6.6 Clasificaciones de la seguridad

6.6 Clasificaciones de la seguridad.

Seguridad Interna: 

La seguridad interna esta relacionada a los controles incorporados al hardware y al Sistema Operativo para asegurar los recursos del sistema.

Seguridad Externa: 

1. žSeguridad fisica.
2. žSeguridad operacional.
3. žLa seguridad fisica incluye:
4. žProteccion contra desastres(como inundaciones, incendios, etc.).
5. žProteccion contra intrusos.

ž

6.5 Validación y Amenazas al Sistema.

6.5 Validación y Amenazas al Sistema. 

Validación: 

• Identificar cada usuario que esta trabajando en el sistema.
• Uso de Contraseñas.
• Vulnerabilidad de Contraseñas.
• La contraseña debe guardarse cifrada.

žLas clases de elementos de autentificación para establecer la identidad de una persona son:

• žAlgo sobre la persona:

—Ej.: huellas digitales, registro de la voz, fotografía, firma, etc.

• žAlgo poseído por la persona:

—Ej.: insignias especiales, tarjetas de identificación, llaves, etc.

• žAlgo conocido por la persona:

—Ej.: contraseñas, combinaciones de cerraduras, etc.

Navegadores. . .

6.4 Protecion basada en el Lenguaje

6.4 Protección basada en el Lenguaje

›La protección se logra con la ayuda del núcleo del S.O. que valida los intentos de acceso

a recursos.  

›Los privilegios de acceso están íntimamente relacionados con el tipo de datos que se declara.  ›Las necesidades de protección pueden expresarse independientemente de los recursos que ofrece el S.O. ›El diseñador no debe proporcionar mecanismos para hacer cumplir la protección. 

SEGURIDAD: La obligación de cumplimiento por núcleo ofrece un grado de seguridad que el código de seguridad ofrecido por el compilador.

FLEXIBILIDAD: ›La flexibilidad de la implementación por núcleo es limitada. Si un lenguaje no ofrece suficiente flexibilidad, se puede extender o sustituir, perturbando menos cambios en el sistema que si tuviera que modificarse el núcleo.

6.3 Implementación de matrices de acceso.

6.3 Implementación de matrices de acceso.

›Los derechos de acceso definen que acceso tienen varios sujetos sobre varios objetos.

›Los sujetos acceden a los objetos. ›Los objetos son entidades que contienen información.

Los derechos de acceso más comunes son:

Acceso de lectura.
Acceso de escritura.
Acceso de ejecución.

6.2 Funciones del Sistema de Protección.

6.2 Funciones del Sistema de Protección.

›Un sistema de protección deberá tener la flexibilidad suficiente para poder imponer una diversidad de políticas y mecanismos. ›Existen varios mecanismos que pueden usarse para asegurar los archivos, segmentos de memoria, CPU, y otros recursos administrados por el Sistema Operativo. 

›La protección se refiere a los mecanismos para controlar el acceso de programas, procesos, o usuarios a los recursos definidos por un sistema de computación. Seguridad es la serie de problemas relativos a asegurar la integridad del sistema y sus datos. Un recurso desprotegido no puede defenderse contra el uso no autorizado o de un usuario incompetente. Los sistemas orientados a la protección proveen maneras de distinguir entre uso autorizado y desautorizado.

6.1 Concepto y Objetivo de Protección.

6.1  Concepto y Objetivo de Protección.

›La protección es un mecanismo control de acceso de los programas, procesos o usuarios al sistema o recursos.  Hay importantes razones para proveer protección. La más obvia es  la necesidad de prevenirse de violaciones intencionales de acceso por un usuario. 

›Un recurso desprotegido no puede defenderse contra el uso no autorizado o de un usuario incompetente. Los sistemas orientados a la protección proveen maneras de distinguir entre uso autorizado y desautorizado.

Objetivos: 

›Inicialmente protección del SO frente a usuarios poco confiables.

•       ›Las políticas de uso se establecen:
•       ›Por el hardware.
•       ›Por el administrador  S.O.
• ›      Por el usuario o propietario del recurso.

Unidad 6: Protección y Seguridad

Unidad 6: Protección y Seguridad.

Los mecanismos de protección controlan el acceso a un sistema limitado los tipos de acceso a archivos permitidos a los usuarios. Además, los mecanismos de protección deben garantizar que sólo los preocesos que hayan obtenido la adecuada autorización del sistemaoperativo puedan operar sobre los segmentos de memoria, CPU y otros recursos.

La protección se proporciona mediante un mecanismo que controla el acceso de los programas, de los procesos ode los usuarios a los recursos definidos por un sistema informático. Este mecanismo debe proporcionar un medio para especificar los controles que hay que imponer, junto con algún modo de imponerlos.

