近年来，随着企业信息系统的广泛使用，系统安全问题受到越来越多的关注，而访问控制技术是解决安全问题的关键。目前我国大部分企业均采用传统的访问控制技术，自主访问控制技术(DAC)和强制访问控制技术(MAC)，均存在一定弊端，有其局限性。本文对企业信息系统中采用基于角色的安全访问控制(RBAC)技术进行了理论研究和实践探讨。 本文从理论上研究了RBAC的概念模型，并与传统的安全访问控制相比较，论证了在企业信息系统中采用RBAC的必要性。通过分析企业信息系统的特点和安全需求，指出了RBAC概念模型的不足，提出了RBAC的改进模型。通过在建立会话管理时，加入对角色的动态限制，控制了角色的可访问数据范围，以使模型更适应企业的多层次结构。根据RBAC改进模型，作者在分析企业信息系统的安全需求和组织特点的基础上，制定了企业信息系统RBAC的实现方案，对角色划分、权限分配、会话管理、RBAC管理进行了方案设计，并论述了方案的特点和优势。最后作者以湖南省科委重点立项项目《水口山有色金属有限责任公司CIMS系统开发》为例，具体阐述了该系统基于角色的安全访问控制方案的实现，论证了设计方案在企业信息系统中的可行性。