REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN

UNIVERSIDAD POLITÉCNICA TERRITORIAL “ANDRÉS ELOY
BLANCO”
BARQUISIMETO, ESTADO LARA
MUNICIPIO IRIBARREN

SEGURIDAD EN SISTEMAS OPERATIVOS

Estudiante:
Jhonathan Figueroa (28539772)
Carrera:
PNF Informática, Sección IN3113

Octubre, 2023
Requisitos de Seguridad:

Los sistemas operativos son una parte fundamental de cualquier infraestructura

informática. Son responsables de gestionar los recursos de hardware y software de un
sistema, y de proporcionar un entorno seguro para ejecutar aplicaciones y almacenar
datos.

La seguridad de los sistemas operativos es esencial para proteger los datos y sistemas
de las amenazas internas y externas. Los requisitos de seguridad en sistemas operativos
se pueden dividir en tres categorías principales:

 Confidencialidad: El requisito de confidencialidad garantiza que los datos solo

sean accesibles para los usuarios autorizados.

 Integridad: El requisito de integridad garantiza que los datos no sean

modificados sin autorización.

 Disponibilidad: El requisito de disponibilidad garantiza que los sistemas estén

disponibles para los usuarios autorizados cuando sea necesario.

Requisitos de confidencialidad

La confidencialidad es uno de los requisitos de seguridad más importantes. Los datos

confidenciales, como contraseñas, información financiera o datos personales, deben
protegerse del acceso no autorizado.

Los sistemas operativos pueden proteger la confidencialidad de los datos mediante una
variedad de mecanismos, como:

 Encriptación: La encriptación es un proceso que convierte los datos en un

formato ilegible para los usuarios no autorizados.

 Control de acceso: El control de acceso limita el acceso a los datos a los

usuarios autorizados.
  Aislamiento: El aislamiento separa los datos de los usuarios no autorizados.

Ejemplos de mecanismos de encriptación:

 Encriptación simétrica: Este tipo de encriptación utiliza una sola clave para
cifrar y descifrar los datos.

 Encriptación asimétrica: Este tipo de encriptación utiliza dos claves, una para
cifrar los datos y otra para descifrarlos.

Ejemplos de mecanismos de control de acceso:

 Listas de control de acceso (ACLs): Las ACLs son listas que especifican los
usuarios o grupos que tienen acceso a un recurso y el tipo de acceso que tienen.

 Controles de acceso basados en roles (RBAC): RBAC es un método de control

de acceso que asigna roles a los usuarios. Los roles especifican los recursos a
los que un usuario puede acceder y el tipo de acceso que tiene.

Ejemplos de mecanismos de aislamiento:

 Multitarea: La multitarea permite que el sistema operativo ejecute varios

procesos al mismo tiempo. Esto ayuda a aislar los procesos entre sí.

 Entornos de ejecución aislados (sandboxes): Los sandboxes son entornos de

ejecución que limitan el acceso de un proceso a los recursos del sistema.

 Virtualización: La virtualización crea entornos de ejecución independientes que

se ejecutan sobre el mismo hardware.

Requisitos de integridad

La integridad es otro requisito de seguridad importante. Los datos deben estar

protegidos de la modificación no autorizada.

Los sistemas operativos pueden proteger la integridad de los datos mediante una
variedad de mecanismos, como:
  Verificación de integridad: La verificación de integridad garantiza que los datos
no se hayan modificado desde la última vez que se verificó.

 Control de cambios: El control de cambios rastrea los cambios realizados en los

datos.

 Firma digital: La firma digital garantiza que los datos no hayan sido
modificados desde que se crearon.

Ejemplos de mecanismos de verificación de integridad:

 Hashing: El hashing es un proceso que convierte los datos en un valor único,

llamado hash. Si los datos se modifican, el hash también cambiará.

 Firma digital: La firma digital es un método de cifrado que utiliza una clave
privada para crear un sello digital que se adjunta a los datos. Si los datos se
modifican, el sello digital se invalidará.

Ejemplos de mecanismos de control de cambios:

 Registro de cambios: El registro de cambios rastrea todos los cambios

realizados en los datos.

 Sistema de control de versiones: El sistema de control de versiones permite a

los usuarios realizar cambios en los datos de forma controlada.

Requisitos de disponibilidad

La disponibilidad es un requisito de seguridad importante para los sistemas que son

esenciales para el negocio. Estos sistemas deben estar disponibles para los usuarios
autorizados cuando sea necesario.

Los sistemas operativos pueden proteger la disponibilidad de los sistemas mediante

una variedad de mecanismos, como:

 Resiliencia: Los sistemas deben ser capaces de recuperarse de fallos o ataques.

  Tolerancia a fallos: Los sistemas deben ser capaces de continuar funcionando
incluso si hay fallos en algunos componentes.