La seguridad garantiza la autenticación de los usuarios del sistema, con el fin de proteger la integridad de la información almacenada en el mismo (tanto datos como código), así como la de los recursos físicos del sistema informático. El sistema de seguridad impide los accesos no autorizados, la destrucción o manipulación maliciosas de los datos y la introducción accidental de incoherencias.

5.8 Mecanismos de recuperación en caso de falla.

5.8 Mecanismos de recuperación en caso de falla.

Recuperación

Los archivos y directorios se mantienen tanto en memoria principal como en disco, y debe tener. Se cuidado para que los fallos del sistema no provoquen una pérdida de datos o una incoherencia en los mismos.

Comprobación de coherencia.

La parte de la información de directorios se almacena en la memoria principal (o en caché) para acelerar el acceso. La información de directorios en11a memoria principal está, generalmente, más actualizada que la correspondiente información en el disco, porque la información de directorios almacenada en caché no se escribe necesariamente en el disco nada más producirse la actualización.

Considere, entonces, el posible ejemplo de un fallo de la computadora. El contenido de la caché y de los búferes, así como de las operaciones de E/S que se estuvieran realizando en ese momento, pueden perderse, y con él se perderán los cambios realizados en los directorios correspondientes a los archivos abiertos. Dicho suceso puede dejar el sistema de archivos en un estado incoherente. El estado real de algunos archivos no será el que se describe en la estructura de directorios. Con frecuencia, suele ejecutarse un programa especial durante el reinicio para comprobar las posibles incoherencias del disco y corregidas. 

El comprobador de coherencia (un programa del sistema tal como fsck en UNIX o chkdsk en MS-DOS), compara los datos de la estructura de directorios con los bloques de datos del disco y trata de corregir todas las incoherencias que detecte. Los algoritmos de asignación y de gestión del espacio libre dictan los tipos de problemas que el comprobador puede tratar de detectar y dictan también el grado de éxito que el comprobador puede tener en esta tarea. Por ejemplo, si se utiliza un sistema de asignación enlazada y existe un enlace entre cada bloque y el siguiente, puede reconstruirse el archivo completo a partir de los bloques de datos y volver a crear la estructura de directorios. Por el contrario, la pérdida de una entrada de directorio en un sistema de asignación indexada puede ser desastrosa, porque los bloques de datos no tienen ningún conocimiento acerca de los demás bloques de datos del archivo. Por esta razón, UNIX almacena en caché las entradas de directorio para las lecturas, pero todas las escrituras de datos que provoquen algún cambio en la asignación de espacio o en algún otro tipo de metadato se realizan síncronamente, antes de escribir los correspondientes bloques de datos. Por supuesto, también pueden aparecer problemas si se interrumpe una escritura síncrona debido a un fallo catastrófico.

5.7 Modelo jerárquico.

5.7 Modelo jerárquico.

Jerarquía de datos.

Son niveles de abstracción de cómo organizamos los datos:

1. Bit: elemento de información que permite almacenar 0 o 1.
2. Byte: 8 bits. Representan números en binario (de 0 a 28 - 1) y caracteres de texto usando códigos (ASCII), es decir, convenios para representar datos alfanuméricos con 8 bits.
3. Campo: secuencia de datos iguales.
4. Registro: compuesto por campos (no necesariamente todos iguales).
5. Fichero o archivo: permite guardar conjuntos de registros.
6. Bases de datos: conjunto de registros a los que se puede acceder usando ciertas claves.

5.6 Manejo de espacio en memoria secundaria.

5.6 Manejo de espacio en memoria secundaria.

Existen dos estrategias generales para almacenar un archivo de “n” bytes: Asignar “n” bytes consecutivos de espacio en el disco:

• Tiene el problema de que si un archivo crece será muy probable que deba desplazarse en el disco, lo que puede afectar seriamente al rendimiento. Dividir el archivo en cierto número de bloques (no necesariamente) adyacentes:

• Generalmente los sistemas de archivos utilizan esta estrategia con bloques de tamaño fijo.

1. Tamaño del bloque:

Dada la forma en que están organizados los bloques, el sector, la pista y el cilindro son los candidatos obvios como unidades de asignación. Si se tiene una unidad de asignación grande, como un cilindro, esto significa que cada archivo, inclusive uno pequeño, ocupará todo un cilindro; con esto se desperdicia espacio de almacenamiento en disco. Si se utiliza una unidad de asignación pequeña, como un sector, implica que cada archivo constará de muchos sectores; con esto su lectura generará muchas operaciones de e / s afectando el desempeño. Lo anterior indica que la eficiencia en tiempo y espacio tienen un conflicto inherente. Generalmente se utilizan como solución bloques de 1/2 k, 1k, 2k o 4k.

