随着Internet以及Intranet的发展,越来越多的企业开始在内部实施信息管理系统。由于企业信息系统涉及到企业数据的保密性和敏感性,其安全问题也日益受到关注,并成为企业信息化管理能否全面实现的关键。 本文阐述了目前企业大型信息系统的发展以及目前系统中权限管理的现状,并对目前主流的数据访问控制及其改进方法进行了详细的分析和比较。 在基于角色访问控制的设计基础上,本文结合目前企业管理结构层次型的特点,设计出了一套比较通用的层次型数据访问控制的权限系统,为权限系统在企业信息中的应用提供了一个框架性的解决方案: ● 在模块操作的控制上,本文根据企业管理的层级式结构特点,提出了层次型数据访问控制模型,对用户的操作进行了层级上的控制。其优点是根据用户在企业管理结构中所处与的不同层次,对其数据访问的相关操作进行控制。将以往只能对模块操作控制的权限系统,改进成为由访问层次和操作控制相结合的权限系统。 ● 在数据集查询的控制上,本文设计了一种利用层次型模型来控制用户的查询结果集的方法,即通过用户读取某种业务对象的层次级别,将查询的结果集合进行过滤,在界面上只显示该用户有权限查阅的集合,从而更好地保护了信息的安全。 ● 为了提高层次型权限系统的灵活性及实用性,本文还借鉴了自主访问控制的思想,设计了数据共享功能。该功能可以让用户将自己所拥有的相关信息共享给其它用户访问,并且还可以通过设置不同用户的不同访问权限保证共享信息的安全。 在作者参与开发的《喜力销售管理系统》中,将本文所设计具有以上两种特点的层次型权限系统进行了具体地实现。在本文中,作者对具体实现的方法进行了详细地阐述。目前该系统已处于实际运行阶段。 通过《喜力销售管理系统》的实践,表明本文所设计的层次型权限系统在大型企业信息系统的应用中,具有安全性高、数据访问控制更严格等优点,具有较高的应用价值。