Nama : Rifki.Kelas : A MKJ
1. Dalam dunia keamanan internet dikenal prinsip your security
is my security atau yang dalam praktek manajemen sering
dianalogikan dengan contoh sebuah rantai, dimana the strenght of a
chain depends on its weakest link (kekuatan sebuah rantai terletak
pada sambungannya yang terlemah). Artinya adalah bahwa
sebaik-baiknya sebuah organisasi mengelola keamanan sistem
teknologi informasinya, kondisi sistem keamanan pihak-pihak lain
yang terhubung di internet akan secara signifikan mempengaruhinya.
Hal inilah yang kemudian menimbulkan pertanyaan utama: terlepas
dari adanya sejumlah CERT yang telah beroperasi, bagaimana mereka
dapat bersama-sama menjaga keamanan internet yang sedemikian besar
dan luas jangkauannya? Dalam kaitan inilah maka sebuah perguruan
tinggi terkemuka di Amerika Serikat yaitu Carnegie Mellon
University, melalui lembaga risetnya Software Engineering
Institute, memperkenalkan konsep CERT/CC yaitu singkatan dari
Computer Emergency Response Team (Coordination Center) yaitu sebuah
pusat koordinasi sejumlah CERT yang tertarik untuk bergabung dalam
forum atau komunitas ini. Dengan adanya pusat koordinasi ini, maka
para praktisi CERT dapat bertemu secara virtual maupun fisik untuk
membahas berbagai isu terkait dengan keamanan dan pengamanan
internet. Untuk membedekannya dengan CERT, maka dikembangkanlah
sebuah istilah khusus untuk merepresentasikan CERT/CC yaitu CSIRT.
Di Jepang contohnya, banyak sekali tumbuh lembaga-lembaga CERT
independen yang dikelola oleh pihak swasta. Untuk itulah maka
dibentuk sebuah CSIRT dengan nama JPCERT/CC sebagai sebuah forum
berkumpulnya dan bekerjasamanya pengelolaan keamanan internet
melalui sebuah atap koordinasi secara nasional.(
http://misterkepo.blogspot.com/2012_06_01_archive.html) 2.
Prinsip-prinsip pada arsitektur keamanan informasi : hak minimum
(least previlage)Dalam menyusun dan membuat perencanaan Access
Control, salah satu prinsip yang harus dipegang adalah Least
Privilege. Yang dimaksud dengan Least Privilege di sini adalah
hanya memberikan hak akses yang memang dibutuhkan oleh subject yang
bersangkutan untuk melakukan tugas-tugas yang memang menjadi bagian
dari tanggung jawabnya. Yang perlu dicatat di sini adalah jangan
pernah memberikan akses penuh (Full Access) terhadap semua resource
yang tersedia di dalam sistem kepada subject. Berikan hak akses
sesuai dengan yang dibutuhkannya. Tujuan utama dari prinsip ini
adalah meminimalisir terjadinya Authorization Creep atau suatu
kejadian yang tidak disengaja di mana suatu subject diberi hak
akses yang seharusnya tidak dia miliki. Kondisi ini tentunya
memiliki potensi untuk memunculkan threat / ancaman terhadap sistem
yang kita miliki.Access Control sendiri dapat dibagi menjadi 3,
yaitu Physical Access Control, Administrative Access Control, dan
Logical Access Control. pertahanan berlapis (defense in depth)
pembatasan gerbang (choke point)titik terlemah (weakest link)
pengamanan kegagalan (fail-safe stance) partisipasi total
(universal participation) aneka pertahanan (diversity of defense)
kesederhanaan (simplicity)3. bahwa kemudahan (kenyamanan) mengakses
informasi berbanding terbalik dengan tingkat keamanan sistem
informasi itu sendiri. Semakin tinggi tingkat keamanan, semakin
sulit (tidak nyaman) untuk mengakses informasi.sebelum menerapkan
system keamanan ada baiknya menentukan terlebih dahulu tingkat
ancaman yang harus diatasi dan resiko yang harus diambil maupun
resiko yang harus dihindari, sehingga dapat dicapai keseimbangan
yamg optimal antara keamanan dan kenyamanan.4. Trusted computing
base(TCB) / komputasi dasar dipercaya dari sistem komputer adalah
himpunan semua hardware , firmware , dan / atau perangkat lunak
komponen yang sangat penting untuk perusahaan keamanan , dalam arti
bahwa bug atau kerentanan yang terjadi dalam TCB mungkin
membahayakan sifat keamanan seluruh sistem. Sebaliknya, bagian dari
sistem komputer di luar TCB tidak harus mampu berbuat tidak senonoh
dengan cara yang akan bocor lagi hak istimewa daripada yang
diberikan kepada mereka sesuai dengan kebijakan keamanan .Desain
yang cermat dan pelaksanaan dasar komputasi terpercaya sistem
adalah penting untuk keamanan secara keseluruhan. Modern sistem
operasi berusaha untuk mengurangi ukuran TCB sehingga pemeriksaan
lengkap dari basis kode (dengan cara manual atau dengan bantuan
komputer Audit software atau program verifikasi ) menjadi
layak.
