Sistema confiable

En la subespecialidad de ingeniería de seguridad de la informática , un sistema confiable es aquel en el que se confía en un grado específico para hacer cumplir una política de seguridad específica . Esto equivale a decir que un sistema confiable es aquel cuyo fallo violaría una política de seguridad (si existe una política cuya aplicación se confía en el sistema).

La palabra "confianza" es fundamental, ya que no tiene el significado que cabría esperar en el uso cotidiano. Un sistema confiable es aquel en el que el usuario se siente seguro de usar y en el que confía para realizar tareas sin ejecutar en secreto programas dañinos o no autorizados; La informática confiable se refiere a si los programas pueden confiar en que la plataforma no se modificará de lo esperado, y si esos programas son inocentes o maliciosos o si ejecutan tareas que no son deseadas por el usuario.

Un sistema confiable también puede verse como un sistema de seguridad basado en niveles donde se proporciona y maneja la protección según diferentes niveles. Esto se encuentra comúnmente en el ejército, donde la información se clasifica como no clasificada (U), confidencial (C), secreta (S), ultrasecreta (TS) y más. Estos también hacen cumplir las políticas de no lectura ni amortización.

Sistemas confiables en información clasificada

Un subconjunto de sistemas confiables ("División B" y "División A") implementan etiquetas de control de acceso obligatorio (MAC) y, como tales, a menudo se supone que pueden usarse para procesar información clasificada . Sin embargo, esto generalmente no es cierto. Hay cuatro modos en los que se puede operar un sistema seguro multinivel: modos multinivel, compartimentado, dedicado y de sistema alto. El "Libro Amarillo" del Centro Nacional de Seguridad Informática especifica que los sistemas B3 y A1 sólo pueden usarse para procesar un subconjunto estricto de etiquetas de seguridad, y sólo cuando funcionan según una configuración particularmente estricta.

Un elemento central del concepto de sistemas confiables al estilo del Departamento de Defensa de los EE. UU. es la noción de un " monitor de referencia ", que es una entidad que ocupa el corazón lógico del sistema y es responsable de todas las decisiones de control de acceso. Lo ideal es que el monitor de referencia sea

• a prueba de manipulaciones
• siempre invocado
• lo suficientemente pequeño como para estar sujeto a pruebas independientes, cuya integridad puede garantizarse.

Según los Criterios de evaluación de sistemas informáticos confiables (TCSEC) de 1983 de la Agencia de Seguridad Nacional de EE. UU. , o "Libro naranja", se definió un conjunto de "clases de evaluación" que describían las características y garantías que el usuario podía esperar de un sistema confiable.

La dedicación de una importante ingeniería de sistemas para minimizar la complejidad (no el tamaño , como se suele citar) de la base informática confiable (TCB) es clave para proporcionar los niveles más altos de seguridad (B3 y A1). Esto se define como esa combinación de hardware, software y firmware que es responsable de hacer cumplir la política de seguridad del sistema. Un conflicto de ingeniería inherente parece surgir en los sistemas de mayor seguridad en el sentido de que cuanto más pequeño es el TCB, mayor es el conjunto de hardware, software y firmware que se encuentra fuera del TCB y, por lo tanto, no es de confianza. Aunque esto puede llevar a los más ingenuos técnicamente a los argumentos de los sofistas sobre la naturaleza de la confianza, el argumento confunde la cuestión de la "corrección" con la de la "confiabilidad".

TCSEC tiene una jerarquía definida con precisión de seis clases de evaluación; el más alto de ellos, A1, tiene características idénticas a B3, diferenciándose sólo en los estándares de documentación. En contraste, los Criterios Comunes (CC) introducidos más recientemente, que se derivan de una combinación de estándares técnicamente maduros de varios países de la OTAN , brindan un tenue espectro de siete "clases de evaluación" que entremezclan características y garantías de una manera no jerárquica, y carecen de la precisión y el rigor matemático de la TCSEC. En particular, el CC tolera una identificación muy vaga del "objetivo de evaluación" (TOE) y apoya -incluso fomenta- una mezcla de requisitos de seguridad seleccionados de una variedad de "perfiles de protección" predefinidos. Si bien se puede argumentar que incluso los componentes aparentemente arbitrarios de la TCSEC contribuyen a una "cadena de evidencia" de que un sistema implementado aplica adecuadamente su política de seguridad anunciada, ni siquiera el nivel más alto (E7) de la CC puede realmente proporcionar una consistencia análoga. y restricción del razonamiento probatorio. ^{[ cita necesaria ]}

