随着计算机技术的不断发展,信息系统在企业中逐渐普及,而权限访问控制是解决企业信息系统安全一个关键方法,也是信息安全领域研究的热点。如何让合法用户安全、方便、快捷地访问特定的数据,同时拒绝非法访问,是企业信息系统中研究的一个重要问题,也是本论文的研究目的和意义所在。访问控制是用来保护系统资源免于被非法用户访问、更改、破坏的一项重要技术。它是企业信息系统中一项重要的环节,一个好的访问控制管理是信息系统成功的重要因素之一。本论文在对基于角色访问控制模型(Role Based Access Control,RBAC)研究基础上,对其进行扩展,引入了岗位与部门的概念,提出了一种改进的基于岗位与角色的访问控制模型—PRBAC(Position Role Based Access Control)模型,通过岗位与部门的操作,使得模型更加符合企业复杂的组织结构,贴近实际情况,方便用户对权限的操作。本文以海鼎多业态商业自动化系统(HDPOS5)为例,将改进的基于岗位与角色的访问控制模型应用到该系统中,更好的保证了系统的安全性。