Yellow Booke

Recuperación de confianza en los sistemas de confianza

 Fallos, discontinuidades y recuperaciones (B3 o A1)

Proporcionar procedimientos y los mecanismos de seguridad.

Fallos de Transición o de acción:

- Cuando los usuarios pasan mal parámetros primitivos al TCB

- Invocar la TCB primitivas equivocadas
- Recursos del sistema agotados o inconsistentes por errores del usuario

Procesamiento de excepciones.

- Fallos de dominio.
- Transformación de los fracasos

1.- TRANSICION DE ESTADOS (FRACASOS O FALLOS DE ACCION)

TCB primitivos no competa su función por excepciones durante su ejecución.

CAUSAS

 Parámetros incorrectos
 Recursos Agotados
 Perdida de objetos necesarios en ejecución

EFECTOS

Mecanismos de recuperación dentro de la TCB primitiva sino logra recuperarse se reestablecen los
valores estándar (en el mecanismo volátil, estados consistentes en mecanismo no volátil)

Ejemplo: SO

Unix “créate” – asigna i-nodo entrada antes de asignar las entradas.

Si la tabla está llena, manda mensaje de error y no lo crea.

2.- FALLOS TCB

Error debajo de las primitivas TCB, el error no se puede enmascarar con la interfaz

 Incoherencias persistentes en tablas

 Ramas silvestres (fallos de HW transitorio)
 Fallos de alimentación
 Fallos de procesamiento

Efecto:

Carga del sistema

- Tolerancia a fallos del HW de la operación.

Mecanismo de recuperación: Mantenimiento operativo. Reinicio del sistema (sin la ejecución del
proceso), se abordan los estados activos, bloqueados, o cambiantes.
Elimina o complementa actualizaciones de medios no volátiles

Tallos que permiten cerrar de manera ordenada:

- Espacio de intercambio agotado

- Se agota el temporizador de una interrupción
- Condiciones que no se pueden manejar por si mismas
- Fallos de HW persistentes.

FALLOS DE MEDIOS (Fallos de soporte de impresión)

Los errores no pueden ser enmascarados.

-HW (cabezales del DD, mal alineado, desgastado, polvo, etc.)

-SW (medios legibles)

EFECTO:

Inaccesibilidad o corrupción.

Ejemplo: Etiquetas de seguridad del objeto

Generalmente el sistema se bloquea hasta recuperar o tener almacenamiento redundante.

Si la comunicación redundante no está disponible puede causar fallos irrecuperables.

DISCONTINUIDAD DEL FUNCIONAMIENTO

Fallas inducidas por usuarios, administradores y operadores.

Causadas por:

- Interrupciones inesperadas del sistema (alimentación)

- Falta de acción (agotando de recursos el sistema)

Ejemplo:

 Registro de Auditoria al 45% de su capacidad.

 Espacio de intercambio insuficiente
 Configuración inadecuada


ID de usuario  Se puede incluir en un fichero de contraseñas, archivos de cuentas de usuarios, archivo

de pertenencias al grupo.

- Único
- Valores enteros
- Logintud 0-N` max. Definido

Ejemplo: ACL – Control de accesos direccional

Orden de la ACL

<usuario ID . group ID> entradas preceden <IDde usuario.*> Entradas

<ID de usuario.*> Entradas preceden <ID>*.group entradas

<-.grupo ID:> entradas proceden <*.*> Entradas

Otros

- Perfiles de seguridad del usuario

INVARIANTES IRRELEVANTES

- Pérdida de memoria volátil – entra el modo mantenimiento

- Campana – La padula
- Seguridad simple – Confianza
- Compatibilidad – Jerarquía de objetos.

Ejemplo: Un estado sin procesar activo.

INVARIANTES DE INTEGRIDAD

a. Un sector del disco es liberado o asignado

b. La suma de los sectores libres y asignados del disco es igual al número total de sectores del
disco
c. Cada sector asignado corresponde a una representación del objeto y todos los sectores libres no
pertenecen a ningún objeto.
d. Todos los objetos activos son accesibles desde la raíz de su jerarquía.
e. Si el recuento de enlaces o referencias a un objeto es cero, no existen enlaces o referencias.

Efectos y mecanismos igual a 1 y 2

 Cierre de sistema durante ejecución

PROPIEDADES DE LA RECUPERACION DE LA CONFIANZA

- Estados seguros.
- Transición de estado seguro

Modelos de rendición de cuentas

 Autenticación del usuario

 Ruta de confianza
 Auditoria

ESTADOS SEGUROS

Modelo Bella-La Padula

a. Sujetos (confiables y no confiables)

b. Objetos
c. Privilegios de acceso
d. Matriz de acceso (privilegios de sujetos y objetos)
e. Conjunto de acceso actual (temas privilegiados pueden estar encima de objetos)
f. Función de seguridad (libertad del sujeto y clasificación de objetos)

Grama jerarquía de objetos

Estados invariantes (propiedades)

a. Condición simple de seguridad para los objetos

b. Propiedades para la función de seguridad.
 c. Condiciones de seguridad discrecional de los privilegios de acceso a los conjuntos de acceso
actuales
d. Compatibilidad para la jerarquía de objetos/

Invariables derivados (aumentar cuando sea necesario)

 Archivo de contraseñas
 Archivo de cuentas de usuario
 Archivo de seguridad mapa
 Archivo de configuración del sistema