【正确答案】 C

【答案解析】[解析] C正确。引用监控器是一种介于所有访问主体和客体之间的抽象机，其目的是为了确保主体拥有必需的访问权限，从而保护客体免受未经授权的访问和破坏性的修改。一个系统要想获得较高级别的信任，它必须要求主体(程序、用户或者进程)在获得完全授权之后再访问一个客体(文件、程序或者资源)。除非该主体已经证明它被授予访问特权来使用这个请求的资源，否则不允许主体使用请求的资源。引用监控器是一个访问控制概念，而不是一个实际的物理组件，这也是为什么它被叫做“引用监控器概念”或者“抽象机”的原因。引用监控器是访问控制概念，而实际实现这个概念的组件是安全内核(security kernel)。
A不正确。因为安全边界(security perimeter)是在软件内部分隔可信与不可信进程访问请求的一个界限。系统内的可信进程是属于可信计算基(Trusted Computing Base, TCB)的。TCB被定义为计算机系统内保护机制的总组合，它包括硬件、软件和固件。它们之所以是TCB的一部分是因为系统确定这些组件会实施而不会违反安全策略。并非所有的组件需要被信任，因此也并非所有的组件都属于TCB。安全边界是处于TCB内部的可信进程和非TCB内部的不可信进程之间的分界线。
B不正确。因为并非所有进程和资源都属于TCB的范围，所以有一些组件在虚构边界(也叫安全边界)之外。安全边界是区分可信与不可信组件的界限。如果该系统想要处于安全且可信状态，那么就必须制定精确的通信标准，以确保TCB内部的组件在需要和外面的组件通信时，该通信不会使系统遭受意想不到的安全威胁。这类通信都是通过接口来处理和控制。安全边界是有助于实施这种安全的概念。
D不正确。因为域是指主体能够访问的一系列客体。域可以是一个用户能够访问的所有资源、一个程序可用的所有文件、一个进程可用的内存段或一个应用程序可用的多个服务和进程。主体需要访问和使用一些客体(资源)来执行任务，域定义了哪些客体可供主体使用、哪些客体是不可触摸并不能使用的。域的常见实现是网络化的Windows环境。该网络内资源被逻辑分区，从而确保主体仅能访问这些资源。