6.1 Concepto y objetivos de proteccin.

La proteccin es un mecanismo control de acceso de los programas, procesos o

usuarios al sistema o recursos.
Hay importantes razones para proveer proteccin. La ms obvia es la necesidad
de prevenirse de violaciones intencionales de acceso por un usuario. Otras de
importancia son, la necesidad de asegurar que cada componente de un programa,
use solo los recursos del sistema de acuerdo con las polticas fijadas para el uso
de esos recursos.
Un recurso desprotegido no puede defenderse contra el uso no autorizado o de un
usuario incompetente. Los sistemas orientados a la proteccin proveen maneras
de distinguir entre uso autorizado y desautorizado.
Objetivos
Inicialmente proteccin del SO frente a usuarios poco confiables.
Proteccin: control para que cada componente activo de un proceso solo pueda
acceder a los recursos especificados, y solo en forma congruente con la politica
establecida.
La mejora de la proteccin implica tambin una mejora de la seguridad.
Las polticas de uso se establecen:
Por el hardware.
Por el administrador / SO.
Por el usuario propietario del recurso.
Principio de separacin entre mecanismo y politica:
Mecanismo con que elementos (hardware y/o software) se realiza la
proteccin.
Politica es el conjunto de decisiones que se toman para especificar como se
usan esos elementos de proteccin.
La politica puede variar

 dependiendo de la aplicacin.
A lo largo del tiempo.
La proteccin no solo es cuestin del administrador, sino tambin del usuario.
El sistema de proteccin debe:
distinguir entre usos autorizados y no-autorizados.
especificar el tipo de control de acceso impuesto.
proveer medios para el aseguramiento de la proteccin.
La informacin se ha convertido en un arma muy poderosa que puede ayudar a
mejorar las ventas de una empresa o de hundirla si la competencia tiene acceso a
ella y lanza el producto antes. Este sera un caso de plagio ocasionado por una
falla de seguridad en la proteccin de los datos.
Actualmente la mayora de las empresas utilizan diferentes mecanismos de
seguridad para proteger su informacin.
Cuando hablamos de sistemas de computadora, el principal responsable de
manejar y cuidar la informacin es el sistema operativo. En ste se mezclan
diferentes subsistemas, como la interfaz del sistema operativo, y el sistema de
archivos para poder dar acceso a la informacin al usuario adecuado.
A medida que aumenta la informacin almacenada en los sistemas de
computadora, se incrementa tambin la necesidad de protegerla.
1. El sistema debe ser consistente. El sistema debe comportarse como se
espera, esto es, no deben darse nunca cambios inesperados.
2. Servicio. El sistema debe proporcionar los servicios necesarios de forma
confiable, constante y consistente.
3. Proteccin interprocesos. Si un programa est mal diseado no debe de
afectar el funcionamiento ni del sistema operativo ni de las aplicaciones que
estn corriendo en ese
momento. Tampoco se debe
permitir el acceso a un rea de memoria a otro proceso a menos que haya
sido autorizado antes.
4. Control de acceso. La informacin generada por un usuario no debe ser
puesta a disposicin de otros a menos que as lo decida el propietario. El
sistema operativo debe de contar con los mecanismos adecuados en el
sistema de archivos de tal forma que pueda asegurar diferentes
modalidades de acceso a los archivos.
5. Autenticacin. El sistema debe contar con los mecanismos adecuados para
asegurarse de que la persona es realmente quien dice ser. Adems de

contar con los privilegios necesarios para realizar las tareas a las que est
autorizado y de acceder a sus archivos bajo esos privilegios.
La vigilancia es una tcnica que permite monitorear de cerca a algunos usuarios
sospechosos de forma que pueda llevarse un seguimiento de todas las actividades
que est realizando. A medida que el tiempo pasa se van acumulando pruebas
sobre el sospechoso de modo que no haya ninguna duda sobre sus actos no
autorizados.
Para evitar que hagan dao a otros usuarios, es normal que se implemente un
sistema de cmputo exclusivamente para recolectar toda esta informacin. A estos
sistemas se les denomina jaulas y pueden estar dentro del mismo sistema
operativo pero en otro directorio que emula perfectamente al sistema real o puede
ser, como se dijo, una copia en otra computadora.

