訪問(wèn)控制是數(shù)據(jù)庫(kù)安全至關(guān)重要的內(nèi)容，可以理解為安全的基本機(jī)制。

訪問(wèn)控制根據(jù)規(guī)定的安全策略和安全模式對(duì)合法用戶進(jìn)行訪問(wèn)授權(quán)，并防止未經(jīng)授權(quán)用戶以及合法授權(quán)用戶的非法訪問(wèn)。

涉及的對(duì)象通常包括訪問(wèn)主體、資源客體、訪問(wèn)策略、策略強(qiáng)制執(zhí)行等組件。

作為安全基本機(jī)制，訪問(wèn)控制實(shí)施對(duì)資源或操作的限制，并進(jìn)行授權(quán)，可以直接支持機(jī)密性、完整性、可用性，常使用的技術(shù)包括訪問(wèn)控制矩陣、訪問(wèn)控制列表、訪問(wèn)標(biāo)簽、權(quán)限、鑒別憑證、安全標(biāo)記、訪問(wèn)時(shí)間、訪問(wèn)路由。

訪問(wèn)控制策略模型包括自主訪問(wèn)控制策略和強(qiáng)制訪問(wèn)控制策略。

1、自主訪問(wèn)控制，是目前數(shù)據(jù)庫(kù)中使用最為普遍的訪問(wèn)控制手段。

用戶可以按照自己的意愿對(duì)系統(tǒng)的參數(shù)做適當(dāng)修改以決定哪些用戶可以訪問(wèn)其資源，即用戶可以有選擇地與其他用戶共享資源。

在自主訪問(wèn)控制模型中，通常用戶最核心的訪問(wèn)權(quán)限是對(duì)資源對(duì)象的“擁有”權(quán)。

自主訪問(wèn)控制模型之所以被稱為是自主的，是因?yàn)閾碛袡?quán)限的用戶可以自主地將其所擁有的權(quán)限授予其他任意在系統(tǒng)登錄的用戶。

2、強(qiáng)制訪問(wèn)控制，在一些高安全等級(jí)的應(yīng)用中，自主訪問(wèn)控制這種權(quán)限的自由擴(kuò)散是相當(dāng)危險(xiǎn)的，因此，強(qiáng)制訪問(wèn)控制機(jī)制被提出來(lái)以滿足這些高安全等級(jí)的應(yīng)用需求。

在強(qiáng)制訪問(wèn)控制下，系統(tǒng)給主體和客體指派不同的安全屬性，這些安全屬性在系統(tǒng)安全策略沒(méi)有改變之前是不可能被輕易改變的。

系統(tǒng)通過(guò)檢查主體和客體的安全屬性匹配與否來(lái)決定是否允許訪問(wèn)繼續(xù)進(jìn)行。

強(qiáng)制安全訪問(wèn)控制基于安全標(biāo)簽的讀寫策略使數(shù)據(jù)庫(kù)管理系統(tǒng)能夠跟蹤數(shù)據(jù)的流動(dòng)，可以避免和防止大多數(shù)對(duì)數(shù)據(jù)庫(kù)有意或無(wú)意的侵害。

因而，可以為木馬程序問(wèn)題提供一定程度的保護(hù)，在數(shù)據(jù)庫(kù)管理系統(tǒng)中有很大的應(yīng)用價(jià)值。

其典型代表是Bell-La Padula模型(簡(jiǎn)稱 BLP模型)和 Biba 模型，也是目前應(yīng)用最為廣泛的模型，能夠達(dá)到保護(hù)數(shù)據(jù)的機(jī)密性和完整性的目標(biāo)。

與自主訪問(wèn)控制不同，用戶無(wú)權(quán)將任何數(shù)據(jù)資源，哪怕是屬于用戶自身的數(shù)據(jù)庫(kù)資源的訪問(wèn)權(quán)限賦予其他的用戶。