EssaysForStudent.com - Free Essays, Term Papers & Book Notes
Search

Electronic Access Badge System with Two Halves

By:   •  Essay  •  1,084 Words  •  May 3, 2011  •  2,190 Views

Page 1 of 5

Electronic Access Badge System with Two Halves

ELECTRONIC ACCESS BADGE SYSTEM WITH TWO HALVES

(Sistem Akses Menggunakan Badge Elektronik Dengan Dua Babak)

Latar Belakang

Akses ke data center di suatu organisasi yang besar dikontrol terutama melalui pengembangan sistem aplikasi electronic access badge. Tidak ada dokumentasi yang disediakan vendor yang menyinggung operasi dan keamanan aplikasi.

Beberapa hari sebelum audit, seorang manajer kehilangan electronic access badge-nya dan melaporkannya ke system security administrator. Administrator kemudian memblok badge yang hilang dan mengeluarkan badge pengganti. Salah satu test audit yang dilakukan adalah memeriksa printout semua pemegang badge resmi dan menilai kelayakan kapasitas akses dari sampel pemegang badge. Manajer yang kehilangan badge-nya diminta untuk menyebutkan nomor electronic access badge-nya untuk memastikan bahwa kapabilitas akses barunya telah dimasukan kedalam aplikasi secara tepat. Secara mengejutkan, nomor yang diberikan oleh manajer tidak ada dalam daftar badge resmi. Ia kemudian diminta menggunakan badge tersebut dan ternyata berfungsi dengan baik. Manajer mengatakan bahwa setelah audit dimulai, ia menemukan badge-nya yang hilang dan telah memberitahu system security administrator untuk mengaktifkannya kembali. Bagaimana mungkin badge dapat berfungsi dengan baik tetapi tidak ada dalam daftar resmi badge tetap menjadi misteri.

Hasil Penyelidikan

Dalam penyelidikan lanjutan, ditemukan bahwa disk operating system (DOS) milik vendor yang mendasari aplikasi didisain dan diprogram untuk memberikan akses kepada pemegang badge berdasarkan database yang berisi seluruh nomor badge resmi. Database yang berisi nama pemegang badge terpisah dari aplikasi. Nama yang berhubungan dengan nomor kartu dimasukkan secara manual kedalam database pemegang badge dan tidak mempengaruhi database lainnya, yang sesungguhnya mengatur kemampuan akses dari masing-masing badge. Dengan kata lain, daftar pemegang resmi badge tidak berhubungan dengan siapa yang dapat mengakses pintu ke data center. Dalam kasus manajer yang kehilangan badge-nya, system security administrator telah mengaktifkan kembali badge yang semula hilang tetapi lupa mengupdate database nama pemegang badge.

Kelemahan Pengendalian

1. Dimungkinkan sebuah badge aktif tidak berhubungan dengan suatu nama dalam database pemegang badge.

2. Sistem tidak didisain untuk mengidentifikasi nomor badge resmi yang tidak berhubungan dengan suatu nama pada database pemegang badge, dengan mengabaikan bahwa kedua database memiliki field yang sama – nomor badge – yang dapat dengan mudah digunakan sebagai cross reference.

3. Satu-satunya cara untuk mengidentifikasi nomor badge yang tidak cocok dengan namanya adalah dengan membandingkan kedua printout secara manual. Ketika situasi didiskusikan lebih lanjut dengan system security administrator, diketahui bahwa hal tersebut telah menjadi masalah dalam efesiensi dan vendor tidak antusias untuk membuat sistem yang lebih baik. System security administrator lebih lanjut mengatakan bahwa hanya ada sedikit alternatif vendor.

4. Sayangnya, aplikasi tersebut memiliki beberapa kekurangan kontrol dalam physical and logical security. Sebagai contoh, CPU yang berisi aplikasi electronic badge control terletak pada lantai di atas data center. Kebanyakan update dari database akses pemegang badge dilakukan di lantai tersebut. Akan tetapi database akses pemegang badge dapat diupdate dari security guard station di lantai satu, dengan menggunakan master control unit (MCU).

5. Selain sebagai terminal, MCU memiliki sederetan toggle switched, yang masing-masing mengatur pintu yang berbeda menuju data center. Jika toggle switched secara manual dipindahkan ke tengah, semua pintu di dalam gedung akan terbuka. Jadi jika seseorang ingin menguasai seluruh data center, ia cukup menguasai guard station dan kemudian mengatur posisi toggle switched agar berada di tengah. Penjaga yang tidak puas dapat dengan mudah mengekpose data center.

6. Kelemahan logical security control dari aplikasi electronic badge access termasuk password yang tidak ter-encryp dan tidak bisa expired serta tidak ada minimum karakternya. File password dalam aplikasi dapat dilihat semua orang dengan kapabilitas akses administrator sistem dan oleh siapa saja pada level operating system, tanpa perlu mengakses aplikasinya.

Solusi dan Penambahan Sistem Pengendalian

Untuk memperbaiki kontrol dan efisiensi area tanggung jawab dalam hal administrasi keamanan fisik dalam pusat pengolahan data, direkomendasikan bahwa :

1. Manajemen

Download as (for upgraded members)  txt (8.2 Kb)   pdf (118.4 Kb)   docx (13.1 Kb)  
Continue for 4 more pages »