Upload
alexander-velasque
View
1.827
Download
2
Tags:
Embed Size (px)
Citation preview
ITSEC-Information technology security evaluation criteria
ITSEC (Information Technology Security Evaluation Criteria)
AlumnosHuacho Arroyo Víctor
Urbina Cotaquispe Cesar
ITSEC-Information technology security evaluation criteria
¿Qué es ITSEC?
• ITSEC es un esfuerzo conjunto entre los miembros de la Unión Europea (UE) para desarrollar un criterio de evaluación de la seguridad estandarizado para la UE. La ITSEC concede a los productos que se evalúan satisfactoriamente niveles de seguridad de E1(el más bajo) al E6 ( el más alto)
ITSEC-Information technology security evaluation criteria
NIVELES DE SEGURIDADE0 Sistemas que no han implantado ninguna
medida de seguridad
E1 Medidas discrecionales para proteger los datos de los intrusos
E2 sistemas en los que se exige palabras de acceso y se verifican con auditorías
E3 Plan de seguridad. El control de acceso es obligatorio y un responsable de seguridad debe decidir que cierta información sólo pueda ser accedida por personas de confianza
E4 Sistemas más seguros. La auditoria es otra exigencia. Política de seguridad estricta
E5 un plan detallado de procedimientos para recuperación
ITSEC-Information technology security evaluation criteria
PROCESO DE EVALUACIÓN
• La decisión de evaluar• Preparación para la evaluación– Los objetivos de seguridad– Componentes del sistema– Amenazas a la seguridad– El ambiente en la cual operará el producto– Especificar el nivel de seguridad– Entregables para los evaluadores
ITSEC-Information technology security evaluation criteria
PROCESO DE EVALUACIÓN
• Evaluación• Certificación: comprobación de los objetivos
de seguridad que deben ser cumplidos• Re-Evaluación: Cuando un producto se
modifica. La descomposición en componentes facilita este paso
ITSEC-Information technology security evaluation criteria
EJEMPLO
ORACLE 10g Enterprise Edition 10.1.0.4
ITSEC-Information technology security evaluation criteria
DESCRIPCIÓN DEL TOE
• TOE : Oracle Database 10g Enterprise Edition • VERSIÓN: 10.1.0.4 • PLATAFORMA : Red hat Enterprise Enterprise
Linux AS (para la cual se certifica) • SEGURIDAD : E4
ITSEC-Information technology security evaluation criteria
COMPENTES DEL SISTEMA
ITSEC-Information technology security evaluation criteria
AMENAZAS A LA SEGURIDAD
ITSEC-Information technology security evaluation criteria
AMENAZAS A LA SEGURIDAD
ITSEC-Information technology security evaluation criteria
AMENAZAS A LA SEGURIDAD
ITSEC-Information technology security evaluation criteria
OBJETIVOS DE LA SEGURIDAD
• OBJETIVOS DE ACCESSO:• El TOE debe proveer a los usuarios finales y
administradores con la capacidad de controlar y limitar el acceso a los datos o a los recursos por la cual son responsables, de acuerdo a las políticas de seguridad de acceso. Incluye:
• Acceso a datos• Acceso de control
ITSEC-Information technology security evaluation criteria
OBJETIVOS DE LA SEGURIDAD
• OBJETIVO DE RECURSOS• El TOE debe tener los medios para controlar el
consumo de los recursos de la base de datos para los usuarios autorizados del TOE
ITSEC-Information technology security evaluation criteria
OBJETIVOS DE LA SEGURIDAD
• OBJETIVOS DE AUDITORIA• El TOE debe proveer los medios de registrar
eventos relevantes en detalles para ayudar a los administradores a : - Detectar intentos de violaciones a la seguridad– Detectar las acciones de los usuarios que se
relacionan con la seguridad
ITSEC-Information technology security evaluation criteria
SEGURIDAD DEL SISTEMA DE ORACLEFuncionalidades de seguridad de Oracle 10gIdentificación y autenticación de usuarios, con opciones de administración de contraseñas
Controles de acceso a los objetos de la base de datos
Privilegios aplicando el principio de privilegios mínimos
Administración de roles de usuarios
Cuotas en la cantidad de recursos de procesamiento por usuario
Opciones de auditoria
Acceso seguro para base de datos remotas
Procedimientos almacenados, desencadenadores, y políticas de seguridad para el acceso y auditoria
ITSEC-Information technology security evaluation criteria
Mecanismos de seguridad
CPU/Sesión
CPU/Llamada
Tiempo de conexión
Tiempo de inactividad
Sesiones concurrentes(por usuario)
SGA privada
E/S de disco
CUOTAS EN LA CANTIDAD DE RECURSOS DE PROCESAMIENTO
ITSEC-Information technology security evaluation criteria
MECANISMO DE SEGURIDAD
Privilegios aplicando el principio de privilegios mínimosSistema: Permite a los usuarios realizar acciones concretas en la base de datos
Objeto: Permite a los usuarios acceder y manipular un objeto concreto
ITSEC-Information technology security evaluation criteria
Mecanismos de seguridad
Se realizael cambio del usuario.
