En la subespecialidad de ingeniería de seguridad de las ciencias de la computación , un sistema confiable es un sistema en el que se confía hasta cierto punto para hacer cumplir una política de seguridad específica . Esto equivale a decir que un sistema confiable es aquel cuya falla rompería una política de seguridad (si existe una política que se confía en hacer cumplir).
El significado de la palabra "confianza" es fundamental, ya que no tiene el significado que podría esperarse en el uso diario. Un sistema en el que confía un usuario, es aquel en el que el usuario se siente seguro de usar y confía para realizar tareas sin ejecutar en secreto programas dañinos o no autorizados; mientras que la computación confiable se refiere a si los programas pueden confiar en que la plataforma no se modificará de lo esperado, si esos programas son inocentes, maliciosos o ejecutan tareas que el usuario no desea.
El sistema de confianza también puede verse como un sistema de seguridad de base de nivel donde se proporciona protección y se maneja de acuerdo con diferentes niveles. Esto se encuentra comúnmente en el ejército, donde la información se clasifica como no clasificada (U), confidencial (C), Secreta (S), Top Secret (TS) y más. Estos también hacen cumplir las políticas de No lectura y No escritura.
Sistemas confiables en información clasificada
Un subconjunto de sistemas confiables ("División B" y "División A") implementan etiquetas de control de acceso obligatorio (MAC); como tal, a menudo se supone que se pueden utilizar para procesar información clasificada . Sin embargo, esto generalmente no es cierto. Hay cuatro modos en los que se puede operar un sistema seguro multinivel: modo multinivel, modo compartimentado, modo dedicado y modo de sistema alto. El "Libro amarillo" del Centro Nacional de Seguridad Informática especifica que los sistemas B3 y A1 solo pueden usarse para procesar un subconjunto estricto de etiquetas de seguridad, y solo cuando se operan de acuerdo con una configuración particularmente estricta.
Un elemento central del concepto de "sistemas confiables" al estilo del Departamento de Defensa de los EE. UU. Es la noción de un " monitor de referencia ", que es una entidad que ocupa el corazón lógico del sistema y es responsable de todas las decisiones de control de acceso. Idealmente, el monitor de referencia es (a) a prueba de manipulaciones, (b) siempre se invoca y (c) lo suficientemente pequeño como para estar sujeto a pruebas independientes, cuya integridad puede garantizarse. Según el Trusted Computer System Evaluation Criteria (TCSEC) de 1983 de la Agencia de Seguridad Nacional de EE. UU ., O "Orange Book", se definió un conjunto de "clases de evaluación" que describían las características y garantías que el usuario podía esperar de un sistema confiable.
La clave para la provisión de los niveles más altos de garantía (B3 y A1) es la dedicación de la ingeniería de sistemas significativa hacia la minimización de la complejidad (no el tamaño , como se cita a menudo) de la base informática confiable (TCB), definida como la combinación de hardware. , software y firmware que es responsable de hacer cumplir la política de seguridad del sistema.
Un conflicto de ingeniería inherente parecería surgir en los sistemas de mayor seguridad en el sentido de que, cuanto más pequeño es el TCB, mayor es el conjunto de hardware, software y firmware que se encuentra fuera del TCB y, por lo tanto, no es de confianza. Aunque esto puede llevar a los más técnicamente ingenuos a los argumentos de los sofistas sobre la naturaleza de la confianza, el argumento confunde el tema de la "corrección" con el de la "confiabilidad".
