Nama : Rifki.

Kelas : A
MKJ

1.

Dalam dunia keamanan internet dikenal prinsip your security is my security atau
yang dalam praktek manajemen sering dianalogikan dengan contoh sebuah rantai,
dimana the strenght of a chain depends on its weakest link (kekuatan sebuah rantai
terletak pada sambungannya yang terlemah). Artinya adalah bahwa sebaik-baiknya
sebuah organisasi mengelola keamanan sistem teknologi informasinya, kondisi sistem
keamanan pihak-pihak lain yang terhubung di internet akan secara signifikan
mempengaruhinya. Hal inilah yang kemudian menimbulkan pertanyaan utama: terlepas
dari adanya sejumlah CERT yang telah beroperasi, bagaimana mereka dapat bersamasama menjaga keamanan internet yang sedemikian besar dan luas jangkauannya?
Dalam kaitan inilah maka sebuah perguruan tinggi terkemuka di Amerika Serikat yaitu
Carnegie Mellon University, melalui lembaga risetnya Software Engineering Institute,
memperkenalkan konsep CERT/CC yaitu singkatan dari Computer Emergency
Response Team (Coordination Center) yaitu sebuah pusat koordinasi sejumlah CERT
yang tertarik untuk bergabung dalam forum atau komunitas ini. Dengan adanya pusat
koordinasi ini, maka para praktisi CERT dapat bertemu secara virtual maupun fisik untuk
membahas berbagai isu terkait dengan keamanan dan pengamanan internet. Untuk
membedekannya dengan CERT, maka dikembangkanlah sebuah istilah khusus untuk
merepresentasikan CERT/CC yaitu CSIRT. Di Jepang contohnya, banyak sekali tumbuh
lembaga-lembaga CERT independen yang dikelola oleh pihak swasta. Untuk itulah maka
dibentuk sebuah CSIRT dengan nama JPCERT/CC sebagai sebuah forum
berkumpulnya dan bekerjasamanya pengelolaan keamanan internet melalui sebuah atap
koordinasi secara nasional.( http://misterkepo.blogspot.com/2012_06_01_archive.html)
2. Prinsip-prinsip pada arsitektur keamanan informasi :
hak minimum (least previlage)

Dalam menyusun dan membuat perencanaan Access Control, salah satu prinsip yang harus
dipegang adalah Least Privilege. Yang dimaksud dengan Least Privilege di sini adalah hanya
memberikan hak akses yang memang dibutuhkan oleh subject yang bersangkutan untuk
melakukan tugas-tugas yang memang menjadi bagian dari tanggung jawabnya. Yang perlu
dicatat di sini adalah jangan pernah memberikan akses penuh (Full Access) terhadap semua
resource yang tersedia di dalam sistem kepada subject. Berikan hak akses sesuai dengan
yang dibutuhkannya. Tujuan utama dari prinsip ini adalah meminimalisir terjadinya
Authorization Creep atau suatu kejadian yang tidak disengaja di mana suatu subject diberi
hak akses yang seharusnya tidak dia miliki. Kondisi ini tentunya memiliki potensi untuk
memunculkan threat / ancaman terhadap sistem yang kita miliki.

Access Control sendiri dapat dibagi menjadi 3, yaitu Physical Access Control, Administrative
Access Control, dan Logical Access Control.
pertahanan berlapis (defense in depth)
pembatasan gerbang (choke point)
titik terlemah (weakest link)
pengamanan kegagalan (fail-safe stance)
partisipasi total (universal participation)
aneka pertahanan (diversity of defense)
kesederhanaan (simplicity)
3. bahwa kemudahan (kenyamanan) mengakses informasi berbanding terbalik dengan
tingkat keamanan sistem informasi itu sendiri. Semakin tinggi tingkat keamanan, semakin
sulit (tidak nyaman) untuk mengakses informasi.sebelum menerapkan system keamanan
ada baiknya menentukan terlebih dahulu tingkat ancaman yang harus diatasi dan resiko
yang harus diambil maupun resiko yang harus dihindari, sehingga dapat dicapai
keseimbangan yamg optimal antara keamanan dan kenyamanan.
4.

Trusted computing base (TCB) / komputasi dasar dipercaya dari sistem komputer
adalah himpunan semua hardware , firmware , dan / atau perangkat lunak komponen
yang sangat penting untuk perusahaan keamanan , dalam arti bahwa bug atau
kerentanan yang terjadi dalam TCB mungkin membahayakan sifat keamanan seluruh
sistem. Sebaliknya, bagian dari sistem komputer di luar TCB tidak harus mampu berbuat
tidak senonoh dengan cara yang akan bocor lagi hak istimewa daripada yang diberikan
kepada mereka sesuai dengan kebijakan keamanan .
Desain yang cermat dan pelaksanaan dasar komputasi terpercaya sistem adalah
penting untuk keamanan secara keseluruhan. Modern sistem operasi berusaha untuk
mengurangi ukuran TCB sehingga pemeriksaan lengkap dari basis kode (dengan cara
manual atau dengan bantuan komputer Audit software atau program verifikasi ) menjadi
layak.

