【正文】 的審批由主管領(lǐng)導(dǎo)或部門(mén)對(duì)工程項(xiàng)目的投資計(jì)劃和費(fèi)用預(yù)算進(jìn)行審查。本模塊提供相應(yīng)的接口收集相關(guān)內(nèi)容，按月份、產(chǎn)品、區(qū)域?qū)⑼ㄐ沤?jīng)營(yíng)信息進(jìn)行分類(lèi)管理，以便于歸口部門(mén)在分析后制定相應(yīng)的支持16 / 76計(jì)劃，設(shè)計(jì)出合適的營(yíng)銷(xiāo)策略，并按照通信行業(yè)管理的要求對(duì)管制的營(yíng)銷(xiāo)措施提前辦理報(bào)備報(bào)批工作。(3) 營(yíng)銷(xiāo)規(guī)劃：主要用于匯總各營(yíng)銷(xiāo)中心的需求計(jì)劃，制訂公司總體的營(yíng)銷(xiāo)策略和支撐計(jì)劃。資源規(guī)劃包括各個(gè)新建通信接入間的產(chǎn)品類(lèi)型、業(yè)務(wù)容量、投產(chǎn)時(shí)間、規(guī)劃號(hào)碼段、所需要的主要設(shè)備的投資預(yù)算等。該模塊同時(shí)提供數(shù)據(jù)輸出（導(dǎo)出為 EXCEL 數(shù)據(jù)表）和報(bào)表打印功能。各個(gè)子模塊的功能如下：(1) 經(jīng)營(yíng)預(yù)算模塊：將通信經(jīng)營(yíng)指標(biāo)分解到各個(gè)月份、各個(gè)營(yíng)銷(xiāo)中心、各類(lèi)產(chǎn)品。15 / 76 市場(chǎng)調(diào)查 市 場(chǎng) 調(diào) 查 項(xiàng) 目 管 理 市 場(chǎng) 調(diào) 查 信 息 處 理 市 場(chǎng) 調(diào) 查 信 息 管 理 圖 23 市場(chǎng)調(diào)查功能模塊結(jié)構(gòu)圖2. 市場(chǎng)規(guī)劃市場(chǎng)規(guī)劃模塊包括年度通信經(jīng)營(yíng)預(yù)算的制定，以及落實(shí)預(yù)算計(jì)劃相應(yīng)的通信經(jīng)營(yíng)措施。市場(chǎng)調(diào)查的內(nèi)容、時(shí)間規(guī)定由市場(chǎng)調(diào)查項(xiàng)目負(fù)責(zé)人員發(fā)布，調(diào)查信息的分析、調(diào)查報(bào)告的編寫(xiě)由指定人員負(fù)責(zé)，通信市場(chǎng)信息的收集由各營(yíng)銷(xiāo)中心的相關(guān)人員負(fù)責(zé)按要求進(jìn)行登記錄入。由于各營(yíng)銷(xiāo)中心所處區(qū)域不同，用戶(hù)消費(fèi)習(xí)慣和競(jìng)爭(zhēng)信息均有差異，及時(shí)收集各區(qū)域市場(chǎng)信息并進(jìn)行分析，對(duì)公司制定適用營(yíng)銷(xiāo)策略至關(guān)重要。系統(tǒng)管理模塊主要實(shí)現(xiàn)系統(tǒng)的訪問(wèn)控制管理及數(shù)據(jù)備份和恢復(fù)功能。通信經(jīng)營(yíng)管理工作主要包括以下項(xiàng)目的管理：①對(duì)通信經(jīng)營(yíng)區(qū)域的市場(chǎng)情況調(diào)查；②區(qū)域通信市場(chǎng)中短期的市場(chǎng)規(guī)劃及經(jīng)營(yíng)預(yù)算；③按照通信市場(chǎng)規(guī)劃開(kāi)展的通信工程建設(shè)，對(duì)通信工程建設(shè)的進(jìn)度跟蹤和竣工信息的管理；④在通信工程投產(chǎn)后，對(duì)通信設(shè)施及接入網(wǎng)點(diǎn)營(yíng)銷(xiāo)過(guò)程各類(lèi)信息的管理；⑤向通信客戶(hù)提供 24 小時(shí)在線的業(yè)務(wù)咨詢(xún)、用戶(hù)投訴和業(yè)務(wù)受理等服務(wù)，對(duì)通信服務(wù)信息進(jìn)行登記、處理和分析；⑥每月定期對(duì)通信經(jīng)營(yíng)工作進(jìn)行分析，對(duì)本期經(jīng)營(yíng)過(guò)程的存在問(wèn)題進(jìn)行總結(jié)、分析，提出改進(jìn)措施。