Security Models - CISSP (Domain 3)

Security Model

A. Bell-Lapadula Model (Confidentiality-Kerahasiaan)

Simple Properties : No read up. Tidak boleh melihat/membaca data ke level yg lebih tinggi.

Star Properties (*) : No write down. Tidak boleh menulis ke level yg lebih rendah.

Bell Lapadula dan Biba digunakan untuk militer secara umum

Klasifikasi asset : Top Secret, Secret, Confidential, Unclassified

Contoh : 

Seseorang di level Secret (Mayor) tidak boleh membaca data di level top secret (Jenderal). Dan seseorang di level secret (atau level nya) tidak boleh menulis ke level yg Confidential (atau lebih rendah), karena sama dengan membocorkan informasi ke level bawah.

B. Biba Model (Integrity - Integritas)

Simple Properties : No read down. Tidak boleh melihat/membaca ke level yg lebih tinggi.

Star Properties (*) : No write up. Tidak boleh menulis data, ke level yg lebih tinggi.

Contoh : 

1. Seseorang di level Secret (Mayor) tidak boleh membaca data di level bawah (Confidential), karena dapat mempengaruhi keputusannya.

2. Orang yg mendapatkan akses pada document yg sudah divalidasi, agar tidak membaca dokumen yg tidak tervalidasi. Untuk menjaga integritas data yg memang sudah comply dan tidak terkontaminasi pada data yg tidak tervalidasi.

3. Keuangan

Objek:

• Laporan Keuangan (tingkat tinggi).
• Data transaksi (tingkat menengah).

• Staf akuntansi (integritas menengah) hanya dapat membaca data transaksi (menengah) dan informasi umum (rendah), tetapi tidak dapat membaca laporan keuangan (tinggi).
• Mereka hanya dapat menulis pada data transaksi (menengah), tidak ke laporan keuangan (tinggi).

Properties pada Bell Lapadula dan Biba selalu ada 2 ;

Simple    => selalu read

Star         => selalu write

C. Clark Wilson Model

Subject hanya dapat mengakses object melalui perantara, misal interface. Jadi tidak secara langsung.

Terdiri 3 komponen : Client, Interface, Object

Model keamanan yang berfokus pada integritas data komersial dan pencegahan aktivitas tidak sah dengan menggunakan kontrol akses yang ketat. Model ini sering digunakan dalam konteks bisnis, seperti pengelolaan sistem keuangan atau database perusahaan.

Konsep Utama Clark-Wilson Model

1. Well-Formed Transactions

   • Transaksi harus dirancang dengan baik untuk memastikan integritas data tetap terjaga.
   • Transaksi ini dilakukan melalui prosedur terkontrol yang hanya dapat diakses oleh pengguna yang berwenang.

2. Separation of Duties (SoD)

   • Tugas harus dipisahkan untuk mencegah individu tunggal memiliki kendali penuh atas sistem kritis.
   • Misalnya, orang yang membuat pesanan pembelian tidak boleh memproses pembayaran.

3. Enforcement Rules

   • Sistem menggunakan kontrol yang kuat seperti Integrity Verification Procedures (IVP) dan Transformation Procedures (TP):
     • IVP: Memastikan data dalam keadaan konsisten.
     • TP: Mengontrol bagaimana data diubah untuk menjaga integritas.

4. Constrained Data Items (CDI)

   • Data sensitif yang memerlukan kontrol khusus agar hanya diakses melalui prosedur tertentu.

5. Unconstrained Data Items (UDI)

• Data non-sensitif yang tidak memerlukan kontrol ketat.

D. Brew and Nash Model

Mencegah konflik dan kepentingan. 

dikenal sebagai Chinese Wall Model, adalah model keamanan yang dirancang untuk mencegah konflik kepentingan dalam pengelolaan data. Model ini sering digunakan di industri yang sangat teregulasi seperti keuangan, hukum, atau konsultasi, di mana seorang individu tidak boleh memiliki akses ke data yang dapat menyebabkan konflik kepentingan.

Contoh :

1. Firma Konsultan

• Konteks: Konsultan bekerja dengan dua perusahaan pesaing, Perusahaan A dan Perusahaan B.
• Aturan:
  • Jika konsultan bekerja pada proyek Perusahaan A, mereka tidak boleh mengakses informasi atau bekerja untuk Perusahaan B untuk mencegah konflik kepentingan.
  • Semua akses ke informasi proyek diatur dalam sistem kontrol yang memastikan pemisahan ini

2. Bank Investasi

• Konteks: Departemen analisis investasi dan departemen perdagangan saham harus dipisahkan karena potensi konflik kepentingan.
• Aturan:
• Jika seorang analis investasi memiliki akses ke informasi rahasia klien, mereka tidak boleh mengakses informasi perdagangan saham untuk mencegah insider trading.

