Seguridad informática - conceptos básicos
Páginas: 8 (1870 palabras)
Publicado: 17 de enero de 2011
Seguridad informática (Conceptos básicos)
Definiciones de Seguridad Informática
• Un sistema informático es seguro si su comportamiento es acorde con las especificacionesprevistas para su utilización (dependability).
• Seguridad es el estado de bienestar de la información y las infraestructuras, en las cuales la posibilidad que puedan realizarse con éxito y sin detectarse, el robo,alteración y parada del flujo de información, se mantienen en niveles bajos o tolerables.
Riesgos : clasificación de Shirey
4 clases :
Revelación (disclosure) : Acceso no autorizado a información
Engaño (deception) : Admisión de datos falsos
Perturbación (disruption) : Interrupción o prevención de correcta operación
Usurpación: Control no autorizado de partes del Sistema
Riesgos comunes (I)Fisgoneo (snooping): Captura no autorizada de información (forma pasiva de revelación).
Solución : Servicio de confidencialidad
Modificación : cambio no autorizado de información (engaño, perturbación, usurpación).
Solución : servicio de integridad
Enmascaramiento : una entidad hace pasarse por otra (engaño, usurpación).
Solución : servicio de integridad
Una forma permitida de enmascaramiento: Delegación de Autoridad.
Repudiación : Falsa denegación de pertenencia a una entidad (engaño).
Solución : servicio de integridad
Denegación de recepción (engaño)
Solución : servicio de integridad
Denegación de servicio : inhibición de servicio (usurpación, papel soporte en engaño). Retardo si es de corto plazo (caballos de troya).
Solución : servicio de disponibilidad
Servicios deseguridad
Básicos :
Confidencialidad (Privacidad) :
Mecanismos de control de accesos : Criptografía, ...
Ley de protección de datos.
Integridad: de datos o de origen (autentificación)
Mecanismo de prevención: gestión modificaciones autorizadas
Mecanismos de detección
Disponibilidad
Ataques de denegación de servicio
Adicionales : Consistencia, Control, Auditoría.
Cimientos
•Suposiciones : Elementos que se asume cumplen su función y en base a los cuales se deriva...
• Confianza
– Una política de seguridad debe describir correctamente los estados seguros del sistema, y de una forma lo más completa posible.
– Elementos de confianza de mecanismos de seguridad :
• Cada uno está diseñado para cubrir una o más partes de la política de seguridad.
• La unión de todos ellosimplementa todos los aspectos de la política de seguridad.
• Están implementados correctamente.
• Son instalados y administrados correctamente.
Estado de protección (I)
• Un Sistema de protección describe condiciones bajo las que un sistema es seguro -> máquina de estados
• Siendo P un conjunto de todos los posibles estados de protección del sistema, y Q el conjunto que define los estados deprotección en el cual el sistema está
autorizado a residir, tal que Q ⊆ P.
– Política de seguridad : caracterización de los estados del conjunto Q.
• Transición de estados: operaciones permitidas sobre elementos de Q.
– Mecanismo de seguridad : prevención para que el sistema no entre en ningún estado que no pertenezca a Q.
Estado de protección (II)
• Supongamos que el conjunto demecanismos de seguridad restringen al sistema a un conjunto de estados M, entonces dicho conjunto de mecanismos se dice que es :
– Seguro, si M ⊆Q.
– Preciso, Si M = Q.
– Amplio, si existen estados m ∈ M que m ∉ Q.
• El objetivo es buscar la precisión en los resultados de la aplicación de mecanismos de seguridad.
Matriz de control de accesos
• Modelo simple y preciso para describir, especificarlos estados de protección de un sistema (SO, BD).
• Definimos :
– Conjunto O de objetos protegidos (ficheros, máquinas,..)
– Conjunto S de objetos activos (sujetos). Inician transiciones (procesos, usuarios,....)
– Conjunto P de permisos para operaciones sobre elementos de
O.
– Matriz A, donde cada entrada a[s,o] P, donde s S, y o O.