Definisi dan karakterisasiIstilah trusted computing base kembali
ke Rushby, [ 1 ] yang didefinisikan sebagai kombinasi dari kernel
dan terpercaya proses . Yang terakhir mengacu pada proses yang
diperbolehkan untuk melanggar aturan akses kontrol sistem. Dalam
kertas klasik Otentikasi dalam Sistem Terdistribusi: Teori dan
Praktek [ 2 ] Lampson et al. menentukan TCB dari sistem komputer
hanya sebagaisejumlah kecil perangkat lunak dan perangkat keras
bahwa keamanan tergantung pada dan bahwa kita membedakan dari
jumlah yang jauh lebih besar yang dapat berkelakuan tanpa
mempengaruhi keamanan.Kedua definisi, sedangkan yang jelas dan
nyaman, yang tidak secara teoritis tepat atau dimaksudkan untuk
menjadi, seperti misalnya server jaringan proses di bawah UNIX
-seperti sistem operasi mungkin menjadi korban sebuah pelanggaran
keamanan dan kompromi merupakan bagian penting dari keamanan
sistem, namun tidak bagian dari TCB sistem operasi. The Oranye Buku
, yang lain klasik keamanan komputer referensi sastra, karena itu
memberikan definisi yang lebih formal dari TCB dari sistem
komputer, sepertitotalitas mekanisme perlindungan di dalamnya,
termasuk hardware, firmware, dan perangkat lunak, kombinasi yang
bertanggung jawab untuk menegakkan kebijakan keamanan
komputer.Orange Book lebih lanjut menjelaskan bahwa[T] ia kemampuan
dasar komputasi dipercaya untuk menegakkan benar kebijakan keamanan
terpadu tergantung pada kebenaran mekanisme dalam basis komputasi
dipercaya, perlindungan mekanisme yang memastikan ketepatan, dan
input yang benar parameter yang terkait dengan keamanan
kebijakan.Dengan kata lain, bagian tertentu dari perangkat keras
atau perangkat lunak adalah bagian dari TCB jika dan hanya jika
telah dirancang untuk menjadi bagian dari mekanisme yang
menyediakan keamanan untuk sistem komputer. Dalam sistem operasi ,
ini biasanya terdiri dari kernel (atau mikrokernel ) dan satu set
pilih utilitas sistem (misalnya, setuid program dan daemon di
sistem UNIX). Dalam bahasa pemrograman yang memiliki fitur keamanan
yang dirancang dalam seperti Jawa dan E , TCB terbentuk dari
runtime bahasa dan perpustakaan standar.
Sifat TCB Didasarkan pada kebijakan keamanan Perlu menunjukkan
bahwa sebagai konsekuensi dari definisi di atas Oranye Buku,
batas-batas TCB tergantung erat pada spesifik tentang bagaimana
kebijakan keamanan fleshed keluar. Pada contoh server jaringan di
atas, meskipun, katakanlah, server Web yang melayani multi-user
aplikasi yang bukan bagian dari TCB sistem operasi, ia memiliki
tanggung jawab melakukan kontrol akses sehingga pengguna tidak
dapat merebut identitas dan hak-hak satu sama lain. Dalam hal ini,
itu pasti bagian dari TCB dari sistem komputer yang lebih besar
yang terdiri dari server UNIX, browser pengguna dan aplikasi Web;
dengan kata lain, melanggar ke server Web melalui misalnya buffer
overflow tidak dapat dianggap sebagai kompromi dari sistem operasi
yang tepat, tapi jelas merupakan merusak mengeksploitasi pada
aplikasi Web.Relativitas mendasar dari batas TCB ini exemplifed
oleh konsep target evaluasi (TOE) dalam Common Criteria proses
keamanan: dalam perjalanan evaluasi keamanan Common Criteria, salah
satu keputusan pertama yang harus dilakukan adalah batas audit
dalam hal daftar komponen sistem yang akan datang di bawah
pengawasan. Sebuah prasyarat untuk keamananSistem yang tidak
memiliki dasar komputasi dipercaya sebagai bagian dari desain
mereka tidak menyediakan keamanan mereka sendiri: mereka hanya
mengamankan sejauh keamanan diberikan kepada mereka dengan cara
eksternal (misalnya komputer duduk di ruang terkunci tanpa
sambungan jaringan dapat dianggap aman tergantung pada kebijakan,
terlepas dari perangkat lunak itu berjalan). Hal ini karena,
seperti David J. Farber et al. meletakkannya, [ 5 ] [i] na sistem
komputer, integritas lapisan bawah biasanya diperlakukan sebagai
aksiomatik oleh lapisan yang lebih tinggi . Sejauh keamanan
komputer yang bersangkutan, penalaran tentang sifat-sifat keamanan
sistem komputer membutuhkan kemampuan untuk membuat asumsi tentang
suara apa yang bisa, dan yang lebih penting, tidak bisa melakukan;
Namun, pembatasan alasan untuk percaya sebaliknya, komputer mampu
melakukan segala sesuatu yang umum Von Neumann mesin bisa. Ini
jelas termasuk operasi yang akan dianggap bertentangan dengan semua
tapi kebijakan keamanan yang paling sederhana, seperti membocorkan
sebuah email atau sandi yang harus dirahasiakan; Namun, pembatasan
ketentuan khusus dalam arsitektur sistem, tidak dapat disangkal
bahwa komputer dapat diprogram untuk melakukan tugas-tugas yang
tidak diinginkan.Ketentuan-ketentuan khusus yang bertujuan untuk
mencegah beberapa jenis tindakan dari yang dieksekusi, pada
dasarnya, merupakan dasar komputasi terpercaya. Untuk alasan ini,
Oranye Buku (masih referensi pada desain aman desain sistem operasi
pada 2007 ) mencirikan berbagai tingkat jaminan keamanan yang
mendefinisikan terutama dalam hal struktur dan keamanan fitur dari
TCB.
