Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Elaborado por:
Departamento de Control de
Calidad y Auditoría Informática
Subdirección de Sistemas
1
Vista General del Libro Naranja
(Orange Book)
Contenido
Introducción
D- Protección Mínima
C- Protección Discrecional.
C1- Protección de Seguridad discrecional.
C2- Protección de Acceso Controlado
B- Protección Obligatoria.
B1- Protección de Seguridad por Etiquetas
B2- Protección Estructurada
B3- Protección por Dominios
Protección Verificada
A1- Diseño verificado
A2- En Adelante
Reutilización de Objetos
Etiquetas
Integridad de Etiquetas
Subdirección de Sistemas
2
Vista General del Libro Naranja
(Orange Book)
Dispositivos Etiquetados
Identificación y Autentificación
Rutas Seguras
Auditoría
Recuperación Confiable
Pruebas de Seguridad
Administración de Configuración
Distribución Confiable
Pruebas de Documentación
Documentación de Pruebas
Diseño de Documentación
Glosario de Términos.
Bibliografia
Subdirección de Sistemas
3
Vista General del Libro Naranja
(Orange Book)
http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html
http://www.radium.ncsc.mil/tpep/library/rainbow/
Introducción
D Protección Mínima
C Protección Discrecional
B Protección Obligatoria
A Protección Controlada
Subdirección de Sistemas
4
Vista General del Libro Naranja
(Orange Book)
Políticas de Seguridad.
Seguridad
Subdirección de Sistemas
5
Vista General del Libro Naranja
(Orange Book)
Responsabilidad
Subdirección de Sistemas
6
Vista General del Libro Naranja
(Orange Book)
Confianza
Requisito 5 - ASEGURAMIENTO - el sistema informático debe contener
los mecanismos de hardware/software que puedan ser evaluados
independientemente para proporcionar una seguridad suficiente que el
sistema haga cumplir los requisitos 1 a 4 mencionados anteriormente.
Para asegurar que los requisitos de política de seguridad, marcas,
identificación, y responsabilidad de la seguridad son hechos cumplir por
Requisito 5 un sistema de cómputo, deben ser identificados como una colección
unificada de hardware y software que controle y ejecute esas
funciones. Estos mecanismos son típicamente incluidos en el sistema
operativo y se diseñan para realizar las tareas asignadas de una
manera segura. La base para confiar en tales mecanismos del sistema
operativo, radica en su configuración operacional, la cual debe ser
claramente documentada a fin de hacer posible el examinar
independientemente los eventos para su evaluación.
Subdirección de Sistemas
7
Vista General del Libro Naranja
(Orange Book)
Adquisición
El proporcionar las bases para especificar los requerimientos de
seguridad en adquisiciones determinadas.
D- Protección Mínima
Esta división contiene solamente una clase. Esta reservada para los
sistemas que han sido evaluados que pero que no pueden cumplir los
requisitos para una clase más alta de la evaluación.
C- Protección Discrecional
Las clases en esta división proporcionan una Protección discrecional
(necesidad – de - identificación) y, a través de inclusión de capacidades
de auditoria, exige la responsabilidad de los usuarios de las acciones
que realiza.
Subdirección de Sistemas
8
Vista General del Libro Naranja
(Orange Book)
Los siguientes son requisitos mínimos para los sistemas con asignación
de clase (C2):
Subdirección de Sistemas
9
Vista General del Libro Naranja
(Orange Book)
B- Protección Obligatoria
Los siguientes son los requisitos mínimos para los sistemas con
asignaron de grado de la clase B1:
Subdirección de Sistemas
10
Vista General del Libro Naranja
(Orange Book)
En los sistemas de clase B2, los TCB deben estar basados en una
documentación formal clara y contar con un modelo de política de
seguridad bien definido que requiera un control de acceso discrecional
y obligatorio, las imposiciones a los sistemas encontradas en la clase
B1, se deben extender a todos los eventos y objetos en sistemas ADP.
Además, los canales secretos son direccionados. El TCB se debe estar
cuidadosamente estructurado en elementos de protección críticos y
B2 elementos de protección no críticos. La interfaz de TCB deberá estar
bien definida así como el diseño y la activación de la implementación del
TCB le permiten ser sujeto de prueba y revisión más completa. Se
consolidan los mecanismos de autentificación, el manejo de recursos
seguros se proporciona en forma de ayuda para las funciones del
administrador y del operador del sistema, y se imponen controles
rigurosos de la administración de configuración. El sistema es
relativamente resistente a la penetración.
Los siguientes son requisitos mínimos para los sistemas con asignación
de grado de la clase B2:
Subdirección de Sistemas
11
Vista General del Libro Naranja
(Orange Book)
Protección Verificada
Subdirección de Sistemas
12
Vista General del Libro Naranja
(Orange Book)
A2 en adelante
La Propuesta hecha para los más altos niveles de seguridad se
denomina como A2, aunque sus requerimientos aun no han sido
definidos formalmente.
