存取控制的目的與原則就是利用使用者與系統互動的環節進行限制與回報,藉此提高資訊安全。
較常見的存取控制的模式大致上可分成四種機制,分別為MAC, RBAC, DAC, RBAC (真的縮寫一樣)。
在MAC下有兩種常見的security models - Biba & Bell-LaPadula.
Biba較著重在資料的完整性,因此它允許low-level的使用者閱覽high-level的資料但不能更改;允許high-level的使用者可以閱覽與更改low-level的資料。
Bell-LaPadula 著重在資料的機密性,只允許high-level的使用者更改自己level的資料,對於不是自己level的資料只能閱覽。
由於系統的存取權限是依照職務進行調整,若是沒有更新或是複查職務權限表,可能會出現職務定義不清楚或是調換職務後還是能夠看到先前職務內容的role creep情況。
DAC的範例就像是家庭用硬碟、NAS等系統,每個人可以在既有的權限下自由新增檔案、資料夾,並選擇是否需要設密碼,此外也可以針對自己的資料夾決定哪些平台上的用戶可以瀏覽資料夾的內容。