Computer Access Control adalah suatu proses dimana user diberikan akses dan hak untuk
melihat sistem, sumber atau informasi. Untuk keamanan komputer, access control meliputi
otorisasi, otentikasi, dan audit dari suatu kesatuan untuk memperoleh akses. Dalam sistem
komputer, daftar access control berisi perizinan dan data kemana user memberikan izin tersebut.
Data yang telah memiliki izin hanya dapat dilihat oleh beberapa orang dan ini tentunya sudah
dikontrol oleh access control.
Dalam access control terdapat identifikasi, otorisasi, otentifikasi dan audit. Access control
memiliki subjek (user) yang mencoba untuk mendapatkan access dari Object (software) yang
tersimpan pada ACL (access control list). ACL merupakan daftar access control berisi perizinan
dan data kemana user diberikan izin tersebut. Dalam hal ini mungkin memerlukan administrator
untuk mengamankan informasi dan mengatur hak atas informasi apa saja yang boleh diakses dan
kapan informasi tersebut dapat diakses.
Pada kali ini kita akan membahas access control berdasarkan prinsipnya, modelnya dan
teknologinya. Pengaturan akses atau kontrol akses (Inggris: access control) dalam sistem operasi
yang bersifat multiuser atau sistem operasi jaringan semacam keluarga UNIX atau Windows NT,
adalah istilah umum yang menjelaskan bagaimana seorang administrator sistem tersebut (atau
root dalam keluarga sistem operasi UNIX) dapat mengamankan akses terhadap objek-objek yang
terdapat dalam sistem tersebut, yang dapat berupa berkas, direktori, atau objek lainnya seperti
sebuah ruangan yang sering deisebut dengan akses kontrol pintu.
Access control dapat diaplikasikan terhadap setiap objek yang dapat diamankan dalam
sistem operasi. Sebagai contoh, dalam Windows NT, terdapat objek berkas (file object), objek
proses (process object), objek thread (thread object), dan beberapa objek lainnya yang terdaftar
dalam Windows NT Object Manager. Objek-objek dalam Active Directory Windows 2000 dan
Windows Server 2003 juga dapat diamankan, meski seringnya diaplikasikan terhadap sebuah
group atau direktori.
Access control umumnya diimplementasikan dengan memberikan izin (permisi) dan hak
terhadap objek secara spesifik. Izin diberikan terhadap objek untuk menentukan siapa saja yang
dapat mengakses objek tersebut dan sebatas apa ia berhak mengaksesnya. Izin tersebut, dapat
diaplikasikan oleh administrator sistem atau pemilik objek tersebut (orang yang membuat objek).
Jenis izin yang dapat diaplikasikan bergantung pada objek yang hendak diamankan. Sebagai
contoh, objek berkas dalam keluarga sistem operasi Windows NT yang disimpan dalam sebuah
partisi dengan sistem berkas NTFS dapat diamankan.
Dalam beberapa sistem operasi multiuser berorientasi objek, seperti Windows NT, izin
yang diberlakukan terhadap sebuah objek secara default akan diaplikasikan terhadap objek-objek
yang berada di bawahnya (child object), termasuk objek-objek yang baru dibuat pada lain waktu.
Hal ini disebut dengan permission inheritance (pewarisan izin).
Selain izin, access control juga diimplementasikan dalam bentuk hak (right). Hak dapat
diberikan kepada sebuah pengguna atau sebuah group pengguna untuk memberikan kepada
mereka hak untuk melakukan beberapa tugas yang menyangkut administrasi sistem, seperti
halnya melakukan backup, mematikan server, atau melakukan logon secara interaktif.
Prinsip-prinsip dalam Access Control
1. Principle of Least Privilege: Jika tidak ada sesuatu yang sudah di konfigurasi secara
spesifik untuk individu atau kelompok, dimana ia berada, user harusnya tidak bisa
mengakses sumber tersebut.
2. Separation of Duties: Memisahkan area yang bertentangan dari tugas yang bertujuan
untuk mengurangi modifikasi data yang tidak sah dalam aset atau informasi dari suatu
organisasi.
3. Need to Know: Prinsip ini bedasarkan konsep atas individu harus diberikan akses hanya
untuk informasi yang mereka butuhkan untuk menjalankan tugas mereka.
1. Tugas (Duties)
2. Kelompok (Groups)
3. Lokasi (Location)
4. Waktu (Time)
5. Tipe Transaksi (Transaction Type)
2. Physical Control
Mendukung dan bekerja dengan administratif dan technical control untuk menyediakan
access control yang benar. Komponen:
a. Pemisahan Jaringan
b. Keamanan Perimeter
c. Computer Controls
d. Pemisahan Area Kerja
e. Backup Data
f. Cabling
g. Zona Kontrol
3. Technical Control
Alat yang digunakan untuk membatasi akses subjek ke objek. Melindungi integritas dan
ketersediaan sumber dengan membatasi jumlah subjek yang bisa mengakses objek.
