访问控制策略

访问控制策略用于规定访问资源的权限，防止资源损失、泄密或非法使用

访问控制策略必须指明禁止什么和允许什么，白名单安全性较高，黑名单安全性较低

由信息系统和管理人员引起的用户许可的变化要做记录

规则在颁布之前需要管理人员的批准或其他形式的许可。

访问控制规则

访问控制规则是访问约束条件集，常见的访问控制规则有如下几种:
1.基于用户身份的访问控制规则
2.基于角色的访问控制规则
3.基于地址的访问控制规则
4.基于时间的访问控制规则
5.基于异常事件的访问控制规则(登录出现三次失败后，一段时间内冻结账户)
6.基于服务数量的访问控制规则（网站在服务能力接近某个阈值时，暂时拒绝新的网络访问请求）