管理层声明书范文第1篇

【关键词】胎儿；畸形；超声检查

【文章编号】1004-7484（2014）07-4599-01

随着超声诊断技术不断发展，人们对胎儿畸形产前超声检查寄予无限期望，这是可以理解的。然而应该客观地认识到，超声作为影像学检查具有仪器的局限性和依赖性，超声医师个人经验和专业知识也是有限的，再加上胎儿本身羊水多少、母体方面的许多因素，都会影响胎儿畸形的产前检出。美国妇产科医师协会强调“不管使用哪种超声设备，亦不管妊娠在哪一阶段#即使让最有名的专家进行彻底的检查，期望所有的胎儿畸形都被检测出来是不现实也是不合情理的”。

我国是人口多、区域广、城乡医疗差别大的发展中国家，不可能要求所有医院的医师都开展类似美国RB77Y检查，明确诊断各种各样的胎儿畸形。然而，分多个层次对胎儿进行检查并将我国产前超声检查所包括的内容及检查报告的书写加以规范十分重要。 至于制定产前超声检查规范#也应实事求是，因地制宜。例如广大乡镇卫生院或基层计划生育（服务所）工作人员，工作条件及仪器较差，而且收费低，就不能和三级医院或妇产专科医院具有产前诊断资格者和使用高档彩色多普勒超声仪检查同等要求。可见，超声检查内容和书写规范还应因目的要求而异。我国目前已开始对产科超声检查人员和机构进行严格的规定，卫生部已出台了《产前诊断技术管理办法》对产前诊断进行规范管理。这些规定和《办法》将有力地推动胎儿产前超声检查的规范化进程和实施。

1 产科超声检查层次（级别）

根据我国具体情况和临床要求，产科超声检查分为以下4 个层次（级别）

1.1 一般产科超声检查（第1层次）：主要对胚胎和胎儿进行大致的生长发育评估，检查内容仅要求进行双顶径、股骨长径及腹围的测量，判断胎儿是否存活，胎盘位置、胎位及羊水情况等。该级别的超声检查不是以检测胎儿畸形为目的的超声检查#但对产科临床仍能提供一些有意义的诊断信息，适合条件较差的基层医院或条件较好的医院已进行过系统超声检查的孕妇。

1.2 常规产科超声检查（第2层次）：除要求完成一般产科超声检查内容外，还应对胎儿主要脏器进行形态学观察，如颅内某些重要结构，四腔心切面，腹腔内肝、胃、肾等脏器的观察以及对胎儿严重致死性畸形进行粗略的筛查。卫生部《产前诊断技术管理办法》中规定于妊娠18-24周应诊断的致死性畸形包括无脑儿、严重的脑膨出、严重的开放性脊柱裂、严重胸及腹壁缺损、内脏外翻、单腔心、致死性软骨发育不全。

1.3 系统胎儿超声检查（第3 层次）：该层次检查要求很高，对超声医师、仪器、设备、检查所需时间、检查内容、检查时孕周大小均有严格要求。不是所有超声医师、所有医院都能进行该层次超声检查。 我们建议第3层次超声检查应在具有产前诊断资格的医院、由取得产前超声诊断资格的超声医师进行检查，但并不排斥其他医院进行第3层次超声检查.通过该层次超声检查，达到提高胎儿畸形检出率，降低严重缺陷儿出生#提高我国人口素质的目的。 系统检查所使用的仪器要求分辨力高，图像清晰，我们推荐最好用高档彩色多普勒超声仪进行检查。

1.4 针对性超声检查（第4层次）：该层次检查包括胎儿超声心动图检查。通常在前3 层次检查的基础上开展，针对某一特殊要求或目的进行详细检查，胎儿超声心动图检查属此范畴。

2 报告书写要求及注意事项

产前超声检查报告书写应当规范化。同时，必须强调要实事求是：能看什么，看到什么，未看到什么，均应该按照每个层次的超声检查内容要求作详细记录。要求观察的某项或多项内容因某种原因而显示不清或不能做出判断时，应在报告中明确写明，检查结果应如实告诉孕妇。 比如，这次检查没有检查到胎儿唇部，报告中就应实事求是地注明胎儿唇部因什么原因显示不清（如因胎位）. 有条件者应留存相应的图片，以便下次复查比较。