5.5 Mecanismos de acceso a los archivos.

5.5 Mecanismos de acceso a los archivos.

Se consideran aspectos como: La forma de almacenamiento de archivos y directorios. La administración del espacio en disco. La forma de hacerlo de manera eficiente y confiable. Se deben tener presentes problemas como la “fragmentación” del espacio en disco: Ocasiona problemas de desempeño al hacer que los archivos se desperdiguen a través de bloques muy dispersos. Una técnica para aliviar este problema consiste en realizar periódicamente:

***“Compactación”: “reorganizar” los archivos expresa o automáticamente.

***“Recolección de basura o residuos”. 

Implantación de Archivos

El aspecto clave de la implantación del almacenamiento de archivos es el registro de los bloques asociados a cada archivo.

Algunos de los métodos utilizados son los siguientes: Asignación contigua o adyacente:

• Los archivos son asignados a áreas contiguas de almacenamiento secundario.
• Las principales ventajas son:

1. Facilidad de implantación, ya que sólo se precisa el número del bloque de inicio para localizar un archivo.
2. Rendimiento excelente respecto de la e / s.

• Los principales defectos son:

1. Se debe conocer el tamaño máximo del archivo al crearlo.
2. Produce una gran fragmentación de los discos. Asignación no contigua: Son esquemas de almacenamiento más dinámicos:

• Asignación encadenada orientada hacia el sector:

1. El disco se considera compuesto de sectores individuales.
2. Los archivos constan de varios sectores que pueden estar dispersos por todo el disco.
3. Los sectores que pertenecen a un archivo común contienen apuntadores de uno a otro formando una “lista encadenada”.
4. Una “lista de espacio libre” contiene entradas para todos los sectores libres del disco.
5. Las ampliaciones o reducciones en el tamaño de los archivos se resuelven actualizando la “lista de espacio libre” y no hay necesidad de compactación.
6. Desventajas: Por la dispersión en el disco, la recuperación de registros lógicamente contiguos puede significar largas búsquedas. El mantenimiento de la estructura de “listas encadenadas” significa una sobrecarga en tiempo de ejecución. Los apuntadores de la lista consumen espacio en disco.

• Asignación por bloques:

1. Es más eficiente y reduce la sobrecarga en ejecución.
2. Es una mezcla de los métodos de asignación contigua y no contigua.
3. Se asignan bloques de sectores contiguos y no sectores individuales.
4. El sistema trata de asignar nuevos bloques a un archivo eligiendo bloques libres lo más próximos a los bloques del archivo existentes.
5. Las formas más comunes son: Encadenamiento de bloques. Encadenamiento de bloques de índice.

• Encadenamiento de bloques o lista ligada:

1. Las entradas en el directorio de usuarios apuntan al primer bloque de cada archivo.

5.4 Organizacion Lógica y Física

5.4 Organización Lógica y Física.

Un sistema de archivos garantiza la organización lógica de los datos en los discos duros y proporciona al sistema operativo las rutinas necesarias para que puedan ser accedidos, modificados y eliminados. Cualquier sistema operativo suele tener soporte para varios sistemas de archivos, aunque sólo sea en modo lectura. Los sistemas de archivos de la familia Microsoft que podemos encontrarnos son: FAT (FAT16 y FAT32) y NTFS (NTFS4, NTFS5). NTFS (New Technology File System) fue diseñado para NT e incorporaba un sistema de seguridad integrado que nos permitía asignar permisos a archivos y directorios a nivel de usuarios y grupos. Definiciones relacionadas con un sistema de archivo: Unidad física: El propio disco duro, sin más. Unidad lógica: Fragmento que se comporta como una partición y que está dentro de una partición extendida. Partición: Puede ser el total del tamaño del disco o una parte. Partición primaria: Partición que el sistema marca como bootable o arrancable. Partición extendida: partición que no es de inicio y que a su vez puede contener unidades lógicas. Sólo puede haber una por disco. RAID (matriz redundante de discos independientes): Utilizar varias unidades físicas en una matriz para ofrecer mayor tamaño, tolerancia a fallos y mayor rendimiento. Hay varios niveles, RAID-0, RAID-1, RAID-5, etc. La numeración no indica mejor rendimiento o tolerancia a fallos, tan solo diferencias de métodos.

