10 Prinsip Desain Keamanan Sistem Komputer

Masalah dalam menciptakan sistem komputer yang aman telah membebani para insinyur perangkat keras dan perangkat lunak serta akademisi selama beberapa dekade. Pada tahun 1975, dua ilmuwan komputer, Jerome Saltzer dan Michael Schroeder, menerbitkan sebuah artikel berjudul “Perlindungan informasi dalam keamanan komputer”, yang telah dianggap sebagai tolok ukur untuk keamanan sistem komputer. Berikut adalah 10 prinsip desain keamanan sistem komputer yang dibahas oleh Saltzer dan Schroeder.

Ekonomi Mekanisme

Prinsip ekonomi mekanisme menekankan pada kesederhanaan untuk meningkatkan keamanan dan kemudahan pengelolaan. Komponen dan desain sederhana dapat ditentukan secara ketat, diimplementasikan, diuji, dan dipelihara, yang berlaku untuk komponen keamanan serta komponen umum lainnya. Namun, sistem saat ini biasanya kompleks, memiliki banyak komponen, dan terkadang didistribusikan secara luas, sehingga ekonomi mekanisme sulit dicapai.

Salah satu perluasan dari ekonomi mekanisme adalah “modularitas”, di mana kita membuat fungsi keamanan sebagai modul terlindungi terpisah yang dapat disediakan dan digunakan sebagai komponen yang aman, seperti modul trusted cryptography. Perluasan lain dari prinsip ini adalah penggunaan “enkapsulasi”. Yaitu membuat subsistem terlindungi yang memiliki batas yang terdefinisi dengan baik untuk mengontrol akses yang dapat memberikan jaminan tertentu.

Pengaturan Fail-safe

Ini mengacu pada akses sumber daya. Secara default, kita harus mengakses sumber daya berdasarkan perolehan izin (melalui kontrol akses, yaitu otorisasi). Opsi aman gagal adalah untuk menolak akses ke sumber daya jika suatu entitas (pengguna, proses) tidak diautentikasi dan diotorisasi. Jika terjadi kesalahan, kita harus memastikan sistem gagal, sehingga akses ditolak.

Mitigasi Lengkap

Setiap akses ke sumber daya harus diperiksa sebelum akses diberikan (kontrol akses). Namun, prinsip ini dapat sangat memakan sumber daya. Oleh karena itu kita biasanya mungkin tidak menyediakan mitigasi lengkap. Misalnya, jika kita membuka file untuk diedit, kita biasanya tidak memeriksa setiap akses read atau write. Namun, meskipun sistem operasi tidak memeriksa setiap akses read dan write, aplikasi mungkin memiliki kontrol yang lebih baik. Contohnya, dalam dokumen Microsoft Word, kita dapat mengatur bagian-bagian dari dokumen sehingga tidak dapat diubah. Dalam evolusinya, prinsip ini nampaknya sulit diterapkan dalam desain keamanan komputer saat ini.

Desain Terbuka

Ini merupakan perluasan dari prinsip Kerckhoff (yang mengidentifikasi bahwa kunci kriptografi adalah sumber daya utama yang harus dirahasiakan dalam suatu sistem; secara efektif, kita harus berasumsi bahwa musuh dapat menentukan desain suatu sistem tertutup dengan melakukan reverse engineering). Desain terbuka memungkinkan peninjauan desain dan implementasi, sehingga terdapat argumen untuk kepercayaan yang lebih tinggi pada sistem terbuka. NIST menjalankan kompetisi terbuka untuk menemukan algoritma kriptografi terbaru sebagai contoh.

Pemisahan Hak Akses

Pemisahan Hak Akses adalah prinsip keamanan yang bertujuan untuk membatasi risiko akses tidak sah dengan membagi kebutuhan akses ke dalam beberapa komponen. Contohnya dalam proses bisnis, di mana satu orang dapat mengajukan pesanan, orang lain dapat menyetujui pesanan tersebut. Sistem menyediakan beberapa tingkat hak akses. Tugas operasional tingkat bawah diberi hak akses rendah, tetapi tugas atau sumber daya pengambilan keputusan atau tugas tertentu memerlukan otentikasi dan otorisasi dengan akses tingkat tinggi.

