Access Control and Authorization Computer Network Security 1. Andreas 2. Herman Kosasi 3. Dewi Triani 4. Willy Saputra
Access Control and Authorization Akses kontrol adalah proses untuk menentukan "Siapa melakukan apa untuk apa," berdasarkan kebijakan. Hal ini mengendalikan akses yang terdapat didalam dan luar dari sistem dan menggunakan sumber daya apa, kapan, dan berapa jumlahnya. Access Control membatasi akses ke sistem atau sistem sumber daya didasarkan pada sesuatu selain identitas pengguna Kizza - Computer Network Security
Akses kontrol terdiri dari empat elemen: subjects, objects, operations, reference monitor Kizza - Computer Network Security
Alter – dalam mode ini, subjek dapat mengubah isi dari objek subjects adalah pengguna sistem dan kelompok pengguna, sementara objek adalah file dan sumber daya seperti memori, printer, dan scanner termasuk komputer dalam jaringan. Sebuah akses operasi datang dalam berbagai bentuk termasuk akses web, akses server, akses memori, dan metode panggilan. Setiap kali subject meminta untuk mengakses object, mode akses harus ditentukan. Ada dua mode akses : observe - dalam mode ini, subjek hanya dapat melihat isi dari objek. Mode ini adalah typical read di mana proses klien dapat meminta server untuk membaca dari sebuah file. Alter – dalam mode ini, subjek dapat mengubah isi dari objek Kizza - Computer Network Security
See Figure 8.1 Access Control Administration Misalnya pengguna, memulai permintaan akses untuk sumber daya sistem tertentu, biasanya objek pasif dalam sistem seperti sumber daya Web. Permintaan menuju ke monitor referensi. Tugas monitor referensi untuk memeriksa hirarki peraturan yang memuat pembatasan tertentu. Seperangkat aturan tersebut disebut access control list (ACL). Akses kontrol hirarki didasarkan pada jalur URL untuk akses Web, atau path file untuk akses file seperti dalam sebuah direktori. Ketika permintaan untuk akses dibuat, monitor atau server berjalan pada gilirannya melalui setiap aturan ACL, sampai bertemu aturan yang terus mencegah dan menghasilkan penolakan permintaan atau datang ke aturan terakhir untuk sumber daya itu, sehingga menjadi hak akses yang diberikan. See Figure 8.1 Access Control Administration Kizza - Computer Network Security
Access Control Administration Kizza - Computer Network Security
Ada empat hak akses:execute, read, append, write. Hak akses mengacu pada kemampuan pengguna untuk mengakses sumber daya sistem. Ada empat hak akses:execute, read, append, write. Pengguna diingatkan untuk tidak membingungkan hak akses dan mode akses Perbedaannya terletak pada kenyataan bahwa anda dapat melakukan hak akses apapun dalam setiap mode akses. Figure 8.2 menunjukkan bagaimana hal ini dapat dilakukan. Perhatikan bahwa menurut kolom terakhir pada Gambar 8.2 terdapat tanda X di kedua baris karena untuk menulis, kita harus mengamati terlebih dahulu sebelum mengubahnya. Hal ini untuk mencegah sistem operasi membuka file dua kali, satu untuk membaca dan satu lagi untuk menulis. Kizza - Computer Network Security
Access Rights Kizza - Computer Network Security
Hak akses dapat diatur secara individual pada setiap sumber daya sistem untuk setiap pengguna individu dan kelompok. Hak akses pengguna selalu didahulukan dari pada hak akses grup terlepas dari mana hak-hak kelompok diterapkan. Jika hak akses grup diwariskan, maka didahulukan sehingga hak akses pengguna default. Seorang pengguna memiliki hak default, ketika pengguna tidak memiliki hak ditugaskan individu atau kelompok dari root ke folder yang bersangkutan. Dalam permohonan hak akses Cascading, hak akses pengguna yang paling dekat dengan sumber daya yang diperiksa oleh monitor tugas hak akses yang lebih jauh didahulukan. Kizza - Computer Network Security
