訪問控制技術主要是對用戶、主體、客體、操作和權限指定一套行之有效并且具有可行性的策略，保證數據和系統的安全性。這一策略就是訪問控制策略。

        訪問控制策略是在系統安全策略級別上的授權表示，是對系統中的訪問如何控制、如何作出限制決定的高層指南和設計。不同的安全策略有不同的側重點和不同的覆蓋率，實際應用應根據應用環境靈活設計使用。訪問控制機制是訪問控制策略的真實應用和實現。策略是在抽象層次上說明訪問如何控制和訪問決策的判斷，機制則是根據具體的軟件和硬件功能的配置來實施一個策略。機制與策略獨立，可允許控制機制根據實際情況的需求作出靈活的變化和再設計。訪問控制規則是對于客體規定的具體操作權限。訪問規則定義了用戶具有什么權限才能夠訪問目標，規定了若干條件，在這些條件下，可準許訪問一個資源。規則使用戶與資源配對，指定該用戶可在該文件上執行哪些操作。由系統管理人員來應用這些規則。由硬件或軟件的安全內核部分負責實施。策略包含著應用系統中的所有用戶和資源信息以及用戶和信息的組織管理方式、用戶和資源之間的權限關系、保證安全的管理授權約束、保證系統安全的其他約束，也就是訪問規則。

        訪問控制策略應該可以根據具體應用定制，訪問控制框架卻是相對固定的，策略隨著應用的具體情況而變化。訪問控制和授權策略展示了一個機構在信息安全和授權方面的頂層控制、授權遵循的原則和具體的授權信息。在一個應用中，策略應當包括一個機構如何將它的人員和數據進行分類組織，這種組織方式必須考慮到具體應用的實際運行環境，如數據的敏感性，人員權限的明確劃分以及必須和相應人員層次相匹配的管理層次等因素。

        目前，我們使用的訪問控制授權的策略主要有：自主訪問控制模型、強制訪問控制模型、基于角色的訪問控制模型、基于任務的訪問控制模型。基于對象的訪問控制模型等。自主訪問控制模型根據主體的身份和授權來決定訪問模式，數據信息在移動過程中主體可以將訪問權限傳遞給其他人，降低權限分配的工作量。但是這種授權會導致訪問權限關系不可預測的變化;強制訪問控制模型根據主體和客體的安全級別標記來決定訪問模式，實現信息的單向流動，雖然保證了數據的保密性，但是卻會增大系統授權管理的難度和工作量。自主訪問控制模型限制相對太弱，強制訪問控制模型限制相對刻板，且二者的工作量較大，不便管理。基于角色的訪問控制模型則可以折衷以上問題，角色控制相對獨立，根據具體的系統需求可以使某些角色接近自主訪問控制模型，某些角色接近強制訪問控制模型。基于任務的訪問控制模型采用“面向服務”的觀點，從任務的角度建立安全模型和實現安全機制，依據任務和任務狀態的不同，在任務處理的過程中提供動態實時的安全管理。它適用于工作流、分布式處理，多點訪問控制的信息處理以及事務管理系統中的決策指定，但最顯著的應用還是在安全工作流管理中。基于對象的訪問控制模型采用“面向受控對象”的觀點，從數據或者受控對象的角度建立安全模型和實現安全機制。它主要是為了解決海量數據系統中數據業務權限配置復雜的問題。它能有效解決大型信息系統對于大量信息數據的安全訪問控制問題，而且對于大多數以海量信息為基礎的應用都有參考價值。