E. Gougen-Meseguer Model (Integrity)

Mencegah pengaruh dari domain lain.

User/group pada suatu domain, tidak akan memperngaruhi domain lain.

F. Sutherland Model (Integrity)

Mencegah pengaruh (saluran tersembunyi/covert channel) yg dapat mempengaruhi proses output suatu aktifitas.

Model keamanan yang berfokus pada integritas data dengan memastikan bahwa operasi sistem tidak menyebabkan pelanggaran integritas. Model ini menggunakan prinsip matematika formal untuk mengontrol bagaimana informasi mengalir di dalam suatu sistem. Model ini sering digunakan dalam sistem di mana integritas sangat penting, seperti aplikasi ilmiah atau sistem keuangan.

UDI = Unconstrain Data Item (Data yg tidak sensitif)

CDI = Contrain Data Item (Data sensitif)

Contoh :

1. Sistem Inventaris Gudang

• Konteks: Pengelolaan stok barang dalam gudang.
• Aturan:
  • Barang tidak boleh dikurangi melebihi jumlah stok yang tersedia.
• Penerapan:
• Model ini memastikan bahwa setiap pengurangan stok dilakukan setelah validasi jumlah barang, menjaga konsistensi data inventaris.
• 
  

2.  Sistem Perbankan

• Konteks: Transaksi perbankan harus memastikan integritas saldo rekening nasabah.
• Aturan:
  • Operasi hanya boleh dilakukan jika saldo rekening mencukupi.
  • Saldo rekening tidak boleh memiliki nilai negatif.
• Penerapan:
  • Model ini memastikan bahwa operasi penarikan dan penyetoran dilakukan melalui prosedur yang divalidasi, mencegah nilai saldo yang tidak valid.

    Jadi memastikan terlebih dahulu saldo terakhir sebelum melakukan aktifitas rekening nasabah.

F. Graham Denning Model (Pembuatan / Penghapusan Hak Akses)

Model ini memfokuskan pada bagaimana subjek, objek, dan hak akses dikelola dengan aman untuk mencegah akses yang tidak sah.

Delapan Operasi dalam Graham-Denning Model

Model ini mendefinisikan delapan operasi utama yang dapat dilakukan untuk mengelola hak akses:

1. Create Object

   • Membuat objek baru (misalnya, file baru) dengan hak akses awal.

2. Create Subject

   • Membuat subjek baru (misalnya, pengguna baru) dengan hak akses awal.

3. Delete Object

   • Menghapus objek dari sistem.

4. Delete Subject

   • Menghapus subjek dari sistem.

5. Read Access Right

   • Mengizinkan subjek untuk membaca hak akses dari objek tertentu.

6. Grant Access Right

   • Memberikan hak akses kepada subjek lain.

7. Delete Access Right

   • Menghapus hak akses tertentu dari subjek.

8. Transfer Access Right

   • Memindahkan hak akses dari satu subjek ke subjek lain.

---

Contoh 

1. Sistem Operasi

• Konteks: Manajemen file pada sistem operasi.
• Contoh Operasi:
  • Create Object: Pengguna membuat file baru.
  • Grant Access Right: Pemilik file memberikan hak baca kepada pengguna lain.
  • Delete Access Right: Pemilik file mencabut hak tulis pengguna lain.

2. Sistem Manajemen Basis Data

• Konteks: Akses ke tabel database.
• Contoh Operasi:
• Create Subject: Administrator menambahkan pengguna baru ke sistem database.
• Grant Access Right: Administrator memberikan hak akses SELECT kepada pengguna untuk tabel tertentu.
• Transfer Access Right: Pengguna dengan hak "GRANT OPTION" memberikan hak SELECT kepada pengguna lain.

G. Harrison Ruzzo Ullman Model (matrix) 

Hak akses dari Subject terhadap Object dalam bentuk matrix.

Subjek/Objek	File A	File B	File C	Subjek 2
Subjek 1	read, write	read	-	grant
Subjek 2	-	read, write	execute	-
Subjek 3	read	-	read, execute	-