Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Libro Naranja PDF
Libro Naranja PDF
Naranja
31 / Enero / 2000
Elaborado por:
Departamento de Control de
Calidad y Auditora
Informtica
Contenido
I. ANTES DE COMENZAR
II. INTRODUCCIN
1. Polticas de seguridad
2. Responsabilidad
3. Confianza
1. Medicin
2. Direccin
3. Adquisicin
V. D- PROTECCIN MNIMA
Subdireccin de Sistemas
2
Vista General del Libro Naranja
2. A2- En adelante
XII. ETIQUETAS
XXIII. AUDITORA
Subdireccin de Sistemas
4
Vista General del Libro Naranja
XXXVI.DISEO DE DOCUMENTACIN
XXXVII.GLOSARIO
XXXVIII.BIBLIOGRAFA
Subdireccin de Sistemas
5
Vista General del Libro Naranja
Antes de Comenzar
Vista general del Libro naranja (Orange Book).
Antes de entrar a fondo con el tema de seguridad, hay que tomar en
cuenta que existen diferentes organizaciones, con diferentes tipos de
informacin y por lo tanto con distintos requerimientos de seguridad.
http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html
Antes de
comenzar Y obtenerse en las siguientes versiones:
Versin Texto ASCII (txt)
Versin Postscript (ps)
Formato Adobe Portable Document (pdf)
Versin Gzipped Postscript en la direccin:
http://www.radium.ncsc.mil/tpep/library/rainbow/
Introduccin
D Proteccin Mnima
C Proteccin Discrecional
B Proteccin Obligatoria
A Proteccin Controlada
Subdireccin de Sistemas
6
Vista General del Libro Naranja
Requisitos Fundamentales de la
Seguridad en Cmputo
1. Polticas de Seguridad.
2. Responsabilidad
Requisitos
Requisito 3 - IDENTIFICACIN - los eventos individuales deben de ser
identificados. Cada acceso a la informacin debe ser registrado teniendo
como base quin est teniendo acceso a la informacin y qu
autorizacin posee para ocupar cierta clase de informacin. La
informacin de la identificacin y la autorizacin debe ser administrada
con seguridad por el sistema informtico y asociar cierta seguridad a
cada elemento activo que realice una cierta accin relevante en el
sistema.
Subdireccin de Sistemas
8
Vista General del Libro Naranja
3. Confianza
1. Medicin
Propsito
Para proporcionar de elementos cuantificables al Departamento de
Defensa (DoD1) con los cuales poder evaluar el grado de confianza que
se puede tener en los sistemas informticos seguros, para el proceso de
clasificacin de informacin sensitiva.
1
Departament of Defense (Departamento de Defensa de los Estados Unidos).
Subdireccin de Sistemas
9
Vista General del Libro Naranja
2. Direccin
Para proporcionar un estndar a los fabricantes en cuanto a las
caractersticas de seguridad que deben de implementar en sus
productos nuevos y planearla con anticipacin, para aplicarla en sus
productos comerciales y as ofrecer sistemas que satisfacen requisitos
de seguridad (con nfasis determinado en la prevencin del acceso de
datos) para las aplicaciones sensitivas.
3. Adquisicin
Propsito El proporcionar las bases para especificar los requerimientos de
seguridad en adquisiciones determinadas.
D- Proteccin Mnima.
Proteccin
Mnima
Esta divisin contiene solamente una clase. Esta reservada para los
sistemas que han sido evaluados que pero que no pueden cumplir los
requisitos para una clase ms alta de la evaluacin.
Subdireccin de Sistemas
10
Vista General del Libro Naranja
C- Proteccin discrecional.
1
Trusted Computers Bases (Computadora Confiable Base) en el resto del texto se
utilizan las iniciales TCB.
Subdireccin de Sistemas
11
Vista General del Libro Naranja
1
Access Control List (Lista de Control de Acceso), en el resto del texto se utilizan las
iniciales ACL
1
Access Data Base (Base de datos de accesos), en el resto del document se utilizan las
iniciales ADB
Subdireccin de Sistemas
12
Vista General del Libro Naranja
B- Proteccin Obligatoria.
Los siguientes son los requisitos mnimos para los sistemas con
asignaron de grado de la clase B1:
Subdireccin de Sistemas
13
Vista General del Libro Naranja
En los sistemas de clase B2, los TCB deben estar basados en una
documentacin formal clara y contar con un modelo de poltica de
seguridad bien definido que requiera un control de acceso discrecional y
obligatorio, las imposiciones a los sistemas encontradas en la clase B1,
se deben extender a todos los eventos y objetos en sistemas ADP5.
Adems, los canales secretos son direccionados. El TCB se debe estar
cuidadosamente estructurado en elementos de proteccin crticos y
elementos de proteccin no crticos. La interfaz de TCB deber estar
bien definida as como el diseo y la activacin de la implementacin del
TCB le permiten ser sujeto de prueba y revisin ms completa. Se
consolidan los mecanismos de autentificacin, el manejo de recursos
seguros se proporciona en forma de ayuda para las funciones del
administrador y del operador del sistema, y se imponen controles
rigurosos de la administracin de configuracin. El sistema es
relativamente resistente a la penetracin.
Los siguientes son requisitos mnimos para los sistemas con asignacin
de grado de la clase B2:
Proteccin
obligatoria Notificacin de cambios del nivel de seguridad que afecten
interactivamente a los usuarios.
Etiquetas de dispositivos jerrquicas.
Acceso obligatorio sobre todos los objetos y dispositivos.
Rutas Confiables de comunicaciones entre usuario y sistema.
Rastreo de los canales secretos de almacenamiento.
Modo de operacin del sistema ms firme en multinivel en unidades
independientes.
Anlisis de canales seguros.
Comprobacin de la seguridad mejorada.
Modelos formales de TCB.
Versin, actualizacin y anlisis de parches y auditoria.
Un ejemplo de estos sistemas operativos es el Honeywell Multics.
