Seguridad del sistema¶
Proyecto | SuiteSET3 |
Descripción | Plantilla para proyectos basada en ReadySET y Métrica 3. |
Desarrollo | project:suiteset3-dev versión suiteset3-dev:version#1 |
Plazos vigentes | FECHA INICIO - FECHA FINALIZACIÓN |
Fecha edición | 30/10/2024 |
Relacionados | ENLACES A ESTÁNDARES RELEVANTES ENLACES A OTROS DOCUMENTOS |
Resumen¶
TAREAS: Responda a las preguntas que se encuentran abajo para yudar a diseñar las características de seguridad que necesita. Se incluyen ejemplos. Añada o elimine texto según considere necesario
¿Cuáles son los hechos más importantes que un desarrollador debería conocer sobre la seguridad de este sistema?
PÁRRAFO O VIÑETAS
¿Cuáles son los objetivos categorizados de seguridad para este sistema?
- Seguridad de los datos
- Prenvención de intrusos
- Prevención de abusos
- Auditabilidad
Mecanismos de Seguridad¶
¿Qué mecanismos físicos de seguridad se utilizarán?
- Los servidores estarán aislados en un cuarto con cerradura electrónica cuya clave solo conocerán los administradores.
- Los servidores se encontrarán bajo llave en sus estantes.
- EL gabinete del servidor tiene un cable de seguridad que evita que el gabinete sea abierto (asi un disco duro con información delicada no puede ser extraído).
- Las cintas de respaldo están guardadas en un gabinete con llave en un cuarto cerrado.
¿Qué mecanismos de seguridad de red se utilizarán?
- Un firewall limita el acceso a puertos de red específicos (por ejemplo, el puerto 80 para acceso al servidor web).
- Programas de firewall limita el acceso a puertos de red específicos (por ejemplo, el puerto 80 para acceso al servidor web).
- Solo los equipos frontales son accesibles en Internet. Otros equipos en el cluster se cmuncian utilizando únicamente la red LAN privada.
- Los usuarios pueden conectarse al servidor desde rangos específicos de direcciones IP (por ejemplo, computadoras personales en la red del campus universitario).
- Usuarios específicos (por ejemplo, administradores) pueden conectarse únicamente desde rangos específicos de direcciones IP.
- Toda la comunicación de red se realiza en una red privada virtual (VPN) que está encriptada y no es accesible a personas externas.
- Toda la comunicación de red se realzia en una LAN que tiene conexiones a Internet.
¿Qué seguridad para el sistema operativo se utilizará?
- Las cuentas de usuario del sistema operativo jamás se crearán en los servidores, excepto las que necesite la aplicación en si.
- Los diferentes componentes en la aplicación se ejecutan como cuentas de usuario diferentes del sistema operativo, y solo tienen acceso a ciertos archivos.
- Los permisos del sistema operativo en los archivos y directorios se fijan para prevenir accesos indeseados o modificaciones.
- Se utilizará software para detección de intrusos en el servidor para detectar cualquier modificación hecha por hackers.
- Los administratores supervisarán las listas de correo de seguridad en busca de notas sobre agujeros de seguridad en cualquiera de los componentes que usamos y por parches de seguridad y se aplicarán rápidamente las actualizaciones.
- La información en discos y cintas de resplado es almacenada usando un sistema de archivos en clave para que la información esté protegida si el medio físico en si es robado o accesado de alguna otra forma.
¿Qué mecanismos de seguridad se utilizarán en la aplicación?
- El valor de los datos se evaluará antes de ser procesado
- Los nombres de usuarios y contraseñas que se requieren para acceso
- Las contraseñas se almacenan encriptadas
- Verificación de cuenta de correo del usuario
- Se revisará la calidad de las contraseñas
- Los usuarios deben certificar los archivos en su equipo cliente antes de que puedan conectarse al servidor
- Los usuarios deben tener dispositivos de seguridad física (e.g., hasp, dongle, smartcard, or lector de huella digital)
- Los usuarios tiene roles asignados que definen sus permisos. Estos roles son:
- Invitado: Visitante al sitio que no ha iniciado sesión, sin permisos para cambiar nada
- Invitado: Visitante al sitio que no ha iniciado sesión, puede publicar mensajes de forma anónima
- Usuario Registrado: usuario que ha iniciado sesión, tiene permisos para X, Y y Z
- Administrador: Permisos para cambiar cualquier cosa, incluso en lugar de otros usuarios normales.
- Cada acción (despliegue o cambio de información) necesita que el usuario tenga un rol con los permisos apropiados
- Cuentas en peligro o usadas para abusos puede ser deshabilitadas rápidamente por los administradores.
- Los administradores pueden evaluar los permisos de los usuarios
- Los administradores pueden auditar todos los accesos y cambios
- Todas las comunicaciones con el usuario están encriptadas (por ejemplo, usando SSL)
- Algunas comunicaciones con el usuario (por ejemplo, el nombre del usuario y la contraseña) están encriptadas (por ejemplo, usando SSL)
- Las sesiones están atadas a un dirección IP particular para que no sea posible utilizar cookies robadas.
- Cookies de sesión son cadenas aleatorias grandes que no pueden ser adivinadas.
- Las sesión tienen tiempo de expiración para que las terminales innatendidas no puedan se utilizadas para abusos.
- Las acciones que parecen destruir datos realmente la mueven a un lugar donde puede ser aún evaluada por los administradores.
- Información delicada, como números de tarjetas de crédito es procesada pero no almacenda en ninguna base de datos o archivo
Lista de pendientes de Seguridad¶
Protección de la Información: ¿hasta qué punto se ha logrado esto?
2-4 ORACIONES
Prenvención de intrusos: ¿hasta qué punto se ha logrado esto?
2-4 ORACIONES
Prevención de abusos: ¿hasta qué punto se ha logrado esto?
2-4 ORACIONES
Auditabilidad: ¿hasta qué punto se ha logrado esto?
2-4 ORACIONES