En esta parte vamos a usar el término organización de archivos para referirnos a la estructura lógica de los registros determinada por la manera en que se accede a ellos. La organización física del archivo en almacenamiento secundario depende de la estrategia de agrupación y de la estrategia de asignación de archivos. Para seleccionar una organización de archivos hay diversos criterios que son importantes: Acceso Rápido para recuperar la información Fácil actualización Economía de almacenamiento Mantenimiento simple Fiabilidad para asegurar la confianza de los datos.

La prioridad relativa de estos criterios va a depender de las aplicaciones que va a usar el archivo. La mayor parte de las estructuras empleadas en los sistemas reales se encuadran en una de estas categorías o puede implementarse como una combinación de estas.

5. 3 Componentes de un sistema de archivos.

5.3 Componentes de un sistema de archivos.

Los componentes del sistema de archivos y de programación permiten interactuar con los recursos del sistema de archivos y de directorio y provocar eventos en intervalos programados. Las instancias del componente File System Watcher permiten inspeccionar cambios en los directorios y archivos y reaccionar cuando se producen. El componente Timer permite configurar programaciones simples de producción de eventos y ejecutar el procesamiento asociado.

Lo conforman todas aquellas rutinas encargadas de administrar todos los aspectos relacionados con el manejo de Archivos. En UNIX se define un File System como un sistema de software dedicado a la creación, destrucción, organización y lectura, escritura y control de acceso de los archivos, funcionalmente los componentes de un sistema de archivos son lenguajes de comandos, interpretador de comandos, manejador del almacenamiento secundario, sistema de entrada y salida y mecanismos de respaldo y recuperación.

En general, un Sistema de Archivos está compuesto por: Métodos De Acceso, Administración De Archivos, Administración De Almacenamiento Secundario, Mecanismos De Integridad. 

• Métodos De Acceso. Se ocupan de la manera en que se tendrá acceso a la información almacenada en el archivo. Ejemplo: Secuencial, Directo, indexado, etc. 

• Administración De Archivos. Se ocupa de ofrecer los mecanismos para almacenar, compartir y asegurar archivos, así como para hacer referencia a ellos. 

• Administración De Almacenamiento Secundario. Se ocupa de asignar espacio para los archivos en los dispositivos de almacenamiento secundario. En la siguiente figura se muestra un ejemplo de la administración de espacio en un disco duro.

5.2 Noción de archivo real y virtual.

5.2 Noción de archivo real y virtual.

La mayoría de usuarios de computadoras comprenderán con mucha facilidad el término archivo relacionándolo directamente con ejemplos tales como los archivos de texto que se pueden generar con cualquier procesador de texto. Una característica de este tipo de archivos es que a mayor texto que almacena el archivo, mayor es el espacio en disco que consume dicho archivo. Por ejemplo, una línea corta de texto ocupa menos espacio en disco que esa misma línea copiada cien veces. 

Archivos Reales

Sin embargo al hablar de “archivos virtuales” las cosas son diferentes, pues este tipo de archivos no consumen espacio en el disco duro, sino que se almacenan en la memoria volátil, es decir aquel tipo de memoria cuya información se pierde al interrumpirse el flujo de corriente eléctrica, esto es, la memoria RAM.

Archivos Virtuales.

5.1 Concepto de Sistemas de Archivos

5.1 Concepto de Sistemas de Archivos

Un “Archivo” es un conjunto de registros relacionados .

El “Sistema de Archivos” es un componente importante de un S. O. y suele contener : “Métodos de acceso” relacionados con la manera de acceder a los datos almacenados en archivos. “Administración de archivos” referida a la provisión de mecanismos para que los archivos sean almacenados, referenciados, compartidos y asegurados. “Administración del almacenamiento auxiliar” para la asignación de espacio a los archivos en los dispositivos de almacenamiento secundario. “Integridad del archivo” para garantizar la integridad de la información del archivo. El sistema de archivos está relacionado especialmente con la administración del espacio de almacenamiento secundario, fundamentalmente con el almacenamiento de disco. Una forma de organización de un sistema de archivos puede ser la siguiente: Se utiliza una “raíz” para indicar en qué parte del disco comienza el “directorio raíz”. El “directorio raíz” apunta a los “directorios de usuarios”. Un “directorio de usuario” contiene una entrada para cada uno de los archivos del usuario. 

Cada entrada de archivo apunta al lugar del disco donde está almacenado el archivo referenciado.  Los nombres de archivos solo necesitan ser únicos dentro de un directorio de usuario dado. El nombre del sistema para un archivo dado debe ser único para el sistema de archivos. En sistemas de archivo “jerárquicos” el nombre del sistema para un archivo suele estar formado como el “nombre de la trayectoria” del directorio raíz al archivo.