24
Nama : Rifki. Kelas : A MKJ 1. Dalam dunia keamanan internet dikenal prinsip “your security is my security” atau yang dalam praktek manajemen sering dianalogikan dengan contoh sebuah rantai, dimana “the strenght of a chain depends on its weakest link ” (kekuatan sebuah rantai terletak pada sambungannya yang terlemah). Artinya adalah bahwa sebaik-baiknya sebuah organisasi mengelola keamanan sistem teknologi informasinya, kondisi sistem keamanan pihak-pihak lain yang terhubung di internet akan secara signifikan mempengaruhinya. Hal inilah yang kemudian menimbulkan pertanyaan utama: terlepas dari adanya sejumlah CERT yang telah beroperasi, bagaimana mereka dapat bersama-sama menjaga keamanan internet yang sedemikian besar dan luas jangkauannya? Dalam kaitan inilah maka sebuah perguruan tinggi terkemuka di Amerika Serikat yaitu Carnegie Mellon University, melalui lembaga risetnya Software Engineering Institute, memperkenalkan konsep CERT/CC yaitu singkatan dari Computer Emergency Response Team (Coordination Center) – yaitu sebuah pusat koordinasi sejumlah CERT yang tertarik untuk bergabung dalam forum atau komunitas ini. Dengan adanya pusat koordinasi ini, maka para praktisi CERT dapat bertemu secara virtual maupun fisik untuk membahas berbagai isu terkait dengan keamanan dan pengamanan internet. Untuk membedekannya dengan CERT, maka dikembangkanlah sebuah istilah khusus untuk merepresentasikan CERT/CC yaitu CSIRT. Di Jepang contohnya, banyak sekali tumbuh lembaga-lembaga CERT independen yang dikelola oleh pihak swasta. Untuk itulah maka dibentuk sebuah CSIRT dengan nama JPCERT/CC sebagai sebuah forum berkumpulnya dan bekerjasamanya pengelolaan keamanan internet melalui sebuah atap koordinasi secara nasional.( http://misterkepo.blogspot.com/2012_06_01_archive.html ) 2. Prinsip-prinsip pada arsitektur keamanan informasi :

Tugas 3 Mkj Rifki RN (Repaired)

Embed Size (px)

DESCRIPTION

tugas keamanan komputer

Citation preview

Nama : Rifki.Kelas : A MKJ

1. Dalam dunia keamanan internet dikenal prinsip your security is my security atau yang dalam praktek manajemen sering dianalogikan dengan contoh sebuah rantai, dimana the strenght of a chain depends on its weakest link (kekuatan sebuah rantai terletak pada sambungannya yang terlemah). Artinya adalah bahwa sebaik-baiknya sebuah organisasi mengelola keamanan sistem teknologi informasinya, kondisi sistem keamanan pihak-pihak lain yang terhubung di internet akan secara signifikan mempengaruhinya. Hal inilah yang kemudian menimbulkan pertanyaan utama: terlepas dari adanya sejumlah CERT yang telah beroperasi, bagaimana mereka dapat bersama-sama menjaga keamanan internet yang sedemikian besar dan luas jangkauannya? Dalam kaitan inilah maka sebuah perguruan tinggi terkemuka di Amerika Serikat yaitu Carnegie Mellon University, melalui lembaga risetnya Software Engineering Institute, memperkenalkan konsep CERT/CC yaitu singkatan dari Computer Emergency Response Team (Coordination Center) yaitu sebuah pusat koordinasi sejumlah CERT yang tertarik untuk bergabung dalam forum atau komunitas ini. Dengan adanya pusat koordinasi ini, maka para praktisi CERT dapat bertemu secara virtual maupun fisik untuk membahas berbagai isu terkait dengan keamanan dan pengamanan internet. Untuk membedekannya dengan CERT, maka dikembangkanlah sebuah istilah khusus untuk merepresentasikan CERT/CC yaitu CSIRT. Di Jepang contohnya, banyak sekali tumbuh lembaga-lembaga CERT independen yang dikelola oleh pihak swasta. Untuk itulah maka dibentuk sebuah CSIRT dengan nama JPCERT/CC sebagai sebuah forum berkumpulnya dan bekerjasamanya pengelolaan keamanan internet melalui sebuah atap koordinasi secara nasional.( http://misterkepo.blogspot.com/2012_06_01_archive.html) 2. Prinsip-prinsip pada arsitektur keamanan informasi : hak minimum (least previlage)Dalam menyusun dan membuat perencanaan Access Control, salah satu prinsip yang harus dipegang adalah Least Privilege. Yang dimaksud dengan Least Privilege di sini adalah hanya memberikan hak akses yang memang dibutuhkan oleh subject yang bersangkutan untuk melakukan tugas-tugas yang memang menjadi bagian dari tanggung jawabnya. Yang perlu dicatat di sini adalah jangan pernah memberikan akses penuh (Full Access) terhadap semua resource yang tersedia di dalam sistem kepada subject. Berikan hak akses sesuai dengan yang dibutuhkannya. Tujuan utama dari prinsip ini adalah meminimalisir terjadinya Authorization Creep atau suatu kejadian yang tidak disengaja di mana suatu subject diberi hak akses yang seharusnya tidak dia miliki. Kondisi ini tentunya memiliki potensi untuk memunculkan threat / ancaman terhadap sistem yang kita miliki.Access Control sendiri dapat dibagi menjadi 3, yaitu Physical Access Control, Administrative Access Control, dan Logical Access Control. pertahanan berlapis (defense in depth) pembatasan gerbang (choke point)titik terlemah (weakest link) pengamanan kegagalan (fail-safe stance) partisipasi total (universal participation) aneka pertahanan (diversity of defense) kesederhanaan (simplicity)3. bahwa kemudahan (kenyamanan) mengakses informasi berbanding terbalik dengan tingkat keamanan sistem informasi itu sendiri. Semakin tinggi tingkat keamanan, semakin sulit (tidak nyaman) untuk mengakses informasi.sebelum menerapkan system keamanan ada baiknya menentukan terlebih dahulu tingkat ancaman yang harus diatasi dan resiko yang harus diambil maupun resiko yang harus dihindari, sehingga dapat dicapai keseimbangan yamg optimal antara keamanan dan kenyamanan.4. Trusted computing base(TCB) / komputasi dasar dipercaya dari sistem komputer adalah himpunan semua hardware , firmware , dan / atau perangkat lunak komponen yang sangat penting untuk perusahaan keamanan , dalam arti bahwa bug atau kerentanan yang terjadi dalam TCB mungkin membahayakan sifat keamanan seluruh sistem. Sebaliknya, bagian dari sistem komputer di luar TCB tidak harus mampu berbuat tidak senonoh dengan cara yang akan bocor lagi hak istimewa daripada yang diberikan kepada mereka sesuai dengan kebijakan keamanan .Desain yang cermat dan pelaksanaan dasar komputasi terpercaya sistem adalah penting untuk keamanan secara keseluruhan. Modern sistem operasi berusaha untuk mengurangi ukuran TCB sehingga pemeriksaan lengkap dari basis kode (dengan cara manual atau dengan bantuan komputer Audit software atau program verifikasi ) menjadi layak.