En contraste con la jerarquía definida con precisión por el TCSEC de seis clases de evaluación, la más alta de las cuales, A1, es característicamente idéntica a B3, difiriendo solo en los estándares de documentación, los Criterios Comunes (CC) introducidos más recientemente, que derivan de una combinación de más o Estándares menos maduros técnicamente de varios países de la OTAN : proporcionan un espectro más tenue de siete "clases de evaluación" que entremezclan características y garantías de una manera posiblemente no jerárquica y carecen de la precisión filosófica y la rigurosidad matemática del TCSEC. En particular, el CC tolera una identificación muy laxa del "objetivo de evaluación" (TOE) y respalda, incluso fomenta, una combinación de requisitos de seguridad seleccionados de una variedad de "perfiles de protección" predefinidos. Si bien se puede argumentar con fuerza que incluso los componentes aparentemente más arbitrarios de la TCSEC contribuyen a una "cadena de evidencia" de que un sistema de campo hace cumplir adecuadamente su política de seguridad anunciada, ni siquiera el nivel más alto (E7) de la CC puede proporcionar realmente consistencia análoga y rigor del razonamiento probatorio. [ cita requerida ]
Las nociones matemáticas de sistemas confiables para la protección de información clasificada derivan de dos cuerpos de trabajo independientes pero interrelacionados. En 1974, David Bell y Leonard LaPadula de MITRE, trabajando bajo la estrecha dirección técnica y el patrocinio económico del Mayor Roger Schell, Ph.D., del Comando de Sistemas Electrónicos del Ejército de los EE. UU. (Ft. Hanscom, MA), idearon lo que se conoce como el modelo Bell-LaPadula , en el que un sistema informático más o menos confiable se modela en términos de objetos (repositorios pasivos o destinos de datos, como archivos, discos, impresoras) y sujetos (entidades activas, tal vez usuarios o procesos del sistema). o hilos que operan en nombre de esos usuarios, que hacen que la información fluya entre los objetos). El funcionamiento completo de un sistema informático puede de hecho considerarse una "historia" (en el sentido teórico de la serialización) de piezas de información que fluyen de un objeto a otro en respuesta a las solicitudes de los sujetos de tales flujos.
Al mismo tiempo, Dorothy Denning de Purdue University publicaba su Ph.D. disertación, que se ocupó de los "flujos de información basados en celosías" en los sistemas informáticos. (Un "entramado" matemático es un conjunto parcialmente ordenado , caracterizable como un grafo acíclico dirigido , en el que la relación entre dos vértices cualesquiera es "domina", "está dominado por" o ninguno.) Ella definió una noción generalizada de " etiquetas ", que corresponden más o menos a las marcas de seguridad completas que uno encuentra en los documentos militares clasificados, por ejemplo , TOP SECRET WNINTEL TK DUMBO, que se adjuntan a las entidades. Bell y LaPadula integraron el concepto de Denning en su histórico informe técnico MITRE, titulado Secure Computer System: Unified Exposition and Multics Interpretation, en el que las etiquetas adheridas a los objetos representaban la sensibilidad de los datos contenidos dentro del objeto (aunque puede haber, y a menudo hay, una sutil diferencia semántica entre la sensibilidad de los datos dentro del objeto y la sensibilidad del objeto en sí), mientras que las etiquetas adjuntas a los sujetos representan la confiabilidad del usuario que ejecuta el sujeto. Los conceptos se unifican con dos propiedades, la "propiedad de seguridad simple" (un sujeto solo puede leer de un objeto que domina [ es mayor que una interpretación suficientemente cercana, aunque matemáticamente imprecisa]) y la "propiedad de confinamiento", o "* -propiedad" (un sujeto solo puede escribir sobre un objeto que lo domina). (Estas propiedades se denominan vagamente como "no leer" y "no escribir", respectivamente). Estas propiedades, que se aplican conjuntamente, garantizan que la información no pueda fluir "cuesta abajo" hacia un repositorio desde donde los destinatarios que no son lo suficientemente confiables pueden descubrirla. . Por extensión, asumiendo que las etiquetas asignadas a los sujetos son verdaderamente representativas de su confiabilidad, entonces las reglas de no lectura y no escritura aplicadas rígidamente por el monitor de referencia son probablemente suficientes para restringir los caballos de Troya , uno de los más clases de ataque ( sciz. , los gusanos y virus de los que se habla popularmente son especializaciones del concepto del caballo de Troya).
El modelo de Bell-LaPadula técnicamente solo aplica controles de "confidencialidad" o "secreto", es decir , abordan el problema de la sensibilidad de los objetos y la confiabilidad de los sujetos para no revelarlo de manera inapropiada. El problema dual de la "integridad" (es decir, el problema de la precisión, o incluso la procedencia de los objetos) y la confiabilidad concomitante de los sujetos para no modificarlo o destruirlo de manera inapropiada, es abordado por modelos matemáticamente afines; el más importante de los cuales lleva el nombre de su creador, KJ Biba . Otros modelos de integridad incluyen el modelo de Clark-Wilson y el modelo de integridad del programa de Shockley y Schell, "The SeaView Model" [1]
Una característica importante de los MAC es que están completamente fuera del control de cualquier usuario. La TCB adjunta etiquetas automáticamente a cualquier asunto ejecutado en nombre de los usuarios y archivos a los que acceden o modifican. Por el contrario, una clase adicional de controles, denominados controles de acceso discrecional (DAC), están bajo el control directo de los usuarios del sistema. Los mecanismos de protección familiares como los bits de permiso (admitidos por UNIX desde finales de la década de 1960 y, en una forma más flexible y poderosa, por Multics desde antes) y la lista de control de acceso (ACL) son ejemplos familiares de DAC.