Subdirección de Sistemas
13
Vista General del Libro Naranja
(Orange Book)
IBM MVS/RACF
Protección de Seguridad
C1 Cualquier versión de UNIX ordinaria, que no ha
discrecional
sido enviada a una evaluación formal
B Protección Obligatoria
AT&T System V/MLS
Protección de seguridad UNISIS OS 1100
B1
por etiquetas SecuryWare: CMW+
IBM MVS/ESA
Honeywell Information System: Multics
B2 Protección Estructurada
Trusted Information System XENIX
A Protección Verificada
Honeywell Information System SCOMP
A1 Diseño verificado
Boeing Aerospace : SNS
Subdirección de Sistemas
14
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Políticas de seguridad
Control de acceso discrecional
Reutilización de Objetos
Etiquetas
Integridad de Etiquetas
Exportación de información etiquetada
Exportación de Dispositivos multinivel.
Exportación de Dispositivos de nivel único
Etiquetado de salidas legibles a la persona
Etiquetas sensitivas de eventos
Dispositivos etiquetados
Control de acceso obligatorio
Responsabilidad
Identificación y autentificación
Rutas seguras
Auditoria
Confianza
Arquitectura del sistema
Integridad del sistema
Pruebas de seguridad
Diseño de especificaciones y verificación
Análisis de canales secretos
Facilidad de administración de la seguridad
Administración de configuración
Recuperación confiable
Distribución confiable
Documentación
Guía del usuario sobre características de seguridad
Facilidades del manual de seguridad
Pruebas de documentación
Diseño de documentación
C1 C2 B1 B2 B3 A1
Subdirección de Sistemas
15
Vista General del Libro Naranja
(Orange Book)
Subdirección de Sistemas
16
C1 C2 B1 B2 B3 A1
Control de acceso discrecional
La TCB deberá Requerimientos No se tienen No se tienen Requerimientos No se tienen
definirse y controlar adicionales requerimientos requerimientos adicionales requerimientos
el acceso entre Definición de grupos adicionales adicionales El mecanismo de adicionales
usuarios registrados más ejecución debe de
y objetos registrados específicamente ser accesado
(por ejemplo, El mecanismo de mediante listas de
archivos y ejecución debe control
programas). En el proporcionar El control de acceso
sistema ADP controles para limitar debe ser capaz de
El mecanismo de la propagación de especificar a cada
ejecución (por permisos de acceso objeto registrado,
ejemplo controles de El mecanismo de una lista de nombres
usuario / grupo / control de acceso de personas con sus
publico, control de discrecional deberá respectivos modos
listas de acceso) Permitir ya sea una de acceso a ese
deberá permitirse a acción de un usuario objeto. Además,
los usuarios el explícito o un para cada uno de
especificar y default, proporciona los objetos
controlar el que los objetos sean registrados, de ser
compartir ciertos protegidos de posible especificar
objetos a individuos accesos no una lista de los
registrados o grupos autorizados. individuos
definidos o ambos. Este control de registrados y una
acceso debe ser lista de los grupos o
capaz de incluir o personas
excluir el acceso de registradas con
usuarios. acceso denegado
El permiso de del grupo,
acceso de un objeto
para usuarios que
ya no poseen el
permiso de acceso
deberá ser asignado
sólo por los usuarios
autorizados
Subdirección de Sistemas
17
Vista General del Libro Naranja
(Orange Book)
Reutilización de Objetos
C1 C2 B1 B2 B3 A1
Reutilización de objetos
No se requiere Todas las autorizaciones No se tienen No se tienen No se tienen No se tienen
para la información requerimientos requerimientos requerimientos requerimientos
contenida con un adicionales adicionales adicionales adicionales
almacenamiento de objetos
deberán ser revocadas
previamente o con una
asignación inicial,
asignación o reasignación
del tema desde el pool del
TCB de los objetos no
utilizados y almacenados.
La información, incluyendo
la representación encriptada
de la información, producida
por las aciones de un evento
previo debe de estar
disponible para cualquier
evento que obtenga el
acceso de un objeto que ha
sido ya regresado al sistema
Subdirección de Sistemas
18
Vista General del Libro Naranja
(Orange Book)
Etiquetas
C1 C2 B1 B2 B3 A1
Etiquetas
No se requiere No se requiere Etiquetas sensitivas Requerimientos No se tienen No se tienen
asociadas con cada evento adicionales requerimientos requerimientos
y objeto almacenado bajo Las etiquetas adicionales adicionales
su control (p.e. procesos, sensitivas asociadas
archivos, segmentos, con cada recurso del
dispositivos) deben ser sistema ADP (p.e.
mantenidos por el TCB. eventos, objetos
Estas etiquetas deberán almacenados, ROM)
ser utilizadas como las que son
bases para las decisiones directamente o
del control del acceso indirectamente
obligatorio. En orden de accesados por
importancia de datos no eventos externos a
etiquetados, el TCB debe él TCB debe ser
solicitar y recibir de un mantenido por el
usuario autorizado el nivel TCB
de seguridad de esos
datos, y todas las acciones
deberán ser auditadas por
el TCB
Subdirección de Sistemas
19
Vista General del Libro Naranja
(Orange Book)
Integridad de Etiquetas
La integridad de etiquetas asegura que las etiquetas sensitivas asociadas con eventos
y objetos tienen una representación exacta de los niveles de seguridad de estos
eventos y objetos
Así una etiqueta sensitiva como TOP SECRET [VENUS] deberá estar asociado con
un archivo TOP SECRET que contiene información acerca del planeta Venus
C1 C2 B1 B2 B3 A1
Integridad de etiquetas
No se requiere No se requiere Las Etiquetas No se tienen No se tienen No se tienen
sensitivas deberán requerimientos requerimientos requerimientos
representar con adicionales adicionales adicionales
precisión los niveles
de los eventos
específicos u
objetos con los que
estos están
asociados
Cuando son
exportados por el
TCB, las etiquetas
sensitivas deberán
precisar y
representar sin
ambigüedad las
etiquetas internas y
deberán estar
asociadas con la
información que esta
siendo exportada.
