略访问控制的电子政务系统21soa下多级策略访问控制原型系统soa下的访问控制原型系统由五个部分组成：服务使用者、提供者，代理模块，控制模块，服务注册中心。在这里，特别地在服务使用者之前加入了一个安全代理模块，访问控制模块则部署在服务注册中心和服务提供者之前，这是为了配合访问控制模块以多策略方式更好地工作。对于服务注册中心，对服务使用者和所访问目标资源进行匹配并实现访问控制，访问控制模块采用多级策略支持的强制访问控制技术，对于
f不同的服务提供者，对返回信息也将做分级控制处理，主要是针对服务所返回的信息可能具有不同的级别而言的。
原型系统实现访问控制服务的关键点是：如何提供访问控制执行服务和如何提供在多级策略支持下的访问控制决策服务。这里，是结合电子政务系统中应用的不同访问请求来决定访问控制执行服务的提供方式的。当然，访问控制执行服务的提供方式反过来也会影响安全服务的部署效果。为了实现通用的决策服务，需要全面综合地分析如何完成访问控制消息的封装、授权策略规则的描述、契约的定义和访问判决逻辑规则的制订等。
因此，在策略规则库文件中应该包含这样一些内容：一是为保证良好的可读性和扩展性，用xacml规范及xml语言来描述策略文件，给每个规则设置参数。二是在策略文件中可通过设置资源属性来指定适用于该策略的资源，为了限定策略的应用范围，描述策略与资源的关联关系。三是允许用户随时定义新的组合逻辑，多个规则可按照不同的逻辑组合成策略，描述规则的组合方式。
22应用实例在为某市政府开发的电子政务系统中，采用了soa多级策略访问控制原型系统来进行具体的访问控制系统设计。整个系统采用java来开发的，设计了登陆平台、公文传输平台、公文管理、档案管理、政务督查、信息处理等模块。数据库系统则选用sqlserver2000对相关的规则和数据进行管理，并采用了双机备份的技术来保障规则和策略文件的安全和完整。同时，在系统中集成和封装各种子系统管理模块，为客户端和监控管理提供所需服务。
f因为原型设计已考虑了扩展性和通用性，所有的工作就只是选择已有的或编写新的来组成访问策略，当在电子政务系统中具体实现其访问控制方案时，由于已经定义了明确的接口，新规则的加入也非常容易。可以容易地包含根据政府组织结构和管理条例设计的授权规则，从而满足电子政务系统中多种访问控制的需求，使其具有更加完善的访问控制能力。例如，政府的不同部门对访问控制r