1
Automatic Data Processing (Procesamiento automtico de datos), en el resto del texto
se utilizan las iniciales ADP
Subdireccin de Sistemas
14
Vista General del Libro Naranja
A- Proteccin Verificada
2. A2 en adelante
1
Formal Top Level Specification (Especificacin formal de alto nivel), en el texto se
utilizan las iniciales en ingles FTLS
Subdireccin de Sistemas
16
Vista General del Libro Naranja
D Proteccin Mnima
D Sistemas operativos bsicos: MS-DOS
C Proteccin Discrecional
IBM MVS/RACF
Proteccin de Seguridad Cualquier versin de UNIX ordinaria,
C1
discrecional que no ha sido enviada a una
evaluacin formal
A Proteccin Verificada
Subdireccin de Sistemas
17
Vista General del Libro Naranja
C1 C2 B1 B2 B3 A1
Polticas de seguridad
Control de acceso discrecional
Reutilizacin de Objetos
Etiquetas
Integridad de Etiquetas
Exportacin de informacin etiquetada
Exportacin de Dispositivos multinivel.
Exportacin de Dispositivos de nivel nico
Etiquetado de salidas legibles a la persona
Etiquetas sensitivas de eventos
Dispositivos etiquetados
Control de acceso obligatorio
Responsabilidad
Identificacin y autentificacin
Rutas seguras
Auditoria
Confianza
Arquitectura del sistema
Integridad del sistema
Pruebas de seguridad
Diseo de especificaciones y verificacin
Anlisis de canales secretos
Facilidad de administracin de la seguridad
Administracin de configuracin
Recuperacin confiable
Distribucin confiable
Documentacin
Gua del usuario sobre caractersticas de seguridad
Facilidades del manual de seguridad
Pruebas de documentacin
Diseo de documentacin
Subdireccin de Sistemas
18
Vista General del Libro Naranja
C1 C2 B1 B2 B3 A1
Subdireccin de Sistemas
19
Vista General del Libro Naranja
Subdireccin de Sistemas
20
Vista General del Libro Naranja
Reutilizacin de objetos
La Reutilizacin de objetos requiere la proteccin de archivos, memoria y otros objetos en un sistema auditado de ser accesadas
accidentalmente por usuarios que no tienen acceso autorizado a ellos. Las caractersticas de control de acceso de u sistema
ordinario determina quien puede y quien no puede accesar archivos, dispositivos y otros objetos que han sido asignados a usuarios
especficos La reasignacin de objetos requiere las direcciones que aparecen en esos objetos sean reasignadas.
C1 C2 B1 B2 B3 A1
Reutilizacin de objetos
No se requiere Todas las No se tienen No se tienen No se tienen No se tienen
autorizaciones para la requerimientos requerimientos requerimientos requerimientos
informacin contenida adicionales adicionales adicionales adicionales
con un
almacenamiento de
objetos debern ser
revocadas
previamente o con una
asignacin inicial,
asignacin o
reasignacin del tema
desde el pool del TCB
de los objetos no
utilizados y
almacenados.
La informacin,
incluyendo la
representacin
encriptada de la
informacin, producida
por las aciones de un
evento previo debe de
estar disponible para
cualquier evento que
obtenga el acceso de
un objeto que ha sido
ya regresado al
sistema
Subdireccin de Sistemas
21
Vista General del Libro Naranja
Etiquetas
Las etiquetas y el control de acceso obligatorio son requerimientos separados de la poltica de seguridad, pero ambas funcionan
juntas. Al iniciar en el nivel B1, el libro naranja propone que cada sujeto (p.e. usuario, proceso) y un objeto almacenado (p.e.
archivos, directorios, ventanas, socket) tengan una etiqueta sensitiva asociada a l. Una etiqueta sensitiva de usuario especifica el
grado, o nivel de confianza, asociado con ese usuario, las etiquetas de usuario sensitivas es usualmente llamada como certificado
de paso "clearance". Una etiqueta sensitiva de archivo especifica el nivel de confianza que un usuario puede ser capaz de tener al
accesar ese archivo
C1 C2 B1 B2 B3 A1
Etiquetas
No se requiere No se requiere Etiquetas sensitivas Requerimientos No se tienen No se tienen
asociadas con cada adicionales requerimientos requerimientos
evento y objeto Las etiquetas adicionales adicionales
almacenado bajo su sensitivas asociadas
control (p.e. procesos, con cada recurso del
archivos, segmentos, sistema ADP (p.e.
dispositivos) deben ser eventos, objetos
mantenidos por el almacenados, ROM)
TCB. Estas etiquetas que son directamente
debern ser utilizadas o indirectamente
como las bases para accesados por
las decisiones del eventos externos a l
control del acceso TCB debe ser
obligatorio. En orden mantenido por el TCB
de importancia de
datos no etiquetados,
el TCB debe solicitar y
recibir de un usuario
autorizado el nivel de
seguridad de esos
datos, y todas las
acciones debern ser
auditadas por el TCB
Subdireccin de Sistemas
22
Vista General del Libro Naranja
Integridad de etiquetas
La integridad de etiquetas asegura que las etiquetas sensitivas asociadas con eventos y objetos tienen una representacin exacta
de los niveles de seguridad de estos eventos y objetos
As una etiqueta sensitiva como TOP SECRET [VENUS]
Deber estar asociado con un archivo TOP SECRET que contiene informacin acerca del planeta Venus
C1 C2 B1 B2 B3 A1
Integridad de etiquetas
No se requiere No se requiere Las Etiquetas No se tienen No se tienen No se tienen
sensitivas debern requerimientos requerimientos requerimientos
representar con adicionales adicionales adicionales
precisin los niveles
de los eventos
especficos u objetos
con los que estos
estn asociados
Cuando son
exportados por el
TCB, las etiquetas
sensitivas debern
precisar y representar
sin ambigedad las
etiquetas internas y
debern estar
asociadas con la
informacin que esta
siendo exportada.
Subdireccin de Sistemas
23
Vista General del Libro Naranja
C1 C2 B1 B2 B3 A1
Exportacin de informacin etiquetada
No se requiere No se requiere El TCB deber No se tienen No se tienen No se tienen
designar cada canal requerimientos requerimientos requerimientos
de comunicaciones y adicionales adicionales adicionales
dispositivo de entrada
/ salida, ya sea como
de un nivel sencillo o
de multinivel.