3 系统胎儿超声检查

检查时间：适合在妊娠18-24 周内检查，超过此时期，胎儿颜面部、四肢、心脏等结构可能观察不完全或不能清晰显示；如果羊水极度过少、无羊水或羊水过多，胎儿的这些结构亦可能显示不清。

使用仪器：应使用高分辨力的彩色多普勒血流显像仪检查，一般黑白超声仪只适合进行前述常规超声检查内容，一般不用黑白超声仪进行系统胎儿超声检查。

检查内容：除包括上述常规超声检查内容以外，还应包括（1） 脊椎：观察脊柱的连续性、弯曲度、骨化程度；（2）头颅：颅骨结构、骨化程度等。 脑内结构包括大脑、大脑镰、侧脑室、第三脑室、丘脑、小脑、小脑蚓部、后颅窝池、第三脑室等结构，必要时显示脑部冠状切面显示胼胝体；（3） 颜面部：要求显示颜面部冠状切面，观察眼及眼眶、唇。颜面因胎位或其他因素显示不清者，应特别注明。 确诊颜面部畸形还应采用针对性检查方法。至少要在两个相互正交的切面上显示并印证，否则不能诊断；（4）心脏：要求按四腔心平面声束头侧偏转法探测胎儿心脏。 要求显示以下切面：四腔心切面：明确四腔心是否左右对称，四腔心结构有无异常，心脏中央“十” 字交叉是否存在，左、右房室连接是否异常；左、右心室流出道切面：观察大动脉的大小、形态#判断心室与大动脉的连接关系。 测量胎儿心率，并观察胎儿心律是否整齐，明确有无心律失常；（5） 胎儿腹部：要求检查胎儿胃、肝、肾、膀胱等器官。 确定有无大的腹裂，是否有脐膨出，是否有上述器官疝入胸腔！膈疝"，有无胸腹水，肠管是否有扩张；（6）胎儿肢体：要求按连续节段顺序追踪扫查法逐一追踪观察胎儿四个肢体及其内的长骨及手、足形态、结构、手与前臂的关系及手的姿势、足与小腿的关系。明确有无严重短肢畸形，有无肱骨、股骨、胫腓骨、尺桡骨等长骨严重畸形#但对手、足的严重畸形诊断要谨慎；（7）脐带观察：脐带内血管数目、脐带粗细、脐带绕颈、脐带囊肿等；（8）脐动脉血流：测量收缩期最大流速、舒张期最低流速、阻力指数、A/B比值；测量数据：BPD、HC、AC、FL、CER、HR、胎盘厚度、最大羊水深度、羊水指数。

针对性超声检查主要是在一般超声检查或常规超声和系统超声检查基础上才能进行，所针对的问题和目的可由临床医师提出或在前面3 种检查后提出。要明确某一具体类型的畸形，可以针对这一畸形进行针对性检查，也可以针对某些重要器官或畸形高发生率的器官进行针对性检查。但在妊娠晚期针对性超声检查也可能受到一些客观条件的限制，检查医师应实事求是地告知患者。

参考文献：

[1] 熊奕；王慧芳；林琪；吴瑛；佘志红；林琳华；；规范超声筛查胎儿脐膨出的价值[J]；中国超声医学杂志；2011年03期

管理层声明书范文第2篇

关键词：超声心动图；超声诊断；教学方法；教学效果

中图分类号：G71

文献标识码：A

我国有相当部分医生集中在基层医疗机构，如二级以下医院及部分县(区)二级医院、社区服务中心(站)、乡镇卫生院等，他们承担着重要的医疗任务。但是由于地域不同，医疗知识更新途径有限，医疗技术、服务水平参差不齐相对落后，特别是一些偏远山区及西部地区形势更为严峻，有些甚至根本得不到岗前培训及岗后继续教育。这些因素往往使得基层医疗队伍水平停滞不前，难以满足当地老百姓的医疗服务需求，迫使老百姓有病不得不前往医疗水平较发达城市，是造成普通百姓“看病难”、“看病贵”的重要原因之一。因此，在政府医改意见中，关于加强医药卫生队伍建设规划和加强基层医疗卫生队伍建设显得尤为重要。

