4 LA METODOLOGÍA PROPUESTA: ESG
4.2 MODELOS DE SEGURIDAD
Los modelos de seguridad son formalizaciones de la política de seguridad de un sistema. Estos modelos permiten garantizar el cumplimiento de dicha política. Existen diversos modelos de seguridad en la actualidad. En esta sección se presentan dos de los más conocidos, el modelo de seguridad multi-nivel y el modelo de seguridad comercial.
4.2.1 EL MODELO DE SEGURIDAD MULTI-NIVEL
Este modelo (MLS), también conocido como seguridad militar fue propuesto por Bell y LaPadula [3] para el departamento de defensa de los estados unidos de norte América. Esta enfocado a garantizar la propiedad de privacidad en el sistema.
En este modelo se establecen reglas en términos de dos tipos de entidades:
1. Objetos. Entidades pasivas que no pueden realizar ninguna acción, entre ellas están: recursos, variables, programas (no en ejecución), entre otros.
2. Sujetos. Entidades activas que realizan acciones en el sistema y que acceden a recursos, entre ellas están los usuarios, programas en ejecución, procesos, entre otras.
Las reglas de este modelo establecen el derecho de acceso por parte de los sujetos hacia los objetos estableciendo controles discrecionarios y obligatorios. El control discrecionario establece derechos de acceso en lectura, escritura y ejecución además para cada sujeto y objeto. El control obligatorio establece para cada objeto y sujeto del sistema un conjunto de etiquetas y un nivel de seguridad de entre 4 posibles: top secret, secret, classified y unclassified.
Se definen dos reglas conocidas como seguridad simple y propiedad *. La seguridad simple indica que un sujeto podrá acceder a un objeto en modo de lectura si y solo si su nivel de seguridad es mayor al nivel del objeto y su conjunto de etiquetas domina al conjunto de etiquetas del objeto. La propiedad * indica que un sujeto podrá acceder a un objeto en modo de escritura si y solo si su nivel de seguridad es menor al nivel del objeto y su conjunto de etiquetas domina al conjunto de etiquetas del objeto.
Estas dos reglas implementan un mecanismo que permite que la información fluya solo hacia arriba tomando en cuenta los niveles de seguridad. El flujo de información se presenta en la figura 4.1
Top Secret Secret Classified Unclassified E sc ritu ra Le ctu ra Flujo F lu jo
Figura 4.1. Flujo de información en el modelo MLS.
Este modelo puede ser representado a través de las siguientes reglas: 1. Todo sujeto posee un único nivel.
2. Todo objeto posee un único nivel.
3. Todo sujeto posee un conjunto de etiquetas. 4. Todo objeto posee un conjunto de etiquetas.
5. Existe para cada objeto un conjunto de permisos de lectura y escritura para cada sujeto.
6. La lectura es permitida si el nivel del objeto es menor o igual al nivel del sujeto y su conjunto de etiquetas es dominado por el conjunto del sujeto.
7. La lectura es permitida si el nivel del objeto es mayor o igual al nivel del sujeto y su conjunto de etiquetas es dominado por el conjunto del sujeto.
8. Debe existir un mecanismo de autentificación.
9. Todo sujeto debe autentificarse antes de acceder a los objetos.
En este modelo el único objetivo es preservar la privacidad de la información al no permitir que la información sea accedida por usuarios no autorizados. La autorización está dada por el nivel de seguridad así como por el conjunto de etiquetas de cada objeto y sujeto.
4.2.2 EL MODELO COMERCIAL
Este modelo fue propuesto por Clark y Wilson [7] tomando como objetivo proteger la integridad de la información en sistemas comerciales. Su base está dada por el concepto de transacciones correctas y el de separación de funciones.
En este modelo se presentan dos reglas principales. La primera de ellas indica que a cada objeto se le asigna un conjunto de programas, los cuales respetan la política sobre dicho objeto y están autorizados a manipularlo. La segunda regla indica que a cada sujeto se asocia un conjunto de programas que puede utilizar para manipular los objetos del sistema.
Al igual que el modelo MLS hace uso de los conceptos de objeto y sujeto, además de estos hace uso de los siguientes conceptos:
• Constrained Data Unit (CDU). Representa a los objetos bajo restricción, es decir,
• Unconstrined Data Unit (UDU). Representan datos sin restricción, estos son
aquellos de los que no es necesario garantizar la seguridad.
• Trasnformation Procedure (TP). Corresponden al concepto de transacción bien
formada y son las únicas entidades que pueden manipular CDI’s.
• Integrity Verification Procedure (IVP). Procedimientos que se encargan de verificar
que los objetos del sistema cumplan con la política de integridad. Estos permite el paso de un estado seguro del sistema hacia otro estado seguro.
El modelo comercial propone reglas de certificación (C) y de aplicación (E). Las reglas de certificación especifican las validaciones a realizar sobre las entidades del sistema antes de utilizarlo mientras que las reglas de aplicación especifican los controles que deben ser efectuados por el sistema sobre cualquier acción de los usuarios. Estas reglas son las siguientes:
• Certificación
o C1. Debe probarse que los IVP verifican correctamente la integridad de los CDI.
o C2. Cada TP debe ser validado de modo que si toma un CDI en su entrada, produzca un CDI como salida. El administrador escribe para cada TP una lista de CDI’s que puede manipular.
o C3. El administrador del sistema genera una lista (certifica) de TP accesibles para cada usuario.
o C4. Todo TP debe escribir en una CDI de solo escritura (bitácora) específica las acciones que realiza.
o C5. Todo TP que toma en UDI debe producir un CDI.
• Aplicación
o E1. El sistema debe verificar para todo CDI manipulado por un TP que el TP esté en la lista de TP’s autorizados para dicho CDI.
o E2. Se debe verificar que toda TP solicitada por un usuario esté en la lista de TP’s autorizadas para el usuario.
o E3. La regla E2 no tiene sentido si no existe un mecanismo de autentificación adecuado.
o E4. Las listas (C2 y C3) no pueden ser modificadas más que por el administrador y él no puede hacer uso de los TP’s para los cuales el generó las listas.
Estas reglas establecen las restricciones que el modelo impone para preservar la integridad. Las cuales deben ser respetadas por el sistema en todo momento.