Cualquier cambio en
esta designacin
deber ser hecha
manualmente y deber
ser auditable por el
TCB. El TCB deber
mantener y ser capaz
de auditar cualquier
cambio en los niveles
de seguridad o
niveles asociados con
un canal de
comunicaciones o
dispositivo de entrada
/ salida
Subdireccin de Sistemas
24
Vista General del Libro Naranja
Subdireccin de Sistemas
25
Vista General del Libro Naranja
C1 C2 B1 B2 B3 A1
Exportacin en dispositivos de nivel nico
No se requiere No se requiere Los dispositivos de No se tienen No se tienen No se tienen
niel nico de canales requerimientos requerimientos requerimientos
de comunicaciones de adicionales adicionales adicionales
entrada / salida no son
requeridas para
mantener las
etiquetas sensibles de
la informacin que
procesan
De cualquier modo, el
TCB debe incluir un
mecanismo para que
el TCB y un usuario
autorizado fiable
comunique y designe
el nivel nico de
seguridad de la
informacin importada
o exportada va canal
de comunicaciones de
nivel sencillo o
dispositivo de entrada
/ salida.
Subdireccin de Sistemas
26
Vista General del Libro Naranja
El libro naranja es muy claro en cuanto a los requerimientos de cmo deben de hacerse las etiquetas para las salidas legibles al
humano (salidas que las personas pueden ver). Estas incluyen pginas de salida impresa, mapas, grficas y otros indicadores. El
administrador del sistema debe de especificar la forma en que las etiquetas van a aparecer en la salida.
Por lo regular se requieren dos tipos de etiquetas: primero, cada salida distinta debe ser etiquetada, al principio y al final, con
etiquetas que representen una sensitividad general de la salida. S se est imprimiendo el contenido de un archivo Y tpicamente se
puede ver una pgina de un banner antes y despus del contenido del documento, mostrando claramente la etiqueta sensitiva del
archivo. Segundo, cada pgina de salida impresa debe ser etiquetada, e la parte superior y en la parte inferior, con etiquetas que
presenten ya sea una u otra, una sensitividad general de la salida o la sensitividad especfica de la informacin en esa pgina
C1 C2 B1 B2 B3 A1
Etiquetas de salida legibles al humano
No se requiere No se requiere El administrador del sistema ADP No se tienen No se tienen No se tienen
debe ser capaz de especificar los requerimientos requerimientos requerimientos
nombres de las etiquetas imprimibles adicionales adicionales adicionales
asociados con las etiquetas sensitivas
exportables
El TCB debe marcar el inicio y el fin
de todas las etiquetas sensitivas
legibles a la persona que representen
sensitivamente la salida. El TCB
deber, por omisin marcar el lmite
inferior y superior de cada pgina
legible al hombre, compaginada, de la
salida impresa (p.e. Salidas de la
impresora) con una etiqueta sensitiva
legible al hombre que represente
apropiadamente la sensitividad global
de la salida o que represente
apropiadamente la sensitividad de la
informacin de cada pgina.
Cualquier anulacin de estas marcas
por defecto deben ser auditables por
el TCB
Subdireccin de Sistemas
27
Vista General del Libro Naranja
Las etiquetas sensitivas de eventos requieren estados que el sistema pueda notificar a determinado usuario de algn cambio en el
nivel de seguridad asociado con un usuario durante una sesin interactiva. Este requerimiento se aplica de los sistemas evaluados
B2 en adelante.
La idea de las etiquetas sensitivas a eventos es que el usuario siempre conozca el nivel de seguridad en el que esta trabajando. Los
sistemas confiables tpicamente despliegan el "clearance" cuando se establece sesin y lo despliegan nuevamente si el nivel de
seguridad tiene algn cambio, o automticamente a peticin del usuario.
C1 C2 B1 B2 B3 A1
Etiquetas sensitivas de eventos
No se requiere No se requiere No se requiere El TCB debe notificar No se tienen No se tienen
inmediatamente a la requerimientos requerimientos
terminal del usuario de adicionales adicionales
cada cambio en el
nivel de seguridad
asociado con ese
usuario durante una
sesin interactiva. La
terminal de usuario
debe de ser capaz de
buscar el TCB cuando
lo desee para
desplegar en un
evento con etiqueta
sensitiva.
Subdireccin de Sistemas
28
Vista General del Libro Naranja
Dispositivos etiquetados
Los dispositivos etiquetados requieren estados que cada dispositivo fsico tenga adicionados en el sistema que definan niveles
mnimos y mximos de seguridad asociados a ellos, y todos estos son usados para "reforzar las restricciones impuestas por el medio
ambiente fsico en el cual el dispositivo esta localizado".
Para un dispositivo multinivel, se debe de especificar el nivel mnimo de la informacin que puede ser enviada a este dispositivo (el
mnimo para el dispositivo) y el nivel ms alto de informacin que puede ser enviada al dispositivo (el mximo del dispositivo). Para
un dispositivo de un nivel nico, el nivel mnimo es el mismo que el nivel mximo
C1 C2 B1 B2 B3 A1
Dispositivos Etiquetados
No se requiere No se requiere No se requiere El TCB debe soportar No se tienen No se tienen
la asignacin de un requerimientos requerimientos
nivel mnimo y mximo adicionales adicionales
para todo dispositivo
fsico adjunto. Estos
niveles de seguridad
deben de ser usados
por el TCB para
reforzar las
condiciones impuestas
por el medio ambiente
fsico en cada uno de
los dispositivos fsicos
localizados
Subdireccin de Sistemas
29
Vista General del Libro Naranja
El control de acceso obligatorio es el ltimo requerimiento de la poltica de seguridad, diferente del control de acceso discrecional,
que autoriza a los usuarios especficamente, con sus propias preferencias, quien puede y quin no puede accesar sus archivos, el
control de acceso obligatorio pone el control de todos los accesos como decisiones bajo el control del sistema
C1 C2 B1 B2 B3 A1
Control de acceso obligatorio
No se requiere No se requiere El TCB debe reforzar las Requerimientos No se tienen No se tienen
polticas del control de adicionales requerimientos requerimientos
acceso obligatorio de El TCB debe reforzar adicionales adicionales
todos los sujetos y las polticas del control
objetos almacenados de acceso obligatorio
(procesos, archivos, para todos los
dispositivos, etc.) A recursos(usuarios,
estos sujetos y objetos objetos almacenados,
debe ser asignado una dispositivos de entrada
etiqueta sensitiva que / salida) que sean
sean una combinacin e accesibles directa o
clasificacin por nivel indirectamente por
jerrquico y categoras usuarios externos al
no jerrquicas, y las TCB.
etiquetas debern ser Los requerimientos
usadas como la base de debern mantenerse
las decisiones para el para todos los accesos
control de acceso entre todos los
obligatorio usuarios externos a l
El TCB debe ser capaz TCB y todos los
de soportar dos o ms objetos accesibles
niveles de seguridad, los directa o
siguientes indirectamente por
requerimientos debern estos usuarios.
mantenerse para todos
los accesos entre
sujetos y objetos
controlados por el TCB.