 Copia de seguridad: Los datos deben ser respaldados regularmente para que
puedan recuperarse en caso de pérdida o corrupción.

Seguridad Externa:

En un sistema informático, todos los mecanismos de seguridad tienen que

complementarse entre sí, de tal forma que, si una persona logra saltarse algunas de las
protecciones, se encuentre con otras que le hagan el camino difícil.

Todos los mecanismos dirigidos a asegurar el sistema informático sin que le propio
sistema intervenga en el mismo engloban, en lo que se puede determinar, la seguridad
externa.

La seguridad externa puede extenderse en dos grandes grupos:

 Seguridad Física: Engloba aquellos mecanismos que impiden a los agentes

físicos la destrucción de la información existente en el sistema. Entre ellos se
puede dar de ejemplo al fuego, humo, inundaciones, descargas eléctricas,
campos magnéticos, acceso físico de personas con no muy buena intención, etc.
Para ello se puede considerar los siguientes aspectos:
o Protección contra Desastres: Consta de elementos de prevención,
detección y eliminación que actúan contra incendios, humos,
sobretensiones, folios en el suministro de energía, etc. También es
necesario controlar la temperatura y limpieza del medio ambiente en
que se encuentran los equipos, instalando aire acondicionado, falso
 suelo, ventilación, y, en definitiva, tomando en consideración todo
aquello que pueda causar cualquier problema a la instalación.
o Protección contra Intrusos: Desde el punto de vista físico, es necesario
establecer mecanismos que impidan el acceso físico de las personas no
autorizadas a las instalaciones. Suele llevarse a cabo mediante puertas
de seguridad con apertura por clave o llaves especiales, identificación
de las personas por tarjetas de acceso o por reconocimiento de la voz,
huellas digitales, etc.
 Seguridad de Administración: Comprende aquellos mecanismos cuya misión
es dar acceso 1ógico al sistema. Este acceso puede realizarse a través de un
terminal del sistema o bien desde otro sistema por medio de una red de
comunicación a la que estén conectados ambos sistemas.
o Protección de Acceso: Se trata de un mecanismo para el control de los
intentos de entrada o acceso al sistema, de tal forma que permita la
conexión cuando un usuario lo solicite y pose el control correspondiente
y rechace el intento en aquellos casos en que la identificación del
supuesto usuario no sea satisfactoria.
o Palabra de Acceso o Identificador del Usuario: Para la identificación del
usuario, la fórmula más extendida es la de pedirle su nombre de usuario
(username) y a continuación la palabra clave tal que el mecanismo
accede al archivo correspondiente para contrastar los datos recibidos y
aceptar o rechazar el intento. Los intentos fallidos de acceso son
registrados por el sistema con el fin de que el administrador del sistema
pueda estudiar cada cierto tiempo si se está o no intentando transgredir
la seguridad del sistema.

Seguridad Operacional:

La seguridad operacional consiste en las diferentes políticas y procedimientos

implementados por la administración de la instalación computacional. Un aspecto
crítico es la selección y organización del personal: Se otorgan distintos conjuntos de
responsabilidades. No es necesario que se conozca la totalidad del sistema para cumplir
con esas responsabilidades. Generalmente, los sistemas de información incluyen todos
los datos de una compañía y también el material y los recursos de software que
permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de
información son fundamentales para las compañías y deben ser protegidos.

Dicha seguridad tiene como objetivo principal minimizar los riesgos en los recursos
informáticos y así consolidar las diferentes operaciones de la organización, al tiempo
que se disminuyen los costos. Así mismo preservar la confiabilidad de los documentos,
registros y archivos. De manera que sean permanentes, que estén disponibles y para
que solo las personas autorizadas puedan acceder a ellos en cualquier momento. Es
necesario destacar que también garantiza la originalidad de los documentos, todas estas
características brindan al usuario confianza para aceptar el documento requerido.

Auditoría y Controles de Acceso:

Una herramienta fundamental para detección de intrusos es el registro de auditoría. Se

utilizan varios registros de las actividades que va realizando el usuario como entrada
para los sistemas detección intrusos.

 Registros de auditoría nativos: Prácticamente todos los sistemas operativos

multiusuario incluyen un software de auditoría con el fin de registrar la
actividad de los usuarios. La ventaja de utilizar esta información es que no se
requiere ningún software adicional para recoger estos datos. La desventaja es
que los registros de auditoría nativos pueden no tener la información necesaria
que puede requerirse o que no esté en el formato conveniente.

