Sistema de confianza

En la subespecialidad de ingeniería de seguridad de las ciencias de la computación , un sistema confiable es aquel en el que se confía hasta cierto punto para hacer cumplir una política de seguridad específica . Esto equivale a decir que un sistema confiable es aquel cuya falla rompería una política de seguridad (si existe una política que se confía en el sistema para hacer cumplir).

La palabra "confianza" es fundamental, ya que no tiene el significado que podría esperarse en el uso diario. Un sistema confiable es aquel en el que el usuario se siente seguro de usar y confía para realizar tareas sin ejecutar en secreto programas dañinos o no autorizados; La computación confiable se refiere a si los programas pueden confiar en que la plataforma no se modificará de lo esperado, y si esos programas son inocentes o maliciosos o si ejecutan tareas que el usuario no desea.

Un sistema de confianza también puede verse como un sistema de seguridad basado en niveles en el que se proporciona protección y se gestiona]] d según distintos niveles. Esto se encuentra comúnmente en el ejército, donde la información se clasifica como no clasificada (U), confidencial (C), Secreta (S), Top Secret (TS) y más. Estos también hacen cumplir las políticas de no lectura y no anotación.

Sistemas confiables en información clasificada

Un subconjunto de sistemas confiables ("División B" y "División A") implementan etiquetas de control de acceso obligatorio (MAC) y, como tales, a menudo se asume que pueden usarse para procesar información clasificada . Sin embargo, esto generalmente no es cierto. Hay cuatro modos en los que se puede operar un sistema seguro multinivel: modos multinivel, compartimentado, dedicado y de sistema alto. El "Libro amarillo" del Centro Nacional de Seguridad Informática especifica que los sistemas B3 y A1 solo pueden usarse para procesar un subconjunto estricto de etiquetas de seguridad, y solo cuando se operan de acuerdo con una configuración particularmente estricta.

Un elemento central del concepto de sistemas confiables al estilo del Departamento de Defensa de los EE. UU. Es la noción de un " monitor de referencia ", que es una entidad que ocupa el corazón lógico del sistema y es responsable de todas las decisiones de control de acceso. Idealmente, el monitor de referencia es

a prueba de manipulaciones
siempre invocado
lo suficientemente pequeño como para ser sometido a pruebas independientes, cuya integridad puede garantizarse.

Según los Criterios de evaluación de sistemas informáticos de confianza (TCSEC) de la Agencia de Seguridad Nacional de los Estados Unidos de 1983 , o "Libro naranja", se definió un conjunto de "clases de evaluación" que describían las características y garantías que el usuario podía esperar de un sistema de confianza.

La dedicación de la ingeniería de sistemas significativa para minimizar la complejidad (no el tamaño , como se cita a menudo) de la base de cómputo confiable (TCB) es clave para la provisión de los más altos niveles de seguridad (B3 y A1). Esto se define como la combinación de hardware, software y firmware responsable de hacer cumplir la política de seguridad del sistema. Un conflicto de ingeniería inherente parecería surgir en los sistemas de mayor seguridad en el sentido de que, cuanto más pequeño es el TCB, mayor es el conjunto de hardware, software y firmware que se encuentra fuera del TCB y, por lo tanto, no es de confianza. Aunque esto puede llevar a los más técnicamente ingenuos a los argumentos de los sofistas sobre la naturaleza de la confianza, el argumento confunde el tema de la "corrección" con el de la "confiabilidad".

TCSEC tiene una jerarquía definida con precisión de seis clases de evaluación; el más alto de estos, A1, es característicamente idéntico al B3, y solo difiere en los estándares de documentación. Por el contrario, los Criterios Comunes (CC) introducidos más recientemente , que derivan de una combinación de estándares técnicamente maduros de varios criterios de la OTANpaíses, proporcionan un espectro tenue de siete "clases de evaluación" que entremezclan características y garantías de una manera no jerárquica, y carecen de la precisión y el rigor matemático del TCSEC. En particular, el CC tolera una identificación muy imprecisa del "objetivo de evaluación" (TOE) y apoya, incluso fomenta, una combinación de requisitos de seguridad seleccionados de una variedad de "perfiles de protección" predefinidos. Si bien se puede argumentar que incluso los componentes aparentemente arbitrarios de la TCSEC contribuyen a una "cadena de evidencia" de que un sistema de campo aplica adecuadamente su política de seguridad anunciada, ni siquiera el nivel más alto (E7) de la CC puede realmente proporcionar una consistencia análoga. y restricción del razonamiento probatorio. ^{[ cita requerida ]}

