论文部分内容阅读
近几年来,Internet/Intranet技术在全球高速发展,基于Internet/Intranet的信息服务已成为当前信息化社会的热点,企业为了保持和加强自身的竞争力,提高内部的管理水平,他们都在不断地完善和发展自己的管理信息系统.该文首先分析了传统的C/S模式和B/S模式的特点.C/S模式在Intranet环境中的使用,具有很强的安全性,通常的工作方式是多个客户端连接一个或多个服务器,开发经验也十分成熟,但不利于企业与外界的信息交换,对于系统的扩展、升级也较不方便,因此单纯的C/S信息系统会成为企业推进电子商务的阻碍;B/S模式的应用系统具有很好的灵活性,它最大的特点在于在原来客户端和服务器之间增加了"应用层",将客户端的业务逻辑移至"应用层",客户端一般采用浏览器,如果基于Internet,企业内部用户可以借助网络化的平台很方便地与外界进行信息交流.但作为一种开放性的构架环境,强大灵活性的同时,这种构架也有着安全性的隐患.基于以上的分析,文章阐述了企业在开发、扩展信息系统时,可以保留原有的系统资源,在考虑系统架构安全的前提下,加入B/S的特点,这样既可充分利用企业的现有资源,又满足了企业信息系统全球化的要求.第三章主要是针对企业信息系统中数据库系统的安全性讨论.对于一个数据库支持的应用系统来讲,数据库系统处于信息系统中的底层,负责对信息的储存和管理,它的安全问题在整个系统中是最基本也最重要的,这一章从数据库系统的应用目标、安全隐患、安全要求三个方面,提出了数据库系统在管理级别、数据库级别、网络层和应用层四个层次上的安全控制策略.安全模型反映了一定的安全策略.基于角色的访问控制(RBAC)在系统的安全控制机制中有着重要的地位,针对这种安全控制模式,文章研究了RBAC模型中的相关要素和授权机制的实质,即用户通过他所分配的角色来访问系统资源,而对系统访问的控制是由角色拥有的许可来体现的.第五章依照如今比较流行的面向对象的设计思路,在RBAC初始模型的基础上,提出了适合大型企业中的授权模型——基于任务管理的RBAC模型(T-RBAC),这种访问控制机制是把许可分配给"任务"单元,再将"任务"分配给角色,引入"任务"的概念,便于对企业业务活动的理解,简化了访问控制的复杂程度.然后给出了T-RBAC模型的衍生过程,列出了在这个过程中涉及的技术、输入和输出信息以及生成相应的T-RBAC模型的部件,为企业如何建立一种新的访问控制模型提供了思路.第六章根据RBAC的访问控制机制,结合了一个MIS和一个基于Web的信息管理平台项目,验证了这种访问控制模型.最后在结论中总结了全文的研究成果,肯定了RBAC在系统安全控制中的重要作用,也指出了论文尚存的一些问题和需要进一步研究的方向.