Definisi dan karakterisasiIstilah trusted computing base kembali ke Rushby, [ 1 ] yang didefinisikan sebagai kombinasi dari kernel dan terpercaya proses . Yang terakhir mengacu pada proses yang diperbolehkan untuk melanggar aturan akses kontrol sistem. Dalam kertas klasik Otentikasi dalam Sistem Terdistribusi: Teori dan Praktek [ 2 ] Lampson et al. menentukan TCB dari sistem komputer hanya sebagaisejumlah kecil perangkat lunak dan perangkat keras bahwa keamanan tergantung pada dan bahwa kita membedakan dari jumlah yang jauh lebih besar yang dapat berkelakuan tanpa mempengaruhi keamanan.Kedua definisi, sedangkan yang jelas dan nyaman, yang tidak secara teoritis tepat atau dimaksudkan untuk menjadi, seperti misalnya server jaringan proses di bawah UNIX -seperti sistem operasi mungkin menjadi korban sebuah pelanggaran keamanan dan kompromi merupakan bagian penting dari keamanan sistem, namun tidak bagian dari TCB sistem operasi. The Oranye Buku , yang lain klasik keamanan komputer referensi sastra, karena itu memberikan definisi yang lebih formal dari TCB dari sistem komputer, sepertitotalitas mekanisme perlindungan di dalamnya, termasuk hardware, firmware, dan perangkat lunak, kombinasi yang bertanggung jawab untuk menegakkan kebijakan keamanan komputer.Orange Book lebih lanjut menjelaskan bahwa[T] ia kemampuan dasar komputasi dipercaya untuk menegakkan benar kebijakan keamanan terpadu tergantung pada kebenaran mekanisme dalam basis komputasi dipercaya, perlindungan mekanisme yang memastikan ketepatan, dan input yang benar parameter yang terkait dengan keamanan kebijakan.Dengan kata lain, bagian tertentu dari perangkat keras atau perangkat lunak adalah bagian dari TCB jika dan hanya jika telah dirancang untuk menjadi bagian dari mekanisme yang menyediakan keamanan untuk sistem komputer. Dalam sistem operasi , ini biasanya terdiri dari kernel (atau mikrokernel ) dan satu set pilih utilitas sistem (misalnya, setuid program dan daemon di sistem UNIX). Dalam bahasa pemrograman yang memiliki fitur keamanan yang dirancang dalam seperti Jawa dan E , TCB terbentuk dari runtime bahasa dan perpustakaan standar.