首都医科大学附属临床教学医院在心脏及大血管疾病的诊断和治疗领域处于国内领先水平。超声心动图学是针对心脏和大血管疾病的诊断技术，是循环系统疾病影像诊断学科教学的重要内容之一。作为超声诊断专科医师，作者承担着大量针对临床医学生和基层进修医师的教学任务，结合多年的临床带教，对如何使超声心动图教学结合临床，融会贯通，达到较好的教学效果，培养和提高基层进修医师在本专业领域诊断水平进行探讨。

一、基础教学

超声诊断学作为一门影像学科，其作用是为疾病的临床诊断及治疗提供重要信息。帮助临床医生及时做出准确的临床诊断，尽早制定治疗方案，减少病人痛苦。超声诊断是为临床医生服务的，那么就需要尽可能全面地了解临床诊断的相关知识。

首先，基层来进修学习的医师应牢固掌握解剖学知识。超声诊断是以系统解剖、局部解剖和断面解剖为基础，观察心脏的位置、大小、形态及功能等方面，熟悉掌握与断面解剖相对应的正常心脏超声切面图。目前临床广泛使用的超声图像是二维图像，需要通过人脑对连续断面的图像组合才能获得脏器的完整立体形态，这需要检查人员有一定的空间想像力，而空间想像力需要以丰富的解剖知识为基础。

其次，学习和掌握各种心脏和大血管疾病的病理改变特点。根据超声图像反映的心脏结构和功能表现的特点，判断心脏是否有病变及病变的特征情况，作出初步诊断和鉴别诊断。

二、手法教学

操作手法在心脏超声诊断中起很重要的作用，手法决定图像的质量，决定能否提供足够的信息量支持诊断。在实践工作中，对于同一个病人，由于操作医师手法不一致，得到的切面就不一致，就会造成诊断意见的差别，甚至会导致误诊及漏诊。

首先，在教学中强调常规标准切面的显示，如四腔心切面必须横平竖直即二尖瓣与三尖瓣处于同一水平，四腔与心尖处于垂直状态，而非标准切面则可导致腔室的测量出现误差，进而影响正常的诊断；短轴切面要达到“圆”，短轴圆形各点的直径等长，而斜切易导致测量室壁厚度过厚。

其次，在手法教学中始终强调对任何一位患者进行超声心动图检查时，应按顺序扫查各个标准扫描切面，特别是易忽略的胸骨上窝切面、剑突下切面和左室短轴的心尖部切面，养成全面、细致的扫查习惯，以对疾病的诊断提供足够的信息。如一部分房间隔缺损在胸骨旁切面由于受回声失落及多普勒效应等多方面因素的影响不能显示，但剑突下切面可以减少这些干扰因素，很好地显示断端及过隔血流。而对于心尖部肥厚型心肌病，若不顺序显示左室短轴心尖部切面则有可能导致漏诊。

三、多媒体教学

心脏超声诊断学是一门形态学科，它强调从观察图像的角度来认识各种病变，理解病变的发生和发展规律，从而提示疾病的本质。心脏是一个不断运动的重要器官，理解心脏的正常做功过程，必须了解和掌握心脏的血流动力学变化。反之，如果诊断心脏结构和功能的异常，需要通过对大量典型病例的动态超声图像的感性认识，包括对心脏血流动力学改变的评估，才可能对该疾病的超声诊断要点有比较全面、正确的理解和掌握。利用计算机PPT形式进行部分内容的讲授，克服了单纯教师讲解的不能演示心脏结构和功能及血流动力学动态变化的困难与盲区，增加了学生学习的兴趣，并大大缩短了授课时间。多媒体技术有助于调动学生的主观能动思维；有助于使理论与实践相结合；有助于弥补示教病例不足的问题；有助于使复杂抽象的知识具体化、形象化，在很大程度上促进了学生对所学内容的正确理解和牢固掌握，对教学质量的提高很有帮助。因此，利用多媒体在心脏超声诊断学教学中起着非常重要的作用。

