En la subespecialidad de ingeniería de seguridad de la informática , un sistema confiable es aquel en el que se confía, hasta cierto punto, para hacer cumplir una política de seguridad específica . Esto equivale a decir que un sistema confiable es aquel cuyo fallo vulneraría una política de seguridad (si existe una política que se confía en que el sistema haga cumplir).
La palabra "confianza" es fundamental, ya que no tiene el significado que se esperaría en el uso cotidiano. Un sistema confiable es aquel que el usuario se siente seguro al usarlo y en el que confía para realizar tareas sin ejecutar secretamente programas dañinos o no autorizados; la computación confiable se refiere a si los programas pueden confiar en que la plataforma no se modificará respecto a lo esperado, y si esos programas son inocentes o maliciosos , o si ejecutan tareas no deseadas por el usuario.
Un sistema de confianza también puede considerarse un sistema de seguridad por niveles, donde la protección se proporciona y gestiona según distintos niveles. Esto es común en el ámbito militar, donde la información se clasifica como no clasificada (U), confidencial (C), secreta (S), ultrasecreta (TS) y superiores. Además, estos sistemas aplican las políticas de no lectura ni escritura.
Sistemas de confianza en información clasificada
Un subconjunto de sistemas de confianza ("División B" y "División A") implementa etiquetas de control de acceso obligatorio (MAC), por lo que a menudo se asume que pueden utilizarse para procesar información clasificada . Sin embargo, esto generalmente no es cierto. Existen cuatro modos de operación para un sistema seguro multinivel: multinivel, compartimentado, dedicado y de alto nivel. El "Libro Amarillo" del Centro Nacional de Seguridad Informática especifica que los sistemas B3 y A1 solo pueden utilizarse para procesar un subconjunto estricto de etiquetas de seguridad, y únicamente cuando se operan según una configuración particularmente estricta.
Un elemento central del concepto de sistemas confiables al estilo del Departamento de Defensa de EE. UU. es la noción de un " monitor de referencia ", que es una entidad que ocupa el núcleo lógico del sistema y es responsable de todas las decisiones de control de acceso. Idealmente, el monitor de referencia es
- a prueba de manipulaciones
- siempre invocado
- Lo suficientemente pequeño como para ser sometido a pruebas independientes, cuya exhaustividad puede garantizarse.
Según los Criterios de Evaluación de Sistemas Informáticos de Confianza (TCSEC, por sus siglas en inglés) de la Agencia de Seguridad Nacional de EE. UU. de 1983 , también conocidos como el "Libro Naranja", se definieron una serie de "clases de evaluación" que describían las características y garantías que el usuario podía esperar de un sistema de confianza.
La dedicación de una ingeniería de sistemas significativa a minimizar la complejidad (no el tamaño , como se suele citar) de la base de computación confiable (TCB) es clave para proporcionar los niveles más altos de seguridad (B3 y A1). Esta se define como la combinación de hardware, software y firmware responsable de hacer cumplir la política de seguridad del sistema. Parece surgir un conflicto de ingeniería inherente en los sistemas de mayor seguridad, ya que, cuanto menor sea la TCB, mayor será el conjunto de hardware, software y firmware que se encuentra fuera de ella y, por lo tanto, no es confiable. Si bien esto puede llevar a los menos expertos en tecnología a argumentos sofistas sobre la naturaleza de la confianza, el argumento confunde la cuestión de la "corrección" con la de la "fiabilidad".
TCSEC cuenta con una jerarquía definida con precisión de seis clases de evaluación; la más alta, A1, es idéntica en características a B3 , diferenciándose únicamente en los estándares de documentación. En contraste, los Criterios Comunes (CC), introducidos más recientemente y derivados de una combinación de estándares técnicamente maduros de varios países de la OTAN , ofrecen un espectro impreciso de siete "clases de evaluación" que combinan características y garantías de manera no jerárquica, y carecen de la precisión y el rigor matemático de TCSEC. En particular, los CC toleran una identificación muy laxa del "objetivo de evaluación" (TOE) y apoyan —e incluso fomentan— una combinación de requisitos de seguridad extraídos de diversos "perfiles de protección" predefinidos. Si bien se puede argumentar que incluso los componentes aparentemente arbitrarios de TCSEC contribuyen a una "cadena de evidencia" que demuestra que un sistema desplegado aplica correctamente su política de seguridad anunciada, ni siquiera el nivel más alto (E7) de los CC puede proporcionar una coherencia y un rigor análogos en el razonamiento probatorio.