 Registros de auditoría específicos para detección: Se puede implementar una

funcionalidad de recolección de datos que genere registros de auditoría que
contienen información pensada únicamente para el sistema de detección de
intrusos. Una ventaja de dicha estrategia es que puede realizarse de forma
independiente del vendedor e implantarse en una amplia variedad de sistemas.
La desventaja es que implica tener una sobrecarga extra, es decir, dos paquetes
de auditoría ejecutándose en la misma máquina. Un buen ejemplo de registros
de auditoría específicos para detección son los desarrollados Dorothy Denning
[DENN87]. Cada uno de los registros de auditoría tiene siguientes campos:

o Sujeto: Un sujeto es típicamente un terminal de usuario o puede también

ser un proceso que actúa de parte de un usuario o grupo de usuarios. La
actividad parte de una serie de mandatos lanzados por estos sujetos. Los
sujetos pueden agruparse en diferentes clases de acceso, y dichas clases
pueden estar solapadas.

o Acción: Operación realizada por el sujeto utilizando un objeto; por

ejemplo, acceso, lectura, operación de E/S, ejecución.

o Objeto: El receptor de las acciones. Los ejemplos incluyen ficheros,

programas, mensajes, registros, terminales, impresoras y estructuras
creadas por los usuarios o los programas. Cuando un sujeto es el
receptor de una acción, por ejemplo, un correo electrónico, entonces el
sujeto se considera un objeto. Los sujetos pueden agruparse por tipos.
La granularidad de los objetos puede variar por el tipo de objeto y por
el entorno. Por ejemplo, las acciones o las bases de datos pueden
auditarse para toda la base de datos en conjunto o a nivel de registro.

o Condiciones de excepción: Denota qué condiciones de excepción, si se

dan, se lanzarían como respuesta.
 o Utilización de recursos: Una lista de los elementos cuantitativos en los
cuales los elementos calculan la cantidad de recursos utilizados (por
ejemplo, número de líneas impresas o mostradas, número de registros
leídos o escritos, tiempo de procesador, unidades de E/S utilizadas,
tiempo de sesión transcurrido).

o Sello de tiempo: Un sello único de fecha y hora que identifica cuándo

tuvo lugar esta acción.

Una forma de protegerse de los ataques de contraseñas es denegar el acceso al oponente

al fichero de contraseñas. Si la parte del fichero de contraseñas cifradas se encuentra
accesible sólo para los usuarios con el nivel de privilegios adecuados, el oponente no
podrá leerlo sin conocer previamente la contraseña del usuario privilegiado. [SPAF92]
remarca diferentes fallos en esta estrategia:

 Muchos sistemas, incluyendo la mayoría de sistemas UNIX, son susceptibles a

intromisiones de una forma que no venga anticipada. Una vez que el atacante
ha conseguido acceder de alguna forma al sistema, puede tener una lista de
contraseñas de forma que puede utilizar diferentes cuentas a lo largo de distintas
sesiones de conexión para reducir el riesgo de ser detectado. O, un usuario que
ya dispone de una cuenta puede desear utilizar otra para acceder a datos
privilegiados o sabotear el sistema.
 Un accidente en la protección puede hacer que el fichero de contraseñas sea
legible, comprometiendo de esta forma todas las cuentas.
 Algunos de los usuarios pueden tener cuentas en otras máquinas bajo otros
dominios de protección, y en algunos casos utilizar la misma contraseña. Por
tanto, si las contraseñas pueden leerse por cualquiera en otra máquina, una
 máquina diferente puede encontrarse comprometida bajo estas circunstancias.
De esta forma, una estrategia más efectiva sería obligar a los usuarios a asignar
contraseñas que sean difíciles de adivinar.

Núcleos de Seguridad y Seguridad por Hardware:

El estándar de niveles de seguridad más utilizado internacionalmente es el TCSEC

Orange Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en
computadoras del Departamento de Defensa de los Estados Unidos.

Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se

enumeran desde el mínimo grado de seguridad al máximo.

Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y

luego internacionales (ISO/IEC).

Cabe aclarar que coda nivel requiere todos los niveles definidos anteriormente: así el
subnivel B2 abarca los subniveles B 1, C2, C 1 y el D.

