訪問控制技術(shù)主要是對用戶、主體、客體、操作和權(quán)限指定一套行之有效并且具有可行性的策略，保證數(shù)據(jù)和系統(tǒng)的安全性。這一策略就是訪問控制策略。

        訪問控制策略是在系統(tǒng)安全策略級別上的授權(quán)表示，是對系統(tǒng)中的訪問如何控制、如何作出限制決定的高層指南和設(shè)計。不同的安全策略有不同的側(cè)重點(diǎn)和不同的覆蓋率，實際應(yīng)用應(yīng)根據(jù)應(yīng)用環(huán)境靈活設(shè)計使用。訪問控制機(jī)制是訪問控制策略的真實應(yīng)用和實現(xiàn)。策略是在抽象層次上說明訪問如何控制和訪問決策的判斷，機(jī)制則是根據(jù)具體的軟件和硬件功能的配置來實施一個策略。機(jī)制與策略獨(dú)立，可允許控制機(jī)制根據(jù)實際情況的需求作出靈活的變化和再設(shè)計。訪問控制規(guī)則是對于客體規(guī)定的具體操作權(quán)限。訪問規(guī)則定義了用戶具有什么權(quán)限才能夠訪問目標(biāo)，規(guī)定了若干條件，在這些條件下，可準(zhǔn)許訪問一個資源。規(guī)則使用戶與資源配對，指定該用戶可在該文件上執(zhí)行哪些操作。由系統(tǒng)管理人員來應(yīng)用這些規(guī)則。由硬件或軟件的安全內(nèi)核部分負(fù)責(zé)實施。策略包含著應(yīng)用系統(tǒng)中的所有用戶和資源信息以及用戶和信息的組織管理方式、用戶和資源之間的權(quán)限關(guān)系、保證安全的管理授權(quán)約束、保證系統(tǒng)安全的其他約束，也就是訪問規(guī)則。

        訪問控制策略應(yīng)該可以根據(jù)具體應(yīng)用定制，訪問控制框架卻是相對固定的，策略隨著應(yīng)用的具體情況而變化。訪問控制和授權(quán)策略展示了一個機(jī)構(gòu)在信息安全和授權(quán)方面的頂層控制、授權(quán)遵循的原則和具體的授權(quán)信息。在一個應(yīng)用中，策略應(yīng)當(dāng)包括一個機(jī)構(gòu)如何將它的人員和數(shù)據(jù)進(jìn)行分類組織，這種組織方式必須考慮到具體應(yīng)用的實際運(yùn)行環(huán)境，如數(shù)據(jù)的敏感性，人員權(quán)限的明確劃分以及必須和相應(yīng)人員層次相匹配的管理層次等因素。

        目前，我們使用的訪問控制授權(quán)的策略主要有：自主訪問控制模型、強(qiáng)制訪問控制模型、基于角色的訪問控制模型、基于任務(wù)的訪問控制模型。基于對象的訪問控制模型等。自主訪問控制模型根據(jù)主體的身份和授權(quán)來決定訪問模式，數(shù)據(jù)信息在移動過程中主體可以將訪問權(quán)限傳遞給其他人，降低權(quán)限分配的工作量。但是這種授權(quán)會導(dǎo)致訪問權(quán)限關(guān)系不可預(yù)測的變化;強(qiáng)制訪問控制模型根據(jù)主體和客體的安全級別標(biāo)記來決定訪問模式，實現(xiàn)信息的單向流動，雖然保證了數(shù)據(jù)的保密性，但是卻會增大系統(tǒng)授權(quán)管理的難度和工作量。自主訪問控制模型限制相對太弱，強(qiáng)制訪問控制模型限制相對刻板，且二者的工作量較大，不便管理。基于角色的訪問控制模型則可以折衷以上問題，角色控制相對獨(dú)立，根據(jù)具體的系統(tǒng)需求可以使某些角色接近自主訪問控制模型，某些角色接近強(qiáng)制訪問控制模型。基于任務(wù)的訪問控制模型采用“面向服務(wù)”的觀點(diǎn)，從任務(wù)的角度建立安全模型和實現(xiàn)安全機(jī)制，依據(jù)任務(wù)和任務(wù)狀態(tài)的不同，在任務(wù)處理的過程中提供動態(tài)實時的安全管理。它適用于工作流、分布式處理，多點(diǎn)訪問控制的信息處理以及事務(wù)管理系統(tǒng)中的決策指定，但最顯著的應(yīng)用還是在安全工作流管理中。基于對象的訪問控制模型采用“面向受控對象”的觀點(diǎn)，從數(shù)據(jù)或者受控對象的角度建立安全模型和實現(xiàn)安全機(jī)制。它主要是為了解決海量數(shù)據(jù)系統(tǒng)中數(shù)據(jù)業(yè)務(wù)權(quán)限配置復(fù)雜的問題。它能有效解決大型信息系統(tǒng)對于大量信息數(shù)據(jù)的安全訪問控制問題，而且對于大多數(shù)以海量信息為基礎(chǔ)的應(yīng)用都有參考價值。