Dalam bab ini, kita memeriksa model kontrol akses yang memenuhi sistem perlindungan wajib, yang sudah di pelajari di Bab 2. Sebuah sistem perlindungan wajib memberikan gambaran tentang tamperproof sistem kontrol akses kebijakan. Sebuah sistem perlindungan wajib yang terdiri dari: (1) keadaan perlindungan yang mendefinisikan operasi yang tetap, set label subjek dapat melakukan pada satu set tetap objek label, (2) sebuah keadaan pelabelan bahwa proses sistem peta dan sumber daya untuk subjek dan objek label masing” dan (3) sebuah keadaan transisi yang mendefinisikan cara-cara hukum bahwa sistem proses dan sumber daya dapat ditugaskan untuk label baru. Dengan demikian, mereka mengelola hak akses bahwa semua proses sistem akan pernah diperoleh.

5.1 INFORMASI ARUSSistem operasi aman menggunakan arus informasi

sebagai dasar untuk menentukan kerahasiaan dan keamanan integritas persyaratan. Secara konseptual, arus informasi cukup sederhana.

Sebuah arus informasi terjadi antara subjek s S dan ∈obyek o O jika subjek melakukan operasi membaca ∈atau menulis pada objek. Arus informasi s o adalah →dari subjek ke objek jika subjek menulis ke objek. Arus informasi s o adalah dari objek ke subjek jika ←subjek membaca dari objek.

Arus informasi merupakan cara memindahkan data antara subyek dan obyek dalam sebuah system. Ketika subjek (misalnya, proses) membaca dari sebuah objek (misalnya, file), data dari objek mengalir ke subjek memori. Jika ada rahasia dalam objek, maka arus informasi menunjukkan bahwa rahasia dapat mengalir ke subjek ketika subjek membaca objek. Namun, jika subjek memegang rahasia, maka arus informasi juga dapat menunjukkan bahwa subjek dapat bocor rahasia-rahasia jika subjek menulis ke objek. Perhatikan bahwa setiap operasi pada objek bisa berupa aliran informasi read (yaitu, ekstrak datadari objek), arus informasi menulis (yaitu, update objek dengan data baru), atau kombinasi dari keduanya. Misalnya, mengeksekusi membaca data dari sebuah file untuk mempersiapkan untuk eksekusi, sehingga proses

Contoh 5.3. Perhatikan matriks akses yang ditunjukkan pada Gambar 5.1. Ini mendefinisikan seperangkat operasi yang subyek S1, S2, dan S3 dapat melakukan pada objek O1 dan O2.Note bahwa beberapa operasi, seperti append, getattr, dan ioctl harus dipetakan ke arus resultan informasi mereka, menulis, membaca, dan kedua, masing-masing. Akibatnya, matriks ini merupakan akses arus informasi yang sesuai Grafik yang ditampilkan pada Gambar 5.1.

Arus informasi grafik di sebelah kanan mewakili arus informasi yang dijelaskan oleh matriks kontrol akses di sebelah kiri.

5.2 INFORMATION FLOWSECRECY MODELSUntuk kerahasiaan arus informasi, kami ingin

memastikan bahwa tidak peduli program yang pengguna jalankan, dia tidak dapat membocorkan informasi kepada subjek yang tidak sah. Masalah klasik adalah bahwa pengguna mungkin dipaksa menjalankan program yang berisi malware yang aktif ingin membocorkan informasi itu. Sebagai contoh, sebuah Trojan horse adalah jenis malware yang menyamar sebagai program yang sah, namun mengandung komponen berbahaya yang mencoba untuk membocorkan data ke penyerang.

5.2.1 Denning LATTICE MODELDenning halus grafik arus informasi umum untuk

mengekspresikan kebutuhan arus informasi kerahasiaan [70, 271] didasarkan sebagian pada karya Fenton [93].