实现多媒体教学，首先，要求带教老师收集典型心脏疾病的超声资料，包括多种超声技术的动态和静态图像；其次，将相关的图像信息资料进行及时整理、储存、标注和备份。利用存储丰富、翔实的心脏超声诊断资源，将特殊病例通过光盘、磁盘存储后，建立了图像数据库及相应的多媒体教学课件，将视频、音频、图片、录像动画、文字等信息进行有机的整合，把它应用于教学中，结合临床信息现场教学，收到非常好的教学效果。

四、规范书写报告

规范超声心动报告的书写。书写超声心动诊断报告是心脏超声诊断工作中很重要的一部分，它以精准的专业术语，将正常以及异常所见如实地反映给临床。规范的超声报告是按照质量控制的要求，结合医师的临床经验，归纳总结出示范性、指导性的超声诊断报告。在书写超声诊断报告的过程中，可以学习并掌握不同疾病超声诊断的思路，这不仅是诊断的过程，更重要的是鉴别诊断的过程。在书写过程中，带教老师可以发现其中的错误以及不足，及时进行修改，可以使学生在书写报告的过程中得到进一步学习和提高。同时，还可以激发学生主动看书、主动学习的动力。

五、因材施教

管理层声明书范文第3篇

内部控制在企业的经营过程中起着非常重要的作用，许多国家和地区都从不同程度上对内部控制的设置以及对内部控制的评价提出了要求，其中最为典型的是美国审计鉴证准则(SSAE)第6号与台湾《公开发行公司建立内部控制实施要点》，要求企业对外界公众出具内部控制报告，并要求注册会计师对其进行审计，出具审计报告。本文就台湾地区的相关规定及做法作一介绍，目的在于能够对我国大陆注册会计师进行企业内部控制评价的相关规范之制定提供一些参考。

 

    按照台湾地区的《申请上市公司自行评估及会计师审查内部控制制度作业要点》的有关内容，会计师对内部控制进行审查，涉及到的规范条款包括以下几个方面：

 

内部控制的审查范围及审查期间 

    按照台湾地区的《申请上市公司自行评估及会计师审查内部控制制度作业要点》的有关内容，会计师审查的内部控制，其范围以与财务报道有关，及以与保障资产安全使资产不致在未经授权的情况下取得、使用及处分有关的内部控制制度为限。其中与保障资产安全使资产不致在未经授权的情况下取得、使用及处分有关的内部控制，主要是属于与营运有关的内部控制，也有些层面涉及到与财务报道或与法令遵循有关的内部控制。 

    按照台湾地区的《申请上市公司自行评估及会计师审查内部控制制度作业要点》的有关内容，会计师对内部控制的审查期间，应为与最近期经会计师签证的年度财务报表所涵盖的期间一致的一年；或最近期经会计师核阅(或签证)的半年度财务报表截止日前一年，二者应选择与应检送日期较近者。 

会计师对内部控制的审查准则 

    按照台湾地区的《申请上市公司自行评估及会计师审查内部控制制度作业要点》的有关内容，会计师对内部控制的审查准则包括： 

    1.一般准则。主要规定了会计师审查内部控制应具备的知识及训练、应有的公正及独立性、应有的职业谨慎等。2.外勤准则。主要规定了进行内部控制审查的规划、对助理人员的督导以及应获得对各组成要素形成意见时的足够的证据。3.报告准则。主要规定了内部控制审查报告所包括的内容，以及对内部控制所形成的几种审查意见形式。 