結(jié)合對(duì)應(yīng)用系統(tǒng)工作模式和軟件應(yīng)用平臺(tái)的考慮，本系統(tǒng)的配置和支撐環(huán)境見(jiàn)表 21 和圖 21。3. 硬件環(huán)境通信經(jīng)營(yíng)信息管理系統(tǒng)是局域網(wǎng)環(huán)境下的計(jì)算機(jī)系統(tǒng)。對(duì)于其它子網(wǎng)，則是按機(jī)構(gòu)設(shè)置來(lái)劃分 VLAN，各部門(mén)內(nèi)部的用戶(hù)節(jié)點(diǎn)都在各自的 VLAN 內(nèi)，互不侵?jǐn)_。 (3) 應(yīng)用基于交換機(jī)端口的 VLAN 劃分方法，克服以太網(wǎng)的廣播問(wèn)題。(1) 對(duì)網(wǎng)絡(luò)進(jìn)行分段控制，利用基于中心交換機(jī)的訪問(wèn)控制功能和三層交換功能 ，進(jìn)一步應(yīng)用物理分段與邏輯分段兩種方法，將可能的非法用戶(hù)與敏感的網(wǎng)絡(luò)資源相互隔離，防止可能的非法偵聽(tīng)。2. 網(wǎng)絡(luò)結(jié)構(gòu)通信經(jīng)營(yíng)信息系統(tǒng)利用汕頭公司內(nèi)部的數(shù)據(jù)通信網(wǎng)（DCN 網(wǎng)）作為通信平臺(tái)，采用快速交換以太網(wǎng)技術(shù)連接分布在揭陽(yáng)、潮州、汕頭三市各個(gè)營(yíng)銷(xiāo)中心的客戶(hù)端工作站。12 / 76系統(tǒng)在實(shí)現(xiàn)業(yè)務(wù)管理的同時(shí)，實(shí)現(xiàn)用戶(hù)的身份驗(yàn)證與權(quán)限控制，達(dá)到限制用戶(hù)的越權(quán)操作與防止非法用戶(hù)對(duì)系統(tǒng)的入侵。(3) 數(shù)據(jù)服務(wù)層完成數(shù)據(jù)的定義、維護(hù)、訪問(wèn)和更新工作，管理并響應(yīng)下層的數(shù)據(jù)的訪問(wèn)請(qǐng)求。(2) 業(yè)務(wù)服務(wù)層封裝業(yè)務(wù)過(guò)程，它響應(yīng)用戶(hù)服務(wù)層發(fā)來(lái)的請(qǐng)求，執(zhí)行符合業(yè)務(wù)規(guī)則的過(guò)程，通過(guò)數(shù)據(jù)接口層訪問(wèn)所需的數(shù)據(jù)，完成具體的應(yīng)用功能，包括一個(gè)面向?qū)ο蟮墓δ芊?wù)接口。所有用戶(hù)終端使用 WINDOWS 操作系統(tǒng)，服務(wù)端直接采用以數(shù)據(jù)庫(kù)管理系統(tǒng)為依托的三級(jí)結(jié)構(gòu)：(1) 用戶(hù)服務(wù)層提供與用戶(hù)交互的界面，用來(lái)表示信息和收集數(shù)據(jù)，利用應(yīng)用服務(wù)層提供的功能完成用戶(hù)請(qǐng)求。通信經(jīng)營(yíng)信息系統(tǒng)的軟件結(jié)構(gòu)和工作模式、網(wǎng)絡(luò)結(jié)構(gòu)及硬件配置如下。對(duì)于以后通信經(jīng)營(yíng)管理工作的細(xì)分和通信業(yè)務(wù)的擴(kuò)展，訪問(wèn)控制子系統(tǒng)以公共的管理接口，支持通信經(jīng)營(yíng)信息系統(tǒng)對(duì)業(yè)務(wù)功能模塊的擴(kuò)展。