1.4.1 授權(quán)

授權(quán)（Authorization）是安全策略的一個(gè)基本組成部分。所謂授權(quán)，是指主體（用戶、終端、程序等）對(duì)客體（數(shù)據(jù)、程序等）的支配權(quán)利，它等于規(guī)定了誰(shuí)可以對(duì)什么做些什么（Who may do what to what）。在機(jī)構(gòu)安全策略等級(jí)上，一些描述授權(quán)的例子如下。

（1）文件Project-X-Status只能由G.Smith修改，并由G.Smith，P.Jones及Project-X計(jì)劃小組中的成員閱讀。

（2）一個(gè)人事記錄只能由人事部門(mén)的職員進(jìn)行添加和修改，并且只能由人事部門(mén)的職員、部門(mén)經(jīng)理及該記錄所屬的那個(gè)人閱讀。

（3）假設(shè)在多級(jí)安全系統(tǒng)中，有一密級(jí)為Confidential-secret-top Secret。只有所持許可證級(jí)別等于或高于此密級(jí)的人員才有權(quán)訪問(wèn)此密級(jí)的信息。

這些安全策略的描述也對(duì)各類(lèi)防護(hù)措施提出了要求。例如，采用人員安全措施來(lái)決定人員的許可證級(jí)別。在計(jì)算機(jī)和通信系統(tǒng)中，主要安全需求可以由一種稱(chēng)為“訪問(wèn)控制策略”的系統(tǒng)安全策略反映出來(lái)。