随着计算机技术的发展与普及，许多企事业单位和管理机构都建立了自己的管理信息系统。在信息系统开发设计过程中，安全性能总是被放在首要的位置，成为信息系统生存的关键。构建企业级信息系统的安全模型已日益成为一个重要的研究领域。 本文以管理信息系统的安全要求为出发点，对信息安全模型及相关的信息安全技术展开了深入的研究，从授权的时限性方面对典型的RBAC96做了扩展，设计了一个具有时限的基于角色的访问控制模型。它是一个具有通用性的企业级信息系统的安全模型，由一系列组件构成，包括访问控制组件、身份验证组件及数据库加密组件。 访问控制组件用来实现对系统的安全访问，防止非法用户进入系统以及合法用户对系统资源的非法操作。本文将访问权限与角色相联系，通过给用户分配适合的角色，让用户与访问权限相联系。在本模型中，用户的授权是具有时限性的，用户通过身份认证后，系统只激活在时限内的权限，将此作为用户能否访问系统资源的依据。而且在本模型中，实行三权分立方案，将管理权限分割给系统管理员，安全管理员和应用管理员，这三个角色各行其责，相互监督制约。 本文从系统运行效率和安全性出发，采用两种认证方式实现对不同级别用户的身份认证，即基于摘要口令的认证方式和基于椭圆曲线的认证方式。后者的安全级别更高，其安全性是基于解椭圆曲线离散对数问题的困难度。 在数据库加密方面，通过对各种加密算法的分析比较，选择综合性能比较好的3DES算法结合子密钥技术对数据库中敏感信息进行加密，并采用二级密钥工作方式，主密钥用于生成工作密钥，用工作密钥对数据进行加密，实现密钥的动态管理。数据的加密解密都在客户端进行，保证了数据传输的安全。 最后通过一个实际的应用系统——基于B／S的高校信息统计管理系统，验证了本模型的实用性和通用性。