Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Inicio
Contenido
I. Antes de Comenzar
II. Introduccin
1. Polticas de Seguridad.
2. Responsabilidad
3. Confianza
1. Polticas de Seguridad.
2. Responsabilidad
3. Confianza
1. Medicin
2. Direccin
3. Adquisicin
1. Medicin
2. Direccin
3. Adquisicin
V. D- Proteccin Mnima.
2. A2 en adelante
2. A2 en adelante
XII. Etiquetas
XXIII. Auditora
XXXVII. Glosario
XXXVIII. Bibliografa
Vista General del Libro
Naranja
31 / Enero / 2000
Elaborado por:
Departamento de Control de
Calidad y Auditora
Informtica
Subdireccin de Sistemas
Direccin de Sistema
I. ANTES DE COMENZAR
II. INTRODUCCIN
1. Polticas de seguridad
2. Responsabilidad
3. Confianza
1. Medicin
2. Direccin
3. Adquisicin
V. D- PROTECCIN MNIMA
Subdireccin de Sistemas
2. A2- En adelante
XII. ETIQUETAS
Subdireccin de Sistemas
XXIII. AUDITORA
Subdireccin de Sistemas
XXXVII.GLOSARIO
XXXVIII.BIBLIOGRAFA
Subdireccin de Sistemas
5
Vista General del Libro Naranja
Antes de Comenzar
Antes de entrar a fondo con el tema de seguridad, hay que tomar en cuenta que existen
diferentes organizaciones, con diferentes tipos de informacin y por lo tanto con distintos
requerimientos de seguridad.
comenzar
(txt)
Versin Postscript
(ps)
(pdf)
http://www.radium.ncsc.mil/tpep/library/rainbow/
Introduccin
El Libro Naranja es consecuencia de la creciente conciencia de la seguridad por parte el
gobierno de los Estados Unidos y de la industria, ambos con la creciente necesidad de
estandarizar el propsito y el uso de las computadoras por el gobierno federal.
Introduccin
Proteccin Mnima
Proteccin Discrecional
Proteccin Obligatoria
Proteccin Controlada
Subdireccin de Sistemas
Cada divisin consiste en una o ms clases numeradas, entre ms grande sea el nmero se
indica un mayor grado de seguridad.
Cada clase se define con un grupo especfico de criterios que un sistema debe cubrir, para
ser certificado con la evaluacin en alguna clase. Este criterio cae en 4 categoras generales:
Polticas de seguridad, Responsabilidad, Confianza y Documentacin.
Requisitos Fundamentales de la
Seguridad en Cmputo
Requisitos
Se tienen seis requisitos fundamentales, los cuales se derivan de esta declaracin bsica;
cuatro de ellos parten de la necesidad de proporcionar un control de acceso a la
informacin y los dos restantes de cmo puede obtenerse una seguridad demostrable,
logrando as un sistema informtico confiable.
1. Polticas de Seguridad.
Subdireccin de Sistemas
eficientemente reglas del acceso para manejo de informacin sensitiva (p.e. clasificaciones)
estas reglas deben de incluir requisitos tales como: Ninguna persona que carezca de los
permisos apropiados obtendr el acceso a la informacin clasificada. Adems, los controles
de seguridad discrecional se requieren para asegurar que solamente los usuarios o los
grupos seleccionados de usuarios puedan obtener el acceso a los datos.(p.e., basarse en una
necesidad de conocimientos especficos).
Requisito 2 - MARCAS - El control de acceso por etiquetas debe de estar asociado a los
objetos. Para controlar el acceso a la informacin almacenada en una computadora, segn
las reglas de una poltica obligada de seguridad, debe de ser posible el marcar cada objeto
con uno una etiqueta que identifique confiablemente el nivel de la sensibilidad del objeto
(p.e., clasificacin), y/o los modos de obtener acceso y acordar quien puede tener acceso
potencial al objeto.
2. Responsabilidad
Requisitos
Subdireccin de Sistemas
8
Vista General del Libro Naranja
3. Confianza
1. Medicin
Propsito
Para proporcionar de elementos cuantificables al Departamento de Defensa (DoD1) con los
cuales poder evaluar el grado de confianza que se puede tener en los sistemas informticos
seguros, para el proceso de clasificacin de informacin sensitiva.
Subdireccin de Sistemas
El proveer a los usuarios con un criterio con el cual se evale la confianza que se puede
tener en un sistema de cmputo para el procesamiento de la seguridad o clasificacin de
informacin sensitiva.
Por ejemplo, un usuario puede confiar que un sistema B2 es ms seguro que un sistema C2.
2. Direccin
3. Adquisicin
Propsito
Las categoras de seguridad del DoD van desde D (Proteccin Mnima) hasta A (Proteccin
Verificada).
D- Proteccin Mnima.
Proteccin
Mnima
Esta divisin contiene solamente una clase. Esta reservada para los sistemas que han sido
evaluados que pero que no pueden cumplir los requisitos para una clase ms alta de la
evaluacin.
Subdireccin de Sistemas
10
Cualquier sistema que no cumple con cualquier otra categora, o ha dejado de recibir una
clasificacin ms alta. El sistema DOS para PCs se cae en esta categora.
C- Proteccin discrecional.
de que sus proyectos o informacin privada esta protegida y evitar que otros usuarios
accidentalmente puedan leer o destruir sus datos. Se supone que en el ambiente de la clase
C1 existe cooperacin entre los usuarios y adems todos ellos procesan datos en el mismo
nivel(es) de sensitividad.