為了對(duì)信息的流轉(zhuǎn)進(jìn)行有效控制，對(duì)用戶(hù)的訪問(wèn)權(quán)限進(jìn)行管理，在通信經(jīng)營(yíng)信息系統(tǒng)中，訪問(wèn)控制子系統(tǒng)也以模塊化的形成進(jìn)行開(kāi)發(fā)，作為獨(dú)立的應(yīng)用組件，以統(tǒng)一的訪問(wèn)控制接口，為各個(gè)業(yè)務(wù)功能模塊提供訪問(wèn)控制管理，各個(gè)業(yè)務(wù)功能模塊通過(guò)接口與訪問(wèn)控制系統(tǒng)交互，共同利用訪問(wèn)控制子系統(tǒng)提供的授權(quán)信息，管理和設(shè)置內(nèi)部各個(gè)對(duì)象的可用或可視狀態(tài)。根據(jù)通信業(yè)務(wù)的發(fā)展和公司對(duì)通信經(jīng)營(yíng)工作的分類(lèi)，通信經(jīng)營(yíng)信息系統(tǒng)的功能按業(yè)務(wù)模塊進(jìn)行劃分，各項(xiàng)業(yè)務(wù)的管理系統(tǒng)作為獨(dú)立的功能組件開(kāi)發(fā)，并統(tǒng)一接口，相互之間通過(guò)接口進(jìn)行通信。在通信經(jīng)營(yíng)信息系統(tǒng)中，信息敏感度高，不同級(jí)別、不同崗位的人對(duì)信息有不同的訪問(wèn)需求，合理的授權(quán)策略是充分發(fā)揮通信經(jīng)營(yíng)信息系統(tǒng)實(shí)際價(jià)值的關(guān)鍵。通信經(jīng)營(yíng)管理涉及經(jīng)營(yíng)預(yù)算、銷(xiāo)售計(jì)劃、市場(chǎng)規(guī)劃、市場(chǎng)調(diào)查、工程立項(xiàng)、工程審批、工程建設(shè)、工程驗(yàn)收、營(yíng)銷(xiāo)準(zhǔn)備、營(yíng)銷(xiāo)管理、客戶(hù)服務(wù)、經(jīng)營(yíng)分析等各項(xiàng)工作，信息量大，利用計(jì)算機(jī)技術(shù)對(duì)通信經(jīng)營(yíng)信息的處理、匯總、分析、統(tǒng)計(jì)，能夠有效地提高信息處理的效率，在公司的各部門(mén)、各單位間實(shí)現(xiàn)可靠的信息共享，為領(lǐng)導(dǎo)提供準(zhǔn)確、及時(shí)的經(jīng)營(yíng)決策信息。 通信經(jīng)營(yíng)信息系統(tǒng)的需求通信經(jīng)營(yíng)信息系統(tǒng)主要是利用計(jì)算機(jī)系統(tǒng)對(duì)涉及通信經(jīng)營(yíng)過(guò)程的各類(lèi)信息進(jìn)行處理。生產(chǎn)單位可以根據(jù)業(yè)務(wù)需要成立，也可根據(jù)業(yè)務(wù)需要合并。對(duì)于通信經(jīng)營(yíng)工作，組織管理有明顯的特點(diǎn)：1. 公司按部門(mén)為單位對(duì)員工進(jìn)行管理，一個(gè)部門(mén)就是公司的一個(gè)管理單元，員 工在招聘后都是被分派到相應(yīng)部門(mén)后，才承擔(dān)一定的工作職責(zé)。公司各部門(mén)需要的人員由綜合部統(tǒng)一招聘、統(tǒng)一培訓(xùn)，按計(jì)劃分配，人員分配到各部門(mén)后，日常的管理由各部門(mén)負(fù)責(zé)。對(duì)于通信經(jīng)營(yíng)管理的公共工作，包括整體的市場(chǎng)規(guī)劃、資費(fèi)的管理、產(chǎn)品的管理、工程建設(shè)的管理、物資的調(diào)配、服務(wù)的支持則是由公司的專(zhuān)業(yè)部門(mén)負(fù)責(zé)。 