Definisi dan karakterisasi

Istilah trusted computing base kembali ke Rushby, [ 1 ] yang didefinisikan
sebagai kombinasi dari kernel dan terpercaya proses . Yang terakhir mengacu pada
proses yang diperbolehkan untuk melanggar aturan akses kontrol sistem. Dalam kertas
klasik Otentikasi dalam Sistem Terdistribusi: Teori dan Praktek [ 2 ] Lampson et al.
menentukan TCB dari sistem komputer hanya sebagai

sejumlah kecil perangkat lunak dan perangkat keras bahwa keamanan tergantung pada
dan bahwa kita membedakan dari jumlah yang jauh lebih besar yang dapat berkelakuan
tanpa mempengaruhi keamanan.
Kedua definisi, sedangkan yang jelas dan nyaman, yang tidak secara teoritis tepat atau
dimaksudkan untuk menjadi, seperti misalnya server jaringan proses di bawah UNIX
-seperti sistem operasi mungkin menjadi korban sebuah pelanggaran keamanan dan
kompromi merupakan bagian penting dari keamanan sistem, namun tidak bagian dari
TCB sistem operasi. The Oranye Buku , yang lain klasik keamanan komputer referensi
sastra, karena itu memberikan definisi yang lebih formal dari TCB dari sistem komputer,
seperti
totalitas mekanisme perlindungan di dalamnya, termasuk hardware, firmware, dan
perangkat lunak, kombinasi yang bertanggung jawab untuk menegakkan kebijakan
keamanan komputer.
Orange Book lebih lanjut menjelaskan bahwa
[T] ia kemampuan dasar komputasi dipercaya untuk menegakkan benar kebijakan
keamanan terpadu tergantung pada kebenaran mekanisme dalam basis komputasi
dipercaya, perlindungan mekanisme yang memastikan ketepatan, dan input yang benar
parameter yang terkait dengan keamanan kebijakan.
Dengan kata lain, bagian tertentu dari perangkat keras atau perangkat lunak adalah
bagian dari TCB jika dan hanya jika telah dirancang untuk menjadi bagian dari
mekanisme yang menyediakan keamanan untuk sistem komputer. Dalam sistem operasi
, ini biasanya terdiri dari kernel (atau mikrokernel ) dan satu set pilih utilitas sistem
(misalnya, setuid program dan daemon di sistem UNIX). Dalam bahasa pemrograman
yang memiliki fitur keamanan yang dirancang dalam seperti Jawa dan E , TCB terbentuk
dari runtime bahasa dan perpustakaan standar.

Sifat TCB
Didasarkan pada kebijakan keamanan

Perlu menunjukkan bahwa sebagai konsekuensi dari definisi di atas Oranye Buku, batasbatas TCB tergantung erat pada spesifik tentang bagaimana kebijakan keamanan fleshed
keluar. Pada contoh server jaringan di atas, meskipun, katakanlah, server Web yang
melayani multi-user aplikasi yang bukan bagian dari TCB sistem operasi, ia memiliki
tanggung jawab melakukan kontrol akses sehingga pengguna tidak dapat merebut
identitas dan hak-hak satu sama lain. Dalam hal ini, itu pasti bagian dari TCB dari sistem
komputer yang lebih besar yang terdiri dari server UNIX, browser pengguna dan aplikasi
Web; dengan kata lain, melanggar ke server Web melalui misalnya buffer overflow tidak

dapat dianggap sebagai kompromi dari sistem operasi yang tepat, tapi jelas merupakan
merusak mengeksploitasi pada aplikasi Web.
Relativitas mendasar dari batas TCB ini exemplifed oleh konsep target evaluasi (TOE)
dalam Common Criteria proses keamanan: dalam perjalanan evaluasi keamanan
Common Criteria, salah satu keputusan pertama yang harus dilakukan adalah batas audit
dalam hal daftar komponen sistem yang akan datang di bawah pengawasan.
-

Sebuah prasyarat untuk keamanan

Sistem yang tidak memiliki dasar komputasi dipercaya sebagai bagian dari desain mereka
tidak menyediakan keamanan mereka sendiri: mereka hanya mengamankan sejauh
keamanan diberikan kepada mereka dengan cara eksternal (misalnya komputer duduk di
ruang terkunci tanpa sambungan jaringan dapat dianggap aman tergantung pada
kebijakan, terlepas dari perangkat lunak itu berjalan). Hal ini karena, seperti David J.
Farber et al. meletakkannya, [ 5 ] [i] na sistem komputer, integritas lapisan bawah
biasanya diperlakukan sebagai aksiomatik oleh lapisan yang lebih tinggi . Sejauh
keamanan komputer yang bersangkutan, penalaran tentang sifat-sifat keamanan sistem
komputer membutuhkan kemampuan untuk membuat asumsi tentang suara apa yang
bisa, dan yang lebih penting, tidak bisa melakukan; Namun, pembatasan alasan untuk
percaya sebaliknya, komputer mampu melakukan segala sesuatu yang umum Von
Neumann mesin bisa. Ini jelas termasuk operasi yang akan dianggap bertentangan
dengan semua tapi kebijakan keamanan yang paling sederhana, seperti membocorkan
sebuah email atau sandi yang harus dirahasiakan; Namun, pembatasan ketentuan
khusus dalam arsitektur sistem, tidak dapat disangkal bahwa komputer dapat diprogram
untuk melakukan tugas-tugas yang tidak diinginkan.
Ketentuan-ketentuan khusus yang bertujuan untuk mencegah beberapa jenis tindakan
dari yang dieksekusi, pada dasarnya, merupakan dasar komputasi terpercaya. Untuk
alasan ini, Oranye Buku (masih referensi pada desain aman desain sistem operasi pada
2007 ) mencirikan berbagai tingkat jaminan keamanan yang mendefinisikan terutama
dalam hal struktur dan keamanan fitur dari TCB.