Las nociones matemáticas de sistemas confiables para la protección de información clasificada derivan de dos cuerpos de trabajo independientes pero interrelacionados. En 1974, David Bell y Leonard LaPadula de MITRE, bajo la guía técnica y el patrocinio financiero del Mayor Roger Schell, Ph.D., del Comando de Sistemas Electrónicos del Ejército de EE. UU. (Fort Hanscom, MA), idearon el modelo Bell-LaPadula , en el que un sistema informático confiable se modela en términos de objetos (repositorios pasivos o destinos de datos como archivos, discos o impresoras) y sujetos (entidades activas que hacen que la información fluya entre los objetos, p. ej.usuarios o procesos del sistema o subprocesos que operan en nombre de los usuarios). El funcionamiento completo de un sistema informático puede de hecho considerarse como una "historia" (en el sentido teórico de la serialización) de piezas de información que fluyen de un objeto a otro en respuesta a las solicitudes de los sujetos de tales flujos. Al mismo tiempo, Dorothy Denning de Purdue University publicaba su Ph.D. disertación, que se ocupó de los "flujos de información basados en celosías" en los sistemas informáticos. (Un "entramado" matemático es un conjunto parcialmente ordenado , caracterizable como un gráfico acíclico dirigido, en el que la relación entre dos vértices cualesquiera "domina", "está dominado por" o ninguno.) Ella definió una noción generalizada de "etiquetas" que se adjuntan a las entidades, que corresponden más o menos a las marcas de seguridad completas que uno encuentra. en documentos militares clasificados, por ejemplo , TOP SECRET WNINTEL TK DUMBO. Bell y LaPadula integraron el concepto de Denning en su histórico informe técnico MITRE, titulado Secure Computer System: Unified Exposition and Multics Interpretation. Afirmaron que las etiquetas adjuntas a los objetos representan la sensibilidad de los datos contenidos dentro del objeto, mientras que las adjuntas a los sujetos representan la confiabilidad del usuario que ejecuta el sujeto. (Sin embargo, puede haber una diferencia semántica sutil entre la sensibilidad de los datos dentro del objeto y la sensibilidad del objeto en sí).

Los conceptos se unifican con dos propiedades, la "propiedad de seguridad simple" (un sujeto solo puede leer de un objeto que domina [ es mayor quees una interpretación cercana, aunque matemáticamente imprecisa]) y la "propiedad de confinamiento" o "* -propiedad" (un sujeto sólo puede escribir sobre un objeto que lo domina). (Estas propiedades se denominan vagamente "no leer" y "no escribir", respectivamente). Estas propiedades, aplicadas conjuntamente, aseguran que la información no pueda fluir "cuesta abajo" a un repositorio donde los destinatarios no suficientemente confiables pueden descubrirla. Por extensión, asumiendo que las etiquetas asignadas a los sujetos son verdaderamente representativas de su confiabilidad, entonces las reglas de no lectura y no escritura aplicadas rígidamente por el monitor de referencia son suficientes para restringir los caballos de Troya , una de las clases más generales de ataques. ( sciz. ,los gusanos y virus de los que se habla popularmente son especializaciones del concepto de caballo de Troya).

El modelo Bell-LaPadula técnicamente sólo aplica controles de "confidencialidad" o "secreto", es decir , abordan el problema de la sensibilidad de los objetos y la confiabilidad de los sujetos para no revelarlo de manera inapropiada. El problema dual de la "integridad" (es decir, el problema de la precisión, o incluso la procedencia de los objetos) y la confiabilidad concomitante de los sujetos para no modificarlo o destruirlo de manera inapropiada, es abordado por modelos matemáticamente afines; el más importante de los cuales lleva el nombre de su creador, KJ Biba . Otros modelos de integridad incluyen el modelo de Clark-Wilson y el modelo de integridad del programa de Shockley y Schell, "The SeaView Model" ^[1]

Una característica importante de los MAC es que están completamente fuera del control de cualquier usuario. La TCB adjunta etiquetas automáticamente a cualquier asunto ejecutado en nombre de los usuarios y archivos a los que acceden o modifican. Por el contrario, una clase adicional de controles, denominados controles de acceso discrecional (DAC), están bajo el control directo de los usuarios del sistema. Los mecanismos de protección familiares, como los bits de permiso (admitidos por UNIX desde finales de la década de 1960 y, en una forma más flexible y poderosa, por Multics desde antes) y la lista de control de acceso (ACL) son ejemplos familiares de DAC.

El comportamiento de un sistema confiable a menudo se caracteriza en términos de un modelo matemático. Esto puede ser riguroso dependiendo de las limitaciones operativas y administrativas aplicables. Estos toman la forma de una máquina de estado finito (FSM) con criterios de estado, restricciones de transición de estado (un conjunto de "operaciones" que corresponden a las transiciones de estado) y una especificación descriptiva de nivel superior , DTLS (implica una interfaz perceptible por el usuario como como API , un conjunto de llamadas al sistema en UNIX o salidas del sistema en mainframes ). Cada elemento de lo mencionado anteriormente genera una o más operaciones modelo.

