CONTROL DE ACCESO UNIDAD IV TALLERUNIDAD DE MANTENCIÓN DE SOFTWARE UNIDAD IV:TIC I CONTROL DE ACCESO • ¿QUÉ ES EL CON
Views 118 Downloads 2 File size 450KB
CONTROL DE ACCESO UNIDAD IV TALLERUNIDAD DE MANTENCIÓN DE SOFTWARE
UNIDAD IV:TIC I
CONTROL DE ACCESO • ¿QUÉ ES EL CONTROL DE ACCESO? • Proceso de conceder permisos a usuarios o grupos de acceder a objetos tales como ficheros o impresoras en la red.
CONTROL DE ACCESO • Se basa en tres conceptos fundamentales: • Identificación • Autenticación • Autorización Incluye: • Autenticar la identidad de los usuarios o grupos • Autorizar el acceso a datos o recursos.
CONTROL DE ACCESO FÍSICO
CONTROLES DE ACCESO FÍSICO Objetivo • Identificar al personal que entra o sale de un área de trabajo bajo un estricto control.
CONTROL DE ACCESO FÍSICO • Guardias • Sistemas biométricos • Verificación automática de firmas • Protección electrónica. (Censores, cámaras) • Barreras infrarrojas • Detector de ultrasonidos • Dispositivos de iluminación
CONTROL DE ACCESO LÓGICO
CONTROL DE ACCESO LÓGICO Cosiste en: • La aplicación de barreras y procedimientos que resguarden el acceso a los datos y solo se permita acceder a ellos a las personas autorizadas para hacerlo.
CONTROL DE ACCESO LÓGICO Objetivos Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisión Asegurar que se estén utilizados los datos, archivos y programas correctos y con el procedimiento adecuado. La información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. La información recibida sea la misma que ha sido transmitida.
CONTROL DE ACCESO LÓGICO Se puede lograr con los siguientes métodos: • Identificación y autentificación • Roles • Limitaciones de servicios • Modalidades de acceso • Ubicación y horario • Control de acceso interno.
IDENTIFICACIÓN Y AUTENTIFICACIÓN • La identificación: está vinculada a la identidad, que es el conjunto de los rasgos propios de un sujeto u objeto. • Es la acción de reconocer o probar que una persona o cosa es la misma que se busca o se supone. • Autenticación: es la acción de comprobar que una identidad es la correcta.
MÉTODOS DE AUTENTICACIÓN • Sistemas basados en algo conocido: Ejemplo, uso de contraseña. • Sistemas basados en algo que se posee: Ejemplo, tarjeta de identidad, tarjeta inteligente. • Sistemas basados en una característica física del usuario o un acto involuntario del mismo: Ejemplo, verificación de voz, de escritura, de huellas, de patrones oculares
Roles
MÉTODOS DE AUTENTICACIÓN
Los roles se pueden dar con estrategias como creación de perfiles de usuario. También se puede dar roles dentro del sistema como por ejemplo; programadores, líder de proyecto, gerente de área, administrador, etc. Estos mismo puede ser agrupados como por ej; usuario, súper usuario, administrador, visita. (según estos se ven los distintos privilegios)
MÉTODOS DE AUTENTICACIÓN Limitaciones de Servicios • Se refieren a controles en las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema.
MÉTODOS DE AUTENTICACIÓN Modalidad de Acceso • Es el modo de acceso que se permite al usuario sobre los recursos y a la información. Pueden ser: • • • • • •
Escritura Ejecución Borrado Creación Búsqueda Todas las anteriores
CONTROL DE ACCESO INTERNO
Contraseñas:
Sugerencias Fácil de recordar, difícil de adivinar. Se sugiere que la contraseña inicial sea asignada por el administrador. Número predeterminado de intentos fallidos. Deben ser cambiadas periódicamente Deben ser únicas y conocidas por su propietario
ENCRIPTACIÓN
• Proceso mediante el cual la información es cifrada, de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación. Métodos de encriptación Algoritmos HASH: Se efectúa un cálculo matemático sobre los datos que constituyen el documento y da como resultado un número llamado MAC. Un mismo documento dará siempre un mismo MAC.
Criptografía de Clave Secreta o Simétrica • Utiliza una clave con la cual se encripta y desencripta el documento. Todo documento encriptado con una clave, deberá desencriptarse, en el proceso inverso, con la misma clave.
NIVELES DE SEGURIDAD INFORMÁTICA
NIVELES DE SEGURIDAD INFORMÁTICA
• El estándar de niveles de seguridad más utilizado internacionalmente es el TCSEC Orange Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.
NIVELES DE SEGURIDAD INFORMÁTICA
• Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo. • Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC). • Cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.
NIVEL D • Contiene sólo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad. • Son sistemas no confiables • No hay protección para el hardware • El sistema operativo es inestable • No hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. • Los sistemas operativos que responden a este nivel son MS-DOS
NIVEL C1: PROTECCIÓN DISCRECIONAL
• Se solicita identificación de usuarios que permite el acceso a distinta información. Los usuario pueden manejar su información de manera privada haciendo la diferencia entre perfil usuario y administrador de sistema, el que tendrá control total de acceso.
NIVEL C1: PROTECCIÓN DISCRECIONAL Requerimientos Mínimos Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser accedido por un usuario sin autorización o identificación. Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrán actuar usuarios o grupos de ellos.
NIVEL C2: PROTECCIÓN DE ACCESO CONTROLADO
• Nivel diseñado para solucionar las debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos.
NIVEL C2: PROTECCIÓN DE ACCESO CONTROLADO
• Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los permisos, sino también en los niveles de autorización.
NIVEL B1: SEGURIDAD ETIQUETADA
• A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.)
NIVEL B1: SEGURIDAD ETIQUETADA
Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.
NIVEL B2: PROTECCIÓN ESTRUCTURADA • Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicación con otro objeto a un nivel inferior.
NIVEL B2: PROTECCIÓN ESTRUCTURADA
Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos usuarios. El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.
NIVEL B3: DOMINIOS DE SEGURIDAD
• En este nivel los dominios se refuerzan con la instalación de hardware. Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega según las políticas de acceso que se hayan definido.
NIVEL A: PROTECCIÓN VERIFICADA
• Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema. • El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.