1.4.1 授权

授权（Authorization）是安全策略的一个基本组成部分。所谓授权，是指主体（用户、终端、程序等）对客体（数据、程序等）的支配权利，它等于规定了谁可以对什么做些什么（Who may do what to what）。在机构安全策略等级上，一些描述授权的例子如下。

（1）文件Project-X-Status只能由G.Smith修改，并由G.Smith，P.Jones及Project-X计划小组中的成员阅读。

（2）一个人事记录只能由人事部门的职员进行添加和修改，并且只能由人事部门的职员、部门经理及该记录所属的那个人阅读。

（3）假设在多级安全系统中，有一密级为Confidential-secret-top Secret。只有所持许可证级别等于或高于此密级的人员才有权访问此密级的信息。

这些安全策略的描述也对各类防护措施提出了要求。例如，采用人员安全措施来决定人员的许可证级别。在计算机和通信系统中，主要安全需求可以由一种称为“访问控制策略”的系统安全策略反映出来。