Las nociones matemáticas de sistemas confiables para la protección de información clasificada se derivan de dos corpus de trabajo independientes pero interrelacionados. En 1974, David Bell y Leonard LaPadula del MITRE, bajo la guía técnica y el patrocinio financiero del Mayor Roger Schell, Ph.D., del Comando de Sistemas Electrónicos del Ejército de los EE. UU. (Fort Hanscom, MA), idearon el modelo Bell-LaPadula , en el que un sistema informático confiable se modela en términos de objetos (repositorios o destinos pasivos para datos como archivos, discos o impresoras) y sujetos (entidades activas que hacen que la información fluya entre objetos, por ejemplo, usuarios, o procesos o hilos del sistema que operan en nombre de los usuarios). El funcionamiento completo de un sistema informático puede considerarse, de hecho, como una "historia" (en el sentido de la teoría de la serializabilidad) de piezas de información que fluyen de objeto a objeto en respuesta a las solicitudes de los sujetos para tales flujos. Al mismo tiempo, Dorothy Denning en la Universidad de Purdue estaba publicando su tesis doctoral. Su tesis doctoral versó sobre los "flujos de información basados en retículos" en sistemas informáticos. (Un retículo matemático es un conjunto parcialmente ordenado , caracterizable como un grafo dirigido acíclico , en el que la relación entre dos vértices cualesquiera es "dominante", "es dominado por" o ninguna de las dos). Definió una noción generalizada de "etiquetas" que se adjuntan a las entidades , correspondientes, más o menos, a las marcas de seguridad completas que se encuentran en documentos militares clasificados, por ejemplo , TOP SECRET WNINTEL TK DUMBO. Bell y LaPadula integraron el concepto de Denning en su informe técnico fundamental de MITRE , titulado " Sistema informático seguro: Exposición unificada e interpretación multicriterio" . Afirmaron que las etiquetas adjuntas a los objetos representan la sensibilidad de los datos que contienen, mientras que las adjuntas a los sujetos representan la fiabilidad del usuario que ejecuta el sujeto. (Sin embargo, puede existir una sutil diferencia semántica entre la sensibilidad de los datos dentro del objeto y la sensibilidad del objeto en sí).
Los conceptos se unifican mediante dos propiedades: la «propiedad de seguridad simple» (un sujeto solo puede leer de un objeto que domina [ es mayor que es una interpretación aproximada, aunque matemáticamente imprecisa]) y la «propiedad de confinamiento» o «propiedad *» (un sujeto solo puede escribir en un objeto que lo domina). (Estas propiedades se denominan informalmente «no leer hacia arriba» y «no escribir hacia abajo», respectivamente). Aplicadas conjuntamente, estas propiedades garantizan que la información no pueda fluir «hacia abajo» a un repositorio donde destinatarios poco fiables puedan descubrirla. Por extensión, suponiendo que las etiquetas asignadas a los sujetos sean realmente representativas de su fiabilidad, las reglas de no leer hacia arriba y no escribir hacia abajo, aplicadas rigurosamente por el monitor de referencia, son suficientes para restringir los troyanos , una de las clases de ataques más generales ( los gusanos y virus , ampliamente conocidos, son especializaciones del concepto de troyano).
El modelo Bell-LaPadula técnicamente solo impone controles de "confidencialidad" o "secreto", es decir , aborda el problema de la sensibilidad de los objetos y la consiguiente confiabilidad de los sujetos para no divulgarlos indebidamente. El problema dual de la "integridad" (es decir, el problema de la exactitud, o incluso la procedencia de los objetos) y la consiguiente confiabilidad de los sujetos para no modificarlos o destruirlos indebidamente, se aborda mediante modelos matemáticamente afines; el más importante de los cuales lleva el nombre de su creador, KJ Biba . Otros modelos de integridad incluyen el modelo Clark-Wilson y el modelo de integridad de programas de Shockley y Schell, "The SeaView Model" [ 1 ].
