Запуск контроля целостности как реакция механизма контроля списков санкционированных событий
С точки зрения контроля целостности файлов данных имеем принципиально более сложную ситуацию. Отличие от контроля исполняемых файлов здесь состоит в том, что к файлам данных обращения могут быть частыми. Поэтому механизм контроля перед чтением файла данных (по аналогии с контролем исполняемых файлов) быть не всегда применим (использование данного подхода может привести к существенному влиянию механизма защиты на производительность системы).
В качестве альтернативного подхода к асинхронному запуску процедуры контроля целостности файлов данных может, быть рассмотрен способ запуска процедуры контроля как реакции, вырабатываемой механизмом уровневого контроля списков санкционированных событий (механизм описан выше), что проиллюстрировано рисунке.
Здесь механизм контроля событий N-ro уровня не что иное, как контроль целостности файлов данных. Управление данному механизму передается остальными механизмами контроля событий (уровней 1, 2, N~l) при обнаружении любым из этих уровней несанкционированного события в системе.
Таким образом, при данном способе контроля причиной запуска процедуры контроля файлов данных (асинхронный запуск) является наличие косвенных признаков несанкционированного доступа.
При этом запуск процедуры контроля файлов данных осуществляется только при обнаружении в системе потенциально опасной ситуации — угрозы НСД. Благодаря этому минимизируются затраты вычислительного ресурса системы на выполнение процедуры контроля, т.к. в штатном режиме функционирования системы (при отсутствии угрозы НСД) контроль целостности не осуществляется.
Аналогичный асинхронный способ запуска может применяться и для решения задач очистки памяти.
Кроме интуитивно понятных асинхронных способов, например, при запуске или завершении процесса, удалении файла, авторизации пользователя и т.д. (различные подходы применяются для гарантированной очистки оперативной и дисковой памяти), принудительная очистка памяти (например, оперативной) может осуществляться как реакция на факт обнаружения несанкционированного события.
Проблема контроля целостности самой контролирующей программы
Другая проблема реализации механизмов контроля целостности состоит в следующем - если контроль целостности реализуется программно, то возникает вопрос контроля целостности и корректности функционирования собственно контролирующей программы (можно же исполняемый файл данной программы модифицировать первым).
Естественно, что для решения данной задачи в общем случае необходимо осуществление контроля каким-либо внешним средством — аппаратной компонентой. Такой подход, например, используется в некоторых вариантах реализации аппаратной системы защиты «Электронный замок». Здесь платой контролируется целостность файлов еще до загрузки системы — загрузка системы (как следствие, системы защиты) при этом разрешается только в эталонном виде.
Однако это лишь частичное решение проблемы, т.к. остается задача контроля в процессе функционирования системы, которая вновь возлагается на программное средство. При этом опять же контролирующая программа может быть модифицирована, например, остановлено ее выполнение.
Для решения данной задачи может рассматриваться следующий альтернативный подход — контроль целостности возлагается на программную компоненту, аппаратная же компонента системы защиты обеспечивает корректное выполнение контролирующей программы. Данный подход позволяет решать задачу контроля в течение всего времени функционирования системы, предотвращая при этом возможность некорректного функционирования контролирующей программы, т.е. решать задачу в общем случае.