Studi Kasus : PENGAMANAN DATABASE SERVER SISTEM INFORMASI KENDARAAN BEMOTOR DI UNIT KEPOLISIAN MENGGUNAKAN TEKNOLOGI WEB SERVICES (SAMSAT KOTA PALEMBANG)
1.PENDAHULUAN
Dalam dunia komunikasi data global dan perkembangan teknologi informasi yang senantiasa berubah serta cepatnya perkembangan software, keamanan merupakan suatu isu yang sangat penting, baik itu keamanan fisik, keamanan data maupun keamanan aplikasi.
Perlu kita sadari bahwa untuk mencapai suatu keamanan itu adalah suatu hal yang sangat mustahil, seperti yang ada dalam dunia nyata sekarang ini. Tidak ada satu daerah pun yang betul-betul aman kondisinya, walau penjaga keamanan telah ditempatkan di daerah tersebut, begitu juga dengan keamanan database. Namun yang bisa kita lakukan adalah untuk mengurangi gangguan keamanan tersebut.
Sampai saat ini keamanan database sering menjadi pembicaraan, karena sering terjadinya pembobolan pada database. Melalui makalah ini kami akan mencoba membahas mengenai bagaimana suatu database dilindungi dan beberapa hal yang terkait dengan keamanan database.
Pengertian Database
Database didefinisikan sebagai suatu kumpulan data yang saling terhubung dan terbagi(shared) yang bertujuan untuk memelihara informasi yang dibutuhkan oleh suatu organisasi atau pun perusahaan.
Sedangkan system database (sistem basis data) dapat didefinisikan sebagai komputerisasi sistem penyimpanan data yang tujuannya untuk memelihara informasi serta agar informasi tersedia pada saat dibutuhkan.
Keuntungan system database
•Mengurangi redundancy.
Data yang sama pada beberapa aplikasi cukup disimpan sekali saja.
•Integrity.
Data tersimpan secara akurat.
•Menghindari inkonsisten.
Karena redundancy berkurang, maka update data jadi lebih efisien.
•Penggunaan data bersama.
Data yang sama dapat diakses oleh beberapa user pada saat bersamaan.
•Standarisasi.
Menyangkut keseragaman penyajian data.
•Menyeimbangkan kebutuhan.
Dapat ditentukan prioritas suatu operasi, misal antaraupdate dengan retrieval.
Data adalah sumber daya yang berharga sehingga harus dikontrol dan diatur, sebagaimana sumber daya perusahaan/organusasi yang lainnya. Sebagaian atau seluruh data perusahaan/organisasi biasanya mempunyai nilai strategi bagi perusahaan/organisasi tersebut, oleh karena itu data harus tetap aman dan rahasia.
Pengertian Keamanan Database
Keamanan database adalah suatu cara untuk melindungi database dari ancaman, baik dalam bentuk kesengajaan atau pun bukan.
Ancaman adalah segala situasi atau kejadian baik secara sengaja maupun tidak yang bersifat merugikan dan mempengaruhi system serta secara konsekuensi terhadap perusahaan/organisasi yang memiliki system database.
Keamanan database tidak hanya berkenaan dengan data yang ada pada database saja, tetapi juga meliputi bagian lain dari system database, yang tentunya dapat mempengaruhi database tersebut. Hal ini berarti keamanan database mencakup perangkat keras, perangkat lunak, orang dan data.
Agar memiliki suatu keamanan yang efektif dibutuhkan kontrol yang tepat. Seseorang yang mempunyai hak untuk mengontrol dan mengatur database biasanya disebut Administrator database. Seorang administratorlah yang memegang peranan penting pada suatu system database, oleh karena itu administrator harus mempunyai kemampuan dan pengetahuan yang cukup agar dapat mengatur suatu system database.
2. PEMBAHASAN
Keamanan database database dapat di sebabkan oleh hal sebagai berikut :
Tingkatan Pada Keamanan Database :
· Fisikal à lokasi-lokasi dimana terdapat sistem komputer haruslah aman secara fisik terhadap serangan perusak.
· Manusia à wewenang pemakai harus dilakukan dengan berhati-hati untuk mengurangi kemungkinan adanya manipulasi oleh pemakai yang berwenang
· Sistem Operasi à Kelemahan pada SO ini memungkinkan pengaksesan data oleh pihak tak berwenang, karena hampir seluruh jaringan sistem database menggunakan akses jarak jauh.
· Sistem Database à Pengaturan hak pemakai yang baik.
Secara garis besar keamanan database dikategorikan sbb:
· KeamananServer
· Trusted IPAccess
· Koneksi Database
· Kontrol Akses Table
Penjelasan
Perlindungan Server adalah suatu proses pembatasan akses yang sebenarnya pada database dalam server itu sendiri. Menurut Blake Wiedman ini adalah suatu sisi keamanan yang sangat penting dan harus direncanakan secara hati-hati.
Ide dasarnya adalah kita tidak dapat mengakses apa yang kita tidak dapat lihat, atau apakah kita ingin database server kita dapat dilihat diseluruh dunia? Database kita bukanlah suatu web server,koneksi yang tidak dikenali tidak diijinkan.