Yang menetapkan hak-hak ini Yang menetapkan hak-hak ini? Para pemilik sumber daya yang menetapkan hak akses ke sumber daya. Dalam sistem global, sistem operasi memiliki semua sumber daya sistem dan karenanya hak akses ke sumber daya tersebut ditetapkan. Namun, sistem operasi memungkinkan folder dan pemilik berkas untuk menetapkan dan mencabut hak akses. Kizza - Computer Network Security
Access Control Techniques and Technologies Sebuah sistem, khususnya sistem jaringan, memiliki ribuan pengguna dan sumber daya, manajemen hak akses untuk setiap pengguna per setiap objek dapat menjadi kompleks. Beberapa teknik kontrol dan teknologi telah dikembangkan untuk mengatasi masalah ini, diantaranya: Access Control Matrix, Capability Tables, Access Control Lists, Role-Based Access Control, Rule-Based Access Control, Restricted Interfaces, Content-Dependent Access Control. Kizza - Computer Network Security
Teknik-teknik dan teknologi baru mengharuskan pendekatan baru untuk sistem kontrol akses. Untuk waktu yang lama, kontrol akses digunakan dengan user-atau daftar kontrol akses berbasis kelompok, biasanya didasarkan pada sistem operasi. Namun, dengan aplikasi jaringan berbasis web, pendekatan ini tidak lagi cukup fleksibel karena tidak seimbang dalam lingkungan yang baru. Dengan demikian, sebagian besar sistem berbasis Web menggunakan teknik baru dan teknologi seperti role-based dan berbasis aturan kontrol akses, di mana hak akses didasarkan pada atribut pengguna tertentu seperti peran mereka, pangkat, atau unit organisasi. Kizza - Computer Network Security
Access Control Matrix Semua informasi yang dibutuhkan untuk administrasi kontrol akses dapat dimasukkan ke dalam sebuah matriks dengan baris yang mewakili mata pelajaran atau kelompok mata pelajaran dan kolom mewakili objek. Akses pada subjek atau kelompok subjek diijinkan untuk menunjukkan objek yang ada dalam tubuh matriks. Misalnya, dalam matriks pada Gambar 8.3, pengguna A memiliki izin untuk menulis dalam file R4. Salah satu fitur dari kontrol akses matriks adalah kekurangannya. Karena matriks sangat jarang, pertimbangan penyimpanan menjadi masalah, dan lebih baik untuk menyimpan matriks sebagai daftar. Kizza - Computer Network Security
Access Control Lists Dalam daftar kontrol akses (ACL), kelompok dengan hak akses ke objek disimpan dalam asosiasi ke objek. Jika Anda melihat matriks pengaksesan pada Gambar 8.3, setiap objek memiliki daftar hak akses yang terkait dengannya. Dalam hal ini setiap objek dikaitkan dengan semua hak akses dalam kolom. Misalnya, ACL untuk matriks pada Gambar 8.3 ditunjukkan pada Gambar 8.4. ACL sangat pas untuk sistem operasi karena mereka mengelola akses ke objek. Kizza - Computer Network Security
Access Control Capability Sebuah kemampuan menentukan bahwa "subjek mungkin melakukan operasi O pada objek X.” Berbeda dengan ACL, di mana penyimpanan hak akses antara obyek dan subyek didasarkan pada kolom dalam kontrol akses matriks, kemampuan akses penyimpanan kontrol didasarkan pada baris. Ini berarti bahwa setiap subjek diberi kemampuan, tanda pemalsuan-bukti yang menentukan hak akses subjek. Dari pengaksesan matriks pada Gambar 8.3, kita dapat membangun kemampuan seperti yang ditunjukkan pada Gambar 8.5. Kizza - Computer Network Security
Access Control Capability Kizza - Computer Network Security