Bagian perangkat lunak dari TCB perlu melindungi diri

Sebagaimana diuraikan oleh tersebut Oranye Buku, bagian perangkat lunak dari dasar
komputasi dipercaya perlu melindungi diri terhadap gangguan untuk menjadi efek apapun.
Hal ini disebabkan oleh arsitektur von Neumann dilaksanakan oleh hampir semua
komputer modern: karena kode mesin dapat diproses hanya sebagai jenis lain dari data,
dapat dibaca dan ditimpa oleh program apapun pembatasan khusus manajemen memori
ketentuan yang kemudian harus diperlakukan sebagai bagian dari TCB tersebut. Secara
khusus, dasar komputasi dipercaya harus setidaknya mencegah perangkat lunak sendiri
dari yang ditulis.

Dalam banyak modern CPU , perlindungan memori yang host TCB dicapai dengan
menambahkan dalam sepotong khusus perangkat keras yang disebut unit manajemen
memori (MMU), yang diprogram oleh sistem operasi untuk mengizinkan dan menolak
akses ke rentang tertentu dari memori untuk program yang dijalankan sistem. Tentu saja,
sistem operasi ini juga mampu untuk melarang program tersebut dengan program yang
lain. Teknik ini disebut modus supervisor ; dibandingkan dengan pendekatan mentah lebih
(seperti menyimpan TCB di ROM , atau ekuivalen, dengan menggunakan arsitektur
Harvard ), ia memiliki keuntungan yang memungkinkan perangkat lunak penting
keamanan ditingkatkan di lapangan, meskipun memungkinkan upgrade aman dari dasar
komputasi terpercaya menimbulkan masalah bootstrap sendiri. [ 6 ]
-

Trusted vs dipercaya

Sebagaimana dinyatakan di atas , kepercayaan dasar komputasi dipercaya diperlukan

untuk membuat kemajuan dalam memastikan keamanan sistem komputer. Dengan kata
lain, dasar komputasi terpercaya adalah "dipercaya" pertama dan terutama dalam arti
bahwa hal itu telah bisa dipercaya, dan tidak selalu yang dapat dipercaya. Sistem operasi
dunia nyata secara rutin memiliki kritis keamanan-bug yang ditemukan di dalamnya, yang
membuktikan batas praktis kepercayaan tersebut. [ 7 ]
Alternatif formal verifikasi perangkat lunak , yang menggunakan teknik bukti matematis
untuk menunjukkan adanya bug. Para peneliti di NICTA dan spinout Buka Kernel Labs
baru-baru ini dilakukan seperti verifikasi formal [1] , anggota dari keluarga mikrokernel L4 ,
membuktikan kebenaran fungsional pelaksanaan C dari kernel. [ 8 ] Hal ini membuat seL4
yang operating- pertama kernel sistem yang menutup kesenjangan antara kepercayaan
dan kepercayaan, asumsi bukti matematika dan compiler bebas dari kesalahan.
-

TCB ukuran

Karena kebutuhan tersebut untuk menerapkan teknik mahal seperti verifikasi formal atau
review manual, ukuran TCB memiliki konsekuensi langsung pada ekonomi proses
jaminan TCB, dan kepercayaan dari produk yang dihasilkan (dalam hal ekspektasi
matematis dari jumlah bug tidak ditemukan selama verifikasi atau review). Dalam rangka
untuk mengurangi biaya dan risiko keamanan, TCB karenanya harus dijaga sekecil
mungkin. Ini adalah argumen utama dalam perdebatan menentang mikrokernel
pendukung
dan
kernel
monolitik
pecinta
(http://en.wikipedia.org/wiki/Trusted_computing_base)
5. model security:
Access Control Matrix atau akses Matrix adalah abstrak, resmi model keamanan
perlindungan dalam sistem komputer, yang menjadi ciri khas hak setiap mata
pelajaran yang berkaitan dengan setiap objek dalam sistem. Ini pertama kali
diperkenalkan oleh Butler W. Lampson pada tahun 1971.

Access Control Matrix

adalah berbentuk Tabel dari Subjek dan Objek yang mengatur hubungan
aksesnya.
Matriks akses dapat dibayangkan sebagai array persegi panjang sel, dengan satu baris
per subjek dan satu kolom per objek. Entri dalam sel - yaitu, entri untuk sepasang subjekobjek tertentu - menunjukkan mode akses yang subjek diizinkan untuk latihan pada objek.
Setiap kolom setara dengan daftar kontrol akses untuk objek; dan setiap baris adalah
setara dengan sebuah profil akses untuk subjek.

Definisi

Menurut model, perlindungan sistem komputer dapat diabstraksikan sebagai

satu set objek , yang merupakan himpunan entitas yang perlu dilindungi
(misalnya proses, file, halaman memori) dan satu set mata pelajaran , yang
terdiri dari semua entitas yang aktif (misalnya pengguna, proses). Selanjutnya
terdapat

seperangkat

hak

dari

bentuk

di

mana

dan
. Sebuah kanan sehingga menentukan jenis akses subjek diperbolehkan
untuk memproses objek.

Contoh

Dalam contoh matriks ini terdapat dua proses, file dan perangkat. Proses
pertama memiliki kemampuan untuk mengeksekusi kedua, membaca file dan
menulis beberapa informasi ke perangkat, sedangkan proses kedua hanya bisa
membaca informasi dari yang pertama.