Subdirección de Sistemas
20
Vista General del Libro Naranja
(Orange Book)
Subdirección de Sistemas
21
Vista General del Libro Naranja
(Orange Book)
Dispositivo Multinivel
C1 C2 B1 B2 B3 A1
Exportación en dispositivos múltinivel
No se requiere No se requiere Cuando el TCB exporta un objeto que es No se tienen No se tienen No se tienen
multinivel o un dispositivo de entrada / requerimiento requerimiento requerimientos
salida, la etiqueta sensitiva asociada con s adicionales s adicionales adicionales
ese objeto también deberá ser exportada y
permanecer residente en el mismo medio
físico que la información exportada y deberá
estar en la misma forma (p.e. de forma
legible a la máquina o en forma legible a la
persona). Cuando el TCB exporta o importa
un objeto sobre un canal de comunicación
multinivel, el protocolo usado en ese canal
deberá proporcionar una paridad que evite
ambigüedad entre las etiquetas sensitivas y
la información asociada que se esta
enviando o recibiendo
Subdirección de Sistemas
22
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Exportación en dispositivos de nivel único
No se requiere No se requiere Los dispositivos de niel No se tienen No se tienen No se tienen
único de canales de requerimientos requerimientos requerimientos
comunicaciones de entrada / adicionales adicionales adicionales
salida no son requeridas
para mantener las etiquetas
sensibles de la información
que procesan
De cualquier modo, el TCB
debe incluir un mecanismo
para que el TCB y un
usuario autorizado fiable
comunique y designe el
nivel único de seguridad de
la información importada o
exportada vía canal de
comunicaciones de nivel
sencillo o dispositivo de
entrada / salida.
Subdirección de Sistemas
23
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Etiquetas de salida legibles al humano
No se requiere No se El administrador del sistema ADP debe ser No se tienen No se tienen No se tienen
requiere capaz de especificar los nombres de las requerimient requerimientos requerimiento
etiquetas imprimibles asociados con las os adicionales s adicionales
etiquetas sensitivas exportables adicionales
El TCB debe marcar el inicio y el fin de todas las
etiquetas sensitivas legibles a la persona que
representen sensitivamente la salida. El TCB
deberá, por omisión marcar el límite inferior y
superior de cada página legible al hombre,
compaginada, de la salida impresa (p.e. Salidas
de la impresora) con una etiqueta sensitiva
legible al hombre que represente
apropiadamente la sensitividad global de la
salida o que represente apropiadamente la
sensitividad de la información de cada página.
Cualquier anulación de estas marcas por defecto
deben ser auditables por el TCB
Subdirección de Sistemas
24
Vista General del Libro Naranja
(Orange Book)
Las etiquetas sensitivas de eventos requieren estados que el sistema pueda notificar
a determinado usuario de algún cambio en el nivel de seguridad asociado con un
usuario durante una sesión interactiva. Este requerimiento se aplica de los sistemas
evaluados B2 en adelante.
La idea de las etiquetas sensitivas a eventos es que el usuario siempre conozca el
nivel de seguridad en el que esta trabajando. Los sistemas confiables típicamente
despliegan el "clearance" cuando se establece sesión y lo despliegan nuevamente si
el nivel de seguridad tiene algún cambio, o automáticamente a petición del usuario.
C1 C2 B1 B2 B3 A1
Etiquetas sensitivas de eventos
No se requiere No se requiere No se requiere El TCB debe No se tienen No se tienen
notificar requerimientos requerimientos
inmediatamente a la adicionales adicionales
terminal del usuario
de cada cambio en
el nivel de seguridad
asociado con ese
usuario durante una
sesión interactiva.
La terminal de
usuario debe de ser
capaz de buscar el
TCB cuando lo
desee para
desplegar en un
evento con etiqueta
sensitiva.
Subdirección de Sistemas
25
Vista General del Libro Naranja
(Orange Book)
Dispositivos Etiquetados
Los dispositivos etiquetados requieren estados que cada dispositivo físico tenga
adicionados en el sistema que definan niveles mínimos y máximos de seguridad
asociados a ellos, y todos estos son usados para "reforzar las restricciones impuestas
por el medio ambiente físico en el cual el dispositivo esta localizado".
Para un dispositivo multinivel, se debe de especificar el nivel mínimo de la información
que puede ser enviada a este dispositivo (el mínimo para el dispositivo) y el nivel más
alto de información que puede ser enviada al dispositivo (el máximo del dispositivo).