Bagian perangkat lunak dari TCB perlu melindungi diriSebagaimana
diuraikan oleh tersebut Oranye Buku, bagian perangkat lunak dari
dasar komputasi dipercaya perlu melindungi diri terhadap gangguan
untuk menjadi efek apapun. Hal ini disebabkan oleh arsitektur von
Neumann dilaksanakan oleh hampir semua komputer modern: karena kode
mesin dapat diproses hanya sebagai jenis lain dari data, dapat
dibaca dan ditimpa oleh program apapun pembatasan khusus manajemen
memori ketentuan yang kemudian harus diperlakukan sebagai bagian
dari TCB tersebut. Secara khusus, dasar komputasi dipercaya harus
setidaknya mencegah perangkat lunak sendiri dari yang ditulis.Dalam
banyak modern CPU , perlindungan memori yang host TCB dicapai
dengan menambahkan dalam sepotong khusus perangkat keras yang
disebut unit manajemen memori (MMU), yang diprogram oleh sistem
operasi untuk mengizinkan dan menolak akses ke rentang tertentu
dari memori untuk program yang dijalankan sistem. Tentu saja,
sistem operasi ini juga mampu untuk melarang program tersebut
dengan program yang lain. Teknik ini disebut modus supervisor ;
dibandingkan dengan pendekatan mentah lebih (seperti menyimpan TCB
di ROM , atau ekuivalen, dengan menggunakan arsitektur Harvard ),
ia memiliki keuntungan yang memungkinkan perangkat lunak penting
keamanan ditingkatkan di lapangan, meskipun memungkinkan upgrade
aman dari dasar komputasi terpercaya menimbulkan masalah bootstrap
sendiri. [ 6 ] Trusted vs dipercayaSebagaimana dinyatakan di atas ,
kepercayaan dasar komputasi dipercaya diperlukan untuk membuat
kemajuan dalam memastikan keamanan sistem komputer. Dengan kata
lain, dasar komputasi terpercaya adalah "dipercaya" pertama dan
terutama dalam arti bahwa hal itu telah bisa dipercaya, dan tidak
selalu yang dapat dipercaya. Sistem operasi dunia nyata secara
rutin memiliki kritis keamanan-bug yang ditemukan di dalamnya, yang
membuktikan batas praktis kepercayaan tersebut. [ 7 ]Alternatif
formal verifikasi perangkat lunak , yang menggunakan teknik bukti
matematis untuk menunjukkan adanya bug. Para peneliti di NICTA dan
spinout Buka Kernel Labs baru-baru ini dilakukan seperti verifikasi
formal [1] , anggota dari keluarga mikrokernel L4 , membuktikan
kebenaran fungsional pelaksanaan C dari kernel. [ 8 ] Hal ini
membuat seL4 yang operating- pertama kernel sistem yang menutup
kesenjangan antara kepercayaan dan kepercayaan, asumsi bukti
matematika dan compiler bebas dari kesalahan. TCB ukuranKarena
kebutuhan tersebut untuk menerapkan teknik mahal seperti verifikasi
formal atau review manual, ukuran TCB memiliki konsekuensi langsung
pada ekonomi proses jaminan TCB, dan kepercayaan dari produk yang
dihasilkan (dalam hal ekspektasi matematis dari jumlah bug tidak
ditemukan selama verifikasi atau review). Dalam rangka untuk
mengurangi biaya dan risiko keamanan, TCB karenanya harus dijaga
sekecil mungkin. Ini adalah argumen utama dalam perdebatan
menentang mikrokernel pendukung dan kernel monolitik pecinta
(http://en.wikipedia.org/wiki/Trusted_computing_base)5. model
security: Access Control Matrix atau akses Matrix adalah abstrak,
resmi model keamanan perlindungan dalam sistem komputer, yang
menjadi ciri khas hak setiap mata pelajaran yang berkaitan dengan
setiap objek dalam sistem. Ini pertama kali diperkenalkan oleh
Butler W. Lampson pada tahun 1971. Access Control Matrix
adalahberbentukTabeldariSubjekdanObjekyangmengaturhubunganaksesnya.Matriks
akses dapat dibayangkan sebagai array persegi panjang sel, dengan
satu baris per subjek dan satu kolom per objek. Entri dalam sel -
yaitu, entri untuk sepasang subjek-objek tertentu - menunjukkan
mode akses yang subjek diizinkan untuk latihan pada objek. Setiap
kolom setara dengan daftar kontrol akses untuk objek; dan setiap
baris adalah setara dengan sebuah profil akses untuk subjek.
DefinisiMenurut model, perlindungan sistem komputer dapat
diabstraksikan sebagai satu set objek, yang merupakan himpunan
entitas yang perlu dilindungi (misalnya proses, file, halaman
memori) dan satu set mata pelajaran, yang terdiri dari semua
entitas yang aktif (misalnya pengguna, proses).Selanjutnya terdapat
seperangkat hakdari bentuk, di mana,dan.Sebuah kanan sehingga
menentukan jenis akses subjek diperbolehkan untuk memproses objek.
ContohDalam contoh matriks ini terdapat dua proses, file dan
perangkat.Proses pertama memiliki kemampuan untuk mengeksekusi
kedua, membaca file dan menulis beberapa informasi ke perangkat,
sedangkan proses kedua hanya bisa membaca informasi dari yang
pertama.