通信經(jīng)營(yíng)的管理特點(diǎn)作為一個(gè)通信市場(chǎng)后進(jìn)入者，汕頭公司沒(méi)有向社會(huì)提供全面服務(wù)的義務(wù)，通信9 / 76業(yè)務(wù)的經(jīng)營(yíng)主要由市場(chǎng)效益決定，在有經(jīng)濟(jì)效益的區(qū)域，公司就投資建設(shè)接入資源，沒(méi)有效益的區(qū)域就暫不進(jìn)入。為便于對(duì)通信經(jīng)營(yíng)工作的管理，管理部門(mén)通常需要了解每個(gè)工作日各個(gè)區(qū)域的經(jīng)營(yíng)情況，并定期對(duì)公司經(jīng)營(yíng)的總體情況進(jìn)行分析，匯總競(jìng)爭(zhēng)信息，及時(shí)制定合適的資費(fèi)策略和產(chǎn)品策略，促進(jìn)通信業(yè)務(wù)的發(fā)展。 首先，營(yíng)銷(xiāo)人員須對(duì)當(dāng)?shù)厝宋摹⒌乩?、?jīng)濟(jì)和競(jìng)爭(zhēng)情況進(jìn)行調(diào)查，收集主要市場(chǎng)區(qū)域的用戶(hù)分布、消費(fèi)特點(diǎn)、競(jìng)爭(zhēng)情況，對(duì)區(qū)域的通信潛力和業(yè)務(wù)需求進(jìn)行分析，提出在區(qū)域進(jìn)行業(yè)務(wù)拓展的可行性；其次，營(yíng)銷(xiāo)人員根據(jù)調(diào)查結(jié)果，就可行的經(jīng)營(yíng)計(jì)劃提出相應(yīng)的工程建設(shè)計(jì)劃，并進(jìn)行立項(xiàng)申請(qǐng)，立項(xiàng)申請(qǐng)須經(jīng)過(guò)公司決策人員的審核。目前，汕頭公司向用戶(hù)提供的服務(wù)是利用有線或無(wú)線的通信網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)。通過(guò)使用訪問(wèn)規(guī)則對(duì)安全策略進(jìn)行描述，利用訪問(wèn)控制機(jī)構(gòu)實(shí)現(xiàn)多種安全策略。系統(tǒng)利用訪問(wèn)規(guī)則對(duì)安全策略進(jìn)行描述，利用不變的安全機(jī)構(gòu)實(shí)現(xiàn)多變的安全策略。 論文主要研究工作和組織結(jié)構(gòu)本文對(duì)通信經(jīng)營(yíng)信息系統(tǒng)基于角色訪問(wèn)控制技術(shù)的應(yīng)用進(jìn)行研究，旨在利用基于角色訪問(wèn)控制技術(shù)，建立適應(yīng)公司通信經(jīng)營(yíng)信息系統(tǒng)管理策略的訪問(wèn)控制機(jī)構(gòu)，為通信經(jīng)營(yíng)信息的安全管理提供按需授權(quán)的訪問(wèn)控制系統(tǒng)。但是由于應(yīng)用系統(tǒng)的千變?nèi)f化，很難有固定的、通用的應(yīng)用系統(tǒng)安全訪問(wèn)控制方法。一些比較通用的應(yīng)用系統(tǒng)，可以通過(guò)一些專(zhuān)用的應(yīng)用系統(tǒng)的訪問(wèn)控制系統(tǒng)完成其功能。防火墻是最常用的邊界訪問(wèn)控制設(shè)備。邊界訪問(wèn)控制系統(tǒng)用來(lái)解決內(nèi)外網(wǎng)之間、內(nèi)部子網(wǎng)之間的訪問(wèn)控制，可實(shí)現(xiàn)信息系統(tǒng)的安全域劃分，實(shí)現(xiàn)不同安全域的隔離及訪問(wèn)控制，能夠配置成分布式控制和集中管理?，F(xiàn)在的操作系統(tǒng)大多數(shù)是 CC2 級(jí)，安全操作系統(tǒng)可以達(dá)到 B1 級(jí)。