在信息安全领域中，访问控制一直是人们广泛研究的课题，人们已经相继提出了多种访问控制模型，例如自主访问控制模型、强制访问控制模型和基于角色的访问控制模型等。其中基于角色的访问控制模型，由于引入了角色的概念而更灵活高效、更易于管理，从而得到了广泛的研究和应用。 本文针对一类企业信息系统的安全需求，在ANSI INCITS BBAC(基于角色的访问控制，Role Based Access Control)标准的基础上，细化了层次RBAC模型，设计了一种角色和权限分配机制。 本文的主要工作如下： (1)针对一类企业信息系统的安全需求，分析了企业的资源分类特点、权限授予的规律，在研究RBAC的基础上，对主体和客体进行了进一步的抽象，引入了“角色属性”概念，细化了基于角色的访问控制模型，并结合实例，给出了基于此模型的角色和权限分配过程。 (2)针对细化的RBAC模型，给出了角色和权限分配的相关算法；采用XML技术，给出了基于XML Schema的访问控制策略规约； (3)结合实际的项目，对细化的RBAC模型，进行了实践和应用。 最后本文对有关工作进行了总结，并指出了下一步工作的方向。