1、自主訪問控制,是目前數據庫中使用最為普遍的訪問控制手段。用戶可以按照自己的意願對系統的參數做適當修改以決定哪些用戶可以訪問其資源,即用戶可以有選擇地與其他用戶共享資源。在自主訪問控制模型中,通常用戶最核心的訪問權限是對資源對象的“擁有”權。自主訪問控制模型之所以被稱為是自主的,是因為擁有權限的用戶可以自主地將其所擁有的權限授予其他任意在系統登錄的用戶。
2、強制訪問控制,在一些高安全等級的應用中,自主訪問控制這種權限的自由擴散是相當危險的,因此,強制訪問控制機制被提出來以滿足這些高安全等級的應用需求。在強制訪問控制下,系統給主體和客體指派不同的安全屬性,這些安全屬性在系統安全策略沒有改變之前是不可能被輕易改變的。系統通過檢查主體和客體的安全屬性匹配與否來決定是否允許訪問繼續進行。
強制安全訪問控制基於安全標簽的讀寫策略使數據庫管理系統能夠跟蹤數據的流動,可以避免和防止大多數對數據庫有意或無意的侵害,因而,可以為木馬程序問題提供一定程度的保護,在數據庫管理系統中有很大的應用價值。其典型代表是Bell-La Padula模型(簡稱 BLP模型)和 Biba 模型,也是目前應用最為廣泛的模型,能夠達到保護數據的機密性和完整性的目標。與自主訪問控制不同,用戶無權將任何數據資源,哪怕是屬於用戶自身的數據庫資源的訪問權限賦予其他的用戶。
參考: