访问是使信息在主体和对象间流动的一种交互方式。
　　主体（Subject）是指主动的实体，该实体造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。
　　对象（Object）是指包含或接受信息的被动实体。对对象的访问意味着对其中所包含信息的访问。对象通常包括记录、块、页、段、文件、目录、目录树和程序以及位、字节、字、字段、处理器、显示器、键盘、时钟、打印机和网络节点。……

　　通过正确配置 Windows 文件系统和 Web 服务器安全功能，可以控制用户对 Web 服务器内容的访问。当用户试图访问 Web 服务器时，服务器通过几个访问控制步骤，识别用户并确定允许的访问级别。
下面是处理过程概述：
1、客户端请求访问服务器上的资源。
2、服务器请求客户端发出身份验证信息（如果服务器配置了此要求）。浏览器既可以提示用户输入用户名和密码，也可以自动提供这些信息。详细信息，请参阅关于身份验证。 ……

访问控制的基本要求：
　　访问控制是指对合法用户文件和数据操作权限的限制，这些权限主要包括对信息资源读、写、执行等操作。涉密系统访问控制的基本要求是：
（1）应制定符合实际需要的明确的访问控制策略。
（2）处理秘密级、机密级信息的涉密系统，应按照用户类别、信息类别进行访问控制。
（3）处理绝密级信息的涉密系统，访问控制必须控制到单个用户、单个文件。
（4）涉密系统应当采用强制访问控制。
（5）应根据信息密级和重要性划分系统安全域。同一安全域可根据信息密级和重要性再进一步划分。不同安全域需要互连互通时，应当采用安全保密设备进行边界防护。
（6）应当保证访问控制规则设置的安全。只有安全保密管理员有关设置或修改规则，对访问控制规则的每一次操作都应有审计记录，访问控制规则应当有备份。