Una característica importante de los MAC es que están completamente fuera del control de cualquier usuario. El TCB asigna automáticamente etiquetas a cualquier tarea ejecutada en nombre de los usuarios y a los archivos a los que acceden o modifican. En contraste, existe otra clase de controles, denominados controles de acceso discrecional (DAC), que están bajo el control directo de los usuarios del sistema. Mecanismos de protección conocidos, como los bits de permisos (compatibles con UNIX desde finales de la década de 1960 y, en una forma más flexible y potente, con Multics desde mucho antes) y las listas de control de acceso (ACL), son ejemplos comunes de DAC.
El comportamiento de un sistema confiable se caracteriza a menudo mediante un modelo matemático. Este modelo puede ser riguroso según las restricciones operativas y administrativas aplicables. Estos modelos adoptan la forma de una máquina de estados finitos (FSM) con criterios de estado, restricciones de transición de estado (un conjunto de "operaciones" que corresponden a las transiciones de estado) y una especificación descriptiva de alto nivel (DTLS, por sus siglas en inglés) (que implica una interfaz perceptible por el usuario, como una API , un conjunto de llamadas al sistema en UNIX o salidas del sistema en mainframes ). Cada elemento de lo anterior genera una o más operaciones del modelo.
Sistemas confiables en computación confiable
El Trusted Computing Group crea especificaciones destinadas a abordar requisitos particulares de los sistemas de confianza, incluida la certificación de la configuración y el almacenamiento seguro de información confidencial.
Sistemas confiables en el análisis de políticas
En el contexto de la seguridad nacional o interior , la aplicación de la ley o la política de control social , los sistemas confiables proporcionan predicciones condicionales sobre el comportamiento de personas u objetos antes de autorizar el acceso a los recursos del sistema. [ 2 ] Por ejemplo, los sistemas confiables incluyen el uso de "sobres de seguridad" en aplicaciones de seguridad nacional y contraterrorismo, iniciativas de " computación confiable " en la seguridad de sistemas técnicos y sistemas de calificación crediticia o de identidad en aplicaciones financieras y antifraude. En general, incluyen cualquier sistema en el que
- El análisis probabilístico de amenazas o riesgos se utiliza para evaluar la "confianza" en la toma de decisiones antes de autorizar el acceso o para asignar recursos contra posibles amenazas (incluido su uso en el diseño de restricciones de sistemas para controlar el comportamiento dentro del sistema); o
- El análisis de desviaciones o la supervisión de sistemas se utiliza para garantizar que el comportamiento dentro de los sistemas cumpla con los parámetros esperados o autorizados.
La adopción generalizada de estas estrategias de seguridad basadas en la autorización (donde el estado predeterminado es DEFAULT=DENY) para la lucha contra el terrorismo, el fraude y otros fines está ayudando a acelerar la transformación en curso de las sociedades modernas, desde un modelo beccariano de justicia penal basado en la rendición de cuentas por acciones desviadas después de que ocurren [ 3 ] a un modelo foucaultiano basado en la autorización, la prevención y el cumplimiento social general a través de la vigilancia preventiva ubicua y el control mediante restricciones del sistema. [ 4 ]
En este modelo emergente, la «seguridad» no se centra en la vigilancia policial , sino en la gestión de riesgos mediante el intercambio de información, la auditoría , la comunicación y la clasificación . Estos avances han generado inquietudes generales sobre la privacidad individual y las libertades civiles , así como un debate filosófico más amplio sobre las metodologías de gobernanza social adecuadas.
Sistemas confiables en la teoría de la información.
Los sistemas confiables en el contexto de la teoría de la información se basan en la siguiente definición:
"La confianza es aquello que es esencial para un canal de comunicación, pero que no puede transferirse de una fuente a un destino utilizando ese canal".
— Ed Gerck [ 5 ]
En la teoría de la información, la información no tiene nada que ver con el conocimiento ni el significado; es simplemente aquello que se transfiere de la fuente al destino mediante un canal de comunicación. Si, antes de la transmisión, la información está disponible en el destino, la transferencia es nula. La información recibida por una parte es aquella que no espera , según lo mide la incertidumbre de dicha parte respecto al contenido del mensaje.