会计师对内部控制的审查程序 

    按照台湾地区的《申请上市公司自行评估及会计师审查内部控制制度作业要点》的有关内容，会计师对内部控制的审查程序包括： 

    1.规划。会计师在此阶段，主要应考虑各种诸如产业的性质、契约规定的内容、会计师的初步了解等因素来制定审查规划。2.取得对内部控制的了解。会计师对内部控制的了解是评估内部控制设计是否适当的基础。会计师应通过询问、检视书面文件及观察等方式来了解企业的内部控制。3.评估内部控制设计的适当性。会计师应通过评估企业内部控制整体能否达到某一目标，来评估内部控制设计的适当性，而不是某一特定内部控制活动是否失当。4.测试及评估内部控制执行的有效性。会计师应就内部控制执行过程，进行有关的测试，以归集与内部控制执行有关的充分适当的证据，以评估内部控制的有效性。 

会计师对内部控制的审查报告 

    按照台湾地区的《申请上市公司自行评估及会计师审查内部控制制度作业要点》，会计师在审查过程中，如果没有须强调的事项，会计师出具的内部控制审查报告分为以下几种类型： 

    1.无保留意见(I)。当符合下列条件时，会计师可以出具无保留意见(I)的审查报告：

 

    (1)与财务报道有关的内部控制，以及与保障资产安全使资产不致在未经授权的情况下取得、使用及处分有关的内部控制制度，无重大缺失。(2)管理阶层针对与财务报道有关的内部控制，以及与保障资产安全使资产不致在未经授权的情况下取得、使用及处分有关的内部控制提出声明。(3)管理阶层针对内部控制设计具有适当性及执行具有有效性提出声明。(4)管理阶层的声明是允当的。(5)会计师已经依据上述作业要点中的审查准则进行审查，并已经归集到足够的证据。(6)没有须强调的事项。 

    上述条件主要强调了会计师执行的审查程序、审查结论以及管理当局的声明书。 

    2.无保留意见(II)。当符合下列条件时，会计师应出具无保留意见(II)的审查报告：

 

    (1)与财务报道有关的内部控制，或与保障资产安全使资产不致在未经授权的情况下取得、使用及处分有关的内部控制，有重大缺失。(2)其他条件同上述的(2)—(6)。 

    3.否定意见。当符合下列条件时，会计师应当出具否定意见的审查报告： 

    (1)与财务报道有关的内部控制，或与保障资产安全使资产不致在未经授权的情况下取得、使用及处分有关的内部控制，有重大缺失。(2)管理阶层的声明未指出上述重大缺失，致使管理阶层的声明不允当。(3)管理阶层针对内部控制设计具有适当性及执行具有有效性提出声明。(4)会计师已经依据上述作业要点中的审查准则进行审查，并已经归集到足够的证据。(5)没有须强调的事项。 

    4.保留意见。当符合下列条件时，会计师应出具保留意见的审查报告： 

    (1)会计师的审查范围受到限制，证据不足，故会计师不知道某种与财务报道有关的内部控制，以及与保障资产安全使资产不致在未经授权的情况下取得、使用及处分有关的内部控制，是否有重大缺失，也不知道被审查的公开发行公司的声明是否全面允当。(2)会计师未执行的审查程序，尚未重大到令会计师须对全部与财务报道有关的内部控制，及与保障资产安全使资产不致在未经授权的情况下取得、使用及处分有关的内部控制，出具无法表示意见的程序，换言之，会计师所归集到的证据就整体而言，属于足够，但就该特定部分而言，则有不足。(3)管理阶层针对内部控制设计具有适当性及执行具有有效性提出声明。(4)没有须强调的事项。 

    5.无法表示意见。当符合下列条件时，会计师应当出具无法表示意见的审查报告： 

管理层声明书范文第4篇

    水利声像档案的记录载体主要是录音录像带等磁性材料和光盘等感光材料,这些载体一方面具有体积小、存储量大,便于携带保存和利用的功能,另一方面也因为其特殊材质,对保管提出了更为苛刻的要求。但是目前很多档案保管不科学,主要表现为:1.保管条件不合格。受记录载体特殊材质所限,声像档案保管条件要求比传统文字档案更严格。但是目前基层水利单位档案保管条件普遍不合格,大多是将声像档案同其他文件档案一同混存在文书柜中,没有任何防磁防光等声像档案所必须的保存条件。这种简陋保管条件下,一些声像档案寿命受损,如照片褪色变黄、底片曝光变质和光盘受潮无法读取,重要记录丢失。2.定期复检频率低声像档案材质的特殊性决定其损耗率超过纸质档案,如光盘每读取一次就磨损一次,录音带每查看一次就消一点儿磁,为了满足人们查阅,管理者需要定期对声像档案进行复检。但多数基层声像档案管理部门对定期复检声像资料没概念,采取放任自流的态度,不检查也不维护。

