信息化技术的创新和发展对现代经济社会的进步起到了举足轻重的作用，信息资源也成为了企业组织的重要生产要素、无形资产和社会财富。信息化与经济全球化相互交织推动着全球产业分工深化和经济结构调整，也带动着企业组织战略、组织结构以及管理方式的改变。根据国家信息化测评中心2007年中国企业信息化500强调查与测评结果显示，对于国内企业组织特别是大型企业组织来说，信息化建设势在必行，因为它已渐渐成为提高企业管理效率和核心竞争力的重要而且必要的手段。 在企业的信息化建设过程中，企业信息化安全管理体系贯穿始终，涉及物理安全、网络安全、数据安全、内容安全、信息网络基础设施安全以及公共与国家信息安全等多个方面，具有多维性、多因素、多层次和多目标的特点。其中网络安全是基础，系统安全是关键，信息安全是核心，制度安全是保障。在信息社会，没有各种信息的有效支持，没有信息安全作保障，企业就不可能生存和发展。鉴于信息安全对企业管理的重要性，选取其中的权限访问控制作为本文的切入点和立足点。 作为国际标准化组织ISO提出的五大安全服务之一，访问控制技术的主要任务是保证系统资源不被非法使用和非法访问，从而使计算机系统在合法范围内使用，其基本概念包括用户、客体、操作和权限等。30多年的发展过程中，出现很多有名的访问控制方式包括自主访问控制(DAC)、强制访问控制(MAC)、基于角色的访问控制(RBAC)和基于任务的访问控制(TBAC)，而后两种方式的研究最具有代表性和影响力。RBAC的主要思想是用户和权限通过角色相关联，对用户的授权通过赋予用户相应的角色来实现。而 TBAC是以任务、活动为中心来建立的安全模型和实现机制，在进行任务处理过程中，对信息对象的访问权限是随着执行任务的上下文环境而变化的。他们也是本文访问控制管理框架通用性研究的理论基础。 事实上，大多数国内外对访问控制技术的研究方兴未艾，有针对某个或某系列的模型的深化扩展，有关于不同模型之间的整合与应用。但真正具备抽象意义和实现价值的通用访问控制管理框架并不多。前期学者的研究或集中在通用访问控制框架(GFAC)在操作系统层面的应用和优化，对其基本理念进一步深入和改进，但不涉及企业应用程序领域；或针对GFAC与RBAC的结合进行某个系统开发上的设计，在系统性和通用性上略有欠缺；或使用软件复用技术达到面向对象，并包容业务规则变化，但未能包含诸如针对工作流和客体状态等访问控制需求。本文为解决上述研究的不足，提出一种面向企业应用系统集成和信息安全控制的通用管理框架，意图借助科学技术手段与管理方法改进使得应用系统实现其社会、经济、生态效益的满意化。 借鉴ARBA02模型管理范围的定义与TBAC模型的协作概念，本文在管理框架中定义了基本的管理内容即访问控制中共有的组件，具体来说是访问控制的主体(包含管理者)和权限(细分为操作和对象)，也定义了管理者的管理范围，即由其可管理的主体和权限共同确定，而管理者对访问控制策略的管理操作必须在其管理范围内。此通用管理框架抽象了访问控制模型中的基本概念用户、管理员、操作和对象作为管理内容的基本定义，将企业内复杂的业务逻辑高度抽象为应用集作为框架的基本管理单元。而对应的，管理者的管理操作是否被允许则需验证管理操作涉及的管理内容是否在其被授权的管理单元内。 文中以集合论等形式化语言系统地定义和描述框架中的基本概念和操作规则，包括U、AU、OB、OP、POLICIES和APp等六个集合，UAP、AUAP、OBAP、OPAP、PoAP和APC等六个关系，以及policyUser，policyOB和policyOP三个与策略相关的函数，以提供一个统一的抽象接口来确定策略的管理内容从而确定其管理单元。在此基础上，文中讨论了管理框架应该具备的12个管理操作和规则，并论证了框架在访问主体和访问权限两个方面都是完备的，最后结合了人事管理、售后客服、销售管理与财务管理等四个基本企业应用系统的逻辑关系讨论了框架内应用集的协同关系(APC)，最终证明此管理框架在理论意义层面的完整性和逻辑性。 为进一步论证所述管理框架的通用性与可行性，本文从软件工程设计的角度，设计用户管理、操作管理和对象管理作为访问控制管理框架的三个基本功能模块，界定规则管理、访问管理和访问控制模式工厂作为框架的访问控制部分，实现了访问控制模式与应用程序的对应和调用，达到了对应用程序权限访问控制的集中管理。具体来说，在管理框架运行过程中，一旦应用程序在框架内启动，框架系统将获得应用程序的对应注册信息，并找到其绑定的访问控制模式参数。访问管理部分获得这个参数后传值给访问控制模式工厂的接口，由访问控制模式工厂与该应用程序交互获得具体的规则信息和应用程序的其他注册信息，在具体类中创建一个访问控制模式的实例，并返回给访问管理部分。访问管理部分接收此实例后返回给应用程序作为权限控制的具体模式，而与访问控制模式相关的概念和应用程序的处理逻辑均在具体类中实现。 另一方面，针对管理框架在实际软件开发中的应用，本文主要应用了软件设计模式中的工厂方法模式、命令模式和状态模式优化设计其框架类图，并使用UML中的时序图对RBAC和TBAC两类控制模式在框架中的授权流程加以描述。最后结合广铁集团下属单位的实际系统讨论了文章涉及的框架设计理念与应用情况。 总体来说，本文以计算机信息安全控制为技术应用角度，以企业信息化建设和管理为切入点，以权限访问控制为理论实践方向，充分体现信息技术与经济管理的结合。本研究主要工作与创新主要体现在管理学与计算机应用的整合过程中，批判性的分析前人的研究成果，针对其不足提出系统性的管理框架，并结合软件设计方法实证了框架的实用性和可行性，达到了学术价值和实践价值的二重效应。而本文提出的通用访问权限框架在实际应用中也进一步证实其能减轻程序员重复开发应用系统的权限部分、管理员统一管理应用程序并避免用户多处系统多处登陆的尴尬，进而为企业应用系统集成、面向信息安全控制提供了一个完整的解决方案。另外，本文在理论论证方法、模型讨论和应用领域方面仍存在不足，有待后续讨论。