Least Privilege

Prinsip ini menekankan bahwa pengguna hanya boleh memiliki hak akses yang benar-benar diperlukan untuk menjalankan tugasnya. Setiap tindakan atau proses pengguna harus beroperasi dengan menggunakan set hak istimewa seminimal mungkin, untuk dapat melakukan tugas tersebut. Hal ini mengarah pada mekanisme yang disebut ‘kontrol akses berbasis peran’ (Role Based Access Control). Mekanisme ini memungkinkan pengguna untuk memiliki peran yang berbeda dengan hak akses yang berbeda pula. Misalnya, seorang administrator memiliki hak akses yang lebih tinggi dibandingkan dengan pengguna biasa.

Least Common Mechanism

Prinsip least common mechanism atau “mekanisme paling tidak umum” menekankan pentingnya untuk meminimalkan fungsi atau komponen yang digunakan bersama oleh berbagai pengguna dan proses dalam sistem komputer. Hal ini bertujuan untuk meningkatkan keamanan dengan mengurangi kemungkinan terjadinya interaksi yang tidak diinginkan atau penyalahgunaan akses oleh pengguna lain atau entitas eksternal. Meskipun konsep ini awalnya lebih relevan dalam lingkungan multi-pengguna yang lebih terpusat, prinsip ini tetap penting dalam era komputer pribadi dan sistem cloud modern, terutama dalam konteks keamanan data dan privasi pengguna.

Diterima Secara Psikologi

Mekanisme keamanan tidak boleh mengganggu secara berlebihan pekerjaan pengguna. Namun, kita juga harus memastikan bahwa mekanisme tersebut memenuhi kebutuhan keamanan individu atau bisnis. Idealnya, mekanisme keamanan harus transparan bagi pengguna, atau memiliki dampak minimal sehingga pengguna tidak terbebani atau terhalang. Sebab, jika mekanisme tersebut dianggap sebagai penghalang, pengguna mungkin cenderung akan menyingkirkannya.

Faktor Kerja (Work Factor)

Prinsip ini menekankan bahwa tindakan keamanan yang efektif harus membuat penyerang kesulitan dan membutuhkan usaha yang besar untuk berhasil melakukan serangan. Hal ini mengarah pada mekanisme seperti ‘defence in depth’ atau ‘layering’ untuk memberikan rintangan, otentikasi multi-faktor, atau peningkatan berkelanjutan. Peningkatan berkelanjutan ini juga disebut ‘desain untuk iterasi’ dan mengacu pada siklus hidup keamanan (security life-cycle).

Rekaman Sistem

Merujuk pada pentingnya menyimpan catatan aktivitas sistem untuk tujuan keamanan. sebuah sistem harus menyimpan catatan peristiwa dan serangan. Catatan ini berupa log dan audit, yang tersedia di berbagai sistem komputer, mulai dari perangkat komputasi pribadi hingga perangkat jaringan dan sistem besar. Tingkat pencatatan log dan audit dapat diatur oleh administrator dan secara default sistem akan menyediakan pencatatan log. Dengan melihat seluruh log di berbagai sistem, kita sering dapat mengidentifikasi bagaimana dan kapan serangan terjadi (analisis forensik) atau sebagai bagian dari mekanisme deteksi intrusi untuk deteksi serangan. Sayangnya, penyerang juga khawatir untuk menutupi jejak, sehingga mungkin mencoba untuk memanipulasi log peristiwa, dll.

Prinsip-prinsip desain keamanan komputer diatas telah banyak diadopsi hingga saat ini. Namun, beberapa menjadi kurang relevan saat ini, beberapa telah diperbaharui dan/atau diperluas, dan beberapa dianggap ideal tetapi dianggap sulit atau tidak mungkin dicapai.