untuk
sistem atau hasil dari proses sistem dan dapat berbentuk sebagai berikut ini :
a. Formulir atau dokumen yang digunakan di perusahaan
b. Laporan tercetak yang dihasilkan oleh sistem
c. Tampilan atau output di layar komputer yang dihasilkan oleh sistem
d. Masukan untuk komputer
e. Komunikasi ucapan
f. Surat-surat atau memo
g. Data yang dibaca atau direkamkan ke suatu file
h. Suatu isian yang dicatat pada buku agenda
i. Transmisi data dari suatu komputer ke komputer yang lain
PROSES
Suatu proses adalah kegiatan atau kerja yang dilakukan oleh orang, mesin atau
komputer dari hasil suatu arus data yang masuk ke dalam proses untuk dihasilkan
arus data yang akan keluar dari proses. Untuk physical data flow diagram (PDFD),
proses yang dapat dilakukan oleh orang, mesin atau komputer, sedang untuk logical
data flow diagram (LDFD), suatu proses hanya menunjukkan proses dari komputer.
Suatu proses dapat ditunjukkan dengan simbol lingkaran atau dengan simbol empat
persegi panjang tegak dengan sudut-sudutnya tumpul :
SIMPANAN DATA
Simpanan data (data store) merupakan simpanan dari data yang dapat berupa
sebagai berikut ini :
a. Suatu file atau database di sistem komputer
b. Suatu arsip atau catatan manual
c. Suatu kotak tempat data di meja seseorang
d. Suatu tabel acuan manual
e. Suatu agenda atau buku
Simpanan data di DFD dapat disimbolkan dengan sepasang garis horisontal paralel
yang tertutup di salah satu ujungnya
Desain Sistem Secara Umum
Tujuan dari desain sistem secara umum adalah untuk memberikan gambaran
secara umum kepada user tentang sistem yang baru. Desain sistem secara umum
merupakan persiapan dari desain terinci. Desain secara umum mengidentifikasikan
komponen-komponen sistem informasi yang akan didesain secara rinci. Desain terinci
dimaksudkan untuk pemrogram komputer dan ahli teknik lainnya yang akan
mengimplementasi sistem. Tahap desain sistem secara umum dilakukan setelah tahap
analisis sistem selesai dilakukan dan hasil analisis disetujui oleh manajemen.
Seperti halnya arsitek yang akan membangun rumah tempat tinggal, setelah
arsitek selesai melakukan analisis, maka arsitek mulai membuat sketsa secara garis
besar kepada calon pemakai rumah. Sketsa ini hanya dimaksudkan kepada calon
pemakai rumah, bukan kepada ahli teknik dan insinyur-insinyur teknik sispil yang
akan membangun rumah ini. Desain terinci yang memuat potongan-potongan gambar
dengan ukuran-ukurannya yang terinci akan dibuat setelah desain secara umum ini
disetujui oleh calon pemakai rumah. Arsitek belum akan menggambar detail
bangunannya dengan ukurannya terinci sebelum bentuk dan susunan rumah itu
sendiri disetujui oleh calon pemakai rumah.
Analisis sistem dapat mendesain model dari sistem informasi yang diusulkan
dalam bentuk physical systems dan logical model. Bagan alir sistem (systems
flowchart) merupakan alat yang tepat digunakan untuk menggambarkan physical
systems. Simbol-simbol bagan allir sistem ini menunjukkan secara tepat arti fisiknya,
seperti simbol terminal, hard disk, laporan-laporan.
Logical model dari sistem informasi lebih menjelaskan kepada user bagaimana
nantinya fungsi-fungsi di sistem informasi secara logika akan bekerja. Logical model
dapat digambar dengan menggunakan diagram arus data (data flow diagram). Arus
dari data di diagram arus data dapat dijelaskan dengan menggunakan kamus data
(data dictionary).
Sketsa dari physical systems dapat menunjukkan kepada user bagaimana nantinya
sistem secara fisik akan diterapkan. Pengolahan data dari sistem informasi berbasis
komputer membutuhkan metode-metode dan prosedur-prosedur. Metode-metode dan
prosedur-prosedur ini merupakan bagian dari model sistem informasi (model
prosedur) yang akan mendefinisikan urut-urutan kegiatan untuk menghasilkan output
dari input yang ada. Metode (method) adalah suatu cara untuk melakukan suatu
kegiatan. Suatu prosedur merupakan rencana tahap demi tahap untuk menerapkan
suatu metode. Bagan alir sistem (systems flowchart) merupakan alat berbentuk grafik
yang dapat digunakan untuk menunjukkan urut-urutan kegiatan dari sistem informasi
berbasis komputer ini. Seringkali gambar bagan alir sistem untuk sistem informasi
juga dapat digabung dengan bagan alir formulir dalam perusahaan untuk
menunjukkan hubungan dan prosedur antara sistem informasi dengn sistem-sistem
lainnya di perusahaan.
Pada tahap desain secara umum, komponen-komponen sistem informasi
dirancang dengan tujuan untuk dikomunikasikan kepada user bukan untuk
pemrogram. Komponen sistem informasi yang didesain adalah :
Desain Output
Output (keluaran) adalah produk dari sistem informasi yang dapat dilihat. Istilah
output ini kadang-kadang membingungkan, karena output dapat terdiri dari macammacam
jenis. Output dapat berupa hasil di media keras (seperti misalnya kertas,
microfilm) atau hasil di media lunak (berupa tampilan di layar video). Disamping itu
output dapat berupa hasil dari suatu proses yang akan digunakan oleh proses lain dan
tersimpan di suatu media seperti tape, disk atau kartu. Yang akan dimaksud dengan
output pada tahap desain ini adalah output yang berupa tampilan di media keras atau
di layar video.
TIPE OUTPUT
Output dapat diklasifikasikan ke dalam beberapa tipe, yaitu :
1. Output Intern (internal output)
Adalah output yang dimaksudkan untuk mendukung kegiatan manajemen. Output
ini akan tetap tinggal di dalam perusahaan dan akan disimpan sebagai arsip atau
dimusnahkan bila sudah tidak digunakan lagi. Output jenis ini dapat berupa
laporan-laporan terinci, laporan-laporan ringkasan dan laporan-laporan lainnya.
2. Output Ekstern (external output)
Adalah output yang akan didistribusikan kepada pihak luar yang
membutuhkannya. Contoh output ekstern adalah faktur, check, tanda terima
pembayaran dan lain sebagainya. Banyak output ekstern ini dibuat di formulir
yang sudah tercetak sebelumnya (preprinted form) dan sistem informasi hanya
menambahkan bagian-bagian tertentu yang masih harus diisi.
FORMAT OUTPUT
Bentuk atau format dari output dapat berupa keterangan-keterangan (narrative),
tabel atau pabrik. Yang paling banyak dihasilkan adalah output yang berbentuk tabel.
Akan tetapi sekarang dengan kemampuan teknologi komputer yang dapat
menampilkan bentuk grafik, maka output berupa grafik juga mulai banyak dihasilkan,
terutama ooutput untuk keperluan manajemen tingkat menengah ke atas.
LANGKAH-LANGKAH DESAIN OUTPUT SECARA UMUM
Desain output secara umum ini dapat dilakukan dengan langkah-langkah sebagai
berikut :
1. Menentukan kebutuhan output dari sistem baru
Output yang akan didesain dapat ditentukan dari diagram arus data, DAD, sistem
baru yang telah dibuat. Output di DAD ditunjukkan oleh arus data dari suatu
proses ke kesatuan luar atau dari suatu proses ke proses lainnya.
2. Menentukan parameter dari output
Setelah output-output yang akan didesain telah dapat ditentukan, maka parameter
dari output selanjutnya juga dapat ditentukan. Parameter ini meliputi tipe dari
output, formatnya, media yang digunakan, alat output yang digunakan, jumlah
tembusannya, distribusinya dan periode output
Desain Input
Bila berpikir tentang input, biasanya juga akan berpikir tentang alat input (input
device) yang akan digunakan, semacam keyboard, card reader dan lain sebagainya.
Alat input dapat digolongkan ke dalam 2 golongan, yaitu alat input langsung (online
input device). Alat input langsung merupakan alat input yang langsung dihubungkan
dengan CPU, misalnya adalah keyboard, mouse, touch screen dan lain sebagainya.
Alat input tidak langsung adalah alat input yang tidak langsung dihubungkan dengan
CPU, misalnya KTC (key-to-card), KTT (key-to-tape) dan KTD (key-to-disk).
PROSES INPUT
Tergantung dari alat input yang digunakan, proses dari input dapat melibatkan dua
atau tiga tahapan utama, yaitu :
1. Penangkapan data (data capture)
Merupakan proses mencatat kejadian nyata yang terjadi akibat transaksi yang
dilakukan oleh organisasi ke dalam dokumen dasar. Dokumen dasar merupakan
bukti transaksi.
2. Penyiapan data (data preparation)
Yaitu mengubah data yang telah ditangkap ke dalam bentuk yang dapat dibaca
oleh mesin (machine readable form, misalnya kartu plong, pita magnetik atau
disk magnetik)
3. Pemasukan data (data entry)
Merupakan proses membacakan atau memasukkan data ke dalam computer
Pengertian Wawancara
Wawancara dikenal sebagai teknik penemuan fakta yang paling penting dan paling sering digunakan. Interview/wawancara melibatkan sejumlah persyaratan yang dipenuhi melalui interaksi langsung/tatap muka. Wawancara dapat digunakan untuk mencapai beberapa atau semua tujuan berikut : menemukan fakta, validasi fakta, kejelasan fakta, antusiasme, mendapatkan pengguna yang terlibat, mengidentifikasi persyaratan, menyatukan berbagai ide dan opini. Ada dua aturan yang harus diperhatikan dalam wawancara. Analis system sebagai seorang interviewer (pewawancara), bertanggung jawab atas pengorganisasian dan pengadaan wawancara. Pengguna dan pemilik system adalah interviewee (orang yang diwawancarai), yang diminta untuk menjawab pertanyaan-pertanyaan yang diajukan. Wawancara memungkinkan analis sistem mendengar tujuan-tujuan, perasaan, pendapat dan prosedur-prosedur informal dalam wawancara dengan para pembuat keputusan organisasional.
Tujuan Wawancara
Analis sistem menggunakan wawancara untuk mengembangkan hubungan mereka dengan klien, mengobservasi tempat kerja, serta untuk mengumpulkan data-data yang berhubungan dengan kelengkapan informasi. Meskipun e-mail dapat digunakan untuk menyiapkan orang yang diwawancarai dengan memberi pertanyaanpertanyaan yang berkaitan dengan temuan, namun akan lebih baik bila wawancara dijalankan secara personal bukan elektronis.
Jenis Wawancara
Ada dua tipe wawancara, terstruktur dan tidak terstruktur.
2.4.a Unstructured interview /wawancara tidak terstruktur
Unstructured interview adalah wawancara yang dilakukan hanya dengan satu tujuan atau topik dan dengan beberapa beberapa, jika ada, pertanyaan spesifik. Unstructured interview ditandai dengan pertanyaan umum yang membolehkan orang yang diwawancarai untuk melakukan percakapan. Tipe ini sering keluar jalur, dan analis harus siap untuk mengembalikan wawancara ke tujuan semula. Oleh sebab itu, wawancara yang tidak terstruktur biasanya tidak bekerja dengan baik bagi analisis dan desain sistem.
2.4.b Structured Interview
Wawancara di mana pewawancara mempunyai sekumpulan pertanyaan spesifik untuk ditanyakan kepada inter iewee. Pewawancara meminta orang yang diwawancarai untuk menyajikan sebuah kerangka kerja dan mengarahkan percakapan. Pada structured interview/wawancara terstruktur, pewawancara mengajukan pertanyaan-pertanyaan khusus yang didesain untuk mengdapatkan jawaban khusus dari orang yang diwawancarai. Tergantung respons orang yang diwawancarai, pewawancara akan memberikan pertanyaan tambahan untuk mendapatkan klarifikasi atau penegasan. Beberapa pertanyaan ini dapat direncanakan dan lainnya bisa dilontarkan secara spontan.
Jenis-Jenis Pertanyaan
2.5.a Open-ended question
Pertanyaan yang membolehkan interviewee merespons dalam sembarang cars yang kelihatan tepat.
Beberapa contoh pertanyaan terbuka:
- Bagaimana pendapat Anda tentang kondisi bisnis ke bisnis ecommerce di peusahaan Anda ?
- Apa tujuan terpenting departemen Anda ?
- Sekali data diajukan lewat website bagaimana data-data tersebut akhirnya diproses ?
- Gambarkan proses monitoring yang tersedia secara online ?
