Make your own free website on Tripod.com

POLITICAS DE SEGURIDAD

Los requisitos de seguridad varían de un sistema a otro, incluso entre usuarios distintos dentro del sistema. El sistema operativo de una computadora necesita una política de control de acceso a los recursos según el usuario que solicite dichos accesos. Es importante saber que cuando se instala un SO en una computadora con restricciones de seguridad, tenemos que tener en cuenta primero si dicha política satisface los requisitos de seguridad de dicha instalación. Es decir, si es confiable.

Existen algunas políticas de seguridad, las cuales describen políticas generales de cualquier organización.

Política militar

Es una política popularmente conocida y muy estricta. Se basa en la clasificación de todos los objetos con requisitos de seguridad en uno de los cinco niveles de seguridad siguientes:

1. ' Desclasificado.

2. Restringido.

3. Confidencial.

4. Secreto.

5. Alto Secreto.

Y también clasificara los usuarios según al nivel al que puedan acceder. Los 5 niveles antes mencionados se pueden estructurar lógicamente como un conjunto de círculos concéntrico en cuyo interior está el alto secreto yen cuyo exterior están los documentos públicos (o desclasificados).

El acceso a la información se controla por la regla de lo que se necesita saber. Sólo se permite el acceso a los datos sensibles a quien los necesita para hacer su trabajo. De esta forma se puede compartimentar a los usuarios, haciendo más estricta la regla generadle acceso. Un compartimiento se puede extender a varios niveles y dentro del mismo se aplica la regla general de acceso. Usar compartimientos permite establecer conjuntos de usuarios que acceden a la información y ocultar documentos a usuarios con el mismo nivel de seguridad.

Políticas Comerciales 

Basándose en la política militar, pero debilitando las restricciones de seguridad se han diseñado estas políticas comerciales.."Algunos ejemplos de ellas son las de Clark-Wilson, separación de deberes y la muralla china.

Aunque son menos rígidas que las militar, todas ellas usan los principios de compartimentación de los usuarios y de clasificación de la información. Además se definen reglas similares para el trasvase de información entre los distintos niveles y compartimentos.

La política de la muralla China clasifica a objetos y usuarios en tres niveles de abstracción:

1. Objetos.

2. Grupos.

3. Clases de Conflictos. 

Cada objeto pertenece a un único grupo y cada grupo a una única clase de conflicto. Una clase de conflicto, sin embargo, puede incluir a varios grupos. Por ejemplo, Supóngase que se tiene información de tres fabricantes de automóviles y dos bancos. Con la muralla china existen 5 grupos y 2 clases de conflictos (automóviles, bancos). La política de control de acceso es sencilla. Una persona puede acceder a la información siempre que antes no haya accedido a otro grupo de la 9l9se de conflicto a la que pertenece la información a la que quiere acceder.

Modelos de Seguridad

Un modelo es un mecanismo que permite hacer explicita una política de seguridad. En seguridad, los modelos se usan para probar la completitud y la coherencia de la política de seguridad. Además pueden ayudar en el diseño del sistema y sirven para comprobar si la implementación cumple los requisitos de seguridad exigida. Dependiendo de los requisitos los modelos de seguridad se pueden clasificar en dos grandes tipos: multinivel y limitados.

Los modelos de seguridad multinivel permiten representar rasgos de sensibilidad y reflejarla necesidad de separar rigurosamente los sujetos de los objetos a los que no tienen acceso. Suelen ser modelos abstractos y muy generales lo que los convierte en muy complejos, difíciles de verificar y muy costosos de implementar.

Los modelos de seguridad limitada se centran en responder formalmente las propiedades que un sistema seguro debe satisfacer, pero introduciendo restricciones a los sistemas de seguridad multinivel. Todos ellos se basan en dos principios:

1. Usan la teoría generadle la computación para definir un sistema formal de reglas de protección.

2. Usan una matriz de control de acceso, en cuyas filas están los sujetos y en cuyas columnas están los objetos.

Es importante resaltar que la existencia de un modelo de seguridad no es un requisito obligatorio en todos los SO. Sin embargo, si se quiere demostrar a alguien que el sistema es confiable y seguro, tener un modelo de validación formal una de las mejores formas de hacerlo. La implementación de una matriz de acceso y su explotación por filas o columnas es una de las formas más populares de implementar los mecanismos de protección en SO de propósito general.

 

 

 

Pagina Principal | | ©2005 Universidad Tecnologica de Panama |