6.2 Funciones del sistema de proteccin

Control de acceso que hace referencia a las caractersticas de seguridad que
controlan quien puede obtener acceso a los recursos de un sistema operativo. Las
aplicaciones llaman a las funciones de control de acceso para establecer quien
puede obtener acceso a los recursos especficos o controlar el acceso a los
recursos proporcionados por la aplicacin.
Un sistema de proteccin deber tener la flexibilidad suficiente para poder imponer
una diversidad de polticas y mecanismos.
Existen varios mecanismos que pueden usarse para asegurar los archivos,
segmentos de memoria, CPU, y otros recursos administrados por el Sistema
Operativo.
Por ejemplo, el direccionamiento de memoria asegura que unos procesos puedan
ejecutarse solo dentro de sus propios espacios de direccin. El timer asegura que
los procesos no obtengan el control de la CPU en forma indefinida.
La proteccin se refiere a los mecanismos para controlar el acceso de programas,
procesos, o usuarios a los recursos definidos por un sistema de computacin.
Seguridad es la serie de problemas relativos a asegurar la integridad del sistema y
sus datos.
Hay importantes razones para proveer proteccin. La ms obvia es la necesidad
de prevenirse de violaciones intencionales de acceso por un usuario. Otras de
importancia son, la necesidad de asegurar que cada componente de un programa,

use solo los recursos del sistema de acuerdo con las polticas fijadas para el uso
de esos recursos.
Un recurso desprotegido no puede defenderse contra el uso no autorizado o de un
usuario incompetente. Los sistemas orientados a la proteccin proveen maneras
de distinguir entre uso autorizado y desautorizado.

La seguridad es diferente a la proteccin. La seguridad incluye a los mecanismos

que deben implementarse para evitar intrusiones no autorizadas en los sistemas.
En cambio, la proteccin son mecanismos que se usan para evitar el dao o la
lectura no autorizada a cierta informacin o de otros usuarios. La proteccin se
conceba como algo asociado a los sistemas operativos multiusuario. En la
actualidad se ha extendido el concepto de proteccin de tal forma que
incrementan la fiabilidad de cualquier sistema complejo que haga uso de recursos
compartidos.
Los mecanismos de proteccin pueden mejorar la fiabilidad detectando errores
latentes en las interfaces definidas entre los distintos subsistemas componentes.
Un recurso no protegido no puede defenderse frente al uso o mal uso por parte de
un usuario no autorizado o poco competente. Un sistema orientado hacia la
proteccin podr distinguir entre un usuario autorizado y otro que no lo es. Por
ende proporcionar el servicio al primero y al segundo lo restringir de acuerdo a
las polticas establecidas por el administrador.

6.3 Implantacin de Matriz de acceso

Los derechos de acceso definen que acceso tienen varios sujetos sobre varios
objetos.
Los sujetos acceden a los objetos.
Los objetos son entidades que contienen informacin.
Los objetos pueden ser:
Concretos:
o Ej.: discos, cintas, procesadores, almacenamiento, etc.
Abstractos:
o Ej.: estructuras de datos, de procesos, etc.
Los objetos estn protegidos contra los sujetos.
Las autorizaciones a un sistema se conceden a los sujetos.

Los sujetos pueden ser varios tipos de entidades:

Ej.: usuarios, procesos, programas, otras entidades, etc.
Los derechos de acceso ms comunes son:
Acceso de lectura.
Acceso de escritura.
Acceso de ejecucin.
Una forma de implementacin es mediante una matriz de control de acceso con:
Filas para los sujetos.
Columnas para los objetos.
Celdas de la matriz para los derechos de acceso que un usuario tiene a un
objeto.
Una matriz de control de acceso debe ser muy celosamente protegida por el S. O.
Dominios de proteccin
Un sistema de cmputos contiene muchos objetos que necesitan proteccin. Estos
objetos pueden ser el hardware, la CPU, los segmentos de memoria, terminales,
unidades de disco o impresoras; o bien ser del software, como los proceso,
archivos, bases de datos o semforos.
Cada objeto tiene un nico nombre mediante el cual se la hace referencia y un
conjunto de operaciones que se pueden realizar en el. READ y WRITE son
operaciones adecuadas para un archivo; UP y DOWN tiene sentido en un
semforo.
Es evidente que se necesita una va para prohibir el acceso de los procesos a los
objetos a los que no tiene permitido dicho acceso. Adems, este mecanismo debe
posibilitar la restriccin de los procesos a un subconjunto de operaciones legales
en caso necesario. Por ejemplo, puede permitirse que el proceso A lea el archivo
F, pero no escriba en l.
Para tener una forma de analizar los distintos mecanismos de proteccin, es
conveniente presentar el concepto de dominio. Un dominio es un conjunto de
parejas (objeto, derechos). Cada pareja determina un objeto y cierto subconjunto
de las operaciones que se pueden llevar a cabo en el. Un derecho es, en este
contexto, el permiso para realizar alguna de las operaciones.
Una pregunta importante es la forma en que el sistema lleva un registro de los
objetos que pertenecen a un dominio dado. Al menos una teora, uno puede
imaginar una enorme matriz, en la que los renglones son los dominio y las
columnas son los objetos. Cada cuadro contiene los derechos correspondientes al
objeto en ese dominio. Con esta matriz y el nmero de dominio activo, el sistema
puede determinar si se permite el acceso de cierta forma a un objeto dado desde
un domino especifico.
Un dominio es un conjunto de parejas (objeto, derechos):
Cada pareja determina:
o Un objeto.
o Un subconjunto de las operaciones que se pueden llevar a cabo en
el.

