Sistemas operativos modernos

9.7.3 Seguridad multinivel Casi lodos ios sistemas operativos permiten a usuarios individuales determinar quién puede leer y escribir sus archivos y otros objetos. Esta política se denomina control de acceso a dis­ creción. En muchos entornos este modelo funciona de manera satisfactoria, pero hay otros en los que se requiere una seguridad más firme, como en las insfituciones militares, los departa­ mentos de patentes corporativos y los hospitales. En estos entornos, la organización establece reglas respecto a quién puede ver qué, y dichas reglas no pueden ser modificadas por soldados, abogados o doctores individuales, al menos no sin obtener un permiso especial del jefe. Tales entornos necesitan controles de acceso obligatorios para garanfizar que el sistema haga cum­ plir las políticas de seguridad establecidas, además de los controles de acceso a discreción están­ dar. Lo que hacen esos controles de acceso obligatorios es regular el flujo de información, para garantizar que no se filtren en forma indebida. El modelo Bell-La Padula El modelo de seguridad multinivel más utilizado es el modelo Bell-La Padula, así que ése será nuestro punto de partida (Bell y La Padula, 1973). Este modelo se diseñó para manejar seguridad militar, pero también puede aplicarse a otras organizaciones. En el mundo militar, los objetos (documentos) pueden tener un nivel de seguridad, como no clasificado, confidencial, secreto y secreto máximo. También se asignan estos niveles a las personas, dependiendo de qué docu­ mentos estén autorizados para ver. Un general podría tener permiso de ver todos los documen­ tos, mientras que un teniente podría estar restringido a documentos de nivel confidencial o más bajo. Un proceso que se ejecuta a nombre de un usuario adquiere el nivel de seguridad del usua­ rio. Puesto que hay múltiples niveles de seguridad, este esquema se denomina sistema de se­ guridad multinivel. El modelo de Bell-La Padula tiene reglas que rigen el flujo de información: 1 . La propiedad de seguridad simple: un proceso que se ejecuta en el nivel de seguri­ dad k sólo puede leer objetos de su nivel o de niveles inferiores. Por ejemplo, un ge­ neral puede leer los documentos de un teniente pero un teniente no puede leer los documentos de un general. 2. La propiedad *: un proceso que se ejecuta en el nivel de seguridad k puede escribir só­ lo objetos en su nivel o en niveles superiores. Por ejemplo, un teniente puede anexar un mensaje al buzón de un general diciendo todo lo que sabe, pero un general no puede ane­ xar un mensaje al buzón de un teniente diciendo todo lo que sabe, porque el general po­ dría haber visto documentos de secreto máximo que no pueden revelarse a un teniente. En síntesis, los procesos pueden leer hacia abajo y escribir hacia arriba, pero no al revés. Si el sistema hace cumplir con rigor estas dos propiedades, podrá demostrarse que la información no puede filtrarse de un nivel de seguridad más alto a uno más bajo. La propiedad * recibió es