Subdireccin de Sistemas
30
Vista General del Libro Naranja
C1 C2 B1 B2 B3 A1
Subdireccin de Sistemas
31
Vista General del Libro Naranja
Identificacin y autentificacin
La identificacin y la autentificacin es un requerimiento de un sistema de seguridad en todos los niveles. El libro naranja requiere que la
identificacin del usuario antes de ejecutar cualquier tarea que requiera interaccin con el TCB (p.e. correr un programa, leer un archivo o invocar
cualquier funcin que requiere que el sistema cheque los permisos de acceso). En la mayora de los sistemas multiusuario, la identificacin en el
sistema se hace a travs de algn tipo de nombre identificador (logn), seguido de un pasword.
El libro naranja establece que el password debe ser protegido, pero no dice como, existen dos publicaciones adicionales por el gobierno de los
Estados Unidos que proporcionan sugerencias concretas:
The Department of Defense Password Management Guideline (El Libro Verde)
FIPS PUB 112 - Password Usage,
El libro verde defiende tres caractersticas principales
1. Los usuarios deben ser capaces de cambiar sus passwords
2. Los passwords deben ser generados por la maquina ms el creado por el usuario
3. Seguridad en reportes de auditoria (fecha y hora del ltimo login) debe ser proporcionado por el sistema directamente al usuario.
C1 C2 B1 B2 B3 A1
Identificacin y autentificacin
El TCB debe solicitar Requerimientos Requerimientos adicionales No se tienen No se tienen No se tienen
la identificacin de los adicionales El TCB debe mantener los requerimientos requerimientos requerimientos
usuarios antes de El TCB debe ser datos de autentificacin que adicionales adicionales adicionales
empezar a ejecutar capaz de reforzar las incluyen la informacin para
cualquier accin que cuentas individuales verificar la identidad de los
el TCB deba de al proporcionar la usuarios (password) As
ejecutar. El TCB debe capacidad de como la informacin para
usar algn mecanismo identificacin nica a detectar la autorizacin de
de proteccin cada usuario usuarios individuales.
(passwords) para individual ADP. El Los datos deben ser usados
autentificar la TCB debe tambin por el TCB para autentificar la
identidad del usuario. proporcionar la identidad de los usuarios y
El TCB debe proteger capacidad de asociar asegurar que el nivel de
los datos de la identidad con toda seguridad y la autorizacin de
autentificacin de accin audible todos los usuarios externos al
manera que no elegida por esa TCB puedan ser creados
puedan ser accesados persona para actuar en nombre del
por usuarios no usuario individual que se
autorizados documenta por el pase y la
autorizacin del tipo de
usuario
Subdireccin de Sistemas
32
Vista General del Libro Naranja
Rutas Seguras
Una ruta segura proporciona un medio libre de errores, por el cual un usuario (tpicamente una terminal o un a estacin de trabajo)
puede comunicarse directamente con un TCB sin interactuar con el sistema a travs de aplicaciones inseguras (y posiblemente poco
fiables) y capas del sistema operativo. Una ruta segura es un requerimiento para sistemas clasificados como B2 en adelante
C1 C2 B1 B2 B3 A1
Rutas seguras
No se requiere No se requiere No se requiere El TCB debe soportar Requerimientos No se tienen
una ruta segura de adicionales requerimientos
comunicaciones entre El TCB debe soportar adicionales
l y un usuario para una ruta segura de
su identificacin y comunicaciones entre
autentificacin. La l y usuarios para
comunicacin va esta usarse cuando una
ruta deber ser conexin TCB a
iniciada usuario es requerida
exclusivamente por el (login, cambiar algn
usuario nivel de seguridad).
Las comunicaciones
va ruta segura deben
ser activadas
exclusivamente por el
usuario o el TCB y
deben ser aisladas y
libres de errores as
como distinguibles de
otras conexiones
Subdireccin de Sistemas
33
Vista General del Libro Naranja
Auditora
La auditora es el registro, examen y revisin de las actividades relacionadas con la seguridad en un sistema confiable. Una
actividad relacionada con la seguridad es cualquier accin relacionada con el acceso de usuarios, o acceso a objetos. En trminos
de auditoria, algunas actividades son llamadas frecuentemente eventos, y una auditoria interna se llama algunas veces eventos
logging.