- Apa rasa frustasi terbesar yang Anda alami selama masa peralihan menuju e-commerce ?
2.5.b Closed-ended question
Pertanyaan yang membatasi jawaban•jawaban pada pilihan spesifik atau respons langsung dan singkat.
Beberapa contoh pertanyaan tertutup:
- Berapa lama dalam seminggu gudang informasi proyek diperbaharui?
- Rata-rata berapa kali panggilan yang diterima pusat panggilan setiap bulannya ?
- Dari sumber-sumber informasi berikut yang mana yang paling bermanfaat menurut Anda ?
• Formulir keluhan konsumen
• Keluhan lewat e-mail dari konsumen yang mengunjungi website
• Interaksi tatap muka dengan konsumen
• Barang yang dikembalikan konsumen
Struktur-Struktur Pertanyaan
2.6.a Struktur Piramid
Dengan menggunakan bentuk ini, penanya mulai menanyakan pertanyaan-pertanyaan mendetail, biasanya berupa pertanyaan tertutup. Kemudian penanya memperluas topik dengan mengajukan pertanyaan-pertanyaan terbuka dan membuka respons-respons yang lebih umum.
Contoh:
- Bagaimana masalah yang Anda alami dengan firewall ?
- Apakah Anda mempertimbangkan metode-metode lain untuk meningkatkan keamanan data-data perusahaan ?
Struktur Corong
Struktur ini memulai wawancara dengan pertanyaan-pertanyaan umum dan terbuka, lalu membatasi respons dengan mengajukan pertanyaanpertanyaan yang lebih mendetail dan tertutup.
Contoh:
- Bagaimana reaksi Anda terhadap pencarian berbasis Web yang baru?
- Departeman mana yang akan mengimplemantasikannya ?
- Item-item apa yang tersedia untuk pembelian lewat situs ?
Struktur Berbentuk Wajik
Struktur ini harus dimulai dengan suatu cara khusus, kemudian menentukan hal-hal yang umum, dan akhirnya mengarah pada kesimpulan yang sangat spesifik.
Contoh:
- Sebutkan lima jenis informasi yang dibawa layanan penggunaan website secara gratis seperti yang Anda gunakan.
- Sebutkan kegiatan-kegiatan promosional yang Anda buat fiturnya di website untuk layanan ini.
Bagaimana Melakukan Wawancara
Memilih Orang yang Diwawancarai
Menyiapkan Wawancara
Kelebihan Teknik Wawancara
1. Wawancara memberikan kesempatan kepada pewawancara untuk memotivasi orang yang diwawancarai untuk menjawab dengan bebas dan terbuka terhadap pertanyaa-pertanyaan yang diajukan.
2. Memungkinkan pewawancara untuk mengembangkan pertanyaanpertanyaan sesuai dengan situasi yang berkembang.
3. Pewawancara dapat menilai kebenaran jawaban yang diberikan dari gerak-gerik dan raut wajah orang yang diwawancarai.
4. Pewawancara dapat menanyakan kegiatan-kegiatan khusus yang tidak selalu terjadi.
Kekurangan Wawancara
1. Proses wawancara membutuhkan waktu yang lama, sehingga secara relatif mahal dibandingkan dengan teknik yang lainnya.
2. Keberhasilan hasil wawancara sangat tergantung dari kepandaian pewawancara untuk melakukan hubungan antar manusia.
3. Wawancara tidak selalu tepat untuk kondisi-kondisi tenpat yang tertentu, misalnya di lokasi- lokasi yang ribut dan rmai.
4. Wawancara sangat menganggu kerja dari orang yang diwawancarai bila waktu yang dimilikinya sangat terbatas.
Joint Application Design (JAD)
Kelebihan utama dari JAD adalah :
1. Menghemat waktu wawancara.
2. Memungkinkan perkembangan yang cepat.
3. Kemungkinan pengembangan kepemilikan sistem informasi.
4. Pengembangan disain yang kreatif.
Sedangkan kekurangan dari JAD adalah sebagai berikut :
1. Membutuhkan komitmen waktu dari 18-20 partisipan.
2. Persiapan untuk setiap sesi JAD tidak cukup memadai terutama jika laporan tindak lanjut serta dokumentasi untuk spesifikasi tertentu tidak lengkap.
3. Keahlian organisasional dan budaya organisasional yang diperlukan tidak cukup dikembangkan sehingga memungkinkan upaya-upaya bersama yang lebih produktif.
Kelebihan teknik observasi:
1. Data yang dikumpulkan melalui observasi cenderung mempunyai
keandalan yang tinggi.
2. Penganalisis melalui observasi dapat melihat langsung apa yang sedang
dikerjakan. Pekerjaan-pekerjaan yang rumit kadang-kadang sulit untuk
dijelaskan dengan kata-kata. Melalui observasi, penganalisis dapat
mengidentifikasikan kegiatan-kegiatan yang tidak tepat yang telah
digambarkan oleh teknik pengumpulan data yang lain.
3. Dengan observasi, penganalisis dapat menggambarkan lingkungan fisik
dari kegiatan-kegiatan, misalnya tata letak fisik perlatan, penerangan,
gangguan suara, dsb.
Kekurangan teknik observasi:
1. Umumnya orang yang diamati merasa terganggu atau tidak nyaman,
sehingga akan melakukan pekerjaanya dengan tidak semestinya.
2. Pekerjaan yang sedang diobservasi mungkin tidak dapat mewakili suatu
tingkat kesulitas pekerjaan tertentu atau kegiatan-kegiatan khusus yang
tidak selalu dilakukan.
3. Observasi dapat mengganggu pekerjaan yang sedang dilakukan.
4. Orang yang diamati cenderung melakukan pekerjaannya dengan lebih
baik dari biasanya dan sering menutupi kejelekannya.
Konsep Dasar dalam Object Oriented Analysis and Design
Obyek
Obyek adalah benda secara fisik atau konseptual, yang dapat kita temui
disekeliling kita. Hardware, software, dokumen atau manusia dan bahkan konsep semuanya adalah contoh obyek. Untuk kepentingan memodelkan perusahaannya, seorang kepala eksekutif akan melihat gedung, karyawan, divisi, dokumen dan keuntungan sebagai obyek. Seorang teknisi mesin akan melihat ban, pintu, mesin, laju tertinggi dan banyaknya bahan bakar sebagai sebuah obyek. Dan seorang software engineer akan memandang tumpukan, antrian, jendela dan check box sebagai sebuah obyek.
Sebuah obyek memiliki keadaan (state) dan perilaku (behavior). State dari sebuah obyek adalah kondisi obyek tersebut atau himpunan dari keadaan yang menggambarkan obyek tersebut. Sebagai contoh, bola lampu adalah obyek, dan salah satu keadaan nyala atau tidak nyala adalah state dari obyek bola lampu
tersebut.
State dinyatakan dengan nilai dari sebuah atribut obyeknya. Atribut adalah
nilai internal suatu obyek yang mencerminkan antara lain karakteristik obyek, kondisi obyek, kondisi sesaat, koneksi dengan obyek lain dan identitas. Perubahan state dicerminkan oleh perilaku (behavior) obyek tersebut.
Behavior suatu obyek mendefinisikan bagaimana sebuah obyek bertindak
(beraksi) dan memberikan reaksi. Behavior ditentukan oleh himpunan semua atau beberapa operation yang dapat dilakukan dalam obyek itu sendiri. Behavior dari sebuah obyek dicerminkan oleh interface, service dan method dari obyek tersebut.
Interface adalah pintu untuk mengakses service obyek. Service adalah fungsi yang
bisa diemban obyek.Method adalah mekanisme internal obyek yang mencerminkan perilaku (behavior) obyek tersebut. Sebagai contoh, jika printer merupakan sebuah obyek maka perilaku (behavior) atau service nya mencetak apapun yang dia terima.
Keunggulan Object Oriented dalam Banyak Kasus
Sekarang ini terdapat beberapa paradigma yang digunakan dalam rekayasa software, diantaranya procedure-oriented, object-oriented, data structure-oriented, data flow-oriented dan constraint oriented. Tiap-tiap paradigma tersebut cocok untuk beberapa kasus dan bagian dari seluruh kemungkinan ruang lingkup aplikasi, tetapi menurut Booch berdasarkan pengalamannya, object-oriented dapat diaplikasikan dalam seluruh ruang lingkup.
Untuk memahami mengapa OOAD unggul dalam banyak kasus, harus memahami masalah yang dihadapi perusahaan rekayasa software. Pertama, software sulit untuk dimodifikasi bila memerlukan pengembangan. Kedua, proses pembuatan software memerlukan waktu yang cukup lama sehingga kadang kala melebihi anggaran dalam pembuatannya. Ketiga, para pogrammer selalu membuat software dari dasar karena tidak adanya kode yang bisa digunakan ulang (reuse)
Pemrograman Berorientasi Object
Pemrograman berorientasi obyek merupakan kelanjutan dari proses analisis dan desain berorientasi obyek. Dalam pemrograman berorientasi obyek ini, komponen yang didesain dalam proses desain kemudian diimplementasikan dengan menggunakan bahasa pemrograman berorientasi obyek. Syarat sebuah bahasa pemrograman berorientasi obyek adalah bila bahasa pemrograman tersebut memiliki fitur untuk mengimplementasikan ke 4 konsep berorientasi obyek, yaitu abstraksi1, encapsulation2, polymorphism3 dan inheritance4.
Jumat, 09 Juli 2010
sql inject
SQL INJECTION
Pengertian SQL Injection
1) SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client.
2) SQL Injection merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.
Sebab terjadinya SQL Injection
1) Tidak adanya penanganan terhadap karakter – karakter tanda petik satu ’ dan juga karakter double minus -- yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL.
2) Sehingga seorang Hacker menyisipkan perintah SQL kedalam suatu parameter maupun suatu form.
Bug SQL Injection berbahaya ?
1) Teknik ini memungkinkan seseorang dapat login kedalam sistem tanpa harus memiliki account.
2) Selain itu SQL injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data–data yang berada didalam database.
3) Bahkan yang lebih berbahaya lagi yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.
Apa saja yang diperlukan untuk melakukan SQL Injection ?
1) Internet Exploler / Browser
2) PC yang terhubung internet
3) Program atau software seperti softice
Contoh sintaks SQL Injection
Contoh sintak SQL dalam PHP
1) $SQL = “select * from login where username =’$username’ and password = ‘$password’”; , {dari GET atau POST variable }
2) isikan password dengan string ’ or ’’ = ’
3) hasilnya maka SQL akan seperti ini = “select * from login where username = ’$username’ and password=’pass’ or ‘=′”; , { dengan SQL ini hasil selection akan selalu TRUE }
4) maka kita bisa inject sintax SQL (dalam hal ini OR) kedalam SQL
Gambar contoh SQL Injection
Contoh sintaks SQL Injection
1) Sintaks SQL string ‘-- setelah nama username
2) Query database awal :
Berubah menjadi :
Contoh sintaks SQL Injection
SQL Injection melalui URL, contohnya :
Penanganan SQL Injection
1) Merubah script php
2) Menggunakan MySQL_escape_string
3) Pemfilteran karakter ‘ dengan memodifikasi php.ini
1. Merubah script php
Contoh script php semula :
$query = "select id,name,email,password,type,block from user " .
"where email = '$Email' and password = '$Password'";
$hasil = mySQL_query($query, $id_mySQL);
while($row = mySQL_fetch_row($hasil))
{
$Id = $row[0];
$name = $row[1];
$email = $row[2];
$password = $row[3];
$type = $row[4];
$block = $row[5];
}
if(strcmp($block, 'yes') == 0)
{
echo "\n";
exit();
}
else if(!empty($Id) && !empty($name) && !empty($email) && !empty($password));
Script diatas memungkinkan seseorang dapat login dengan menyisipkan perintah SQL kedalam form login. Ketika hacker menyisipkan karakter ’ or ’’ = ’ kedalam form email dan password maka akan terbentuk query sebagai berikut :
Maka dilakukan perubahan script menjadi :
$query = "select id,name,email,password,type,block from user".
