Prinsip Dari Cyber Security

Prinsip ini menyatakan bahwa mekanisme Keamanan harus sesederhana dan sekecil mungkin. Prinsip Ekonomi mekanisme menyederhanakan desain dan implementasi mekanisme keamanan. Jika desain dan implementasinya sederhana dan kecil, kemungkinan kesalahan lebih kecil. Proses pengecekan dan pengujian tidak terlalu rumit sehingga lebih sedikit komponen yang perlu diuji.

Antarmuka antara modul keamanan adalah area tersangka yang harus sesederhana mungkin. Karena modul Antarmuka sering membuat asumsi implisit tentang parameter input atau output atau status sistem saat ini. Jika salah satu dari asumsi ini salah, tindakan modul dapat menghasilkan hasil yang tidak diharapkan. Kerangka keamanan sederhana memfasilitasi pemahamannya oleh pengembang dan pengguna dan memungkinkan pengembangan dan verifikasi metode penegakan yang efisien untuknya.

Prinsip default Fail-safe menyatakan bahwa konfigurasi default sistem harus memiliki skema perlindungan konservatif. Prinsip ini juga membatasi bagaimana hak diinisialisasi ketika subjek atau objek dibuat. Setiap kali akses, hak istimewa, atau beberapa atribut terkait keamanan tidak diberikan secara eksplisit, hak tidak boleh memberikan akses ke objek itu.

Contoh: Jika kita akan menambahkan pengguna baru ke sistem operasi, grup default pengguna harus memiliki lebih sedikit hak akses ke file dan layanan.

Prinsip ini menyatakan bahwa pengguna hanya boleh memiliki hak istimewa yang diperlukan untuk menyelesaikan tugasnya. Fungsi utamanya adalah untuk mengontrol pemberian hak yang diberikan kepada pengguna, bukan identitas pengguna. Pengguna berarti bahwa jika bos meminta akses root ke sistem UNIX yang Anda kelola, dia tidak boleh diberikan hak itu kecuali dia memiliki tugas yang memerlukan tingkat akses tersebut. Jika memungkinkan, hak yang lebih tinggi dari identitas pengguna harus dihapus segera setelah hak tersebut tidak lagi diperlukan.

Prinsip ini menyatakan bahwa keamanan suatu mekanisme tidak boleh bergantung pada kerahasiaan desain atau implementasinya. menunjukkan bahwa kompleksitas tidak menambah keamanan. Prinsip ini adalah kebalikan dari pendekatan yang dikenal sebagai "keamanan melalui ketidakjelasan." Prinsip ini tidak hanya berlaku untuk informasi seperti kata sandi atau sistem kriptografi, tetapi juga untuk operasi terkait keamanan komputer lainnya.

Contoh: Pemutar DVD & perlindungan Content Scrambling System (CSS). CSS adalah algoritma kriptografi yang melindungi disk film DVD dari penyalinan yang tidak sah.

Prinsip mediasi lengkap membatasi penyimpanan informasi, yang seringkali mengarah pada implementasi mekanisme yang lebih sederhana. Ide dari prinsip ini adalah bahwa akses ke setiap objek harus diperiksa kepatuhannya dengan skema perlindungan untuk memastikan bahwa mereka diizinkan. Akibatnya, harus ada teknik peningkatan kinerja yang menyimpan detail pemeriksaan otorisasi sebelumnya, karena izin dapat berubah seiring waktu.

Setiap kali seseorang mencoba mengakses suatu objek, sistem harus mengotentikasi hak akses yang terkait dengan subjek itu. Hak akses subjek diverifikasi sekali pada akses awal, dan untuk akses berikutnya, sistem mengasumsikan bahwa hak akses yang sama harus diterima untuk subjek dan objek tersebut. Sistem operasi harus memediasi semua dan setiap akses ke suatu objek.

