6.2 自主訪問控制功能

應按照對訪問控制策略的要求，選擇所需的訪問控制策略，并按照對訪問控制功能的要求，設計和實現所需要的自主訪問控制功能。

當使用文件、目錄和網絡設備時，網絡管理員應給文件、目錄等指定訪問屬性。訪問控制規則應將給定的屬性與網絡服務器的文件、目錄和網絡設備相聯系。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。自主訪問控制應能控制以下權限：

a) 向某個文件寫數據、拷貝文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等；

b) 為每個命名客體指定用戶名和用戶組，以及規定他們對客體的訪問模式。

表3給出了從用戶自主保護級到訪問驗證保護級對自主訪問控制功能的分層分級要求。