C1 C2 B1 B2 B3 A1
Auditora
No se requiere El TCB debe ser capaz Requerimientos Requerimientos Requerimientos No se tienen
de crear, mantener y adicionales adicionales adicionales requerimientos
proteger de El TCB tambin debe ser El TCB debe ser El TCB debe contar adicionales
modificaciones, o acceso capaz de auditar capaz de auditar los con un mecanismo
de usuarios no cualquier sustitucin de eventos identificados con la capacidad de
autorizados o marcas de salida legibles que pueden ser monitorear las
destruccin de pistas de al humano usados en la ocurrencias o
auditoria o accesos a Para eventos que explotacin o cubierta acumulacin de
objetos protegidos. La introducen un objeto de canales de eventos de seguridad
auditora de datos debe dentro del espacio almacenamiento auditable que pueden
ser protegida por el TCB direccionable del usuario indicar de una
de accesos de lectura o y para borrar eventos de inminente violacin a
limitar a quien esta objetos el registro de las polticas de
autorizado para auditar auditoria debe incluir el seguridad. Este
los datos. nombre de los objetos y mecanismo deber de
El TCB debe ser capaz el nivel de seguridad del ser capaz de notificar
de registrar los objeto. inmediatamente al
siguientes tipos de El administrador de administrador de
eventos: Uso de sistema ADP debe ser seguridad cuando se
mecanismos de capaz de auditar excede el umbral, y si
identificacin y selectivamente las la acumulacin de
autentificacin, acciones de algn o ocurrencias de
introduccin de objetos varios usuarios eventos relevantes de
en el espacio basndose en la seguridad continua, el
direccionable del usuario identidad individual y/o sistema deber tomar
(apertura de archivos, nivel de seguridad de los la ltima accin
inicializacin de objetos. disolvente que termine
programas), eliminacin con este evento
de objetos, acciones
tomadas por operadores
de la computadora y
administradores del
sistema
Subdireccin de Sistemas
35
Vista General del Libro Naranja
C1 C2 B1 B2 B3 A1
Auditora
y/o administradores de la
seguridad del sistema, y
otros eventos relevantes
del sistema. Para cada
evento registrado, el
registro de auditoria
deber identificar: fecha
y hora del evento, y si el
evento fue exitoso o fallo
el evento. La
identificacin /
autentificacin de
eventos que originan la
peticin (ID de la
terminal) debern ser
incluidos en el registro de
auditoria
El administrador de
sistema ADP, debe ser
capaz de seleccionar las
acciones a auditar de
uno o de varios usuarios
basndose en la
identidad individual
Subdireccin de Sistemas
36
Vista General del Libro Naranja
C1 C2 B1 B2 B3 A1
Arquitectura del sistema
EL TCB debe Requerimientos Requerimientos Nuevos Requerimientos No se tienen
mantener un adicionales adicionales Requerimientos para adicionales requerimientos
dominio para su El TCB debe aislar los El TCB debe mantener B2 El TCB debe disear adicionales
propia ejecucin recursos a ser protegidos procesos aislados as El TCB debe mantener y estructurar el uso
que lo proteja de de manera que los como proporcionar un dominio para su completo, de un
interferencia usuarios tengan control distintas direcciones de propia ejecucin de mecanismo de
externa o de acceso y espacio bajo su control protecciones de proteccin,
falsificaciones (Ej. requerimientos de interferencia externa o conceptualmente
Para modificacin auditora falsificaciones(Ej. Para simple con definicin
de su cdigo o modificacin de su semntica precisa.
estructura de cdigo o estructura de Este mecanismo debe
datos). Los datos). El TCB debe jugar un papel central
recursos mantener procesos en el reforzamiento de
controlados por el aislados as como la estructura interna
TCB pueden ser proporcionar direccin entre el TCB y el
definidos en un de espacios distintas sistema. El TCB debe
subgrupo as bajo su control. incorporar el uso
como los El TCB debe estar significativo de capas,
usuarios y objetos estructurado abstraccin y
en el sistema internamente dentro ocultamiento de datos.
ADP. de una bien definido
mdulo independiente.
Subdireccin de Sistemas
37
Vista General del Libro Naranja
C1 C2 B1 B2 B3 A1
Arquitectura del sistema
El mdulo TCB debe Una aplicacin de
ser diseado bajo el ingeniera de sistemas
principio de que los significativa debe ser
privilegios sean directamente
reforzados, conducida
Caractersticas de minimizando la
hardware, as como complejidad del TCB y
segmentacin, debe excluyendo de los
ser usado para mdulos del TCB los
soportar lgicamente objetos que no
distinciones de objetos presentan proteccin
almacenados con crtica
atributos separados
(nombrar, leer y
escribir). La interfaz de
usuario del TCB debe
ser completamente
definida y todos los
elementos del TCB
identificados
Subdireccin de Sistemas
38
Vista General del Libro Naranja
C1 C2 B1 B2 B3 A1
Integridad del sistema
Las No se tienen No se tienen No se tienen No se tienen No se tienen
caractersticas del requerimientos requerimientos requerimientos requerimientos requerimientos
hardware y/o el adicionales adicionales adicionales adicionales adicionales
software deben
ser
proporcionadas
para ser usadas y
peridicamente
validadas su
correcta
operacin as
como los
elementos de
hardware y
firmware del TCB
Subdireccin de Sistemas
39
Vista General del Libro Naranja
C1 C2 B1 B2 B3 A1
Anlisis de canales secretos
No se requiere No se requiere No se requiere El sistema Requerimientos Requerimientos
desarrollado deber adicionales adicionales
comportarse Bsqueda de todos los Mtodos formales
completamente, canales simulados deben de ser usados
buscando la (almacenamiento y en el anlisis
simulacin de canales temporizacin)
de almacenamiento y
haciendo
determinaciones (para
las mediciones
actuales o por
estimaciones de
ingeniera) o el
mximo ancho de
banda de cada canal
identificado
Subdireccin de Sistemas
40
Vista General del Libro Naranja
C1 C2 B1 B2 B3 A1
Facilidad de administracin de la seguridad
No se requiere No se requiere No se requiere El TCB debe soportar Requerimientos No se tienen
separadamente las adicionales requerimientos
funciones de Las funciones ejecutadas adicionales
administrador y en el papel del
operador administrador de
seguridad deben ser
identificadas. El Personal
de Administracin del
sistema ADP, deber solo
ser capaz de ejecutar
funciones de administrador
de seguridad despus de
tomar una accin auditable
distinguible al asumir el
papel de administrador de
la seguridad en el sistema
ADP. Las funciones que
no son de seguridad que
pueden ser ejecutadas por
el papel de administrador
de seguridad debern
limitarse estrictamente a lo
ms esencial para ejecutar
la seguridad efectivamente
Subdireccin de Sistemas
41
Vista General del Libro Naranja
Recuperacin confiable
La recuperacin confiable asegura que la seguridad no ha sido violada cuando se cae un sistema o cuando cualquier otra falla del
sistema ocurre.
La recuperacin confiable actualmente involucra dos actividades: prepararse ante una falla del sistema y recuperar el sistema.