El comportamiento de un sistema confiable a menudo se caracteriza en términos de un modelo matemático, que puede ser más o menos riguroso dependiendo de las restricciones operativas y administrativas aplicables que toma la forma de una máquina de estados finitos (FSM) con criterios de estado , restricciones de transición de estado , un conjunto de "operaciones" que corresponden a las transiciones de estado (por lo general, pero no necesariamente, una), y una especificación descriptiva de nivel superior (DTLS) que implica una interfaz perceptible por el usuario (por ejemplo, una API , un conjunto de llamadas al sistema [ en el lenguaje UNIX ] o salidas del sistema [en el lenguaje del mainframe ]); cada elemento de los cuales engendra una o más operaciones modelo.
Sistemas confiables en computación confiable
El Trusted Computing Group crea especificaciones que están destinados a abordar los requisitos particulares de los sistemas de confianza, incluyendo certificación de la configuración y el almacenamiento seguro de información sensible.
Sistemas confiables en el análisis de políticas
Los sistemas confiables en el contexto de la seguridad nacional o nacional , la aplicación de la ley o la política de control social son sistemas en los que se ha determinado alguna predicción condicional sobre el comportamiento de personas u objetos dentro del sistema antes de autorizar el acceso a los recursos del sistema. [2]
Por ejemplo, los sistemas confiables incluyen el uso de "sobres de seguridad" en aplicaciones de seguridad nacional y contra el terrorismo, iniciativas de " computación confiable " en seguridad de sistemas técnicos y el uso de sistemas de calificación crediticia o de identidad en aplicaciones financieras y antifraude; en general, incluyen cualquier sistema (i) en el que se utilice un análisis probabilístico de amenazas o riesgos para evaluar la "confianza" para la toma de decisiones antes de autorizar el acceso o para asignar recursos contra posibles amenazas (incluido su uso en el diseño de sistemas de restricciones para controlar comportamiento dentro del sistema), o (ii) en el que se utiliza el análisis de desviación o la vigilancia de sistemas para garantizar que el comportamiento dentro de los sistemas cumple con los parámetros esperados o autorizados.
La adopción generalizada de estas estrategias de seguridad basadas en autorización (donde el estado predeterminado es DEFAULT = DENY) para la lucha contra el terrorismo, la lucha contra el fraude y otros fines está ayudando a acelerar la transformación en curso de las sociedades modernas a partir de un modelo teórico becario de justicia penal basado en la rendición de cuentas. para acciones desviadas después de que ocurren - ver Cesare Beccaria , On Crimes and Punishment (1764) - a un modelo foucaultiano basado en la autorización, la preferencia y el cumplimiento social general a través de la vigilancia preventiva ubicua y el control a través de restricciones del sistema - ver Michel Foucault , Discipline and Punish (1975, Alan Sheridan , tr., 1977, 1995).
En este modelo emergente, la "seguridad" no está orientada a la vigilancia, sino a la gestión de riesgos a través de la vigilancia , el intercambio de información, la auditoría , la comunicación y la clasificación . Estos desarrollos han llevado a preocupaciones generales sobre la privacidad individual y la libertad civil y a un debate filosófico más amplio sobre las formas apropiadas de metodologías de gobernanza social .
Sistemas confiables en la teoría de la información
Los sistemas de confianza en el contexto de la teoría de la información se basan en la definición de confianza como "La confianza es lo que es esencial para un canal de comunicación pero no se puede transferir de una fuente a un destino utilizando ese canal" por Ed Gerck. [3]
En la teoría de la información, la información no tiene nada que ver con el conocimiento o el significado. En el contexto de la teoría de la información, la información es simplemente aquello que se transfiere de una fuente a un destino, utilizando un canal de comunicación. Si, antes de la transmisión, la información está disponible en el destino, la transferencia es cero. La información recibida por una de las partes es la que la parte no espera, medida por la incertidumbre de la parte en cuanto a cuál será el mensaje.
