13 perlu untuk dihilangkan, atau dibiarkan saja, juga izin mana harus dimodifikasikan. Atas permasalahan tersebut administrator akan berupaya untuk memperbaiki daftar dalam ACL. Dalam beberapa kasus lain, aturan yang lebih terperinci dapat diterapkan untuk ACL dalam membatasi akses ke bagian tertentu dalam mengakses sumber daya. Hal ini menunjukkan bahwa ACL membutuhkan biaya yang sangat tinggi dan pelaksanaan administrasi juga mengalami kesulitan Sandhu et al, 2004.

2.5 Model –model Kontrol Akses

Model dalam kontrol akses sangat berfungsi untuk menentukan jenis kontrol akses yang diperlukan dalam mendukung kebijakan keamanan. Model kontrol akses merupakan sebuah framework yang menjelaskan bagaimana subjek mengakses objek. Ada tiga tipe utama model kontrol akses yaitu mandatory, discretionary, dan role- based. Tiap tipe model memakai metode berbeda untuk mengkontrol bagaimana subjek mengakses objek dan mempunyai kelebihan serta keterbatasan masing- masing. Beberapa model dipakai secara eksklusif dan kadang-kadang model tersebut dikombinasikan sehingga mampu mencapai tingkat keperluan keamanan yang dibutuhkan.

2.5.1 Mandatory Access Control MAC

MAC adalah sebuah mekanisme untuk mengontrol pengguna atau suatu proses yang memiliki akses ke sumber daya dalam sebuah sistem. Kebijakan yang dilakukan oleh MAC ditentukan untuk memfasilitasi pengelolaan dalam memelihara pengontrolan akses ke sumber daya. Perencanaan dalam sebuah sistem MAC mempunyai tiga bentuk pengontrolan yang harus dipertimbangkan yaitu policies, models dan mechanisms. Kebijakan MAC adalah suatu persyaratan yang sangat menentukan dalam mengelola akses, siapa yang mengelola akses tersebut, dan dalam keadaan apa serta informasi apa yang dapat diakses. Kebijakan tersebut dapat menjangkau beberapa platform komputasi dan aplikasi. Dalam mengevaluasi dan menganalisis MAC secara eksklusif dapat dilakukan dengan banyak mekanisme, model keamanan biasanya mengambarkan sifat dari sistem yang menggunakan MAC tersebut. Model Universita Sumatera Utara 14 dalam MAC adalah suatu kebijakan keamanan yang diterapkan dalam sistem dan berguna untuk membuktikan keterbatasan teoritis dari suatu sistem Hu et al, 2011. Kebijakan akses yang dilakukan oleh MAC berdasarkan ketentuan yang ditentukan oleh otoritas pusat Samarati et al, 2011. Keputusan kebijakan kontrol akses di MAC ditentukan oleh central authority, bukan dilakukan oleh para pemilik individu dari objek tersebut, dan pemilik tidak dapat mengubah hak akses yang telah dibuat Pfleeger, 1997. Mandatory access control didasarkan pada kebijakan pengembangan sistem yang tidak dapat diubah oleh pengguna perseorangan. MAC akan memperlakukan kontrol akses berdasarkan keamanan informasi yang melekat pada pengguna dan objek. Hal ini menunjukkan bahwa hubungan tersebut tidak dapat dirubah oleh pemilik objek. MAC dapat mengetahui akses yang akan dilakukan antara subjek dan objek secara konsisten. Jika terjadi duplikasi pada objek, kontrol akses akan berhubungan dengan objek semula dan akan menerapkan hal tersebut pada objek yang terduplikasi Na et al, 2000.

2.5.2 Discretionary Access Control