Seguridad Informatica
Seguridad informática
Definiciones de Seguridad Informática
• Un sistema informático es seguro si su
comportamiento es acorde con las especificaciones
previstas para su utilización (dependability).
• Seguridad es el estado de bienestar de la información
y las infraestructuras, en las cuales la posibilidad que
puedan realizarse con éxito y sin detectarse, el robo,
alteracióny parada del flujo de información, se
mantienen en niveles bajos o tolerables.
Riesgos : clasificación de Shirey
4 clases :
–
Revelación (disclosure) : Acceso no autorizado a
información
–
Engaño (deception) : Admisión de datos falsos
–
Perturbación (disruption) : Interrupción o prevención
de correcta operación
–
Usurpación : Control no autorizado de partes delsistema
Riesgos comunes (I)
Fisgoneo (snooping): Captura no autorizada de información
(forma pasiva de revelación).
–
Modificación : cambio no autorizado de información (engaño,
perturbación, usurpación).
–
Solución : Servicio de confidencialidad
Solución : servicio de integridad
Enmascaramiento : una entidad hace pasarse por otra (engaño,
usurpación).
–
–Solución : servicio de integridad
Una forma permitida de enmascaramiento : Delegación de
Autoridad.
Riesgos comunes (II)
Repudiación : Falsa denegación de pertenencia a una
entidad (engaño).
–
Denegación de recepción (engaño)
–
Solución : servicio de integridad
Solución : servicio de integridad
Denegación de servicio : inhibición de servicio
(usurpación, papelsoporte en engaño). Retardo si es de
corto plazo (caballos de troya).
–
Solución : servicio de disponibilidad
Servicios de seguridad
Básicos :
–
Confidencialidad (Privacidad) :
–
Mecanismos de control de accesos : Criptografía, ...
Ley de protección de datos.
Integridad: de datos o de origen (autentificación)
–
Mecanismo de prevención : gestiónmodificaciones autorizadas
Mecanismos de detección
Disponibilidad
Ataques de denegación de servicio
Adicionales : Consistencia, Control, Auditoría.
Cimientos
• Suposiciones : Elementos que se asume cumplen su
función y en base a los cuales se deriva...
• Confianza
– Una política de seguridad debe describir correctamente los
estados seguros del sistema, y de una forma lo máscompleta
posible.
– Elementos de confianza de mecanismos de seguridad :
• Cada uno está diseñado para cubrir una o más partes de la política
de seguridad.
• La unión de todos ellos implementa todos los aspectos de la política
de seguridad.
• Están implementados correctamente.
• Son instalados y administrados correctamente.
Estado de protección (I)
• Un Sistema de protección describecondiciones bajo las
que un sistema es seguro -> máquina de estados
• Siendo P un conjunto de todos los posibles estados de
protección del sistema, y Q el conjunto que define los
estados de protección en el cual el sistema está
autorizado a residir, tal que Q ⊆ P.
– Política de seguridad : caracterización de los estados del
conjunto Q.
• Transición de estados: operaciones permitidassobre
elementos de Q.
– Mecanismo de seguridad : prevención para que el sistema no
entre en ningún estado que no pertenezca a Q.
Estado de protección (II)
• Supongamos que el conjunto de mecanismos de
seguridad restringen al sistema a un conjunto de
estados M, entonces dicho conjunto de
mecanismos se dice que es :
– Seguro, si M ⊆Q.
– Preciso, Si M = Q.
– Amplio, si existen estados m ∈M que m ∉ Q.
• El objetivo es buscar la precisión en los resultados
de la aplicación de mecanismos de seguridad.
Matriz de control de accesos
• Modelo simple y preciso para describir, especificar los
estados de protección de un sistema (SO, BD).
• Definimos :
– Conjunto O de objetos protegidos (ficheros, máquinas,..)
– Conjunto S de objetos activos (sujetos). Inician transiciones...
Regístrate para leer el documento completo.