1 Trusted Computers Bases (Computadora Confiable Base) en el resto del texto se utilizan
las iniciales TCB.
Subdireccin de Sistemas
11
son:
autorizaciones (ADB4).
Proteccin
discrecional
Los sistemas en esta clase hacen cumplir ms fielmente un control de acceso discrecional
ms fino que los sistemas C1, haciendo responsable individualmente a los usuarios de sus
acciones a travs de
Los siguientes son requisitos mnimos para los sistemas con asignacin de clase (C2):
La proteccin de objetos puede estar con base al usuario, ej. De un ACL o una base de
datos del administrador.
La autorizacin para accesar slo puede ser asignada por usuarios autorizados.
1 Access Control List (Lista de Control de Acceso), en el resto del texto se utilizan las
iniciales ACL
1 Access Data Base (Base de datos de accesos), en el resto del document se utilizan las
iniciales ADB
Subdireccin de Sistemas
12
B- Proteccin Obligatori a.
La divisin B especifica que el sistema de proteccin del TCB debe ser obligatorio, no solo
discrecional.
Proteccin
Obligatoria
Los sistemas de la clase B1 requieren todas las caractersticas solicitadas para la clase C2.
Adems una declaracin informal del modelo de la poltica de seguridad, de las etiquetas de
los datos, y del control de acceso obligatorio sobre los eventos y objetos nombrados debe
estar presente. Debe existir la capacidad para etiquetar exactamente la informacin
exportada. Cualquier defecto identificado al hacer las pruebas debe ser eliminado.
Los siguientes son los requisitos mnimos para los sistemas con asignaron de grado de la
clase B1:
Subdireccin de Sistemas
13
En los sistemas de clase B2, los TCB deben estar basados en una documentacin formal
clara y contar con un modelo de poltica de seguridad bien definido que requiera un control
de acceso discrecional y obligatorio, las imposiciones a los sistemas encontradas en la clase
B1, se deben extender a todos los eventos y objetos en sistemas ADP5.
Adems, los canales secretos son direccionados. El TCB se debe estar cuidadosamente
estructurado en elementos de proteccin crticos y elementos de proteccin no crticos. La
interfaz de TCB deber estar bien definida as como el diseo y la activacin de la
implementacin del TCB le permiten ser sujeto de prueba y revisin ms completa. Se
consolidan los mecanismos de autentificacin, el manejo de recursos seguros se
proporciona en forma de ayuda para las funciones del administrador y del operador del
sistema, y se imponen controles rigurosos de la administracin de configuracin. El sistema
es relativamente resistente a la penetracin.
Los siguientes son requisitos mnimos para los sistemas con asignacin de grado de la clase
B2:
Proteccin
obligatoria
En la clase B3 los TCB debe satisfacer los requisitos de herramientas de monitoreo como un
monitor de referencia que Interviene en todos los accesos de usuarios a los objetos, a fin
de ser comprobada, y que sea lo bastante pequea para ser sujeta al anlisis y pruebas.
Subdireccin de Sistemas
14
Al final, el TCB debe estar estructurado para excluir el cdigo no esencial para aplicar la
poltica de seguridad, mediante ingeniera de sistemas durante el diseo y la
implementacin del TCB, orientada hacia la reduccin de su complejidad al mnimo. Debe
de contar tambin con un Administrador de Seguridad, los mecanismos de auditoria se
amplan para sealar acontecimientos relevantes de la seguridad, y se necesitan
procedimientos de recuperacin del sistema. El sistema es altamente resistente a la
penetracin.
Los siguientes son requisitos mnimos para los sistemas con asignacin Proteccin
Obligatoria
documentacin relevante.
A- Proteccin Verificada
Proteccin
Verificada
Los sistemas en la clase (A1) son funcionalmente equivalentes a los de la clase B3 en que no
se agrega ningunas caractersticas o requisitos arquitectnicos adicionales de la poltica de
seguridad. La caracterstica que distingue los sistemas en esta clase es el anlisis derivado
de tcnicas formales de especificacin y la verificacin del diseo, y el alto grado de
confiabilidad que resulta de la correcta implementacin del TCB.
Subdireccin de Sistemas
15
Un FTLS debe ser proporcionado que incluya las definiciones abstractas de las funciones
que el TCB se realiza y de los
mecanismos de la dotacin fsica y/o de los firmwares que se utilizan para utilizar
dominios separados de la ejecucin.
Se debe demostrar que el FTLS del TCB es constante y consistente con el modelo por
tcnicas formales en lo posible (es decir, donde existen las herramientas de verificacin) y
las informales de otra Proteccin
manera.
verificada
2. A2 en adelante
La Propuesta hecha para los ms altos niveles de seguridad se denomina como A2, aunque
sus requerimientos aun no han sido definidos formalmente.
1 Formal Top Level Specification (Especificacin formal de alto nivel), en el texto se utilizan
las iniciales en ingles FTLS
Subdireccin de Sistemas
16
sistemas
Evaluacin
En la siguiente tabla se resumen los niveles de seguridad establecidos por el Libro naranja,
las clases que los integran, el nombre que recibe cada una de estas clases as como ejemplo
de algunos de los sistemas han logrado ese grado.