    加强水利声像档案管理的几点思考:

    (一)大力宣传,增强声像档案管理意识加强声像档案管理首先要积极争取各级领导支持,加大声像档案宣传力度,改变水利单位重建设轻档案,重文字轻声像的传统思想,为声像档案管理营造出良好的工作氛围。在此基础上,通过多种激励手段促使各部门工作人员积极参与到素材收集、归档、整理和利用的具体管理工作中,让他们切实意识到声像档案方便、快捷、直观等好处,从而增强声像档案管理意识。

    (二)严格管理,制作标准化管理流程为解决归档不及时完整、文字说明混乱、定期复检频率低这些问题,有关部门要制定标准化管理流程,严格管理声像档案各个步骤。根据工作需要,对水利声像档案的收集范围、技术标准、归档时限和移交程序作出量化规定;明确声像档案日常管理、借阅程序;永久保存的声像档案定期复检,移交上级档案管理部门。完善管理和检查机制,确保声像档案管理工作落到实处。

    (三)加强培训,提高声像档案管理水平1.声像档案既有传统型文字档案的管理要求,又有声音和图像档案管理的特殊要求,水利部门应该加大对水利声像档案管理人员的业务培训,结合水利声像档案制作案例培养专兼职摄影和编辑技术人员。2.吸收引进优秀专业人员,提高系统内声像档案管理水平。

管理层声明书范文第5篇

关键词：LDAP；PMI；PKI；目录树；权限；策略

中图分类号：TP309.2文献标识码：A文章编号：1009-3044(2008)25-1420-03

LDAP directory service in the application of Enterprise PKI/PMI

WANG Hong-wei

(Guizhou University, Electronics and Information Technology Institute, Guiyang 550025, China)

Abstract: PMI proposed a new information protection infrastructure, which with PKI and directory services closer integration, and to establish a system of authorized user's specific authorization, competence of the management of the system definition and description, full authorization to provide the services required for the course. Establishment of the PKI based on the PMI in the enterprise authorized the establishment of relations Modeling, the licensing model and its change in the relationship between designs embodied in the LDAP tree, and briefly raised LDAP directory services in the application of the PKI / PMI mixed system.

Key words: LDAP; PMI; PKI; Directory tree; Privilege; Strategy

1 引言

目前PKI（Public Key Infrastructure，公钥基础设施）得到了较大规模的应用，如何超越当前PKI提供的身份验证和机密性，提供信息环境的权限管理成为一个主要目标。建立在PKI基础上的PMI（Privilege Management Infrastructure，权限管理基础设施），将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制管理。在PMI中发放的证书即为属性证书（Attribute Certificate），PMI使用属性证书表示和容纳权限信息，通过管理证书的生命周期实现对权限生命周期的管理。对于一个实体的权限约束由属性管理机构AA或者由证书机构CA提供。授权信息可以放在公钥证书扩展项中或者属性证书中。X.509标准中定义了属性证书格式，属性证书中各种信息的存放形式本质是目录中的“属性――属性值”关系。从属性证书的数据特性来看，采用目录服务是十分合适的。LDAP（Lightweight Directory Access Protocol）即轻量目录访问协议，由于LDAP目录服务自身带有灵活的项目检索、匹配和维护等功能及安全机制，通过LDAP开发工具，应用系统可以方便地在线获取证书或查询证书状态。

2 LDAP目录树

2.1 目录树简介

一个目录树就是一个规定储藏各种不同类型信息的容器的组织方法。你可以把它看做是数据的归档系统。LDAP目录服务器分层保存着它们的信息，和UNIX的文件系统很像。这些层次规定从逻辑上把一定条目的信息分组（或者划分子组）。

