安全技术要求SSF网络基础安全应按确定的自主访问控制安全策略进行设计，实现对策略控制下的主体与客体间操作的控制。

可以有多个自主访问控制安全策略，网络基础安全必须独立命名，且不能相互冲突。常用的自主访问控制策略包括：访问控制表访问控制、目录表访问控制、权能表访问控制等。

2）访问控制功能

SSF 应明确指出采用一条命名的访问控制策略所实现的特定功能，说明策略的使用和特征，以及该策略的控制范围。

无论采用何种自主访问控制策略，SSF 应有能力提供：

——在安全属性或命名的安全属性组的客体上，执行访问控制 SFP；

——在基于安全属性的允许主体对客体访问的规则的基础上，允许主体对客体的访问；

——在基于安全属性的拒绝主体对客体访问的规则的基础上，拒绝主体对客体的访问。

3）访问控制范围

网络系统中自主访问控制的覆盖范围分为：

a） 子集访问控制：要求每个确定的自主访问控制，SSF 应覆盖网络系统中所定义的主体、客体及其之间的操作；

b） 完全访问控制：要求每个确定的自主访问控制，SSF 应覆盖网络系统中所有的主体、客体及其之间的操作，即要求 SSF 应确保 SSC 内的任意一个主体和任意一个客体之间的所有操作将至少被一个确定的访问控制 SFP 覆盖。

4）访问控制粒度

网络系统中自主访问控制的粒度分为：

a） 粗粒度：主体为用户组/用户级，客体为文件、数据库表级；

b） 中粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级；

c） 细粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级或元素级。

您可以前往信创致远http://www.dengbao110.com/查看更多信息网络基础安全相关内容。