Role-Based Access Control Perubahan ukuran dan teknologi komputer dan jaringan komunikasi menciptakan masalah yang kompleks dan menantang dalam pengelolaan keamanan dari sistem jaringan yang besar.. Perubahan teknologi dan sejumlah besar pengguna bergabung dengan jaringan yang membuat administrasi sistem sangat mahal dan rentan terhadap kesalahan ketika hanya didasarkan pada daftar kontrol akses untuk setiap pengguna pada sistem individual.. Sistem keamanan di role-based access control (RBAC) didasarkan pada peran yang ditugaskan kepada setiap pengguna dalam sebuah organisasi. Sebagai contoh, seseorang dapat mengambil peran sebagai petugas chief executive, petugas informasi kepala, atau kepala petugas keamanan. Seorang pengguna dapat memperoleh salah satu atau lebih peran, dan peran masing-masing diberikan satu atau lebih hak istimewa yang diizinkan untuk pengguna dalam peran tersebut. Keputusan akses kemudian didasarkan pada peran pengguna individu memiliki sebagai bagian dari organisasi. Kizza - Computer Network Security
Hak akses dikelompokkan dengan nama peran, dan penggunaan sumber daya dibatasi untuk individu yang berwenang untuk mengasumsikan peran yang terkait. Pengguna diberikan keanggotaan ke peran berdasarkan pada kompetensi dan tanggung jawab mereka dalam organisasi. Jenis-jenis operasi yang pengguna izinkan untuk tampil didasarkan pada peran pengguna. Peran pengguna yang terus berubah sebagai perubahan tugas pengguna dan fungsi dalam organisasi, dan peran ini dapat dicabut. Peran asosiasi dapat dibentuk ketika operasi baru dilembagakan, dan operasi lama dapat dihapus sebagaimana fungsi organisasi berubah dan berkembang. RBAC juga didasarkan pada konsep least privilege yang membutuhkan identifikasi fungsi pekerjaan pengguna, menentukan set minimum hak yang dibutuhkan untuk melakukan fungsi itu, dan membatasi pengguna ke domain dengan hak istimewa mereka. Kizza - Computer Network Security
Rule-Based Access Control Rule-based access control (RBAC), juga dikenal sebagai policy-based access control (PBAC), didasarkan pada konsep paling istimewa.. Hal ini juga didasarkan pada kebijakan yang dapat dinyatakan dengan algoritma. RBAC adalah proses multi-bagian di mana satu proses memberikan peran kepada pengguna seperti pada teknik kontrol akses berbasis peran. Proses kedua memberikan hak istimewa kepada peran yang ditugaskan berdasarkan kebijakan yang telah ditetapkan. Proses lain yang digunakan untuk mengidentifikasi dan mengotentikasi pengguna diizinkan untuk mengakses sumber daya. Kizza - Computer Network Security
Hal ini didasarkan pada seperangkat aturan yang menentukan hak akses pengguna ke sumber daya dalam sistem organisasi. Banyak organisasi, misalnya membatasi ruang lingkup dan jumlah. Sering kali karyawan, berdasarkan pangkat dan peran mereka, dapat mengambil dari situs. Batas tersebut dapat ditentukan berdasarkan jumlah dokumen yang dapat diunduh oleh seorang karyawan selama periode waktu tertentu dan pada batas bagian mana dari situs web seperti seorang karyawan dapat mengakses. Kizza - Computer Network Security
Restricted Interfaces Internet tumbuh dalam popularitas, semakin banyak organisasi dan individu yang menempatkan data mereka ke dalam organisasi dan database individu dan membatasi akses ke sana. Bagi pengguna untuk mengakses data yang terbatas, pengguna harus melalui via interface. Setiap akses pihak luar ke data yang terbatas memerlukan permintaan akses khusus, yang berkali-kali membutuhkan mengisi formulir online. Interface membatasi jumlah dan kualitas data yang dapat diambil berdasarkan filter dan aturan pengambilan. Dalam banyak kasus, pembatasan dan filter dilembagakan oleh pemilik konten untuk melindungi aspek integritas dan kepemilikan data mereka. Situs web itu sendiri dan browser harus bekerja sama untuk mengatasi over-pembatasan beberapa interface. Kizza - Computer Network Security
