1. Volledige bemiddeling: De referentiemonitor moet *alle* toegangsverzoeken tot objecten bemiddelen. Er mag geen toegang worden verleend zonder de uitdrukkelijke toestemming van de referentiemonitor. Dit betekent dat elke poging om toegang te krijgen tot een beschermde bron via de referentiemonitor moet gaan.

2. manipulatiebestendig: De referentiemonitor zelf moet worden beschermd tegen ongeoorloofde wijzigingen of wijzigingen. Als de referentiemonitor in gevaar zou kunnen komen, zou de beveiliging die deze biedt zinloos zijn.

3. Verifieerbaarheid: Het ontwerp en de uitvoering van de referentiemonitor moeten controleerbaar zijn. Dit betekent dat het mogelijk moet zijn om formeel te bewijzen dat de referentiemonitor het beveiligingsbeleid waarvoor hij is ontworpen correct afdwingt. Dit omvat doorgaans rigoureuze wiskundige analyses en tests.

4. Scheiding: De referentiemonitor moet gescheiden zijn van de andere componenten van het systeem. Deze isolatie voorkomt dat een aangetast deel van het systeem de werking van de referentiemonitor rechtstreeks verstoort. De isolatie is cruciaal voor de integriteit van de referentiemonitor.

Deze vier kenmerken zijn van cruciaal belang om ervoor te zorgen dat een referentiemonitor een betrouwbare en veilige omgeving kan bieden. Houd er rekening mee dat het creëren van een echt fraudebestendige referentiemonitor een aanzienlijke uitdaging is, en dat praktische implementaties vaak afhankelijk zijn van robuuste beveiligingsmaatregelen en een gelaagde benadering van verdediging.