La principal responsabilidad en preparacin es respaldar todos los archivos del sistema crtico con una base regular. El
procedimiento de recuperacin puede ser con mucho, esforzarse por restaurar solo un da o dos de procesamiento de informacin.
Si una falla inesperada ocurre, como una falla de disco duro, o un corte de corriente elctrica, se debe recuperar el sistema de
acuerdo con ciertos procedimientos para asegurar la continuidad de la seguridad en el sistema. Este procedimiento tambin puede
ser requerido si se detecta un problema del sistema, como recursos perdidos, o una base de datos inconsistente o cualquier cosa
que comprometa el sistema.
C1 C2 B1 B2 B3 A1
Recuperacin confiable
No se requiere No se requiere No se requiere No se requiere Los procedimientos No se tienen
y/o mecanismos requerimientos
debern ser adicionales
proporcionados para
asegurar que, despus
de una falla del
sistema ADP u otra
discontinuidad, el
sistema se recupere
sin un obtener
compromiso de
proteccin
Subdireccin de Sistemas
42
Vista General del Libro Naranja
C1 C2 B1 B2 B3 A1
Diseo de especificaciones y verificacin
No se requiere No se requiere Un modelo formal o Requerimientos Requerimientos Requerimientos
informal de las adicionales para B2 adicionales adicionales
polticas de seguridad Un modelo formal de la Un argumento Una especificacin formal
soportadas por el TCB poltica de seguridad convincente deber de alto nivel (FTLS) del
que deber ser soportada por el TCB ser proporcionado de TCB que deber ser
mantenido durante todo deber ser mantenida que el DTLS es mantenido y precisamente
el ciclo de vida del durante todo el ciclo de consistente con el descrito el TCB en
sistema ADP y vida del sistema ADP modelo trminos de excepciones,
demostracin de ser que deber proporcionar mensajes de error y
consistente con su consistencia con su efectos. EL DTLS y el
axioma axioma. Especificacin FTLS deber incluir los
descriptiva de alto nivel componentes del TCB que
(DTLS) del TCB en estn implementados como
trminos de excepciones, hardware y/o firmware si
mensajes de error y sus propiedades son
efectos. Este deber ser visibles para l la interfaz
mostrado de ser una del TCB. Una combinacin
descripcin exacta de la de tcnicas formales e
interfaz del TCB informales deber ser
usada para mostrar que el
FTLS es consistente con el
modelo.
Subdireccin de Sistemas
43
Vista General del Libro Naranja
Pruebas de seguridad
El libro naranja tiene un substancial inters en probar las caractersticas de seguridad en los sistemas a evaluar. Las pruebas de
seguridad aseguran que los requerimientos estn relacionados con los requerimientos de pruebas de documentacin. El sistema
desarrollado ser probado para todas las caractersticas de seguridad, asegurando que el sistema trabaja como se describe en la
documentacin, y se documenten los resultados de las pruebas de estas caractersticas. El equipo de evaluacin del NTSC esta
comprometido con sus pruebas.
La prueba de mecanismos significa probar los mecanismos de seguridad, estos mecanismos incluye control de acceso discrecional,
etiquetado, control de acceso obligatorio, Identificacin y autentificacin, prueba de rutas, y auditora.
La prueba de interfaz significa el probar todas las rutinas del usuario que involucren funciones de seguridad
C1 C2 B1 B2 B3 A1
Pruebas de seguridad
Los mecanismos de Requerimientos Requerimientos Requerimientos Requerimientos Requerimientos
seguridad del adicionales adicionales para B1 adicionales adicionales adicionales
sistema ADP deber Las pruebas Los mecanismos de El TCB deber ser El TCB deber ser Las pruebas debern
ser probado y debern tambin ser seguridad del sistema encontrado encontrado resistente demostrar que la
encontrado incluidas en la ADP debern ser relativamente a penetraciones, implementacin del
trabajando y exigido bsqueda de probados y encontrados resistente a Ninguna bandera de TCB es consistente
en la documentacin banderas obvias trabajando con la penetracin diseo y ninguna con la especificacin
del sistema. Las que puedan permitir documentacin del Al probar todo deber bandera de formal de alto nivel
pruebas debern ser una violacin de sistema. demostrarse que la implementacin sin El manual u otros
hechas para recursos aislados, o Un equipo de individuos implementacin del correcciones debe ser mapas del FTLS del
asegurar que no hay que puedan permitir que entiendan TCB es consistente encontrada durante las cdigo fuente pueden
caminos obvios para el acceso no completamente la con la descripcin de pruebas y debern ser formar bases para las
acceso de usuarios autorizado de implementacin especfica especificacin de alto razonablemente pruebas de
no autorizados o auditora o del TCB deber disear nivel. confidenciales las penetracin.
cualquier otra falla en autentificacin de documentacin, cdigo pocas que queden.
el mecanismo de datos fuente y cdigo objeto
proteccin de la para el anlisis completo y
Subdireccin de Sistemas
44
Vista General del Libro Naranja
C1 C2 B1 B2 B3 A1
Pruebas de seguridad
seguridad del TCB Las pruebas.
Estos objetivos debern
descubrir todo el diseo y
la implementacin de
banderas que pudieran
permitir a un sujeto
externo al TCB el leer,
cambiar o borrare datos
normalmente denegados
bajo polticas de seguridad
discrecional u obligatorias
reforzadas por el TCB, as
como el asegurar que
ningn sujeto (sin
autorizacin para hacerlo)
sea capaz de causar que
el TCB entre en un estado
tal que sea incapaz de
responder a
comunicaciones iniciadas
por otros usuarios. Todas
las banderas descubiertas
debern ser removidas o
neutralizadas y el TCB
vuelto a probar para
demostrar que estas han
sido eliminadas y que
nuevas banderas no han
sido introducidas
Subdireccin de Sistemas
45
Vista General del Libro Naranja
Administracin de configuracin
La administracin de configuraciones protege un sistema seguro mientras esta siendo diseado, desarrollado, y mantenido.
Involucra el identificar, controlar, contabilizar y auditar todos los cambios hechos en los lineamientos de TCB, incluyendo hardware,
firmware y software, por ejemplo, cualquier cambio en el cdigo, durante las faces de diseo, desarrollo y mantenimiento as como la
documentacin, planes de pruebas, y otras herramientas del sistema relacionadas y sus facilidades.