Nivel
Clase
Nombre
Ejemplo
Proteccin Mnima
D
Sistemas operativos bsicos: MS-DOS
Proteccin Discrecional
IBM MVS/RACF
Proteccin de Seguridad
C1
discrecional
evaluacin formal
ACF/2/MVS
Proteccin de Acceso
C2
Controlado
VAX/VMS 4.3
HP MPE V/E
Proteccin Obligatoria
Proteccin de seguridad
UNISIS OS 1100
B1
por etiquetas
SecuryWare: CMW+
IBM MVS/ESA
B2
Proteccin Estructurada
B3
Proteccin Verificada
A1
Diseo verificado
Subdireccin de Sistemas
17
La figura siguiente compara las clases de evaluacin del libro naranja, mostrando las
caractersticas requeridas para cada clase y en trminos generales, como se incrementan
los requerimientos de clase a clase.
Evaluacin
Adicionalmente se presentan cuadros comparativos de cada criterio a evaluar y los
cambios ms importantes que se necesitan para pasar de un nivel de seguridad u otro.
C1
C2
B1
B2
B3
A1
Polticas de seguridad
Reutilizacin de Objetos
Etiquetas
Integridad de Etiquetas
Dispositivos etiquetados
Responsabilidad
Identificacin y autentificacin
Rutas seguras
Auditoria
Confianza
Arquitectura del sistema
Pruebas de seguridad
Administracin de configuracin
Recuperacin confiable
Distribucin confiable
Documentacin
Pruebas de documentacin
Diseo de documentacin
Subdireccin de Sistemas
18
C2
B1
B2
B3
A1
Subdireccin de Sistemas
19
(DAC) es un mtodo de restringir el acceso a los archivos (y a otros objetos del sistema)
basndose en la identidad de los usuarios y/o los grupos a los que pertenecen. EL DAC es el
ms comn de los mecanismos de control de acceso que se encuentra en los sistemas C1
C2
B1
B2
B3
A1
La TCB deber
Requerimientos
No se tienen
No se tienen
Requerimientos
No se tienen
definirse y controlar el
adicionales
requerimientos
requerimientos
adicionales
requerimientos
acceso entre usuarios
Definicin de grupos
adicionales
adicionales
El mecanismo de
adicionales
registrados y objetos
ms especficamente
registrados (por
El mecanismo de
accesado mediante
ejemplo, archivos y
ejecucin debe
listas de control
programas). En el
proporcionar controles
El control de acceso
sistema ADP
para limitar la
El mecanismo de
propagacin de
especificar a cada
controles de usuario /
El mecanismo de
lista de nombres de
de listas de acceso)
discrecional deber
respectivos modos de
deber permitirse a
los usuarios el
accin de un usuario
especificar y controlar
explcito o un default,
el compartir ciertos
registrados, de ser
objetos a individuos
objetos sean
registrados o grupos
protegidos de accesos
definidos o ambos.
no autorizados.
de los grupos o
personas registradas
incluir o excluir el
acceso de usuarios.
del grupo,
El permiso de acceso
de un objeto para
usuarios que ya no
poseen el permiso de
usuarios autorizados
Subdireccin de Sistemas
20
C1
C2
B1
B2
B3
A1
Reutilizacin de objetos
No se requiere
Todas las
No se tienen
No se tienen
No se tienen
No se tienen
autorizaciones para la
requerimientos
requerimientos
requerimientos
requerimientos
informacin contenida
adicionales
adicionales
adicionales
adicionales
con un
almacenamiento de
revocadas
asignacin inicial,
asignacin o
de los objetos no
utilizados y
almacenados.
La informacin,
incluyendo la
representacin
encriptada de la
informacin, producida
obtenga el acceso de
ya regresado al
sistema
Subdireccin de Sistemas
21
archivos, directorios, ventanas, socket) tengan una etiqueta sensitiva asociada a l. Una
etiqueta sensitiva de usuario especifica el grado, o nivel de confianza, asociado con ese
usuario, las etiquetas de usuario sensitivas es usualmente llamada como certificado de paso
"clearance". Una etiqueta sensitiva de archivo especifica el nivel de confianza que un
usuario puede ser capaz de tener al accesar ese archivo
C1
C2
B1
B2
B3
A1
Etiquetas
No se requiere
No se requiere
Etiquetas sensitivas
Requerimientos
No se tienen
No se tienen
adicionales
requerimientos
requerimientos
evento y objeto
Las etiquetas
adicionales
adicionales
almacenado bajo su
sensitivas asociadas
archivos, segmentos,
mantenidos por el
almacenados, ROM)
o indirectamente
accesados por
eventos externos a l
de importancia de
datos no etiquetados,
recibir de un usuario
autorizado el nivel de
seguridad de esos
Subdireccin de Sistemas
22
La integridad de etiquetas asegura que las etiquetas sensitivas asociadas con eventos y
objetos tienen una representacin exacta de los niveles de seguridad de estos eventos y
objetos
Deber estar asociado con un archivo TOP SECRET que contiene informacin acerca del
planeta Venus C1
C2
B1
B2
B3
A1
Integridad de etiquetas
No se requiere
No se requiere
Las Etiquetas
No se tienen
No se tienen
No se tienen
sensitivas debern
requerimientos
requerimientos
requerimientos
representar con
adicionales
adicionales
adicionales
de los eventos
especficos u objetos
estn asociados
Cuando son
exportados por el
sensitivas debern
precisar y representar
debern estar
asociadas con la
siendo exportada.