Sifat TCB Didasarkan pada kebijakan keamanan Perlu menunjukkan bahwa sebagai konsekuensi dari definisi di atas Oranye Buku, batas-batas TCB tergantung erat pada spesifik tentang bagaimana kebijakan keamanan fleshed keluar. Pada contoh server jaringan di atas, meskipun, katakanlah, server Web yang melayani multi-user aplikasi yang bukan bagian dari TCB sistem operasi, ia memiliki tanggung jawab melakukan kontrol akses sehingga pengguna tidak dapat merebut identitas dan hak-hak satu sama lain. Dalam hal ini, itu pasti bagian dari TCB dari sistem komputer yang lebih besar yang terdiri dari server UNIX, browser pengguna dan aplikasi Web; dengan kata lain, melanggar ke server Web melalui misalnya buffer overflow tidak dapat dianggap sebagai kompromi dari sistem operasi yang tepat, tapi jelas merupakan merusak mengeksploitasi pada aplikasi Web.Relativitas mendasar dari batas TCB ini exemplifed oleh konsep target evaluasi (TOE) dalam Common Criteria proses keamanan: dalam perjalanan evaluasi keamanan Common Criteria, salah satu keputusan pertama yang harus dilakukan adalah batas audit dalam hal daftar komponen sistem yang akan datang di bawah pengawasan. Sebuah prasyarat untuk keamananSistem yang tidak memiliki dasar komputasi dipercaya sebagai bagian dari desain mereka tidak menyediakan keamanan mereka sendiri: mereka hanya mengamankan sejauh keamanan diberikan kepada mereka dengan cara eksternal (misalnya komputer duduk di ruang terkunci tanpa sambungan jaringan dapat dianggap aman tergantung pada kebijakan, terlepas dari perangkat lunak itu berjalan). Hal ini karena, seperti David J. Farber et al. meletakkannya, [ 5 ] [i] na sistem komputer, integritas lapisan bawah biasanya diperlakukan sebagai aksiomatik oleh lapisan yang lebih tinggi . Sejauh keamanan komputer yang bersangkutan, penalaran tentang sifat-sifat keamanan sistem komputer membutuhkan kemampuan untuk membuat asumsi tentang suara apa yang bisa, dan yang lebih penting, tidak bisa melakukan; Namun, pembatasan alasan untuk percaya sebaliknya, komputer mampu melakukan segala sesuatu yang umum Von Neumann mesin bisa. Ini jelas termasuk operasi yang akan dianggap bertentangan dengan semua tapi kebijakan keamanan yang paling sederhana, seperti membocorkan sebuah email atau sandi yang harus dirahasiakan; Namun, pembatasan ketentuan khusus dalam arsitektur sistem, tidak dapat disangkal bahwa komputer dapat diprogram untuk melakukan tugas-tugas yang tidak diinginkan.Ketentuan-ketentuan khusus yang bertujuan untuk mencegah beberapa jenis tindakan dari yang dieksekusi, pada dasarnya, merupakan dasar komputasi terpercaya. Untuk alasan ini, Oranye Buku (masih referensi pada desain aman desain sistem operasi pada 2007 ) mencirikan berbagai tingkat jaminan keamanan yang mendefinisikan terutama dalam hal struktur dan keamanan fitur dari TCB.

Bagian perangkat lunak dari TCB perlu melindungi diriSebagaimana diuraikan oleh tersebut Oranye Buku, bagian perangkat lunak dari dasar komputasi dipercaya perlu melindungi diri terhadap gangguan untuk menjadi efek apapun. Hal ini disebabkan oleh arsitektur von Neumann dilaksanakan oleh hampir semua komputer modern: karena kode mesin dapat diproses hanya sebagai jenis lain dari data, dapat dibaca dan ditimpa oleh program apapun pembatasan khusus manajemen memori ketentuan yang kemudian harus diperlakukan sebagai bagian dari TCB tersebut. Secara khusus, dasar komputasi dipercaya harus setidaknya mencegah perangkat lunak sendiri dari yang ditulis.Dalam banyak modern CPU , perlindungan memori yang host TCB dicapai dengan menambahkan dalam sepotong khusus perangkat keras yang disebut unit manajemen memori (MMU), yang diprogram oleh sistem operasi untuk mengizinkan dan menolak akses ke rentang tertentu dari memori untuk program yang dijalankan sistem. Tentu saja, sistem operasi ini juga mampu untuk melarang program tersebut dengan program yang lain. Teknik ini disebut modus supervisor ; dibandingkan dengan pendekatan mentah lebih (seperti menyimpan TCB di ROM , atau ekuivalen, dengan menggunakan arsitektur Harvard ), ia memiliki keuntungan yang memungkinkan perangkat lunak penting keamanan ditingkatkan di lapangan, meskipun memungkinkan upgrade aman dari dasar komputasi terpercaya menimbulkan masalah bootstrap sendiri. [ 6 ] Trusted vs dipercayaSebagaimana dinyatakan di atas , kepercayaan dasar komputasi dipercaya diperlukan untuk membuat kemajuan dalam memastikan keamanan sistem komputer. Dengan kata lain, dasar komputasi terpercaya adalah "dipercaya" pertama dan terutama dalam arti bahwa hal itu telah bisa dipercaya, dan tidak selalu yang dapat dipercaya. Sistem operasi dunia nyata secara rutin memiliki kritis keamanan-bug yang ditemukan di dalamnya, yang membuktikan batas praktis kepercayaan tersebut. [ 7 ]Alternatif formal verifikasi perangkat lunak , yang menggunakan teknik bukti matematis untuk menunjukkan adanya bug. Para peneliti di NICTA dan spinout Buka Kernel Labs baru-baru ini dilakukan seperti verifikasi formal [1] , anggota dari keluarga mikrokernel L4 , membuktikan kebenaran fungsional pelaksanaan C dari kernel. [ 8 ] Hal ini membuat seL4 yang operating- pertama kernel sistem yang menutup kesenjangan antara kepercayaan dan kepercayaan, asumsi bukti matematika dan compiler bebas dari kesalahan. TCB ukuranKarena kebutuhan tersebut untuk menerapkan teknik mahal seperti verifikasi formal atau review manual, ukuran TCB memiliki konsekuensi langsung pada ekonomi proses jaminan TCB, dan kepercayaan dari produk yang dihasilkan (dalam hal ekspektasi matematis dari jumlah bug tidak ditemukan selama verifikasi atau review). Dalam rangka untuk mengurangi biaya dan risiko keamanan, TCB karenanya harus dijaga sekecil mungkin. Ini adalah argumen utama dalam perdebatan menentang mikrokernel pendukung dan kernel monolitik pecinta (http://en.wikipedia.org/wiki/Trusted_computing_base)5. model security: Access Control Matrix atau akses Matrix adalah abstrak, resmi model keamanan perlindungan dalam sistem komputer, yang menjadi ciri khas hak setiap mata pelajaran yang berkaitan dengan setiap objek dalam sistem. Ini pertama kali diperkenalkan oleh Butler W. Lampson pada tahun 1971. Access Control Matrix adalahberbentukTabeldariSubjekdanObjekyangmengaturhubunganaksesnya.Matriks akses dapat dibayangkan sebagai array persegi panjang sel, dengan satu baris per subjek dan satu kolom per objek. Entri dalam sel - yaitu, entri untuk sepasang subjek-objek tertentu - menunjukkan mode akses yang subjek diizinkan untuk latihan pada objek. Setiap kolom setara dengan daftar kontrol akses untuk objek; dan setiap baris adalah setara dengan sebuah profil akses untuk subjek. DefinisiMenurut model, perlindungan sistem komputer dapat diabstraksikan sebagai satu set objek, yang merupakan himpunan entitas yang perlu dilindungi (misalnya proses, file, halaman memori) dan satu set mata pelajaran, yang terdiri dari semua entitas yang aktif (misalnya pengguna, proses).Selanjutnya terdapat seperangkat hakdari bentuk, di mana,dan.Sebuah kanan sehingga menentukan jenis akses subjek diperbolehkan untuk memproses objek. ContohDalam contoh matriks ini terdapat dua proses, file dan perangkat.Proses pertama memiliki kemampuan untuk mengeksekusi kedua, membaca file dan menulis beberapa informasi ke perangkat, sedangkan proses kedua hanya bisa membaca informasi dari yang pertama.