Para un dispositivo de un nivel único, el nivel mínimo es el mismo que el nivel máximo
C1 C2 B1 B2 B3 A1
Dispositivos Etiquetados
No se requiere No se requiere No se requiere El TCB debe No se tienen No se tienen
soportar la requerimientos requerimientos
asignación de un adicionales adicionales
nivel mínimo y
máximo para todo
dispositivo físico
adjunto. Estos
niveles de seguridad
deben de ser
usados por el TCB
para reforzar las
condiciones
impuestas por el
medio ambiente
físico en cada uno
de los dispositivos
físicos localizados
Subdirección de Sistemas
26
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Control de acceso obligatorio
No se requiere No se requiere El TCB debe reforzar las Requerimientos No se tienen No se tienen
políticas del control de acceso adicionales requerimientos requerimientos
obligatorio de todos los El TCB debe reforzar adicionales adicionales
sujetos y objetos las políticas del control
almacenados (procesos, de acceso obligatorio
archivos, dispositivos, etc.) A para todos los
estos sujetos y objetos debe recursos(usuarios,
ser asignado una etiqueta objetos almacenados,
sensitiva que sean una dispositivos de entrada
combinación e clasificación / salida) que sean
por nivel jerárquico y accesibles directa o
categorías no jerárquicas, y indirectamente por
las etiquetas deberán ser usuarios externos al
usadas como la base de las TCB.
decisiones para el control de Los requerimientos
acceso obligatorio deberán mantenerse
El TCB debe ser capaz de para todos los accesos
soportar dos o más niveles de entre todos los
seguridad, los siguientes usuarios externos a él
requerimientos deberán TCB y todos los
mantenerse para todos los objetos accesibles
accesos entre sujetos y directa o
objetos controlados por el indirectamente por
TCB. estos usuarios.
Subdirección de Sistemas
27
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Subdirección de Sistemas
28
Vista General del Libro Naranja
(Orange Book)
Identificación y Autentificación
Subdirección de Sistemas
29
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Identificación y autentificación
El TCB debe Requerimientos Requerimientos No se tienen No se tienen No se tienen
solicitar la adicionales adicionales requerimientos requerimientos requerimientos
identificación de los El TCB debe ser capaz El TCB debe mantener adicionales adicionales adicionales
usuarios antes de de reforzar las cuentas los datos de
empezar a ejecutar individuales al autentificación que
cualquier acción proporcionar la incluyen la información
que el TCB deba de capacidad de para verificar la
ejecutar. identificación única a identidad de los
El TCB debe usar cada usuario individual usuarios (password)
algún mecanismo de ADP. Así como la información
protección El TCB debe también para detectar la
(passwords) para proporcionar la autorización de usuarios
autentificar la capacidad de asociar individuales. Los datos
identidad del la identidad con toda deben ser usados por el
usuario. acción audible elegida TCB para autentificar la
El TCB debe por esa persona. identidad de los
proteger los datos usuarios y asegurar que
de autentificación de el nivel de seguridad y
manera que no la autorización de todos
puedan ser los usuarios externos al
accesados por TCB puedan ser
usuarios no creados para actuar en
autorizados nombre del usuario
individual que se
documenta por el pase y
la autorización del tipo
de usuario
Subdirección de Sistemas
30
Vista General del Libro Naranja
(Orange Book)
Rutas Seguras
Una ruta segura proporciona un medio libre de errores, por el cual un usuario
(típicamente una terminal o un a estación de trabajo) puede comunicarse directamente
con un TCB sin interactuar con el sistema a través de aplicaciones inseguras (y
posiblemente poco fiables) y capas del sistema operativo. Una ruta segura es un
requerimiento para sistemas clasificados como B2 en adelante.
C1 C2 B1 B2 B3 A1
Rutas seguras
No se requiere No se requiere No se requiere El TCB debe Requerimientos No se tienen
soportar una ruta adicionales requerimientos
segura de El TCB debe adicionales
comunicaciones soportar una ruta
entre él y un usuario segura de
para su comunicaciones
identificación y entre él y usuarios
autentificación. La para usarse cuando
comunicación vía una conexión TCB a
esta ruta deberá ser usuario es requerida
iniciada (login, cambiar algún
exclusivamente por nivel de seguridad).