Content-Dependent Access Control Dalam kontrol akses content-dependent, keputusan didasarkan pada nilai atribut dari objek yang sedang dipertimbangkan. Kontrol akses content-dependent sangat mahal untuk mengelola karena melibatkan banyak overhead yang dihasilkan dari kebutuhan untuk memindai sumber daya ketika akses akan ditentukan. Semakin tinggi tingkat granularity, maka akan semakin mahal. Kizza - Computer Network Security
Access Control Systems Physical Access Control Sebagian akses ke sistem organisasi diharapkan berasal dari remote sites dan karenanya, mengakses sistem melalui titik akses jaringan Dalam sejumlah kasus, sistem akses bisa datang dari penyusup secara fisik memperoleh akses pada sistem itu sendiri, di mana mereka dapat menginstal password cracking programs. Penelitian telah menunjukkan bahwa sebagian besar sistem pembobolan berasal dari dalam organisasi. Akses ke kelompok pengguna yang memiliki akses ke lokasi fisik dari sistem harus sesuai. Kizza - Computer Network Security
Access Cards Kartu sebagai perangkat kontrol akses telah digunakan untuk waktu sekarang. Kartu akses mungkin merupakan bentuk yang paling banyak digunakan sistem kontrol akses di seluruh dunia. Dengan teknologi digital canggih, kartu sekarang mengandung strip magnetik dan microchip tertanam. Banyak perusahaan membutuhkan karyawan mereka untuk membawa kartu identitas atau lencana identitas dengan foto pemegang kartu atau strip magnetik untuk identifikasi cepat. Kartu akses yang digunakan di sebagian besar transaksi e- commerce, sistem pembayaran, dan layanan seperti kesehatan dan pendidikan. Jenis identifikasi ini juga dikenal sebagai electronic keys. Kizza - Computer Network Security
Electronic Surveillance Pengawasan elektronik terdiri dari sejumlah penangkap elektronik seperti perekam video, sistem log, keystroke dan aplikasi monitor, software screen-capture yang biasa dikenal sebagai pemantau aktivitas, dan network packet sniffers. Hasil rekaman video menangkap aktivitas pada titik-titik akses yang dipilih. kamera video sekarang telah terhubung ke komputer dan sebenarnya sebuah Web, proses umumnya sekarang disebut sebagai webcam surveilans. Banyak dari kamera ini sekarang bergerak otomatis dan mereka merekam video dari titik pandang yang dipilih. Untuk kontrol akses, poin yang dipilih adalah jalur sistem akses sistem. Rekaman video dapat dilihat langsung atau disimpan untuk kemudian dilihat. Perekam ini juga dapat disiarkan melalui Internet atau dikirimkan ke lokasi khusus atau dikirim melalui e-mail. keystroke Monitor adalah perangkat lunak atau perangkat keras produk yang merekam setiap karakter yang diketik pada keyboard. Keystroke monitor berbasis software menangkap sinyal yang bergerak di antara keyboard dan komputer seperti yang dihasilkan oleh semua aktivitas yang mencakup interaksi manusia-komputer Kizza - Computer Network Security
Packet sniffer bekerja pada tingkat jaringan untuk mengendus paket jaringan ketika mereka bergerak antara node. Berdasarkan hasil analisis, mereka dapat memonitor pesan e-mail, penggunaan web browser, penggunaan node, lalu lintas antara node, nature of traffic, dan seberapa sering pengguna mengakses server, aplikasi, atau jaringan tertentu. Kizza - Computer Network Security