Utilitas

Karena tidak menentukan granularity mekanisme perlindungan, Control Matrix Access

dapat digunakan sebagai model izin akses statis di setiap jenis kontrol akses sistem.
Tidak model aturan dimana izin dapat berubah dalam sistem tertentu, dan karena itu
hanya memberikan gambaran lengkap tentang kontrol akses sistem kebijakan keamanan
Sebuah Kontrol Matrix Access harus dianggap hanya sebagai model abstrak izin pada
suatu titik waktu tertentu; implementasi harfiah sebagai array dua dimensi akan memiliki
persyaratan memori yang berlebihan. keamanan berbasis Kemampuan dan daftar kontrol
akses adalah kategori mekanisme kontrol akses beton yang perizinannya statis dapat
dimodelkan dengan menggunakan Access Control Matriks. Meskipun kedua mekanisme

ini terkadang telah disajikan (misalnya di Butler Lampson yang Perlindungan kertas)
hanya sebagai baris-based dan kolom berbasis implementasi dari Control Matrix Access,
pandangan ini telah dikritik sebagai menggambar kesetaraan menyesatkan antara sistem
yang
tidak
memperhitungkan
akun
perilaku
dinamis.
(http://en.wikipedia.org/wiki/Access_Control_Matrix)
Bell LaPadula Model
Dibuat tahun 1970-an, untuk militer Amerika Serikat, untuk pengamanan
kerahasiaan informasi

Menggunakan lattice, tingkatan keamanan militer yakni:

Top Secret
Secret
Sensitive but unclassified
Unclassified
Pengertian Model Bell-LaPadula

The Bell-LaPadula Model (disingkat BLP) adalah model state machine

digunakan untuk menegakkan akses kontrol dalam aplikasi pemerintah dan militer. Ini
dikembangkan oleh David Elliott Bell dan Leonard J. LaPadula, setelah bimbingan
yang kuat dari Roger R. Schell untuk meresmikan US Department of Pertahanan
(DoD) keamanan bertingkat (MLS) kebijakan. Model ini adalah model transisi state
formal kebijakan keamanan komputer yang menggambarkan seperangkat aturan
kontrol akses yang menggunakan label keamanan pada objek dan izin untuk mata
pelajaran. Label keamanan berkisar dari yang paling sensitif (misalnya "Top Secret"),
sampai ke paling sensitif (misalnya, "Unclassified" atau "Public"). Model BellLaPadula adalah contoh dari sebuah model di mana tidak ada perbedaan yang jelas
perlindungan dan keamanan.

Fitur

Model Bell-LaPadula berfokus pada kerahasiaan data dan akses dikendalikan

untuk diklasifikasikan informasi, berbeda dengan Model Biba Integritas yang
menggambarkan aturan untuk perlindungan data integritas. Dalam model formal,
entitas dalam suatu sistem informasi dibagi menjadi subyek dan benda. Gagasan
tentang "negara aman" didefinisikan, dan terbukti bahwa setiap negara yang
diawetkan transisi keamanan dengan bergerak dari negara yang aman untuk
mengamankan negara, sehingga induktif membuktikan bahwa system memenuhi
tujuan keamanan model. Model Bell-LaPadula dibangun pada konsep mesin negara
dengan satu set negara diijinkan dalam sistem jaringan komputer. Transisi dari satu
negara ke negara lain didefinisikan oleh fungsi transisi. Sebuah sistem negara
didefinisikan sebagai "aman" jika satu-satunya mode akses yang diizinkan subyek ke
obyek yang sesuai dengan kebijakan keamanan. Untuk menentukan apakah mode
akses tertentu diperbolehkan, clearance subjek dibandingkan dengan klasifikasi objek

(lebih tepatnya, untuk kombinasi klasifikasi dan set kompartemen, membuat tingkat
keamanan) untuk menentukan apakah subjek berwenang untuk mode akses tertentu.
Skema izin / klasifikasi dinyatakan dalam kisi. Model ini mendefinisikan dua kendali
akses mandatory (MAC) aturan dan satu kontrol akses discretionary (DAC) aturan
dengan tiga sifat keamanan:
1. The Property Security Simple - subjek pada tingkat keamanan yang diberikan
mungkin tidak membaca suatu objek pada tingkat keamanan yang lebih tinggi
(ada read-up).
2. The *-properti (baca "bintang"-property) - subjek pada tingkat keamanan yang
diberikan tidak harus menulis ke benda pada tingkat keamanan yang lebih
rendah (tidak ada write-down). The *-properti juga dikenal sebagai Properti
kurungan.
3. The Discretionary Keamanan Properti - penggunaan matriks akses untuk
menentukan kebijaksanaan kontrol akses. Transfer informasi dari dokumensensitivitas tinggi terhadap dokumen-sensitivitas yang lebih rendah mungkin
terjadi dalam model Bell-LaPadula melalui konsep pelajaran dipercaya. Subyek
Trusted tidak dibatasi oleh *-property. Subyek Untrusted berada. Subyek Trusted
harus terbukti dipercaya berkaitan dengan kebijakan keamanan. Model
keamanan ini diarahkan kontrol akses dan ditandai dengan kalimat: "tidak
membaca, tidak menulis." Bandingkan model Biba, Clark- Model Wilson dan
model Wall Chinese.
Dengan Bell-LaPadula, pengguna dapat membuat konten hanya pada atau di atas
tingkat keamanan mereka sendiri (yaitu rahasia peneliti dapat membuat file rahasia
atau rahasia tetapi mungkin tidak membuat file publik, tidak ada write-down).
Sebaliknya, pengguna dapat melihat konten hanya pada atau di bawah tingkat
keamanan mereka sendiri (yaitu peneliti rahasia dapat melihat file umum atau
rahasia, tetapi mungkin tidak melihat file rahasia, tidak ada baca-up).
Model Bell-LaPadula eksplisit didefinisikan ruang lingkup. Ini tidak
memperlakukan hal berikut secara ekstensif:
Saluran rahasia. Menyampaikan informasi melalui tindakan pre-arranged
digambarkan
secara singkat.
Jaringan sistem. Pekerjaan pemodelan kemudian melakukan membahas
topik ini.
Kebijakan luar keamanan bertingkat. Bekerja di awal 1990-an
menunjukkan bahwa MLS
adalah salah satu versi kebijakan boolean, seperti juga semua kebijakan
lain yang

diterbitkan.( http://nhaastrina.blogspot.com/2014/03/belllapaduala_17.html)