el usuario Las comunicaciones
vía ruta segura
deben ser activadas
exclusivamente por
el usuario o el TCB y
deben ser aisladas y
libres de errores así
como distinguibles
de otras conexiones
Subdirección de Sistemas
31
Auditoría
Subdirección de Sistemas
32
Vista General del Libro Naranja
(Orange Book)
Subdirección de Sistemas
33
C1 C2 B1 B2 B3 A1
Auditoría
No se requiere El TCB debe ser capaz Requerimientos Requerimientos Requerimientos No se tienen
de crear, mantener y adicionales adicionales adicionales requerimientos
proteger de El TCB también debe El TCB debe ser El TCB debe contar adicionales
modificaciones, o acceso ser capaz de auditar capaz de auditar los con un mecanismo
de usuarios no cualquier sustitución eventos con la capacidad de
autorizados o destrucción de marcas de salida identificados que monitorear las
de pistas de auditoria o legibles al humano pueden ser usados ocurrencias o
accesos a objetos Para eventos que en la explotación o acumulación de
protegidos. La auditoría introducen un objeto cubierta de canales eventos de
de datos debe ser dentro del espacio de almacenamiento seguridad auditable
protegida por el TCB de direccionable del que pueden indicar
accesos de lectura o usuario y para borrar de una inminente
limitar a quien esta eventos de objetos el violación a las
autorizado para auditar registro de auditoria políticas de
los datos. debe incluir el seguridad. Este
El TCB debe ser capaz nombre de los mecanismo deberá
de registrar los siguientes objetos y el nivel de de ser capaz de
tipos de eventos: Uso de seguridad del objeto. notificar
mecanismos de El administrador de inmediatamente al
identificación y sistema ADP debe administrador de
autentificación, ser capaz de auditar seguridad cuando se
introducción de objetos selectivamente las excede el umbral, y
en el espacio acciones de algún o si la acumulación de
direccionable del usuario varios usuarios ocurrencias de
(apertura de archivos, basándose en la eventos relevantes
inicialización de identidad individual de seguridad
programas), eliminación y/o nivel de continua, el sistema
de objetos, acciones seguridad de los deberá tomar la
tomadas por operadores objetos. última acción
de la computadora y disolvente que
administradores del termine con este
sistema evento
Subdirección de Sistemas
34
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Auditoría
y/o administradores de
la seguridad del
sistema, y otros
eventos relevantes del
sistema. Para cada
evento registrado, el
registro de auditoria
deberá identificar:
fecha y hora del
evento, y si el evento
fue exitoso o fallo el
evento. La
identificación /
autentificación de
eventos que originan
la petición (ID de la
terminal) deberán ser
incluidos en el registro
de auditoria
El administrador de
sistema ADP, debe
ser capaz de
seleccionar las
acciones a auditar de
uno o de varios
usuarios basándose
en la identidad
individual
Subdirección de Sistemas
35
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Arquitectura del sistema
EL TCB debe Requerimientos Requerimientos Nuevos Requerimientos No se tienen
mantener un adicionales: adicionales Requerimientos para adicionales requerimientos
dominio para su El TCB debe aislar los El TCB debe B2 El TCB debe diseñar adicionales
propia ejecución recursos a ser mantener procesos El TCB debe y estructurar el uso
que lo proteja protegidos de manera aislados así como mantener un completo, de un
de interferencia que los usuarios proporcionar distintas dominio para su mecanismo de
externa o tengan control de direcciones de espacio propia ejecución de protección,
falsificaciones acceso y bajo su control protecciones de conceptualmente
(Ej. Para requerimientos de interferencia externa simple con definición
modificación de auditoría o falsificaciones(Ej. semántica precisa.
su código o Para modificación Este mecanismo debe
estructura de de su código o jugar un papel central
datos). estructura de datos). en el reforzamiento de
la estructura interna
entre el TCB y el
sistema.
Subdirección de Sistemas
36
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Arquitectura del sistema
Los recursos El TCB debe mantener El TCB debe No se tienen
controlados por procesos aislados así incorporar el uso requerimientos
el TCB pueden como proporcionar significativo de adicionales
ser definidos en dirección de espacios capas, abstracción y
un subgrupo así distintas bajo su control. ocultamiento de
como los El TCB debe estar datos.
usuarios y estructurado internamente
objetos en el dentro de una bien Una aplicación de
sistema ADP. definido módulo ingeniería de
independiente. sistemas
El módulo TCB debe ser significativa debe
diseñado bajo el principio ser directamente
de que los privilegios sean conducida
reforzados, minimizando la
Características de complejidad del TCB
hardware, así como y excluyendo de los
segmentación, debe ser módulos del TCB los
usado para soportar objetos que no
lógicamente distinciones presentan
de objetos almacenados protección crítica
con atributos separados
(nombrar, leer y escribir).
La interfaz de usuario del
TCB debe ser
completamente definida y
todos los elementos del
TCB identificados
Subdirección de Sistemas
37
Vista General del Libro Naranja
(Orange Book)
La integridad del sistema significa que el hardware y el firmware debe trabajar y debe
ser probado para asegurar que trabaje adecuadamente, Para todos los niveles, el libro
naranja establece “las características de hardware y software que deben ser
proporcionadas para ser usadas y periódicamente validadas para la correcta operación
del hardware instalado y los elementos firmware del TCB
La integridad de sistema una meta de vital importancia para todos los desarrolladores
de sistemas, y no solo desarrolladores de sistemas seguros. Como ya se ha
mencionado anteriormente, un elemento muy importante de un sistema de seguridad es
la habilidad de que el sistema funcione como se espera y permanecer en operación
Muchos vendedores miden los requerimientos de integridad del sistema, al proveer de
un juego de pruebas de integridad, EL más substancial diagnostico es hacer un
programa calendarizado de periodos de mantenimiento preventivo.
