Monitor de referência - Reference monitor

Na arquitetura de sistemas operacionais, um conceito de monitor de referência define um conjunto de requisitos de design em um mecanismo de validação de referência, que impõe uma política de controle de acesso sobre a capacidade dos sujeitos (por exemplo, processos e usuários) de executar operações (por exemplo, leitura e gravação) em objetos ( por exemplo, arquivos e soquetes) em um sistema. As propriedades de um monitor de referência são capturadas pela sigla NEAT, que significa:

  • O mecanismo de validação de referência deve ser Não contornável , para que um invasor não possa contornar o mecanismo e violar a política de segurança.
  • O mecanismo de validação de referência deve ser avaliável , ou seja, passível de análises e testes, cuja integridade pode ser assegurada (verificável). Sem essa propriedade, o mecanismo pode apresentar falhas de forma que a política de segurança não seja aplicada.
  • O mecanismo de validação de referência deve ser sempre chamado . Sem essa propriedade, é possível que o mecanismo não funcione quando pretendido, permitindo que um invasor viole a política de segurança.
  • O mecanismo de validação de referência deve ser à prova de adulteração . Sem essa propriedade, um invasor pode minar o próprio mecanismo e, portanto, violar a política de segurança.

Por exemplo, os sistemas operacionais Windows 3.xe 9x não foram construídos com um monitor de referência, enquanto a linha Windows NT , que também inclui o Windows 2000 e o Windows XP , foi projetada para conter um monitor de referência, embora não esteja claro se suas propriedades (à prova de falsificação, etc.) foram verificados de forma independente ou que nível de segurança de computador se destina a fornecer.

A alegação é que um mecanismo de validação de referência que satisfaça o conceito de monitor de referência aplicará corretamente a política de controle de acesso de um sistema, uma vez que deve ser invocado para mediar todas as operações sensíveis à segurança, não deve ser adulterado e foi submetido a análises e testes completos para verifique a exatidão. O modelo abstrato de um monitor de referência foi amplamente aplicado a qualquer tipo de sistema que precisa impor o controle de acesso e é considerado para expressar as propriedades necessárias e suficientes para qualquer sistema que faça essa reivindicação de segurança.

De acordo com Ross Anderson , o conceito de monitor de referência foi apresentado por James Anderson em um influente artigo de 1972. Peter Denning em uma história oral de 2013 afirmou que James Anderson creditou o conceito a um artigo que ele e Scott Graham apresentaram em uma conferência de 1972.

Os sistemas avaliados em B3 e acima pelos Critérios de Avaliação de Sistemas de Computadores Confiáveis (TCSEC) devem aplicar o conceito de monitor de referência.

Referências

Veja também