随着安全需求的不断发展和变化，自主访问控制和强制访问控制已经不能完全满足需求，研究者提出许多自主访问控制和强制访问控制的替代模型，如基于栅格的访问控制、基于规则的访问控制、基于角色的访问控制模型和基于任务的访问控制等。其中最引人瞩目的是基于角色的访问控制 (RBAC)。其基本思想是：有一组用户集和角色集，在特定的环境里，某一用户被指定为一个合适的角色来访问系统资源;在另外一种环境里，这个用户又可以被指定为另一个的角色来访问另外的网络资源，每一个角色都具有其对应的权限，角色是安全控制策略的核心，可以分层，存在偏序、自反、传递、反对称等关系。与自主访问控制和强制访问控制相比，基于角色的访问控制具有显著优点：首先，它实际上是一种策略无关的访问控制技术。其次，基于角色的访问控制具有自管理的能力。此外，基于角色的访问控制还便于实施整个组织或单位的网络信息系统的安全策略。目前，基于角色的访问控制已在许多安全系统中实现。例如，在亿赛通文档安全管理系统SmartSec(见“文档安全加密系统的实现方式”一文)中，服务器端的用户管理就采用了基于角色的访问控制方式，从而为用户管理、安全策略管理等提供了很大的方便。

　　随着网络的深入发展，基于Host-Terminal环境的静态安全模型和标准已无法完全反应分布式、动态变化、发展迅速的Internet的安全问题。针对日益严重的网络安全问题和越来突出的安全需求，“可适应网络安全模型”和“动态安全模型”应运而生。基于闭环控制的动态网络安全理论模型在90年代开始逐渐形成并得到了迅速发展，1995年12月美国国防部提出了信息安全的动态模型，即保护(Protection)—检测(Detection)—响应(Response)多环节保障体系，后来被通称为PDR模型。随着人们对PDR模型应用和研究的深入，PDR模型中又融入了策略(Policy)和恢复(Restore)两个组件，逐渐形成了以安全策略为中心，集防护、检测、响应和恢复于一体的动态安全模型，如图1所示。

　　图1 PDR扩展模型示意图

　　PDR模型是一种基于闭环控制、主动防御的动态安全模型，在整体的安全策略控制和指导下，在综合运用防护工具(如防火墙、系统身份认证和加密等手段)的同时，利用检测工具(如漏洞评估、入侵检测等系统)了解和评估系统的安全状态，将系统调整到“最安全”和“风险最低”的状态。保护、检测、响应和恢复组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息的安全。