C1 C2 B1 B2 B3 A1
Integridad del sistema
Las características No se tienen No se tienen No se tienen No se tienen No se tienen
del hardware y/o el requerimientos requerimientos requerimientos requerimientos requerimientos
software deben ser adicionales adicionales adicionales adicionales adicionales
proporcionadas para
ser usadas y
periódicamente
validadas su
correcta operación
así como los
elementos de
hardware y firmware
del TCB
Subdirección de Sistemas
38
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Análisis de canales secretos
No se requiere No se requiere No se requiere El sistema desarrollado Requerimientos Requerimientos
deberá comportarse adicionales: adicionales:
completamente, buscando la Búsqueda de todos Métodos formales
simulación de canales de los canales deben de ser
almacenamiento y haciendo simulados usados en el análisis
determinaciones (para las (almacenamiento y
mediciones actuales o por temporización)
estimaciones de ingeniería) o
el máximo ancho de banda de
cada canal identificado
Subdirección de Sistemas
39
Vista General del Libro Naranja
(Orange Book)
Administración de Seguridad
C1 C2 B1 B2 B3 A1
Facilidad de administración de la seguridad
No se requiere No se requiere No se requiere El TCB debe Requerimientos adicionales No se tienen
soportar Las funciones ejecutadas en requerimientos
separadamente el papel del administrador de adicionales
las funciones de seguridad deben ser
administrador y identificadas. El Personal de
operador Administración del sistema
ADP, deberá solo ser capaz
de ejecutar funciones de
administrador de seguridad
Subdirección de Sistemas
40
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Facilidad de administración de la seguridad
No se requiere No se requiere No se requiere El TCB debe soportar después de tomar una No se tienen
separadamente las acción auditable requerimientos
funciones de distinguible al asumir el adicionales
administrador y papel de administrador
operador de la seguridad en el
sistema ADP. Las
funciones que no son de
seguridad que pueden
ser ejecutadas por el
papel de administrador
de seguridad deberán
limitarse estrictamente a
lo más esencial para
ejecutar la seguridad
efectivamente
Subdirección de Sistemas
41
Vista General del Libro Naranja
(Orange Book)
Recuperación Confiable
Si una falla inesperada ocurre, como una falla de disco duro, o un corte de corriente
eléctrica, se debe recuperar el sistema de acuerdo con ciertos procedimientos para
asegurar la continuidad de la seguridad en el sistema. Este procedimiento también
puede ser requerido si se detecta un problema del sistema, como recursos perdidos, o
una base de datos inconsistente o cualquier cosa que comprometa el sistema
C1 C2 B1 B2 B3 A1
Recuperación confiable
No se requiere No se requiere No se requiere No se requiere Los procedimientos y/o No se tienen
mecanismos deberán requerimientos
ser proporcionados adicionales
para asegurar que,
después de una falla
del sistema ADP u otra
discontinuidad, el
sistema se recupere sin
un obtener compromiso
de protección
Subdirección de Sistemas
42
Vista General del Libro Naranja
(Orange Book)
Diseño de Especificaciones y
Verificación
Subdirección de Sistemas
43
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Diseño de especificaciones y verificación
No se requiere No se requiere Un modelo formal o Requerimientos Requerimientos Requerimientos
informal de las adicionales para B2 adicionales adicionales
políticas de Un modelo formal de Un argumento Una especificación
seguridad soportadas la política de seguridad convincente deberá formal de alto nivel
por el TCB que soportada por el TCB ser proporcionado (FTLS) del TCB que
deberá ser deberá ser mantenida de que el DTLS es deberá ser mantenido y
mantenido durante durante todo el ciclo consistente con el precisamente descrito el
todo el ciclo de vida de vida del sistema modelo TCB en términos de
del sistema ADP y ADP que deberá excepciones, mensajes
demostración de ser proporcionar de error y efectos. EL
consistente con su consistencia con su DTLS y el FTLS deberá
axioma axioma. Especificación incluir los componentes
descriptiva de alto del TCB que están
nivel (DTLS) del TCB implementados como
en términos de hardware y/o firmware si
excepciones, sus propiedades son
mensajes de error y visibles para él la
efectos. Este deberá interfaz del TCB. Una
ser mostrado de ser combinación de técnicas
una descripción exacta formales e informales
de la interfaz del TCB deberá ser usada para
mostrar que el FTLS es
consistente con el
modelo.
Subdirección de Sistemas
44
Vista General del Libro Naranja
(Orange Book)
Pruebas de Seguridad
Subdirección de Sistemas
45
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Pruebas de seguridad
Los mecanismos Requerimientos Requerimientos Requerimientos Requerimientos Requerimientos
de seguridad del adicionales adicionales para B1 adicionales adicionales adicionales
sistema ADP Las pruebas Los mecanismos de El TCB deberá ser El TCB deberá ser Las pruebas
deberá ser deberán también seguridad del sistema encontrado encontrado deberán demostrar
probado y ser incluidas en la ADP deberán ser relativamente resistente a que la
encontrado búsqueda de probados y encontrados resistente a penetraciones, implementación del
trabajando y banderas obvias trabajando con la penetración Ninguna bandera de TCB es consistente
exigido en la que puedan documentación del Al probar todo diseño y ninguna con la especificación
documentación del permitir una sistema. deberá demostrarse bandera de formal de alto nivel
sistema. Las violación de Un equipo de que la implementación sin El manual u otros
pruebas deberán recursos aislados, individuos que implementación del correcciones debe mapas del FTLS del
ser hechas para o que puedan entiendan TCB es consistente ser encontrada código fuente
asegurar que no permitir el acceso completamente la con la descripción durante las pruebas pueden formar
hay caminos no autorizado de implementación de especificación de y deberán ser bases para las
obvios para acceso auditoría o específica del TCB alto nivel. razonablemente pruebas de
de usuarios no autentificación de deberá diseñar confidenciales las penetración.
autorizados o datos documentación, código pocas que queden.
cualquier otra falla fuente y código objeto
en el mecanismo para el análisis
de protección de la completo y Las
seguridad del TCB pruebas.