Las nociones matemáticas de sistemas confiables para la protección de información clasificada derivan de dos corpus de trabajo independientes pero interrelacionados. En 1974, David Bell y Leonard LaPadula de MITRE, bajo la dirección técnica y el patrocinio financiero del Mayor Roger Schell, Ph.D., del Comando de Sistemas Electrónicos del Ejército de EE. UU. (Fort Hanscom, MA), idearon el modelo Bell-LaPadula . en el que un sistema informático confiable se modela en términos de objetos (depósitos pasivos o destinos de datos como archivos, discos o impresoras) y sujetos (entidades activas que hacen que la información fluya entre objetos, por ejemplo, usuarios, o procesos o subprocesos del sistema que operan en nombre de los usuarios). De hecho, toda la operación de un sistema informático puede considerarse como una "historia" (en el sentido teórico de la serialización) de fragmentos de información que fluyen de un objeto a otro en respuesta a las solicitudes de tales flujos por parte de los sujetos. Al mismo tiempo, Dorothy Denning de la Universidad Purdue publicaba su doctorado. disertación, que trataba sobre "flujos de información basados ​​​​en celosías" en sistemas informáticos. (Una "red" matemática es un conjunto parcialmente ordenado , caracterizable como un gráfico acíclico dirigido , en el que la relación entre dos vértices cualesquiera "domina", "está dominada por" o ninguno de los dos.) Ella definió una noción generalizada de "etiquetas". " que están adheridos a entidades, que corresponden más o menos a las marcas de seguridad completas que uno encuentra en documentos militares clasificados, por ejemplo, TOP SECRET WNINTEL TK DUMBO. Bell y LaPadula integraron el concepto de Denning en su histórico informe técnico MITRE, titulado Sistema informático seguro: exposición unificada e interpretación multics . Afirmaron que las etiquetas adjuntas a los objetos representan la sensibilidad de los datos contenidos dentro del objeto, mientras que las adjuntas a los sujetos representan la confiabilidad del usuario que ejecuta el sujeto. (Sin embargo, puede haber una sutil diferencia semántica entre la sensibilidad de los datos dentro del objeto y la sensibilidad del objeto mismo).

Los conceptos están unificados con dos propiedades, la "propiedad de seguridad simple" (un sujeto sólo puede leer de un objeto que domina [ es mayor que una interpretación cercana, aunque matemáticamente imprecisa]) y la "propiedad de confinamiento", o " *-propiedad" (un sujeto sólo puede escribir en un objeto que lo domina). (Estas propiedades se denominan vagamente "sin lectura" y "sin anotación", respectivamente). Estas propiedades, aplicadas conjuntamente, garantizan que la información no pueda fluir "cuesta abajo" hacia un repositorio donde destinatarios no suficientemente confiables puedan descubrirla. Por extensión, suponiendo que las etiquetas asignadas a los sujetos sean verdaderamente representativas de su confiabilidad, entonces las reglas de no lectura y no escritura aplicadas rígidamente por el monitor de referencia son suficientes para limitar los caballos de Troya , una de las clases más generales de ataques. ( sciz. , los gusanos y virus de los que se habla popularmente son especializaciones del concepto de caballo de Troya).

Técnicamente, el modelo Bell-LaPadula sólo impone controles de "confidencialidad" o "secreto", es decir, abordan el problema de la sensibilidad de los objetos y la consiguiente confiabilidad de los sujetos para no revelarlos de manera inapropiada. El doble problema de la "integridad" (es decir, el problema de la exactitud, o incluso la procedencia de los objetos) y la consiguiente confiabilidad de los sujetos para no modificarlos o destruirlos inapropiadamente, se aborda mediante modelos matemáticamente afines; el más importante de los cuales lleva el nombre de su creador, KJ Biba . Otros modelos de integridad incluyen el modelo de Clark-Wilson y el modelo de integridad del programa de Shockley y Schell, "El modelo SeaView" ^[1]

Una característica importante de los MAC es que están completamente fuera del control de cualquier usuario. La TCB adjunta automáticamente etiquetas a cualquier tema ejecutado en nombre de los usuarios y a los archivos a los que acceden o modifican. Por el contrario, una clase adicional de controles, denominada controles de acceso discrecional (DAC), están bajo el control directo de los usuarios del sistema. Mecanismos de protección familiares como los bits de permiso (soportados por UNIX desde finales de la década de 1960 y, en una forma más flexible y poderosa, por Multics desde antes) y la lista de control de acceso (ACL) son ejemplos familiares de DAC.