UtilitasKarena tidak menentukan granularity mekanisme perlindungan, Control Matrix Access dapat digunakan sebagai model izin akses statis di setiap jenis kontrol akses sistem. Tidak model aturan dimana izin dapat berubah dalam sistem tertentu, dan karena itu hanya memberikan gambaran lengkap tentang kontrol akses sistem kebijakan keamanan Sebuah Kontrol Matrix Access harus dianggap hanya sebagai model abstrak izin pada suatu titik waktu tertentu; implementasi harfiah sebagai array dua dimensi akan memiliki persyaratan memori yang berlebihan. keamanan berbasis Kemampuan dan daftar kontrol akses adalah kategori mekanisme kontrol akses beton yang perizinannya statis dapat dimodelkan dengan menggunakan Access Control Matriks. Meskipun kedua mekanisme ini terkadang telah disajikan (misalnya di Butler Lampson yang Perlindungan kertas) hanya sebagai baris-based dan kolom berbasis implementasi dari Control Matrix Access, pandangan ini telah dikritik sebagai menggambar kesetaraan menyesatkan antara sistem yang tidak memperhitungkan akun perilaku dinamis. (http://en.wikipedia.org/wiki/Access_Control_Matrix) Bell LaPadula ModelDibuat tahun 1970-an, untuk militer Amerika Serikat, untuk pengamanan kerahasiaan informasi Menggunakan lattice, tingkatan keamanan militer yakni: Top Secret Secret Sensitive but unclassified Unclassified Pengertian Model Bell-LaPadulaThe Bell-LaPadula Model (disingkat BLP) adalah model state machine digunakan untuk menegakkan akses kontrol dalam aplikasi pemerintah dan militer. Ini dikembangkan oleh David Elliott Bell dan Leonard J. LaPadula, setelah bimbingan yang kuat dari Roger R. Schell untuk meresmikan US Department of Pertahanan (DoD) keamanan bertingkat (MLS) kebijakan. Model ini adalah model transisi state formal kebijakan keamanan komputer yang menggambarkan seperangkat aturan kontrol akses yang menggunakan label keamanan pada objek dan izin untuk mata pelajaran. Label keamanan berkisar dari yang paling sensitif (misalnya "Top Secret"), sampai ke paling sensitif (misalnya, "Unclassified" atau "Public"). Model Bell-LaPadula adalah contoh dari sebuah model di mana tidak ada perbedaan yang jelas perlindungan dan keamanan. Fitur

Model Bell-LaPadula berfokus pada kerahasiaan data dan akses dikendalikan untuk diklasifikasikan informasi, berbeda dengan Model Biba Integritas yang menggambarkan aturan untuk perlindungan data integritas. Dalam model formal, entitas dalam suatu sistem informasi dibagi menjadi subyek dan benda. Gagasan tentang "negara aman" didefinisikan, dan terbukti bahwa setiap negara yang diawetkan transisi keamanan dengan bergerak dari negara yang aman untuk mengamankan negara, sehingga induktif membuktikan bahwa system memenuhi tujuan keamanan model. Model Bell-LaPadula dibangun pada konsep mesin negara dengan satu set negara diijinkan dalam sistem jaringan komputer. Transisi dari satu negara ke negara lain didefinisikan oleh fungsi transisi. Sebuah sistem negara didefinisikan sebagai "aman" jika satu-satunya mode akses yang diizinkan subyek ke obyek yang sesuai dengan kebijakan keamanan. Untuk menentukan apakah mode akses tertentu diperbolehkan, clearance subjek dibandingkan dengan klasifikasi objek (lebih tepatnya, untuk kombinasi klasifikasi dan set kompartemen, membuat tingkat keamanan) untuk menentukan apakah subjek berwenang untuk mode akses tertentu. Skema izin / klasifikasi dinyatakan dalam kisi. Model ini mendefinisikan dua kendali akses mandatory (MAC) aturan dan satu kontrol akses discretionary (DAC) aturan dengan tiga sifat keamanan:

1. The Property Security Simple - subjek pada tingkat keamanan yang diberikan mungkin tidak membaca suatu objek pada tingkat keamanan yang lebih tinggi (ada read-up).2. The *-properti (baca "bintang"-property) - subjek pada tingkat keamanan yang diberikan tidak harus menulis ke benda pada tingkat keamanan yang lebih rendah (tidak ada write-down).The *-properti juga dikenal sebagai Properti kurungan.3. The Discretionary Keamanan Properti - penggunaan matriks akses untuk menentukan kebijaksanaan kontrol akses. Transfer informasi dari dokumen-sensitivitas tinggi terhadap dokumen-sensitivitas yang lebih rendah mungkin terjadi dalam model Bell-LaPadula melalui konsep pelajaran dipercaya.Subyek Trusted tidak dibatasi oleh *-property.Subyek Untrusted berada.Subyek Trusted harus terbukti dipercaya berkaitan dengan kebijakan keamanan.Model keamanan ini diarahkan kontrol akses dan ditandai dengan kalimat: "tidak membaca, tidak menulis."Bandingkan model Biba, Clark- Model Wilson dan model Wall Chinese.