Biba
Biba Model atau Biba Integritas Model yang dikembangkan oleh Kenneth J. Biba
pada tahun 1977, [ 1 ] adalah formal sistem transisi state dari keamanan komputer
kebijakan yang menggambarkan satu set kontrol akses aturan yang dirancang untuk
memastikan integritas data . Data dan mata pelajaran dikelompokkan ke dalam
tingkat memerintahkan integritas. Model ini dirancang sedemikian rupa sehingga
subyek objek mungkin tidak korup di tingkat peringkat lebih tinggi dari subjek, atau
rusak oleh benda-benda dari tingkat yang lebih rendah daripada subjek.
Secara umum model ini dikembangkan untuk menghindari kelemahan dalam Model
Bell-LaPadula yang hanya membahas data yang kerahasiaan .

Fitur

Secara umum, pelestarian data integritas memiliki tiga tujuan:

-

Mencegah data modifikasi oleh pihak yang tidak berhak

Mencegah tidak sah Data modifikasi oleh pihak yang berwenang
Menjaga konsistensi internal dan eksternal (yaitu data mencerminkan dunia
nyata)

Model keamanan ini diarahkan Data integritas (bukan kerahasiaan ) dan ditandai oleh
kalimat: "tidak ada yang membaca ke bawah, tidak ada menulis". Hal ini berbeda
dengan model Bell-LaPadula yang ditandai dengan kalimat "tidak menuliskan, tidak ada
membaca".
Dalam model Biba, pengguna hanya dapat membuat konten pada atau di bawah tingkat
integritas mereka sendiri (seorang biksu dapat menulis sebuah buku doa yang bisa
dibaca oleh rakyat jelata, tetapi tidak satu untuk dibaca oleh Imam Besar). Sebaliknya,
pengguna hanya bisa melihat konten pada atau di atas tingkat integritas mereka sendiri
(seorang biksu dapat membaca buku yang ditulis oleh Imam Besar, tetapi mungkin tidak
membaca sebuah pamflet yang ditulis oleh orang biasa rendah). Analogi lain yang perlu
dipertimbangkan adalah bahwa dari rantai komando militer. Sebuah Umum dapat
menulis perintah kepada Kolonel, yang dapat mengeluarkan perintah ini untuk Mayor.
Dengan cara ini, perintah asli Jenderal disimpan utuh dan misi militer dilindungi (dengan
demikian, "tidak ada yang membaca down" integritas). Sebaliknya, Swasta pernah dapat
mengeluarkan perintah Sersan itu, yang mungkin tidak pernah mengeluarkan perintah
ke Letnan, juga melindungi integritas misi ("no menulis up").

Model Biba mendefinisikan seperangkat aturan keamanan mirip dengan model yang
Bell-LaPadula . Aturan-aturan ini adalah kebalikan dari aturan Bell-LaPadula:
1. The Simple Integritas Aksioma menyatakan bahwa subjek pada tingkat tertentu
integritas tidak harus membaca sebuah objek pada tingkat integritas yang lebih
rendah ( tidak ada baca bawah ).
2. The * (bintang) Integritas Axiom menyatakan bahwa subjek pada tingkat tertentu
integritas tidak harus menulis ke objek apapun pada tingkat yang lebih tinggi
integritas ( tidak menulis up ).
3. Doa Properti menyatakan bahwa proses dari bawah tidak bisa meminta akses lebih
tinggi; hanya dengan mata pelajaran pada tingkat yang sama atau lebih rendah.
(http://en.wikipedia.org/wiki/Biba_Model)
Clark Wilson
Clark-Wilson Model integritas memberikan landasan untuk menentukan dan
menganalisis kebijakan integritas untuk sistem komputasi. Model ini terutama
berkaitan dengan meresmikan gagasan integritas informasi . Integritas informasi
dipertahankan dengan mencegah korupsi item data dalam sistem karena baik
kesalahan atau niat jahat. Sebuah kebijakan integritas menggambarkan bagaimana
item data dalam sistem harus tetap berlaku dari satu keadaan sistem ke depan dan
menentukan kemampuan berbagai prinsipal dalam sistem. Model ini mendefinisikan
aturan penegakan dan aturan sertifikasi.

Asal

Model ini dijelaskan dalam 1987 kertas ( Perbandingan Komersial dan Kebijakan
Militer Keamanan Komputer ) oleh David D. Clark dan David R. Wilson. Makalah ini
mengembangkan model sebagai cara untuk meresmikan gagasan integritas informasi,
terutama dibandingkan dengan persyaratan untuk keamanan multi-level (MLS) sistem
yang dijelaskan dalam Kitab Oranye . Clark dan Wilson berpendapat bahwa model
integritas yang ada seperti Biba (baca-up / write-down) yang lebih cocok untuk
menegakkan integritas data daripada kerahasiaan informasi. The Biba model lebih
jelas berguna dalam, misalnya, sistem klasifikasi perbankan untuk mencegah
modifikasi dipercaya informasi dan mencemari informasi pada tingkat yang lebih tinggi
klasifikasi masing-masing. Sebaliknya, Clark-Wilson lebih jelas berlaku untuk bisnis
dan industri proses di mana integritas isi informasi sangat penting pada setiap tingkat
klasifikasi (meskipun penulis menekankan bahwa ketiga model yang jelas berguna
bagi kedua organisasi pemerintah dan industri) .