Asimismo, la confianza, tal como la define Gerck, no tiene nada que ver con la amistad, los conocidos, las relaciones empleado-empleador, la lealtad, la traición ni otros conceptos excesivamente variables. La confianza tampoco se entiende en un sentido puramente subjetivo, ni como un sentimiento o algo puramente personal o psicológico ; se comprende como algo potencialmente comunicable. Además, esta definición de confianza es abstracta, lo que permite que diferentes instancias y observadores en un sistema de confianza se comuniquen basándose en una idea común de confianza (de lo contrario, la comunicación estaría aislada en dominios), donde pueden coexistir todas las realizaciones subjetivas e intersubjetivas de la confianza, necesariamente diferentes, en cada subsistema (hombres y máquinas). [ 6 ]
En el modelo de la teoría de la información, "la información es lo inesperado" y "la confianza es lo conocido". Al vincular ambos conceptos, la confianza se concibe como una "dependencia condicionada de la información recibida". En el contexto de los sistemas de confianza, una afirmación de confianza no puede basarse en el registro en sí, sino en información proveniente de otros canales. [ 7 ] La profundización de estas cuestiones conduce a concepciones complejas de la confianza, las cuales han sido estudiadas exhaustivamente en el contexto de las relaciones comerciales. [ 8 ] También conduce a concepciones de la información donde la "calidad" de la información integra la confianza o la fiabilidad en la estructura de la información misma y del o los sistemas de información en los que se concibe : una mayor calidad, en términos de definiciones específicas de exactitud y precisión, implica una mayor fiabilidad. [ 9 ]
Un ejemplo del cálculo de la confianza es: "Si conecto dos sistemas confiables, ¿son más o menos confiables cuando se toman en conjunto?". [ 6 ]
El Grupo de Software Federal de IBM [ 10 ] ha sugerido que los "puntos de confianza" [ 5 ] proporcionan la definición más útil de confianza para su aplicación en un entorno de tecnología de la información, ya que se relaciona con otros conceptos de la teoría de la información y ofrece una base para medir la confianza. En un entorno de servicios empresariales centrado en la red, esta noción de confianza se considera [ 10 ] indispensable para lograr la visión deseada de arquitectura colaborativa y orientada a servicios.
Véase también
Referencias
- ↑ Lunt, Teresa & Denning, Dorothy & R. Schell, Roger & Heckman, Mark & R. Shockley, William. (1990). El modelo de seguridad SeaView. IEEE Trans. Software Eng. 16. 593-607. 10.1109/SECPRI.1988.8114. (Fuente)
- ↑ El concepto de sistemas confiables que se describe aquí se analiza en Taipale, KA (2005). The Trusted Systems Problem: Security Envelopes, Statistical Threat Analysis, and the Presumption of Innocence , Homeland Security - Trends and Controversies, IEEE Intelligent Systems, Vol. 20 No. 5, pp. 80-83 (septiembre/octubre de 2005).
- ↑ Cesare Beccaria , Sobre los delitos y las penas (1764)
- ↑ Michel Foucault , Vigilar y castigar (1975, Alan Sheridan , trad., 1977, 1995)
- 1 2 Feghhi, J. y P. Williams (1998) Puntos de confianza , en Certificados digitales: Seguridad aplicada en Internet. Addison-Wesley, ISBN 0-201-30980-7Hacia modelos de confianza en el mundo real: dependencia de la información recibida.
- 1 2 La confianza como dependencia cualificada de la información, Parte I , The COOK Report on Internet, Volumen X, No. 10, enero de 2002, ISSN 1071-6327 .
- ↑ Gregory, John D. (1997). John D. Registros legales electrónicos: ¿Una autenticación bastante buena?
- ↑ Huemer, L. (1998). Confianza en las relaciones comerciales: ¿lógica económica o interacción social? Umeå: Boréa. ISBN 91-89140-02-8.
- ↑ Ivanov, K. (1972). Control de calidad de la información: Sobre el concepto de exactitud de la información en bancos de datos y en sistemas de información de gestión . La Universidad de Estocolmo y el Real Instituto de Tecnología.
- 1 2 Daly, Christopher. (2004). Un marco de confianza para el entorno de servicios empresariales centrados en la red del Departamento de Defensa (NCES), IBM Corp., 2004. (Solicitud de la ISSAA de la IEEE Computer Society , archivada el 26 de julio de 2011 en Wayback Machine ).
Enlaces externos
- Proyecto Sociedad de la Información Global : un proyecto de investigación conjunto
- Sistemas
- Seguridad
- Confianza computacional