La administracin de configuraciones tiene varias metas, primero, el control del mantenimiento del sistema durante su ciclo de vida,
asegurando que el sistema es usado de la forma correcta, implementando las polticas de seguridad adecuadas. El sistema
adecuado es el sistema que ha sido evaluado o que actualmente esta siendo evaluado En otras palabras la administracin de
configuraciones previene de usar versiones obsoletas 8 nuevas, que no han sido probadas en el sistema) o alguno de sus
componentes.
Segundo, hace posible el regresar a versiones previas del sistema. Esto es importante, si por ejemplo, un problema de seguridad es
encontrado en una versin del sistema que no tenan en una versin anterior.
Para cumplir los requerimientos de la administracin de configuracin se necesita
Asignar un identificador nico para cada elemento configurable
Desarrollar un plan de administracin de la configuracin
Registrar todos los cambios de elementos de configuracin (en lnea y fuera de lnea)
Establecer un tablero de control e configuraciones
C1 C2 B1 B2 B3 A1
Administracin de configuracin
No se requiere No se requiere No se requiere Durante el desarrollo y No se tienen Nuevos Requerimientos
mantenimiento del TCB, una requerimientos para A1
administracin de adicionales Durante el ciclo completo
configuraciones deber tomar de vida... durante el
lugar en el control de diseo, desarrollo, y
mantenimiento de los cambios mantenimiento del TCB,
en la especificacin una administracin de
descriptiva de alto nivel y otros configuraciones deber
datos de diseo, tener lugar para todos el
documentacin de hardware, firmware y
implementacin, cdigo software relacionado con
fuente, las versiones corridas la seguridad y debe de
del cdigo objeto y las mantenerse un control
pruebas de correcciones y formal de mantenimiento
documentacin. de todos los cambios al
Subdireccin de Sistemas
46
Vista General del Libro Naranja
C1 C2 B1 B2 B3 A1
Administracin de configuracin
La administracin de modelo formal las
configuraciones del sistema especificaciones
deber asegurar un mapeo descriptiva y formal de
consistente entre toda la alto nivel, otros datos de
documentacin y el cdigo diseo, documentacin e
asociado con las versiones implementacin, cdigo
actuales del TCB. Las fuente, la versin actual
herramientas debern tenerse del cdigo objeto, las
para generar una nueva pruebas de reparaciones y
versin del TCB desde el la documentacin. La
cdigo fuente. administracin de
Tambin debern estar configuraciones del
disponibles las herramientas sistema deber asegurar
para hacer comparaciones de un mapeo consistente
la nueva versin generada, entre toda la
con la versin previa del TCB documentacin y el cdigo
en orden a determinar que asociado con las
slo los cambios proyectados versiones actuales del
han sido hechos en el cdigo TCB. Las herramientas
que actualmente se esta debern tenerse para
usando como la nueva generar una nueva versin
versin del TCB del TCB desde el cdigo
fuente. Tambin las
herramientas debern ser
mantenidas bajo un
estricto control de
configuraciones para
comparar una versin
nueva generada desde el
TCB en orden a
determinar que slo los
cambios proyectados han
sido hechos en el cdigo
que actualmente se esta
usando.
Subdireccin de Sistemas
47
Vista General del Libro Naranja
Distribucin Confiable
La distribucin confiable protege un sistema seguro mientras el sistema es siendo transportado al sitio del cliente. Este requerimiento
solo se tiene para el nivel A1, este requerimiento tiene dos metas proteccin y validacin del lugar
La proteccin significa que el vendedor final (y durante el transporte del vendedor al cliente), se asegura que durante la distribucin,
el sistema llegue al lugar donde lo solicito el cliente, exactamente, como fue evaluado antes de transportarse por el vendedor, ya que
proporciona proteccin durante el empaque, transporte entre intermediarios hasta llegar al usuario final.
Validacin del lugar, significa que el cliente final, con la distribucin confiable puede detectar falsificaciones del sistema o
modificacin del sistema.
C1 C2 B1 B2 B3 A1
Distribucin Confiable
No se requiere No se requiere No se requiere No se requiere No se requiere Un sistema de control
ADP confiable y
facilidad de distribucin
deber ser
proporcionada para
mantener la integridad
del mapeo entre los
datos maestros que
describen la versin
actual del TCB y la
copia maestra en sitio
del cdigo del la
versin actual. Los
procedimientos (Prueba
de aceptacin de la
seguridad del sitio)
deber existir para
asegurar que el
software, firmware y
actualizacin del
hardware del TCB,
distribuido a los clientes
es exactamente como
se especifica en las
copias principales
Subdireccin de Sistemas
48
Vista General del Libro Naranja
La gua del usuario de caractersticas de seguridad (SFUG) es un apunte ordinario, sin privilegios para todos los usuarios del
sistema. En el se encuentran cosas que es necesario saber acerca de las caractersticas del sistema de seguridad y de cmo es
que estn reforzadas. Los temas tpicos incluyen
Acceso al sistema seguro. Como se debe introducir el login y el password, con que frecuencia debe de cambiarse, que mensajes
deben de verse, cmo deben de usarse estos mensajes para reforzar la seguridad del sistema
Proteccin de archivos y otro tipo de informacin. Cmo se debe de especificar una lista de control de acceso (o protecciones
similares)
Importar y exportar archivos Como leer nuevos datos dentro del sistema confiable y como escribir datos de otros sistemas sin
arriesgar la seguridad
C1 C2 B1 B2 B3 A1
Gua del usuario de caractersticas de seguridad
Un resumen No se tienen No se tienen No se tienen No se tienen No se tienen
sencillo, captulo requerimientos requerimientos requerimientos requerimientos requerimientos
o manual en la adicionales adicionales adicionales adicionales adicionales
documentacin
del usuario que
describa los
mecanismos de
proteccin
proporcionados
por el TCB,
lineamientos
sobre su uso y
como interactuar
con otros.