Prinsip-prinsip dasar

Penegakan aturan dan sertifikasi model mendefinisikan item data dan proses yang
memberikan dasar bagi kebijakan integritas. Inti dari model ini didasarkan pada gagasan
transaksi.
Sebuah well-formed transaksi adalah serangkaian operasi yang transisi sistem
dari satu negara yang konsisten ke kondisi konsisten lain.

Dalam model ini kebijakan integritas alamat integritas transaksi.

Prinsip pemisahan tugas mensyaratkan bahwa sertifikasi transaksi dan
pelaksana menjadi entitas yang berbeda.
Model ini berisi sejumlah konstruksi dasar yang mewakili kedua item data
dan proses yang beroperasi pada item-item data.Tipe data kunci dalam model ClarkWilson adalah Barang Terbatas data (CDI). Sebuah Integritas Verifikasi Prosedur
(IVP) memastikan bahwa semua CDIS dalam sistem yang berlaku di negara
tertentu. Transaksi yang menegakkan kebijakan integritas yang diwakili oleh Prosedur
Transformation (TPS). Sebuah TP mengambil sebagai masukan CDI atau Yang tanpa
Data Item (UDI) dan menghasilkan suatu CDI. Sebuah TP harus transisi sistem dari
satu negara ke negara yang sah berlaku lagi. UDIs merupakan sistem input (seperti
yang disediakan oleh pengguna atau musuh). Sebuah TP harus menjamin (melalui
sertifikasi) yang mengubah semua nilai yang mungkin dari UDI untuk "aman" CDI.

Clark-Wilson aturan Model

Di jantung dari model ini adalah gagasan tentang hubungan antara principal dikonfirmasi
(yaitu, pengguna) dan satu set program (yaitu, TPS) yang beroperasi pada satu set item
data (misalnya, UDIs dan CDIS). Komponen seperti relasi, diambil bersama-sama, yang
disebut sebagai Clark-Wilson tiga. Model ini juga harus memastikan bahwa entitas yang
berbeda bertanggung jawab untuk memanipulasi hubungan antara kepala sekolah,
transaksi, dan item data. Sebagai contoh singkat, pengguna mampu sertifikasi atau
menciptakan relasi tidak harus mampu menjalankan program yang ditentukan dalam
kaitannya itu.
Model ini terdiri dari dua set aturan: Aturan Sertifikasi (C) dan Peraturan Penegakan (E).
Sembilan aturan menjamin integritas eksternal dan internal item data. Mengutip ini:
C1-Ketika IVP dijalankan, harus memastikan CDIS berlaku.
C2-Untuk beberapa set terkait CDIS, TP harus mengubah orang-orang CDIS dari satu
negara yang valid untuk yang lain.
Karena kita harus memastikan bahwa TPS ini disertifikasi untuk beroperasi pada CDI
tertentu, kita harus memiliki E1 dan E2.

E1-Sistem harus mempertahankan daftar hubungan bersertifikat dan memastikan hanya

TPS disertifikasi untuk berjalan pada perubahan CDI yang CDI.
E2-Sistem harus mengaitkan pengguna dengan masing-masing TP dan set CDIS. TP
dapat mengakses CDI atas nama pengguna jika itu adalah "hukum."
Hal ini memerlukan melacak tiga kali lipat (user, TP, {} CDIS) disebut "hubungan
diperbolehkan."
C3-Diizinkan hubungan harus memenuhi persyaratan "pemisahan tugas."
Kita perlu otentikasi untuk melacak ini.
E3-Sistem harus mengotentikasi setiap pengguna mencoba TP. Perhatikan bahwa ini
adalah per permintaan TP, bukan per login.
Untuk tujuan keamanan, log harus disimpan.
C4-Semua TPS harus menambahkan ke log informasi yang cukup untuk merekonstruksi
operasi.
Ketika informasi masuk sistem itu tidak perlu dipercaya atau dibatasi (yaitu dapat
menjadi UDI). Kita harus menangani hal ini dengan tepat.
C5-Setiap TP yang mengambil UDI sebagai masukan hanya dapat melakukan transaksi
berlaku untuk semua nilai yang mungkin dari UDI. TP baik akan menerima (dikonversi
ke CDI) atau menolak UDI.
Akhirnya, untuk mencegah orang dari mendapatkan akses dengan mengubah kualifikasi
TP:
E4-Hanya sertifikasi dari TP mungkin mengubah daftar perusahaan yang terkait dengan
TP itu.( http://en.wikipedia.org/wiki/Clark%E2%80%93Wilson_model)

Information Flow Model

Arus informasi dalam teori informasi konteks adalah transfer informasi dari variabel ke
variabel dalam diberikan proses. Tidak semua arus mungkin diinginkan. Sebagai
contoh, sistem tidak harus bocor setiap rahasia (sebagian atau tidak) untuk pengamat
publik.