Sistemas confiables en computación confiable

El Trusted Computing Group crea especificaciones que están destinados a abordar los requisitos particulares de los sistemas de confianza, incluyendo certificación de la configuración y el almacenamiento seguro de información sensible.

Sistemas confiables en el análisis de políticas

En el contexto de la seguridad nacional o nacional , la aplicación de la ley o la política de control social , los sistemas confiables brindan una predicción condicional sobre el comportamiento de personas u objetos antes de autorizar el acceso a los recursos del sistema. ^[2] Por ejemplo, los sistemas confiables incluyen el uso de "sobres de seguridad" en aplicaciones de seguridad nacional y antiterrorismo, iniciativas de " computación confiable " en seguridad de sistemas técnicos y sistemas de calificación crediticia o de identidad en aplicaciones financieras y antifraude. En general, incluyen cualquier sistema en el que

El análisis probabilístico de amenazas o riesgos se utiliza para evaluar la "confianza" para la toma de decisiones antes de autorizar el acceso o para asignar recursos contra posibles amenazas (incluido su uso en el diseño de restricciones de sistemas para controlar el comportamiento dentro del sistema); o
El análisis de desviación o la vigilancia de sistemas se utiliza para garantizar que el comportamiento dentro de los sistemas cumple con los parámetros esperados o autorizados.

La adopción generalizada de estas estrategias de seguridad basadas en autorización (donde el estado predeterminado es DEFAULT = DENY) para la lucha contra el terrorismo, la lucha contra el fraude y otros fines está ayudando a acelerar la transformación en curso de las sociedades modernas a partir de un modelo teórico becario de justicia penal basado en la rendición de cuentas. para acciones desviadas después de que ocurren - ver Cesare Beccaria , On Crimes and Punishment (1764) - a un modelo foucaultiano basado en la autorización, la preferencia y el cumplimiento social general a través de la vigilancia preventiva ubicua y el control a través de restricciones del sistema - ver Michel Foucault , Discipline and Punish (1975, Alan Sheridan , tr., 1977, 1995).

En este modelo emergente, la "seguridad" no está orientada a la vigilancia, sino a la gestión de riesgos a través de la vigilancia, el intercambio de información, la auditoría , la comunicación y la clasificación . Estos desarrollos han llevado a preocupaciones generales sobre la privacidad individual y la libertad civil , y a un debate filosófico más amplio sobre las metodologías apropiadas de gobernanza social.

Sistemas confiables en la teoría de la información

Los sistemas de confianza en el contexto de la teoría de la información se basan en la siguiente definición: "La confianza es lo que es esencial para un canal de comunicación pero no se puede transferir de una fuente a un destino utilizando ese canal" por Ed Gerck. ^[3]

En la teoría de la información, la información no tiene nada que ver con el conocimiento o el significado; es simplemente lo que se transfiere de origen a destino, utilizando un canal de comunicación. Si, antes de la transmisión, la información está disponible en el destino, entonces la transferencia es cero. La información recibida por una de las partes es la que la parte no espera, medida por la incertidumbre de la parte en cuanto a cuál será el mensaje.

Del mismo modo, la confianza, tal como la define Gerck, no tiene nada que ver con la amistad, los conocidos, las relaciones empleado-empleador, la lealtad, la traición y otros conceptos demasiado variables. La confianza tampoco se toma en el sentido puramente subjetivo, ni como un sentimiento o algo puramente personal o psicológico; la confianza se entiende como algo potencialmente comunicable. Además, esta definición de confianza es abstracta, lo que permite que diferentes instancias y observadores en un sistema confiable se comuniquen basándose en una idea común de confianza (de lo contrario, la comunicación estaría aislada en dominios), donde todas las realizaciones subjetivas e intersubjetivas de confianza necesariamente diferentes en cada subsistema. (hombre y máquinas) pueden coexistir. ^[4]

Tomados en conjunto en el modelo de la teoría de la información, "la información es lo que no esperas" y "la confianza es lo que sabes". Al vincular ambos conceptos, la confianza se ve como "dependencia calificada de la información recibida". En términos de sistemas confiables, una afirmación de confianza no puede basarse en el registro en sí, sino en información de otros canales de información. ^[5] La profundización de estas cuestiones conduce a concepciones complejas de confianza, que han sido estudiadas a fondo en el contexto de las relaciones comerciales. ^[6]También conduce a concepciones de la información en las que la "calidad" de la información integra la confianza o la confiabilidad en la estructura de la información en sí y del sistema o sistemas de información en los que se concibe: mayor calidad en términos de definiciones particulares de exactitud y precisión. significa mayor confiabilidad. ^[7]

Un ejemplo del cálculo de la confianza es "Si conecto dos sistemas confiables, ¿son más o menos confiables cuando se toman juntos?". ^[4]

El IBM Software Group Federal ^[8] ha sugerido que "puntos de confianza" ^[3] proporcionan la definición más útil de confianza para su aplicación en un entorno de tecnología de la información, ya que está relacionado con otros conceptos de la teoría de la información y proporciona una base para la medición de la confianza. En un entorno de servicios empresariales centrado en la red, esta noción de confianza se considera ^[8] un requisito para lograr la visión de arquitectura colaborativa y orientada a servicios deseada.

