访问控制模型

访问控制模型是用于规定如何作出访问决定的模型。传统的访问控制模型包括一组由操作规则定义的基本操作状态。典型的状态包含一组主体（S）、一组对象（O）、一组访问权（A［S，O］）包括读、写、执行和拥有。

访问控制模型涵盖对象、主体和操作，通过对访问者的控制达到保护重要资源的目的。对象包括终端、文本和文件，系统用户和程序被定义为主体。操作是主体和对象的交互。访问控制模型除了提供机密性和完整性外，还提供记帐性。记帐性是通过审计访问记录实现的，访问记录包括主体访问了什么对象和进行了什么操作。下面介绍三种访问控制模型。

任意访问控制
任意访问控制（discretionary access control）是一种允许主体对访问控制施加特定限制的访问控制类型。在很多机构中，用户在没有系统管理员介入的情况下，需要具有设定其他用户访问其所控制资源的能力。这使得控制具有任意性。在这种环境下，用户对信息的访问能力是动态的，在短期内会有快速的变化。任意访问控制经常通过访问控制列表实现，访问控制列表难于集中进行访问控制和访问权力的管理。任意访问控制包括身份型（identity-based）访问控制和用户指定型（user-directed）访问控制。

强制访问控制
强制访问控制（mandatory access control）是一种不允许主体干涉的访问控制类型。它是基于安全标识和信息分级等信息敏行缘姆梦士刂啤Ｇ恐品梦士刂瓢ü嬖蛐停╮ule-based）访问控制和管理指定型（administratively-based）访问控制。

非任意访问控制
非任意访问控制（non-discretionary access control）是为满足安全策略和目标而采用的一系列集中管理的控制手段。访问控制是由访问者在机构中的角色决定的。角色包括职务特征、任务、责任、义务和资格。访问者在系统中的角色有管理者赋予或吊销。当员工离开机构时，其在系统中的所有角色都应该吊销。大的公司通常会有频繁的人员流动，基于角色的安全策略是唯一合理的选择。晶格型访问（lattice-based）控制将主体和对象排列成一组元素对，每个元素对的访问权都有上限和下限。

保证系统各部分协调工作对访问控制来说是很重要的。至少必须考虑三种基本的访问控制类型：物理的、操作系统的和应用的。通常，应用层面的访问控制是随应用的不同而各不一样的。但是，为了保证应用层面的访问控制的有效性，必须提供有效的操作系统层面访问控制。否则，就有可能绕过应用控制直接访问应用资源。而操作系统和应用系统都需要物理访问控制的保护。