 |
| Access Control (Kontrol Akses) |
A. Access Control Models
1. Mandatory Access Control (MAC)
Mandatory Access Control memberikan sebuah label keamanan terhadap semua subyek dan obyek yang ada dalam sebuah sistem. Beberapa klasifikasi dari mandatory kontrol akses berdasarkan military data classification bisa dilihat pada tabel berikut ini.
a. Unclassified = Data tidak sinsitive atau classified
b. Sensitive But Unclassified = Data bisa menyebabkan kerugian
jika tidak dicuri
c. Confidential = Data hanya untuk kalangan internal
d. Secret = Data yang bisa menyebabkan kerusakan serius pada
keamanan nasional
e. Top Secret = Data yang bisa menyebabkan kerusakan parah pada
keamanan nasional
Military Data Classification
Sedangkan yang bersifat komersial, bisa dilihat dalam dibawah ini.
a. Public = Data tidak di lindungi di manapun
b. Sensitive = Informasi bisa berpengaruh terhadap bisnis dan
kepercayaan public jika tidak dilindungi dengan baik
c. Private = Informasi personal yang bisa berakibat negatif
terhadap seseorang jika bocor
d. Confidential = Informasi perusahaan yang bisa berakibat
negatif terhadap organisasi jika bocor
Klasifikasi Data Komersil
Ada satu lagi metode implementasi yang umum dipakai adalah rule-based access control. Paada metode ini semua akses diberikan melalui referensi security clearance dari subyek dan security label dari obyek. Kemudian peraturan menentukan mana dari permintaan akses tersebut yang diberikan dan mana yang ditolak. Need to know property mengindikasikan sebuah subyek memerlukan akses kepada obyek untuk menyelesaikan kegiatan.
2. Directional Access Control (DAC)
Directional Access Control mempergunakan identitas dari subyek untuk menentukan apakah permintaan akses tersebut akan dipenuhi atau di tolak. Kontrol akses ini di desain kurang aman daripada mandatory access control tetapi merupakan desain yang paling umum dipergunakan pada berbagai sistem operasi. Metode ini lebih mudah di implementasikan dan lebih fleksibel. Setiap obyek memiliki permisson, yang menentukan user atau group yang bisa melakukan akses terhadap obyek.
Directional Access Control termasuk Identity-based access control dan access control list. Identity-based terhadap obyek berdasarkan userid atau keanggotaan group dari user yang bersangkutan. Pemilik dari obyek yang menentukan user atau group yang mana yang bisa melakukan akses terhadap obyek. Kebanyakan sistem operasi memberikan hak akses read, write and execute permission. Untuk membuat administrasi menjadi lebih mudah maka Access Control Lists (ACLs) mengijinkan groups dari obyek atau groups dari subyek untuk dikontrol bersama-sama. Access Control Lists dapat memberikan hak akses terhadap group dari subyek atau memberikan hak kepada akses group dari subyek kepada obyek tertentu.
3. Non-discretionary Access Control
Ini merupakan desain kontrol akses yang ketiga. Biasanya menggunakan role dari subyek atau kegiatan yang di assigned kepada sebuah obyek, untuk menerima atau menolak akses. Non-discretionary access control disebut juga role-based access control atau task base access control. Tipe kontrol akses ini cocok dipakai pada kasus high turnover atau reassignment. Ketika security di asosiasikan kedalam sebuah role atau task, mengganti orang yang mengerjakan tugas membuat security administration mebih mudah.
Lattice-based access control adalah salah satu variasi dari desain non-discretionary access control. Disamping mengasosiasikan beberapa kontrol akses dengan task atau role yang spesifik, masing-masing hubungan antara subyek dan obyek memiliki beberapa pasang batasan. Batasan akses ini yang mendefinisikan peraturan dan kondisi yang mengijinkan mengakses sebuah obyek. Pada kebanyakan kasus, batas akses mendefinisikan batas atas dan batas bawah yang menyatakan klasifikasi dari keamanan dan label.
B. Cara Kerja Kontrol Akses
Sekali user login ke sistem, maka user tersebut diberikan otoritas untuk mengakses sumber data sistem. Yang perlu diperhatikan adalah : siapa saja yang boleh membaca isi file kita, siapa saja yang boleh merubah isi file kita dan bolehkah file kita di share ke user lain.