UtilitasKarena tidak menentukan granularity mekanisme
perlindungan, Control Matrix Access dapat digunakan sebagai model
izin akses statis di setiap jenis kontrol akses sistem. Tidak model
aturan dimana izin dapat berubah dalam sistem tertentu, dan karena
itu hanya memberikan gambaran lengkap tentang kontrol akses sistem
kebijakan keamanan Sebuah Kontrol Matrix Access harus dianggap
hanya sebagai model abstrak izin pada suatu titik waktu tertentu;
implementasi harfiah sebagai array dua dimensi akan memiliki
persyaratan memori yang berlebihan. keamanan berbasis Kemampuan dan
daftar kontrol akses adalah kategori mekanisme kontrol akses beton
yang perizinannya statis dapat dimodelkan dengan menggunakan Access
Control Matriks. Meskipun kedua mekanisme ini terkadang telah
disajikan (misalnya di Butler Lampson yang Perlindungan kertas)
hanya sebagai baris-based dan kolom berbasis implementasi dari
Control Matrix Access, pandangan ini telah dikritik sebagai
menggambar kesetaraan menyesatkan antara sistem yang tidak
memperhitungkan akun perilaku dinamis.
(http://en.wikipedia.org/wiki/Access_Control_Matrix) Bell LaPadula
ModelDibuat tahun 1970-an, untuk militer Amerika Serikat, untuk
pengamanan kerahasiaan informasi Menggunakan lattice, tingkatan
keamanan militer yakni: Top Secret Secret Sensitive but
unclassified Unclassified Pengertian Model Bell-LaPadulaThe
Bell-LaPadula Model (disingkat BLP) adalah model state machine
digunakan untuk menegakkan akses kontrol dalam aplikasi pemerintah
dan militer. Ini dikembangkan oleh David Elliott Bell dan Leonard
J. LaPadula, setelah bimbingan yang kuat dari Roger R. Schell untuk
meresmikan US Department of Pertahanan (DoD) keamanan bertingkat
(MLS) kebijakan. Model ini adalah model transisi state formal
kebijakan keamanan komputer yang menggambarkan seperangkat aturan
kontrol akses yang menggunakan label keamanan pada objek dan izin
untuk mata pelajaran. Label keamanan berkisar dari yang paling
sensitif (misalnya "Top Secret"), sampai ke paling sensitif
(misalnya, "Unclassified" atau "Public"). Model Bell-LaPadula
adalah contoh dari sebuah model di mana tidak ada perbedaan yang
jelas perlindungan dan keamanan. Fitur
Model Bell-LaPadula berfokus pada kerahasiaan data dan akses
dikendalikan untuk diklasifikasikan informasi, berbeda dengan Model
Biba Integritas yang menggambarkan aturan untuk perlindungan data
integritas. Dalam model formal, entitas dalam suatu sistem
informasi dibagi menjadi subyek dan benda. Gagasan tentang "negara
aman" didefinisikan, dan terbukti bahwa setiap negara yang
diawetkan transisi keamanan dengan bergerak dari negara yang aman
untuk mengamankan negara, sehingga induktif membuktikan bahwa
system memenuhi tujuan keamanan model. Model Bell-LaPadula dibangun
pada konsep mesin negara dengan satu set negara diijinkan dalam
sistem jaringan komputer. Transisi dari satu negara ke negara lain
didefinisikan oleh fungsi transisi. Sebuah sistem negara
didefinisikan sebagai "aman" jika satu-satunya mode akses yang
diizinkan subyek ke obyek yang sesuai dengan kebijakan keamanan.
Untuk menentukan apakah mode akses tertentu diperbolehkan,
clearance subjek dibandingkan dengan klasifikasi objek (lebih
tepatnya, untuk kombinasi klasifikasi dan set kompartemen, membuat
tingkat keamanan) untuk menentukan apakah subjek berwenang untuk
mode akses tertentu. Skema izin / klasifikasi dinyatakan dalam
kisi. Model ini mendefinisikan dua kendali akses mandatory (MAC)
aturan dan satu kontrol akses discretionary (DAC) aturan dengan
tiga sifat keamanan:
1. The Property Security Simple - subjek pada tingkat keamanan
yang diberikan mungkin tidak membaca suatu objek pada tingkat
keamanan yang lebih tinggi (ada read-up).2. The *-properti (baca
"bintang"-property) - subjek pada tingkat keamanan yang diberikan
tidak harus menulis ke benda pada tingkat keamanan yang lebih
rendah (tidak ada write-down).The *-properti juga dikenal sebagai
Properti kurungan.3. The Discretionary Keamanan Properti -
penggunaan matriks akses untuk menentukan kebijaksanaan kontrol
akses. Transfer informasi dari dokumen-sensitivitas tinggi terhadap
dokumen-sensitivitas yang lebih rendah mungkin terjadi dalam model
Bell-LaPadula melalui konsep pelajaran dipercaya.Subyek Trusted
tidak dibatasi oleh *-property.Subyek Untrusted berada.Subyek
Trusted harus terbukti dipercaya berkaitan dengan kebijakan
keamanan.Model keamanan ini diarahkan kontrol akses dan ditandai
dengan kalimat: "tidak membaca, tidak menulis."Bandingkan model
Biba, Clark- Model Wilson dan model Wall Chinese.