Biometrics Teknologi biometrik berdasarkan atribut manusia, bertujuan untuk mengkonfirmasi identitas seseorang dengan memindai karakteristik fisik seperti sidik jari, suara, gerakan mata, pengenalan wajah, dan lain-lain. ini mungkin telah menjadi salah satu teknik kontrol akses tertua. Namun, selama beberapa tahun terakhir dan dengan keamanan tinggi, teknologi biometrik telah menjadi semakin populer. Teknologi, yang dapat digunakan untuk memungkinkan akses ke jaringan atau bangunan, telah menjadi sarana yang semakin handal, nyaman dan hemat biaya keamanan. Teknologi saat ini telah membuat kontrol akses biometrik jauh lebih praktis daripada yang pernah di masa lalu. Kemajuan teknologi telah menyebabkan perangkat yang lebih kecil berkualitas tinggi, lebih akurat, dan lebih dapat diandalkan. Perbaikan dalam biometrik sangat penting karena keamanan biometrik yang buruk dapat mematikan sistem dan administrator jaringan. Di samping itu, juga dapat mengunci pengguna yang sah dan mengakui penyusup. Jadi harus berhati-hati pada pengadaan perangkat biometrik. Kizza - Computer Network Security
Event Monitoring Event monitoring adalah bagian dari pemantauan elektronik di mana fokusnya adalah pada peristiwa tertentu yang menarik. Kegiatan yang menarik dapat dipantau oleh kamera video, webcam, sensor digital atau serial, atau mata manusia. Hal ini dapat digunakan untuk menangkap screenshot, memonitor aktivitas internet, dan melaporkan penggunaan sebuah komputer, keystroke oleh keystroke, dan suara manusia, termasuk gerakan manusia. Kegiatan yang dicatat berdasarkan peristiwa tertentu dapat disimpan, disiarkan di Internet, atau dikirim melalui e-mail ke lokasi terpencil dipilih atau pengguna. Kizza - Computer Network Security
Authorization Authorization adalah penentuan apakah pengguna memiliki izin untuk mengakses, membaca, memodifikasi, menyisipkan, atau menghapus data tertentu, atau untuk menjalankan program tertentu. Otorisasi juga sering disebut sebagai hak akses yang menentukan hak yang dimiliki pengguna pada sistem dan sumber daya apa yang diijinkan oleh pengguna. Izin akses biasanya ditentukan oleh list of possibilities. Sebagai contoh, UNIX memungkinkan daftar {membaca, menulis, mengeksekusi} sebagai daftar kemungkinan untuk pengguna atau kelompok pengguna pada file UNIX. Kizza - Computer Network Security
Seperti dengan kontrol akses, otorisasi memiliki tiga komponen : Proses otorisasi itu sendiri secara tradisional terdiri dari dua proses terpisah: authentication access control. Access control kemudian berurusan dengan masalah yang lebih halus untuk dapat mencari tahu "apa yang pengguna tertentu dapat lakukan untuk sumber daya tertentu." Jadi teknik otorisasi seperti traditional centralized access control menggunakan ACL sebagai mekanisme dominan untuk membuat daftar pengguna dan hak akses pengguna ke sumber daya yang diminta. Namun, dalam lingkungan sistem yang lebih modern dan terdistribusi, otorisasi mengambil pendekatan yang berbeda dari ini. Bahkan pemisahan tradisional proses otorisasi dalam otentikasi dan kontrol akses juga tidak berlaku. Seperti dengan kontrol akses, otorisasi memiliki tiga komponen : satu set objek kita akan tunjuk sebagai O, satu set subjek dirancang sebagai S, Satu set access permissions ditunjuk sebagai A. Aturan otorisasi adalah fungsi f yang mengambil tiga(s, o, a) dimana s S, o O, a A dipetakan dalam binary-value T, yang mana T = {true, false} as f : S×O×A (True, False). Ketika nilai fungsi f adalah benar, sinyal ini diotorisasi penuh ke sumber daya. Kizza - Computer Network Security
Authorization Mechanisms Mekanisme otorisasi, terutama dalam sistem manajemen database (DBMS), dapat diklasifikasikan ke dalam dua kategori utama : discretionary mandatory. Kizza - Computer Network Security
Discretionary Authorization Ini adalah mekanisme memberikan hak akses kepada pengguna berdasarkan pengendalian kebijakan yang mengatur akses subjek ke obyek menggunakan identitas subyek dan aturan otorisasi, yang dibahas dalam 8.4 di atas. Mekanisme ini adalah kebijaksanaan bahwa mereka memungkinkan subyek untuk memberikan pengguna lain otorisasi untuk mengakses data. Mekanisme ini sangat fleksibel, membuat mereka cocok untuk berbagai macam aplikasi domain. Namun, karakteristik yang sama yang membuat mereka fleksibel juga membuat mereka rentan terhadap serangan berbahaya, seperti Trojan Horses yang tertanam dalam program aplikasi. Alasannya adalah bahwa discretionary authorization models tidak memaksakan kendali atas bagaimana informasi disebarkan dan digunakan oleh pengguna yang berwenang untuk melakukannya. Kizza - Computer Network Security