Pengantar

Mengamankan data dimanipulasi oleh sistem komputasi telah menjadi tantangan di

tahun-tahun terakhir. Beberapa metode untuk membatasi keterbukaan informasi yang ada

saat ini, seperti daftar kontrol akses , firewall , dan kriptografi . Namun, meskipun metode
ini melakukan memberi batasan pada informasi yang dirilis oleh sistem, mereka tidak
memberikan jaminan tentang informasi propagasi . [ 1 ] Misalnya, daftar kontrol akses
sistem berkas mencegah akses file yang tidak sah, tetapi mereka tidak mengontrol
bagaimana Data yang digunakan setelah itu. Demikian pula, kriptografi menyediakan
sarana untuk saling bertukar informasi pribadi di saluran tidak aman, tetapi tidak ada
jaminan tentang kerahasiaan data yang diberikan setelah itu didekripsi.
Dalam analisis arus informasi tingkat rendah, masing-masing variabel biasanya diberikan
tingkat keamanan. Model dasar terdiri dari dua tingkat yang berbeda: rendah dan tinggi,
artinya, masing-masing, secara terbuka informasi diamati, dan informasi rahasia. Untuk
menjamin kerahasiaan, mengalir informasi dari tinggi ke rendah variabel seharusnya tidak
diperbolehkan. Di sisi lain, untuk memastikan integritas, mengalir ke variabel tinggi harus
dibatasi. [ 1 ]
ecara umum, tingkat keamanan dapat dilihat sebagai kisi dengan informasi yang mengalir
hanya ke atas dalam kisi. [ 2 ]
Sebagai contoh, mempertimbangkan dua tingkat keamanan
jika
, mengalir dari ke , dari
sementara arus dari
ke tidak akan. [ 3 ]

ke

dan

dan
untuk

(rendah dan tinggi),

akan

diizinkan,

Pendahuluan

Sepanjang artikel ini, notasi berikut digunakan:

-

variabel
variabel

(rendah) akan menunjukkan variabel yang dapat diamati publik

(tinggi) akan menunjukkan variabel rahasia

Dimana dan
dipertimbangkan.

adalah satu-satunya dua tingkat keamanan di kisi sedang

Kontrol aliran informasi

Sebuah mekanisme untuk mengontrol arus informasi adalah salah satu yang
memberlakukan kebijakan arus informasi. Beberapa metode untuk menegakkan kebijakan
arus informasi telah diusulkan. Mekanisme Run-time data tag dengan label arus informasi
telah digunakan pada tingkat sistem operasi dan pada tingkat bahasa pemrograman.
Program statis analisis juga telah dikembangkan yang memastikan arus informasi dalam
program sesuai dengan kebijakan.

Kedua analisis
dikembangkan.
eksekusi, dan
noninterference,

statis dan dinamis untuk bahasa pemrograman saat ini telah

Namun, teknik analisis statis tidak dapat mengamati semua jalur
karena itu tidak dapat baik suara dan tepat. Untuk menjamin
mereka juga menghentikan eksekusi yang mungkin mengeluarkan

informasi sensitif [ 5 ] atau mereka mengabaikan pembaruan yang mungkin

membocorkan informasi. [ 6 ]
Cara terkemuka untuk menegakkan kebijakan arus informasi dalam program adalah
melalui sistem jenis keamanan: yaitu, sistem tipe yang memberlakukan sifat keamanan.
Dalam sebuah sistem jenis suara, jika program jenis-cek, memenuhi kebijakan aliran dan
karena itu tidak mengandung informasi yang tidak benar mengalir.

Jenis keamanan system

Dalam bahasa pemrograman ditambah dengan keamanan sistem tipe setiap ekspresi
membawa kedua jenis (seperti boolean, atau integer) dan label keamanan.
Berikut ini adalah jenis sistem keamanan sederhana dari [ 1 ] yang memaksa noninterferensi. Notasi
pula,

berarti bahwa ekspresi

berarti bahwa perintah

telah mengetik . Demikian

tersebut typable dalam konteks keamanan

Perintah yang diketik meliputi, misalnya,

.
Sebaliknya, program ini

sakit-diketik, karena akan mengungkapkan nilai variabel ke dalam .

(http://en.wikipedia.org/wiki/Information_flow_(information_theory)

6. Trusted Computer System Evaluation Criteria (TCSEC) / Terpercaya Kriteria

Evaluasi
Sistem Komputer adalah Amerika Serikat Pemerintah Departemen
Pertahanan (DoD) standar yang menetapkan persyaratan dasar untuk menilai efektivitas
keamanan komputer kontrol dibangun menjadi sebuah sistem komputer . TCSEC
digunakan untuk mengevaluasi, mengklasifikasikan dan pilih sistem komputer sedang
dipertimbangkan untuk pengolahan, penyimpanan dan pengambilan sensitif atau
informasi rahasia .
TCSEC, sering disebut sebagai Orange Book(buku oranye) , adalah pusat dari
Departemen Pertahanan Rainbow Series publikasi. Awalnya diterbitkan pada tahun 1983
oleh National Security Computer Center (NCSC), sebuah lengan dari National Security
Agency , dan kemudian diperbaharui pada tahun 1985. TCSEC digantikan oleh Common
Criteria standar internasional awalnya diterbitkan pada tahun 2005.

