在当今信息化社会迅速发展的时代，企业信息化极快地进入社会各个阶层，得到了大范围地应用，与此同时产生的信息安全问题也受到越来越广泛地重视。其中访问控制技术在企业信息化中也运用得越来越多。　　 在现代企业环境中，企业的组织结构不断变化，可能存在着频繁的工作岗位整合和细分，总体而言，怎样对不断变更的用户进行高效便捷的管理，以及怎样控制不同用户在限定范围内对企业资源进行有效地访问是极其重要的。当前企业信息管理系统中最常用的两种访问控制方式：基于角色的访问控制(RBAC)和基于权限的访问控制(TBAC)，各自都有不同的特点，适用环境也相对不同。　　 基于角色的访问控制最大的优点在于大大简化信息系统的授权管理方面。基于角色的访问控制模型大大简化了对权限的管理，但随之而来的问题是在角色或权限频繁变化的企业中显得不够灵活，单一的基于角色的访问控制模型已经不能满足现代企业灵活多变的组织结构的要求。　　 而另一种被广为使用的访问控制模型TBAC(基于权限的访问控制模型)较为适用于处理工作流中有时效性和流动性的数据。由于基于权限的访问控制模型没有将角色与任务划分开来，故而不支持角色的层次等级关系，在管理上存在权限的混乱和不方便。　　 在以上基于角色的访问控制模型和基于权限的访问控制模型都存在一定缺陷的情况下，我们提出了两种方式结合使用的途径，可以互相弥补各自的不足之处，不仅管理简单灵活更大大减轻了复杂度。混合的访问控制模型既具有基于角色的访问控制模型中方便管理、利于规划的优势，即在管理员进行用户的管理时可以通过角色分层来实现用户对数据访问的控制，而当企业组织结构临时产生变化时又能够发挥出基于权限的访问控制模型的优势，不使用角色这个概念而直接用权限对用户进行定义，对于突发性的用户权限改变能够灵活地实现控制，而正弥补了基于角色的访问控制模型的不足之处。　　 本论文在讨论基于角色和权限的混合访问控制的基础上也融入了DNN平台技术，将DNN下的角色和权限的管理与混合的访问控制管理结合起来使用，对门户网站平台下的应用系统权限控制有一定的参考价值。