Libro naranja

Solo disponible en BuenasTareas
  • Páginas : 5 (1026 palabras )
  • Descarga(s) : 0
  • Publicado : 27 de febrero de 2011
Leer documento completo
Vista previa del texto
Libro naranja.

Resumen.

El libro naranja fue creado por el National Computer Security Center y es un estándar que nos permite medir la seguridad que ofrece algún sistema de cómputo, su nombre formal es Trusted Computer System Evaluation Criteria (criterios confiables para la evaluación de la seguridad en cómputo). El libro naranja clasifica a los sistemas de cómputo en 4 categoríasnombradas con letras, de la D a la A, y a su vez, estas categorías pueden tener subcategorías nombradas con números, entre más grande sea el número, mayor es la seguridad.
La categoría D es la más insegura y la categoría A es la más segura. El libro naranja hace estas clasificaciones mediante la medición de seis parámetros fundamentales que son: política de seguridad, marking, identificación, auditoría,garantía, protección continua.
El libro naranja nos permite evaluar de una forma confiable y objetiva el nivel de seguridad que ofrece algún sistema computacional y tiene 3 funciones principales:
1. Servir como referencia sobre el grado de seguridad que puede ser ejercido en un sistema de cómputo.
2. Ser una guía de fabricación para sistemas de cómputo.
3. Servir de base para la especificaciónde requerimientos de seguridad para adquirir un sistema de seguridad.

Desarrollo.

En 1981 el departamento de defensa de Estado Unidos formó el Computer Security Center, conocido actualmente como el National Computer Security Center (NCSC), para que fuera la organización formal gubernamental para investigar la seguridad en los ordenadores y para desarrollar métodos estándar de evaluación delnivel de seguridad ofrecido por un sistema en particular. La organización ha desarrollado un conjunto de criterios para abordar la fiabilidad de los sistemas de ordenadores. El conjunto de criterios utilizados para evaluar sistemas comerciales está disponible en una publicación titulada Trusted Computer System Evaluation Criteria, también conocido como el libro naranja.
El libro naranjaclasifica los sistemas de ordenadores en cuatro categorías D, C, B y A; siendo D la categoría menos segura y A la categoría más segura. Cada división consiste en una o más clases.
El libro naranja define seis requerimientos fundamentales:
• Política de seguridad. El sistema debe proveer una implementación fiable de una política de seguridad bien definida.
• Marking. El sistema debe proveer unaimplementación fiable del control de acceso a los objetos para que el sistema sea capaz de asegurar que se cumple la política de seguridad
• Identificación. Cada sujeto debe ser identificado para que la política de seguridad sea capaz de forzar el control de acceso a los objetos. La información de identificación debe ser segura.
• Auditoría. El sistema debe proveer herramientas para auditar los sucesosrelativos a la seguridad y para seleccionar el tipo de sucesos que se quieren auditar.
• Garantía. La implementación de todas las funciones de seguridad debe ser identificable claramente y estar documentada para poder evaluar y verificar que es correcta.
• Protección continua. El sistema de seguridad debe ser seguro en todo momento.

Los niveles de seguridad que propone el libro naranja son:Nivel D1.
Es el menor nivel en la seguridad de ordenadores. El ordenador completo está sin asegurar. Es fácil infiltrarse en el sistema operativo y en el hardware. Adicionalmente, el estándar para el nivel D1, indica que no se requiere autentificación para los usuarios. Cualquiera que pueda acercarse al ordenador puede utilizarlo.
Algunos sistemas con este nivel de seguridad son: MS-DOS,MS-Windows 3.X y Windows 95 (sin grupo de trabajo) y System 7.x de Apple.
Los sistemas con este nivel de seguridad son adecuados cuando el acceso desde dichas máquinas a otros sistemas es mínimo, y los datos propios no son importantes.

Nivel C1.
Se le conoce como Sistema de Protección de Seguridad Discrecional (Discretionary Security Protection System). Indica que en el acceso al hardware del...
tracking img