· Trusted Ip Access
Setiap server harus dapat mengkonfigurasikan alamat ip yang diperbolehkan mengakses dirinya. Kita tidak mengijinkan semua orang dapat mengakses server kita sebagaimana kita tidak mengijinkan orang lain memasuki rumah kita tanpa ijin. Jika server melayani suatu web server maka hanya alamat web server itu saja yang dapat mengakses server database tersebut.Jika server database melayani jaringan internal maka hanya alamat jaringanlah yang boleh menghubungi server.
Sangat perlu diperhatikan bahwa jangan pernah menggabungkan server database web dengan server database informasi internal perusahaan anda, ini adalah suatu mental yang buruk untuk seorang admin.
· Koneksi Database
Saat ini semakin banyaknya aplikasi dinamis menjadi sangat menggoda untuk melakukan akses yang cepat bahkan update yang langsung tanpa authentifikasi. Jangan pernah berpikir demikian, ini hanya untuk seorang pemalas.Jika kita ingin mengijinkan pemakai dapat mengubah database melalui web page, pastikan anda memvalidasi semua masukan untuk memastikan bahwa inputan benar, terjamin dan aman.Sebagai contoh, pastikan anda menghilangkan semua code SQL agar tidak dapat dimasukan oleh user.Jika anda seorang admin yang membutuhkan koneksi ODBC,pastikan koneksi yang digunakan unik.
· Kontrol Akses Tabel
Kontrol akses table ini adalah salah satu bentuk keamanan database yang sering diabaikan,karena cukup sulit penerapannya. Penggunaan control akses table yang benar dibutuhkan kolaborasi antara system administrator dengan pengembang database. Hal inilah yang sulit dilakukan. Pemberian ijin user untuk mengakses informasi dapat membuat informasi terbuka kepada public. Jika seorang user mengakses informasi apakah akan dilihat menggunakan session yang sama? Atau jika table digunakan sebagai referensi system mengapa ia diberikan ijin selain hak membaca saja.
Kelemahan keamanan database dapat dibedakan menjadi beberapa kelompok:
• Vendor bugs/ kelemahan dari pembuat.
• Poor architecture/ rancangan yang jelek.
• Misconfigurations/ salah konfigurasi.
• Incorrect usage/ Penggunaan yang tidak pada tempatnya.
Penjelasan
· Vendor bugs/ kelemahan dari pembuat
Kelemahan dari pembuat diantaranya adalah buffer overflows dan kesalahan program yang lain yang dihasilkan dari eksekusi perintah olehusers. Downloading dan menginstal patches biasanya digunakan untuk memperbaiki kelemahan dari pembuat.Untuk meyakinkan bahwa kita tidak memiliki kelemahan karena masalah ini maka kita harus terus melihat perkembangan jika ada patches terbaru, secepatnya diinstal setelah diluncurkannya patche terbaru tersebut.
· Rancangan yang jelek
Perancangan yang jelek ini disebabkan karena kurangnya perencanaan yang tepat terhadap bagaimana aplikasi bekerja. Kelemahan yang seperti ini ialah kelemahan yang paling sulit diperbaiki, karena untuk memperbaikinya dibutuhkan kerja ulang secara keseluruhan oleh pembuat. Sebagai contoh rancangan yang jelek adalah pemanfaatan bentuk enkripsi yang lemah darivendor.
· Salah konfigurasi
Salah konfigurasi disebabkan tidak tepatnya konfigurasidatabase. Banyak dari pilihan konfigurasidatabase dapat diset sesuai keamanan yang dibutuhkan. Sebagian dari parameter diset tidak aman secaradefault.Biasanya bukan suatu masalah sampai dibutuhkan perubahan konfigurasi yang tidak diharapkan. Sebagai contoh pada oracle adalah parameter REMOTE_OS_A UTHE NT, secaradef ault diset “true” yang berarti kita mengijinkan user unauthenticated/ tidak berwenang dapat melakukan koneksi kepada database.
· Penggunaan yang salah
Penggunaan yang salah terjadi dari pemanfaatan kegunaan/ fungsi perintah dari program yang diberikan oleh pembuat/vendor, yang dipakai untuk menembus system. Sebagai contoh SQL INJECTION yang disalah gunakan.
PENGAMANAN DATABASE SERVER SISTEM INFORMASI KENDARAAN BEMOTOR DI UNIT KEPOLISIAN MENGGUNAKAN TEKNOLOGI WEB SERVICES
(STUDI KASUS SAMSAT KOTA PALEMBANG)
Seiring dengan tuntutan demokrasi tentang transparansi dan kemudahan serta kecepatan pelayanan publik kepada masyarakat, kantor SAMSAT (Sistem Administrasi Manunggal di bawah Satu Atap) Palembang sedang giatnya untuk mewujudkan tatakelola pelayanan pemerintahan yang baik, diantaranya sedang membangun sistem komputerisasi pelayanan yang saling berintegerasi antar instansi didalamnya.