Un derecho es el permiso para realizar alguna de las operaciones.

Es posible que un objeto se encuentre en varios dominios con distintos derechos
en cada dominio.
Un proceso se ejecuta en alguno de los dominios de proteccin:
Existe una coleccin de objetos a los que puede tener acceso.
Cada objeto tiene cierto conjunto de derechos.
Los procesos pueden alternar entre los dominios durante la ejecucin.
Una llamada al S. O. provoca una alternancia de dominio.
En algunos S. O. los dominios se llaman anillos.
Una forma en la que el S. O. lleva un registro de los objetos que pertenecen a
cada dominio es mediante una matriz:
Los renglones son los dominios.
Las columnas son los objetos.
Cada elemento de la matriz contiene los derechos correspondientes al
objeto en ese dominio, por ej.: leer, escribir, ejecutar.

Matriz de acceso
El modelo de proteccin del sistema se puede ver en forma abstracta como una
matriz, la matriz de acceso.
Una matriz de acceso es una representacin abstracta del concepto de dominio de
proteccin.
Este modelo fue propuesto por Lampson como una descripcin generalizada de
mecanismos de proteccin en sistemas operativos. Es el modelo ms utilizado, del
que existen numerosas variaciones, especialmente en su implementacin.

Los elementos bsicos del modelo son los siguientes:

Sujeto: Una entidad capaz de acceder a los objetos. En general, el concepto de
sujeto es equiparable con el de proceso. Cualquier usuario o aplicacin consigue
acceder en realidad a un objeto por medio de un proceso que representa al
usuario o a la aplicacin.
Objeto: Cualquier cosa cuyo acceso debe controlarse. Como ejemplo se
incluyen los archivos, partes de archivos, programas y segmentos de memoria.

 Derecho de acceso: la manera en que un sujeto accede a un objeto. Como

ejemplo est Leer, Escribir y Ejecutar.
El modelo considera un conjunto de recursos, denominados objetos, cuyo acceso
debe ser controlado y un conjunto de sujetos que acceden a dichos objetos. Existe
tambin un conjunto de permisos de acceso que especifica los diferentes permisos
que los sujetos pueden tener sobre los objetos (normalmente lectura, escritura,
etc., aunque pueden ser diferentes, en general, dependiendo de las operaciones
que puedan realizarse con el objeto).
Se trata de especificar para cada pareja (sujeto, objeto), los permisos de acceso
que el sujeto tiene sobre el objeto. Esto se representa mediante una matriz de
acceso M que enfrenta todos los sujetos con todos los objetos. En cada celda M[i,
j] se indican los permisos de acceso concretos que tiene el sujeto i sobre el objeto
j.
En un sistema de proteccin dinmico es necesario en algunas ocasiones revocar
derechos de acceso a los objetos compartidos por diferentes usuarios. Se debe
dar respuesta a las siguientes preguntas para saber la manera mediante la cual se
debe hacer la revocacin:
1. Parcial o total. Es necesario revocar solamente un subconjunto de derechos
asociados con un objeto, o revocar todos?
2. General o selectivo. Si se va a revocar un derecho, afecta a todos los usuarios
o solamente a un subconjunto de ellos?
3. Inmediata o diferida. La revocacin debe darse inmediatamente o debe ser
efectuada en algn momento en el futuro?
4. Temporal o permanente. Se puede revocar el acceso por un perodo de tiempo
determinado o ya no se debe volver a asignar ese derecho?

