Referansemonitor - Reference monitor
I operativsystemarkitektur definerer et referansemonitorkonsept et sett med designkrav til en referansevalideringsmekanisme, som håndhever en tilgangskontrollpolicy over fagens (f.eks. Prosesser og brukere) evne til å utføre operasjoner (f.eks. Lese og skrive) på objekter ( f.eks. filer og stikkontakter) på et system. Egenskapene til en referansemonitor er fanget av akronymet NEAT, som betyr:
- Referansevalideringsmekanismen må være ikke-omgåelig , slik at en angriper ikke kan omgå mekanismen og bryte sikkerhetspolitikken.
- Referansevalideringsmekanismen må være evaluerbar , dvs. mottakelig for analyser og tester, hvis fullstendighet kan garanteres (verifiserbar). Uten denne egenskapen kan mekanismen være feil på en slik måte at sikkerhetspolitikken ikke blir håndhevet.
- Referansevalideringsmekanismen må alltid påberopes . Uten denne egenskapen er det mulig at mekanismen ikke fungerer når den er ment, slik at en angriper kan bryte sikkerhetspolitikken.
- Referansevalideringsmekanismen må være tåkesikker . Uten denne eiendommen kan en angriper undergrave selve mekanismen og dermed bryte sikkerhetspolitikken.
For eksempel Windows 3.x ble og 9x operativsystemer ikke bygget med en referanse monitor, mens Windows NT linje, som også inkluderer Windows 2000 og Windows XP , er designet for å inneholde en referanse monitor, selv om det ikke er klart at dens egenskaper (manipulasjonssikker, etc.) har noen gang blitt uavhengig verifisert, eller hvilket nivå av datasikkerhet det var ment å gi.
Påstanden er at en referansevalideringsmekanisme som tilfredsstiller referansemonitor-konseptet korrekt vil håndheve et systems tilgangskontrollpolitikk, da den må påberopes for å formidle alle sikkerhetsfølsomme operasjoner, ikke må tukles med, og har gjennomgått fullstendig analyse og testing for å verifisere korrektheten. Den abstrakte modellen til en referansemonitor har blitt brukt i stor grad på alle typer systemer som trenger å håndheve tilgangskontroll og anses å uttrykke de nødvendige og tilstrekkelige egenskapene for ethvert system som gjør dette sikkerhetskravet.
Ifølge Ross Anderson ble referansemonitorkonseptet introdusert av James Anderson i et innflytelsesrikt papir fra 1972. Peter Denning i en muntlig historie fra 2013 uttalte at James Anderson krediterte konseptet til et papir han og Scott Graham presenterte på en konferanse i 1972.
Systemer evaluert ved B3 og over av Trusted Computer System Evaluation Criteria (TCSEC) må håndheve referansemonitor-konseptet.
Referanser
Se også