1. Mediación completa: El monitor de referencia debe mediar * todas las * solicitudes de acceso a los objetos. No se debe otorgar acceso sin el permiso explícito del monitor de referencia. Esto significa que cada intento de acceder a un recurso protegido debe pasar por el monitor de referencia.
2. a prueba de manipulaciones: El monitor de referencia en sí debe protegerse contra la modificación o la alteración no autorizadas. Si el monitor de referencia pudiera comprometerse, la seguridad que proporciona no tendrá sentido.
3. Verifiabilidad: El diseño e implementación del monitor de referencia debe ser verificable. Esto significa que debería ser posible demostrar formalmente que el monitor de referencia hace cumplir correctamente la política de seguridad que está diseñada para implementar. Esto generalmente implica análisis y pruebas matemáticas rigurosas.
4. Separación: El monitor de referencia debe estar separado de los otros componentes del sistema. Este aislamiento evita que una parte comprometida del sistema interfiera directamente con la operación del monitor de referencia. El aislamiento es crucial para la integridad del monitor de referencia.
Estas cuatro características son cruciales para garantizar que un monitor de referencia pueda proporcionar un entorno confiable y seguro. Tenga en cuenta que crear un monitor de referencia verdaderamente a prueba de manipulación es un desafío importante, y las implementaciones prácticas a menudo dependen de medidas de seguridad sólidas y un enfoque en capas de defensa.