Un monitor di riferimento è un insieme specifico di requisiti che regolano il meccanismo di convalida del riferimento nel codice del sistema operativo di un computer. Agisce per fornire un ideale teorico che protegge il computer da potenziali hacker che potrebbero tentare di interferire con la sua politica di controllo degli accessi. Se il codice di un sistema operativo non soddisfa gli standard stabiliti dal suo monitor di riferimento, il sistema sarà vulnerabile alle minacce esterne di utenti malintenzionati che cercano di violare le sue politiche di sicurezza.
La politica di controllo dell’accesso di un computer determina non solo chi ha l’autorità per accedere al sistema, ma anche i diritti dei singoli utenti per modificare gli elementi del sistema del computer. Stabilisce una gerarchia operativa tra gli amministratori autorizzati del computer – che possono aggiungere e rimuovere programmi, apportare modifiche significative al sistema operativo e così via – e gli utenti regolari del computer con restrizioni, che probabilmente avranno meno libertà di modificare le sistemi. Il meccanismo di convalida di riferimento imposta queste politiche; in effetti, è come un addetto alla sicurezza in un club o in un’azienda. Fa il lavoro sporco di garantire che tutti coloro che entrano nel sistema abbiano il diritto di esserci, oltre a mantenere tutti al loro posto.
Se il meccanismo di convalida di riferimento è un responsabile della sicurezza, il monitor di riferimento è l’esecutivo che determina il paradigma più efficace per la sicurezza. Il monitor di riferimento ha tre obiettivi generali per il meccanismo di convalida del riferimento. Questi possono essere generalmente riassunti come vigilanza, incorruttibilità e verificabilità.
Allerta significa che i programmatori del sistema operativo devono garantire che il meccanismo di convalida dei riferimenti sia sempre attivo. In altre parole, deve rimanere “sul lavoro” 24 ore al giorno per rimanere efficace. Se il sistema operativo è in esecuzione, il meccanismo di convalida dei riferimenti deve essere attivo e funzionante.
Incorruttibilità significa che il meccanismo di controllo di riferimento deve rimanere insensibile alla manomissione. Ciò significa che deve ignorare qualsiasi tentativo esterno di influenzare il suo comportamento. L’obiettivo è impedire agli hacker di compromettere la sicurezza del sistema.
Infine, la testabilità significa che deve essere un processo sufficientemente piccolo da essere monitorato dal sistema operativo in ogni momento. Secondo le politiche ideali del monitor di riferimento, il sistema operativo dovrebbe essere in grado di testare liberamente il meccanismo di convalida del riferimento, verificando se sta svolgendo correttamente il suo lavoro. Questi test devono essere verificabili dal sistema operativo, consentendogli di eseguire i test ripetutamente e ottenere risultati coerenti e accurati.