Tujuan mendasar dan persyaratan

Kebijakan
Kebijakan keamanan harus eksplisit, jelas dan ditegakkan oleh sistem komputer. Ada
tiga kebijakan keamanan dasar:
Kebijakan Keamanan wajib - Memaksa kontrol akses berdasarkan aturan
langsung pada pembukaan individu, otorisasi untuk informasi dan tingkat
kerahasiaan informasi yang sedang dicari. Faktor-faktor tidak langsung lainnya
adalah fisik dan lingkungan. Kebijakan ini juga harus akurat mencerminkan
hukum, kebijakan umum dan bimbingan lain yang relevan dari mana aturan
berasal.
Menandai - Sistem yang dirancang untuk menegakkan kebijakan keamanan
wajib harus menyimpan dan menjaga keutuhan akses label kontrol dan
mempertahankan label jika objek diekspor.
Kebijakan Keamanan Discretionary - Memaksa satu set konsisten aturan
untuk mengendalikan dan membatasi akses berdasarkan individu yang
diidentifikasi yang telah ditentukan untuk memiliki kebutuhan-untuk-tahu untuk
informasi.

Akuntabilitas
Akuntabilitas individu terlepas dari kebijakan harus ditegakkan. Sebuah cara yang aman
harus ada untuk menjamin akses agen resmi dan kompeten yang kemudian dapat
mengevaluasi informasi akuntabilitas dalam jumlah waktu yang wajar dan tanpa
kesulitan yang tidak semestinya. Ada tiga persyaratan di bawah tujuan akuntabilitas:

Identifikasi - Proses yang digunakan untuk mengenali pengguna individu.

Otentikasi - Verifikasi otorisasi pengguna individu untuk kategori tertentu
informasi.

Audit - Audit informasi harus selektif dijaga dan dilindungi sehingga tindakan
yang mempengaruhi keamanan dapat ditelusuri ke individu dikonfirmasi.

Jaminan
Sistem komputer harus berisi mekanisme hardware / software yang dapat dievaluasi
secara independen untuk memberikan jaminan yang cukup bahwa sistem
memberlakukan persyaratan di atas. Dengan ekstensi, jaminan harus mencakup
jaminan bahwa bagian terpercaya sistem bekerja hanya sebagaimana dimaksud. Untuk
mencapai tujuan tersebut, dua jenis jaminan yang diperlukan dengan elemen masingmasing:

Mekanisme Jaminan
Jaminan Operasional: Sistem Arsitektur, Sistem Integritas, Terselubung Analisis
Channel, Terpercaya Facility Management dan Pemulihan Terpercaya
Siklus hidup Jaminan: Keamanan Pengujian, Desain Spesifikasi dan Verifikasi,
Manajemen Konfigurasi dan Terpercaya Sistem Distribusi
Jaminan Perlindungan terus menerus - mekanisme yang terpercaya yang
menegakkan persyaratan dasar harus terus dilindungi terhadap gangguan dan /
atau perubahan yang tidak sah.

Divisi dan kelas

TCSEC mendefinisikan empat divisi: D, C, B dan A di mana divisi A memiliki keamanan
tertinggi. Setiap divisi merupakan perbedaan yang signifikan dalam kepercayaan
individu atau organisasi dapat menempatkan pada sistem dievaluasi. Selain itu divisi C,
B dan A yang rusak menjadi serangkaian subdivisi hirarkis disebut kelas: C1, C2, B1,
B2, B3 dan A1.
Setiap divisi dan kelas memperluas atau memodifikasi seperti yang ditunjukkan
persyaratan divisi segera sebelum atau kelas.
D - perlindungan Minimal

Disediakan untuk sistem-sistem yang telah dievaluasi tetapi gagal untuk memenuhi
persyaratan untuk divisi yang lebih tinggi

C Discretionary protection
C1 Discretionary Security Protection
Identification and authentication
Separation of users and data
- Discretionary Access Control (DAC) capable of enforcing access
limitations on an individual basis
Required System Documentation and user manuals
C2 Controlled Access Protection
More finely grained DAC
Individual accountability through login procedures

- Audit trails
- Object reuse
- Resource isolation

B Mandatory protection
B1 Labeled Security Protection
- Informal statement of the security policy model
- Data sensitivity labels
- Mandatory Access Control (MAC) over selected subjects and objects
Label exportation capabilities

All discovered flaws must be removed or otherwise mitigated

Design specifications and verification

B2 Structured Protection
- Security policy model clearly defined and formally documented
- DAC and MAC enforcement extended to all subjects and objects
- Covert storage channels are analyzed for occurrence and bandwidth
- Carefully structured into protection-critical and non-protection-critical
elements
- Design and implementation enable more comprehensive testing and
review
- Authentication mechanisms are strengthened
- Trusted facility management is provided with administrator and operator
segregation
- Strict configuration management controls are imposed
- Operator and Administrator roles are separated.

B3 Security Domains
- Satisfies reference monitor requirements
- Structured to exclude code not essential to security policy enforcement
- Significant system engineering directed toward minimizing complexity
- Security administrator role defined
- Audit security-relevant events
- Automated imminent intrusion detection, notification, and response
- Trusted system recovery procedures
- Covert timing channels are analyzed for occurrence and bandwidth
A Verified protection

A1 Verified Design
- Functionally identical to B3
Formal design and verification techniques including a formal top-level
specification
Formal management and distribution procedures
Examples of A1-class systems are Honeywell's SCOMP, Aesec's GEMSOS, and
Boeing's SNS Server. Two that were unevaluated were the production LOCK
platform and the cancelled DEC VAX Security Kernel.
Beyond A1

System Architecture demonstrates that the requirements of self-protection and

completeness for reference monitors have been implemented in the Trusted
Computing Base (TCB).
Security Testing automatically generates test-case from the formal top-level
specification or formal lower-level specifications.
Formal Specification and Verification is where the TCB is verified down to the
source code level, using formal verification methods where feasible.
Trusted Design Environment is where the TCB is designed in a trusted facility
with only trusted (cleared) personnel. (http://en.wikipedia.org/wiki/Orange_Book)