Dengan Bell-LaPadula, pengguna dapat membuat konten hanya pada
atau di atas tingkat keamanan mereka sendiri (yaitu rahasia
peneliti dapat membuat file rahasia atau rahasia tetapi mungkin
tidak membuat file publik, tidak ada write-down). Sebaliknya,
pengguna dapat melihat konten hanya pada atau di bawah tingkat
keamanan mereka sendiri (yaitu peneliti rahasia dapat melihat file
umum atau rahasia, tetapi mungkin tidak melihat file rahasia, tidak
ada baca-up). Model Bell-LaPadula eksplisit didefinisikan ruang
lingkup.Ini tidak memperlakukan hal berikut secara
ekstensif:Saluran rahasia.Menyampaikan informasi melalui tindakan
pre-arranged digambarkan secara singkat.Jaringan sistem.Pekerjaan
pemodelan kemudian melakukan membahas topik ini.Kebijakan luar
keamanan bertingkat.Bekerja di awal 1990-an menunjukkan bahwa MLS
adalah salah satu versi kebijakan boolean, seperti juga semua
kebijakan lain yang diterbitkan.(
http://nhaastrina.blogspot.com/2014/03/bell-lapaduala_17.html)
BibaBiba Model atau Biba Integritas Model yang dikembangkan oleh
Kenneth J. Biba pada tahun 1977, [ 1 ] adalah formal sistem
transisi state dari keamanan komputer kebijakan yang menggambarkan
satu set kontrol akses aturan yang dirancang untuk memastikan
integritas data . Data dan mata pelajaran dikelompokkan ke dalam
tingkat memerintahkan integritas. Model ini dirancang sedemikian
rupa sehingga subyek objek mungkin tidak korup di tingkat peringkat
lebih tinggi dari subjek, atau rusak oleh benda-benda dari tingkat
yang lebih rendah daripada subjek.Secara umum model ini
dikembangkan untuk menghindari kelemahan dalam Model Bell-LaPadula
yang hanya membahas data yang kerahasiaan . FiturSecara umum,
pelestarian data integritas memiliki tiga tujuan: Mencegah data
modifikasi oleh pihak yang tidak berhak Mencegah tidak sah Data
modifikasi oleh pihak yang berwenang Menjaga konsistensi internal
dan eksternal (yaitu data mencerminkan dunia nyata)Model keamanan
ini diarahkan Data integritas (bukan kerahasiaan ) dan ditandai
oleh kalimat: "tidak ada yang membaca ke bawah, tidak ada menulis".
Hal ini berbeda dengan model Bell-LaPadula yang ditandai dengan
kalimat "tidak menuliskan, tidak ada membaca".Dalam model Biba,
pengguna hanya dapat membuat konten pada atau di bawah tingkat
integritas mereka sendiri (seorang biksu dapat menulis sebuah buku
doa yang bisa dibaca oleh rakyat jelata, tetapi tidak satu untuk
dibaca oleh Imam Besar). Sebaliknya, pengguna hanya bisa melihat
konten pada atau di atas tingkat integritas mereka sendiri (seorang
biksu dapat membaca buku yang ditulis oleh Imam Besar, tetapi
mungkin tidak membaca sebuah pamflet yang ditulis oleh orang biasa
rendah). Analogi lain yang perlu dipertimbangkan adalah bahwa dari
rantai komando militer. Sebuah Umum dapat menulis perintah kepada
Kolonel, yang dapat mengeluarkan perintah ini untuk Mayor. Dengan
cara ini, perintah asli Jenderal disimpan utuh dan misi militer
dilindungi (dengan demikian, "tidak ada yang membaca down"
integritas). Sebaliknya, Swasta pernah dapat mengeluarkan perintah
Sersan itu, yang mungkin tidak pernah mengeluarkan perintah ke
Letnan, juga melindungi integritas misi ("no menulis up").Model
Biba mendefinisikan seperangkat aturan keamanan mirip dengan model
yang Bell-LaPadula . Aturan-aturan ini adalah kebalikan dari aturan
Bell-LaPadula:1. The Simple Integritas Aksioma menyatakan bahwa
subjek pada tingkat tertentu integritas tidak harus membaca sebuah
objek pada tingkat integritas yang lebih rendah ( tidak ada baca
bawah ).2. The * (bintang) Integritas Axiom menyatakan bahwa subjek
pada tingkat tertentu integritas tidak harus menulis ke objek
apapun pada tingkat yang lebih tinggi integritas ( tidak menulis up
).3. Doa Properti menyatakan bahwa proses dari bawah tidak bisa
meminta akses lebih tinggi; hanya dengan mata pelajaran pada
tingkat yang sama atau lebih
rendah.(http://en.wikipedia.org/wiki/Biba_Model)
Clark WilsonClark-Wilson Model integritas memberikan landasan
untuk menentukan dan menganalisis kebijakan integritas untuk sistem
komputasi. Model ini terutama berkaitan dengan meresmikan gagasan
integritas informasi . Integritas informasi dipertahankan dengan
mencegah korupsi item data dalam sistem karena baik kesalahan atau
niat jahat. Sebuah kebijakan integritas menggambarkan bagaimana
item data dalam sistem harus tetap berlaku dari satu keadaan sistem
ke depan dan menentukan kemampuan berbagai prinsipal dalam sistem.
Model ini mendefinisikan aturan penegakan dan aturan sertifikasi.
AsalModel ini dijelaskan dalam 1987 kertas ( Perbandingan Komersial
dan Kebijakan Militer Keamanan Komputer ) oleh David D. Clark dan
David R. Wilson. Makalah ini mengembangkan model sebagai cara untuk
meresmikan gagasan integritas informasi, terutama dibandingkan
dengan persyaratan untuk keamanan multi-level (MLS) sistem yang
dijelaskan dalam Kitab Oranye . Clark dan Wilson berpendapat bahwa
model integritas yang ada seperti Biba (baca-up / write-down) yang
lebih cocok untuk menegakkan integritas data daripada kerahasiaan
informasi. The Biba model lebih jelas berguna dalam, misalnya,
sistem klasifikasi perbankan untuk mencegah modifikasi dipercaya
informasi dan mencemari informasi pada tingkat yang lebih tinggi
klasifikasi masing-masing. Sebaliknya, Clark-Wilson lebih jelas
berlaku untuk bisnis dan industri proses di mana integritas isi
informasi sangat penting pada setiap tingkat klasifikasi (meskipun
penulis menekankan bahwa ketiga model yang jelas berguna bagi kedua
organisasi pemerintah dan industri) .
