Information Systems Security

Arrianto Mukti Wibowo, M.Sc., Faculty of Computer Science

University of Indonesia

amwibowo@cs.ui.ac.id

Security Architecture & Models

Tujuan

• Mempelajari berbagai konsep, prinsip dan standar untuk merancang dan

mengimplementasikan aplikasi, sistem

operasi, dan sistem yang aman.

Topik

• Computer architecture security, security models (state machine, Bell-LaPadula,

Biba, Clark-Wilson, etc.), systems

architecture, least privilege, domains, security modes, Orange book, ITSEC, FIPS, BS/ISO 17799 closed vs. open

systems, certification vs. accreditation,

threats to security models & architecture

Prinsip-prinsip keamanan

• Least previlage: artinya setiap orang hanya diberi hak

akses tidak lebih dari yang dibutuhkan untuk menjalankan tugasnya.

• Defense in Depth: gunakan berbagai perangkat keamanan untuk saling membackup. Misalnya dapat dipergunakan multiple screening router, sehingga kalau satu dijebol, maka yang satu lagi masih berfungsi.

• Choke point: semua keluar masuk lewat satu (atau sedikit) gerbang. Syaratnya tidak ada cara lain keluar masuk selain lewat gerbang.

• Weakest link: “a chain is only as strong as its weakest

link”. Oleh karena itu kita harus tahu persis dimana

weakest link dalam sistem sekuriti organisasi kita.

• Fail-Safe Stance: maksudnya kalau suatu perangkat keamanan rusak, maka secara default perangkat tersebut settingnya akan ke setting yang paling aman. Misalnya: kapal selam di Karibia kalau rusak mengapung, kunci elektronik kalau tidak ada power akan unlock, packet filtering kalau rusak akan mencegah semua paket keluar-masuk.

• Universal participation: semua orang dalam organisasi harus terlibat dalam proses sekuriti.

• Diversity of Defense: mempergunakan beberapa jenis sistem yang berbeda untuk pertahanan. Maksudnya, kalau penyerang sudah menyerang suatu jenis sistem pertahanan, maka dia tetap akan perlu belajar sistem jenis lainnya.

• Simplicity: jangan terlalu kompleks, karena sulit sekali mengetahui salahnya ada di mana kalau sistem terlalu kompleks untuk

dipahami.

Weakest Link

• “a chain is only as strong as its weakest link”

• “an attacker will attack the weakest security chain”

Facility

personnell Password implemementation ^Network

Application implementation

Security protocol

Cryptographic algorithm

bribe

Dictionary attack

Port attack

Lousy coding

Bad design

Weak key

System Architecture:

Dimana pengamanannya?



OS logon screen

File system level

DB table access control Operation &

physical control

Application logon Network

acc. control

Proteksi low level

• Pengamanan yang lebih ke arah hardware

• Sederhana

• Melebar

• Tidak fleksibel

• Misalnya: write-protect pada USB drive,

IP restriction

Proteksi lapis atas

• Lebih kompleks

• Bisa pada aplikasi atau sistem prosedur

• Lebih fleksibel dan lebih detail kendalinya

• Mengakibatkan menurunnya jaminan mekanisme keamanan

• Karena butuh ekstra untuk install, testing/pengujian dan pemeliharaan

• Misalnya: akses kontrol tabel database &

aplikasi

Tingkatan jaminan keamanan



Aplikasi Services

O/S Hardware

Fungsionalitas menurun Kompleksitas sekuriti menurun

Jaminan keamanan meningkat

Fungsionalitas bertambah Kompleksitas sekuriti

meningkat Jaminan keamanan

menurun

System Architecture Security

Contoh pada operating systems

Ring 2:

Applications:

web browser, word processor

Ring 1:

OS utilities, device drivers, file systems,

Ring 0:

Kernel, time sharing, memory

management, etc.

Trusted Computing Base (TCB)

• Kombinasi keseluruhan dari mekanisme

pengamanan dalam sebuah sistem komputer

• Mencakup: hardware, software, dan firmware

• Komponen yang masuk TCB harus

teridentifikasi dan kemampuannya terdefinisi dgn jelas.

• TCB mengikuti standar security rating tertentu

seperti Orange Book (akan dijelaskan)

Security Perimeter

• Semua komponen yang tidak masuk dalam TCB.

• Harus ada standar komunikasi, yakni melalui interface yang sudah defined.

• Contoh:

– Anda membuat program dengan bahasa Java, belum tentu anda berhak mendapatkan hak akses untuk manipulasi data pada memori secara langsung.

Pembuatan dan manipulasi data dilakukan melalui

objek-objek dan interface Java Virtual Machine.