Dalam model arus informasi, masing-masing subjek dan objek diberikan sebuah keamanan kelas. Aman kelas adalah label dalam sistem perlindungan wajib didefinisikan dalam Definisi 2.4, dan kedua subjek dan objek dapat berbagi kelas keamanan

Gambar 5.2 menunjukkan dua kebijakan arus informasi model. Dalam (a), kebijakan ini isolasi pengguna u1, u2, u3, ..., ui dengan memberikan mereka untuk kelas keamanan yang berbeda. Setiap data dalam keamanan kelas ui tidak dapat dibaca atau ditulis oleh proses yang berjalan dengan keamanan kelas uj mana i = j. Gambar 5.2 (b) menunjukkan kebijakan arus informasi model yang benar-benar kelas keamanan perintah, seperti bahwa data di kelas yang lebih tinggi tidak akan bocor ke keamanan kelas yang lebih rendah. Kelas-kelas keamanan merupakan kelas kerahasiaan tradisional pemerintah, rahasia, rahasia, rahasia, dan unclassified.

Dua informasi kebijakan model aliran: (a) terdiri dari keamanan kelas terisolasi di mana tidak ada informasi yang mengalir di antara mereka dan (b) adalah urutan benar-memerintahkan kelas keamanan di mana informasi mengalir ke atas saja.

5.2.2 BELL-LAPADULA MODELModel BLP adalah model kisi terbatas di mana kelas keamanan

merupakan dua dimensi kerahasiaan: tingkat sensitivitas dan kebutuhan-untuk-tahu. Tingkat sensitif data adalah total order menunjukkan kerahasiaan terlepas dari jenis data. Dalam model BLP, tingkat ini terdiri dari empat pemerintah kelas keamanan yang disebutkan sebelumnya: rahasia, rahasia, rahasia, dan unclassified. Namun, itu menemukan bahwa tidak semua orang dengan keamanan kelas tertentu "perlu mengetahui" semua informasi yang berlabel untuk model BLP class.the mencakup seperangkat kategori yang menjelaskan bidang-bidang topik untuk data, mendefinisikan kebutuhan-untuk-mengetahui model BLP access.The memberikan tingkat sensitivitas yang mendefinisikan tingkat kerahasiaan bahwa subjek berwenang untuk, dan juga satu set kategori, yang disebut kompartemen, untuk setiap subyekdan objek.

Ini diagram Haase (dengan arah arus informasi ditambahkan dalam tepi) dari kebijakan Bell-LaPadula yang terdiri dari dua tingkat sensitivitas (top-rahasia dan rahasia di mana rahasia mendominasi) dan tiga kategori (Nuc, MIL, dan ST). Tepi menampilkan informasi mengalir disahkan oleh model Bell-LaPadula untuk kisi ini.

5.3 INFORMATION FLOW INTEGRITY MODELSSistem operasi yang aman terkadang termasuk

kebijakan yang secara eksplisit melindungi integritas sistem. Perlindungan integritas lebih halus daripada perlindungan kerahasiaan, namun. Integritas suatu sistem sering digambarkan dalam istilah yang lebih informal, seperti "berperilaku seperti yang diharapkan." A umum pandangan praktis integritas dalam komunitas keamanan adalah: proses dikatakan integritas yang tinggi jika tidak tidak bergantung pada setiap masukan integritas rendah.

5.3.1 BIBA INTEGRITYMODELBerdasarkan pandangan ini, model aliran informasi

yang dikembangkan oleh Biba [27], sekarang disebut Biba3.Setelah integritas Model Model Biba adalah model kisi terbatas, seperti dijelaskan di atas, tetapi model mendefinisikan properti untuk menegakkan integritas arus informasi.

Untuk sistem yang memaksa baik kerahasiaan dan integritas tujuan, Biba dan Bell-LaPadula dapat bersama-sama diterapkan. Subjek dan objek akan ditugaskan kedua kelas integritas Biba dan Bell-LaPadula kelas kerahasiaan dari set seperti yang ditunjukkan.

5.3.2 LOW-WATER MARK INTEGRITYSebuah pandangan alternatif dari integritas adalah

Low-Water Mark integritas atau model LOMAC [27, 101]. LOMAC berbeda dari Biba dalam integritas subjek atau objek diatur sama dengan terendah integritas kelas input. Misalnya, integritas subjek dimulai di kelas integritas tertinggi, tetapi sebagai kode, perpustakaan, dan data masukan, kelas integritasnya turun ke kelas terendah dari salah satu masukan.Demikian pula, kelas integritas file ini ditentukan oleh kelas integritas terendah dari subjek yang telah menulis data ke file.