Ver también

Exactitud y precisión
La seguridad informática
Calidad de los datos
Calidad de la información
Computación confiable

Referencias

^ Lunt, Teresa y Denning, Dorothy y R. Schell, Roger y Heckman, Mark y R. Shockley, William. (1990). El modelo de seguridad de SeaView .. IEEE Trans. Software Eng .. 16. 593-607. 10.1109 / SECPRI.1988.8114. (Fuente)
^ El concepto de sistemas confiables que se describe aquí se analiza en Taipale, KA (2005). El problema de los sistemas fiables: envolventes de seguridad, análisis estadístico de amenazas y presunción de inocencia , seguridad nacional: tendencias y controversias, IEEE Intelligent Systems, vol. 20, núm. 5, págs. 80-83 (septiembre / octubre de 2005).
^ a b Feghhi, J. y P. Williams (1998) Trust Points , en Certificados digitales: seguridad de Internet aplicada. Addison-Wesley, ISBN 0-201-30980-7 ; Hacia modelos de confianza del mundo real: dependencia de la información recibida
^ a b Confianza como confianza calificada en la información, Parte I , The COOK Report on Internet, Volumen X, No. 10, enero de 2002, ISSN 1071-6327 .
^ Gregory, John D. (1997). John D. Registros legales electrónicos: ¿Autenticación bastante buena?
^ Huemer, L. (1998). Confianza en las relaciones comerciales: ¿lógica económica o interacción social? Umeå: Boréa. ISBN 91-89140-02-8 .
^ Ivanov, K. (1972). Control de calidad de la información: sobre el concepto de precisión de la información en los bancos de datos y en los sistemas de gestión de la información . Universidad de Estocolmo y The Royal Institute of Technology.
^ a b Daly, Christopher. (2004). Un marco Fiduciario para el Departamento de Defensa de red centrada en Enterprise Services (NCES) Medio ambiente, IBM Corp., 2004. (Solicitud de la IEEE Computer Society ISSAA Archivado 2011-07-26 en la Wayback Machine ).

enlaces externos

Proyecto de la sociedad de la información mundial : un proyecto de investigación conjunto

[1] Lunt, Teresa y Denning, Dorothy y R. Schell, Roger y Heckman, Mark y R. Shockley, William. (1990). El modelo de seguridad de SeaView .. IEEE Trans. Software Eng .. 16. 593-607. 10.1109 / SECPRI.1988.8114. (Fuente)

[2] El concepto de sistemas confiables que se describe aquí se analiza en Taipale, KA (2005). El problema de los sistemas fiables: envolventes de seguridad, análisis estadístico de amenazas y presunción de inocencia , seguridad nacional: tendencias y controversias, IEEE Intelligent Systems, vol. 20, núm. 5, págs. 80-83 (septiembre / octubre de 2005).

[Trust_Points-3] Feghhi, J. y P. Williams (1998) Trust Points , en Certificados digitales: seguridad de Internet aplicada. Addison-Wesley, ISBN 0-201-30980-7 ; Hacia modelos de confianza del mundo real: dependencia de la información recibida

[Trust_as_Qualified_Reliance-4] Confianza como confianza calificada en la información, Parte I , The COOK Report on Internet, Volumen X, No. 10, enero de 2002, ISSN 1071-6327 .

[5] Gregory, John D. (1997). John D. Registros legales electrónicos: ¿Autenticación bastante buena?

[6] Huemer, L. (1998). Confianza en las relaciones comerciales: ¿lógica económica o interacción social? Umeå: Boréa. ISBN 91-89140-02-8 .

[7] Ivanov, K. (1972). Control de calidad de la información: sobre el concepto de precisión de la información en los bancos de datos y en los sistemas de gestión de la información . Universidad de Estocolmo y The Royal Institute of Technology.

[Daly,_Christopher-8] Daly, Christopher. (2004). Un marco Fiduciario para el Departamento de Defensa de red centrada en Enterprise Services (NCES) Medio ambiente, IBM Corp., 2004. (Solicitud de la IEEE Computer Society ISSAA Archivado 2011-07-26 en la Wayback Machine ).

[1]