Prinsip-prinsip dasarPenegakan aturan dan sertifikasi model
mendefinisikan item data dan proses yang memberikan dasar bagi
kebijakan integritas.Inti dari model ini didasarkan pada gagasan
transaksi. Sebuahwell-formedtransaksi adalah serangkaian operasi
yang transisi sistem dari satu negara yang konsisten ke kondisi
konsisten lain. Dalam model ini kebijakan integritas alamat
integritas transaksi. Prinsip pemisahan tugas mensyaratkan bahwa
sertifikasi transaksi dan pelaksana menjadi entitas yang
berbeda.Model ini berisi sejumlah konstruksi dasar yang mewakili
kedua item data dan proses yang beroperasi pada item-item data.Tipe
data kunci dalam model Clark-Wilson adalah Barang Terbatas data
(CDI).Sebuah Integritas Verifikasi Prosedur (IVP) memastikan bahwa
semua CDIS dalam sistem yang berlaku di negara tertentu.Transaksi
yang menegakkan kebijakan integritas yang diwakili oleh Prosedur
Transformation (TPS).Sebuah TP mengambil sebagai masukan CDI atau
Yang tanpa Data Item (UDI) dan menghasilkan suatu CDI.Sebuah TP
harus transisi sistem dari satu negara ke negara yang sah berlaku
lagi.UDIs merupakan sistem input (seperti yang disediakan oleh
pengguna atau musuh).Sebuah TP harus menjamin (melalui sertifikasi)
yang mengubah semua nilai yang mungkin dari UDI untuk "aman" CDI.
Clark-Wilson aturan ModelDi jantung dari model ini adalah gagasan
tentang hubungan antara principal dikonfirmasi (yaitu, pengguna)
dan satu set program (yaitu, TPS) yang beroperasi pada satu set
item data (misalnya, UDIs dan CDIS). Komponen seperti relasi,
diambil bersama-sama, yang disebut sebagai Clark-Wilson tiga. Model
ini juga harus memastikan bahwa entitas yang berbeda bertanggung
jawab untuk memanipulasi hubungan antara kepala sekolah, transaksi,
dan item data. Sebagai contoh singkat, pengguna mampu sertifikasi
atau menciptakan relasi tidak harus mampu menjalankan program yang
ditentukan dalam kaitannya itu.Model ini terdiri dari dua set
aturan: Aturan Sertifikasi (C) dan Peraturan Penegakan (E).
Sembilan aturan menjamin integritas eksternal dan internal item
data. Mengutip ini:C1-Ketika IVP dijalankan, harus memastikan CDIS
berlaku.C2-Untuk beberapa set terkait CDIS, TP harus mengubah
orang-orang CDIS dari satu negara yang valid untuk yang lain.Karena
kita harus memastikan bahwa TPS ini disertifikasi untuk beroperasi
pada CDI tertentu, kita harus memiliki E1 dan E2.
E1-Sistem harus mempertahankan daftar hubungan bersertifikat dan
memastikan hanya TPS disertifikasi untuk berjalan pada perubahan
CDI yang CDI.E2-Sistem harus mengaitkan pengguna dengan
masing-masing TP dan set CDIS. TP dapat mengakses CDI atas nama
pengguna jika itu adalah "hukum."Hal ini memerlukan melacak tiga
kali lipat (user, TP, {} CDIS) disebut "hubungan
diperbolehkan."C3-Diizinkan hubungan harus memenuhi persyaratan
"pemisahan tugas."Kita perlu otentikasi untuk melacak ini.E3-Sistem
harus mengotentikasi setiap pengguna mencoba TP. Perhatikan bahwa
ini adalah per permintaan TP, bukan per login.Untuk tujuan
keamanan, log harus disimpan.C4-Semua TPS harus menambahkan ke log
informasi yang cukup untuk merekonstruksi operasi.Ketika informasi
masuk sistem itu tidak perlu dipercaya atau dibatasi (yaitu dapat
menjadi UDI). Kita harus menangani hal ini dengan tepat.C5-Setiap
TP yang mengambil UDI sebagai masukan hanya dapat melakukan
transaksi berlaku untuk semua nilai yang mungkin dari UDI. TP baik
akan menerima (dikonversi ke CDI) atau menolak UDI.Akhirnya, untuk
mencegah orang dari mendapatkan akses dengan mengubah kualifikasi
TP:E4-Hanya sertifikasi dari TP mungkin mengubah daftar perusahaan
yang terkait dengan TP itu.(
http://en.wikipedia.org/wiki/Clark%E2%80%93Wilson_model)
Information Flow ModelArus informasidalamteori informasikonteks
adalah transfer informasi darivariabelke variabeldalam
diberikanproses.Tidak semua arus mungkin diinginkan.Sebagai contoh,
sistem tidak harus bocor setiap rahasia (sebagian atau tidak) untuk
pengamat publik.