Se arranca el disparador.
El disparador crea el registro de auditoría.
Se inserta el registro de auditoría en una tabla de pista de auditoría.
Un usuario realiza un cambio.
Auditoria obligatoria: Independientemente de las opciones de auditoria (alert log , track files)
Auditoria de la BD estándar: Se realiza al nivel del sistema, permite auditar privilegios, objetos(audit_trail)
Auditoria basada en valores: Captura no solo el evento sino los valores que han cambiado
Auditoria detalla: amplia las demás grabando las sentencias SQL
OPCIONES DE AUDITORIA
ITSEC-Information technology security evaluation criteria
Correlación de amenazas y objetivos
DOCUMENTOS
Oracle Database Security Guide.
Oracle Database Administrator’s Guide
Oracle Secure Backup and Recovery
ITSEC-Information technology security evaluation criteria
CERTIFICACIÓN DE ORACLE
ITSEC confirma la seguridad de Windows NT 4.0
• Windows NT 4.0 completa con éxito la evaluación de la seguridad ITSEC
En una Conferencia de Reino Unido Infosec, los funcionarios de gobierno anunciaron que Microsoft ® Windows NT ® Server y Windows NT Workstation 4.0 sistemas operativos han pasado una rigurosa evaluación de seguridad realizada por la agencia de seguridad del gobierno británico. La evaluación de seguridad E3/F-C2 presentado por los Criterios de Información del Reino Unido de Evaluación de Tecnología de Seguridad (ITSEC).
Detalles
• nivel E3/F-C2. E3/F-C2 es ampliamente reconocido como la más alta calificación ITSEC de evaluación que se puede lograr mediante un sistema operativo de propósito general.
• Las características de seguridad que se requieren en el nivel ITSEC F-C2 son:
– Identificación obligatoria y la autenticación de todos los usuarios del sistema
– Control de acceso discrecional
– La rendición de cuentas y auditoría
– Reutilización de objetos
• Windows NT 4.0 ofrece otras características que van más allá de los requeridos por los criterios de F-C2. Estos incluyen:
– Una ruta de confianza que permite a los usuarios para asegurarse de que las solicitudes de inicio de sesión y similares son manipulados por el sistema operativo
– Centralizado de gestión de seguridad cuenta con un sofisticado modelo de confianza de dominio
• requisitos de garantía en el nivel E3 ITSEC incluyen:
– El examen del código fuente– Examen de la documentación de diseño detallado– Repetición de las pruebas para asegurarse de que
los errores identificados durante la evaluación se han corregido.
En Conclusión:
• Este hito subraya el compromiso de Microsoft Corp. 's seguir proporcionando software seguro y confiable a sus clientes.
• La calificación resultante de la exitosa ITSEC confirma la arquitectura de seguridad robusta y el diseño de Windows NT.