El comportamiento de un sistema confiable a menudo se caracteriza en términos de un modelo matemático. Esto puede ser riguroso dependiendo de las restricciones operativas y administrativas aplicables. Estos toman la forma de una máquina de estados finitos (FSM) con criterios de estado, restricciones de transición de estado (un conjunto de "operaciones" que corresponden a transiciones de estado) y una especificación descriptiva de nivel superior , DTLS (implica una interfaz perceptible por el usuario como como API , un conjunto de llamadas al sistema en UNIX o salidas del sistema en mainframes ). Cada elemento de lo anterior engendra una o más operaciones modelo.

Sistemas confiables en informática confiable

Trusted Computing Group crea especificaciones destinadas a abordar requisitos particulares de sistemas confiables, incluida la certificación de configuración y el almacenamiento seguro de información confidencial.

Sistemas confiables en el análisis de políticas

En el contexto de la seguridad nacional o nacional , la aplicación de la ley o la política de control social , los sistemas confiables proporcionan predicciones condicionales sobre el comportamiento de personas u objetos antes de autorizar el acceso a los recursos del sistema. ^[2] Por ejemplo, los sistemas confiables incluyen el uso de "sobres de seguridad" en aplicaciones de seguridad nacional y antiterrorismo, iniciativas de " computación confiable " en seguridad de sistemas técnicos y sistemas de puntuación de crédito o identidad en aplicaciones financieras y antifraude. En general, incluyen cualquier sistema en el que

• el análisis probabilístico de amenazas o riesgos se utiliza para evaluar la "confianza" para la toma de decisiones antes de autorizar el acceso o para asignar recursos contra amenazas probables (incluido su uso en el diseño de restricciones de sistemas para controlar el comportamiento dentro del sistema); o
• El análisis de desviación o la vigilancia de sistemas se utiliza para garantizar que el comportamiento dentro de los sistemas cumpla con los parámetros esperados o autorizados.

La adopción generalizada de estas estrategias de seguridad basadas en autorizaciones (donde el estado predeterminado es DEFAULT=DENE) para contraterrorismo, antifraude y otros fines está ayudando a acelerar la transformación en curso de las sociedades modernas desde un modelo beccariano nocional de justicia penal basado en la rendición de cuentas. para acciones desviadas después de que ocurren ^[3] a un modelo foucaultiano basado en la autorización, la preferencia y el cumplimiento social general a través de vigilancia preventiva ubicua y control a través de restricciones del sistema. ^[4]

En este modelo emergente, la "seguridad" no está orientada a la vigilancia sino a la gestión de riesgos a través de la vigilancia, el intercambio de información, la auditoría , la comunicación y la clasificación . Estos desarrollos han llevado a preocupaciones generales sobre la privacidad individual y la libertad civil , y a un debate filosófico más amplio sobre metodologías apropiadas de gobernanza social.

Sistemas confiables en la teoría de la información.

Los sistemas confiables en el contexto de la teoría de la información se basan en la siguiente definición:

"La confianza es aquello que es esencial para un canal de comunicación pero que no puede transferirse de un origen a un destino utilizando ese canal"

—Ed  Gerck ^[5]

En la teoría de la información, la información no tiene nada que ver con el conocimiento o el significado; es simplemente aquello que se transfiere desde el origen al destino, utilizando un canal de comunicación. Si antes de la transmisión la información está disponible en el destino, entonces la transferencia es cero. La información que recibe una parte es la que no espera, medida por la incertidumbre de la parte sobre cuál será el mensaje.

