NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

强制访问控制是一种非自主访问控制。强制访问控制策略限制主体对已经获得访问权限的对象所获得的信息可以执行的操作。这防止主体将信息传递给未授权的主体和对象。强制访问控制策略限制主体在访问控制权限传播方面可以采取的操作；也就是说，具有某种权限的主体不能将该权限传递给其他主体。该策略在系统所控制的所有主体和对象上统一执行。否则，访问控制策略可能会被规避。这种执行是由符合 AC-25 所描述的参考监控器概念的实现提供的。该策略受到系统的限制（即，一旦信息传递到系统控制之外，可能需要额外的手段来确保对信息的约束仍然有效）。上述受信任主体被授予与最小特权概念一致的权限（参见 AC-6）。受信任主体仅被赋予为满足组织任务/业务需求所必需的最少权限，并符合上述政策。当有一项规定建立了关于访问受控非机密信息或机密信息的政策，并且系统的一些用户未被授权访问系统中所有此类信息时，该控制最为适用。强制访问控制可以与AC-3(4)中描述的自主访问控制一起操作。受强制访问控制策略限制的主体仍然可以在 AC-3(4) 的较宽松约束下操作，但强制访问控制策略优先于 AC-3(4) 的较宽松约束。例如，虽然强制访问控制策略施加了限制，阻止主体将信息传递给在不同影响或分类级别上运作的另一个主体，但 AC-3(4) 允许主体将信息传递给与其具有相同影响或分类级别的任何其他主体。强制访问控制策略的示例包括用于保护信息机密性的Bell-LaPadula策略以及用于保护信息完整性的Biba策略。