6.6 CLASIFICACIONES DE LA
SEGURIDAD
Schwinmmer “Security
systems”. (2006) explica que la clasificación de los sistemas de computación
según sus requisitos de seguridad ha sido un tema ampliamente discutido desde
los años setenta. La disparidad de criterios existentes se ha ampliado más con
la conexión de las computadoras para formar redes de computación que pueden
compartir recursos.
En esta clasificación
especifica, hay cuatro niveles de seguridad: A, B, C, D, y
características de cada uno.
Nivel D. Sistemas con
protección mínima o nula
No pasan las pruebas de
seguridad mínima exigida en el DoD. MS-DOS y Windows 3. 1 son sistemas de nivel
D. Puesto que están pensados para un sistema monoproceso y monousuario, no
proporcionan ningún tipo de control de acceso ni de separación de recursos.
Nivel C. Capacidad
discrecional para proteger recursos
La aplicación de los
mecanismos de protección depende del usuario, o usuarios, que tienen
privilegios sobre los mismos. Esto significa que un objeto puede estar
disponible para lectura, escritura o cualquier otra operación. Casi todos los
sistemas operativos comerciales de propósito general, como Unix, Linux o
Windows NT se clasifican en este nivel. Este nivel a la vez se subdivide en dos
niveles:
Clase CI. Control de
acceso por dominios. No hay posibilidad de establecer qué elemento de un
determinado dominio ha accedido a un objeto. UNIX pertenece a esta clase.
Divide a los usuarios en tres dominios: dueño, grupo y mundo. Se aplican
controles de acceso según los dominios, siendo todos los elementos de un
determinado dominio iguales ante el sistema de seguridad.
Clase C2. Control de
acceso individualizado. Granularidad mucho más fina en el control de acceso a
un objeto. El sistema de seguridad debe ser capaz de controlar y registrar los
accesos a cada objeto a nivel de usuario. Windows NT pertenece a esta clase.
NIVEL B.Control de acceso
obligatorio
En este nivel, los
controles de acceso no son discrecionales de los usuarios o dueños de los
recursos, que deben existir obligatoriamente. Esto significa que todo objeto
controlado debe tener protección sea del tipo que sea. Este nivel se divide a
su vez en tres subniveles:
Clase B1. Etiquetas de seguridad
obligatorias. Cada objeto controlado debe tener su etiqueta de seguridad.
Clase B2. Protección estructurada.
Todos los objetos deben estar controlados mediante un sistema de seguridad con
diseño formal y mecanismos de verificación. Estos mecanismos permiten probar
que el sistema de seguridad se ajusta a los requisitos exigidos.
Clase B3. Dominios de seguridad. B2 ampliado con
pruebas exhaustivas para evitar canales encubiertos, trampas y
penetraciones. El sistema debe ser capaz de detectar intentos de
violaciones de seguridad, para ello debe permitir la creación de listas de
control de acceso para usuarios o grupos que no tienen acceso a un objeto.
NIVEl A. Sistemas de
seguridad certificados
Para acceder a este nivel,
la política de seguridad y los mecanismos de protección del sistema deben ser
verificados y certificados por un organismo autorizado para ello. Organismos de
verificación muy conocidos son el National Computer Security Center o el
TEMPEST.
Clase Al. Diseño verificado. Clase B 1 mas modelo formal del sistema de
seguridad. La especificación formal del sistema debe ser probada y aprobada por
un organismo certificador. Para ello debe existir una demostración de que la
especificación se corresponde con el modelo, una implementación consistente con
el mismo y un análisis formal de distintos problemas de seguridad.
Clase Ax. Desarrollo controlado.
A1 más diseño con instalaciones y personal controlados. Se podrían incluir
requisitos de integridad de programas, alta disponibilidad y comunicaciones
seguras.
Bibliografia:
- http://profinal0.tripod.com/clasifica.htm
- http://es.scribd.com/doc/68435553/6-6-Clasificaciones-de-La-Seguridad