SEGURIDAD LÓGICA
Controles de acceso
Identificación y autentificación
Roles
Transacciones
Limitaciones a los servicios
Modalidad de acceso
Ubicación
Palabras claves (passwords)
Encriptación
Listas de control de accesos
Limites sobre la interface de usuario
Etiquetas de seguridad
Control de acceso externo
Dispositivos de control de puertos
Firewalls o puertas de seguridad
Acceso de personal contratado o consultores
Accesos públicos
NIVELES DE SEGURIDAD INFORMÁTICA
Nivel D
Nivel C1: protección discrecional
Nivel C2: protección de acceso controlado
Nivel B1: seguridad etiquetada
Nivel B2: protección estructurada
Nivel B3: dominios de seguridad
Nivel A: protección verificada
1. REPÚBLICA BOLIVARIANA DE VENEZUELA
INSTITUTO UNIVERSITARIO POLITÉCNICO
“SANTIAGO MARIÑO”
EXTENSIÓN PORLAMAR
ESCUELA: INGENIERÍA EN SISTEMAS
Realizado por:
Francisco Gómez. C.I.
26.243.271
Ing. Diógenes Rodríguez Brito
Junio, 2017
Seguridad Lógica
2. 1. ¿Qué es Seguridad Lógica?
Se refiere a la seguridad en el uso de software y los
sistemas, la protección de los datos, procesos y programas, así
como la del acceso ordenado y autorizado de los usuarios a la
información, para asegurar que únicamente los usuarios
autorizados sean capaces de realizar acciones o acceder a
información en concreto.
3. 1.1. Controles de acceso
Constituyen una importante ayuda para proteger al sistema operativo
de la red, al sistema de aplicación y demás software de la utilización o
modificaciones no autorizadas, regulando el acceso de entes al sistema o
información.
1.1.1. Identificación y
autentificación
La identificación es la primera línea de defensa para la
mayoría de los sistemas, esta vendría siendo la acción realizada por el
usuario para presentar su identidad a un sistema, comúnmente
mediante identificador de usuario.
4. 1.1.2. Roles
El acceso a la información puede controlarse a través de la función o
rol del usuario que requiere dicho acceso, de tal forma que pueden controlarse
las relaciones de la función, perfil o rol del usuario que requiere acceso.
1.1.3. Transacciones
Es posible implementar controles a través de las
transacciones. Una transacción es una unidad de la ejecución de un
programa, que puede consistir en varias operaciones de acceso a la
base de datos.
1.1.4. Limitaciones a los servicios
Se refieren a las restricciones que dependen de parámetros propios
de la utilización de la aplicación o preestablecidos por el administrador del
sistema.
5. 1.1.5. Modalidad de acceso
Los modos de acceso son restricciones aplicadas a los usuarios sobre
la forma en que acceden a la información y lo que puedan realizar con esta,
estos modos de acceso pueden ser: lectura, escritura, búsqueda, creación,
borrado, y ejecución.
1.1.6. Ubicación
El acceso a determinados recursos del sistema puede estar
limitado a la ubicación física o lógica de los datos o personas.
1.1.6.1. Palabras claves (passwords)
Se utilizan para realizar la autenticación del usuario y sirven para
proteger los datos y aplicaciones, las palabras claves son una serie secreta de
caracteres que permite a un usuario tener acceso a un archivo, a un ordenador,
o a un programa.
6. 1.1.6.2. Encriptación
La información encriptada solamente puede ser desencriptada por
quienes posean una clave valida. la encriptación informática sería la
codificación de la información de archivos, números de tarjetas de crédito,
datos personales, etc
1.1.6.3. Listas de control de accesos
Permiten gestionar detalladamente los permisos de una
aplicación de forma sencilla y escalable, son un registro donde se
encuentran los nombres de los usuarios que obtuvieron el permiso de
acceso a un determinado recurso del sistema
1.1.6.4. Limites sobre la interface de usuario
La interfaz de usuario es el medio con que el usuario puede
comunicarse con una máquina, un equipo o una computadora; los límites de
interfaz de usuario regulan que acciones puede realizar el usuario en el
equipo.
7. 1.1.6.5. Etiquetas de seguridad
Las etiquetas de seguridad son designaciones otorgadas a recursos,
de tal forma que puedan utilizarse para el control de accesos, especificación de
medidas de protección, entre otros.
1.1.7. Control de acceso externo
Los controles de acceso externos son una protección contra
interacciones de nuestro sistema con entes externos a la organización.
1.1.7.1. Dispositivos de control de puertos
Los dispositivos de control de puertos autorizan el acceso a un puerto
determinado, los puertos pueden ser físicos o virtuales.
8. 1.7.2. Firewalls o puertas de seguridad
Los firewalls bloquean o filtran el acceso entre dos redes identificando
información procedente de ubicaciones peligrosas o sospechosas.
1.1.7.3. Acceso de personal
contratado o consultores
Debido a que este tipo de personal en general presta servicios
a manera temporal, debe ponerse en consideración en la política la
administración de sus perfiles de acceso.
1.1.7.4. Accesos públicos
Para sistemas de información consultados por público en general
deben tenerse en cuenta medidas especiales de seguridad, ya que se
incrementa el riesgo y se dificulta su administración.
9. 2. Niveles de Seguridad informática
Los niveles de seguridad informática describen diferentes tipos de
seguridad del Sistema Operativo y se enumeran desde el mínimo grado de
seguridad al máximo, cada nivel requiere todos los niveles definidos
anteriormente.
2.1 Nivel D
2.2. Nivel C1: protección
discrecional
Este nivel contiene sólo una división y está reservada
para sistemas que han sido evaluados y no cumplen con
ninguna especificación de seguridad.
Requiere la identificación de
usuarios para permitir el acceso a la
información. Cada usuario puede manejar
su información privada y se hace la
distinción entre los usuarios y el
administrador del sistema, quien tiene
control total de acceso.
10. 2.4. Nivel B1: seguridad
etiquetada
2.5. Nivel B2: protección
estructurada
Soporta seguridad multinivel, como
la secreta y ultrasecreta. Se establece que
el dueño del archivo no puede modificar los
permisos de un objeto que está bajo control
de acceso obligatorio. Cada usuario que
accede a un objeto debe poseer un permiso
expreso para hacerlo y viceversa.
Es la primera que empieza a
referirse al problema de un objeto a un
nivel más elevado de seguridad en
comunicación con otro objeto a un nivel
inferior, los usuarios no solo necesitan el
control de acceso discrecional obligatorio,
sino también un control obligatorio según
etiquetas.
2.3. Nivel C2: protección
de acceso controlado
Cuenta con características
adicionales que crean un ambiente
de acceso controlado. Tiene la
capacidad de restringir aún más el
que los usuarios ejecuten ciertos
comandos o tengan acceso a ciertos
archivos.
11. 2.6. Nivel B3: dominios
de seguridad
Para llegar a este nivel de
seguridad, todos los componentes de los
niveles inferiores deben incluirse. Este es el
nivel más elevado, incluye un proceso de
diseño, control y verificación, mediante
métodos formales (matemáticos) para
asegurar todos los procesos que realiza un
usuario sobre el sistema.
2.7. Nivel A: protección
verificada
Este nivel requiere que la terminal
del usuario se conecte al sistema por medio
de una conexión segura. Refuerza a los
dominios con la instalación de hardware,
existe un monitor de referencia que recibe
las peticiones de acceso de cada usuario y
las permite o las deniega según las políticas
de acceso.