ACCES CONTROL AUTHENTICATION

-


Access control merupakan kumpulan dari metode dan komponen yang dipergunakan untuk asset informasi. Access control memberikan kemampuan untuk mendikte mana informasi yang bisa dilihat atau dimodifikasi oleh user. 

Adapun yang dipersiapkan dalam perencanaan access control yaitu:

·       Bagaimana caranya membedakan mana informasi yang rahasia atau tidak?

·       Metode apakah yang harus kita ambil untuk mengidentifikasi user yang meminta akses ke informasi yang rahasia?

·       Apa cara terbaik untuk memastikan bahwa memang user yang berhak yang akan mengakses informasi yang rahasia?

  •  Least privilege

Least privilege membantu menghindari authorization creep, yaitu sebuah kondisi dimana sebuah subyek memiliki hak akses lebih dari apa sebenarnya dibutuhkan.

  • Subjek dan objek

Subyek merupakan entitas yang aktif karena menginisiasi sebuah permintaan akses, sedangkan objek dari akses merupakan bagian yang pasif dari akses.

  •   Mendatory acces control (MAC)

Control akses didasarkan pada system pelabelan keamanan. Pengguna subyek memiliki izin keamanan dan obyek memiliki label keamanan yang berisi klarifikasi data. Model ini dugunakan dalam lingkungan di mana klasifikasi informasi dan kerahasiaan sangat penting.

  • Goal of MAC

1.     Menjaga kerahasiaan dan integritas informasi

2.     Mencegah beberapa jenis serangan trojan

3.     Mencegah bahwa pengguna dapat mengubah atribut keamanan

  • Directional access control

Control mempergunakan identitas dari subyek untuk menentukan apakah permintaan akses tersebut akan dipenuhi atau ditolak. Setiap obyek memiliki permission, yang menentukan user atau group yang bisa melakukan akses terhadap obyek.

  • Identity-based access control

Merupakan keputusan untuk akses terhadap obyek berdasarkan user id atau keanggotaan group dari user yang bersangkutan. Pemilik dari obyek yang menentukan user atau group yang mana yang bisa melakukan akses terhadap obyek.

  • Access control list (ACL)

Untuk memudahkan administrasi access control list(ACLs) mengijinkan groups dari, atau groups dari subyek untuk dikontrol bersama-sama. Acces control lists dapat memberikan hak akses terhadap group dari subyek atau memberikan hak kepada akses group dari subyek kepada obyek tertentu.

  •  Non-discreationary access control

Non-discreationary access control disebut juga roled-based acces control atau task base access control. Dapat dipakai pada kasus high turnover atau reassignment.

  •  Access control administration

Merupakan langkah setelah desain akses control dan dapat diimplementasikan secara centralized atau decentralized tergantung kebutuhan dari organisasi dan sentivities informasi.

  •  Centralized access control

Pendekatan yang sangat mudah karena obyek hanya dipelihara pada lokasi yang tunggal. Contohnya : radius dan chap

  • Decentralized access control

Control yang meletakan tanggung jawab dari lebih dekat terhadap obyek, sehingga lebih stabil. Diimplementasikan memakai security domain. Security domain sendiri merupakan bagian sebuah kepercayaan, atau koleksi dari obyek dan subyek, yang mendefinisikan access rule dan permisions.

  •  Accountability

Accountability berkaitan erat dengan instrument untuk kegiatan control terutama dalam hal pencapaian hasil dengan membuat log dari aktivitas pengontrolan atau system audit membantu administrasi. Log aktif ini memudahkan administrasi system untuk memonitor siapa saja yang memakai system dan apa yang dilakukannya.

  • Access control models

Access control model memungkinkan untuk memilih kebijakan keamanan yang kompleks menjadi langkah kemanan yang lebih sederhana dan terkontrol.

  • Autentikasi

Merupakan metode untuk menyatakan bahwa informasi betul-betul asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud. Teknik autentikasi adalah prosedur yang digunakan untuk membuktikan keaslian pesan (message integrity), Keaslian identitas pengirim (user authentication), dan pengirim tidak dapat menyangkal isi pesan (non- repudation.

  •  Elemen Autentikasi

·       Yang di autentikasi à person/group/code/system

·       Tingkat perbedaan entitas yang di-autentikasi à Distinguishing characteristic : KArakteristik yang membedakan penipuan computer adalah bahwa pelaku mengakses atau menggunakan computer dengan maksud untuk menjalankan skema penipuan.

·       Penanggung jawab system à Operator/ system owner/ administrator

·       Authrentication mechanism : hak akses à Access control mechanism 

  •  Faktor-Faktor Autentikasi

·       Something you know  : Password, PIN ATM, nomor kunci

·       Something you have   : Peralatan fisik : kartu ATM, KTM, Smart card, kunci kamar

·       Something you are      : Biometric : mata, tangan, sidik jari, suara

·       Something you do       : Lokasi : GPS


 

Komentar

Posting Komentar

Postingan populer dari blog ini

MALWARE

-
Gambar
  Malware berasal dari singkatan Malicious Software yang berarti malicious “berniat jahat” dan software “perangkat lunak”. Jadi Malware adalah perangkat lunak yang dibuat dengan tujuan memasuki dan terkadang merusak sistem komputer, jaringan, atau server tanpa diketahui oleh pemiliknya. Tujuannya tentu untuk merusak atau mencuri data dari perangkat yang dimasuki. Tidak hanya dapat merusak sebuah perangkat,malware juga dapat menjadi backdoor untuk masuk ke website. Jika memiliki website, maka berpotensi diretas oleh hacker menggunakan malware dan jika malware tersebut muncul, maka data dalam website dapat dicuri dan dijual ke pihak lain. Maka dari itu, pentingnya kita untuk melindungi perangkat atau website dari malware dengan menginstal antivirus dan memperketat keamanan sistem pada perangkat. Jenis - Jenis Malware Ada beberapa jenis atau tipe dari malware, diantaranya : 1. Virus Jenis pertama adalah virus, dimana termasuk dalam perangkat lunak berbahaya yang melekat pada sebuah do...
Baca selengkapnya

RISK MANAGEMENT

-
Gambar
Risk management  adalah proses mengidentifikasi dan mengontrol ancaman atau resiko yang dihadapi dalam sebuah organisasi. Ancaman atau resiko ini dapat berasal dari berbagai sumber, termasuk ketidakpastian keuangan, kewajiban hukum, kesalahan manajemen strategis, kecelakaan dan bencana alam.  Risk management dibagi menjadi 3 tahapan yaitu : 1. Risk identification (mengidentifikasi resiko) :   Identify,Inventory & categorize Assets classify,Values, & Prioritize Assets Identify & Prioritize threats Specify Assets Vulnerabilities 2. Risk assesmen (penilaian resiko) :  Determine loss frequency (likelihood) Evaluate loss magnitude (impact) Calculate risk Assess risk acceptability 3. Risk control (pengontrolan resiko) : Select control strategies Justify controls Implement,Monitor, & access controls 3 Hal dalam Management Resiko Know yourself : Memahami teknologi dan sistem dalam organisasi yang kita kelola. Know the enemy : lakukan identifika...
Baca selengkapnya