В архитектуре операционных систем концепция монитора ссылок определяет набор требований к дизайну механизма проверки ссылок, который обеспечивает соблюдение политики контроля доступа над способностью субъектов (например, процессов и пользователей) выполнять операции (например, чтение и запись) над объектами ( например, файлы и сокеты) в системе. Свойства эталонного монитора фиксируются аббревиатурой NEAT, что означает:
- Механизм проверки ссылок должен быть не подлежащим обходу , чтобы злоумышленник не мог обойти механизм и нарушить политику безопасности.
- Механизм проверки ссылок должен быть оцениваемым , т. Е. Поддающимся анализу и тестам, полнота которых может быть гарантирована (проверена). Без этого свойства механизм может быть поврежден таким образом, что политика безопасности не будет применяться.
- Механизм проверки ссылки должен быть активирован Всегда . Без этого свойства механизм может не работать по назначению, что позволяет злоумышленнику нарушить политику безопасности.
- Механизм проверки ссылок должен быть защищен от взлома . Без этого свойства злоумышленник может подорвать сам механизм и, следовательно, нарушить политику безопасности.
Например, операционные системы Windows 3.x и 9x не были построены с эталонным монитором, тогда как линейка Windows NT , которая также включает Windows 2000 и Windows XP , была разработана, чтобы содержать эталонный монитор, [1] хотя это не ясно. что его свойства (защита от взлома и т. д.) когда-либо проверялись независимо, или какой уровень компьютерной безопасности он должен был обеспечить.
Утверждение состоит в том, что механизм проверки ссылок, который удовлетворяет концепции монитора ссылок, будет правильно применять политику управления доступом системы, поскольку он должен быть вызван для посредничества всех чувствительных к безопасности операций, не должен подвергаться вмешательству и прошел полный анализ и тестирование для проверить правильность. Абстрактная модель эталонного монитора широко применяется к любому типу системы, в которой необходимо обеспечить контроль доступа, и считается, что она выражает необходимые и достаточные свойства для любой системы, делающей это требование безопасности. [2]
По мнению Росса Андерсона , [3] понятие монитора ссылок было введено Джеймсом Андерсоном во влиятельной статье 1972. [4] Питер Деннинг в устной истории 2013 года заявил, что Джеймс Андерсон приписал эту концепцию статье, которую он и Скотт Грэм представили на конференции 1972 года. [5]
Системы, оцененные на уровне B3 и выше по критериям оценки доверенных компьютерных систем (TCSEC), должны обеспечивать соблюдение концепции контрольного монитора.
Рекомендации
- ^ tedhudek (2018-10-16). «Контрольный монитор безопасности режима ядра Windows - драйверы Windows» . docs.microsoft.com . Проверено 20 ноября 2018 .
- Перейти ↑ Irvine, CE (1999). Концепция контрольного монитора как объединяющий принцип в образовании по компьютерной безопасности. В РАБОТАХ РГ 11.8 ИФИП TC11 ПЕРВАЯ ВСЕМИРНАЯ КОНФЕРЕНЦИЯ ПО ОБРАЗОВАНИЮ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, 27--37
- ^ Андерсон, Р. (2008). Инженерия безопасности - Руководство по созданию надежных распределенных систем (2-е изд.). Нью-Йорк, штат Нью-Йорк: John Wiley & Sons Publishing, Inc. Глава 8, «Многоуровневая безопасность»
- ↑ Андерсон Дж. «Исследование планирования технологий компьютерной безопасности», ESD-TR-73-51, Отдел электронных систем ВВС США (1973). Раздел 4.1.1 http://csrc.nist.gov/publications/history/ande72.pdf
- ↑ Питер Дж. Деннинг, Устное историческое интервью , Институт Чарльза Бэббиджа , Университет Миннесоты. На стр. 37-38 Деннинг заявил: «Джеймс Андерсон ... продвигал его в своем сообществе, говоря, что самым большим вкладом этой статьи был монитор ссылок. Это стало стандартным понятием во всем, о чем он говорил, когда говорил о том, как чтобы сделать систему более безопасной ".