Contoh: Situs web perbankan online harus mengharuskan pengguna untuk masuk lagi setelah periode tertentu seperti yang dapat kita katakan, dua puluh menit telah berlalu.

Prinsip ini menyatakan bahwa sistem harus memberikan izin akses berdasarkan lebih dari satu kondisi yang dipenuhi. Prinsip ini mungkin juga membatasi karena membatasi akses ke entitas sistem. Jadi sebelum hak istimewa diberikan lebih dari dua verifikasi harus dilakukan.

Contoh: Untuk su (mengubah) ke root, dua kondisi harus dipenuhi-

Prinsip ini menyatakan bahwa dalam sistem dengan banyak pengguna, mekanisme yang memungkinkan sumber daya bersama oleh lebih dari satu pengguna harus diminimalkan sebanyak mungkin. Prinsip ini mungkin juga membatasi karena membatasi pembagian sumber daya.

Contoh: Jika ada kebutuhan untuk mengakses file atau aplikasi oleh lebih dari satu pengguna, maka pengguna ini harus menggunakan saluran terpisah untuk mengakses sumber daya ini, yang membantu mencegah konsekuensi tak terduga yang dapat menyebabkan masalah keamanan.

Prinsip ini menyatakan bahwa mekanisme keamanan tidak boleh membuat sumber daya lebih rumit untuk diakses jika mekanisme keamanan tidak ada. Prinsip penerimaan psikologis mengakui unsur manusia dalam keamanan komputer. Jika perangkat lunak atau sistem komputer yang terkait dengan keamanan terlalu rumit untuk dikonfigurasi, dipelihara, atau dioperasikan, pengguna tidak akan menggunakan mekanisme keamanan yang diperlukan. Misalnya, jika kata sandi cocok selama proses perubahan kata sandi, program perubahan kata sandi harus menyatakan mengapa itu ditolak daripada memberikan pesan kesalahan samar. Pada saat yang sama, aplikasi tidak boleh memberikan informasi yang tidak perlu yang dapat menyebabkan kompromi dalam keamanan.

Contoh: Saat kami memasukkan kata sandi yang salah, sistem hanya akan memberi tahu kami bahwa id pengguna atau kata sandi salah. Seharusnya tidak memberi tahu kami bahwa hanya kata sandi yang salah karena ini memberikan informasi penyerang.

Prinsip ini menyatakan bahwa biaya untuk menghindari mekanisme keamanan harus dibandingkan dengan sumber daya penyerang potensial saat merancang skema keamanan. Dalam beberapa kasus, biaya untuk menghindari ("dikenal sebagai faktor kerja") dapat dengan mudah dihitung. Dengan kata lain, faktor kerja adalah ukuran kriptografi umum yang digunakan untuk menentukan kekuatan cipher yang diberikan. Itu tidak memetakan langsung ke Cyber Security, tetapi konsep keseluruhannya berlaku.

Contoh: Misalkan jumlah percobaan yang diperlukan untuk mencoba semua kemungkinan kata sandi empat karakter adalah 24 4 = 331776. Jika penyerang potensial harus mencoba setiap kata sandi eksperimental di terminal, orang mungkin menganggap kata sandi empat karakter sudah cukup. Di sisi lain, jika penyerang potensial dapat menggunakan komputer astronomi yang mampu mencoba sejuta kata sandi per detik, kata sandi empat huruf akan menjadi penghalang kecil bagi penyusup potensial.

Prinsip Perekaman Kompromi menyatakan bahwa terkadang lebih diinginkan untuk merekam detail intrusi daripada mengadopsi tindakan yang lebih canggih untuk mencegahnya.

Contoh: Server di jaringan kantor dapat menyimpan log untuk semua akses ke file, semua email yang dikirim dan diterima, dan semua sesi penelusuran di web. Contoh lain adalah bahwa kamera pengintai yang terhubung ke Internet adalah contoh tipikal dari sistem perekaman kompromi yang dapat ditempatkan untuk melindungi sebuah bangunan.