Subdireccin de Sistemas
23
Un sistema confiable debe de asegurar que la informacin es escrita por el sistema, que la
informacin cuenta con mecanismos de proteccin asociados a ella. Dos formas de exportar
informacin son asignar un nivel de seguridad a los dispositivos de salida escribir
etiquetas sensitivas en los datos. Los sistemas valorados como B1 en adelante deben de
proporcionar facilidades de exportacin segura
Se definen dos tipos de dispositivos para exportar; multinivel y de nivel simple. Cada
dispositivo de entrada / salida y canal de comunicaciones en un sistema debe de ser
designado de uno o de otro tipo. Cualquier cambio a estas designaciones de dispositivos
debe de ser capaz de ser auditado. Tpicamente un administrador de sistemas designa
dispositivos durante la instalacin del sistema o durante su configuracin
C1
C2
B1
B2
B3
A1
No se requiere
No se requiere
El TCB deber
No se tienen
No se tienen
No se tienen
requerimientos
requerimientos
requerimientos
de comunicaciones y
adicionales
adicionales
adicionales
dispositivo de entrada
de un nivel sencillo o
de multinivel.
Cualquier cambio en
esta designacin
manualmente y deber
de auditar cualquier
de seguridad o
niveles asociados con
un canal de
comunicaciones o
dispositivo de entrada
/ salida
Subdireccin de Sistemas
24
C1
C2
B1
B2
B3
A1
No se requiere
No se requiere
Cuando el TCB exporta un
No se tienen
No se tienen
No se tienen
requerimientos
requerimientos
dispositivo de entrada /
adicionales
adicionales
adicionales
exportada y permanecer
residente en el mismo
informacin exportada y
a la mquina o en forma
legible a la persona).
canal de comunicacin
multinivel, el protocolo
Subdireccin de Sistemas
25
C2
B1
B2
B3
A1
No se requiere
No se requiere
Los dispositivos de
No se tienen
No se tienen
No se tienen
requerimientos
requerimientos
requerimientos
de comunicaciones de
adicionales
adicionales
adicionales
requeridas para
mantener las
etiquetas sensibles de
la informacin que
procesan
De cualquier modo, el
el TCB y un usuario
autorizado fiable
comunique y designe
el nivel nico de
seguridad de la
informacin importada
o exportada va canal
de comunicaciones de
nivel sencillo o
dispositivo de entrada
/ salida.
Subdireccin de Sistemas
26
El libro naranja es muy claro en cuanto a los requerimientos de cmo deben de hacerse las
etiquetas para las salidas legibles al humano (salidas que las personas pueden ver). Estas
incluyen pginas de salida impresa, mapas, grficas y otros indicadores. El administrador
del sistema debe de especificar la forma en que las etiquetas van a aparecer en la salida.
Por lo regular se requieren dos tipos de etiquetas: primero, cada salida distinta debe ser
etiquetada, al principio y al final, con etiquetas que representen una sensitividad general de
la salida. S se est imprimiendo el contenido de un archivo Y tpicamente se puede ver una
pgina de un banner antes y despus del contenido del documento, mostrando claramente
la etiqueta sensitiva del archivo. Segundo, cada pgina de salida impresa debe ser
etiquetada, e la parte superior y en la parte inferior, con etiquetas que presenten ya sea una
u otra, una sensitividad general de la salida o la sensitividad especfica de la informacin en
esa pgina C1
C2
B1
B2
B3
A1
No se requiere
No se requiere
No se tienen
No se tienen
requerimientos
requerimientos
requerimientos
adicionales
adicionales
adicionales
exportables
el TCB
Subdireccin de Sistemas
27
Las etiquetas sensitivas de eventos requieren estados que el sistema pueda notificar a
determinado usuario de algn cambio en el nivel de seguridad asociado con un usuario
durante una sesin interactiva. Este requerimiento se aplica de los sistemas evaluados B2
en adelante.
La idea de las etiquetas sensitivas a eventos es que el usuario siempre conozca el nivel de
seguridad en el que esta trabajando. Los sistemas confiables tpicamente despliegan el
"clearance" cuando se establece sesin y lo despliegan nuevamente si el nivel de seguridad
tiene algn cambio, o automticamente a peticin del usuario.
C1
C2
B1
B2
B3
A1
No se requiere
No se requiere
No se requiere
No se tienen
inmediatamente a la
requerimientos
requerimientos
adicionales
cada cambio en el
nivel de seguridad
sesin interactiva. La
terminal de usuario
lo desee para
desplegar en un
sensitiva.
Subdireccin de Sistemas
28
Los dispositivos etiquetados requieren estados que cada dispositivo fsico tenga
adicionados en el sistema que definan niveles mnimos y mximos de seguridad asociados a
ellos, y todos estos son usados para "reforzar las restricciones impuestas por el medio
ambiente fsico en el cual el dispositivo esta localizado".
Para un dispositivo multinivel, se debe de especificar el nivel mnimo de la informacin que
puede ser enviada a este dispositivo (el mnimo para el dispositivo) y el nivel ms alto de
informacin que puede ser enviada al dispositivo (el mximo del dispositivo). Para un
dispositivo de un nivel nico, el nivel mnimo es el mismo que el nivel mximo C1
C2
B1
B2
B3
A1
Dispositivos Etiquetados
No se requiere
No se requiere
No se requiere
No se tienen
No se tienen
la asignacin de un
requerimientos
requerimientos
adicionales
niveles de seguridad
condiciones impuestas
localizados
Subdireccin de Sistemas
29
C2
B1
B2
B3
A1
No se requiere
No se requiere
Requerimientos
No se tienen
No se tienen
polticas del control de
adicionales
requerimientos
requerimientos
acceso obligatorio de
adicionales
adicionales
objetos almacenados
de acceso obligatorio
(procesos, archivos,
dispositivos, etc.) A
recursos(usuarios,
objetos almacenados,
dispositivos de entrada
indirectamente por
jerrquico y categoras
usuarios externos al
no jerrquicas, y las
TCB.