Security Models

• Untuk memformalkan kebijakan keamanan organisasi

• Representasi simbolik dari kebijakan, yang harus dilaksankan oleh sistem komputer

• Security policy sifatnya lebih abstrak dan lebar,

security model adalah apa yang boleh dan tidak secara teknis

– Analogi: kalau dokter bilang kita harus hidup sehat, ini adalah

„policy‟. Tapi kalau dokter memberikan wejangan: makan

secukupnya, rajin olah raga, jangan suka marah, ini „teknisnya‟

Security Modes

• Dedicated: semua user akses seluruh data dalam sistem

• Compartemented: semua user bisa

mengakses semua level sekuriti data, tapi dibatasi pada bidang/area tertentu saja

(pembatasan akses horizontal)

Security Models

• Access Control Matrix Models

• Bell-LaPadula Model

• Biba

• Clark-Wilson Model

• Information Flow Model

Access Matrix Model

File:

Income

File:

Salaries

Process:

Deductions

Print Server

Joe R R/W X W

Jane R/W R - W

Checking prog.

R R X -

Tax Prog. R/W R/W X W

Object

Subject

Take-Grant Model

• Menggunakan directed graph untuk mentransfer hak ke subjek lain

• Misalnya A punyak hak S, termasuk untuk hak mentransfer, pada objek B

Subjek A S Objek B

• Subjek A bisa memberikan haknya kepada Subjek C, sehingga memiliki hak atas objek B

Subjek A S Objek B

Subjek C

Grant rights to B

Bell-LaPadua Model

• Dibuat tahun 1970-an, untuk militer Amerika Serikat, untuk pengamanan kerahasiaan informasi

• Menggunakan lattice, tingkatan keamanan militer yakni:

– Top Secret – Secret

– Sensitive but unclassified – Unclassified

• Fokus pada confidentiality

Bell-LaPadua

Unclassified Top Secret

Secret

Confidential

Read OK

NO Write NO Read

Biar tidak ada yang membocorkan

rahasia Biar tidak bisa

membaca rahasia Biar bisa baca

info umum

Biba Model

• Menjamin integritas data

• Dibuat tahun 1977

• Misalnya, akuntan lebih ingin agar data

keuangan akurat, dan tidak ingin data menjadi corrupt gara-gara aplikasi/operator tidak

bekerja seperti semestinya (misalnya:

pembulatan, salah ketik, penambahan digit,

dsb.)

Biba Model

Public

Confidential

Sensitive

Private

NO Read

Biar tidak tercampur adukkan

dengan data yang

‘tdk jelas’ asalnya Biar tidak bisa

mengacaukan data yg lebih

akurat

NO Write Read

OK

Bisa dapat data

yang sahih

Clark-Wilson Model

• User tidak bisa akses objek langsung, tapi harus lewat suatu program

• File tidak bisa dibuka sembarangan program (notepad.exe, misalnya), tapi harus lewat

aplikasi khusus

• Bisa menerapkan separation of duties, misalnya orang yang melakukan entri data (Write) dan yang membuat laporan (Read), orangnya

berbeda

Information Flow Model

• Tiap objek diberikan security class dan mungkin nilai.

• Informasi hanya bisa mengalir sesuai kebijakan yang ditetapkan

• Contoh:

Unclassified Confidential Confidential

(project X)

Confidential

(project X, Task 1) Confidential

(project X, Task 2)

28

Orange Book

• DoD Trusted Computer System Evaluation Criteria, DoD 5200.28-STD, 1983

• Provides the information needed to classify

systems (A,B,C,D), defining the degree of trust that may be placed in them

• For stand-alone systems only

• Windows NT has a C2 utility, it does many

things, including disabling networking

29

Orange book levels

• D - Minimal security. Systems that have been evaluated, but failed

– PalmOS, MS-DOS, OS/2

• C – Discretionary AC

– C1: user harus teridentifikasi

– C2: user harus pula ada logical access control

– DEC VMS, NT, NetWare, Trusted Solaris

• B – Mandatory AC

– B1: labeled protectioin untuk setiap data object &

tiap subjek harus punya clearence label

– B2: trusted path logon, user tahu dia login ke mana…

– B3: program yang tidak dirancang untuk B3 tidak bisa jalan.

– MVS w/ s, ACF2 or TopSecret, Trusted IRIX

• A - Verified protection

– A1: verified design dengan formal method

– Boeing SNS, Honeywell SCOMP

31

Problems with the Orange Book

• Based on an old model, Bell-LaPadula

• Stand alone, no way to network systems

• Systems take a long time (1-2 years) to certify

– Any changes (hot fixes, service packs, patches) break the certification

• Has not adapted to changes in client-server and corporate computing

• Certification is expensive

• For the most part, not used outside of the government

sector

32

Red Book

• Used to extend the Orange Book to networks

• Actually two works:

– Trusted Network Interpretation of the TCSEC (NCSC-TG-005)

– Trusted Network Interpretation

Environments Guideline: Guidance for

Applying the Trusted Network Interpretation

(NCSC-TG-011)

Certification vs Accreditation

• Certification

– Evaluasi menyeluruh terhadap fitur sekuriti sistem informasi dalam rangka proses akreditasi bahwa desain dan

implementasi sistem informasi itu telah memenuhi persyaratan tertentu

• Akreditasi

– Pernyataan formal dari Designated Approving Authority bahwa sebuah sistem informasi disetujui untuk beroperasi pada:

• mode tertentu

• kontrol/pengamanan tertentu

• resiko tertentu