Sistem perlindungan wajib mendefinisikan keadaan perlindungan, pelabelan subjek dan objek, serta keadaan transisi untuk mengelola hak akses. Model ini menggunakan konsep arus informasi untuk menentukan persyaratan kerahasiaan dan integritas berdasarkan bagaimana data dapat mengalir antara subjek dan objek. Kerahasiaan dan integritas didefinisikan dalam model kisi terbatas seperti Bell-LaPadula dan Biba.
2. Dalam bab ini, kita memeriksa model kontrol akses yang
memenuhi sistem perlindungan wajib, yang sudah di pelajari di
Bab 2. Sebuah sistem perlindungan wajib memberikan
gambaran tentang tamperproof sistem kontrol akses kebijakan.
Sebuah sistem perlindungan wajib yang terdiri dari: (1) keadaan
perlindungan yang mendefinisikan operasi yang tetap, set label
subjek dapat melakukan pada satu set tetap objek label, (2)
sebuah keadaan pelabelan bahwa proses sistem peta dan
sumber daya untuk subjek dan objek label masing” dan (3)
sebuah keadaan transisi yang mendefinisikan cara-cara hukum
bahwa sistem proses dan sumber daya dapat ditugaskan untuk
label baru. Dengan demikian, mereka mengelola hak akses
bahwa semua proses sistem akan pernah diperoleh.
3. 5.1 INFORMASI ARUS
Sistem operasi aman menggunakan arus informasi
sebagai dasar untuk menentukan kerahasiaan dan
keamanan integritas persyaratan. Secara konseptual,
arus informasi cukup sederhana.
Sebuah arus informasi terjadi antara subjek s ∈ S dan
obyek o ∈ O jika subjek melakukan operasi membaca
atau menulis pada objek. Arus informasi s → o adalah
dari subjek ke objek jika subjek menulis ke objek.
Arus informasi s ← o adalah dari objek ke subjek jika
subjek membaca dari objek.
4. Arus informasi merupakan cara memindahkan data antara
subyek dan obyek dalam sebuah system. Ketika subjek
(misalnya, proses) membaca dari sebuah objek (misalnya, file),
data dari objek mengalir ke subjek memori. Jika ada rahasia
dalam objek, maka arus informasi menunjukkan bahwa rahasia
dapat mengalir ke subjek ketika subjek membaca objek.
Namun, jika subjek memegang rahasia, maka arus informasi
juga dapat menunjukkan bahwa subjek dapat bocor rahasia-
rahasia jika subjek menulis ke objek. Perhatikan bahwa setiap
operasi pada objek bisa berupa aliran informasi read (yaitu,
ekstrak data
dari objek), arus informasi menulis (yaitu, update objek dengan
data baru), atau kombinasi dari keduanya. Misalnya,
mengeksekusi membaca data dari sebuah file untuk
mempersiapkan untuk eksekusi, sehingga proses
5. Contoh 5.3. Perhatikan matriks akses yang ditunjukkan pada Gambar 5.1. Ini mendefinisikan seperangkat operasi
yang subyek S1, S2, dan S3 dapat melakukan pada objek O1 dan O2.Note bahwa beberapa operasi, seperti
append, getattr, dan ioctl harus dipetakan ke arus resultan informasi mereka, menulis, membaca, dan kedua,
masing-masing. Akibatnya, matriks ini merupakan akses arus informasi yang sesuai Grafik yang ditampilkan pada
Gambar 5.1.
Arus informasi grafik di sebelah kanan mewakili arus informasi yang
dijelaskan oleh matriks kontrol akses di sebelah kiri.
6. 5.2 INFORMATION FLOWSECRECY MODELS
Untuk kerahasiaan arus informasi, kami ingin
memastikan bahwa tidak peduli program yang
pengguna jalankan, dia tidak dapat membocorkan
informasi kepada subjek yang tidak sah. Masalah
klasik adalah bahwa pengguna mungkin dipaksa
menjalankan program yang berisi malware yang aktif
ingin membocorkan informasi itu. Sebagai contoh,
sebuah Trojan horse adalah jenis malware yang
menyamar sebagai program yang sah, namun
mengandung komponen berbahaya yang mencoba
untuk membocorkan data ke penyerang.
7. 5.2.1 Denning LATTICE MODEL
Denning halus grafik arus informasi umum untuk
mengekspresikan kebutuhan arus informasi
kerahasiaan [70, 271] didasarkan sebagian pada karya
Fenton [93].