6.4 Proteccin basada en el lenguaje

La proteccin se logra con la ayuda del ncleo del SO que valida los intentos de
acceso a recursos. El gasto de inspeccionar y validar todos los intentos de acceso
a todos los recursos es muy grande, por lo tanto debe ser apoyada por hardware.
Al aumentar la complejidad del SO, se deben refinar los mecanismos de
proteccin. Los sistemas de proteccin, no solo se preocupan de si puedo acceder
a un recurso, sino tambin de cmo lo accedo, por lo tanto los diseadores de
aplicaciones deben protegerlos, y no solo el SO. Los diseadores de aplicaciones
mediante herramientas de los lenguajes de programacin pueden declarar la
proteccin junto con la tipificacin de los datos. Ventajas:
Las necesidades de proteccin se declaran sencillamente y no llamando
procedimientos del SO.
Las necesidades de proteccin pueden expresarse independientemente de los
recursos que ofrece el SO.
El diseador no debe proporcionar mecanismos para hacer cumplir la proteccin.
Los privilegios de acceso estn ntimamente relacionados con el tipo de datos que
se declara. Diferencias entre las distintas formas de proteccin:
Seguridad:
La obligacin de cumplimiento por ncleo ofrece un grado de seguridad que el
cdigo de seguridad ofrecido por el compilador.
Flexibilidad:
La flexibilidad de la implementacin por ncleo es limitada. Si un lenguaje no
ofrece suficiente flexibilidad, se puede extender o sustituir, perturbando menos
cambios en el sistema que si tuviera que modificarse el ncleo.
Eficiencia:
Se logra mayor eficiencia cuando el hardware apoya la proteccin. La
especificacin de proteccin en un lenguaje de programacin permite describir en
alto nivel las polticas de asignacin y uso de recursos. El programador de
aplicaciones necesita un mecanismo de control de acceso seguro y dinmico para
distribuir capacidades a los recursos del sistema entre los procesos de usuario.
Las construcciones que permiten al programador declarar las restricciones tienen
tres operaciones bsicas:

Distribuir capacidades de manera segura y eficiente entre procesos clientes.

Especificar el tipo de operaciones que un proceso podra invocar en un recurso
asignado. Especificar el orden en que un proceso dado puede invocar las
operaciones de un recurso.
Los objetivos de la proteccin se hacen mucho ms afinados en la medida que el
sistema operativo se hace ms complejo. Esta refinacin es posible dado que los
programadores de sistemas de proteccin pueden hacer uso de las ideas
originadas en los lenguajes de programacin, especialmente de la programacin
orientada a objetos en donde se hace uso de tipos de datos abstractos con
diferentes mecanismos de acceso. Los sistemas de proteccin se ocupan de la
identidad de un recurso y de la naturaleza funcional de se acceso. En los sistemas
de proteccin ms actuales permiten que un usuario administrador asigne los
permisos correspondientes sobre las funciones especficas que debe de realizar
en el sistema de aplicacin. Estas polticas de proteccin pueden variar con el
tiempo. Por estos motivos, la proteccin es un asunto que no solo concierne a los
diseadores de un sistema operativo, tambin los programadores de aplicaciones
deben de tener acceso a mecanismos que les permitan proteger los recursos de
un subsistema de aplicacin contra intentos de acceso de usuarios no autorizados
o errores que puedan provocar prdidas de datos.
Los lenguajes de programacin pueden permitir que el desarrollador declare el
control de acceso deseado a un recurso compartido en un sistema. Este tipo de
declaracin puede integrarse al lenguaje junto con la declaracin del tipo de dato,
por ejemplo. De esta manera el diseador de cada subsistema puede especificar
sus necesidades de proteccin, as como su necesidad de usar otros recursos del
sistema. Este tipo de especificacin, se dara durante la redaccin del programa.
Este enfoque tiene varias ventajas, de acuerdo a lo descrito por Siverchatz.
1. Las necesidades de proteccin se declaran de forma sencilla en vez de
programarse como una secuencia de llamadas a procedimientos de un sistema
operativo.
2. Las necesidades de proteccin pueden expresarse independientemente de los
recursos que ofrezca un sistema operativo en particular.
3. El diseador de un subsistema no tiene que proporcionar los mecanismos para
hacer cumplir la proteccin.
4. Una notacin declarativa es natural por que los provilegios de acceso estn
ntimamente relacionados con el concepto lingstico de tipo de datos.
La incorporacin de conceptos de proteccin en lenguajes de programacin,
comop herramienta prctica para el diseo de sistemas, apenas est en su
infancia. Es probable que la proteccin se convierta en un asunto de vital
importancia para los diseadores se sistemas nuevos con arquitecturas
distribuidas y requisitos cada vez ms estrictos sobre la seguridad de datos.