6 / 76 訪問(wèn)控制研究的方向目前對(duì)于訪問(wèn)控制技術(shù)的研究主要在三個(gè)方面：操作系統(tǒng)本身的訪問(wèn)控制、邊界訪問(wèn)控制、應(yīng)用系統(tǒng)的訪問(wèn)控制。 網(wǎng)絡(luò)服務(wù)器的安全控制是由安裝的網(wǎng)絡(luò)操作系統(tǒng)負(fù)責(zé)，但這些訪問(wèn)控制的機(jī)制比較粗糙。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派的有效權(quán)限。 當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問(wèn)屬性，屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。用戶(hù)在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶(hù)還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。訪問(wèn)控制機(jī)制中明確不同用戶(hù)組可以訪問(wèn)哪些目錄、子目錄、文件和其他資源等，指定不同用戶(hù)對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作等，這些機(jī)制的設(shè)定可以通過(guò)訪問(wèn)控制表來(lái)實(shí)現(xiàn) [19]。但是由于用戶(hù)名和口令驗(yàn)證方式的易攻破性，目前很多網(wǎng)絡(luò)都開(kāi)始采用基于數(shù)字證書(shū)的驗(yàn)證方式 [18]?；谟脩?hù)名和口令的用戶(hù)入網(wǎng)訪問(wèn)控制可分為三個(gè)步驟：用戶(hù)名的識(shí)別與驗(yàn)證、用戶(hù)口令的識(shí)別與驗(yàn)證和用戶(hù)賬號(hào)的缺省限制檢查 [17]。由于應(yīng)用目的不同，它們的控制手段也各不相同。在 RBAC 的應(yīng)用中，定義眾多角色和訪問(wèn)權(quán)限以及它們之間的關(guān)系也是一項(xiàng)非常復(fù)雜的工作，但由于在滿(mǎn)足目前大量存在的商業(yè)和政府部門(mén)安全需求方面顯示了極大的優(yōu)勢(shì)，RBAC 在信息系統(tǒng)的安全管理中仍得到廣泛的應(yīng)用?；诮巧L問(wèn)控制是一種有效而靈活的安全機(jī)制，其策略無(wú)關(guān)性需要用戶(hù)自己定義適合本領(lǐng)域的安全策略。角色是一組訪問(wèn)權(quán)限的集合，或者指一個(gè)組織機(jī)構(gòu)的一個(gè)崗位或職務(wù) [13]。近年來(lái)各國(guó)學(xué)者對(duì)訪問(wèn)控制技術(shù)進(jìn)行了大量的研究 [9,10]，探討新的訪問(wèn)控制技術(shù)以適應(yīng)當(dāng)前計(jì)算機(jī)信息系統(tǒng)的安全需求，基于角色的訪問(wèn)控制（RoleBased Access Control，簡(jiǎn)稱(chēng) RBAC）引起了廣泛的關(guān)注 [11]。隨著應(yīng)用領(lǐng)域有關(guān)的安全需求大量涌現(xiàn)和分布式技術(shù)的發(fā)展，要求計(jì)算機(jī)系統(tǒng)4 / 76的訪問(wèn)控制要立足于單位或部門(mén)的網(wǎng)絡(luò)來(lái)設(shè)計(jì)和實(shí)施，甚至還要考慮其開(kāi)放性，以便于協(xié)作單位間的系統(tǒng)互連，這使得其安全需求無(wú)法預(yù)測(cè) [8]。