Del mismo modo, la confianza tal como la define Gerck no tiene nada que ver con la amistad, los conocidos, las relaciones empleado-empleador, la lealtad, la traición y otros conceptos demasiado variables. La confianza tampoco se toma en el sentido puramente subjetivo, ni como un sentimiento o algo puramente personal o psicológico; la confianza se entiende como algo potencialmente comunicable. Además, esta definición de confianza es abstracta, lo que permite que diferentes instancias y observadores en un sistema confiable se comuniquen basándose en una idea común de confianza (de lo contrario, la comunicación estaría aislada en dominios), donde todas las realizaciones subjetivas e intersubjetivas de confianza necesariamente diferentes en cada subsistema. (hombre y máquinas) pueden coexistir. [4]
Tomados en conjunto en el modelo de la teoría de la información, "la información es lo que no esperas" y "la confianza es lo que sabes". Al vincular ambos conceptos, la confianza se ve como "dependencia calificada de la información recibida". En términos de sistemas confiables, una afirmación de confianza no puede basarse en el registro en sí, sino en información de otros canales de información. [5] La profundización de estas cuestiones conduce a concepciones complejas de confianza que han sido estudiadas a fondo en el contexto de las relaciones comerciales. [6] También conduce a concepciones de información donde la "calidad" de la información integra confianza o confiabilidad en la estructura de la información en sí y del sistema (s) de información en que se concibe: mayor calidad en términos de definiciones particulares de exactitud y precisión significan mayor confiabilidad. [7]
Un ejemplo del cálculo de la confianza es "Si conecto dos sistemas confiables, ¿son más o menos confiables cuando se toman juntos?". [4]
El IBM Software Group Federal [8] ha sugerido que [3] proporciona la definición más útil de confianza para su aplicación en un entorno de tecnología de la información, ya que está relacionado con otros conceptos de la teoría de la información y proporciona una base para la medición de la confianza. En un entorno de servicios empresariales centrado en la red, dicha noción de confianza se considera [8] un requisito para lograr la visión de arquitectura colaborativa y orientada al servicio deseada.
Ver también
- Exactitud y precisión
- La seguridad informática
- Calidad de los datos
- Calidad de la información
- Computación confiable
Referencias
- ^ Lunt, Teresa y Denning, Dorothy y R. Schell, Roger y Heckman, Mark y R. Shockley, William. (1990). El modelo de seguridad de SeaView .. IEEE Trans. Software Eng .. 16. 593-607. 10.1109 / SECPRI.1988.8114. (Fuente)
- ^ El concepto de sistemas confiables que se describe aquí se analiza en Taipale, KA (2005). El problema de los sistemas fiables: envolventes de seguridad, análisis estadístico de amenazas y presunción de inocencia , seguridad nacional: tendencias y controversias, IEEE Intelligent Systems, vol. 20, núm. 5, págs. 80-83 (septiembre / octubre de 2005).
- ^ a b Feghhi, J. y P. Williams (1998) Trust Points , en Certificados digitales: seguridad de Internet aplicada. Addison-Wesley, ISBN 0-201-30980-7 ; Hacia modelos de confianza del mundo real: dependencia de la información recibida
- ^ a b Confianza como confianza calificada en la información, Parte I , The COOK Report on Internet, Volumen X, No. 10, enero de 2002, ISSN 1071-6327 .
- ^ Gregory, John D. (1997). John D. Registros legales electrónicos: ¿Autenticación bastante buena?
- ^ Huemer, L. (1998). Confianza en las relaciones comerciales: ¿lógica económica o interacción social? Umeå: Boréa. ISBN 91-89140-02-8 .
- ^ Ivanov, K. (1972). Control de calidad de la información: sobre el concepto de precisión de la información en los bancos de datos y en los sistemas de gestión de la información . Universidad de Estocolmo y The Royal Institute of Technology.
- ^ a b Daly, Christopher. (2004). Un marco Fiduciario para el Departamento de Defensa de red centrada en Enterprise Services (NCES) Medio ambiente, IBM Corp., 2004. (Solicitud de la IEEE Computer Society ISSAA Archivado 2011-07-26 en la Wayback Machine ).
enlaces externos
- Proyecto de la sociedad de la información mundial : un proyecto de investigación conjunto