Dengan Bell-LaPadula, pengguna dapat membuat konten hanya pada atau di atas tingkat keamanan mereka sendiri (yaitu rahasia peneliti dapat membuat file rahasia atau rahasia tetapi mungkin tidak membuat file publik, tidak ada write-down). Sebaliknya, pengguna dapat melihat konten hanya pada atau di bawah tingkat keamanan mereka sendiri (yaitu peneliti rahasia dapat melihat file umum atau rahasia, tetapi mungkin tidak melihat file rahasia, tidak ada baca-up). Model Bell-LaPadula eksplisit didefinisikan ruang lingkup.Ini tidak memperlakukan hal berikut secara ekstensif:Saluran rahasia.Menyampaikan informasi melalui tindakan pre-arranged digambarkan secara singkat.Jaringan sistem.Pekerjaan pemodelan kemudian melakukan membahas topik ini.Kebijakan luar keamanan bertingkat.Bekerja di awal 1990-an menunjukkan bahwa MLS adalah salah satu versi kebijakan boolean, seperti juga semua kebijakan lain yang diterbitkan.( http://nhaastrina.blogspot.com/2014/03/bell-lapaduala_17.html)

BibaBiba Model atau Biba Integritas Model yang dikembangkan oleh Kenneth J. Biba pada tahun 1977, [ 1 ] adalah formal sistem transisi state dari keamanan komputer kebijakan yang menggambarkan satu set kontrol akses aturan yang dirancang untuk memastikan integritas data . Data dan mata pelajaran dikelompokkan ke dalam tingkat memerintahkan integritas. Model ini dirancang sedemikian rupa sehingga subyek objek mungkin tidak korup di tingkat peringkat lebih tinggi dari subjek, atau rusak oleh benda-benda dari tingkat yang lebih rendah daripada subjek.Secara umum model ini dikembangkan untuk menghindari kelemahan dalam Model Bell-LaPadula yang hanya membahas data yang kerahasiaan . FiturSecara umum, pelestarian data integritas memiliki tiga tujuan: Mencegah data modifikasi oleh pihak yang tidak berhak Mencegah tidak sah Data modifikasi oleh pihak yang berwenang Menjaga konsistensi internal dan eksternal (yaitu data mencerminkan dunia nyata)Model keamanan ini diarahkan Data integritas (bukan kerahasiaan ) dan ditandai oleh kalimat: "tidak ada yang membaca ke bawah, tidak ada menulis". Hal ini berbeda dengan model Bell-LaPadula yang ditandai dengan kalimat "tidak menuliskan, tidak ada membaca".Dalam model Biba, pengguna hanya dapat membuat konten pada atau di bawah tingkat integritas mereka sendiri (seorang biksu dapat menulis sebuah buku doa yang bisa dibaca oleh rakyat jelata, tetapi tidak satu untuk dibaca oleh Imam Besar). Sebaliknya, pengguna hanya bisa melihat konten pada atau di atas tingkat integritas mereka sendiri (seorang biksu dapat membaca buku yang ditulis oleh Imam Besar, tetapi mungkin tidak membaca sebuah pamflet yang ditulis oleh orang biasa rendah). Analogi lain yang perlu dipertimbangkan adalah bahwa dari rantai komando militer. Sebuah Umum dapat menulis perintah kepada Kolonel, yang dapat mengeluarkan perintah ini untuk Mayor. Dengan cara ini, perintah asli Jenderal disimpan utuh dan misi militer dilindungi (dengan demikian, "tidak ada yang membaca down" integritas). Sebaliknya, Swasta pernah dapat mengeluarkan perintah Sersan itu, yang mungkin tidak pernah mengeluarkan perintah ke Letnan, juga melindungi integritas misi ("no menulis up").Model Biba mendefinisikan seperangkat aturan keamanan mirip dengan model yang Bell-LaPadula . Aturan-aturan ini adalah kebalikan dari aturan Bell-LaPadula:1. The Simple Integritas Aksioma menyatakan bahwa subjek pada tingkat tertentu integritas tidak harus membaca sebuah objek pada tingkat integritas yang lebih rendah ( tidak ada baca bawah ).2. The * (bintang) Integritas Axiom menyatakan bahwa subjek pada tingkat tertentu integritas tidak harus menulis ke objek apapun pada tingkat yang lebih tinggi integritas ( tidak menulis up ).3. Doa Properti menyatakan bahwa proses dari bawah tidak bisa meminta akses lebih tinggi; hanya dengan mata pelajaran pada tingkat yang sama atau lebih rendah.(http://en.wikipedia.org/wiki/Biba_Model)