PengantarMengamankan data dimanipulasi oleh sistem komputasi
telah menjadi tantangan di tahun-tahun terakhir. Beberapa metode
untuk membatasi keterbukaan informasi yang ada saat ini, seperti
daftar kontrol akses , firewall , dan kriptografi . Namun, meskipun
metode ini melakukan memberi batasan pada informasi yang dirilis
oleh sistem, mereka tidak memberikan jaminan tentang informasi
propagasi . [ 1 ] Misalnya, daftar kontrol akses sistem berkas
mencegah akses file yang tidak sah, tetapi mereka tidak mengontrol
bagaimana Data yang digunakan setelah itu. Demikian pula,
kriptografi menyediakan sarana untuk saling bertukar informasi
pribadi di saluran tidak aman, tetapi tidak ada jaminan tentang
kerahasiaan data yang diberikan setelah itu didekripsi.Dalam
analisis arus informasi tingkat rendah, masing-masing variabel
biasanya diberikan tingkat keamanan. Model dasar terdiri dari dua
tingkat yang berbeda: rendah dan tinggi, artinya, masing-masing,
secara terbuka informasi diamati, dan informasi rahasia. Untuk
menjamin kerahasiaan, mengalir informasi dari tinggi ke rendah
variabel seharusnya tidak diperbolehkan. Di sisi lain, untuk
memastikan integritas, mengalir ke variabel tinggi harus dibatasi.
[ 1 ]ecara umum, tingkat keamanan dapat dilihat sebagaikisidengan
informasi yang mengalir hanya ke atas dalam kisi.[2]Sebagai contoh,
mempertimbangkan dua tingkat keamanandan(rendah dan tinggi), jika,
mengalir darike, darike, danuntukakan diizinkan, sementara arus
dariketidak akan.[3] PendahuluanSepanjang artikel ini, notasi
berikut digunakan: variabel(rendah) akan menunjukkan variabel yang
dapat diamati publik variabel(tinggi) akan menunjukkan variabel
rahasiaDimanadanadalah satu-satunya dua tingkat keamanan
dikisisedang dipertimbangkan. Kontrol aliran informasiSebuah
mekanisme untuk mengontrol arus informasi adalah salah satu yang
memberlakukan kebijakan arus informasi. Beberapa metode untuk
menegakkan kebijakan arus informasi telah diusulkan. Mekanisme
Run-time data tag dengan label arus informasi telah digunakan pada
tingkat sistem operasi dan pada tingkat bahasa pemrograman. Program
statis analisis juga telah dikembangkan yang memastikan arus
informasi dalam program sesuai dengan kebijakan.
Kedua analisis statis dan dinamis untuk bahasa pemrograman saat
ini telah dikembangkan. Namun, teknik analisis statis tidak dapat
mengamati semua jalur eksekusi, dan karena itu tidak dapat baik
suara dan tepat. Untuk menjamin noninterference, mereka juga
menghentikan eksekusi yang mungkin mengeluarkan informasi sensitif
[ 5 ] atau mereka mengabaikan pembaruan yang mungkin membocorkan
informasi. [ 6 ]Cara terkemuka untuk menegakkan kebijakan arus
informasi dalam program adalah melalui sistem jenis keamanan:
yaitu, sistem tipe yang memberlakukan sifat keamanan. Dalam sebuah
sistem jenis suara, jika program jenis-cek, memenuhi kebijakan
aliran dan karena itu tidak mengandung informasi yang tidak benar
mengalir. Jenis keamanan systemDalam bahasa pemrograman ditambah
dengan keamanansistem tipesetiap ekspresi membawa kedua jenis
(seperti boolean, atau integer) dan label keamanan.Berikut ini
adalah jenis sistem keamanan sederhana dari[1]yang memaksa
non-interferensi.Notasiberarti bahwa ekspresitelah
mengetik.Demikian pula,berarti bahwa perintahtersebut typable dalam
konteks keamanan.
Perintah yang diketik meliputi, misalnya,.Sebaliknya, program
ini
sakit-diketik, karena akan mengungkapkan nilai variabelke
dalam.(http://en.wikipedia.org/wiki/Information_flow_(information_theory)
6. Trusted Computer System Evaluation Criteria(TCSEC) /
Terpercaya Kriteria Evaluasi Sistem Komputer adalah Amerika Serikat
Pemerintah Departemen Pertahanan (DoD) standar yang menetapkan
persyaratan dasar untuk menilai efektivitas keamanan komputer
kontrol dibangun menjadi sebuah sistem komputer . TCSEC digunakan
untuk mengevaluasi, mengklasifikasikan dan pilih sistem komputer
sedang dipertimbangkan untuk pengolahan, penyimpanan dan
pengambilan sensitif atau informasi rahasia . TCSEC, sering disebut
sebagai Orange Book(buku oranye) , adalah pusat dari Departemen
Pertahanan Rainbow Series publikasi. Awalnya diterbitkan pada tahun
1983 oleh National Security Computer Center (NCSC), sebuah lengan
dari National Security Agency , dan kemudian diperbaharui pada
tahun 1985. TCSEC digantikan oleh Common Criteria standar
internasional awalnya diterbitkan pada tahun 2005.