T 和 MIT（麻省理工學(xué)院）聯(lián)合開(kāi)發(fā)的安全操作系統(tǒng) Multics 系統(tǒng)中 [6]，在 1983 年美國(guó)國(guó)防部的可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)中被用作 B 級(jí)安全系統(tǒng)的主要評(píng)價(jià)標(biāo)準(zhǔn)之一 [7]。強(qiáng)制訪問(wèn)控制安全性較自主方式的訪問(wèn)控制高，但靈活性相對(duì)較差。自主訪問(wèn)控制最早出現(xiàn)在七十年代初期的分時(shí)系統(tǒng)中，它是多用戶(hù)環(huán)境下最常用的一種訪問(wèn)控制技術(shù)，在目前流行的 UNIX 類(lèi)操作系統(tǒng)中被普遍采用。很多操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)中通常采用自主訪問(wèn)控制策略，規(guī)定了訪問(wèn)資源的用戶(hù)或應(yīng)用的權(quán)限 [5]。計(jì)算機(jī)信息系統(tǒng)訪問(wèn)控制產(chǎn)生于 60 年代，隨后出現(xiàn)了自主型訪問(wèn)控制（Discretionary Access Control,簡(jiǎn)稱(chēng) DAC）和強(qiáng)制型訪問(wèn)控制（ Mandatory Access Control，簡(jiǎn)稱(chēng) MAC）兩種重要的訪問(wèn)控制技術(shù) [4]，在多用戶(hù)系統(tǒng)中得到了廣泛的應(yīng)用，對(duì)計(jì)算機(jī)信息系統(tǒng)的安全做出了很大貢獻(xiàn)。 訪問(wèn)控制規(guī)定主體對(duì)客體訪問(wèn)的限制。但與此同時(shí)，信息安全管理存在的隱患也日益突出，相關(guān)的安全技術(shù)成為人們研究的3 / 76熱點(diǎn) [1]。中國(guó)網(wǎng)通在南方的通信公司，其經(jīng)營(yíng)管理在公司發(fā)展的過(guò)程中將會(huì)出現(xiàn)類(lèi)似的問(wèn)題，利用自身強(qiáng)大的通信網(wǎng)絡(luò)，在通信經(jīng)營(yíng)信息系統(tǒng)中引入適合業(yè)務(wù)管理的訪問(wèn)控制機(jī)制和訪問(wèn)控制策略，對(duì)南方各通信公司的業(yè)務(wù)發(fā)展和經(jīng)營(yíng)管理將有較好的促進(jìn)作用。訪問(wèn)控制系統(tǒng)以獨(dú)立的組件開(kāi)發(fā)，通過(guò)接口為各業(yè)務(wù)模塊提供訪問(wèn)控制管理。由于經(jīng)營(yíng)管理工作分散，系統(tǒng)在實(shí)現(xiàn)按需授權(quán)的同時(shí)，應(yīng)能較好地適應(yīng)業(yè)務(wù)分散管理的需要。一方面，由于公司成立不久，組織結(jié)構(gòu)存在較大的擴(kuò)張性，崗位的調(diào)整和人員的變動(dòng)較為頻繁，對(duì)系統(tǒng)的訪問(wèn)控制管理有較高要求。在日常的通信經(jīng)營(yíng)管理中，不同類(lèi)型的業(yè)務(wù)信息在處理過(guò)程的不同時(shí)段需要由不同部門(mén)中不同的人進(jìn)行處理。利用計(jì)算機(jī)信息系統(tǒng)對(duì)通信經(jīng)營(yíng)信息進(jìn)行集中管理、跟蹤分析，及時(shí)有效地整合各類(lèi)經(jīng)營(yíng)信息，提供系統(tǒng)、全面的分析結(jié)果，用以指導(dǎo)公司的經(jīng)營(yíng)決策，服務(wù)于公司的經(jīng)營(yíng)管理。隨著業(yè)務(wù)的發(fā)展，面對(duì)競(jìng)爭(zhēng)激烈的市場(chǎng)，通信經(jīng)營(yíng)業(yè)務(wù)資料的低效處理和片面使用，導(dǎo)致公司經(jīng)營(yíng)決策滯后，嚴(yán)重影響銷(xiāo)售計(jì)劃的完成。