Los requerimientos
debern mantenerse
control de acceso
obligatorio
usuarios externos a l
de soportar dos o ms
objetos accesibles
siguientes
indirectamente por
requerimientos debern
estos usuarios.
Subdireccin de Sistemas
30
C2
B1
B2
B3
A1
objeto solamente si la
clasificacin jerrquica
la categora no
de seguridad que se
categoras no jerrquicas
del objeto.
Un usuario puede
escribir en un objeto
solamente si la
clasificacin jerrquica
categoras no jerrquicas
de los niveles de
seguridad que se
categoras no jerrquicas
del objeto.
Subdireccin de Sistemas
31
2. Los passwords deben ser generados por la maquina ms el creado por el usuario 3.
Seguridad en reportes de auditoria (fecha y hora del ltimo login) debe ser proporcionado
por el sistema directamente al usuario.
C1
C2
B1
B2
B3
A1
Identificacin y autentificacin
Requerimientos
No se tienen
No se tienen
la identificacin de los
adicionales
requerimientos
requerimientos
requerimientos
usuarios antes de
adicionales
adicionales
adicionales
empezar a ejecutar
cuentas individuales
el TCB deba de
al proporcionar la
usuarios (password) As
detectar la autorizacin de
de proteccin
cada usuario
usuarios individuales.
(passwords) para
individual ADP. El
autentificar la
proporcionar la
capacidad de asociar
los datos de
seguridad y la autorizacin de
autentificacin de
accin audible
manera que no
por usuarios no
autorizados
documenta por el pase y la
usuario
Subdireccin de Sistemas
32
Una ruta segura proporciona un medio libre de errores, por el cual un usuario (tpicamente
una terminal o un a estacin de trabajo) puede comunicarse directamente con un TCB sin
interactuar con el sistema a travs de aplicaciones inseguras (y posiblemente poco fiables)
y capas del sistema operativo. Una ruta segura es un requerimiento para sistemas
clasificados como B2 en adelante C1
C2
B1
B2
B3
A1
Rutas seguras
No se requiere
No se requiere
No se requiere
Requerimientos
No se tienen
adicionales
requerimientos
comunicaciones entre
adicionales
l y un usuario para
su identificacin y
comunicaciones entre
autentificacin. La
l y usuarios para
comunicacin va esta
conexin TCB a
iniciada
usuario es requerida
exclusivamente por el
usuario
nivel de seguridad).
Las comunicaciones
ser activadas
exclusivamente por el
usuario o el TCB y
como distinguibles de
otras conexiones
Subdireccin de Sistemas
33
Logouts
Porque auditar estos eventos? La principal razn es que hasta el sistema ms seguro es
vulnerable a ser atacado, y la auditora proporciona un excelente medio de determinar
cuando y como un ataque puede ser efectuado.
Cada vez que un evento auditable ocurre, el sistema escribe al final la siguiente informacin
(Ordenada por el Libro Naranja)
Tipo de evento
Nombre de los objetos involucrados (nombre de (ej. Nombre de los archivos a ser
borrados)
Subdireccin de Sistemas
34
C2
B1
B2
B3
A1
Auditora
No se requiere
Requerimientos
Requerimientos
Requerimientos
No se tienen
de crear, mantener y
adicionales
adicionales
adicionales
requerimientos
proteger de
adicionales
con un mecanismo
de usuarios no
cualquier sustitucin de
eventos identificados
con la capacidad de
autorizados o
monitorear las
destruccin de pistas de
al humano
usados en la
ocurrencias o
auditoria o accesos a
explotacin o cubierta
acumulacin de
objetos protegidos. La
introducen un objeto
de canales de
eventos de seguridad
almacenamiento
indicar de una
de accesos de lectura o
inminente violacin a
objetos el registro de
las polticas de
seguridad. Este
los datos.
nombre de los objetos y
mecanismo deber de
de registrar los
objeto.
inmediatamente al
siguientes tipos de
El administrador de
administrador de
eventos: Uso de
seguridad cuando se
mecanismos de
capaz de auditar
excede el umbral, y si
identificacin y
selectivamente las
la acumulacin de
autentificacin,
acciones de algn o
ocurrencias de
introduccin de objetos
varios usuarios
eventos relevantes de
en el espacio
basndose en la
seguridad continua, el
(apertura de archivos,
la ltima accin
inicializacin de
objetos.