– Finalmente, la tupla (S,O,A) define el conjunto de...
Definiciones de Seguridad Informática
• Un sistema informático es seguro si su comportamiento es acorde con las especificacionesprevistas para su utilización (dependability).
• Seguridad es el estado de bienestar de la información y las infraestructuras, en las cuales la posibilidad que puedan realizarse con éxito y sin detectarse, el robo,alteración y parada del flujo de información, se mantienen en niveles bajos o tolerables.
Riesgos : clasificación de Shirey
4 clases :
Revelación (disclosure) : Acceso no autorizado a información
Engaño (deception) : Admisión de datos falsos
Perturbación (disruption) : Interrupción o prevención de correcta operación
Usurpación: Control no autorizado de partes del Sistema
Riesgos comunes (I)Fisgoneo (snooping): Captura no autorizada de información (forma pasiva de revelación).
Solución : Servicio de confidencialidad
Modificación : cambio no autorizado de información (engaño, perturbación, usurpación).
Solución : servicio de integridad
Enmascaramiento : una entidad hace pasarse por otra (engaño, usurpación).
Solución : servicio de integridad
Una forma permitida de enmascaramiento: Delegación de Autoridad.
Repudiación : Falsa denegación de pertenencia a una entidad (engaño).
Solución : servicio de integridad
Denegación de recepción (engaño)
Solución : servicio de integridad
Denegación de servicio : inhibición de servicio (usurpación, papel soporte en engaño). Retardo si es de corto plazo (caballos de troya).
Solución : servicio de disponibilidad
Servicios deseguridad
Básicos :
Confidencialidad (Privacidad) :
Mecanismos de control de accesos : Criptografía, ...
Ley de protección de datos.
Integridad: de datos o de origen (autentificación)
Mecanismo de prevención: gestión modificaciones autorizadas
Mecanismos de detección
Disponibilidad
Ataques de denegación de servicio
Adicionales : Consistencia, Control, Auditoría.
Cimientos
•Suposiciones : Elementos que se asume cumplen su función y en base a los cuales se deriva...
• Confianza
– Una política de seguridad debe describir correctamente los estados seguros del sistema, y de una forma lo más completa posible.
– Elementos de confianza de mecanismos de seguridad :
• Cada uno está diseñado para cubrir una o más partes de la política de seguridad.
• La unión de todos ellosimplementa todos los aspectos de la política de seguridad.
• Están implementados correctamente.
• Son instalados y administrados correctamente.
Estado de protección (I)
• Un Sistema de protección describe condiciones bajo las que un sistema es seguro -> máquina de estados
• Siendo P un conjunto de todos los posibles estados de protección del sistema, y Q el conjunto que define los estados deprotección en el cual el sistema está
autorizado a residir, tal que Q ⊆ P.
– Política de seguridad : caracterización de los estados del conjunto Q.
• Transición de estados: operaciones permitidas sobre elementos de Q.
– Mecanismo de seguridad : prevención para que el sistema no entre en ningún estado que no pertenezca a Q.
Estado de protección (II)
• Supongamos que el conjunto demecanismos de seguridad restringen al sistema a un conjunto de estados M, entonces dicho conjunto de mecanismos se dice que es :
– Seguro, si M ⊆Q.
– Preciso, Si M = Q.
– Amplio, si existen estados m ∈ M que m ∉ Q.
• El objetivo es buscar la precisión en los resultados de la aplicación de mecanismos de seguridad.
Matriz de control de accesos
• Modelo simple y preciso para describir, especificarlos estados de protección de un sistema (SO, BD).
• Definimos :
– Conjunto O de objetos protegidos (ficheros, máquinas,..)
– Conjunto S de objetos activos (sujetos). Inician transiciones (procesos, usuarios,....)
– Conjunto P de permisos para operaciones sobre elementos de
O.
– Matriz A, donde cada entrada a[s,o] P, donde s S, y o O.
– Finalmente, la tupla (S,O,A) define el conjunto de...
Leer documento completo
Regístrate para leer el documento completo.