Mandatory Access Control Mandatory policies, tidak seperti diskresioner yang terlihat di atas, untuk memastikan tingkat perlindungan yang tinggi mereka mencegah aliran ilegal informasi melalui penegakan keamanan bertingkat dengan mengelompokkan data dan pengguna dalam berbagai kelas keamanan. oleh karena itu, cocok untuk konteks yang memerlukan tingkat terstruktur namun level keamananya bertingkat. Namun, Mandatory policies memiliki kelemahan, karena mereka memerlukan klasifikasi ketat terhadap subjek dan objek dalam tingkat keamanan, dan hanya berlaku untuk beberapa lingkungan. Kizza - Computer Network Security
Types of Authorization Systems Sebelum menciptakan sistem otorisasi desentralisasi, otorisasi dikontrol dari satu lokasi pusat. Operating system authorization, misalnya, dikendalikan secara terpusat sebelum munculnya Jaringan Sistem Operasi (NOS). Dengan Lahirnya jaringan komputer karena itu, NOS menciptakan sistem otorisasi desentralisasi. Kizza - Computer Network Security
Centralized Secara tradisional setiap sumber daya digunakan untuk melakukan otorisasi lokal sendiri dan mengatur otorisasi database sendiri untuk mengasosiasikan otorisasi kepada pengguna. Hal ini menyebabkan beberapa masalah implementasi. Misalnya, sumber daya yang berbeda dan perangkat lunak yang berbeda menerapkan aturan yang berbeda untuk menentukan otorisasi untuk subjek yang sama dengan objek. Hal ini menyebabkan kebijakan otorisasi terpusat. Dalam otorisasi terpusat, hanya satu Unit otorisasi pusat memberikan akses ke sumber daya sistem. Ini berarti bahwa setiap proses atau program yang membutuhkan akses ke sumber daya sistem harus meminta dari satu otoritas pusat. Layanan otorisasi terpusat memungkinkan Anda untuk menyiapkan kebijakan umum yang mengontrol siapa yang mendapat akses ke sumber daya di beberapa platform. Sebagai contoh, memungkinkan untuk mengatur otorisasi pada portal Web perusahaan sedemikian rupa sehingga otorisasi ini didasarkan pada salah satu fungsi atau jabatan. fungsi-fungsi tersebut bisa mengendalikan organisasi mereka yang khusus ditunjuk oleh komponen portal, sementara yang tidak memiliki fungsi mengakses portal umum. Sistem ini sangat mudah dan murah untuk beroperasi. Kizza - Computer Network Security
Decentralized Hal ini berbeda dengan sistem terpusat bahwa subjek memiliki objek yang mereka buat. oleh karena itu, bertanggung jawab atas keamanan mereka, yang secara lokal dipertahankan. Setiap sumber daya sistem memelihara proses otorisasi sendiri dan memelihara database-nya sendiri juga otorisasi terkait dengan semua subjek yang diizinkan untuk mengakses sumber daya. Setiap subjek juga memiliki semua hak yang mungkin untuk akses ke setiap salah satu sumber daya yang terkait dengannya. Setiap subjek mungkin mendelegasikan hak akses ke objek untuk topik lain. Karena karakteristik ini, otorisasi desentralisasi ditemukan sebab sangat fleksibel dan mudah beradaptasi dengan persyaratan subyek individu tertentu. Namun, hak akses delegasi ini dapat menyebabkan masalah dan cyclic authorization. Kizza - Computer Network Security