programas), eliminacin
de objetos, acciones
de la computadora y
administradores del
sistema
Subdireccin de Sistemas
35
C2
B1
B2
B3
A1
Auditora
y/o administradores de la
evento registrado, el
registro de auditoria
el evento. La
identificacin /
autentificacin de
peticin (ID de la
incluidos en el registro de
auditoria
El administrador de
acciones a auditar de
uno o de varios usuarios
basndose en la
identidad individual
Subdireccin de Sistemas
36
As los sistemas de los niveles bajos (C1, B1 y hasta B2) no fueron necesariamente
diseados especficamente para seguridad, ellos soportan principios de diseo de
hardware y sistema operativo, tan bien como la habilidad de soportar caractersticas
especficas que quizs son agregadas a estos sistemas. La mayora de los diseos modernos
de multiprocesamiento, y sistemas multi usuarios siguen las claves los principios de diseo
necesarios para cumplir los requerimientos del libro naranja en los que arquitectura del
sistema se refiere al menos C2 y B1, s bien estos principios no estn necesariamente
orientados a seguridad C1
C2
B1
B2
B3
A1
EL TCB debe
Requerimientos
Requerimientos
Nuevos
Requerimientos
No se tienen
mantener un
adicionales
adicionales
Requerimientos para
adicionales
requerimientos
dominio para su
B2
adicionales
propia ejecucin
que lo proteja de
como proporcionar
un dominio para su
completo, de un
interferencia
distintas direcciones de
propia ejecucin de
mecanismo de
externa o
de acceso y
protecciones de
proteccin,
interferencia externa o
conceptualmente
de su cdigo o
modificacin de su
semntica precisa.
estructura de
cdigo o estructura de
datos). Los
recursos
mantener procesos
en el reforzamiento de
controlados por el
aislados as como
la estructura interna
TCB pueden ser
proporcionar direccin
entre el TCB y el
definidos en un
de espacios distintas
subgrupo as
bajo su control.
incorporar el uso
como los
significativo de capas,
usuarios y objetos
estructurado
abstraccin y
en el sistema
internamente dentro
ocultamiento de datos.
ADP.
mdulo independiente.
Subdireccin de Sistemas
37
C2
B1
B2
B3
A1
Una aplicacin de
ingeniera de sistemas
privilegios sean
directamente
reforzados,
conducida
Caractersticas de
minimizando la
hardware, as como
segmentacin, debe
excluyendo de los
soportar lgicamente
objetos que no
distinciones de objetos presentan proteccin
almacenados con
crtica
atributos separados
(nombrar, leer y
escribir). La interfaz de
ser completamente
identificados
Subdireccin de Sistemas
38
La integridad del sistema significa que el hardware y el firmware debe trabajar y debe ser
probado para asegurar que trabaje adecuadamente, Para todos los niveles, el libro naranja
establece las caractersticas de hardware y software que deben ser proporcionadas para
ser usadas y peridicamente validadas para la correcta operacin del hardware instalado y
los elementos firmware del TCB.
La integridad de sistema una meta de vital importancia para todos los desarrolladores de
sistemas, y no solo desarrolladores de sistemas seguros. Como ya se ha mencionado
anteriormente, un elemento muy importante de un sistema de seguridad es la habilidad de
que el sistema funcione como se espera y permanecer en operacin Muchos vendedores
miden los requerimientos de integridad del sistema, al proveer de un juego de pruebas de
integridad, EL ms substancial diagnostico es hacer un programa calendarizado de
periodos de mantenimiento preventivo C1
C2
B1
B2
B3
A1
Las
No se tienen
No se tienen
No se tienen
No se tienen
No se tienen
requerimientos
requerimientos
requerimientos
requerimientos
hardware y/o el
adicionales
adicionales
adicionales
adicionales
adicionales
software deben
ser
proporcionadas
peridicamente
validadas su
correcta
operacin as
como los
elementos de
hardware y
Subdireccin de Sistemas
39
C1
C2
B1
B2
B3
A1
No se requiere
No se requiere
El sistema
Requerimientos
Requerimientos
desarrollado deber
adicionales
adicionales
comportarse
completamente,
canales simulados
buscando la
(almacenamiento y
en el anlisis
simulacin de canales
temporizacin)
de almacenamiento y
haciendo
determinaciones (para
las mediciones
actuales o por
estimaciones de
ingeniera) o el
mximo ancho de
identificado
Subdireccin de Sistemas
40
C1
C2
B1
B2
B3
A1
No se requiere
No se requiere
No se requiere
No se tienen
separadamente las
adicionales
requerimientos
funciones de
adicionales
administrador y
en el papel del
operador
administrador de
identificadas. El Personal
de Administracin del
funciones de administrador
de seguridad despus de
distinguible al asumir el
papel de administrador de
la seguridad en el sistema
el papel de administrador
de seguridad debern
limitarse estrictamente a lo
la seguridad efectivamente
Subdireccin de Sistemas
41
La recuperacin confiable actualmente involucra dos actividades: prepararse ante una falla
del sistema y recuperar el sistema.
Si una falla inesperada ocurre, como una falla de disco duro, o un corte de corriente
elctrica, se debe recuperar el sistema de acuerdo con ciertos procedimientos para
asegurar la continuidad de la seguridad en el sistema. Este procedimiento tambin puede
ser requerido si se detecta un problema del sistema, como recursos perdidos, o una base de
datos inconsistente o cualquier cosa que comprometa el sistema.
C1
C2
B1
B2
B3
A1
Recuperacin confiable
No se requiere
No se requiere
No se requiere
No se requiere
Los procedimientos
No se tienen
y/o mecanismos
requerimientos
debern ser
adicionales
proporcionados para
discontinuidad, el
sistema se recupere
sin un obtener
compromiso de
proteccin
Subdireccin de Sistemas
42
C1
C2
B1
B2
B3
A1
No se requiere
No se requiere
Un modelo formal o
Requerimientos
Requerimientos
Requerimientos
informal de las
adicionales para B2
adicionales
adicionales
polticas de seguridad
Un modelo formal de la
Un argumento
poltica de seguridad
convincente deber
ser proporcionado de
que el DTLS es
mantenido y precisamente
consistente con el
descrito el TCB en
sistema ADP y
modelo
trminos de excepciones,
demostracin de ser
mensajes de error y
consistente con su
consistencia con su
efectos. EL DTLS y el
axioma
axioma. Especificacin
trminos de excepciones,
mensajes de error y
descripcin exacta de la
de tcnicas formales e
modelo.