Asimismo, la confianza, tal como la define Gerck, no tiene nada que ver con la amistad, los conocidos, las relaciones entre empleados y empleadores, la lealtad, la traición y otros conceptos demasiado variables. La confianza tampoco se entiende en un sentido puramente subjetivo, ni como un sentimiento o algo puramente personal o psicológico: la confianza se entiende como algo potencialmente comunicable. Además, esta definición de confianza es abstracta y permite que diferentes instancias y observadores en un sistema confiable se comuniquen basándose en una idea común de confianza (de lo contrario, la comunicación estaría aislada en dominios), donde todas las realizaciones subjetivas e intersubjetivas de confianza necesariamente diferentes en cada subsistema. (hombre y máquinas) pueden coexistir. ^[6]

En conjunto, en el modelo de la teoría de la información, "la información es lo que no esperas" y "la confianza es lo que sabes". Al vincular ambos conceptos, la confianza se considera "confianza calificada en la información recibida". En términos de sistemas confiables, una afirmación de confianza no puede basarse en el registro mismo, sino en información de otros canales de información. ^[7] La ​​profundización de estas cuestiones conduce a concepciones complejas de la confianza, que han sido profundamente estudiadas en el contexto de las relaciones comerciales. ^[8] También conduce a concepciones de la información en las que la "calidad" de la información integra la confianza o la confiabilidad en la estructura de la información misma y de los sistemas de información en los que se concibe: mayor calidad en términos de definiciones particulares de exactitud y precisión significan mayor confiabilidad. ^[9]

Un ejemplo del cálculo de confianza es "Si conecto dos sistemas confiables, ¿son más o menos confiables cuando se toman en conjunto?". ^[6]

El IBM Federal Software Group ^[10] ha sugerido que los "puntos de confianza" ^[5] proporcionan la definición más útil de confianza para su aplicación en un entorno de tecnología de la información, porque está relacionado con otros conceptos de la teoría de la información y proporciona una base para medir la confianza. En un entorno de servicios empresariales centrado en la red, dicha noción de confianza se considera ^[10] un requisito para lograr la visión de arquitectura colaborativa y orientada a servicios deseada.

Ver también

• Exactitud y precisión
• La seguridad informática
• Calidad de datos
• Calidad de la información
• Computación confiable

Referencias

1. Lunt, Teresa y Denning, Dorothy y R. Schell, Roger y Heckman, Mark y R. Shockley, William. (1990). El modelo de seguridad SeaView. IEEE Trans. Ingeniería de software. 16. 593-607. 10.1109/SECPRI.1988.8114. (Fuente)
2. El concepto de sistemas confiables descrito aquí se analiza en Taipale, KA (2005). El problema de los sistemas confiables: envolventes de seguridad, análisis estadístico de amenazas y presunción de inocencia, seguridad nacional: tendencias y controversias, IEEE Intelligent Systems, vol. 20 No. 5, págs. 80-83 (septiembre/octubre de 2005).
3. Cesare Beccaria , Sobre los crímenes y el castigo (1764)
4. Michel Foucault , Vigilar y castigar (1975, Alan Sheridan , tr., 1977, 1995)
5. Feghhi, J. y P. Williams (1998) Trust Points , en Certificados digitales: seguridad de Internet aplicada. Addison-Wesley, ISBN  0-201-30980-7 ; Hacia modelos de confianza del mundo real: dependencia de la información recibida
6. Confianza como confianza calificada en la información, Parte I, Informe COOK en Internet, Volumen X, No. 10, enero de 2002, ISSN  1071-6327.
7. Gregorio, John D. (1997). John D. Registros legales electrónicos: ¿bastante buena autenticación?
8. Huemer, L. (1998). Confianza en las relaciones comerciales: ¿lógica económica o interacción social? Umeå: Borea. ISBN 91-89140-02-8 . 
9. Ivanov, K. (1972). Control de calidad de la información: sobre el concepto de exactitud de la información en bancos de datos y en sistemas de información de gestión. Universidad de Estocolmo y Instituto Real de Tecnología.
10. Daly, Christopher. (2004). Un marco de confianza para el entorno de servicios empresariales centrados en la red (NCES) del Departamento de Defensa, IBM Corp., 2004. (Solicitud de la ISSAA de IEEE Computer Society Archivada el 26 de julio de 2011 en Wayback Machine ).

enlaces externos

• Proyecto sobre la sociedad mundial de la información: un proyecto de investigación conjunto