Tujuan mendasar dan persyaratan
KebijakanKebijakan keamanan harus eksplisit, jelas dan
ditegakkan oleh sistem komputer. Ada tiga kebijakan keamanan dasar:
Kebijakan Keamanan wajib - Memaksa kontrol akses berdasarkan aturan
langsung pada pembukaan individu, otorisasi untuk informasi dan
tingkat kerahasiaan informasi yang sedang dicari. Faktor-faktor
tidak langsung lainnya adalah fisik dan lingkungan. Kebijakan ini
juga harus akurat mencerminkan hukum, kebijakan umum dan bimbingan
lain yang relevan dari mana aturan berasal. Menandai - Sistem yang
dirancang untuk menegakkan kebijakan keamanan wajib harus menyimpan
dan menjaga keutuhan akses label kontrol dan mempertahankan label
jika objek diekspor. Kebijakan Keamanan Discretionary - Memaksa
satu set konsisten aturan untuk mengendalikan dan membatasi akses
berdasarkan individu yang diidentifikasi yang telah ditentukan
untuk memiliki kebutuhan-untuk-tahu untuk informasi.
AkuntabilitasAkuntabilitas individu terlepas dari kebijakan
harus ditegakkan. Sebuah cara yang aman harus ada untuk menjamin
akses agen resmi dan kompeten yang kemudian dapat mengevaluasi
informasi akuntabilitas dalam jumlah waktu yang wajar dan tanpa
kesulitan yang tidak semestinya. Ada tiga persyaratan di bawah
tujuan akuntabilitas:
Identifikasi - Proses yang digunakan untuk mengenali pengguna
individu. Otentikasi - Verifikasi otorisasi pengguna individu untuk
kategori tertentu informasi. Audit - Audit informasi harus selektif
dijaga dan dilindungi sehingga tindakan yang mempengaruhi keamanan
dapat ditelusuri ke individu dikonfirmasi.
Jaminan Sistem komputer harus berisi mekanisme hardware /
software yang dapat dievaluasi secara independen untuk memberikan
jaminan yang cukup bahwa sistem memberlakukan persyaratan di atas.
Dengan ekstensi, jaminan harus mencakup jaminan bahwa bagian
terpercaya sistem bekerja hanya sebagaimana dimaksud. Untuk
mencapai tujuan tersebut, dua jenis jaminan yang diperlukan dengan
elemen masing-masing: Mekanisme Jaminan Jaminan Operasional: Sistem
Arsitektur, Sistem Integritas, Terselubung Analisis Channel,
Terpercaya Facility Management dan Pemulihan Terpercaya Siklus
hidup Jaminan: Keamanan Pengujian, Desain Spesifikasi dan
Verifikasi, Manajemen Konfigurasi dan Terpercaya Sistem Distribusi
Jaminan Perlindungan terus menerus - mekanisme yang terpercaya yang
menegakkan persyaratan dasar harus terus dilindungi terhadap
gangguan dan / atau perubahan yang tidak sah.
Divisi dan kelas
TCSEC mendefinisikan empat divisi: D, C, B dan A di mana divisi
A memiliki keamanan tertinggi. Setiap divisi merupakan perbedaan
yang signifikan dalam kepercayaan individu atau organisasi dapat
menempatkan pada sistem dievaluasi. Selain itu divisi C, B dan A
yang rusak menjadi serangkaian subdivisi hirarkis disebut kelas:
C1, C2, B1, B2, B3 dan A1.Setiap divisi dan kelas memperluas atau
memodifikasi seperti yang ditunjukkan persyaratan divisi segera
sebelum atau kelas. D - perlindungan Minimal Disediakan untuk
sistem-sistem yang telah dievaluasi tetapi gagal untuk memenuhi
persyaratan untuk divisi yang lebih tinggi C Discretionary
protection C1 Discretionary Security Protection Identification and
authentication Separation of users and data Discretionary Access
Control (DAC) capable of enforcing access limitations on an
individual basis Required System Documentation and user manuals C2
Controlled Access Protection More finely grained DAC Individual
accountability through login procedures Audit trails Object reuse
Resource isolation
B Mandatory protection B1 Labeled Security Protection Informal
statement of the security policy model Data sensitivity labels
Mandatory Access Control (MAC) over selected subjects and
objectsLabel exportation capabilities All discovered flaws must be
removed or otherwise mitigated Design specifications and
verification B2 Structured Protection Security policy model clearly
defined and formally documented DAC and MAC enforcement extended to
all subjects and objects Covert storage channels are analyzed for
occurrence and bandwidth Carefully structured into
protection-critical and non-protection-critical elements Design and
implementation enable more comprehensive testing and review
Authentication mechanisms are strengthened Trusted facility
management is provided with administrator and operator segregation
Strict configuration management controls are imposed Operator and
Administrator roles are separated. B3 Security Domains Satisfies
reference monitor requirements Structured to exclude code not
essential to security policy enforcement Significant system
engineering directed toward minimizing complexity Security
administrator role defined Audit security-relevant events Automated
imminent intrusion detection, notification, and response Trusted
system recovery procedures Covert timing channels are analyzed for
occurrence and bandwidth
A Verified protection A1 Verified Design Functionally identical
to B3 Formal design and verification techniques including a formal
top-level specification Formal management and distribution
procedures Examples of A1-class systems are Honeywell's SCOMP,
Aesec's GEMSOS, and Boeing's SNS Server. Two that were unevaluated
were the production LOCK platform and the cancelled DEC VAX
Security Kernel. Beyond A1 System Architecture demonstrates that
the requirements of self-protection and completeness for reference
monitors have been implemented in the Trusted Computing Base (TCB).
Security Testing automatically generates test-case from the formal
top-level specification or formal lower-level specifications.
Formal Specification and Verification is where the TCB is verified
down to the source code level, using formal verification methods
where feasible. Trusted Design Environment is where the TCB is
designed in a trusted facility with only trusted (cleared)
personnel. (http://en.wikipedia.org/wiki/Orange_Book)