Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Guía del usuario de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
1. Introducción a Trusted Extensions
Protección contra intrusos de Trusted Extensions
Acceso limitado a la base de computación de confianza
Información protegida por el control de acceso obligatorio
Protección de dispositivos periféricos
Evasión de programas de suplantación de usuarios
Trusted Extensions proporciona control de acceso discrecional y obligatorio
Control de acceso discrecional
Acreditaciones y etiquetas de sensibilidad
Responsabilidades del usuario para proteger datos
Trusted Extensions separa información por etiqueta
Sesiones de un solo nivel o de varios niveles
Ejemplo de selección de sesión
Espacios de trabajo etiquetados
Trusted Extensions permite administración segura
Acceso a las aplicaciones en Trusted Extensions
Administración por rol en Trusted Extensions
2. Inicio de sesión en Trusted Extensions (tareas)
3. Trabajo en Trusted Extensions (tareas)
Trusted Extensions separa la información en las distintas etiquetas de la siguiente manera:
El MAC se aplica para todas las transacciones, incluidas las transacciones de correo electrónico.
Los archivos se almacenan en zonas independientes según la etiqueta.
El escritorio proporciona espacios de trabajo etiquetados.
Los usuarios pueden seleccionar una sesión de un solo nivel o de varios niveles.
Los datos de los objetos se borran antes volver a utilizar el objeto.
Al iniciar sesión por primera vez en una sesión de Trusted Extensions, debe especificar si operará en una sola etiqueta o en varias etiquetas. Luego, debe establecer su acreditación de sesión o etiqueta de sesión. Ésta es la configuración del nivel de seguridad en el que pretende operar.
En una sesión de un solo nivel, únicamente se puede acceder a los objetos que son iguales a la etiqueta de sesión o que están dominados por la etiqueta.
En una sesión de varios niveles, puede acceder a la información en las etiquetas que son iguales o inferiores a la acreditación de sesión. Puede especificar distintas etiquetas para distintos espacios de trabajo. También puede haber varios espacios de trabajo en la misma etiqueta.
La Tabla 1-2 proporciona un ejemplo que muestra la diferencia entre una sesión de un solo nivel y una sesión de varios niveles. En este ejemplo, se compara un usuario que elige operar en una sesión de un solo nivel en CONFIDENTIAL: NEED TO KNOW (CNF: NTK) con un usuario que selecciona una sesión de varios niveles, también en CNF: NTK.
Las tres columnas de la izquierda muestran las selecciones de sesión de cada usuario en el momento del inicio de sesión. Tenga en cuenta que los usuarios establecen etiquetas de sesión para sesiones de un solo nivel y acreditaciones de sesión para sesiones de varios niveles. El sistema muestra el generador de etiquetas adecuado según la selección. Para ver un generador de etiquetas de ejemplo para una sesión de varios niveles, consulte la Figura 3-4.
Las dos columnas a la derecha muestran los valores de etiqueta que están disponibles en la sesión. La columna Etiqueta de espacio de trabajo inicial representa la etiqueta de cuando el usuario accede al sistema por primera vez. La columna Etiquetas disponibles muestra las etiquetas a las que el usuario tiene permiso para cambiar durante la sesión.
Tabla 1-2 Efecto de selección de la etiqueta inicial en las etiquetas de sesión disponibles
|
Como muestra la primera fila de la tabla, el usuario ha seleccionado una sesión de un solo nivel con una etiqueta de sesión CNF: NTK. El usuario tiene una etiqueta de espacio de trabajo inicial CNF: NTK, que es también la única etiqueta en la que el usuario puede operar.
Como muestra la segunda fila de la tabla, el usuario ha seleccionado una sesión de varios niveles con una acreditación de sesión CNF: NTK. La etiqueta de espacio de trabajo inicial del usuario se establece en Public porque Public es la etiqueta inferior del rango de etiquetas de la cuenta del usuario. El usuario puede cambiar a cualquier etiqueta entre Public y CNF: NTK. Public es la etiqueta mínima y CNF: NTK es la acreditación de sesión.
En un escritorio de Trusted Extensions, se accede a los espacios de trabajo a través de los paneles del espacio de trabajo que se encuentran a la derecha del panel inferior.
Figura 1-5 Espacios de trabajo etiquetados en el panel
Cada espacio de trabajo tiene una etiqueta. Puede asignar la misma etiqueta a varios espacios de trabajo y puede asignar distintas etiquetas a distintos espacios de trabajo. Las ventanas que se inician en un espacio de trabajo tienen la etiqueta de ese espacio de trabajo. Cuando la ventana se mueve a un espacio de trabajo de una etiqueta diferente, la ventana conserva su etiqueta original. Por lo tanto, en una sesión de varios niveles, puede organizar las ventanas de distintas etiquetas en un espacio de trabajo.
Trusted Extensions aplica MAC para el correo electrónico. Puede enviar y leer correo electrónico en su etiqueta actual. Puede recibir correo electrónico en una etiqueta dentro del rango de su cuenta. En una sesión de varios niveles, puede cambiar a un espacio de trabajo en una etiqueta diferente para leer correo electrónico en esa etiqueta. Utiliza el mismo lector de correo electrónico y el mismo inicio de sesión. El sistema le permite leer correo sólo en su etiqueta actual.
Trusted Extensions impide la exposición accidental de información confidencial mediante el borrado automático de la información antigua de objetos a los que puede acceder el usuario antes de reutilizarlos. Por ejemplo, la memoria y el espacio en el disco se borran antes de reutilizar el objeto. Si no se puede borrar la información confidencial antes de reutilizar el objeto, se pone en riesgo la exposición de la información a usuarios inadecuados. Mediante la desasignación del dispositivo, Trusted Extensions borra todos los objetos a los que el usuario puede acceder antes de asignar las unidades a los procesos. Tenga en cuenta, sin embargo, que debe borrar todos los medios de almacenamiento extraíbles, como los DVDs y los dispositivos USB, antes de permitir que otro usuario acceda a la unidad.