Monitor referencyjny

Ten artykuł dotyczy składnika systemu operacyjnego komputera. Informacje na temat monitora referencyjnego rozgłaszania można znaleźć w temacie Monitor referencyjny rozgłaszania . Informacje na temat monitora referencyjnego audio można znaleźć w sekcji Monitor studyjny .

W architekturze systemów operacyjnych koncepcja monitora referencyjnego definiuje zestaw wymagań projektowych dotyczących mechanizmu sprawdzania poprawności referencyjnej, który wymusza politykę kontroli dostępu do zdolności podmiotów (np. procesów i użytkowników) do wykonywania operacji (np. odczytu i zapisu) na obiektach ( np. pliki i gniazda) w systemie. Właściwości monitora referencyjnego są określane skrótem NEAT, co oznacza:

  • Mechanizm sprawdzania poprawności referencji musi być niemożliwy do obejścia , aby osoba atakująca nie mogła go ominąć i naruszyć polityki bezpieczeństwa.
  • Mechanizm walidacji odniesienia musi być ewaluowalny , tj. podatny na analizę i testy, których kompletność może być zapewniona (weryfikowalna). Bez tej właściwości mechanizm może być wadliwy w taki sposób, że polityka bezpieczeństwa nie jest wymuszana.
  • Mechanizm sprawdzania poprawności referencji musi być Always invoked . Bez tej właściwości mechanizm może nie działać zgodnie z przeznaczeniem, co pozwala atakującemu na naruszenie zasad bezpieczeństwa.
  • Mechanizm sprawdzania poprawności referencji musi być odporny na manipulacje . Bez tej właściwości atakujący może podważyć sam mechanizm, a tym samym naruszyć politykę bezpieczeństwa.

Na przykład systemy operacyjne Windows 3.x i 9x nie zostały zbudowane z monitorem referencyjnym, podczas gdy linia Windows NT , która obejmuje również Windows 2000 i Windows XP , została zaprojektowana tak, aby zawierała monitor referencyjny, chociaż nie jest jasne, czy jego właściwości (odporne na manipulacje itp.) zostały kiedykolwiek niezależnie zweryfikowane lub jaki poziom bezpieczeństwa komputerowego miał zapewniać.

Twierdzono, że mechanizm sprawdzania poprawności referencyjnej, który spełnia koncepcję monitora referencyjnego, będzie prawidłowo egzekwował politykę kontroli dostępu do systemu, ponieważ musi być wywoływany w celu pośredniczenia we wszystkich operacjach wrażliwych na bezpieczeństwo, nie może być modyfikowany i przeszedł pełną analizę i testy w celu zweryfikować poprawność. Abstrakcyjny model monitora referencyjnego był szeroko stosowany w każdym typie systemu, który musi egzekwować kontrolę dostępu i uważa się, że wyraża on niezbędne i wystarczające właściwości dla każdego systemu zgłaszającego takie roszczenia dotyczące bezpieczeństwa.

Według Rossa Andersona koncepcja monitora referencyjnego została przedstawiona przez Jamesa Andersona w wpływowym artykule z 1972 roku. Peter Denning w historii mówionej z 2013 roku stwierdził, że James Anderson przypisał tę koncepcję artykułowi, który on i Scott Graham przedstawili na konferencji w 1972 roku.

Systemy ocenione na poziomie B3 i wyższym przez Trusted Computer System Evaluation Criteria (TCSEC) muszą egzekwować koncepcję monitora referencyjnego.

Zobacz też


Pobrano z „ https://en.wikipedia.org/w/index.php?title=Reference_monitor&oldid=1030553167