Estos objetivos deberán
descubrir todo el
diseño y la
implementación de
banderas que pudieran
permitir a un sujeto
externo al TCB el leer,
cambiar o borrare datos
normalmente
denegados bajo
políticas de seguridad
discrecional u
Subdirección de Sistemas
46
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Pruebas de seguridad
obligatorias reforzadas
por el TCB, así como el
asegurar que ningún
sujeto (sin autorización
para hacerlo) sea capaz
de causar que el TCB
entre en un estado tal
que sea incapaz de
responder a
comunicaciones
iniciadas por otros
usuarios. Todas las
banderas descubiertas
deberán ser removidas
o neutralizadas y el
TCB vuelto a probar
para demostrar que
estas han sido
eliminadas y que
nuevas banderas no
han sido introducidas
Subdirección de Sistemas
47
Vista General del Libro Naranja
(Orange Book)
Administración de Configuración
Segundo, hace posible el regresar a versiones previas del sistema. Esto es importante,
si por ejemplo, un problema de seguridad es encontrado en una versión del sistema
que no tenían en una versión anterior.
Para cumplir los requerimientos de la administración de configuración se necesita:
• Asignar un identificador único para cada elemento configurable
• Desarrollar un plan de administración de la configuración
• Registrar todos los cambios de elementos de configuración (en línea y fuera de
línea)
• Establecer un tablero de control e configuraciones
Subdirección de Sistemas
48
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Administración de configuración
No se requiere No se requiere No se requiere Durante el desarrollo y No se tienen Nuevos Requerimientos
mantenimiento del TCB, requerimientos para A1
una administración de adicionales Durante el ciclo
configuraciones deberá completo de vida...
tomar lugar en el control de durante el diseño,
mantenimiento de los desarrollo, y
cambios en la mantenimiento del TCB,
especificación descriptiva una administración de
de alto nivel y otros datos configuraciones deberá
de diseño, documentación tener lugar para todos el
de implementación, código hardware, firmware y
fuente, las versiones software relacionado
corridas del código objeto y con la seguridad y debe
las pruebas de de mantenerse un
correcciones y control formal de
documentación. mantenimiento de todos
los cambios al
Subdirección de Sistemas
49
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Administración de configuración
La administración de modelo formal las
configuraciones del sistema especificaciones descriptiva y
deberá asegurar un mapeo formal de alto nivel, otros
consistente entre toda la datos de diseño,
documentación y el código documentación e
asociado con las versiones implementación, código
actuales del TCB. Las fuente, la versión actual del
herramientas deberán tenerse código objeto, las pruebas de
para generar una nueva versión reparaciones y la
del TCB desde el código fuente. documentación. La
También deberán estar administración de
disponibles las herramientas configuraciones del sistema
para hacer comparaciones de la deberá asegurar un mapeo
nueva versión generada, con la consistente entre toda la
versión previa del TCB en orden documentación y el código
a determinar que sólo los asociado con las versiones
cambios proyectados han sido actuales del TCB. Las
hechos en el código que herramientas deberán tenerse
actualmente se esta usando para generar una nueva
como la nueva versión del TCB versión del TCB desde el
código fuente. También las
herramientas deberán ser
mantenidas bajo un estricto
control de configuraciones
para comparar una versión
nueva generada desde el
TCB en orden a determinar
que sólo los cambios
proyectados han sido hechos
en el código que actualmente
se esta usando.
Subdirección de Sistemas
50
Vista General del Libro Naranja
(Orange Book)
Distribución Confiable
Subdirección de Sistemas
51
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Distribución Confiable
No se requiere No se requiere No se requiere No se requiere No se requiere Un sistema de control
ADP confiable y
facilidad de distribución
deberá ser
proporcionada para
mantener la integridad
del mapeo entre los
datos maestros que
describen la versión
actual del TCB y la
copia maestra en sitio
del código del la
versión actual. Los
procedimientos (Prueba
de aceptación de la
seguridad del sitio)
deberá existir para
asegurar que el
software, firmware y
actualización del
hardware del TCB,
distribuido a los clientes
es exactamente como
se especifica en las
copias principales.
Subdirección de Sistemas
52
Vista General del Libro Naranja
(Orange Book)
• Acceso al sistema seguro. Como se debe introducir el login y el password, con que
frecuencia debe de cambiarse, que mensajes deben de verse, cómo deben de
usarse estos mensajes para reforzar la seguridad del sistema
• Protección de archivos y otro tipo de información. Cómo se debe de especificar una
lista de control de acceso (o protecciones similares)
• Importar y exportar archivos Como leer nuevos datos dentro del sistema confiable y
como escribir datos de otros sistemas sin arriesgar la seguridad
C1 C2 B1 B2 B3 A1
Guía del usuario de características de seguridad
Un resumen sencillo, No se tienen No se tienen No se tienen No se tienen No se tienen
capítulo o manual en requerimientos requerimientos requerimientos requerimientos requerimientos
la documentación del adicionales adicionales adicionales adicionales adicionales
usuario que describa
los mecanismos de
protección
proporcionados por el
TCB, lineamientos
sobre su uso y como
interactuar con otros.