Clark WilsonClark-Wilson Model integritas memberikan landasan untuk menentukan dan menganalisis kebijakan integritas untuk sistem komputasi. Model ini terutama berkaitan dengan meresmikan gagasan integritas informasi . Integritas informasi dipertahankan dengan mencegah korupsi item data dalam sistem karena baik kesalahan atau niat jahat. Sebuah kebijakan integritas menggambarkan bagaimana item data dalam sistem harus tetap berlaku dari satu keadaan sistem ke depan dan menentukan kemampuan berbagai prinsipal dalam sistem. Model ini mendefinisikan aturan penegakan dan aturan sertifikasi. AsalModel ini dijelaskan dalam 1987 kertas ( Perbandingan Komersial dan Kebijakan Militer Keamanan Komputer ) oleh David D. Clark dan David R. Wilson. Makalah ini mengembangkan model sebagai cara untuk meresmikan gagasan integritas informasi, terutama dibandingkan dengan persyaratan untuk keamanan multi-level (MLS) sistem yang dijelaskan dalam Kitab Oranye . Clark dan Wilson berpendapat bahwa model integritas yang ada seperti Biba (baca-up / write-down) yang lebih cocok untuk menegakkan integritas data daripada kerahasiaan informasi. The Biba model lebih jelas berguna dalam, misalnya, sistem klasifikasi perbankan untuk mencegah modifikasi dipercaya informasi dan mencemari informasi pada tingkat yang lebih tinggi klasifikasi masing-masing. Sebaliknya, Clark-Wilson lebih jelas berlaku untuk bisnis dan industri proses di mana integritas isi informasi sangat penting pada setiap tingkat klasifikasi (meskipun penulis menekankan bahwa ketiga model yang jelas berguna bagi kedua organisasi pemerintah dan industri) .

Prinsip-prinsip dasarPenegakan aturan dan sertifikasi model mendefinisikan item data dan proses yang memberikan dasar bagi kebijakan integritas.Inti dari model ini didasarkan pada gagasan transaksi. Sebuahwell-formedtransaksi adalah serangkaian operasi yang transisi sistem dari satu negara yang konsisten ke kondisi konsisten lain. Dalam model ini kebijakan integritas alamat integritas transaksi. Prinsip pemisahan tugas mensyaratkan bahwa sertifikasi transaksi dan pelaksana menjadi entitas yang berbeda.Model ini berisi sejumlah konstruksi dasar yang mewakili kedua item data dan proses yang beroperasi pada item-item data.Tipe data kunci dalam model Clark-Wilson adalah Barang Terbatas data (CDI).Sebuah Integritas Verifikasi Prosedur (IVP) memastikan bahwa semua CDIS dalam sistem yang berlaku di negara tertentu.Transaksi yang menegakkan kebijakan integritas yang diwakili oleh Prosedur Transformation (TPS).Sebuah TP mengambil sebagai masukan CDI atau Yang tanpa Data Item (UDI) dan menghasilkan suatu CDI.Sebuah TP harus transisi sistem dari satu negara ke negara yang sah berlaku lagi.UDIs merupakan sistem input (seperti yang disediakan oleh pengguna atau musuh).Sebuah TP harus menjamin (melalui sertifikasi) yang mengubah semua nilai yang mungkin dari UDI untuk "aman" CDI. Clark-Wilson aturan ModelDi jantung dari model ini adalah gagasan tentang hubungan antara principal dikonfirmasi (yaitu, pengguna) dan satu set program (yaitu, TPS) yang beroperasi pada satu set item data (misalnya, UDIs dan CDIS). Komponen seperti relasi, diambil bersama-sama, yang disebut sebagai Clark-Wilson tiga. Model ini juga harus memastikan bahwa entitas yang berbeda bertanggung jawab untuk memanipulasi hubungan antara kepala sekolah, transaksi, dan item data. Sebagai contoh singkat, pengguna mampu sertifikasi atau menciptakan relasi tidak harus mampu menjalankan program yang ditentukan dalam kaitannya itu.Model ini terdiri dari dua set aturan: Aturan Sertifikasi (C) dan Peraturan Penegakan (E). Sembilan aturan menjamin integritas eksternal dan internal item data. Mengutip ini:C1-Ketika IVP dijalankan, harus memastikan CDIS berlaku.C2-Untuk beberapa set terkait CDIS, TP harus mengubah orang-orang CDIS dari satu negara yang valid untuk yang lain.Karena kita harus memastikan bahwa TPS ini disertifikasi untuk beroperasi pada CDI tertentu, kita harus memiliki E1 dan E2.

E1-Sistem harus mempertahankan daftar hubungan bersertifikat dan memastikan hanya TPS disertifikasi untuk berjalan pada perubahan CDI yang CDI.E2-Sistem harus mengaitkan pengguna dengan masing-masing TP dan set CDIS. TP dapat mengakses CDI atas nama pengguna jika itu adalah "hukum."Hal ini memerlukan melacak tiga kali lipat (user, TP, {} CDIS) disebut "hubungan diperbolehkan."C3-Diizinkan hubungan harus memenuhi persyaratan "pemisahan tugas."Kita perlu otentikasi untuk melacak ini.E3-Sistem harus mengotentikasi setiap pengguna mencoba TP. Perhatikan bahwa ini adalah per permintaan TP, bukan per login.Untuk tujuan keamanan, log harus disimpan.C4-Semua TPS harus menambahkan ke log informasi yang cukup untuk merekonstruksi operasi.Ketika informasi masuk sistem itu tidak perlu dipercaya atau dibatasi (yaitu dapat menjadi UDI). Kita harus menangani hal ini dengan tepat.C5-Setiap TP yang mengambil UDI sebagai masukan hanya dapat melakukan transaksi berlaku untuk semua nilai yang mungkin dari UDI. TP baik akan menerima (dikonversi ke CDI) atau menolak UDI.Akhirnya, untuk mencegah orang dari mendapatkan akses dengan mengubah kualifikasi TP:E4-Hanya sertifikasi dari TP mungkin mengubah daftar perusahaan yang terkait dengan TP itu.( http://en.wikipedia.org/wiki/Clark%E2%80%93Wilson_model)

Information Flow ModelArus informasidalamteori informasikonteks adalah transfer informasi darivariabelke variabeldalam diberikanproses.Tidak semua arus mungkin diinginkan.Sebagai contoh, sistem tidak harus bocor setiap rahasia (sebagian atau tidak) untuk pengamat publik.