與此同時(shí)，汕頭公司內(nèi)部通信經(jīng)營(yíng)過(guò)程的各類(lèi)信息，如市場(chǎng)調(diào)研信息、工程建設(shè)信息、營(yíng)銷(xiāo)過(guò)程的各類(lèi)業(yè)務(wù)資費(fèi)信息及資源情況、經(jīng)營(yíng)分析資料、客戶(hù)服務(wù)信息等無(wú)法利用省公司現(xiàn)有的信息平臺(tái)進(jìn)行處理，大量的業(yè)務(wù)信息仍停留于單機(jī)手工處理方式，借助電子郵件系統(tǒng)共享。營(yíng)銷(xiāo)中心則分散在汕頭、揭陽(yáng)、潮州三市的不同區(qū)域，通常是根據(jù)通信業(yè)務(wù)發(fā)展的需要進(jìn)行設(shè)立。 汕頭分公司總部在汕頭市，下設(shè)四個(gè)專(zhuān)業(yè)部門(mén)和六個(gè)營(yíng)銷(xiāo)中心。由于業(yè)務(wù)管理的需要，公司內(nèi)部的信息化建設(shè)在公司成立后立即得到快速發(fā)展，在半年時(shí)間內(nèi)，包括業(yè)務(wù)支撐系統(tǒng)、內(nèi)部辦公系統(tǒng)等信息管理系統(tǒng)相繼建立。中國(guó)網(wǎng)通汕頭分公司是中國(guó)網(wǎng)通廣東分公司在潮汕的分支機(jī)構(gòu)，負(fù)責(zé)廣東網(wǎng)通在潮汕通信市場(chǎng)的經(jīng)營(yíng)工作。針對(duì)業(yè)務(wù)子系統(tǒng)安全策略多樣和多變的特點(diǎn)，訪問(wèn)控制系統(tǒng)利用訪問(wèn)規(guī)則對(duì)訪問(wèn)控制策略進(jìn)行描述，通過(guò)不變的安全機(jī)構(gòu)實(shí)現(xiàn)多變的安全策略。針對(duì)通信經(jīng)營(yíng)過(guò)程主體在不同的業(yè)務(wù)狀態(tài)需要不同的訪問(wèn)授權(quán)的特點(diǎn)，系統(tǒng)根據(jù)業(yè)務(wù)管理的需要，對(duì)權(quán)限進(jìn)行動(dòng)態(tài)管理，根據(jù)崗位職責(zé)劃分角色，利用角色的層次關(guān)系和角色約束，在訪問(wèn)控制管理中實(shí)現(xiàn)了職責(zé)分離和最小特權(quán)策略。由于部門(mén)多，管理分散，通信經(jīng)營(yíng)信息系統(tǒng)的安全管理需要實(shí)施多種安全策略。傳統(tǒng)的訪問(wèn)控制技術(shù)如自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制授權(quán)管理復(fù)雜，無(wú)法滿(mǎn)足系統(tǒng)的安全需求。I / 76摘 要中國(guó)網(wǎng)通汕頭分公司通信經(jīng)營(yíng)信息系統(tǒng)是一個(gè)大型分布式系統(tǒng)，用于公司通信經(jīng)營(yíng)業(yè)務(wù)信息的管理，涉及面廣，數(shù)據(jù)量大，信息敏感程度各不相同，系統(tǒng)對(duì)信息的安全管理有較高的要求。訪問(wèn)控制是實(shí)現(xiàn)信息系統(tǒng)安全的一項(xiàng)重要機(jī)制，通過(guò)實(shí)施訪問(wèn)控制，可以在信息系統(tǒng)中限制對(duì)關(guān)鍵資源的訪問(wèn)，防止非法用戶(hù)的侵入或合法用戶(hù)因不慎操作所造成的破壞。在通信經(jīng)營(yíng)信息系統(tǒng)的訪問(wèn)控制管理中，采用了基于角色的訪問(wèn)控制技術(shù)?；诮巧脑L問(wèn)控制技術(shù)，利用