Kemanan Digital

Keamanan Digital 

A. Acces Control 

State Machine Models

       Keadaan komputer dapat digambarkan sebagai snapshot dari sistem pada setiap titik waktu. Semua contoh subjek dan objek saat ini, dan bagaimana mereka berinteraksi, adalah bagian dari keadaan. Ketika pengembang sedang membangun sistem operasi, mereka mungkin ingin mengimplementasikan model mesin negara. Untuk melakukan ini, pengembang akan memeriksa semua cara subjek dapat berinteraksi dengan objek dan bagaimana keadaan sistem dapat berubah saat input diterima oleh objek. Setiap kali sebuah objek menerima input, transisi status terjadi. Jika, setelah memeriksa setiap kemungkinan asosiasi dan interaksi, diputuskan bahwa setiap transisi status bersamaan dengan kebijakan keamanan sistem operasi, maka sistem tersebut aman dan secara efektif menerapkan model mesin status. Perhatikan bahwa untuk tujuan posting ini,

       Sebuah sistem yang berhasil mengimplementasikan model mesin negara, menurut definisi, akan selalu dalam keadaan aman. Sistem akan boot ke keadaan aman, menjalankan transaksi dan perintah dengan aman, dan bahkan akan gagal dalam keadaan aman. Sangat penting bahwa sistem dapat gagal dengan cara yang aman sehingga jika terjadi kesalahan atau operasi ilegal, sistem dapat menyelamatkan dirinya sendiri tanpa membiarkan dirinya rentan.

Dua model mesin negara yang sangat terkenal adalah Model Bell-LaPadula, dan Model Biba.

Model Bell-LaPadula

       Model Bell-LaPadula adalah model mesin negara yang berfokus pada menjaga kerahasiaan. Ini sering berfungsi sebagai dasar untuk sistem operasi kontrol akses wajib (MAC) seperti yang digunakan oleh pemerintah. Karena fokus utamanya adalah kerahasiaan, model Bell-LaPadula menggunakan label keamanan bersama dengan matriks akses untuk menegakkan keamanan. Ini adalah sistem keamanan bertingkat karena pengguna dengan tingkat akses yang berbeda menggunakan sistem. Ada tiga aturan yang menjadi inti kerangka model:

1. Aturan keamanan sederhana- Subjek tidak dapat membaca data di dalam objek yang berada pada tingkat keamanan yang lebih tinggi (aturan "tidak membaca").

2. Aturan properti- Subjek tidak dapat menulis ke objek dengan tingkat keamanan yang lebih rendah (aturan "tidak boleh menulis").

3. Aturan properti bintang yang kuat- Agar subjek dapat membaca dan menulis pada suatu objek, izin subjek dan klasifikasi objek harus sama.

       Aturan pertama cukup mudah dipahami. Jika Anda diberi klasifikasi "rahasia", dan sebuah file berlabel "sangat rahasia", Anda tidak memiliki izin yang tepat untuk membacanya. Tujuan dari aturan kedua adalah untuk mencegah seseorang menulis informasi yang sangat rahasia ke tingkat yang lebih rendah, sehingga merusak kerahasiaan. Aturan terakhir memastikan bahwa subjek memiliki izin yang tepat dan kebutuhan untuk mengetahui untuk mengakses objek. Meskipun saya mungkin diberi izin "sangat rahasia", saya mungkin tidak perlu tahu tentang program rudal dan oleh karena itu seharusnya tidak dapat mengakses file yang terkait dengannya.

Model Biba

       Model Biba mirip dengan model Bell-LaPadula karena juga memiliki tiga aturan yang memberlakukan status apa yang boleh dimasuki sistem. Di mana model berbeda, bagaimanapun, adalah fokus mereka. Sementara Bell-LaPadula peduli dengan menjaga kerahasiaan, Biba berfokus pada menjaga integritas. Tujuan dari model Biba adalah untuk memastikan bahwa data dengan integritas tinggi tidak rusak oleh data dengan integritas rendah. Ini akan berguna dalam sistem yang menangani data keuangan, atau informasi perawatan kesehatan. Tiga aturan untuk Biba adalah sebagai berikut:

1. Aksioma integritas- Subjek tidak dapat menulis data ke objek pada tingkat integritas yang lebih tinggi (disebut sebagai "tidak ada penulisan").

2. Aksioma integritas sederhana- Subjek tidak dapat membaca data dari tingkat integritas yang lebih rendah (disebut sebagai "tidak ada pembacaan").

3. Properti panggilan- Subjek tidak dapat meminta layanan (memanggil) dengan integritas yang lebih tinggi.

       Dua aturan pertama mengontrol bagaimana data dapat mengalir di antara tingkat integritas yang berbeda. Anda tidak ingin data berintegritas tinggi, atau data "bersih", dicampur dengan data "kotor" berintegritas rendah. Ini tidak hanya mencegah pengguna melintasi batas integritas, tetapi juga proses. Sebuah proses pada level yang lebih rendah seharusnya tidak dapat menulis data ke level yang lebih tinggi. Properti doa juga menyatakan bahwa proses tingkat yang lebih rendah mungkin tidak memanggil proses yang lebih tinggi darinya. Ini berarti bahwa proses tidak dapat menggunakan alat atau layanan apa pun yang memiliki peringkat integritas lebih tinggi, mereka hanya dapat menggunakan apa yang ada di bawahnya.