Subdirección de Sistemas
53
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Facilidades del manual de seguridad
Un Requerimientos Requerimientos Requerimientos Requerimientos No se tienen
direccionamiento adicionales adicionales adicionales adicionales requerimientos
manual por parte Los procedimientos EL manual deberá Los módulos del Se deberán incluir adicionales
del administrador para examinar y describir las TCBN que contienen los procedimientos
del sistema ADP mantener los funciones del los mecanismos de para asegurar que el
deberá presentar archivos de auditoría operador y del validación de sistema es
avisos sobre sus así como las administrador referencias deberán inicialmente
funciones y estructuras de los relativas a la ser identificables. arrancado de una
privilegios que registros detallados seguridad, al incluir Los procedimientos modo seguro, Los
deberá de controlar de auditoría para los cambios de las para una operación procedimientos
cuando ejecuta cada tipo de evento características de segura de un nuevo deberán también
una instalación auditable debe ser seguridad para los TCB desde origen, estar incluidos en el
segura proporcionado usuarios. después de compendio de
modificarse por operación del
cualquier módulo en sistema de
el TCB deberá ser seguridad después
descrito de cualquier lapso
de operación del
sistema
Subdirección de Sistemas
54
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Facilidades del manual de seguridad
Este deberá
proporcionar
lineamientos para el
uso consistente y
efectivo de las
características de
protección del
sistema, como
deberá interactuar,
como generar una
nueva TCB segura y
los procedimientos
de instalación,
advertencias, y
privilegios que
deberán ser
controlados para
operar las
instalaciones de una
manera segura
Subdirección de Sistemas
55
Vista General del Libro Naranja
(Orange Book)
Documentación de Pruebas
Para el libro naranja, consiste en mostrar como los mecanismos de seguridad fueron
probados, y los resultados de los mecanismos de seguridad con pruebas funcionales
El tener buena documentación de pruebas es generalmente sencillo pero voluminoso.
Es común que la documentación de pruebas para los sistemas C1 y C2 consista en
varios volúmenes de descripción de pruebas y resultados
C1 C2 B1 B2 B3 A1
Documentación de pruebas
El desarrollador del No se tienen No se tienen Requerimientos No se tienen Requerimientos
sistema deberá requerimientos requerimientos adicionales requerimientos adicionales
proporcionar a los adicionales adicionales Se deberá incluir los adicionales Los resultados del
evaluadores un resultados de las mapeo ente las
documento que pruebas de falta de especificaciones
describa el plan de efectividad de los formales de alto
pruebas, métodos usados para nivel y el código
procedimientos de reducir los anchos de fuente del TCB
prueba que banda de los canales deberán ser
muestren como los secretos proporcionadas
mecanismos son
probados, y los
resultados de las
pruebas funcionales
de los mecanismos
de seguridad
Subdirección de Sistemas
56
Vista General del Libro Naranja
(Orange Book)
Diseño de Documentación
Las dos mayores metas del diseño de documentación son: el probar al equipo de
evaluación que el sistema cumple con el criterio de evaluación y el auxiliar al equipo
de diseño y desarrollo para ayudar a definir las políticas del sistema de seguridad y
como hacer que las políticas se lleven a cabo durante la implementación.
C1 C2 B1 B2 B3 A1
Diseño de documentación
La No se tienen Requerimientos Requerimientos Requerimientos Requerimientos
documentación requerimientos adicionales adicionales adicionales adicionales
que proporcione adicionales Una descripción formal Las interfaces entre los La implementación La implementación
una descripción o informal del modelo módulos del TCB del TCB (hardware, del TCB deberá ser
de la filosofía del de las políticas de deberán ser descritos firmware y software) informalmente
fabricante sobre seguridad reforzado El modelos de deberá ser mostrada para ser
protección deberá por el TCB deberá políticas de seguridad informalmente consistente con la
estar disponible, estar disponible para deberá ser formal y mostrada y ser especificación
y una explicación dar una explicación de probado. consistente con el formal de alto nivel
de cómo esta que es suficiente el La especificación DTLS. Los (FTLS).
filosofía es reforzar las políticas descriptiva de alto nivel elementos del DTLS Los elementos del
trasladada de seguridad. (DTLS) deberá ser deberán ser FTLS deberán ser
dentro, mostrada en una mostrados, usando mostrados, usando
descripción exacta de técnicas técnicas
la interfaz del TCB. .
Subdirección de Sistemas
57
Vista General del Libro Naranja
(Orange Book)
C1 C2 B1 B2 B3 A1
Diseño de documentación
del TCB, sí el El mecanismo de La documentación de información, con de información, con
TCB es protección específica describirá como el TCB su correspondiente su correspondiente
compuesto por del TCB deberá ser implementa el elemento del TCB elemento del TCB
distintos módulos identificable y una concepto de monitor Los mecanismos de
las interfaces explicación que de referencia y dar hardware, firmware
entre estos demuestre cómo éste una explicación de y software no
módulos deberá mecanismo satisface porque es resistente a compartidos con el
ser descrita. el modelo. penetración, y no FTLS pero
puede ser traspasado, estrictamente
y es correctamente internos del TCB
implementado. (mapeo de registros,
La documentación acceso directo a
deberá describir como memoria de
el TCB se estructura entrada/salida),
para pruebas de deberá ser
instalación y reforzar claramente descrito.
los menores privilegios.
Esta documentación
deberá también
presentar los
resultados del análisis
de los canales
secretos y los
intercambios
involucrados al
restringir los canales.
Todos los eventos
auditables que pueden
ser usados en la
explotación de conocer
canales de almacenaje
secretos, deberán ser
identificados
Subdirección de Sistemas
58
Glosario de Términos
Subdirección de Sistemas
59
Vista General del Libro Naranja
(Orange Book)
Bibliografía
URL: http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html
Subdirección de Sistemas
60