■

图1 简单目录树

如图1，这是一个非常简单的目录树例子。在最上层，有个root，是基准标识名（Base Distinguished Name，基准DN），这是每个目录树的起点。root下面是两个类别，每个下面还有两个子类别。这些处在“叶子”位置的部分称作RDN。Employees是按照部门分的，Customers是按照地区分的。如何分组是没有限制的，如果需要的话，在目录里的任何一层里面都可以有许多组。

2.2 企业（组织关系）的目录树例子

如图2是一个IT企业xintongsoft公司LDAP组织关系目录树的设想图。其中，gm指总经理（General Manager)，dgm指副总经理，dce指副总工程师（Deputy Chief Engineer），dd指副主任（Deputy Director），sm指部门经理（Sector Manager）。Location的分支中以jinglishi代指经理室，以此类推。

LDAP中会用到属性（Attribute），Attribute类同于编程语言中的变量，它可以被赋值，就像是可以存放一个单一类型信息的容器。

1) 对图中应用到的Attribute介绍如下：

dc: domain component, 经常用来指一个域名的一部分，如：dc=mydomain, dc=org；

ou: organizational unit name, 指一个组织单元的名字；

cn: common name, 指一个对象的名字；如果指人，需要使用其全名；

uid: user id, 通常指一个人的登录名，这个不同于Linux系统中用户的uid.

2) 另外，常见的Attribute还有：

c: 国家；

givenName: 指一个人的名字，不能用来指姓或者middle name；

l: 指一个地名，如一个城市或者其它地理区域的名字；

mail: 电子信箱地址

o: organization name, 指一个组织的名字；

sn: surname, 指一个人的姓；

telephoneNumber: 电话号码，应该带有所在的国家的代码；

objectClass: 是一种特殊的Attribute，它包含其它用到的Attribute以及它自身。

由此我们可以知道，xintongsoft公司的Internet域名以 .com结尾，并把他们的顾客联系信息，公司正式员工内部登陆信息，办公室的地址或办公室电话号码等类似信息放到了LDAP目录里。

3 企业中的权限关系

3.1 PMI模型结构

绝大多数的访问控制应用都能抽象成一般的权限管理模型，包括3个实体：对象、权限声明者（privilege asserter）、权限验证者（privilege verifier）。

对象可以是被保护的资源。例如，在一个访问控制应用中，受保护资源就是对象。权限声明者也就是访问者，是持有特定权限并声明其权限具有特定使用内容的实体。权限验证者对访问动作进行验证和决策，是制定决策的实体，决定被声明的权限对于使用内容来说是否充分。

权限验证者根据4个条件决定访问通过/失败：权限声明者的权限；适当的权限策略；当前的环境变量，如果有的话；对象方法的敏感度，如果有的话。

权限（属性证书）必须有安全应用和在权限管理上的访问控制，这样可进行审计，安全地改善和提高，PMI技术得到实质的应用，改变访问控制实施复杂的问题。因此，必须提供属性证书应用和支撑框架，或者说PMI应用平台，在属性证书和应用之间架起一座沟通的桥梁，使得安全应用可以通过支撑框架将属性证书直接集成进来而实现权限管理和控制访问，从而使应用程序设计者更多地关心应用的业务逻辑，而不必针对具体应用重复性地开发和实施权限管理和访问控制机制。

3.2 企业授权关系模型及访问控制策略

■

图3 IT企业中的部门及权限组织关系设想图

如图3，是IT企业中的部门及权限组织关系设想图。下面介绍PMI系统平台的访问控制，访问控制可以表示为三元组：。主体是访问的发起者；客体指各类信息资源，是被访问者；操作是该主体对客体发起的访问动作。

客体可以根据信息开放等级对高级别干部，中高级别干部，中等级别干部，下级干部，系统管理员，普通员工，公司外来人员进行分类，分别为A，B，C，D，E，F，G。操作也可以大致分为以下类别：查询1，查询2，查询3，……，查询n，增加，修改，删除，传输，统计，系统管理。

