| dbo:abstract
|
- Ein Referenzmonitor (engl. reference monitor) ist in der IT-Sicherheit eine logische Einheit (ein abstraktes Modell, oder auch eine konkrete Implementierung) die für die Kontrolle und Durchsetzung von Zugriffsrechten zuständig ist. Das heißt, der Referenzmonitor entscheidet für jeden Zugriff eines Subjektes (also eines Akteurs wie Benutzers oder Prozesses) auf ein Objekt (Daten beliebiger Art) anhand von Regeln, ob der Zugriff erlaubt wird. Dabei sind folgende Eigenschaften entscheidend:
* Subjekte können nicht direkt, sondern nur durch den Referenzmonitor auf Objekte zugreifen.
* Der Referenzmonitor selbst muss vor Manipulation geschützt sein.
* Sekundärdaten (insbesondere die Definition der Regeln, Logdateien etc.) müssen vor Manipulation geschützt sein.
* Der Referenzmonitor muss eine wohldefinierte Schnittstelle besitzen.
* Das Verhalten des Referenzmonitors muss eindeutig spezifiziert sein und die Regeln korrekt umsetzen.
* Die Implementierung des Referenzmonitors muss korrekt sein. Evtl. wird dafür eine formale Verifikation gefordert. Diese Eigenschaften des Referenzmonitors eines Sicherheitssystems sind wichtige Kriterien für die Beurteilung der Sicherheit von Computersystemen. Sie sind Voraussetzung für eine Zertifizierung für die höheren Stufen der gängigen Sicherheitszertifikate wie TCSEC und ITSEC. (de)
- In operating systems architecture a reference monitor concept defines a set of design requirements on a reference validation mechanism, which enforces an access control policy over subjects' (e.g., processes and users) ability to perform operations (e.g., read and write) on objects (e.g., files and sockets) on a system. The properties of a reference monitor are captured by the acronym NEAT, which means:
* The reference validation mechanism must be Non-bypassable, so that an attacker cannot bypass the mechanism and violate the security policy.
* The reference validation mechanism must be Evaluable, i.e., amenable to analysis and tests, the completeness of which can be assured (verifiable). Without this property, the mechanism might be flawed in such a way that the security policy is not enforced.
* The reference validation mechanism must be Always invoked. Without this property, it is possible for the mechanism to not perform when intended, allowing an attacker to violate the security policy.
* The reference validation mechanism must be Tamper-proof. Without this property, an attacker can undermine the mechanism itself and hence violate the security policy. For example, Windows 3.x and 9x operating systems were not built with a reference monitor, whereas the Windows NT line, which also includes Windows 2000 and Windows XP, was designed to contain a reference monitor, although it is not clear that its properties (tamperproof, etc.) have ever been independently verified, or what level of computer security it was intended to provide. The claim is that a reference validation mechanism that satisfies the reference monitor concept will correctly enforce a system's access control policy, as it must be invoked to mediate all security-sensitive operations, must not be tampered with, and has undergone complete analysis and testing to verify correctness. The abstract model of a reference monitor has been widely applied to any type of system that needs to enforce access control and is considered to express the necessary and sufficient properties for any system making this security claim. According to Ross Anderson, the reference monitor concept was introduced by James Anderson in an influential 1972 paper. Peter Denning in a 2013 oral history stated that James Anderson credited the concept to a paper he and Scott Graham presented at a 1972 conference. Systems evaluated at B3 and above by the Trusted Computer System Evaluation Criteria (TCSEC) must enforce the reference monitor concept. (en)
|
| rdfs:comment
|
- Ein Referenzmonitor (engl. reference monitor) ist in der IT-Sicherheit eine logische Einheit (ein abstraktes Modell, oder auch eine konkrete Implementierung) die für die Kontrolle und Durchsetzung von Zugriffsrechten zuständig ist. Das heißt, der Referenzmonitor entscheidet für jeden Zugriff eines Subjektes (also eines Akteurs wie Benutzers oder Prozesses) auf ein Objekt (Daten beliebiger Art) anhand von Regeln, ob der Zugriff erlaubt wird. Dabei sind folgende Eigenschaften entscheidend: (de)
- In operating systems architecture a reference monitor concept defines a set of design requirements on a reference validation mechanism, which enforces an access control policy over subjects' (e.g., processes and users) ability to perform operations (e.g., read and write) on objects (e.g., files and sockets) on a system. The properties of a reference monitor are captured by the acronym NEAT, which means: Systems evaluated at B3 and above by the Trusted Computer System Evaluation Criteria (TCSEC) must enforce the reference monitor concept. (en)
|
