訪問控制技術主要是對用戶、主體、客體、操作和權限指定一套行之有效并且具有可行性的策略，保證數(shù)據(jù)和系統(tǒng)的安全性。這一策略就是訪問控制策略。

        訪問控制策略是在系統(tǒng)安全策略級別上的授權表示，是對系統(tǒng)中的訪問如何控制、如何作出限制決定的高層指南和設計。不同的安全策略有不同的側(cè)重點和不同的覆蓋率，實際應用應根據(jù)應用環(huán)境靈活設計使用。訪問控制機制是訪問控制策略的真實應用和實現(xiàn)。策略是在抽象層次上說明訪問如何控制和訪問決策的判斷，機制則是根據(jù)具體的軟件和硬件功能的配置來實施一個策略。機制與策略獨立，可允許控制機制根據(jù)實際情況的需求作出靈活的變化和再設計。訪問控制規(guī)則是對于客體規(guī)定的具體操作權限。訪問規(guī)則定義了用戶具有什么權限才能夠訪問目標，規(guī)定了若干條件，在這些條件下，可準許訪問一個資源。規(guī)則使用戶與資源配對，指定該用戶可在該文件上執(zhí)行哪些操作。由系統(tǒng)管理人員來應用這些規(guī)則。由硬件或軟件的安全內(nèi)核部分負責實施。策略包含著應用系統(tǒng)中的所有用戶和資源信息以及用戶和信息的組織管理方式、用戶和資源之間的權限關系、保證安全的管理授權約束、保證系統(tǒng)安全的其他約束，也就是訪問規(guī)則。

        訪問控制策略應該可以根據(jù)具體應用定制，訪問控制框架卻是相對固定的，策略隨著應用的具體情況而變化。訪問控制和授權策略展示了一個機構在信息安全和授權方面的頂層控制、授權遵循的原則和具體的授權信息。在一個應用中，策略應當包括一個機構如何將它的人員和數(shù)據(jù)進行分類組織，這種組織方式必須考慮到具體應用的實際運行環(huán)境，如數(shù)據(jù)的敏感性，人員權限的明確劃分以及必須和相應人員層次相匹配的管理層次等因素。

        目前，我們使用的訪問控制授權的策略主要有：自主訪問控制模型、強制訪問控制模型、基于角色的訪問控制模型、基于任務的訪問控制模型。基于對象的訪問控制模型等。自主訪問控制模型根據(jù)主體的身份和授權來決定訪問模式，數(shù)據(jù)信息在移動過程中主體可以將訪問權限傳遞給其他人，降低權限分配的工作量。但是這種授權會導致訪問權限關系不可預測的變化;強制訪問控制模型根據(jù)主體和客體的安全級別標記來決定訪問模式，實現(xiàn)信息的單向流動，雖然保證了數(shù)據(jù)的保密性，但是卻會增大系統(tǒng)授權管理的難度和工作量。自主訪問控制模型限制相對太弱，強制訪問控制模型限制相對刻板，且二者的工作量較大，不便管理。基于角色的訪問控制模型則可以折衷以上問題，角色控制相對獨立，根據(jù)具體的系統(tǒng)需求可以使某些角色接近自主訪問控制模型，某些角色接近強制訪問控制模型。基于任務的訪問控制模型采用“面向服務”的觀點，從任務的角度建立安全模型和實現(xiàn)安全機制，依據(jù)任務和任務狀態(tài)的不同，在任務處理的過程中提供動態(tài)實時的安全管理。它適用于工作流、分布式處理，多點訪問控制的信息處理以及事務管理系統(tǒng)中的決策指定，但最顯著的應用還是在安全工作流管理中。基于對象的訪問控制模型采用“面向受控對象”的觀點，從數(shù)據(jù)或者受控對象的角度建立安全模型和實現(xiàn)安全機制。它主要是為了解決海量數(shù)據(jù)系統(tǒng)中數(shù)據(jù)業(yè)務權限配置復雜的問題。它能有效解決大型信息系統(tǒng)對于大量信息數(shù)據(jù)的安全訪問控制問題，而且對于大多數(shù)以海量信息為基礎的應用都有參考價值。