Subdireccin de Sistemas
43
Prueba de mecanismos y
Prueba de interfaz.
La prueba de interfaz significa el probar todas las rutinas del usuario que involucren
funciones de seguridad C1
C2
B1
B2
B3
A1
Pruebas de seguridad
Los mecanismos de
Requerimientos
Requerimientos
Requerimientos
Requerimientos
Requerimientos
seguridad del
adicionales
adicionales para B1
adicionales
adicionales
adicionales
Las pruebas
Los mecanismos de
ser probado y
encontrado
encontrado resistente
demostrar que la
encontrado
incluidas en la
relativamente
a penetraciones,
implementacin del
trabajando y exigido
bsqueda de
probados y encontrados
resistente a
Ninguna bandera de
TCB es consistente
en la documentacin
banderas obvias
trabajando con la
penetracin
diseo y ninguna
con la especificacin
documentacin del
bandera de
una violacin de
sistema.
demostrarse que la
implementacin sin
El manual u otros
hechas para
recursos aislados, o
Un equipo de individuos
implementacin del
que entiendan
TCB es consistente
el acceso no
completamente la
con la descripcin de
acceso de usuarios
autorizado de
razonablemente
pruebas de
no autorizados o
auditora o
nivel.
confidenciales las
penetracin.
cualquier otra falla en autentificacin de
documentacin, cdigo
el mecanismo de
datos
proteccin de la
Subdireccin de Sistemas
44
C2
B1
B2
B3
A1
Pruebas de seguridad
Las pruebas.
la implementacin de
permitir a un sujeto
normalmente denegados
discrecional u obligatorias
responder a
comunicaciones iniciadas
neutralizadas y el TCB
sido introducidas
Subdireccin de Sistemas
45
Involucra el identificar, controlar, contabilizar y auditar todos los cambios hechos en los
lineamientos de TCB, incluyendo hardware, firmware y software, por ejemplo, cualquier
cambio en el cdigo, durante las faces de diseo, desarrollo y mantenimiento as como la
documentacin, planes de pruebas, y otras herramientas del sistema relacionadas y sus
facilidades.
Segundo, hace posible el regresar a versiones previas del sistema. Esto es importante, si
por ejemplo, un problema de seguridad es encontrado en una versin del sistema que no
tenan en una versin anterior.
Registrar todos los cambios de elementos de configuracin (en lnea y fuera de lnea)
C1
C2
B1
B2
B3
A1
Administracin de configuracin
No se requiere
No se requiere
No se requiere
Durante el desarrollo y
No se tienen
Nuevos Requerimientos
requerimientos
para A1
administracin de
adicionales
de vida... durante el
lugar en el control de
diseo, desarrollo, y
en la especificacin
una administracin de
configuraciones deber
datos de diseo,
documentacin de
hardware, firmware y
implementacin, cdigo
software relacionado con
la seguridad y debe de
mantenerse un control
pruebas de correcciones y
formal de mantenimiento
documentacin.
Subdireccin de Sistemas
46
C2
B1
B2
B3
A1
Administracin de configuracin
La administracin de
especificaciones
descriptiva y formal de
documentacin y el cdigo
diseo, documentacin e
implementacin, cdigo
pruebas de reparaciones y
la documentacin. La
cdigo fuente.
administracin de
configuraciones del
un mapeo consistente
entre toda la
documentacin y el cdigo
en orden a determinar que
mantenidas bajo un
estricto control de
configuraciones para
TCB en orden a
usando.
Subdireccin de Sistemas
47
Validacin del lugar, significa que el cliente final, con la distribucin confiable puede
detectar falsificaciones del sistema o modificacin del sistema.
C1
C2
B1
B2
B3
A1
Distribucin Confiable
No se requiere
No se requiere
No se requiere
No se requiere
No se requiere
Un sistema de control
ADP confiable y
facilidad de distribucin
deber ser
proporcionada para
mantener la integridad
describen la versin
procedimientos (Prueba
de aceptacin de la
asegurar que el
software, firmware y
actualizacin del
es exactamente como
se especifica en las
copias principales
Subdireccin de Sistemas
48
Vista General del Libro Naranja Gua del usuario de caractersticas de seguridad
La gua del usuario de caractersticas de seguridad (SFUG) es un apunte ordinario, sin
privilegios para todos los usuarios del sistema. En el se encuentran cosas que es necesario
saber acerca de las caractersticas del sistema de seguridad y de cmo es que estn
reforzadas. Los temas tpicos incluyen
Acceso al sistema seguro. Como se debe introducir el login y el password, con que
frecuencia debe de cambiarse, que mensajes deben de verse, cmo deben de usarse estos
mensajes para reforzar la seguridad del sistema
Proteccin de archivos y otro tipo de informacin. Cmo se debe de especificar una lista
de control de acceso (o protecciones similares)
Importar y exportar archivos Como leer nuevos datos dentro del sistema confiable y
como escribir datos de otros sistemas sin arriesgar la seguridad
C1
C2
B1
B2
B3
A1
Un resumen
No se tienen
No se tienen
No se tienen
No se tienen
No se tienen
sencillo, captulo
requerimientos
requerimientos
requerimientos
requerimientos
requerimientos
o manual en la
adicionales
adicionales
adicionales
adicionales
adicionales
documentacin
describa los
mecanismos de
proteccin
proporcionados
por el TCB,
lineamientos
sobre su uso y
como interactuar
con otros.