"where email = '$Email'";
$hasil = mySQL_query($query, $id_mySQL);
while($row = mySQL_fetch_row($hasil))
{
$Id = $row[0];
$name = $row[1];
$email = $row[2];
$password = $row[3];
$type = $row[4];
$block = $row[5];
}
if(strcmp($block, 'yes') == 0)
{
echo "\n";
exit();
}
$pass = md5($Password);
else if((strcmp($Email,$email) == 0) && strcmp($pass,$password) == 0));
2. Menggunakan MySQL_escape_string
Merubah string yang mengandung karakter ‘ menjadi \’ misal SQL injec’tion menjadi SQL injec\’tion
Contoh : $kar = “SQL injec’tion”;
$filter = mySQL_escape_string($kar);
echo”Hasil filter : $filter”;
Hasilnya :
3. Pemfilteran karakter ‘ dengan memodifikasi php.ini
Modifikasi dilakukan dengan mengenablekan variabel magic_quotes pada php.ini sehingga menyebabkan string maupun karakter ‘ diubah menjadi \’ secara otomatis oleh php
Contoh :
Contoh script yang membatasi karakter yang bisa masukkan :
function validatepassword( input )
good_password_chars =
"abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
validatepassword = true
for i = 1 to len( input )
c = mid( input, i, 1 )
if ( InStr( good_password_chars, c ) = 0 ) then
validatepassword = false
exit function
end if
next
end function
Implementasi SQL Injection
1) Masuk ke google atau browse yg lain
2) Masukkan salah satu keyword berikut
"/admin.asp"
"/login.asp"
"/logon.asp"
"/adminlogin.asp"
"/adminlogon.asp"
"/admin_login.asp"
"/admin_logon.asp"
"/admin/admin.asp"
"/admin/login.asp"
"/admin/logon.asp"
{anda bisa menambahi sendiri sesuai keinginan anda}
3) Bukalah salah satu link yang ditemukan oleh google, kemungkinan Anda akan menjumpai sebuah halaman login (user name danpassword).
4) Masukkan kode berikut :
User name : ` or `a'='a
Password : ` or `a'='a (termasuk tanda petiknya)
5) Jika berhasil, kemungkinan Anda akan masuk ke admin panel, di mana Anda bisa menambahkan berita, mengedit user yang lain, merubah about,
dan lain-lain. Jika beruntung Anda bisa mendapatkan daftar kredit card yang banyak.
6) Jika tidak berhasil, cobalah mencari link yang lain yang ditemukan oleh google.
7) Banyak variasi kode yang mungkin, antara lain :
User name : admin
Password : ` or `a'='a
atau bisa dimasukkan ke dua–duanya misal :
‘ or 0=0 -- ; “ or 0=0 -- ; or 0=0 -- ; ‘ or 0=0 # ;
“ or 0=0 # ; ‘ or’x’=’x ; “ or “x”=”x ; ‘) or (‘x’=’x
8) Cobalah sampai berhasil hingga anda bisa masuk ke admin panel
Cara pencegahan SQL INJECTION
1) Batasi panjang input box (jika memungkinkan), dengan
cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang.
2) Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
3) Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
4) Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.
5) Ubah "Startup and run SQL Server" menggunakan low privilege user di SQL Server Security tab.
Hacking adalah seni. Hacking adalah perpaduan dari pengetahuan, kreatifitas dan kesabaran. Jika Anda memiliki ketiga-tiganya Anda akan berhasil.
R E F E R E N S I
1) -------------, SQLinjection, (www.BlackAngels.it).
2) -------------, Advanced SQL injection in SQL server applications, (www.ngssoftware.com).
3) -------------, SQL injection walktrough (www.securiteam.com).
4) BM-100, ”Hacking hiltonjakarta.com (SQL Injection)”, 24 Juli 2005, (http://www.jasakom.com).
5) Budi Raharjo, ”Keamanan Sistem Informasi Berbasis Internet”, PT Insan Indonesia & PT INDOCISC, Jakarta,2002.
Pengertian SQL Injection
1) SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client.
2) SQL Injection merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.
Sebab terjadinya SQL Injection
1) Tidak adanya penanganan terhadap karakter – karakter tanda petik satu ’ dan juga karakter double minus -- yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL.
2) Sehingga seorang Hacker menyisipkan perintah SQL kedalam suatu parameter maupun suatu form.
Bug SQL Injection berbahaya ?
1) Teknik ini memungkinkan seseorang dapat login kedalam sistem tanpa harus memiliki account.
2) Selain itu SQL injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data–data yang berada didalam database.
3) Bahkan yang lebih berbahaya lagi yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.
Apa saja yang diperlukan untuk melakukan SQL Injection ?
1) Internet Exploler / Browser
2) PC yang terhubung internet
3) Program atau software seperti softice
Contoh sintaks SQL Injection
Contoh sintak SQL dalam PHP
1) $SQL = “select * from login where username =’$username’ and password = ‘$password’”; , {dari GET atau POST variable }
2) isikan password dengan string ’ or ’’ = ’
3) hasilnya maka SQL akan seperti ini = “select * from login where username = ’$username’ and password=’pass’ or ‘=′”; , { dengan SQL ini hasil selection akan selalu TRUE }
4) maka kita bisa inject sintax SQL (dalam hal ini OR) kedalam SQL
Gambar contoh SQL Injection
Contoh sintaks SQL Injection
1) Sintaks SQL string ‘-- setelah nama username
2) Query database awal :
Berubah menjadi :
Contoh sintaks SQL Injection
SQL Injection melalui URL, contohnya :
Penanganan SQL Injection
1) Merubah script php
2) Menggunakan MySQL_escape_string
3) Pemfilteran karakter ‘ dengan memodifikasi php.ini
1. Merubah script php
Contoh script php semula :
$query = "select id,name,email,password,type,block from user " .
"where email = '$Email' and password = '$Password'";
$hasil = mySQL_query($query, $id_mySQL);
while($row = mySQL_fetch_row($hasil))
{
$Id = $row[0];
$name = $row[1];
$email = $row[2];
$password = $row[3];
$type = $row[4];
$block = $row[5];
}
if(strcmp($block, 'yes') == 0)
{
echo "\n";
exit();
}
else if(!empty($Id) && !empty($name) && !empty($email) && !empty($password));
Script diatas memungkinkan seseorang dapat login dengan menyisipkan perintah SQL kedalam form login. Ketika hacker menyisipkan karakter ’ or ’’ = ’ kedalam form email dan password maka akan terbentuk query sebagai berikut :
Maka dilakukan perubahan script menjadi :
$query = "select id,name,email,password,type,block from user".
"where email = '$Email'";
$hasil = mySQL_query($query, $id_mySQL);
while($row = mySQL_fetch_row($hasil))
{
$Id = $row[0];
$name = $row[1];
$email = $row[2];
$password = $row[3];
$type = $row[4];
$block = $row[5];
}
if(strcmp($block, 'yes') == 0)
{
echo "\n";
exit();
}
$pass = md5($Password);
else if((strcmp($Email,$email) == 0) && strcmp($pass,$password) == 0));
2. Menggunakan MySQL_escape_string
Merubah string yang mengandung karakter ‘ menjadi \’ misal SQL injec’tion menjadi SQL injec\’tion
Contoh : $kar = “SQL injec’tion”;
$filter = mySQL_escape_string($kar);
echo”Hasil filter : $filter”;
Hasilnya :
3. Pemfilteran karakter ‘ dengan memodifikasi php.ini
Modifikasi dilakukan dengan mengenablekan variabel magic_quotes pada php.ini sehingga menyebabkan string maupun karakter ‘ diubah menjadi \’ secara otomatis oleh php
Contoh :
Contoh script yang membatasi karakter yang bisa masukkan :
function validatepassword( input )
good_password_chars =
"abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
validatepassword = true
for i = 1 to len( input )
c = mid( input, i, 1 )
if ( InStr( good_password_chars, c ) = 0 ) then
validatepassword = false
exit function
end if
next
end function
Implementasi SQL Injection
1) Masuk ke google atau browse yg lain
2) Masukkan salah satu keyword berikut
"/admin.asp"
"/login.asp"
"/logon.asp"
"/adminlogin.asp"
"/adminlogon.asp"
"/admin_login.asp"
"/admin_logon.asp"
"/admin/admin.asp"
"/admin/login.asp"
"/admin/logon.asp"
{anda bisa menambahi sendiri sesuai keinginan anda}
3) Bukalah salah satu link yang ditemukan oleh google, kemungkinan Anda akan menjumpai sebuah halaman login (user name danpassword).
4) Masukkan kode berikut :
User name : ` or `a'='a
Password : ` or `a'='a (termasuk tanda petiknya)
5) Jika berhasil, kemungkinan Anda akan masuk ke admin panel, di mana Anda bisa menambahkan berita, mengedit user yang lain, merubah about,
dan lain-lain. Jika beruntung Anda bisa mendapatkan daftar kredit card yang banyak.
6) Jika tidak berhasil, cobalah mencari link yang lain yang ditemukan oleh google.
7) Banyak variasi kode yang mungkin, antara lain :
User name : admin
Password : ` or `a'='a
atau bisa dimasukkan ke dua–duanya misal :
‘ or 0=0 -- ; “ or 0=0 -- ; or 0=0 -- ; ‘ or 0=0 # ;
“ or 0=0 # ; ‘ or’x’=’x ; “ or “x”=”x ; ‘) or (‘x’=’x
8) Cobalah sampai berhasil hingga anda bisa masuk ke admin panel
Cara pencegahan SQL INJECTION
1) Batasi panjang input box (jika memungkinkan), dengan
cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang.
2) Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
3) Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
4) Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.
5) Ubah "Startup and run SQL Server" menggunakan low privilege user di SQL Server Security tab.
Hacking adalah seni. Hacking adalah perpaduan dari pengetahuan, kreatifitas dan kesabaran. Jika Anda memiliki ketiga-tiganya Anda akan berhasil.
R E F E R E N S I
1) -------------, SQLinjection, (www.BlackAngels.it).
2) -------------, Advanced SQL injection in SQL server applications, (www.ngssoftware.com).
3) -------------, SQL injection walktrough (www.securiteam.com).
4) BM-100, ”Hacking hiltonjakarta.com (SQL Injection)”, 24 Juli 2005, (http://www.jasakom.com).
5) Budi Raharjo, ”Keamanan Sistem Informasi Berbasis Internet”, PT Insan Indonesia & PT INDOCISC, Jakarta,2002.
Kamis, 08 Juli 2010
Keamanan Sifo
Pendahuluan
• Relevansi keamanan sistem informasi
– Informasi sebagai komoditi ekonomi ® obyek kepemilikan yang harus dijaga
– Informasi menciptakan “dunia” baru (mis: Internet) ® membawa beragam dinamika dari dunia nyata
• Komunikasi digital (e-mail, e-news, …)
• Aktifitas digital (e-commerce, e-learning, …)
• Konflik digital (cyber war, …)
• Mengapa sistem informasi rentan terhadap gangguan keamanan
– Sistem yg dirancang untuk bersifat “terbuka” (mis: Internet)
• Tidak ada batas fisik dan kontrol terpusat
• Perkembangan jaringan (internetworking) yang amat cepat
– Sikap dan pandangan pemakai
• Aspek keamanan belum banyak dimengerti
• Menempatkan keamanan sistem pada prioritas rendah
– Tidak ada solusi yang komprehensif
• Solusi terhadap masalah keamanan sistem informasi
– Pusat-pusat informasi tentang keamanan
• CERT
• Milis-milis tentang keamanan sistem
• Institusi lainnya: SecurityFocus, Symantec
– Penggunaan mekanisme deteksi global
• Pembentukan jaringan tim penanggap insiden di seluruh dunia
– Peningkatan kesadaran terhadap masalah keamanan
• Pendidikan bagi pengguna umum
• Pelatihan bagi personil teknis (administrator sistem dan jaringan, CIO, CTO)
Konsep-konsep Keamanan
• Keamanan sebagai bagian dari sistem QoS
– Ketersediaan, kehandalan, kepastian operasional, dan keamanan
– Keamanan: perlindungan thdp obyek-obyek dlm kaitannya dengan kerahasiaan dan integritas
• Obyek ® komponen pasif
– CPU, disk, program, …
• Subyek ® komponen aktif
– pemakai, proses, …
– Keamanan sbg. fungsi waktu: Sec(t)
• Memungkinkan kuantifikasi tingkat-tingkat keamanan, mirip dengan konsep MTTF (mean time to failure) pada kehandalan
• Biaya pengamanan sistem
– Pengertian “aman”: penyusup hrs mengeluarkan usaha, biaya, dan waktu yg besar utk dpt menembus sistem
– Biaya pengamanan ® kombinasi banyak faktor yg saling berpengaruh
– Perlu dicari optimisasi: biaya pengamanan vs potensi kerusakan
Konsep-konsep Keamanan
• Kebijakan keamanan
– Mengatur apa yang diijinkan dan tidak diijinkan dlm operasi normal
• Mengatur bgmn subyek dapat mengakses obyek
– Sering bersifat “politis” drpd teknis
– Harus mencerminkan proteksi thdp sistem secara seimbang, komprehen-sif, dan cost-effective
– Proses: analisis ancaman ® kebijakan keamanan ® mekanisme pengamanan
• Analisis ancaman: memperkirakan jenis ancaman dan potensi merusaknya
• Mekanisme pengamanan: implementasi kebijakan keamanan
– Kebijakan keamanan harus berfungsi dengan baik sekaligus mudah dipakai
• Dapat mencegah penyusup pada umumnya
• Mampu menarik pemakai untuk mengguna-kannya
•
Aspek-aspek dalam Masalah Keamanan
• Kerahasiaan
– Melindungi obyek informasi dari pelepasan (release) yg tidak sah
– Melindungi obyek resource dari akses yg tidak sah
• Integritas
– Menjaga obyek agar tetap dapat dipercaya (trustworthy)
– Melindungi obyek dari modifikasi yang tidak sah
Sistem Deteksi Intrusi
• Deteksi intrusi:
– Teknologi pengamanan sistem untuk menghadapi serangan dan penyalah-gunaan sistem
– Mengumpulkan info dari berbagai sumber di sistem dan jaringan, lalu menganalisisnya dari sudut pandang kelemahan pengamanan (security vulnerabilities)
• Relevansi
– Kenaikan tingkat pembobolan sistem sebesar 22% (1996 - 1998)
• Fungsi-fungsi
– Pemantauan dan analisis aktivitas pemakai dan sistem
– Audit terhadap konfigurasi dan kelemahan sistem
– Prakiraan integritas file-file sistem dan data
– Pengenalan pola-pola serangan
– Analisis statistik ttg. pola-pola abnormal
• Proses
– Kombinasi berbagai aktifitas peman-tauan, audit, dan prakiraan
– Dilakukan secara kontinyu
– Diawali dengan prakiraan kelemahan (vulnerability assessment)
• Identifikasi kelemahan sistem yg memung-kinkan terjadinya penyelewengan sistem pengamanan
• Teknik pasif: memeriksa konfigurasi sistem, file password, dsb.
