访问控制是通过特定方式控制主体对客体的访问能力和访问范围的一种安全机制，它的主要任务是保证系统数据信息不被非法访问和使用。相对于其他安全技术来说，访问权限控制技术主要涉及数据的机密性和完整性，并对数据有效性也有一定的作用。

　　访问控制技术主要是对用户、主体、客体、操作和权限指定一套行之有效并且具有可行性的策略，保证数据和系统的安全性。这一策略就是访问控制策略。

　　访问控制策略是在系统安全策略级别上的授权表示，是对系统中的访问如何控制、如何作出限制决定的高层指南和设计。不同的安全策略有不同的侧重点和不同的覆盖率，实际应用应根据应用环境灵活设计使用。访问控制机制是访问控制策略的真实应用和实现。策略是在抽象层次上说明访问如何控制和访问决策的判断，机制则是根据具体的软件和硬件功能的配置来实施一个策略。机制与策略独立，可允许控制机制根据实际情况的需求作出灵活的变化和再设计。访问控制规则是对于客体规定的具体操作权限。访问规则定义了用户具有什么权限才能够访问目标，规定了若干条件，在这些条件下，可准许访问一个资源。规则使用户与资源配对，指定该用户可在该文件上执行哪些操作。由系统管理人员来应用这些规则。由硬件或软件的安全内核部分负责实施。策略包含着应用系统中的所有用户和资源信息以及用户和信息的组织管理方式、用户和资源之间的权限关系、保证安全的管理授权约束、保证系统安全的其他约束，也就是访问规则。

　　访问控制策略应该可以根据具体应用定制，访问控制框架却是相对固定的，策略随着应用的具体情况而变化。访问控制和授权策略展示了一个机构在信息安全和授权方面的顶层控制、授权遵循的原则和具体的授权信息。在一个应用中，策略应当包括一个机构如何将它的人员和数据进行分类组织，这种组织方式必须考虑到具体应用的实际运行环境，如数据的敏感性，人员权限的明确划分以及必须和相应人员层次相匹配的管理层次等因素。

　　目前，我们使用的访问控制授权的策略主要有：自主访问控制模型、强制访问控制模型、基于角色的访问控制模型、基于任务的访问控制模型。基于对象的访问控制模型等。自主访问控制模型根据主体的身份和授权来决定访问模式，数据信息在移动过程中主体可以将访问权限传递给其他人，降低权限分配的工作量。但是这种授权会导致访问权限关系不可预测的变化；强制访问控制模型根据主体和客体的安全级别标记来决定访问模式，实现信息的单向流动，虽然保证了数据的保密性，但是却会增大系统授权管理的难度和工作量。自主访问控制模型限制相对太弱，强制访问控制模型限制相对刻板，且二者的工作量较大，不便管理。基于角色的访问控制模型则可以折衷以上问题，角色控制相对独立，根据具体的系统需求可以使某些角色接近自主访问控制模型，某些角色接近强制访问控制模型。基于任务的访问控制模型采用“面向服务”的观点，从任务的角度建立安全模型和实现安全机制，依据任务和任务状态的不同，在任务处理的过程中提供动态实时的安全管理。它适用于工作流、分布式处理，多点访问控制的信息处理以及事务管理系统中的决策指定，但最显着的应用还是在安全工作流管理中。基于对象的访问控制模型采用“面向受控对象”的观点，从数据或者受控对象的角度建立安全模型和实现安全机制。它主要是为了解决海量数据系统中数据业务权限配置复杂的问题。它能有效解决大型信息系统对于大量信息数据的安全访问控制问题，而且对于大多数以海量信息为基础的应用都有参考价值。