Dalam model arus informasi, masing-masing subjek
dan objek diberikan sebuah keamanan kelas. Aman
kelas adalah label dalam sistem perlindungan wajib
didefinisikan dalam Definisi 2.4, dan kedua subjek
dan objek dapat berbagi kelas keamanan
8. Gambar 5.2 menunjukkan dua kebijakan arus informasi model. Dalam (a), kebijakan ini isolasi pengguna u1, u2,
u3, ..., ui dengan memberikan mereka untuk kelas keamanan yang berbeda. Setiap data dalam keamanan kelas ui
tidak dapat dibaca atau ditulis oleh proses yang berjalan dengan keamanan kelas uj mana i = j. Gambar 5.2 (b)
menunjukkan kebijakan arus informasi model yang benar-benar kelas keamanan perintah, seperti bahwa data di
kelas yang lebih tinggi tidak akan bocor ke keamanan kelas yang lebih rendah. Kelas-kelas keamanan merupakan
kelas kerahasiaan tradisional pemerintah, rahasia, rahasia, rahasia, dan unclassified.
Dua informasi kebijakan model aliran: (a) terdiri dari keamanan kelas terisolasi di mana
tidak ada informasi yang mengalir di antara mereka dan (b) adalah urutan benar-
memerintahkan kelas keamanan di mana informasi mengalir ke atas saja.
9. 5.2.2 BELL-LAPADULA MODEL
Model BLP adalah model kisi terbatas di mana kelas keamanan
merupakan dua dimensi kerahasiaan: tingkat sensitivitas dan
kebutuhan-untuk-tahu. Tingkat sensitif data adalah total order
menunjukkan kerahasiaan terlepas dari jenis data. Dalam
model BLP, tingkat ini terdiri dari empat pemerintah kelas
keamanan yang disebutkan sebelumnya: rahasia, rahasia,
rahasia, dan unclassified. Namun, itu menemukan bahwa tidak
semua orang dengan keamanan kelas tertentu "perlu
mengetahui" semua informasi yang berlabel untuk model BLP
class.the mencakup seperangkat kategori yang menjelaskan
bidang-bidang topik untuk data, mendefinisikan kebutuhan-
untuk-mengetahui model BLP access.The memberikan tingkat
sensitivitas yang mendefinisikan tingkat kerahasiaan bahwa
subjek berwenang untuk, dan juga satu set kategori, yang
disebut kompartemen, untuk setiap subyek
dan objek.
10. Ini diagram Haase (dengan arah arus informasi ditambahkan dalam tepi) dari kebijakan Bell-
LaPadula yang terdiri dari dua tingkat sensitivitas (top-rahasia dan rahasia di mana rahasia
mendominasi) dan tiga kategori (Nuc, MIL, dan ST). Tepi menampilkan informasi mengalir disahkan
oleh model Bell-LaPadula untuk kisi ini.
11. 5.3 INFORMATION FLOW INTEGRITY MODELS
Sistem operasi yang aman terkadang termasuk
kebijakan yang secara eksplisit melindungi integritas
sistem. Perlindungan integritas lebih halus daripada
perlindungan kerahasiaan, namun. Integritas suatu
sistem sering digambarkan dalam istilah yang lebih
informal, seperti "berperilaku seperti yang
diharapkan." A umum pandangan praktis integritas
dalam komunitas keamanan adalah: proses dikatakan
integritas yang tinggi jika tidak tidak bergantung pada
setiap masukan integritas rendah.
12. 5.3.1 BIBA INTEGRITYMODEL
Berdasarkan pandangan ini, model aliran informasi
yang dikembangkan oleh Biba [27], sekarang disebut
Biba3.Setelah integritas Model Model Biba adalah
model kisi terbatas, seperti dijelaskan di atas, tetapi
model mendefinisikan properti untuk menegakkan
integritas arus informasi.
13. Untuk sistem yang memaksa baik kerahasiaan dan integritas tujuan, Biba dan Bell-LaPadula dapat
bersama-sama diterapkan. Subjek dan objek akan ditugaskan kedua kelas integritas Biba dan Bell-
LaPadula kelas kerahasiaan dari set seperti yang ditunjukkan.
14. 5.3.2 LOW-WATER MARK INTEGRITY
Sebuah pandangan alternatif dari integritas adalah
Low-Water Mark integritas atau model LOMAC [27,
101]. LOMAC berbeda dari Biba dalam integritas
subjek atau objek diatur sama dengan terendah
integritas kelas input. Misalnya, integritas subjek
dimulai di kelas integritas tertinggi, tetapi sebagai
kode, perpustakaan, dan data masukan, kelas
integritasnya turun ke kelas terendah dari salah satu
masukan.Demikian pula, kelas integritas file ini
ditentukan oleh kelas integritas terendah dari subjek
yang telah menulis data ke file.