• Teknik aktif: mengevaluasi performance sistem pengamanan melalui simulasi serangan
• Tools: scanners
• Hasil prakiraan menunjukkan snapshot kondisi keamanan sistem pd suatu saat
• Tidak bisa mendeteksi serangan yg sedang berlangsung
• Bisa menunjukkan bahwa sebuah serangan mungkin terjadi
• Kadang-kadang bisa menunjukkan bahwa sebuah serangan telah terjadi
Keuntungan Sistem Deteksi Intrusi
• Memberikan perlindungan yg lebih luas dalam pengamanan sistem
• Membantu memahami apa yg terjadi di dalam sistem
• Dukungan teknis:
– Melacak aktivitas pemakai dari awal sampai akhir
– Mengenal dan melaporkan usaha-usaha modifikasi file
– Mengetahui kelemahan konfigurasi sistem
– Mengenali bahwa sistem telah atau potensial untuk diserang
• Memungkinkan operasional pengamanan sistem dilakukan oleh staf tanpa keahlian spesifik
• Membantu penyusunan kebijakan dan prosedur pengamanan sistem
Kelemahan Sistem Deteksi Intrusi
• Bukan solusi total untuk masalah keamanan sistem
• Tidak bisa mengkompensasi kelemahan:
– mekanisme identifikasi dan autentifikasi
– protokol jaringan
– integritas dan kualitas informasi dalam sistem yang dilindungi
• Masih memerlukan keterlibatan manusia
• Banyak berasumsi pada teknologi jaringan konvensional, belum bisa menangani teknologi baru (mis: fragmentasi paket pd jaringan ATM)
Sniffing (Penyadapan)
• Sniffing: penyadapan informasi
– Memanfaatkan metode broadcasting
– “Membengkokkan” aturan Ethernet
• Dilakukan dengan membuat NIC bekerja pada mode “promiscuous”
• Dimanfaatkan untuk:
– menyadap password, e-mail, dokumen rahasia, dan semua informasi yg tidak dienkripsi
– memetakan network
– mengambilalih mesin-mesin “trusted” sbg batu loncatan
• Contoh-contoh sniffer
– Sniffit, TCP Dump, Linsniffer
• Mencegah efek negatif sniffing
– Pendeteksian sniffer (local & remote)
– Penggunaan kriptografi (mis: ssh sbg pengganti telnet)
www.attrition.org/security/newbie/security/sniffer/p54-10.txt
Scanning (Pemindaian)
• Teknik untuk menemukan saluran komunikasi yg dpt dieksploitasi
• Prinsip: coba ke sebanyak mungkin target, catat target yg potensial untuk dipindai
• Teknik pemindaian
– Penyapuan ping (Ping sweeping)
• Mengirimkan ICMP echo dan TCP ACK ke tiap host
• Untuk mengetahui apakah sebuah host sedang hidup atau tidak
– TCP connect (port scanning)
• Menggunakan system call connect()
• Tidak perlu privilege khusus
• Mudah dilacak melalui mekanisme log
– TCP SYN (model “setengah-terbuka”)
• Tidak membangun koneksi TCP secara penuh
• Mengirim SYN, menerima SYN|ACK, lalu mengirim RST (bukan ACK spt pada koneksi penuh)
• Relatif tidak terlacak oleh mekanisme log
• Memerlukan privilege root
Deteksi Intrusi Jaringan
• Untuk mendeteksi usaha-usaha sniffing dan scanning
• Berdasarkan basis data pola-pola penyusupan
• Penempatan tool pendeteksi
– Di antara firewall dan jaringan eksternal ® mendeteksi serangan yg dapat ditangkal firewall maupun yg tidak
– Di dalam jaringan lokal ® hanya mendeteksi serangan yg tidak dapat ditangkal firewall
IP Spoofing
• IP spoofing: “membajak” identitas (alamat IP) sebuah host untuk membangun komunikasi dengan host lain
• Memanfaatkan:
– Autentikasi berbasis alamat IP (mis: rlogin)
– Kelemahan protokol IP
• connectionless (tidak menyimpan connect-ion state)
• mudah untuk memodifikasi stack IP
• Skenario:
– Menentukan host sasaran
– Menemukan “pola-pola kepercayaan” (pattern of trust) dr host yg dapat dipercaya (trusted host)
– “Melumpuhkan” host yg dpt dipercaya
– Membajak identitas host yg dpt dipercaya
– Mencoba membentuk koneksi yg memanfaatkan autentikasi berbasis alamat IP
IP Spoofing
1. Menemukan pola-pola kepercayaan antara TGT dan TPC
– Memanfaatkan tool-tool yg ada: showmount, rpcinfo, …
2. Melumpuhkan TPC
– Melalui SYN flooding (D.o.S dengan permintaan SYN) dengan alamat palsu yg tidak terlacak (alamat milik A)
3. Pencuplikan dan peramalan nomor sekuens (ns)
4. Serangan:
– P(TPC) ®SYN® TGT
– TPC ¬SYN|ACK¬ TGT
– P(TPC) ®ACK® TGT (dng ns yg cocok)
– P(TPC) ®PSH ® TGT
5. Memasang backdoor
6. Tindakan pencegahan
– Tidak menggunakan autentikasi berbasis alamat IP
– Penyaringan paket dan firewall
– Penggunaan kriptografi
– Randomisasi ISN (Initial Sequence Number)
Carnivore
• Packet sniffer milik FBI
• Komponen
– Carnivore: packet sniffer
– Packeteer: packet reassembler
– Coolminer: ekstrapolasi dan analisis data
• Cara kerja
– FBI punya alasan cukup mencurigai seseorang terlibat dlm aktivitas ilegal
– Pengadilan memberi ijin melakukan penyadapan komunikasi
content-wiretap: seluruh isi komunikasi
trap-and-trace: target/tujuan komunikasi
pen-register: asal komunikasi
– FBI meminta copy file backup ttg. aktivitas orang yg dicurigai ke ISP. Jika data yg diminta tidak ada, maka FBI melaksanakan langkah #4 dst.
– FBI memasang komputer Carnivore di ISP
Pentium III, Win NT/2000, 128 MB RAM
Software komunikasi komersial
Program C++ untuk packet sniffing
Sistem perlindungan fisik thdp sistem Carnivore
Piranti isolasi jaringan utk menjaga Carnivore dr usaha-usaha penyusupan dsb
Jaz drive 2 GB untuk piranti penyimpanan
• Cara kerja (lanjutan)
– Sistem Carnivore di-set sesuai dng penyadapan yg diijinkan. Packet sniffing dilakukan tanpa mengganggu aliran data yg lain
– Paket target yg disadap disimpan di piranti penyimpan (Jaz drive)
– Setiap 1 atau 2 hari, FBI mengganti kaset Jaz drive dengan yg baru
– Proses penyadapan berlangsung maks 1 bulan. Jika diperlukan waktu lebih, hrs ada ijin baru dr pengadilan
– Data yg diperoleh diproses dng Packeteer dan Coolminer
• Isu-isu ttg Carnivore
– Privasi dalam berkomunikasi
– Pentingnya regulasi
– Kebebasan berkomunikasi
– Kontrol oleh pemerintah
Virus, Worm, dan Trojan Horse
• Virus
– Program yg menumpang program lain
– Menginfeksi dng cara bereproduksi dan menempel pd program lain
• Worm
– Program yg menyebar melalui jaringan dan memanfaatkan lubang-lubang keamanan sistem
– Dapat mereplikasi dirinya sendiri
• Trojan horse
– Program dng “hidden agenda”
• Efek yg ditimbulkan virus, worm, dan Trojan horse
– Dari gangguan pd tampilan s.d. kerusakan data/file/hard disk
– Beban trafik jaringan yg begitu besar
– Server-server macet krn. DoS
– Kerugian material $17.1 milyar pd tahun 2000
Virus dan Penyebarannya
• Pemicu munculnya virus:
– Popularitas PC dng arsitektur terbuka
– Bulletin boards yg menyediakan aneka program ® melahirkan Trojan horse
– Floppy disk sbg alat transportasi program
• Penyebaran virus
– Virus menempel pd program lain
– Bila program induk dieksekusi, virus akan dimuat ke memori dan menjadi aktif
– Virus mencari program induk yg lain, dan bila ada, ia akan menempelkan kode programnya ke program induk baru ® menyebar melalui program induk baru ini
– Virus dpt masuk ke boot sector, shg tiap kali komputer dihidupkan, ia akan dimuat ke memori dan menjadi aktif
• Virus e-mail
– Menyebar melalui pengiriman e-mail ® sbg attachment e-mail
– Aktivasi melalui pembukaan attachment ® mengeksekusi script virus yg ada dlm attachment (mis: script VBA)
– Melissa, ILOVEYOU, …
Worm
• Menyebar melalui Internet dan mengeksploitasi kelemahan sistem
• Penyebaran:
1. Masuk ke sistem yg tidak terlindung
2. Replikasi
3. Scan sistem-sistem lain yg tdk terjaga
• Ledakan kombinatorial dlm penyebarannya
1. CodeRed: 250 ribu replikasi dlm 9 jam
2. Populasi mesin di Internet yg amat besar
3. Ketidakpedulian thdp aspek keamanan
• Contoh: CodeRed
1. Vulnerability di fasilitas ISAPI pd IIS
2. Replikasi dirinya pd 20 hari pertama pd tiap bulan
3. Web defacing (mengganti tampilan halaman Web)
4. Serangan DDoS
Contoh Worm: Code Red
• Platform yg terpengaruh:
– Windows NT 4.0 dan Windows 2000
• Akibat serangan
– Eksekusi kode sesuai dng keinginan penyerang
• Eksploitasi
– Instalasi IIS akan memasang bbrp file DLL yg mrpk ekstensi ISAPI -- salah satunya adl file IDQ.DLL (indexing service)
– IDQ.DLL mengandung buffer utk menangani input URL. Buffer ini tidak mengalami error checking
– Penyerang yg telah memiliki web session dng IIS dpt melakukan serangan berupa buffer overflow thdp IDQ.DLL
– Buffer overflow dng pola ttt menye-babkan eksekusi kode ttt oleh server pd konteks sistem ® kendali penuh pd sistem
• Kemungkinan penggunaan
– Web defacing
– Eksekusi perintah OS
– Rekonfigurasi server
– Eksekusi program lain
Pencegahan Virus, Worm, dkk
• Anti virus
– Update data ttg virus signature secara teratur
– Aktifkan proteksi yg disediakan oleh software (mis: proteksi virus macro)
• Faktor manusia: kehati-hatian
– Menggunakan disket dr sumber asing
– Menerima e-mail dengan attachment
– Menerima dokumen dr sumber asing
– Sering-sering melihat situs keamanan, mengawasi munculnya virus-virus baru, dan menerapkan patch yg diberikan
• Gunakan sistem operasi dan software yg tidak banyak memiliki lubang kelemahan
– Linux vs Windows
– Apache vs IIS
Firewall
• Program/piranti utk mencegah potensi kerusakan masuk ke network
• Metode
– Penapisan (filtering) paket
• Alamat IP
• Nama domain
• Protokol
• Port
– Layanan proxy
• Bertindak “atas nama” host di dalam network
• Sering digabung dengan fasilitas cache
• Potensi kerusakan yg dpt ditangkal oleh firewall
– Login jarak-jauh
– Application backdoors
– Pembajakan sesi SMTP (utk mengirim e-mail spam)
– Denial of service
– Bom e-mail
• Perancangan firewall
– Mengikuti kebijakan pengamanan
– Keamanan vs kemudahan akses
– Dua pendekatan
• Segala sesuatu yg tidak secara eksplisit diijinkan berarti tidak diperbolehkan
• Segala sesuatu yg tidak secara eksplisit dilarang berarti diijinkan
• Level ancaman
– Pentingnya informasi ttg sebuah ancaman atau serangan
• Kasus terburuk: tidak ada info sama sekali
• Kasus terbaik: info lengkap, dan serangan dapat ditangkal
– “Zona-zona beresiko”
• Host/network yg beresiko menerima ancaman/serangan yg terkait dng fungsi perlindungan yg diberikan oleh firewall
• Minimisasi zona beresiko menjadi sebuah “titik/node” (sentralisasi)
Implementasi Firewall
• Firewall dengan screening router
– Screening router: router dengan fasilitas penapisan paket
– Zona-zona beresiko:
• Host-host di jaringan privat
• Semua layanan yg diijinkan oleh router
– Sulit utk mendeteksi usaha-usaha penyusupan
– “Segala sesuatu yg tdk scr eksplisit dilarang berarti diijinkan”
• Firewall dng “dual-homed gateway”
– Tanpa router, dng “bastion host” gateway, forwarding TCP/IP dinonaktifkan
– Koneksi dng application gateways (mis: telnet forwarder) atau login ke gateway
– “Segala sesuatu yg tdk scr eksplisit diijinkan berarti dilarang”
– Jika disusupi dan TCP/IP forwarding diaktifkan, maka zona beresiko mjd amat luas
• Firewall dng screened host gateways
– Screening router + bastion host
• Bastion host di sisi jaringan privat
• Router dikonfigurasi agar bastion host mjd satu-satunya host di jaringan privat yg dpt dicapai dari Internet
– Zona beresiko terbatas pd bastion host dan router
– Dlm kaitannya dng bastion host, mirip dng. model dual-homed gateway
• Firewall dng screened subnet
– Screening router + bastion host
– Zona beresiko: bastion host + router
– Koneksi melalui application gateway
– Relatif sulit disusupi krn melibatkan 3 jaringan
• Firewall hibrid
– Menggunakan berbagai kombinasi tool dan piranti untuk mengimplementa-sikan fungsi firewall
Mengamankan Sistem Informasi
DALAM mengoperasikan Sistem Informasi, faktor keamanan merupakan hal penting yang perlu diperhatikan. Dengan demikian dapat dicegah ancaman terhadap sistem tersebut dan mendeteksi serta membetulkan apabila sistem mengalami kerusakan. Secara umum, ancaman terhadap Sistem Informasi dapat dibedakan menjadi dua macam, yaitu ancaman aktif dan ancaman pasif.