 Nivel D: Este nivel contiene sólo una división y está reservada para sistemas
que han sido evaluados y no cumplen con ninguna especificación de seguridad.
Sin sistemas no confiables, no hay protección para el hardware, el sistema
operativo es inestable y no hay autentificación con respecto a los usuarios y sus
derechos en el acceso a la información.
 Nivel C1, Protección Discrecional: Se requiere identificación de usuarios que
permite el acceso a distinta información. Cada usuario puede manejar su
información privada y se hace la distinción entre los usuarios y el administrador
del sistema, quien tiene control total de acceso. Muchas de las tareas cotidianas
de administración del sistema sólo pueden ser realizadas por este "super
usuario" quien tiene gran responsabilidad en la seguridad del mismo. A
continuación, se enumeran los requerimientos mínimos que debe cumplir la
clase Cl:
 o Acceso de Control Discrecional: Distinción entre usuarios y recursos.
Se podrán definir grupos de usuarios (con los mismos privilegios) y
grupos de objetos (archivos, directorios, disco) sobre los cuales podrán
actuar usuarios o grupos de ellos.
o Identificación y Autenticación: Se requiere que un usuario se identifique
antes de comenzar a ejecutar acciones sobre el sistema. El dato de un
usuario no podrá ser accedido por un usuario sin autorización o
identificación.
 Nivel C2, Protección de Acceso Controlado: Este subnivel fue diseñado para
solucionar las debilidades del Cl. Cuenta con características adicionales que
crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos
e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir aún más
el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos
archivos, permitir o denegar datos a usuarios en concrete, con base no só1o en
los permisos, sino también en los niveles de autorización.
 Nivel B1, Seguridad Etiquetada: Este subnivel es el primero de los tres con que
cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultra secreta.
Se establece que el dueño del archivo no puede modificar los permisos de un
objeto que está bajo control de acceso obligatorio. A cada objeto del sistema
(usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad
jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías
(contabilidad, nóminas, ventas, etc.).
 Nivel B2, Protección Estructurada: Requiere que se etiquete coda objeto de
nivel superior por ser padre de un objeto inferior. La protección estructurada es
la primera que empieza a referirse al problema de un objeto a un nivel más
elevado de seguridad en comunicación con otro objeto a un nivel inferior. Así,
un disco rígido será etiquetado por almacenar archivos que son accedidos por
distintos usuarios.
 Nivel B3, Dominios de Seguridad: Refuerza a los dominios con la instalación
de hardware: por ejemplo, el hardware de administración de memoria se usa
 para proteger el dominio de seguridad de acceso no autorizado a la modificación
de objetos de diferentes dominios de seguridad. Este nivel requiere que la
terminal del usuario se conecte al sistema por medio de una conexión segura.
Además, cada usuario tiene asignado los lugares y objetos a los que puede
acceder.
 Nivel A, Protección Verificada: Es el nivel más elevado, incluye un proceso de
diseño, control y verificación, mediante métodos formales (matemáticos) para
asegurar todos los procesos que realiza un usuario sobre el sistema. Para llegar
a este nivel de seguridad, todos los componentes de los niveles inferiores deben
incluirse. El diseño requiere ser verificado de forma matemática y también se
deben realizar aná1isis de canales encubiertos y de distribución confiable. El
software y el hardware son protegidos para evitar infiltraciones ante traslados
o movimientos del equipamiento.

Implementación de Seguridad en el Proyecto:

1. Autenticación y Autorización:

-Contraseñas Seguras: Implementación de políticas de contraseñas fuertes, exigiendo

una combinación de letras, números y caracteres especiales.

2.Protección contra Amenazas Externas dentro del Hosting:

-Firewall: Implementación de un firewall para proteger el sistema contra ataques

externos y configurarlo para bloquear tráfico sospechoso.

-Protección DDoS: Uso de servicios de protección contra ataques de denegación de

servicio distribuido (DDoS) para asegurar que el sistema esté disponible incluso
durante ataques masivos.
3. Gestión de Acceso y Control:

-Principio de Menor Privilegio: Aplicación del principio de menor privilegio,

asegurando que cada usuario tenga solo los permisos necesarios para realizar sus
funciones.

-Auditoría de Acceso: Implementación de un sistema de auditoría que registre las

actividades del usuario y permita la revisión de los registros en caso de actividades
sospechosas (Bitácoras).

-Control de Versiones: Uso de sistemas de control de versiones para rastrear los

cambios en el código fuente y asegurar que solo las personas autorizadas puedan
realizar modificaciones.

4. Educación y Concientización:

-Entrenamiento del Personal: Educar a los empleados sobre las mejores prácticas de
seguridad, incluyendo la creación de contraseñas fuertes, el reconocimiento de correos
electrónicos de phishing y cómo mantener seguras sus estaciones de trabajo.

5. Cifrado de Datos:

-Cifrado de Datos en Tránsito: Habilitación SSL/TLS para cifrar los datos que se
transmiten entre el cliente y el servidor, asegurando que la información no sea
interceptada durante la transferencia.
 Bibliografía

 http://seguridaddelosso.blogspot.com/2016/03/requisitos-de-seguridad-de-los-
sistemas.html

 https://blog.utp.edu.co/seguridadso/

 https://www.calameo.com/read/0024463393fd3ce9420e9

 https://es.scribd.com/document/436627769/Seguridad-Operacional-en-El-
Area-de-Informatica

 http://seguridaddelosso.blogspot.com/2016/03/auditoria-y-control-de-
acceso.html

 https://www.calameo.com/read/002446339a52b9ef4e915