15. 5.3.3 CLARK-WILSON INTEGRITY
Sepuluh tahun setelah model Biba, Clark andWilson
bertujuan untuk membawa integritas kembali ke
fokuspenegakan keamanan. Clark-Wilson
menetapkan bahwa integritas data yang tinggi, yang
disebut data yang terbatas item (CDIs), harus
divalidasi sebagai integritas tinggi oleh proses khusus,
yang disebut verifikasi integritas prosedur (IVPs), dan
hanya dapat dimodifikasi oleh proses integritas yang
tinggi, yang disebut transformasi prosedur (TPS).
16. 5.4 COVERT CHANNELS
Lampson mengidentifikasi masalah bahwa sistem mengandung
berbagai saluran komunikasi implisitdiaktifkan oleh akses ke
sumber daya fisik bersama [177, 189].
Misalnya, jika dua proses berbagi akses ke perangkat disk,
mereka dapat berkomunikasi dengan menguji keadaan
perangkat (misalnya, apakah itu penuh
atau tidak). Saluran ini sekarang disebut saluran rahasia karena
mereka tidak dimaksudkan tradisional untuk komunikasi.
Saluran tersebut hadir dalam hardware sistem yang paling
(misalnya, keyboard [284], disk [160], dll) dan seluruh jaringan
(misalnya, [110, 294, 338]).
Millen telah memberikan ringkasan
saluran rahasia dalam sistem keamanan bertingkat [212]. Dari
perspektif keamanan, masalahnya adalah bahwa mekanisme
komunikasi di luar kontrol monitor referensi.
17. 5.4.1 CHANNEL TYPES
Saluran Terselubung diklasifikasikan menjadi dua jenis:
penyimpanan dan waktu saluran. Sebuah saluran rahasia
penyimpanan membutuhkan dua proses berkomunikasi
untuk memiliki akses ke sumber daya fisik bersama yang
mungkin dimodifikasi oleh pihak pengirim dan dilihat
oleh pihak penerima
isalnya, perangkat bersama harddiskadalah contoh dari
saluran penyimpanan karena proses dapat memodifikasi
perangkat disk dengan menambahkan data ke disk.
Tindakan ini diamati oleh pihak lain dengan akses ke disk
ini karena isi harddisk dapat dikonsumsi.
18. 5.4.2 NON INTERFERENCE
Sebuah alternatif untuk mengendalikan saluran
rahasia adalah dengan menggunakan model yang
mengekspresikan input-output persyaratan dari suatu
sistem.
Model ini didasarkan pada gagasan noninterference
[113]. Secara intuitif, noninterference antara proses
mensyaratkan bahwa tindakan proses apapun tidak
berpengaruh pada apa pun Proses lain melihat.
19. Ringkasan
Kebijakan tersebut harus memberikan perlindungan keadaan wajib yang mendefinisikan
kerahasiaan yang diinginkan dan integritas perlindungan yang diperlukan.
label menyatakan bahwa aman menetapkan proses sistem dan sumber daya untuk
keamanan kelas, dan keadaan-keadaan transisi yang memastikan bahwa setiap perubahan
dalam proses atau kelas keamanan sumber daya juga aman.
Model ini mendefinisikan tujuan keamanan, pelabelan, dan transisi dalam hal informasi
aliran. Arus informasi menggambarkan bagaimana data dalam sistem bisa mengalir dari satu
hal ke hal lainnya.
Arus informasi adalah konservatif karena menunjukkan jalur aliran yang mungkin, tetapi ini
mungkin atau mungkin tidak benar-benar digunakan.
Abstraksi arus informasi bekerja cukup baik untuk kerahasiaan, setidaknya untuk sektor
pemerintah di mana versi arus informasi yang dipekerjakan sebelum komputerisasi.
Kerahasiaan didefinisikan dalam kisi terbatas kelas keamanan di mana kelas keamanan
menentukan yang berwenang untuk mengakses data. Hal ini telah dikodifikasi dalam model
Bell-LaPadula (BLP). Hanya subyek yang kelasnya mendominasi atau sama dengan yang dari
keamanan data dapat membacanya (simple-keamanan properti).
Untuk integritas, persyaratan arus informasi adalah reversed.This adalah karena kita
prihatin tentang proses integritas tinggi membaca data yang kurang dipercaya. Dengan
demikian, integritas sederhana-dan-integritas Sifat didefinisikan dengan arus sebaliknya.