5.3.3 CLARK-WILSON INTEGRITYSepuluh tahun setelah model Biba, Clark andWilson

bertujuan untuk membawa integritas kembali ke fokuspenegakan keamanan. Clark-Wilson menetapkan bahwa integritas data yang tinggi, yang disebut data yang terbatas item (CDIs), harus divalidasi sebagai integritas tinggi oleh proses khusus, yang disebut verifikasi integritas prosedur (IVPs), dan hanya dapat dimodifikasi oleh proses integritas yang tinggi, yang disebut transformasi prosedur (TPS).

5.4 COVERT CHANNELSLampson mengidentifikasi masalah bahwa sistem mengandung

berbagai saluran komunikasi implisitdiaktifkan oleh akses ke sumber daya fisik bersama [177, 189].

Misalnya, jika dua proses berbagi akses ke perangkat disk, mereka dapat berkomunikasi dengan menguji keadaan perangkat (misalnya, apakah itu penuhatau tidak). Saluran ini sekarang disebut saluran rahasia karena mereka tidak dimaksudkan tradisional untuk komunikasi. Saluran tersebut hadir dalam hardware sistem yang paling (misalnya, keyboard [284], disk [160], dll) dan seluruh jaringan (misalnya, [110, 294, 338]).

Millen telah memberikan ringkasansaluran rahasia dalam sistem keamanan bertingkat [212]. Dari perspektif keamanan, masalahnya adalah bahwa mekanisme komunikasi di luar kontrol monitor referensi.

5.4.1 CHANNEL TYPES

Saluran Terselubung diklasifikasikan menjadi dua jenis: penyimpanan dan waktu saluran. Sebuah saluran rahasia penyimpanan membutuhkan dua proses berkomunikasi untuk memiliki akses ke sumber daya fisik bersama yang mungkin dimodifikasi oleh pihak pengirim dan dilihat oleh pihak penerima

isalnya, perangkat bersama harddiskadalah contoh dari saluran penyimpanan karena proses dapat memodifikasi perangkat disk dengan menambahkan data ke disk. Tindakan ini diamati oleh pihak lain dengan akses ke disk ini karena isi harddisk dapat dikonsumsi.

5.4.2 NON INTERFERENCE

Sebuah alternatif untuk mengendalikan saluran rahasia adalah dengan menggunakan model yang mengekspresikan input-output persyaratan dari suatu sistem.

Model ini didasarkan pada gagasan noninterference [113]. Secara intuitif, noninterference antara proses mensyaratkan bahwa tindakan proses apapun tidak berpengaruh pada apa pun Proses lain melihat.

Ringkasan Kebijakan tersebut harus memberikan perlindungan keadaan wajib yang mendefinisikan

kerahasiaan yang diinginkan dan integritas perlindungan yang diperlukan. label menyatakan bahwa aman menetapkan proses sistem dan sumber daya untuk

keamanan kelas, dan keadaan-keadaan transisi yang memastikan bahwa setiap perubahan dalam proses atau kelas keamanan sumber daya juga aman.

Model ini mendefinisikan tujuan keamanan, pelabelan, dan transisi dalam hal informasi aliran. Arus informasi menggambarkan bagaimana data dalam sistem bisa mengalir dari satu hal ke hal lainnya.

Arus informasi adalah konservatif karena menunjukkan jalur aliran yang mungkin, tetapi ini mungkin atau mungkin tidak benar-benar digunakan.

Abstraksi arus informasi bekerja cukup baik untuk kerahasiaan, setidaknya untuk sektor pemerintah di mana versi arus informasi yang dipekerjakan sebelum komputerisasi.

Kerahasiaan didefinisikan dalam kisi terbatas kelas keamanan di mana kelas keamanan menentukan yang berwenang untuk mengakses data. Hal ini telah dikodifikasi dalam model Bell-LaPadula (BLP). Hanya subyek yang kelasnya mendominasi atau sama dengan yang dari keamanan data dapat membacanya (simple-keamanan properti).

Untuk integritas, persyaratan arus informasi adalah reversed.This adalah karena kita prihatin tentang proses integritas tinggi membaca data yang kurang dipercaya. Dengan demikian, integritas sederhana-dan-integritas Sifat didefinisikan dengan arus sebaliknya.