訪問控制技術(shù)主要是對用戶、主體、客體、操作和權(quán)限指定一套行之有效并且具有可行性的策略，保證數(shù)據(jù)和系統(tǒng)的安全性。這一策略就是訪問控制策略。

        訪問控制策略是在系統(tǒng)安全策略級別上的授權(quán)表示，是對系統(tǒng)中的訪問如何控制、如何作出限制決定的高層指南和設計。不同的安全策略有不同的側(cè)重點和不同的覆蓋率，實際應用應根據(jù)應用環(huán)境靈活設計使用。訪問控制機制是訪問控制策略的真實應用和實現(xiàn)。策略是在抽象層次上說明訪問如何控制和訪問決策的判斷，機制則是根據(jù)具體的軟件和硬件功能的配置來實施一個策略。機制與策略獨立，可允許控制機制根據(jù)實際情況的需求作出靈活的變化和再設計。訪問控制規(guī)則是對于客體規(guī)定的具體操作權(quán)限。訪問規(guī)則定義了用戶具有什么權(quán)限才能夠訪問目標，規(guī)定了若干條件，在這些條件下，可準許訪問一個資源。規(guī)則使用戶與資源配對，指定該用戶可在該文件上執(zhí)行哪些操作。由系統(tǒng)管理人員來應用這些規(guī)則。由硬件或軟件的安全內(nèi)核部分負責實施。策略包含著應用系統(tǒng)中的所有用戶和資源信息以及用戶和信息的組織管理方式、用戶和資源之間的權(quán)限關(guān)系、保證安全的管理授權(quán)約束、保證系統(tǒng)安全的其他約束，也就是訪問規(guī)則。

        訪問控制策略應該可以根據(jù)具體應用定制，訪問控制框架卻是相對固定的，策略隨著應用的具體情況而變化。訪問控制和授權(quán)策略展示了一個機構(gòu)在信息安全和授權(quán)方面的頂層控制、授權(quán)遵循的原則和具體的授權(quán)信息。在一個應用中，策略應當包括一個機構(gòu)如何將它的人員和數(shù)據(jù)進行分類組織，這種組織方式必須考慮到具體應用的實際運行環(huán)境，如數(shù)據(jù)的敏感性，人員權(quán)限的明確劃分以及必須和相應人員層次相匹配的管理層次等因素。

        目前，我們使用的訪問控制授權(quán)的策略主要有：自主訪問控制模型、強制訪問控制模型、基于角色的訪問控制模型、基于任務的訪問控制模型。基于對象的訪問控制模型等。自主訪問控制模型根據(jù)主體的身份和授權(quán)來決定訪問模式，數(shù)據(jù)信息在移動過程中主體可以將訪問權(quán)限傳遞給其他人，降低權(quán)限分配的工作量。但是這種授權(quán)會導致訪問權(quán)限關(guān)系不可預測的變化;強制訪問控制模型根據(jù)主體和客體的安全級別標記來決定訪問模式，實現(xiàn)信息的單向流動，雖然保證了數(shù)據(jù)的保密性，但是卻會增大系統(tǒng)授權(quán)管理的難度和工作量。自主訪問控制模型限制相對太弱，強制訪問控制模型限制相對刻板，且二者的工作量較大，不便管理。基于角色的訪問控制模型則可以折衷以上問題，角色控制相對獨立，根據(jù)具體的系統(tǒng)需求可以使某些角色接近自主訪問控制模型，某些角色接近強制訪問控制模型。基于任務的訪問控制模型采用“面向服務”的觀點，從任務的角度建立安全模型和實現(xiàn)安全機制，依據(jù)任務和任務狀態(tài)的不同，在任務處理的過程中提供動態(tài)實時的安全管理。它適用于工作流、分布式處理，多點訪問控制的信息處理以及事務管理系統(tǒng)中的決策指定，但最顯著的應用還是在安全工作流管理中。基于對象的訪問控制模型采用“面向受控對象”的觀點，從數(shù)據(jù)或者受控對象的角度建立安全模型和實現(xiàn)安全機制。它主要是為了解決海量數(shù)據(jù)系統(tǒng)中數(shù)據(jù)業(yè)務權(quán)限配置復雜的問題。它能有效解決大型信息系統(tǒng)對于大量信息數(shù)據(jù)的安全訪問控制問題，而且對于大多數(shù)以海量信息為基礎的應用都有參考價值。