随着计算机技术和互联网的发展，当前各类Web在线服务日益增多，为不同用户提供了多种便利的技术服务。但在这些在线服务中，鲜有面向中小企业提供包含定制化服务在内的IT资源监控在线服务系统。此类在线服务需要在各用户机构之间隔离信息，保障用户数据的独立性，而不同的企业机构可以看做不同的管理域，故而需要一种有效的访问控制机制以实现对多域用户的安全访问控制管理。对于很多中小企业而言，经常需要实时了解其各种IT基础设备或应用服务器的运行状态，而一般的商业监控软件价格昂贵，中小企业较难承受；免费的开源监控软件又因其在功能扩展和定制化服务方面的局限性，对中小企业来说也有诸多的使用不便之处。为了解决上述问题，本文使用免费开源监控软件Zabbix作为开发基础，研究了一套面向中小企业的IT系统安全管理在线服务机制。由于Zabbix自带的权限分配功能有限，只能满足在同一管理域中使用，不能为多个管理域提供监控服务，无法直接向多个企业提供在线服务；而且Zabbix的功能集中于监控方面，难以满足企业用户对IT系统进行安全评估等定制化服务扩展的需求。因而本在线服务机制的研究主要包括两方面的内容：安全访问控制和定制化服务扩展。在安全访问控制方面，本文在基于角色访问控制模型的研究基础上，提出了一种可应用于多个管理域的访问控制模型——多域角色和资源类型访问控制（MDRTBAC）模型。接着架构了IT资源监控在线服务系统所需要的组成模块，根据理论模型和系统架构模块之间的对应关系，设计了MDRTBAC数据库结构体系，并将之应用于Zabbix的开源代码中，实现了一个可以为多个管理域提供IT资源监控的在线服务系统。该在线服务系统区分了不同域的用户和IT资源设备，有良好的权限管理和隔离机制，可以保证各服务使用者的安全访问。在定制化服务扩展方面，本文选用了针对服务器的安全评估服务作为定制服务的代表，完善了本IT系统安全管理在线服务机制。本文采用AHP层次分析法，调研设计了一套服务器安全评估检查基准，并通过比对用户服务器的注册表日志文件和检查基准项目表，找出不符合最佳实践的设置项展示给服务器管理员。管理员可以及早发现服务器安全隐患，并参考最佳实践建议加以修改，进而加强了企业IT系统的安全性。本文研究的面向中小企业IT系统安全管理的在线服务机制，通过访问控制模块隔离了不同管理域的数据，服务器安全评估模块开启了定制服务的领域，可以为中小企业提供功能完善的IT系统监控和安全评估等在线服务，为中小企业对其IT系统进行信息安全管理提供了便利。