Ancaman aktif mencakup kecurangan dan kejahatan terhadap komputer, misalnya saja sabotase, pengaksesan oleh orang yang tidak berhak, penyalahgunaan kartu kredit dan sebagainya. Sedangkan ancaman pasif mencakup kegagalan sistem, kesalahan manusia dan bencana alam.
Untuk mengantisipasinya dapat dilakukan tindakan-tindakan yang berupa pengendalian terhadap Sistem Informasi dengan berbagai macam kontrol terhadap Sistem Informasi itu sendiri.
Kontrol tersebut meliputi :
1. Kontrol Administratif. Kontrol ini dimaksudkan untuk menjamin seluruh kerangka kontrol dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang jelas. Termasuk didalamnya adalah proses pengembangan sistem, prosedur untuk back-up, pemulihan data dan manajemen pengarsipan data. Kontrol terhadap pengembangan dan pemeliharaan sistem, harus melibatkan Auditor Sistem Informasi dari mulai masa pengembangan hingga pemeliharaan sistem. Hal ini untuk memastikan bahwa sistem benar-benar terkendali, termasuk dalam hal otorisasi pemakai sistem.
2. Kontrol Operasi. Ini dilakukan agar sistem beroperasi sesuai dengan yang diharapkan. Yang termasuk didalamnya adalah: pembatasan akses terhadap pusat data, kontrol terhadap personel pengoperasi, kontrol terhadap peralatan, kontrol terhadap penyimpan arsip dan pengendalian terhadap virus.
3. Perlindungan Fisik. Dimaksudkan untuk menjaga hal-hal yang tidak diinginkan terhadap pusat data, faktor lingkungan yang menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir, dan keamanan fisik ruangan. Ini perlu diperhatikan dengan benar. Peralatan-peralatan yang berhubungan dengan faktor-faktor tersebut perlu dipantau dengan baik.
4. Kontrol Perangkat Keras. Untuk mengantisipasi kegagalan sistem komputer, terkadang organisasi menerapkan sistem komputer yang berbasis fault-tolerant (toleran terhadap kegagalan). Sistem seperti ini tetap dapat berjalan sekalipun terdapat gangguan pada komponen-komponennya. Pada sistem ini, jika komponen dalam sistem mengalami kegagalan maka komponen cadangan atau kembarannya segera mengambil alih peran komponen yang rusak dan sistem dapat melanjutkan operasinya tanpa atau dengan sedikit interupsi.
5. Kontrol Akses terhadap sistem komputer. Kontrol ini membatasi akses terhadap sistem. Setiap pemakai sistem diberi otorisasi yang berbeda-beda. Setiap pemakai dilengkapi dengan nama pemakai dan password yang bersifat rahasia sehingga diharapkan hanya pemiliknyalah yang tahu passwordnya. Dengan teknologi yang semakin berkembang untuk dapat akses terhadap sistem komputer digunakan sifat-sifat biologis manusia yang bersifat unik, seperti sidik jari dan retina mata sebagai kunci untuk mengakses sistem.
6. Kontrol terhadap akses informasi. Pada kontrol ini difungsikan untuk mengatasi kemungkinan seseorang yang tidak berhak terhadap suatu informasi berhasil membaca informasi tersebut melalui jaringan. Untuk mengantisipasi keadaan tersebut, alangkah lebih baik sekiranya informasi tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak.
7. Kontrol terhadap bencana. Karena biasanya bencana sulit diprediksikan keberadaannya, dan dapat terjadi kapan saja serta dimana saja. Untuk mengatasinya, organisasi perlu memiliki rencana pemulihan terhadap bencana. Misalnya saja dengan membagi empat komponen dalam merencanakan pemulihan terhadap bencana yaitu rencana darurat, rencana cadangan, rencana pemulihan dan rencana pengujian.
8. Kontrol terhadap perlindungan terakhir. Dalam pengendalian Sistem Informasi, bila rencana pemulihan terhadap bencana sudah dilakukan maka langkah selanjutnya adalah asuransi. Asuransi merupakan upaya untuk mengurangi kerugian sekiranya terjadi bencana. Itulah sebabnya, biasanya organisasi mengasuransikan gedung atau aset-aset tertentu dengan tujuan kalau bencana benar-benar terjadi. Klaim asuransi dapat digunakan untuk meringankan beban organisasi.
9. Kontrol aplikasi. Kontrol tersebut diwujudkan secara spesifik dalam suatu aplikasi Sistem Informasi. Wilayah yang dicakupnya meliputi :
- Kontrol masukan, digunakan untuk menjamin keakurasian data, kelengkapan masukan, dan validasi terhadap masukan.
- Kontrol pemrosesan, kesalahan dalam pemrosesan bisa saja terjadi sekalipun program dibuat dengan hati-hati agar bebas dari kesalahan. Oleh karena itu, pemeriksaan terhadap kebenaran hasil pemrosesan kadang-kadang perlu dilakukan sehingga apabila terjadi hal-hal yang tidak sesuai bisa langsung diketahui.
- Kontrol keluaran. Dilakukan secara manual untuk memastikan bahwa hasil pemrosesan memang sesuai dengan yang diharapkan.
- Kontrol Basis Data, merupakan kontrol terhadap basis data antara lain dilakukan dengan cara menerapkan kebijakan backup dan recovery, penanganan transaksi melalui mekanisme rollback dan commit serta Otorisasi akses.
- Kontrol Telekomunikasi. Telekomunikasi merupakan komponen yang paling lemah dalam Sistem Informasi. Penyadapan informasi dapat dilakukan melalui sarana ini dengan cara menyergap gelombang radio dalam sistem tanpa kabel (wireless) atau dengan cara menyadap jalur fisik dalam jaringan. Untuk mengantisipasi keadaan seperti ini, kontrol terhadap telekomunikasi dapat dilakukan dengan cara mengenkripsi informasi sehingga penyadap tidak dapat membaca informasi yang sesungguhnya.
Cara cara lain untuk mengamankan sistem informasi dapat dilakukan dengan
Mengatur akses control
Salah satu cara yang umum digunakan untuk mengamankan informasi adalah dengan mengatur akses ke informasi melalui mekanisme “authentication” dan “access control”. Implementasi dari mekanisme ini antara lain dengan menggunakan “password”.
Merubah Properties User
Klik tombol Properties untuk melihat properties dari user. Ada 2 Pilihan utama disamping 8 pilihan anggota group yaitu :
1. Standard User (Power User)
User dapat merubah beberapa file sistem, menginstall program yang tidak berpengaruh terhadap file sistem windows
2. Restricted User (User Groups)
User dapat menggunakan komputer dan menyimpan dokumen tetapi tidak dapat menginstall program dan merubah setting sistem windows.
Pengaturan User (lanjutan)
• Passwords dan .NET Passwords digunakan sebagai fasilitas untuk mengatur data password user yang dapat menggunakan komputer dan email.
• Advanced user management digunakan untuk mengatur group dan user pemakai komputer secara lebih detail.
Kriteria pembuatan password
• Jangan menggunakan nama login, nama pertama atau akhir beserta variasinya dan nama pasangan atau anak.
• Jangan menggunakan informasi lainnya yang mudah didapat tentang anda seperti No telp, Tgl Lahir.
• Gunakan password yang merupakan kombinasi antara huruf kapital dan huruf kecil dan angka.
• Gunakan special “32 karakter ALT”, diketikkan dengan menahan tombol Alt ketika mengetik angka antara 128 and 255 pada tombol angka dengan indikator Num Lock on.
• Gunakan Pasword yang mudah diketikkan, tanpa perlu melihat pada keyboard.
Menutup servis yang tidak digunakan
• Seringkali sistem (perangkat keras dan/atau perangkat lunak) diberikan dengan beberapa servis dijalankan sebagai default. contoh, pada sistem UNIX servis-servis berikut sering dipasang dari vendornya: finger, telnet, ftp, smtp, pop, echo, dan seterusnya.
• Servis tersebut tidak semuanyadibutuhkan. Untuk mengamankan sistem, servis yang tidak diperlukan di server (komputer) tersebut sebaiknya dimatikan.
Memasang Proteksi
• Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah firewall. Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet.
• contoh, di sistem UNIX ada paket program “tcpwrapper” yang dapat digunakan untuk membatasi akses kepada servis atau aplikasi tertentu. Misalnya, servis untuk “telnet” dapat dibatasi untuk untuk sistem yang memiliki nomor IP tertentu, atau memiliki domain tertentu.
• Sementara firewall dapat digunakan untuk melakukan filter secara umum.