Implicit Dalam otorisasi implisit, subjek berwenang untuk menggunakan sumber daya sistem yang diminta secara tidak langsung karena objek dalam sistem direferensikan dalam hal objek lainnya. Itu berarti bahwa subjek harus mengakses objek yang diminta, akses yang harus melalui akses dari objek utama. Menggunakan representasi teoritis himpunan matematika yang ada sebelumnya, dalam himpunan set (s, o, a), pengguna s implisit diberikan tipe otorisasi pada semua obyek o. misalnya, permintaan untuk menggunakan halaman Web, halaman mungkin memiliki link yang terhubung ke dokumen lain. Pengguna yang meminta izin penggunaan Web juga memiliki otorisasi langsung untuk mengakses semua halaman yang terhubung ke halaman asli berwenang. Oleh karena itu ini adalah tingkat otorisasi yang disebut granularity. Kizza - Computer Network Security
Explicit Otorisasi eksplisit adalah kebalikan dari implisit. Secara eksplisit menyimpan semua otorisasi untuk semua objek sistem yang aksesnya telah diminta. Lagi dalam representasi matematis lihat sebelumnya, untuk setiap permintaan akses ke objek o dari s subjek yang grantable,(s, o, a) disimpan. Yang lainnya tidak disimpan. Ingat bahwa salah satu masalah kontrol akses adalah untuk menyimpan matriks besar. Namun, meskipun sederhana, teknik ini masih menyimpan otorisasi apakah diperlukan atau tidak. Kizza - Computer Network Security
Authorization Principles Objek otorisasi sistem keamanan dicapai melalui akses dikendalikan ke sumber daya sistem. Proses otorisasi, bersama dengan kontrol akses dibahas sebelumnya, melalui penggunaan struktur data otorisasi, jelas mendefinisikan siapa menggunakan sumber daya sistem apa dan sumber daya apa yang bisa dan tidak dapat digunakan. Oleh karena itu, proses otorisasi menawarkan keamanan yang tak terbantahkan ke sistem melalui perlindungan sumber dayanya. Sumber daya sistem yang dilindungi melalui prinsip-prinsip seperti: - least privileges - separation of duties Yang akhirnya menghasilkan peningkatan akuntabilitas yang mengarah kepada peningkatan sistem keamanan. Kizza - Computer Network Security
Least Privileges Prinsip hak istimewa setidaknya mensyaratkan bahwa subjek diberikan otorisasi berdasarkan kebutuhannya. Prinsip Least Privileges itu sendiri didasarkan pada dua prinsip lain: less rights dan less risk. Ide dasar di balik prinsip-prinsip adalah keamanan yang ditingkatkan jika subyek menggunakan sumber daya sistem yang diberi hak tidak lebih dari minimum yang mereka butuhkan untuk melakukan tugas-tugas yang memang ditujukan untuk menampilkan, dan dalam jumlah minimal waktu yang diperlukan untuk melakukan tugas. Least Privileges memiliki kemampuan, jika diikuti mengurangi risiko un-authorized accesses ke dalam sistem. Kizza - Computer Network Security
Separation of Duties Prinsip pemisahan tugas memecah proses otorisasi menjadi langkah-langkah dasar dan mengharuskan setiap permintaan untuk otorisasi dari subjek ke sumber daya sistem, setiap langkah harus diberikan hak-hak yang berbeda. Hal ini membutuhkan setiap langkah kunci yang berbeda dalam proses hak yang berbeda untuk subyek individu yang berbeda. Pembagian kerja ini, tidak hanya terjadi dalam proses otorisasi satu permintaan individual, tetapi juga antara subjek individu, dan juga satu subjek tidak boleh diberikan blanket authorization untuk melakukan semua fungsi yang diminta tetapi juga satu permintaan individu ke objek harus diberikan blanket access rights ke obyek. Hirarki otorisasi ini atau granular mendistribusikan tanggung jawab dan menciptakan akuntabilitas karena tidak ada satu subjek yang bertanggung jawab untuk proses besar di mana tanggung jawab dan akuntabilitas dapat mengendur. Misalnya, otorisasi untuk mengelola server Web atau server e-mail dapat diberikan kepada satu orang tanpa memberikannya atau hak administratif ke bagian-bagian lain dari sistem organisasi. Kizza - Computer Network Security