引用监视器概念是一个抽象机，它确保所有主体在访问客体之前拥有必要的访问权限。因此，引用监视器是主体对客体进行所有访问的中介。必须满足隔离、完整性和可验证性。

  安全内核是实际实施引用监视器概念的机制。安全核心必须隔离实施引用监视器概念的进程，必须不会被篡改，必须针对每次访问企图进行调用，而且必须小到足以能正确地进行测试。

3.5 安全模型

安全策略勾勒出安全目标，却没有给出任何实现思路，安全模型是一个架构，给出了策略的形式。

Bell-LaPadula模型

•  
• 解决机密性问题，不能解决数据完整性。（谁可以访问数据，谁无法访问数据，以及可以执行哪些操作）
• 简单安全规则：不能向上读
• 星(*)属性规则（限制规则）：不能向下写
• 强星属性规则：同级别读写，不同级别不能读写。
•  

Biba模型

•  
• 解决完整性问题，不关心机密性
• *完整性公理：不能往上写
• 简单完整性公理：不能向下读
• 调用属性
•  

Clark-Wilson模型

•  
• 完整性模型，访问三元组：主体（用户）、程序（TP）和客体（CDI）
• 约束数据项
• 非约束数据项
• 完整性验证过程
•  

无干扰模型

•  
• 确保在较高级别中发生的任何活动不受影响，真正目的是处理隐蔽通道。不关注数据本身的流动。（在一个安全级别内执行的命令和活动不能影响其他安全级别的主体或客体）。 可以防止推理和隐蔽通道攻击。
• 隐蔽通道分为两种类型：存储和计时。
•  

Brewer and Nash模型

•  
• 主体只有在不能读取位于不同数据集内的某个客体时才能写另一个客体。（防止利益冲突并提供动态改变访问控制的模型），主要目标是防止用户访问被认为有利益冲突的数据。

Graham-Dennig模型

•  
• 定义了组件基本权限，即主体能够在客体上执行的一组命令。有8个原始的保护权限。
•  

Harrison-Ruzzo-ULLman模型（HRU模型）

•  
• 涉及主体的访问权限以及这些权限的完整性。一个主体操作涉及多个过程，需要确保这几个过程访问权限的完整性。

Chinese wall 中国墙模型

通过行政规定和划分、内部监控、IT系统等手段防止各部门之间出现有损客户利益冲突事件。通过行政规定和划分、内部监控、IT系统等手段防止各部门之间出现有损客户利益冲突事件。