• Relevansi keamanan sistem informasi
– Informasi sebagai komoditi ekonomi ® obyek kepemilikan yang harus dijaga
– Informasi menciptakan “dunia” baru (mis: Internet) ® membawa beragam dinamika dari dunia nyata
• Komunikasi digital (e-mail, e-news, …)
• Aktifitas digital (e-commerce, e-learning, …)
• Konflik digital (cyber war, …)
• Mengapa sistem informasi rentan terhadap gangguan keamanan
– Sistem yg dirancang untuk bersifat “terbuka” (mis: Internet)
• Tidak ada batas fisik dan kontrol terpusat
• Perkembangan jaringan (internetworking) yang amat cepat
– Sikap dan pandangan pemakai
• Aspek keamanan belum banyak dimengerti
• Menempatkan keamanan sistem pada prioritas rendah
– Tidak ada solusi yang komprehensif
• Solusi terhadap masalah keamanan sistem informasi
– Pusat-pusat informasi tentang keamanan
• CERT
• Milis-milis tentang keamanan sistem
• Institusi lainnya: SecurityFocus, Symantec
– Penggunaan mekanisme deteksi global
• Pembentukan jaringan tim penanggap insiden di seluruh dunia
– Peningkatan kesadaran terhadap masalah keamanan
• Pendidikan bagi pengguna umum
• Pelatihan bagi personil teknis (administrator sistem dan jaringan, CIO, CTO)
Konsep-konsep Keamanan
• Keamanan sebagai bagian dari sistem QoS
– Ketersediaan, kehandalan, kepastian operasional, dan keamanan
– Keamanan: perlindungan thdp obyek-obyek dlm kaitannya dengan kerahasiaan dan integritas
• Obyek ® komponen pasif
– CPU, disk, program, …
• Subyek ® komponen aktif
– pemakai, proses, …
– Keamanan sbg. fungsi waktu: Sec(t)
• Memungkinkan kuantifikasi tingkat-tingkat keamanan, mirip dengan konsep MTTF (mean time to failure) pada kehandalan
• Biaya pengamanan sistem
– Pengertian “aman”: penyusup hrs mengeluarkan usaha, biaya, dan waktu yg besar utk dpt menembus sistem
– Biaya pengamanan ® kombinasi banyak faktor yg saling berpengaruh
– Perlu dicari optimisasi: biaya pengamanan vs potensi kerusakan
Konsep-konsep Keamanan
• Kebijakan keamanan
– Mengatur apa yang diijinkan dan tidak diijinkan dlm operasi normal
• Mengatur bgmn subyek dapat mengakses obyek
– Sering bersifat “politis” drpd teknis
– Harus mencerminkan proteksi thdp sistem secara seimbang, komprehen-sif, dan cost-effective
– Proses: analisis ancaman ® kebijakan keamanan ® mekanisme pengamanan
• Analisis ancaman: memperkirakan jenis ancaman dan potensi merusaknya
• Mekanisme pengamanan: implementasi kebijakan keamanan
– Kebijakan keamanan harus berfungsi dengan baik sekaligus mudah dipakai
• Dapat mencegah penyusup pada umumnya
• Mampu menarik pemakai untuk mengguna-kannya
•
Aspek-aspek dalam Masalah Keamanan
• Kerahasiaan
– Melindungi obyek informasi dari pelepasan (release) yg tidak sah
– Melindungi obyek resource dari akses yg tidak sah
• Integritas
– Menjaga obyek agar tetap dapat dipercaya (trustworthy)
– Melindungi obyek dari modifikasi yang tidak sah
Sistem Deteksi Intrusi
• Deteksi intrusi:
– Teknologi pengamanan sistem untuk menghadapi serangan dan penyalah-gunaan sistem
– Mengumpulkan info dari berbagai sumber di sistem dan jaringan, lalu menganalisisnya dari sudut pandang kelemahan pengamanan (security vulnerabilities)
• Relevansi
– Kenaikan tingkat pembobolan sistem sebesar 22% (1996 - 1998)
• Fungsi-fungsi
– Pemantauan dan analisis aktivitas pemakai dan sistem
– Audit terhadap konfigurasi dan kelemahan sistem
– Prakiraan integritas file-file sistem dan data
– Pengenalan pola-pola serangan
– Analisis statistik ttg. pola-pola abnormal
• Proses
– Kombinasi berbagai aktifitas peman-tauan, audit, dan prakiraan
– Dilakukan secara kontinyu
– Diawali dengan prakiraan kelemahan (vulnerability assessment)
• Identifikasi kelemahan sistem yg memung-kinkan terjadinya penyelewengan sistem pengamanan
• Teknik pasif: memeriksa konfigurasi sistem, file password, dsb.
• Teknik aktif: mengevaluasi performance sistem pengamanan melalui simulasi serangan
• Tools: scanners
• Hasil prakiraan menunjukkan snapshot kondisi keamanan sistem pd suatu saat
• Tidak bisa mendeteksi serangan yg sedang berlangsung
• Bisa menunjukkan bahwa sebuah serangan mungkin terjadi
• Kadang-kadang bisa menunjukkan bahwa sebuah serangan telah terjadi
Keuntungan Sistem Deteksi Intrusi
• Memberikan perlindungan yg lebih luas dalam pengamanan sistem
• Membantu memahami apa yg terjadi di dalam sistem
• Dukungan teknis:
– Melacak aktivitas pemakai dari awal sampai akhir
– Mengenal dan melaporkan usaha-usaha modifikasi file
– Mengetahui kelemahan konfigurasi sistem
– Mengenali bahwa sistem telah atau potensial untuk diserang
• Memungkinkan operasional pengamanan sistem dilakukan oleh staf tanpa keahlian spesifik
• Membantu penyusunan kebijakan dan prosedur pengamanan sistem
Kelemahan Sistem Deteksi Intrusi
• Bukan solusi total untuk masalah keamanan sistem
• Tidak bisa mengkompensasi kelemahan:
– mekanisme identifikasi dan autentifikasi
– protokol jaringan
– integritas dan kualitas informasi dalam sistem yang dilindungi
• Masih memerlukan keterlibatan manusia
• Banyak berasumsi pada teknologi jaringan konvensional, belum bisa menangani teknologi baru (mis: fragmentasi paket pd jaringan ATM)
Sniffing (Penyadapan)
• Sniffing: penyadapan informasi
– Memanfaatkan metode broadcasting
– “Membengkokkan” aturan Ethernet
• Dilakukan dengan membuat NIC bekerja pada mode “promiscuous”
• Dimanfaatkan untuk:
– menyadap password, e-mail, dokumen rahasia, dan semua informasi yg tidak dienkripsi
– memetakan network
– mengambilalih mesin-mesin “trusted” sbg batu loncatan
• Contoh-contoh sniffer
– Sniffit, TCP Dump, Linsniffer
• Mencegah efek negatif sniffing
– Pendeteksian sniffer (local & remote)
– Penggunaan kriptografi (mis: ssh sbg pengganti telnet)
www.attrition.org/security/newbie/security/sniffer/p54-10.txt
Scanning (Pemindaian)
• Teknik untuk menemukan saluran komunikasi yg dpt dieksploitasi
• Prinsip: coba ke sebanyak mungkin target, catat target yg potensial untuk dipindai
• Teknik pemindaian
– Penyapuan ping (Ping sweeping)
• Mengirimkan ICMP echo dan TCP ACK ke tiap host
• Untuk mengetahui apakah sebuah host sedang hidup atau tidak
– TCP connect (port scanning)
• Menggunakan system call connect()
• Tidak perlu privilege khusus
• Mudah dilacak melalui mekanisme log
– TCP SYN (model “setengah-terbuka”)
• Tidak membangun koneksi TCP secara penuh
• Mengirim SYN, menerima SYN|ACK, lalu mengirim RST (bukan ACK spt pada koneksi penuh)
• Relatif tidak terlacak oleh mekanisme log
• Memerlukan privilege root
Deteksi Intrusi Jaringan
• Untuk mendeteksi usaha-usaha sniffing dan scanning
• Berdasarkan basis data pola-pola penyusupan
• Penempatan tool pendeteksi
– Di antara firewall dan jaringan eksternal ® mendeteksi serangan yg dapat ditangkal firewall maupun yg tidak
– Di dalam jaringan lokal ® hanya mendeteksi serangan yg tidak dapat ditangkal firewall
IP Spoofing
• IP spoofing: “membajak” identitas (alamat IP) sebuah host untuk membangun komunikasi dengan host lain
• Memanfaatkan:
– Autentikasi berbasis alamat IP (mis: rlogin)
– Kelemahan protokol IP
• connectionless (tidak menyimpan connect-ion state)
• mudah untuk memodifikasi stack IP
• Skenario:
– Menentukan host sasaran
– Menemukan “pola-pola kepercayaan” (pattern of trust) dr host yg dapat dipercaya (trusted host)
– “Melumpuhkan” host yg dpt dipercaya
– Membajak identitas host yg dpt dipercaya
– Mencoba membentuk koneksi yg memanfaatkan autentikasi berbasis alamat IP
IP Spoofing
1. Menemukan pola-pola kepercayaan antara TGT dan TPC
– Memanfaatkan tool-tool yg ada: showmount, rpcinfo, …
2. Melumpuhkan TPC
– Melalui SYN flooding (D.o.S dengan permintaan SYN) dengan alamat palsu yg tidak terlacak (alamat milik A)
3. Pencuplikan dan peramalan nomor sekuens (ns)
4. Serangan:
– P(TPC) ®SYN® TGT
– TPC ¬SYN|ACK¬ TGT
– P(TPC) ®ACK® TGT (dng ns yg cocok)
– P(TPC) ®PSH ® TGT
5. Memasang backdoor
6. Tindakan pencegahan
– Tidak menggunakan autentikasi berbasis alamat IP
– Penyaringan paket dan firewall
– Penggunaan kriptografi
– Randomisasi ISN (Initial Sequence Number)
Carnivore
• Packet sniffer milik FBI
• Komponen
– Carnivore: packet sniffer
– Packeteer: packet reassembler
– Coolminer: ekstrapolasi dan analisis data
• Cara kerja
– FBI punya alasan cukup mencurigai seseorang terlibat dlm aktivitas ilegal
– Pengadilan memberi ijin melakukan penyadapan komunikasi
content-wiretap: seluruh isi komunikasi
trap-and-trace: target/tujuan komunikasi
pen-register: asal komunikasi
– FBI meminta copy file backup ttg. aktivitas orang yg dicurigai ke ISP. Jika data yg diminta tidak ada, maka FBI melaksanakan langkah #4 dst.