PengantarMengamankan data dimanipulasi oleh sistem komputasi telah menjadi tantangan di tahun-tahun terakhir. Beberapa metode untuk membatasi keterbukaan informasi yang ada saat ini, seperti daftar kontrol akses , firewall , dan kriptografi . Namun, meskipun metode ini melakukan memberi batasan pada informasi yang dirilis oleh sistem, mereka tidak memberikan jaminan tentang informasi propagasi . [ 1 ] Misalnya, daftar kontrol akses sistem berkas mencegah akses file yang tidak sah, tetapi mereka tidak mengontrol bagaimana Data yang digunakan setelah itu. Demikian pula, kriptografi menyediakan sarana untuk saling bertukar informasi pribadi di saluran tidak aman, tetapi tidak ada jaminan tentang kerahasiaan data yang diberikan setelah itu didekripsi.Dalam analisis arus informasi tingkat rendah, masing-masing variabel biasanya diberikan tingkat keamanan. Model dasar terdiri dari dua tingkat yang berbeda: rendah dan tinggi, artinya, masing-masing, secara terbuka informasi diamati, dan informasi rahasia. Untuk menjamin kerahasiaan, mengalir informasi dari tinggi ke rendah variabel seharusnya tidak diperbolehkan. Di sisi lain, untuk memastikan integritas, mengalir ke variabel tinggi harus dibatasi. [ 1 ]ecara umum, tingkat keamanan dapat dilihat sebagaikisidengan informasi yang mengalir hanya ke atas dalam kisi.[2]Sebagai contoh, mempertimbangkan dua tingkat keamanandan(rendah dan tinggi), jika, mengalir darike, darike, danuntukakan diizinkan, sementara arus dariketidak akan.[3] PendahuluanSepanjang artikel ini, notasi berikut digunakan: variabel(rendah) akan menunjukkan variabel yang dapat diamati publik variabel(tinggi) akan menunjukkan variabel rahasiaDimanadanadalah satu-satunya dua tingkat keamanan dikisisedang dipertimbangkan. Kontrol aliran informasiSebuah mekanisme untuk mengontrol arus informasi adalah salah satu yang memberlakukan kebijakan arus informasi. Beberapa metode untuk menegakkan kebijakan arus informasi telah diusulkan. Mekanisme Run-time data tag dengan label arus informasi telah digunakan pada tingkat sistem operasi dan pada tingkat bahasa pemrograman. Program statis analisis juga telah dikembangkan yang memastikan arus informasi dalam program sesuai dengan kebijakan.

Kedua analisis statis dan dinamis untuk bahasa pemrograman saat ini telah dikembangkan. Namun, teknik analisis statis tidak dapat mengamati semua jalur eksekusi, dan karena itu tidak dapat baik suara dan tepat. Untuk menjamin noninterference, mereka juga menghentikan eksekusi yang mungkin mengeluarkan informasi sensitif [ 5 ] atau mereka mengabaikan pembaruan yang mungkin membocorkan informasi. [ 6 ]Cara terkemuka untuk menegakkan kebijakan arus informasi dalam program adalah melalui sistem jenis keamanan: yaitu, sistem tipe yang memberlakukan sifat keamanan. Dalam sebuah sistem jenis suara, jika program jenis-cek, memenuhi kebijakan aliran dan karena itu tidak mengandung informasi yang tidak benar mengalir. Jenis keamanan systemDalam bahasa pemrograman ditambah dengan keamanansistem tipesetiap ekspresi membawa kedua jenis (seperti boolean, atau integer) dan label keamanan.Berikut ini adalah jenis sistem keamanan sederhana dari[1]yang memaksa non-interferensi.Notasiberarti bahwa ekspresitelah mengetik.Demikian pula,berarti bahwa perintahtersebut typable dalam konteks keamanan.

Perintah yang diketik meliputi, misalnya,.Sebaliknya, program ini

sakit-diketik, karena akan mengungkapkan nilai variabelke dalam.(http://en.wikipedia.org/wiki/Information_flow_(information_theory)

6. Trusted Computer System Evaluation Criteria(TCSEC) / Terpercaya Kriteria Evaluasi Sistem Komputer adalah Amerika Serikat Pemerintah Departemen Pertahanan (DoD) standar yang menetapkan persyaratan dasar untuk menilai efektivitas keamanan komputer kontrol dibangun menjadi sebuah sistem komputer . TCSEC digunakan untuk mengevaluasi, mengklasifikasikan dan pilih sistem komputer sedang dipertimbangkan untuk pengolahan, penyimpanan dan pengambilan sensitif atau informasi rahasia . TCSEC, sering disebut sebagai Orange Book(buku oranye) , adalah pusat dari Departemen Pertahanan Rainbow Series publikasi. Awalnya diterbitkan pada tahun 1983 oleh National Security Computer Center (NCSC), sebuah lengan dari National Security Agency , dan kemudian diperbaharui pada tahun 1985. TCSEC digantikan oleh Common Criteria standar internasional awalnya diterbitkan pada tahun 2005.