Subdireccin de Sistemas
49
C2
B1
B2
B3
A1
Un direccionamiento
Requerimientos
Requerimientos
Requerimientos
Requerimientos
No se tienen
adicionales
adicionales
adicionales
adicionales
requerimientos
administrador del
Los procedimientos
EL manual deber
para examinar y
procedimientos para
presentar avisos
los mecanismos de
asegurar que el
de auditora as como
administrador relativas
validacin de
sistema es
y privilegios que
inicialmente arrancado
deber de controlar
registros detallados de
caractersticas de
procedimientos para
Los procedimientos
instalacin segura
de un nuevo TCB
incluidos en el
proporcionar
lineamientos para el
de modificarse por
uso consistente y
efectivo de las
de cualquier lapso de
caractersticas de
descrito
como deber
interactuar, como
procedimientos de
instalacin,
advertencias, y
Subdireccin de Sistemas
50
Para el libro naranja, consiste en mostrar como los mecanismos de seguridad fueron
probados, y los resultados de los mecanismos de seguridad con pruebas funcionales.
C2
B1
B2
B3
A1
Documentacin de pruebas
El desarrollador del
No se tienen
No se tienen
Requerimientos
No se tienen
Requerimientos
sistema deber
requerimientos
requerimientos
adicionales
requerimientos
adicionales
proporcionar a los
adicionales
adicionales
adicionales
evaluadores un
resultados de las
documento que
pruebas de falta de
especificaciones
describa el plan de
efectividad de los
pruebas,
procedimientos de
proporcionadas
secretos
resultados de las
pruebas funcionales
de los mecanismos de
seguridad
Subdireccin de Sistemas
51
Las dos mayores metas del diseo de documentacin son: el probar al equipo de evaluacin
que el sistema cumple con el criterio de evaluacin y el auxiliar al equipo de diseo y
desarrollo para ayudar a definir las polticas del sistema de seguridad y como hacer que las
polticas se lleven a cabo durante la implementacin.
C1
C2
B1
B2
B3
A1
Diseo de documentacin
La documentacin
No se tienen
Requerimientos
Requerimientos
Requerimientos
Requerimientos
que proporcione
requerimientos
adicionales
adicionales
adicionales
adicionales
una descripcin de
adicionales
la filosofa del
TCB (hardware,
fabricante sobre
firmware y software)
informalmente
proteccin deber
El modelos de polticas
deber ser
estar disponible, y
informalmente
consistente con la
una explicacin de
mostrada y ser
especificacin formal
de que es suficiente el
La especificacin
consistente con el
es trasladada
el TCB es
de proteccin especfica
mostrada en una
mostrados, usando
mostrados, usando
compuesto por
descripcin exacta de la
tcnicas de
tcnicas de
distintos mdulos,
identificable y una
informacin, con su
informacin, con su
explicacin que
correspondiente
estos mdulos
mecanismo satisface el
el concepto de monitor
Los mecanismos de
modelo.
hardware, firmware y
explicacin de porque es
software no
resistente a penetracin,
compartidos con el
y no puede ser
FTLS pero
traspasado, y es
estrictamente internos
correctamente
implementado. .
registros, acceso
Subdireccin de Sistemas
52
C2
B1
B2
B3
A1
Diseo de documentacin
La documentacin deber
directo a memoria de
entrada/salida),
descrito.
Esta documentacin
deber tambin
intercambios involucrados
ser usados en la
explotacin de conocer
canales de almacenaje
identificados
Subdireccin de Sistemas
53
Glosario
seguridad.
Informacin sensitiva: Es toda aquella informacin que no esta disponible a todos los
usuarios por poseer un cierto grado de confidencialidad.
Elemento activo: Son todos aquellos usuarios o procesos que poseen la capacidad de
crear, modificar, leer, escribir o borrar informacin.
a los objetos dentro del sistema, se utilizan estos identificadores para verificar los permisos
que tiene el usuario o el objeto para permitir o denegar las acciones.
Etiqueta Sensitiva de usuario: especfica el grado, o nivel de confianza, asociado con ese
usuario, las etiquetas de usuario sensitivas es usualmente llamada como certificado de paso
"clearance".
Etiqueta sensitiva de archivo: especifica el nivel de confianza que un usuario puede ser
capaz de tener al tener acceso a ese archivo.
Evento: Son todas las acciones generadas por un usuario o un proceso que van a exigir una
respuesta por parte de un objeto.
Firmware: Se define como hardware en software, es decir memorias ROM que contienen
instrucciones o datos necesarios
Subdireccin de Sistemas
54
Vista General del Libro Naranja
Objeto: Son todos los elementos identificables dentro del sistema, cmomo son directorios,
archivos, dispositivos, puertos, etc.
Bibliografa
URL: http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html
Bibliografa
Subdireccin de Sistemas
55
Document Outline
Inicio
Contenido
I. Antes de Comenzar
II. Introduccin
o 1. Polticas de Seguridad.
o 2. Responsabilidad
o 3. Confianza
o 1. Medicin
o 2. Direccin
o 3. Adquisicin
V. D- Proteccin Mnima.
o 2. A2 en adelante
XIX. Evaluacin de clases y ejemplo de
XII. Etiquetas
XXIII. Auditora
XXXVII. Glosario
XXXVIII. Bibliografa