– FBI memasang komputer Carnivore di ISP
Pentium III, Win NT/2000, 128 MB RAM
Software komunikasi komersial
Program C++ untuk packet sniffing
Sistem perlindungan fisik thdp sistem Carnivore
Piranti isolasi jaringan utk menjaga Carnivore dr usaha-usaha penyusupan dsb
Jaz drive 2 GB untuk piranti penyimpanan
• Cara kerja (lanjutan)
– Sistem Carnivore di-set sesuai dng penyadapan yg diijinkan. Packet sniffing dilakukan tanpa mengganggu aliran data yg lain
– Paket target yg disadap disimpan di piranti penyimpan (Jaz drive)
– Setiap 1 atau 2 hari, FBI mengganti kaset Jaz drive dengan yg baru
– Proses penyadapan berlangsung maks 1 bulan. Jika diperlukan waktu lebih, hrs ada ijin baru dr pengadilan
– Data yg diperoleh diproses dng Packeteer dan Coolminer
• Isu-isu ttg Carnivore
– Privasi dalam berkomunikasi
– Pentingnya regulasi
– Kebebasan berkomunikasi
– Kontrol oleh pemerintah
Virus, Worm, dan Trojan Horse
• Virus
– Program yg menumpang program lain
– Menginfeksi dng cara bereproduksi dan menempel pd program lain
• Worm
– Program yg menyebar melalui jaringan dan memanfaatkan lubang-lubang keamanan sistem
– Dapat mereplikasi dirinya sendiri
• Trojan horse
– Program dng “hidden agenda”
• Efek yg ditimbulkan virus, worm, dan Trojan horse
– Dari gangguan pd tampilan s.d. kerusakan data/file/hard disk
– Beban trafik jaringan yg begitu besar
– Server-server macet krn. DoS
– Kerugian material $17.1 milyar pd tahun 2000
Virus dan Penyebarannya
• Pemicu munculnya virus:
– Popularitas PC dng arsitektur terbuka
– Bulletin boards yg menyediakan aneka program ® melahirkan Trojan horse
– Floppy disk sbg alat transportasi program
• Penyebaran virus
– Virus menempel pd program lain
– Bila program induk dieksekusi, virus akan dimuat ke memori dan menjadi aktif
– Virus mencari program induk yg lain, dan bila ada, ia akan menempelkan kode programnya ke program induk baru ® menyebar melalui program induk baru ini
– Virus dpt masuk ke boot sector, shg tiap kali komputer dihidupkan, ia akan dimuat ke memori dan menjadi aktif
• Virus e-mail
– Menyebar melalui pengiriman e-mail ® sbg attachment e-mail
– Aktivasi melalui pembukaan attachment ® mengeksekusi script virus yg ada dlm attachment (mis: script VBA)
– Melissa, ILOVEYOU, …
Worm
• Menyebar melalui Internet dan mengeksploitasi kelemahan sistem
• Penyebaran:
1. Masuk ke sistem yg tidak terlindung
2. Replikasi
3. Scan sistem-sistem lain yg tdk terjaga
• Ledakan kombinatorial dlm penyebarannya
1. CodeRed: 250 ribu replikasi dlm 9 jam
2. Populasi mesin di Internet yg amat besar
3. Ketidakpedulian thdp aspek keamanan
• Contoh: CodeRed
1. Vulnerability di fasilitas ISAPI pd IIS
2. Replikasi dirinya pd 20 hari pertama pd tiap bulan
3. Web defacing (mengganti tampilan halaman Web)
4. Serangan DDoS
Contoh Worm: Code Red
• Platform yg terpengaruh:
– Windows NT 4.0 dan Windows 2000
• Akibat serangan
– Eksekusi kode sesuai dng keinginan penyerang
• Eksploitasi
– Instalasi IIS akan memasang bbrp file DLL yg mrpk ekstensi ISAPI -- salah satunya adl file IDQ.DLL (indexing service)
– IDQ.DLL mengandung buffer utk menangani input URL. Buffer ini tidak mengalami error checking
– Penyerang yg telah memiliki web session dng IIS dpt melakukan serangan berupa buffer overflow thdp IDQ.DLL
– Buffer overflow dng pola ttt menye-babkan eksekusi kode ttt oleh server pd konteks sistem ® kendali penuh pd sistem
• Kemungkinan penggunaan
– Web defacing
– Eksekusi perintah OS
– Rekonfigurasi server
– Eksekusi program lain
Pencegahan Virus, Worm, dkk
• Anti virus
– Update data ttg virus signature secara teratur
– Aktifkan proteksi yg disediakan oleh software (mis: proteksi virus macro)
• Faktor manusia: kehati-hatian
– Menggunakan disket dr sumber asing
– Menerima e-mail dengan attachment
– Menerima dokumen dr sumber asing
– Sering-sering melihat situs keamanan, mengawasi munculnya virus-virus baru, dan menerapkan patch yg diberikan
• Gunakan sistem operasi dan software yg tidak banyak memiliki lubang kelemahan
– Linux vs Windows
– Apache vs IIS
Firewall
• Program/piranti utk mencegah potensi kerusakan masuk ke network
• Metode
– Penapisan (filtering) paket
• Alamat IP
• Nama domain
• Protokol
• Port
– Layanan proxy
• Bertindak “atas nama” host di dalam network
• Sering digabung dengan fasilitas cache
• Potensi kerusakan yg dpt ditangkal oleh firewall
– Login jarak-jauh
– Application backdoors
– Pembajakan sesi SMTP (utk mengirim e-mail spam)
– Denial of service
– Bom e-mail
• Perancangan firewall
– Mengikuti kebijakan pengamanan
– Keamanan vs kemudahan akses
– Dua pendekatan
• Segala sesuatu yg tidak secara eksplisit diijinkan berarti tidak diperbolehkan
• Segala sesuatu yg tidak secara eksplisit dilarang berarti diijinkan
• Level ancaman
– Pentingnya informasi ttg sebuah ancaman atau serangan
• Kasus terburuk: tidak ada info sama sekali
• Kasus terbaik: info lengkap, dan serangan dapat ditangkal
– “Zona-zona beresiko”
• Host/network yg beresiko menerima ancaman/serangan yg terkait dng fungsi perlindungan yg diberikan oleh firewall
• Minimisasi zona beresiko menjadi sebuah “titik/node” (sentralisasi)
Implementasi Firewall
• Firewall dengan screening router
– Screening router: router dengan fasilitas penapisan paket
– Zona-zona beresiko:
• Host-host di jaringan privat
• Semua layanan yg diijinkan oleh router
– Sulit utk mendeteksi usaha-usaha penyusupan
– “Segala sesuatu yg tdk scr eksplisit dilarang berarti diijinkan”
• Firewall dng “dual-homed gateway”
– Tanpa router, dng “bastion host” gateway, forwarding TCP/IP dinonaktifkan
– Koneksi dng application gateways (mis: telnet forwarder) atau login ke gateway
– “Segala sesuatu yg tdk scr eksplisit diijinkan berarti dilarang”
– Jika disusupi dan TCP/IP forwarding diaktifkan, maka zona beresiko mjd amat luas
• Firewall dng screened host gateways
– Screening router + bastion host
• Bastion host di sisi jaringan privat
• Router dikonfigurasi agar bastion host mjd satu-satunya host di jaringan privat yg dpt dicapai dari Internet
– Zona beresiko terbatas pd bastion host dan router
– Dlm kaitannya dng bastion host, mirip dng. model dual-homed gateway
• Firewall dng screened subnet
– Screening router + bastion host
– Zona beresiko: bastion host + router
– Koneksi melalui application gateway
– Relatif sulit disusupi krn melibatkan 3 jaringan
• Firewall hibrid
– Menggunakan berbagai kombinasi tool dan piranti untuk mengimplementa-sikan fungsi firewall
Mengamankan Sistem Informasi
DALAM mengoperasikan Sistem Informasi, faktor keamanan merupakan hal penting yang perlu diperhatikan. Dengan demikian dapat dicegah ancaman terhadap sistem tersebut dan mendeteksi serta membetulkan apabila sistem mengalami kerusakan. Secara umum, ancaman terhadap Sistem Informasi dapat dibedakan menjadi dua macam, yaitu ancaman aktif dan ancaman pasif.
Ancaman aktif mencakup kecurangan dan kejahatan terhadap komputer, misalnya saja sabotase, pengaksesan oleh orang yang tidak berhak, penyalahgunaan kartu kredit dan sebagainya. Sedangkan ancaman pasif mencakup kegagalan sistem, kesalahan manusia dan bencana alam.
Untuk mengantisipasinya dapat dilakukan tindakan-tindakan yang berupa pengendalian terhadap Sistem Informasi dengan berbagai macam kontrol terhadap Sistem Informasi itu sendiri.
Kontrol tersebut meliputi :
1. Kontrol Administratif. Kontrol ini dimaksudkan untuk menjamin seluruh kerangka kontrol dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang jelas. Termasuk didalamnya adalah proses pengembangan sistem, prosedur untuk back-up, pemulihan data dan manajemen pengarsipan data. Kontrol terhadap pengembangan dan pemeliharaan sistem, harus melibatkan Auditor Sistem Informasi dari mulai masa pengembangan hingga pemeliharaan sistem. Hal ini untuk memastikan bahwa sistem benar-benar terkendali, termasuk dalam hal otorisasi pemakai sistem.
2. Kontrol Operasi. Ini dilakukan agar sistem beroperasi sesuai dengan yang diharapkan. Yang termasuk didalamnya adalah: pembatasan akses terhadap pusat data, kontrol terhadap personel pengoperasi, kontrol terhadap peralatan, kontrol terhadap penyimpan arsip dan pengendalian terhadap virus.
3. Perlindungan Fisik. Dimaksudkan untuk menjaga hal-hal yang tidak diinginkan terhadap pusat data, faktor lingkungan yang menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir, dan keamanan fisik ruangan. Ini perlu diperhatikan dengan benar. Peralatan-peralatan yang berhubungan dengan faktor-faktor tersebut perlu dipantau dengan baik.
4. Kontrol Perangkat Keras. Untuk mengantisipasi kegagalan sistem komputer, terkadang organisasi menerapkan sistem komputer yang berbasis fault-tolerant (toleran terhadap kegagalan). Sistem seperti ini tetap dapat berjalan sekalipun terdapat gangguan pada komponen-komponennya. Pada sistem ini, jika komponen dalam sistem mengalami kegagalan maka komponen cadangan atau kembarannya segera mengambil alih peran komponen yang rusak dan sistem dapat melanjutkan operasinya tanpa atau dengan sedikit interupsi.
5. Kontrol Akses terhadap sistem komputer. Kontrol ini membatasi akses terhadap sistem. Setiap pemakai sistem diberi otorisasi yang berbeda-beda. Setiap pemakai dilengkapi dengan nama pemakai dan password yang bersifat rahasia sehingga diharapkan hanya pemiliknyalah yang tahu passwordnya. Dengan teknologi yang semakin berkembang untuk dapat akses terhadap sistem komputer digunakan sifat-sifat biologis manusia yang bersifat unik, seperti sidik jari dan retina mata sebagai kunci untuk mengakses sistem.
6. Kontrol terhadap akses informasi. Pada kontrol ini difungsikan untuk mengatasi kemungkinan seseorang yang tidak berhak terhadap suatu informasi berhasil membaca informasi tersebut melalui jaringan. Untuk mengantisipasi keadaan tersebut, alangkah lebih baik sekiranya informasi tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak.
7. Kontrol terhadap bencana. Karena biasanya bencana sulit diprediksikan keberadaannya, dan dapat terjadi kapan saja serta dimana saja. Untuk mengatasinya, organisasi perlu memiliki rencana pemulihan terhadap bencana. Misalnya saja dengan membagi empat komponen dalam merencanakan pemulihan terhadap bencana yaitu rencana darurat, rencana cadangan, rencana pemulihan dan rencana pengujian.
8. Kontrol terhadap perlindungan terakhir. Dalam pengendalian Sistem Informasi, bila rencana pemulihan terhadap bencana sudah dilakukan maka langkah selanjutnya adalah asuransi. Asuransi merupakan upaya untuk mengurangi kerugian sekiranya terjadi bencana. Itulah sebabnya, biasanya organisasi mengasuransikan gedung atau aset-aset tertentu dengan tujuan kalau bencana benar-benar terjadi. Klaim asuransi dapat digunakan untuk meringankan beban organisasi.
9. Kontrol aplikasi. Kontrol tersebut diwujudkan secara spesifik dalam suatu aplikasi Sistem Informasi. Wilayah yang dicakupnya meliputi :
- Kontrol masukan, digunakan untuk menjamin keakurasian data, kelengkapan masukan, dan validasi terhadap masukan.
- Kontrol pemrosesan, kesalahan dalam pemrosesan bisa saja terjadi sekalipun program dibuat dengan hati-hati agar bebas dari kesalahan. Oleh karena itu, pemeriksaan terhadap kebenaran hasil pemrosesan kadang-kadang perlu dilakukan sehingga apabila terjadi hal-hal yang tidak sesuai bisa langsung diketahui.
- Kontrol keluaran. Dilakukan secara manual untuk memastikan bahwa hasil pemrosesan memang sesuai dengan yang diharapkan.
- Kontrol Basis Data, merupakan kontrol terhadap basis data antara lain dilakukan dengan cara menerapkan kebijakan backup dan recovery, penanganan transaksi melalui mekanisme rollback dan commit serta Otorisasi akses.
- Kontrol Telekomunikasi. Telekomunikasi merupakan komponen yang paling lemah dalam Sistem Informasi. Penyadapan informasi dapat dilakukan melalui sarana ini dengan cara menyergap gelombang radio dalam sistem tanpa kabel (wireless) atau dengan cara menyadap jalur fisik dalam jaringan. Untuk mengantisipasi keadaan seperti ini, kontrol terhadap telekomunikasi dapat dilakukan dengan cara mengenkripsi informasi sehingga penyadap tidak dapat membaca informasi yang sesungguhnya.
Cara cara lain untuk mengamankan sistem informasi dapat dilakukan dengan
Mengatur akses control
Salah satu cara yang umum digunakan untuk mengamankan informasi adalah dengan mengatur akses ke informasi melalui mekanisme “authentication” dan “access control”. Implementasi dari mekanisme ini antara lain dengan menggunakan “password”.
Merubah Properties User
Klik tombol Properties untuk melihat properties dari user. Ada 2 Pilihan utama disamping 8 pilihan anggota group yaitu :
1. Standard User (Power User)
User dapat merubah beberapa file sistem, menginstall program yang tidak berpengaruh terhadap file sistem windows
2. Restricted User (User Groups)
User dapat menggunakan komputer dan menyimpan dokumen tetapi tidak dapat menginstall program dan merubah setting sistem windows.
Pengaturan User (lanjutan)
• Passwords dan .NET Passwords digunakan sebagai fasilitas untuk mengatur data password user yang dapat menggunakan komputer dan email.
• Advanced user management digunakan untuk mengatur group dan user pemakai komputer secara lebih detail.
Kriteria pembuatan password
• Jangan menggunakan nama login, nama pertama atau akhir beserta variasinya dan nama pasangan atau anak.
• Jangan menggunakan informasi lainnya yang mudah didapat tentang anda seperti No telp, Tgl Lahir.
• Gunakan password yang merupakan kombinasi antara huruf kapital dan huruf kecil dan angka.
• Gunakan special “32 karakter ALT”, diketikkan dengan menahan tombol Alt ketika mengetik angka antara 128 and 255 pada tombol angka dengan indikator Num Lock on.
• Gunakan Pasword yang mudah diketikkan, tanpa perlu melihat pada keyboard.
