Pages

Senin, 27 Oktober 2014

Home » Security Model

Security Model

By Unknown   Posted at  05.06   No comments



Model Keamanan
Kebijakan-kebijakan keamanan (Security Policies) mendeskripsikan peraturan-peraturan tentang siapa yang diijinkan untuk mengakses sebuah sistem dan batasan hak aksesnya. Model keamanan diperlukan untuk memformalisasi kebijakan sehingga peraturan menjadi jelas. Sebuah model harus tepat dan mudah dimengerti. Ada 3 jenis model keamanan:
1.      Access Control Model:  mendukung kerahasiaan, akuntabilitas, dan integritas.
2.      Information Flow Model: mendukung kebijakan kerahasiaan.
3.      Integrity Model: mendukung kebijakan integritas.

1.      Access Control Model
Access Control Model mendefinisikan aturan yang menentukan bagaimana mengakses suatu objek/sistem. Model ini menjaga kerahasiaan, integritas dan juga menyediakan  akuntabilitas.
Ada tiga jenis utama: kebijaksanaan (discretionary), kewajiban (mandatory), dan berbasis peran (role-based) (juga disebut non-discretionary).
a.       Discretionary Access Control (DAC) memungkinkan subjek, dengan kebijaksanaannya sendiri, untuk menentukan jenis akses apa yang dapat terjadi ke objek yang dimilikinya. Pendekatan yang paling umum untuk menerapkan model ini adalah melalui Access Control List (ACL). Akses dapat ditentukan oleh identifikasi subjek dan  objek (berdasarkan identitas), berdasarkan user (user diarahkan) dengan pembatasan tertentu, atau hybrid (kombinasi dari keduanya). Model ini umumnya digunakan dalam lingkungan komersial dan industri karena fleksibilitas terhadap perubahan jenis akses dalam waktu yang singkat.
b.      Mandatory Access Control (MAC) menentukan akses berdasarkan label keamanan, bukan identitas, subjek (clearance) dan objek (klasifikasi). Ini adalah kontrol akses berbasis aturan. Administrator menetapkan aturan untuk mengontrol siapa yang dapat mengakses objek yang dan membuat perubahan tingkat keamanan sumber daya. Para pengguna tidak dapat memodifikasi aturan ini. Model ini jauh lebih terstruktur dan ketat pada aturan yang berlaku, bekerja dengan baik di lingkungan dengan pembatasan akses informasi yang ketat - seperti militer, atau rumah sakit.
c.       Role-Based Access Control (RBAC), juga disebut Non-Discretionary Access Control, adalah pusat dikelola melalui keputusan resmi berdasarkan peran individu dalam suatu organisasi (misalnya dokter, perawat, pasien manajer unit perawatan, mengakui petugas, dll di rumah sakit model). Tipe akses dikelompokkan dengan nama peran dan penggunaan sumber daya dibatasi oleh  peran subjek. Administrator dapat mencabut hak istimewa sistem berdasarkan peran subjek. Model ini bekerja dengan baik untuk organisasi dengan anggota yang banyak.

2.      Information Flow Model
Model ini membahas aliran informasi dan tingkatan keamanan untuk menjamin kerahasiaan informasi. Salah satu bentuk pengaplikasiannya adalah melarang aliran data dari level yang lebih tinggi ke level yang lebih rendah. Salah satu contoh bentuk model ini adalah BLP atau The Bell and La Padula. BLP menggunakan level-level keamanan untuk menetapkan hak akses yang sesuai terhadap level tersebut berdasarkan aturan berikut:
- Ijin Membaca Data (Read Permission): subjek di level yang lebih tinggi dapat mengakses data untuk melakukan proses “read” atau baca data terhadap objek pada level yang sama atau lebih rendah.
- Ijin Menulis Data (Write Permission): subjek di level yang rendah dapat mengakses data untuk melakukan proses “write” atau tulis data terhadap objek pada level yang sama atau lebih tinggi.
Hanya Administrator yang dapat mengubah hak akses dari setiap subjek (pihak yang melakukan akses). Model ini menjamin kerahasiaan data, tapi tidak menjamin keintegritasan data.

3.      Integrity Model
Model ini digunakan untuk menjamin/menjaga keintegritasan data tetapi tidak menjamin kerahasiaan data. Contoh pengaplikasian model ini adalah Biba Model. Biba Model adalah hasil modifikasi dari BLP Model. Peraturan Biba Model adalah:
- Ijin Menulis Data (Read Permission): subjek dapat melakukan proses “read” atau baca hanya jika level integritas data tersebut sama atau lebih tinggi.
- Ijin Membaca Data (Write Permission): subjek dapat melakukan proses “write) atau menulis data jika level integritas data tersebut sama atau lebih rendah.


Tidak semua informasi membutuhkan jenis model keamanan yang sama. Sebuah organisasi perlu untuk mengidentifikasi model keamanan apa yang terbaik untuk diterapkan untuk dapat memenuhi kebutuhan.
Referensi:
- http://www.ipa.go.jp/security/english/virus/antivirus/pdf/Hacking_measures_eng.pdf
- http://upload.evilzone.org/download.php?id=8048009&type=zip
- http://www.giac.org/paper/gsec/3161/unauthorized-access-threats-risk-control/105264
- http://www.oha.com/KnowledgeCentre/Library/Documents/Final%20-%20PHIPA%20Primer.pdf

- http://www.sersc.org/journals/IJMUE/vol2_no2_2007/2.pdf

About the Author

Hanya seorang mahasiswa biasa yang selalu berusaha untuk menjadi luar biasa.
View all posts by: BT9

0 komentar:

Back to top ↑
Connect with Us

    Popular Posts

    Sample text

    Social Icons

    Featured Posts

What they says

© 2013 ANTI CYBER CRIME. WP Mythemeshop Converted by Bloggertheme9
Blogger templates. Proudly Powered by Blogger.