随着企业办公信息系统的广泛使用,系统安全问题受到越来越多的关注,而权限控制模块是大部分应用系统重要的组成部分,系统权限的有效控制也是应用系统实施成功的保证。因此企业办公信息系统中的权限管理和控制问题成为了本文研究的重点。目前我国大部分企业均采用传统的访问控制技术,即自主访问控制技术(DAC , Discretionary Access Control)和强制访问控制技术(MAC ,Mandatory Access Control),但它们均存在一定弊端,有其局限性。经过分析、对比了目前国内外流行的访问控制理论,确定了基于角色的访问控制策略(Role-Based Access Control简称RBAC)作为企业办公信息系统中访问控制部分的理论基础。本文针对传统RBAC模型在实际应用中的不足,扩展了RBAC理论使之成为适合我国企业办公信息系统的访问控制理论。它在保留原RBAC理论优点的基础上,在用户和角色之间引入了部门这样一个新的实体;根据对象不同对其进行详细分类,从而增加权限配置的粒度;对角色继承和角色权限授予分别增加优先级概念,从而避免权限继承时的冲突问题;增加了对用户直接授权的方式,从而防止了由于个别用户具有的特殊权限而导致角色增加泛滥;此外还扩展了其他各种约束。结合企业办公信息系统的特点,利用本文提出的RBAC扩展模型,对其进行了详细设计,包括用户设计、角色设计、权限设计、授权设计、约束管理设计等,并且针对权限管理系统进行了数据库详细设计及功能模块设计实现。在权限验证方面,本文采用了面向切面编程(AOP)思想对其进行了实现,从而使验证管理不脱离权限管理系统。最后本文以《哈尔滨商务局办公信息系统》为例,具体阐述了该系统基于角色的安全访问控制方案的实现,论证了设计方案在企业办公信息系统中的可行性。