小李和小刘需要为公司新建的信息管理系统设计访问控制方法,,他们在讨论中针对采用自主访问控制还是强制访问控制产生了分歧小李认为应该采用自主访问控制的方法,他的观点主要有:(1)自主访问控制可为用户提供灵活、可调整的安全策略,具有较好的易用性和可扩展性;(2)自主访问控制可以抵御木马程序的攻击。小刘认为应该采用强制访问控制的方法, 他的观点主要有:(3)强制访问控制中,用户不能通过运行改变他自己及任何客体的安 全属性,因为安全性较高;(4)强制访问控制能够保护敏感信息。请问以上四种观点中,正确的是( )
A.
观点(1),因为自主访问控制的安全策略是固定的,主体的反问权限不能改变
B.
观点(2),因为在自主访问控制中,操作系统无法区分对文件的访问权限是由合法用户修改,还是由恶意攻击的程序修改的
C.
观点(3),因为在强制访问控制中,安全级别最高的用户可以修改安全属性
D.
观点(4),因为在强制访问控制中,用户可能无意中泄漏机密信息