Referenční monitor - Reference monitor

V architektuře operačních systémů koncept referenčního monitoru definuje soubor požadavků na design na mechanismu ověřování referencí, který vynucuje politiku řízení přístupu nad schopnostmi subjektů (např. Procesů a uživatelů) provádět operace (např. Číst a psát) na objektech ( např. soubory a zásuvky) v systému. Vlastnosti referenčního monitoru jsou zachyceny zkratkou NEAT, což znamená:

  • Mechanismus ověření reference musí být Non-bypassable , aby útočník nemohl tento mechanismus obejít a porušit zásady zabezpečení.
  • Mechanismus validace referencí musí být Hodnotitelný , tj. Přístupný analýze a testům, jejichž úplnost lze zajistit (ověřit). Bez této vlastnosti může být mechanismus chybný takovým způsobem, že není vynucena bezpečnostní politika.
  • Mechanismus ověření reference musí být vždy vyvolán . Bez této vlastnosti je možné, že mechanismus nebude fungovat, pokud je zamýšlen, což umožní útočníkovi porušit zásady zabezpečení.
  • Mechanismus ověření reference musí být odolný proti neoprávněné manipulaci . Bez této vlastnosti může útočník podkopat samotný mechanismus, a tím porušit bezpečnostní politiku.

Například operační systémy Windows 3.xa 9x nebyly vytvořeny s referenčním monitorem, zatímco řada Windows NT , která zahrnuje také Windows 2000 a Windows XP , byla navržena tak, aby obsahovala referenční monitor, i když není jasné, že jeho vlastnosti (tamperproof atd.) byly někdy nezávisle ověřeny, nebo jakou úroveň zabezpečení počítače měl poskytnout.

Tvrzení spočívá v tom, že mechanismus ověření reference, který splňuje koncept referenčního monitoru, bude správně vynucovat zásady řízení přístupu systému, protože musí být vyvolán za účelem zprostředkování všech operací citlivých na zabezpečení, nesmí s ním být manipulováno a prošel kompletní analýzou a testováním. ověřit správnost. Abstraktní model referenčního monitoru byl široce aplikován na jakýkoli typ systému, který potřebuje vynutit řízení přístupu, a je považován za výraz nezbytných a dostatečných vlastností pro jakýkoli systém, který uplatňuje tento bezpečnostní požadavek.

Podle Rossa Andersona koncept referenčního monitoru představil James Anderson ve vlivném článku z roku 1972. Peter Denning v orální historii z roku 2013 uvedl, že James Anderson připsal tento koncept článku, který spolu se Scottem Grahamem představili na konferenci v roce 1972.

Systémy hodnocené na B3 a vyšší podle kritérií důvěryhodného počítačového systému (TCSEC) musí vynucovat koncept referenčního monitoru.

Reference

Viz také