Ada 3 tipe dasar pengaksesan file yakni Read(r), Write(w) dan Execute(x). Terdapat beberapa metode dalam kontrol akses, diantaranya : Metode Ownership, Metode File Types, Metode Self/Group/Public Control dan Access Control List.
1. Metode Ownership
- Pembuat file adalah pemilik file
- ID pembuat file disimpan
- Hanya pemilik yang dapat mengakses file miliknya
- Administrator dapat mengakses juga
2. Metode File Types
- File akan didefinisikan sebagai public file, semi public
file atau private file :
- Public file -> semua user mempunyai hak penuh (rwx)
- Semi public file -> user lain hanya mempunyai hak read
execute (rx)
- Private file -> user lain tidak punya hak
3. Metode Self/Group/Public Controls
- Disebut juga user/group/other :
- User - pemilik file
- Group - sekelompok user
- Other - user yang tidak termasuk diatas
- Setiap file/ditectory memiliki sekumpulan bit-bit yang
disebut file permission/protection mode
- Tipe proteksi untuk file : hak untuk membaca file(r), hak
untuk menulis ke file(w), hak untuk menjalankan file(x),
tidak mempunyai hak(-)
- Tipe proteksi untuk directory : hak untuk membaca isi
directory(r), hak untuk membuat dan menghapus file(w), hak
untuk masuk ke directory(x), tidak mempunyai hak(-)
4. Metode Access Control Lists
- Berisi daftar users dan groups dengan haknya masing-masing
- Contoh : file penggajian.exe diberi ACL
- <john.akun,r>
- <jane.pengj,rw>
- <*.persn,r>
C. Komponen Utama Kontrol Akses
Langkah pertama untuk setiap sistem kontrol akses diawali dengan melakukan analisis integritas sistem dengan menggunakan teknologi yang akan membantu hardware untuk menjalankan sistem tersebut. Hal tersebut akan membuat perangkat lunak dapat dijalankan dengan aman sehingga akan mencegah penyerangan untuk mengakses sumber daya. Kerentanan yang terjadi meliputi otentikasi yang lemah sehingga perlindungan terhadap aliran komunikasi akan menjadi sangat rawan dan mengakibatkan penyimpanan data dalam keadaan berbahaya. Tahap kedua identitas yang terpercaya merupakan proses penting untuk melakukan identifikasi dan otentikasi pengguna. Komputer dan aplikasi dapat memastikan bahwa para pelaku yang akan memasuki sistem tersebut sebagai pelaku yang sah. Tahap ketiga alokasi komposisi kontrol akses diberikan oleh sistem. Tahap keempat adalah perlindungan informasi yang terfokus pada perlindungan data sepanjang siklus hidupnya dimanapun data tersebut disimpan atau data yang akan dikirimkan. Hal tersebut juga dapat berfungsi untuk melindungi hak cipta, maupun melindungi informasi rahasia.
D. Tiga Hal Penting Dalam Keamanan Komputer
Mekanisme perlindungan yang penting dalam komputer dan berkembang sesuai dengan perkembangan aplikasi dalam menjaga keamanan sistem komputasi ada tiga hal penting yang harus diterapkan (Saltzer et al, 1975) antara lain :
1. Komputasi dasar yang terpercaya adalah perangkat keras dan
perangkat lunak sistem harus mampu menjaga kerahasiaan dan
integritas data
2. Otentikasi adalah harus diketahui siapakan yang dapat mengawasi
sistem tersebut. Misalnya, pengguna jika ingin melakukan
penghapusan berkasnya harus membuktikan apakah perintah
tersebut itu miliknya, dan bukan pengguna lain yang tidak
diketahui identitasnya
3. Otorisasi atau kontrol akses adalah apakah pengguna yang
melakukan kegiatan tersebut benar-benar dapat dipercaya,
apakah hal itu benar perintah yang ia lakukan. Misalnya, benar
bahwa pengguna tersebut yang memberikan perintah untuk
melakukan penghapusan berkas itu