Melindungi kenyamanan sumber dengan mencegah penyingkapan ke subjek yang tidak
dikenal. Komponen:
a. Akses Sistem
b. Akses Jaringan
c. Enkripsi dan Protokol
d. Proses Audit
e. Rancangan Jaringan
A. Single Sign-On: Teknologi yang memungkinkan user untuk menginputkan satu perintah
untuk mengakses semua sumber di domain jaringan primer dan sekunder
B. Kerberos: Protokol otentikasi yang di desain pada pertengahan 1980 sebagai bagian dari
projek MIT Athena. Bekerja bedasarkan kunci kriptografi simetris. Digunakan di sistem
UNIX dan menjadi metode otentikasi untuk Windows 2k & 2k3. Standar de-facto untuk
jaringan heterogen.
C. SESAME (Secure European System for Application in a Multi-vendor Environtment):
Teknologi SSO yang dikembangkan untuk peningkatan kualitas Kerberos. Menggunakan
teknik kriptografi simetris dan asimetris untuk melindungi pertukaran data dan untuk
mengautentikasi subjek ke sumber jaringan.
D. Security Domain: Sekumpulan sumber yang tersedia untuk subjek (user). Mengacu kepada
sekumpulan sumber dengan sistem keamanan yang sama dan dikelola oleh grup yang sama.
E. Thin Clients: Kadang disebut sebagai “Dumb Terminals”. Bedasarkan atas teknologi dimana
user harus login terlebih dahulu kedalam server untuk menggunakan komputer dan sumber
jaringannya. Menyediakan tipe lain dari akses SSO untuk user, karena user hanya
mengautentikasi ke mainframe saja yang kemudian akan memfasilitasi user untuk
mengakses ke seluruh data jaringan yang dibutuhkan.
A. Discretionary Access Control (DAC): Akses kontrol yang bedasarkan atas kemauan
pemiliknya. Menggunakan sistem DAC yang memungkinkan pemilik sumber untuk
menspesifikasi subjek mana yang bisa mengakses sumber spesifik.
B. Mandatory Access Control (MAC): Model ini sangat terstruktur dan sangat ketat. Askses
kontrol ini bedasarkan atas label keamanan yang terlampir di semua objek. User diberi izin
keamanan dengan mengklasifikasi subjek (secret, top secret, confidential, dll) dan klasifikasi
ini berlaku juga untuk objek.
C. Non Discretionary or Role Based Access Control (RBAC): RBAC bedasarkan atas tugas
user dan menggunakan kontrol administrasi sentral untuk memastikan interaksi antara
subjek dan objek.
1. Rule-Based Access Control: Menggunakan peraturan spesifik yang menginidikasi apa yang
bisa dan tidak bisa terjadi antara subjek dan objek. Subjek harus mematuhi beberapa
paraturan yang sudah tertera sebelum mengakses sebuah objek.
2. Constrained User Interface: Membatasi kemampuan user dengan tidak mengizinkan user
untuk meminta beberapa informasi atau memberikan akses untuk membuka sumber sistem
yang spesifik.
3. Matrix Access Control: Tabel dari subjek dan objek yang mengindikasi tindakan apa yang
subjek lakukan terhadap objek. Teknik ini menggunakan tabel kapabilitas untuk
menspesifikasi kemampuan dari sebuah subjek yang berkaitan dengan objek.
4. Content Dependant Access Control: Akses ke sebuah objek bedasarkan konten dari objek
tersebut.
5. Context Dependant Access Control: Keputusan akses lebih bedasarkan atas konteks dari
kumpulan informasi dari pada tingkat kesensitivan data.
Administrasi Access Control
1. Intruision Detection Systems (IDS): Proses untuk mendeteksi penggunaan yang tidak sah
dari sebuah komputer, jaringan, atau infrastruktur telekomunikasi. IDS didesain untuk
membantu mengurangi kerusakan yang bisa disebabkan oleh peretasan sistem komputer
dan jaringan.
2. Intrusion Prevention System (IPS): Tujuan IPS adalah untuk mendeteksi sesuatu yang
buruk (dan mengirimkan peringatan akan hal tersebut) dan tidak mengijinkan lalu lintas
dari IDS untuk mengakses target. IPS adalah teknologi pencegah dan proaktif. Sedangkan,
IDS adalah sebuah teknologi detektif dan after-the-fact. IPS adalah perluasan dari IDS dan
apapun yang menguasai IDS juga menguasai IPS. Lalu, IPS bersifat mencegah dan IDS
bersifat detektif.
Sumber:
https://en.wikibooks.org/wiki/Fundamentals_of_Information_Systems_Security/Access_Control
_Systems 18