Meskipun beberapa kantor SAMSAT (Sistem Administrasi Manunggal di bawah Satu Atap) sudah ada yang menggunakan fasilitas on-line yaitu pada proses pendaftaran kendaraan baru hal tersebut masih dirasa kurang dan terbatas karena dalam pembuatan aplikasinya masih harus dibatasi menggunakan program tertentu saja dan sebagian besar aplikasinya berdiri sendiri. Untuk aplikasi yang sudah ada, pembuatan antara aplikasi server dengan aplikasi client harus menggunakan bahasa pemrograman yang sama, hal ini dirasa kurang efektif karena di beberapa instansi yang ada di kantor SAMSAT yang terdiri dari Kepolisian, Dinas Pendapatan Daerah, Jasaraharja dan BANK sudah mengembangkan aplikasi dengan bahasa pemerograman yang berbeda seperti INFORMIX .ASP.Net VB 6.0, VB.Net dan lain-lain.
Saat ini aplikasi yang ada di kantor SAMSAT Palembang yang sudah terintegrasi antar instansi adalah aplikasi yang dimiliki oleh Kepolisian dengan aplikasi yang dimiliki oleh Dinas Pendapatan Daerah (DISPENDA) Sumatera Selatan dengan bentuk integrasi aplikasi Penerimaan Pajak Kendaraan Bermotor yang dimiliki DISPENDA dengan cara langsung mengakses Database Server yang dimiliki oleh Kepolisian. Cara akses langsung ini memiliki resiko keamanan data, karena pengembang aplikasi DISPENDA mengetahui userid dan password untuk login ke Database Server yang dimiliki kepolisian
Berdasarkan permasalahan di atas, maka dibutuhkan sebuah aplikasi layanan yang mampu menghubungkan aplikasi client baik berbasis Desktop maupun berbasis web yang dibangun oleh berbagai bahasa pemrograman dengan Database Server terutama Database Server yang dimiliki kepolisian. Salah satu teknologi Saat ini telah berkembang sebuah teknologi yang memungkinkan bentuk akhir dari sebuah program atau aplikasi komputer adalah berupa sebuah service atau fungsi yang melakukan sebuah tugas atau proses yang spesifik dan dikenal dengan istilah Web Services. Konsep ini sebenarnya bukanlah sebuah konsep yang baru, berbagai teknologi telah dikembangkan untuk mewujudkan kebutuhan akan koneksi atau hubungan antar aplikasi, seperti teknologi DCOM dan CORBA. Namun teknologi tersebut dianggap masih memiliki keterbatasan, yaitu: adanya kesulitan untuk dilakukan silang teknologi antara sistem operasi yang satu dengan sistem operasi yang lain, maupun antara satu bahasa pemrograman dengan bahasa pemrograman yang lain. XML Web Services adalah layanan yang dirasa mampu mengatasi permasalahan tersebut. XML Web Service itu sendiri merupakan jenis layanan yang menggunakan XML sebagai format dokumen dalam pertukaran data dan menggunakan protokol http untuk komunikasi datanya. Dengan menggunakan XML sebagai format dokumennya akan memungkinkan Web Services dalam berkomunikasi antar aplikasi dan platform yang berbeda.
Dengan adanya Web Services yang mampu memberi layanan pada bahasa pemerograman tanpa mengharuskan bahasa pemrograman tersebut membuat koneksi langsung ke Database Server akan mengurangi perasaan was-was para Database Administrator Kepolisian, akan ketakutan kehilangan data kendaraan bermotor. Tentunya resiko kehilangan data ini adalah resiko dari akses database, bukannya resiko yang disebabkan oleh hal yang bukan bersifat koneksi seperti kebakaran, membuka server langsung dan lain-lain Republik Indonesia, Dinas Pendapatan Daerah, Jasa Raharja dan Bank. Instansi-instansi itu semuanya membuat sistem sendiri-sendiri. Dimulai Dinas Pendapatan Daerah mengembangkan sistem penerimaan pajak menggunakan bahasa pemerograman dan database Informix Base. Kepolisian mengembangkan Sistem Informasi Kendaraan (SIKB) menggunakan bahasa pemerograman Visual Basic.Net dan database management system menggunakan Microsoft SQLServer 2005. Sedangkan Jasa Raharja menggunakan ASP.Net dan pengelola database menggunkan Oracle.
Dengan perbedaan ini terjadinya kesulitan menghubungkan (link) data antar instansi tersebut. Saat ini di kantor pelayanan samsat Palembang yang sudah terhubung aplikasinya adalah aplikasi yang dimiliki oleh kepolisian dengan aplikasi yang dimiliki oleh Dinas Pendapatan Daerah dengan bentuk link aplikasi pajak yang dimiliki oleh Dinas Pendapatan Daerah langsung mengakses database yang dimiliki oleh Kepolisian. Bentuk ini mempunyai kelemahan keamanan data yang disimpan di database server karena pengembang dispenda mengetahui userid dan password untuk login ke database server, meskipun hak akses sudah dikunfigurasi.
Sumber :