Tujuan mendasar dan persyaratan

KebijakanKebijakan keamanan harus eksplisit, jelas dan ditegakkan oleh sistem komputer. Ada tiga kebijakan keamanan dasar: Kebijakan Keamanan wajib - Memaksa kontrol akses berdasarkan aturan langsung pada pembukaan individu, otorisasi untuk informasi dan tingkat kerahasiaan informasi yang sedang dicari. Faktor-faktor tidak langsung lainnya adalah fisik dan lingkungan. Kebijakan ini juga harus akurat mencerminkan hukum, kebijakan umum dan bimbingan lain yang relevan dari mana aturan berasal. Menandai - Sistem yang dirancang untuk menegakkan kebijakan keamanan wajib harus menyimpan dan menjaga keutuhan akses label kontrol dan mempertahankan label jika objek diekspor. Kebijakan Keamanan Discretionary - Memaksa satu set konsisten aturan untuk mengendalikan dan membatasi akses berdasarkan individu yang diidentifikasi yang telah ditentukan untuk memiliki kebutuhan-untuk-tahu untuk informasi.

AkuntabilitasAkuntabilitas individu terlepas dari kebijakan harus ditegakkan. Sebuah cara yang aman harus ada untuk menjamin akses agen resmi dan kompeten yang kemudian dapat mengevaluasi informasi akuntabilitas dalam jumlah waktu yang wajar dan tanpa kesulitan yang tidak semestinya. Ada tiga persyaratan di bawah tujuan akuntabilitas:

Identifikasi - Proses yang digunakan untuk mengenali pengguna individu. Otentikasi - Verifikasi otorisasi pengguna individu untuk kategori tertentu informasi. Audit - Audit informasi harus selektif dijaga dan dilindungi sehingga tindakan yang mempengaruhi keamanan dapat ditelusuri ke individu dikonfirmasi.

Jaminan Sistem komputer harus berisi mekanisme hardware / software yang dapat dievaluasi secara independen untuk memberikan jaminan yang cukup bahwa sistem memberlakukan persyaratan di atas. Dengan ekstensi, jaminan harus mencakup jaminan bahwa bagian terpercaya sistem bekerja hanya sebagaimana dimaksud. Untuk mencapai tujuan tersebut, dua jenis jaminan yang diperlukan dengan elemen masing-masing: Mekanisme Jaminan Jaminan Operasional: Sistem Arsitektur, Sistem Integritas, Terselubung Analisis Channel, Terpercaya Facility Management dan Pemulihan Terpercaya Siklus hidup Jaminan: Keamanan Pengujian, Desain Spesifikasi dan Verifikasi, Manajemen Konfigurasi dan Terpercaya Sistem Distribusi Jaminan Perlindungan terus menerus - mekanisme yang terpercaya yang menegakkan persyaratan dasar harus terus dilindungi terhadap gangguan dan / atau perubahan yang tidak sah.

Divisi dan kelas

TCSEC mendefinisikan empat divisi: D, C, B dan A di mana divisi A memiliki keamanan tertinggi. Setiap divisi merupakan perbedaan yang signifikan dalam kepercayaan individu atau organisasi dapat menempatkan pada sistem dievaluasi. Selain itu divisi C, B dan A yang rusak menjadi serangkaian subdivisi hirarkis disebut kelas: C1, C2, B1, B2, B3 dan A1.Setiap divisi dan kelas memperluas atau memodifikasi seperti yang ditunjukkan persyaratan divisi segera sebelum atau kelas. D - perlindungan Minimal Disediakan untuk sistem-sistem yang telah dievaluasi tetapi gagal untuk memenuhi persyaratan untuk divisi yang lebih tinggi C Discretionary protection C1 Discretionary Security Protection Identification and authentication Separation of users and data Discretionary Access Control (DAC) capable of enforcing access limitations on an individual basis Required System Documentation and user manuals C2 Controlled Access Protection More finely grained DAC Individual accountability through login procedures Audit trails Object reuse Resource isolation

B Mandatory protection B1 Labeled Security Protection Informal statement of the security policy model Data sensitivity labels Mandatory Access Control (MAC) over selected subjects and objectsLabel exportation capabilities All discovered flaws must be removed or otherwise mitigated Design specifications and verification B2 Structured Protection Security policy model clearly defined and formally documented DAC and MAC enforcement extended to all subjects and objects Covert storage channels are analyzed for occurrence and bandwidth Carefully structured into protection-critical and non-protection-critical elements Design and implementation enable more comprehensive testing and review Authentication mechanisms are strengthened Trusted facility management is provided with administrator and operator segregation Strict configuration management controls are imposed Operator and Administrator roles are separated. B3 Security Domains Satisfies reference monitor requirements Structured to exclude code not essential to security policy enforcement Significant system engineering directed toward minimizing complexity Security administrator role defined Audit security-relevant events Automated imminent intrusion detection, notification, and response Trusted system recovery procedures Covert timing channels are analyzed for occurrence and bandwidth

A Verified protection A1 Verified Design Functionally identical to B3 Formal design and verification techniques including a formal top-level specification Formal management and distribution procedures Examples of A1-class systems are Honeywell's SCOMP, Aesec's GEMSOS, and Boeing's SNS Server. Two that were unevaluated were the production LOCK platform and the cancelled DEC VAX Security Kernel. Beyond A1 System Architecture demonstrates that the requirements of self-protection and completeness for reference monitors have been implemented in the Trusted Computing Base (TCB). Security Testing automatically generates test-case from the formal top-level specification or formal lower-level specifications. Formal Specification and Verification is where the TCB is verified down to the source code level, using formal verification methods where feasible. Trusted Design Environment is where the TCB is designed in a trusted facility with only trusted (cleared) personnel. (http://en.wikipedia.org/wiki/Orange_Book)