Запуск контроля целостности как реакция механизма контроля списков санкционированных событий

Запуск контроля целостности исполняемого файла

С точки зрения контроля исполняемых файлов асинхронный механизм запуска процедуры контроля интуитивно понятен — контроль следует запускать перед запуском программы - перед чтением соответствующего исполняемого файла.

Другими словами, система защиты должна перехватывать функцию чтения исполняемого файла, запускать процедуру контроля и затем (при необходимости, уже после восстановления файла из эталонной копии) выдавать данную функцию на обработку в ядро ОС.

В данном случае достигается минимальное падение производительности системы, так как контроль осуществляется только в необходимые моменты — только при запуске программы. При этом предполагается, что программа запускается — значительно реже, чем осуществляется обращение к файлам данных.

С точки зрения контроля целостности файлов данных имеем принципиально более сложную ситуацию. Отличие от контроля исполняемых файлов здесь состоит в том, что к файлам данных обращения могут быть частыми. Поэтому механизм контроля перед чтением файла данных (по аналогии с контролем исполняемых файлов) быть не всегда применим (использование данного подхода может привести к существенному влиянию механизма защиты на производительность системы).

В качестве альтернативного подхода к асинхронному запуску процедуры контроля целостности файлов данных может, быть рассмотрен способ запуска процедуры контроля как реакции, вырабатываемой механизмом уровневого контроля списков санкционированных событий (механизм описан выше), что проиллюстрировано рисунке.

Здесь механизм контроля событий N-ro уровня не что иное, как контроль целостности файлов данных. Управление данному механизму передается остальными механизмами контроля событий (уровней 1, 2, N~l) при обнаружении любым из этих уровней несанкционированного события в системе.

Таким образом, при данном способе контроля причиной запуска процедуры контроля файлов данных (асинхронный запуск) является наличие косвенных признаков несанкционированного доступа.

При этом запуск процедуры контроля файлов данных осуществляется только при обнаружении в системе потенциально опасной ситуации — угрозы НСД. Благодаря этому минимизируются затраты вычислительного ресурса системы на выполнение процедуры контроля, т.к. в штатном режиме функционирования системы (при отсутствии угрозы НСД) контроль целостности не осуществляется.

Аналогичный асинхронный способ запуска может применяться и для решения задач очистки памяти.

Кроме интуитивно понятных асинхронных способов, например, при запуске или завершении процесса, удалении файла, авторизации пользователя и т.д. (различные подходы применяются для гарантированной очистки оперативной и дисковой памяти), принудительная очистка памяти (например, оперативной) может осуществляться как реакция на факт обнаружения несанкционированного события.