在信息化建设中进行信息系统的风险分析和安全管理,是一个新的和十分重要的课题,已经引起国家的高度重视。信息安全管理不单单是管理体制或技术问题,而是策略、管理和技术的有机结合。从构建信息系统安全架构的高度出发来全面构建和规范我国的信息安全,将有效的保障我国的信息系统安全。因此,本文的研究具有一定的理论意义和较大的应用价值。本文在分析信息系统安全现状的基础上,由信息系统安全威胁对信息系统造成损害的特点出发,进行风险分析并引入了RBAC模型。在此基础上,提出了基于RBAC理论的权限管理安全模型。因此,本文主要分为两个重要的组成部分:信息系统的风险分析和管理过程及基于RBAC的安全模型设计。论文共分五章。第一章简述了问题提出的背景及意义;第二章中根据信息系统风险分析的一般步骤分别介绍了资产评估、信息系统的安全威胁识别及一系列行之有效的信息系统风险分析方法;第三章,在分析现今应用中的各种安全模型及组织内部安全需求特点的基础上,提出了基于角色的安全访问控制(RBAC)模型,及RBAC模型的基本思想、特点和优势;第四章中提出了一种基于RBAC思想的安全模型设计方案,并着重讨论其权限管理及访问控制的实现,提出了基于此思想的分层访问权限管理方案。第五章,给出本文研究的结论,并讨论进一步的研究方向。