Menutup servis yang tidak digunakan
• Seringkali sistem (perangkat keras dan/atau perangkat lunak) diberikan dengan beberapa servis dijalankan sebagai default. contoh, pada sistem UNIX servis-servis berikut sering dipasang dari vendornya: finger, telnet, ftp, smtp, pop, echo, dan seterusnya.
• Servis tersebut tidak semuanyadibutuhkan. Untuk mengamankan sistem, servis yang tidak diperlukan di server (komputer) tersebut sebaiknya dimatikan.
Memasang Proteksi
• Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah firewall. Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet.
• contoh, di sistem UNIX ada paket program “tcpwrapper” yang dapat digunakan untuk membatasi akses kepada servis atau aplikasi tertentu. Misalnya, servis untuk “telnet” dapat dibatasi untuk untuk sistem yang memiliki nomor IP tertentu, atau memiliki domain tertentu.
• Sementara firewall dapat digunakan untuk melakukan filter secara umum.
Keamanan Sifo (DOS)
DOS (DENIAL OF SERVICE)
INFORMASI DAN KEAMANAN SISTEM INFRORMASI
Informasi saat ini menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi pengguna informasi. Hal ini dimungkinkan dengan perkembangan pesat di bidang teknologi komputer dan telekomunikasi.
Terhubungnya LAN atau komputer ke Internet membuka potensi adanya lubang keamanan (security hole) yang tadinya bisa ditutupi dengan mekanisme keamanan secara fisik. Ini sesuai dengan pendapat bahwa kemudahan (kenyamanan) mengakses informasi berbanding terbalik dengan tingkat keamanan sistem informasi itu sendiri. Semakin tinggi tingkat keamanan, semakin sulit (tidak nyaman) untuk mengakses informasi.
Begitu pentingnya nilai sebuah informasi menyebabkan seringkali informasi hanya boleh diakses oleh orang orang tertentu, sebab jatuhnya informasi ke tangan pihak lain(misalnya lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima. Walau sering kali masalah ini kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi.
Kualitas sistem informasi diukur dari beberapa aspek berikut: kerahasiaan(confidentiality), integritas(integrity), dan ketersediaan(availability). Aspek availability berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang dapat menghambat bahkan meniadakan akses ke informasi. Contoh hambatan adalah serangan yang sering disebut dengan “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi¬tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.
B. PENGERTIAN DENIAL OF SERVICE(DOS) ATTACK
“Denial of Service (DoS) attack” merupakan sebuah usaha (dalam bentuk serangan) untuk melumpuhkan sistem yang dijadikan target sehingga sistem tersebut tidak dapat menyediakan servis-servisnya (denial of service) atau tingkat servis menurun dengan drastis. Cara untuk melumpuhkan dapat bermacam-macam dan akibatnyapun dapat beragam. Sistem yang diserang dapat menjadi “bengong” (hang, crash), tidak berfungsi atau turun kinerjanya (karena beban CPU tinggi).
Serangan ini berbeda dengan kejahatan pencurian data atau kejahatan memonitor inforamasi yang lalu lalang. Dalam serangan DoS tidak ada yang dicuri, tapi hal ini dapat mengakibatkan kerugian financial. Sebagai contoh apabila sistem yang diserang merupakan server yang menangani transaksi “commerce”, maka apabila server tersebut tidak berfungsi, transaksi tidak dapat dilangsungkan. Bayangkan apabila sebuah bank diserang oleh bank saingan dengan melumpuhkan outlet ATM (Anjungan Tunai Mandiri, Automatic Teller Machine) yang dimiliki oleh bank tersebut. Atau sebuah credit card merchant server yang diserang, sehingga tidak dapat menerima pembayaran melalui credit card.
Selain itu, serangan DoS sering digunakan sebagai bagian dari serangan lainnya. Misalnya, dalam serangan IPspoofing (seolah serangan datang dari tempat lain dengan nomor IP milik orang lain), seringkali DoS digunakan untuk membungkam server yang akan dispoof.
C. KLASIFIKASI SERANGAN DOS
Denial Of Service Attack adalah serangan yang paling sering digunakan daripada serangan yang lain, hal ini dikarenakan mudahnya untuk melakukannya, exploits-nya pun banyak ditemukan di internet. Siapapun bisa men-down kan sebuah website dengan hanya menggunakan simple command prompt. Tujuan utama serangan ini adalah membuat suatu sistem crash & karena overload sehingga tidak bisa diakses atau mematikan service.
Beberapa klasifikasi serangan DoS:
1. Land Attack
Land attack merupakan serangan kepada sistem dengan menggunakan program yang bernama “land”. Program land menyerang server yang dituju dengan mengirimkan packet palsu yang seolah-olah berasal dari server yang dituju. Dengan kata lain, source dan destination dari packet dibuat seakan-akan berasal dari server yang dituju. Akibatnya server yang diserang menjadi bingung.
2. Latierra
Program latierra merupakan “perbaikan” dari program land, dimana port yang digunakan berubah-ubah sehingga menyulitkan bagi pengamanan.
3. Ping Broadcast (Smurf)
Salah satu mekanisme serangan yang baru-baru ini mulai marak digunakan adalah menggunakan ping ke alamat broadcast, ini yang sering disebut dengan smurf. Seluruh komputer (device) yang berada di alamat broadcast tersebut akan menjawab. Jika sebuah sistem memiliki banyak komputer (device) dan ping broadcast ini dilakukan terus menerus, jaringan dapat dipenuhi oleh respon-respon dari device-device tersebut. Akibatnya jaringan menjadi lambat.
4. Ping of Death (PoD)
Ping-o-death sebetulnya adalah eksploitasi program ping dengan memberikan packet yang ukurannya besar ke sistem yang dituju. Beberapa sistem UNIX ternyata menjadi hang ketika diserang dengan cara ini. Program ping umum terdapat di berbagai operating system, meskipun umumnya program ping tersebut mengirimkan packet dengan ukuran kecil (tertentu) dan tidak memiliki fasilitas untuk mengubah besarnya packet. Salah satu implementasi program ping yang dapat digunakan untuk mengubah ukuran packet adalah program ping yang ada di sistem Windows 95.
INFORMASI DAN KEAMANAN SISTEM INFRORMASI
Informasi saat ini menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi pengguna informasi. Hal ini dimungkinkan dengan perkembangan pesat di bidang teknologi komputer dan telekomunikasi.
Terhubungnya LAN atau komputer ke Internet membuka potensi adanya lubang keamanan (security hole) yang tadinya bisa ditutupi dengan mekanisme keamanan secara fisik. Ini sesuai dengan pendapat bahwa kemudahan (kenyamanan) mengakses informasi berbanding terbalik dengan tingkat keamanan sistem informasi itu sendiri. Semakin tinggi tingkat keamanan, semakin sulit (tidak nyaman) untuk mengakses informasi.
Begitu pentingnya nilai sebuah informasi menyebabkan seringkali informasi hanya boleh diakses oleh orang orang tertentu, sebab jatuhnya informasi ke tangan pihak lain(misalnya lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima. Walau sering kali masalah ini kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi.
Kualitas sistem informasi diukur dari beberapa aspek berikut: kerahasiaan(confidentiality), integritas(integrity), dan ketersediaan(availability). Aspek availability berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang dapat menghambat bahkan meniadakan akses ke informasi. Contoh hambatan adalah serangan yang sering disebut dengan “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi¬tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.
B. PENGERTIAN DENIAL OF SERVICE(DOS) ATTACK
“Denial of Service (DoS) attack” merupakan sebuah usaha (dalam bentuk serangan) untuk melumpuhkan sistem yang dijadikan target sehingga sistem tersebut tidak dapat menyediakan servis-servisnya (denial of service) atau tingkat servis menurun dengan drastis. Cara untuk melumpuhkan dapat bermacam-macam dan akibatnyapun dapat beragam. Sistem yang diserang dapat menjadi “bengong” (hang, crash), tidak berfungsi atau turun kinerjanya (karena beban CPU tinggi).
Serangan ini berbeda dengan kejahatan pencurian data atau kejahatan memonitor inforamasi yang lalu lalang. Dalam serangan DoS tidak ada yang dicuri, tapi hal ini dapat mengakibatkan kerugian financial. Sebagai contoh apabila sistem yang diserang merupakan server yang menangani transaksi “commerce”, maka apabila server tersebut tidak berfungsi, transaksi tidak dapat dilangsungkan. Bayangkan apabila sebuah bank diserang oleh bank saingan dengan melumpuhkan outlet ATM (Anjungan Tunai Mandiri, Automatic Teller Machine) yang dimiliki oleh bank tersebut. Atau sebuah credit card merchant server yang diserang, sehingga tidak dapat menerima pembayaran melalui credit card.
Selain itu, serangan DoS sering digunakan sebagai bagian dari serangan lainnya. Misalnya, dalam serangan IPspoofing (seolah serangan datang dari tempat lain dengan nomor IP milik orang lain), seringkali DoS digunakan untuk membungkam server yang akan dispoof.
C. KLASIFIKASI SERANGAN DOS
Denial Of Service Attack adalah serangan yang paling sering digunakan daripada serangan yang lain, hal ini dikarenakan mudahnya untuk melakukannya, exploits-nya pun banyak ditemukan di internet. Siapapun bisa men-down kan sebuah website dengan hanya menggunakan simple command prompt. Tujuan utama serangan ini adalah membuat suatu sistem crash & karena overload sehingga tidak bisa diakses atau mematikan service.
Beberapa klasifikasi serangan DoS:
1. Land Attack
Land attack merupakan serangan kepada sistem dengan menggunakan program yang bernama “land”. Program land menyerang server yang dituju dengan mengirimkan packet palsu yang seolah-olah berasal dari server yang dituju. Dengan kata lain, source dan destination dari packet dibuat seakan-akan berasal dari server yang dituju. Akibatnya server yang diserang menjadi bingung.
2. Latierra
Program latierra merupakan “perbaikan” dari program land, dimana port yang digunakan berubah-ubah sehingga menyulitkan bagi pengamanan.
3. Ping Broadcast (Smurf)
Salah satu mekanisme serangan yang baru-baru ini mulai marak digunakan adalah menggunakan ping ke alamat broadcast, ini yang sering disebut dengan smurf. Seluruh komputer (device) yang berada di alamat broadcast tersebut akan menjawab. Jika sebuah sistem memiliki banyak komputer (device) dan ping broadcast ini dilakukan terus menerus, jaringan dapat dipenuhi oleh respon-respon dari device-device tersebut. Akibatnya jaringan menjadi lambat.
4. Ping of Death (PoD)
Ping-o-death sebetulnya adalah eksploitasi program ping dengan memberikan packet yang ukurannya besar ke sistem yang dituju. Beberapa sistem UNIX ternyata menjadi hang ketika diserang dengan cara ini. Program ping umum terdapat di berbagai operating system, meskipun umumnya program ping tersebut mengirimkan packet dengan ukuran kecil (tertentu) dan tidak memiliki fasilitas untuk mengubah besarnya packet. Salah satu implementasi program ping yang dapat digunakan untuk mengubah ukuran packet adalah program ping yang ada di sistem Windows 95.
Kamis, 01 Juli 2010
asp
Contoh dari asp
Gaji.asp
(body)
(form method="post" name="FormGaji" action="Proses.Asp" >
Nama :
Golongan:
(input type="radio" name="gol" value="1">
(% if instr(gol,"1") then response.write("checked")%> 1
(input type="radio" name="gol" value="2">
(% if instr(gol,"2") then response.write("checked")%> 2
(input type="radio" name="gol" value="3">
(% if instr(gol,"3") then response.write("checked")%> 3
Status :
(input type="radio" name="Stat" value="Menikah">
(% if instr(stat,"Menikah") then response.write("checked")%> Menikah
(input type="radio" name="Stat" value="Belum Menikah">
(% if instr(stat,"Belum Menikah") then response.write("checked")%> Belum Menikah
(input type="hidden" value="New" Name="input">
(input type="submit" value="Submit">
(/form>
Gaji.asp
(body)
(form method="post" name="FormGaji" action="Proses.Asp" >
Nama :
Golongan:
(input type="radio" name="gol" value="1">
(% if instr(gol,"1") then response.write("checked")%> 1
(input type="radio" name="gol" value="2">
(% if instr(gol,"2") then response.write("checked")%> 2
(input type="radio" name="gol" value="3">
(% if instr(gol,"3") then response.write("checked")%> 3
Status :
(input type="radio" name="Stat" value="Menikah">
(% if instr(stat,"Menikah") then response.write("checked")%> Menikah
(input type="radio" name="Stat" value="Belum Menikah">
(% if instr(stat,"Belum Menikah") then response.write("checked")%> Belum Menikah
(input type="hidden" value="New" Name="input">
(input type="submit" value="Submit">
(/form>