訪問控制是通過特定方式控制主體對(duì)客體的訪問能力和訪問范圍的一種安全機(jī)制，它的主要任務(wù)是保證系統(tǒng)數(shù)據(jù)信息不被非法訪問和使用。相對(duì)于其他安全技術(shù)來說，訪問權(quán)限控制技術(shù)主要涉及數(shù)據(jù)的機(jī)密性和完整性，并對(duì)數(shù)據(jù)有效性也有一定的作用。

        訪問控制技術(shù)主要是對(duì)用戶、主體、客體、操作和權(quán)限指定一套行之有效并且具有可行性的策略，保證數(shù)據(jù)和系統(tǒng)的安全性。這一策略就是訪問控制策略。

        訪問控制策略是在系統(tǒng)安全策略級(jí)別上的授權(quán)表示，是對(duì)系統(tǒng)中的訪問如何控制、如何作出限制決定的高層指南和設(shè)計(jì)。不同的安全策略有不同的側(cè)重點(diǎn)和不同的覆蓋率，實(shí)際應(yīng)用應(yīng)根據(jù)應(yīng)用環(huán)境靈活設(shè)計(jì)使用。訪問控制機(jī)制是訪問控制策略的真實(shí)應(yīng)用和實(shí)現(xiàn)。策略是在抽象層次上說明訪問如何控制和訪問決策的判斷，機(jī)制則是根據(jù)具體的軟件和硬件功能的配置來實(shí)施一個(gè)策略。機(jī)制與策略獨(dú)立，可允許控制機(jī)制根據(jù)實(shí)際情況的需求作出靈活的變化和再設(shè)計(jì)。訪問控制規(guī)則是對(duì)于客體規(guī)定的具體操作權(quán)限。訪問規(guī)則定義了用戶具有什么權(quán)限才能夠訪問目標(biāo)，規(guī)定了若干條件，在這些條件下，可準(zhǔn)許訪問一個(gè)資源。規(guī)則使用戶與資源配對(duì)，指定該用戶可在該文件上執(zhí)行哪些操作。由系統(tǒng)管理人員來應(yīng)用這些規(guī)則。由硬件或軟件的安全內(nèi)核部分負(fù)責(zé)實(shí)施。策略包含著應(yīng)用系統(tǒng)中的所有用戶和資源信息以及用戶和信息的組織管理方式、用戶和資源之間的權(quán)限關(guān)系、保證安全的管理授權(quán)約束、保證系統(tǒng)安全的其他約束，也就是訪問規(guī)則。

        訪問控制策略應(yīng)該可以根據(jù)具體應(yīng)用定制，訪問控制框架卻是相對(duì)固定的，策略隨著應(yīng)用的具體情況而變化。訪問控制和授權(quán)策略展示了一個(gè)機(jī)構(gòu)在信息安全和授權(quán)方面的頂層控制、授權(quán)遵循的原則和具體的授權(quán)信息。在一個(gè)應(yīng)用中，策略應(yīng)當(dāng)包括一個(gè)機(jī)構(gòu)如何將它的人員和數(shù)據(jù)進(jìn)行分類組織，這種組織方式必須考慮到具體應(yīng)用的實(shí)際運(yùn)行環(huán)境，如數(shù)據(jù)的敏感性，人員權(quán)限的明確劃分以及必須和相應(yīng)人員層次相匹配的管理層次等因素。

        目前，我們使用的訪問控制授權(quán)的策略主要有：自主訪問控制模型、強(qiáng)制訪問控制模型、基于角色的訪問控制模型、基于任務(wù)的訪問控制模型。基于對(duì)象的訪問控制模型等。自主訪問控制模型根據(jù)主體的身份和授權(quán)來決定訪問模式，數(shù)據(jù)信息在移動(dòng)過程中主體可以將訪問權(quán)限傳遞給其他人，降低權(quán)限分配的工作量。但是這種授權(quán)會(huì)導(dǎo)致訪問權(quán)限關(guān)系不可預(yù)測(cè)的變化;強(qiáng)制訪問控制模型根據(jù)主體和客體的安全級(jí)別標(biāo)記來決定訪問模式，實(shí)現(xiàn)信息的單向流動(dòng)，雖然保證了數(shù)據(jù)的保密性，但是卻會(huì)增大系統(tǒng)授權(quán)管理的難度和工作量。自主訪問控制模型限制相對(duì)太弱，強(qiáng)制訪問控制模型限制相對(duì)刻板，且二者的工作量較大，不便管理。基于角色的訪問控制模型則可以折衷以上問題，角色控制相對(duì)獨(dú)立，根據(jù)具體的系統(tǒng)需求可以使某些角色接近自主訪問控制模型，某些角色接近強(qiáng)制訪問控制模型。基于任務(wù)的訪問控制模型采用“面向服務(wù)”的觀點(diǎn)，從任務(wù)的角度建立安全模型和實(shí)現(xiàn)安全機(jī)制，依據(jù)任務(wù)和任務(wù)狀態(tài)的不同，在任務(wù)處理的過程中提供動(dòng)態(tài)實(shí)時(shí)的安全管理。它適用于工作流、分布式處理，多點(diǎn)訪問控制的信息處理以及事務(wù)管理系統(tǒng)中的決策指定，但最顯著的應(yīng)用還是在安全工作流管理中。基于對(duì)象的訪問控制模型采用“面向受控對(duì)象”的觀點(diǎn)，從數(shù)據(jù)或者受控對(duì)象的角度建立安全模型和實(shí)現(xiàn)安全機(jī)制。它主要是為了解決海量數(shù)據(jù)系統(tǒng)中數(shù)據(jù)業(yè)務(wù)權(quán)限配置復(fù)雜的問題。它能有效解決大型信息系統(tǒng)對(duì)于大量信息數(shù)據(jù)的安全訪問控制問題，而且對(duì)于大多數(shù)以海量信息為基礎(chǔ)的應(yīng)用都有參考價(jià)值。