Subdireccin de Sistemas
49
Vista General del Libro Naranja
C1 C2 B1 B2 B3 A1
Facilidades del manual de seguridad
Un direccionamiento Requerimientos Requerimientos Requerimientos Requerimientos No se tienen
manual por parte del adicionales adicionales adicionales adicionales requerimientos
administrador del Los procedimientos EL manual deber Los mdulos del Se debern incluir los adicionales
sistema ADP deber para examinar y describir las funciones TCBN que contienen procedimientos para
presentar avisos mantener los archivos del operador y del los mecanismos de asegurar que el
sobre sus funciones de auditora as como administrador relativas validacin de sistema es
y privilegios que las estructuras de los a la seguridad, al incluir referencias debern inicialmente arrancado
deber de controlar registros detallados de los cambios de las ser identificables. Los de una modo seguro,
cuando ejecuta una auditora para cada caractersticas de procedimientos para Los procedimientos
instalacin segura tipo de evento auditable seguridad para los una operacin segura debern tambin estar
debe ser proporcionado usuarios. Este deber de un nuevo TCB incluidos en el
proporcionar desde origen, despus compendio de
lineamientos para el de modificarse por operacin del sistema
uso consistente y cualquier mdulo en el de seguridad despus
efectivo de las TCB deber ser de cualquier lapso de
caractersticas de descrito operacin del sistema
proteccin del sistema,
como deber
interactuar, como
generar una nueva
TCB segura y los
procedimientos de
instalacin,
advertencias, y
privilegios que debern
ser controlados para
operar las instalaciones
de una manera segura
Subdireccin de Sistemas
50
Vista General del Libro Naranja
Pruebas de documentacin
Para el libro naranja, consiste en mostrar como los mecanismos de seguridad fueron probados, y los resultados de los mecanismos
de seguridad con pruebas funcionales.
El tener buena documentacin de pruebas es generalmente sencillo pero voluminoso. Es comn que la documentacin de pruebas
para los sistemas C1 y C2 consista en varios volmenes de descripcin de pruebas y resultados
C1 C2 B1 B2 B3 A1
Documentacin de pruebas
El desarrollador del No se tienen No se tienen Requerimientos No se tienen Requerimientos
sistema deber requerimientos requerimientos adicionales requerimientos adicionales
proporcionar a los adicionales adicionales Se deber incluir los adicionales Los resultados del
evaluadores un resultados de las mapeo ente las
documento que pruebas de falta de especificaciones
describa el plan de efectividad de los formales de alto nivel y
pruebas, mtodos usados para el cdigo fuente del
procedimientos de reducir los anchos de TCB debern ser
prueba que muestren banda de los canales proporcionadas
como los mecanismos secretos
son probados, y los
resultados de las
pruebas funcionales
de los mecanismos de
seguridad
Subdireccin de Sistemas
51
Vista General del Libro Naranja
Diseo de documentacin
Es un requerimiento formidable para todos los desarrolladores de sistemas. La idea de disear documentacin es documentar
internamente el sistema (o lo ms bsico del TCB) hardware, firmware y software. El objetivo del diseo de documentacin es que
la filosofa del fabricante sobre proteccin y... cmo esta filosofa es trasladada dentro del TCB Una tarea clave que define los
lmites del sistema y distingue claramente entre cuales porciones del sistema son relevantemente seguras y cuales no.
Las dos mayores metas del diseo de documentacin son: el probar al equipo de evaluacin que el sistema cumple con el criterio de
evaluacin y el auxiliar al equipo de diseo y desarrollo para ayudar a definir las polticas del sistema de seguridad y como hacer
que las polticas se lleven a cabo durante la implementacin.
C1 C2 B1 B2 B3 A1
Diseo de documentacin
La documentacin No se tienen Requerimientos Requerimientos Requerimientos Requerimientos
que proporcione requerimientos adicionales adicionales adicionales adicionales
una descripcin de adicionales Una descripcin formal o Las interfaces entre los La implementacin del La implementacin del
la filosofa del informal del modelo de mdulos del TCB TCB (hardware, TCB deber ser
fabricante sobre las polticas de seguridad debern ser descritos firmware y software) informalmente
proteccin deber reforzado por el TCB El modelos de polticas deber ser mostrada para ser
estar disponible, y deber estar disponible de seguridad deber ser informalmente consistente con la
una explicacin de para dar una explicacin formal y probado. mostrada y ser especificacin formal
cmo esta filosofa de que es suficiente el La especificacin consistente con el de alto nivel (FTLS).
es trasladada reforzar las polticas de descriptiva de alto nivel DTLS. Los elementos Los elementos del
dentro del TCB, s seguridad. El mecanismo (DTLS) deber ser del DTLS debern ser FTLS debern ser
el TCB es de proteccin especfica mostrada en una mostrados, usando mostrados, usando
compuesto por del TCB deber ser descripcin exacta de la tcnicas de tcnicas de
distintos mdulos, identificable y una interfaz del TCB. La informacin, con su informacin, con su
las interfaces entre explicacin que documentacin describir correspondiente correspondiente
estos mdulos demuestre cmo ste como el TCB implementa elemento del TCB elemento del TCB
deber ser descrita mecanismo satisface el el concepto de monitor Los mecanismos de
modelo. de referencia y dar una hardware, firmware y
explicacin de porque es software no
resistente a penetracin, compartidos con el
y no puede ser FTLS pero
traspasado, y es estrictamente internos
correctamente del TCB (mapeo de
implementado. . registros, acceso
Subdireccin de Sistemas
52
Vista General del Libro Naranja
C1 C2 B1 B2 B3 A1
Diseo de documentacin
La documentacin deber directo a memoria de
describir como el TCB se entrada/salida),
estructura para pruebas deber ser claramente
de instalacin y reforzar descrito.
los menores privilegios.
Esta documentacin
deber tambin
presentar los resultados
del anlisis de los
canales secretos y los
intercambios involucrados
al restringir los canales.
Todos los eventos
auditables que pueden
ser usados en la
explotacin de conocer
canales de almacenaje
secretos, debern ser
identificados
Subdireccin de Sistemas
53
Vista General del Libro Naranja
Glosario
Subdireccin de Sistemas
54
Vista General del Libro Naranja
Bibliografa
URL: http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-
STD.html
Subdireccin de Sistemas
55