下面我们就可以给出信息访问授权的定位了，可以建立信息资源授权三维图如图4。

例如，公司中等级别干部运营支撑部经理访问本部门某应用系统，进行查询2操作，那么该应用系统制定的授权策略如图4黑点所示。相应的可以根据具体需要制定出各种应用系统内的授权策略。

4 PKI/PMI和应用逻辑结构

PMI应用结构PKI/PMI和应用的逻辑结构如图5。其中部分说明如下。

1) 策略

授权策略展示了一个机构在信息安全和授权方面的顶层控制、授权遵循的原则和具体的授权信息。在一个机构的PMI应用中，策略包括一个机构如何将它的人员和数据进行分类组织，这种组织方式必须考虑到具体应用的实际运行环境，如数据的敏感性、人员权限的明确划分，以及必须和相应人员层次相匹配的管理层次等因素。所以，策略的指定是需要根据具体的应用量身定做的。策略包含着应用系统中的所有用户和资源信息，以及用户和信息的组织管理方式；用户和资源之间的权限关系；保证安全的管理授权约束；保证系统安全的其他约束。在PMI中，主要使用基于角色的访问控制（RBAC，Role-Based Access Control）。

2) AA

属性证书的签发者被称为属性权威AA，属性权威的根称为SOA。

3) ARA

属性证书的注册申请机构称为属性注册权威ARA。

4) LDAP

用来存储签发的属性证书和属性证书撤消列表。

5) 策略实施

策略实施点（PEP，Policy Enforcement Point）也叫做PMI激活的应用，对每一个具体的应用可能是不同的，是指已经通过接口插件或所修改过的应用或服务，这种应用或服务用来实施一个应用内部的策略决策，介于访问者和目标之间。当访问者申请访问时，策略实施点向授权策略服务器申请授权，并根据授权决策的结果实施决策，即对目标执行访问或者拒绝访问。在具体应用中，策略实施点可能是应用程序内部中进行访问控制的一段代码，也可能是安全的应用服务器（如在Web服务器上增加一个访问控制插件），或者是进行访问控制的安全应用网关。

6) 策略决策

策略决策点（PDP，Policy Decision Point）也叫做授权策略服务器，它接收和评价授权请求，根据具体策略做出不同的决策。它一般并不随具体的应用而变化，是一个通用的处理判断逻辑。当接收到授权请求时，根据授权策略，对访问者的安全属性及当前条件进行决策，并将决策结果返回给应用。对于不同应用的支持是通过解析不同的制定策略来完成的。在实施的过程中，只需要定制策略实施部分，并定义相关策略。

5 结束语

通过对应用LDAP技术进行安全信息管理的分析，可以得出结论：应用LDAP查询控制可以代替原来的基于关系数据库的查询控制，而且相对于关系数据库的立体结构，LDAP的树状结构查询起来更加方便、容易控制，对于人员组织结构和角色权限管理比较复杂的应用系统适用性很强。同时它可以在任何计算机平台上，用很容易获得的LDAP客户端程序或者相关的API编程访问LDAP目录获取需要的信息。

把授权策略和属性证书存储在LDAP服务器中，实现了统一集中管理各个不同系统的授权策略的配置，实现了用PMI属性证书来对用户进行访问资源的授权，并为授权管理人员提供了统一的授权管理平台。此外，目录服务的层次化结构和相关的配置数据提供了可扩展的、统一的机制。层次化的组织方式有助于实现管理的可扩展性和灵活性，也大大提高了身份认证的效率。

参考文献：

[1] 关振胜. 公钥基础设施PKI及其应用[M]. 北京:电子工业出版社,2008:222-253.

[2] C.Adams,S.Lloyd. 公开密钥基础设施：概念、标准和实施[M]. 冯登国,等译. 北京:人民邮电出版社,2001.

[3] Wm.Arthur Conklin, Gregory B.White. 计算机安全原理[M]. 王昭,等译. 北京:高等教育出版社,2006.