如今Web的主流化使得企业应用系统由封闭状态逐渐走向开放,企业应用面对的信息资源将越来越依赖于Web环境。基于J2EE的分布式应用系统作为企业应用开发的主流,所面临的一个重要难题就是日益复杂的安全管理。目前,通常的J2EE应用系统基本上都采用了相应的安全防护措施,但是效果不甚理想。大部分研究人员由于缺少实际安全经验而未对引发安全问题的原因未作正确深入的分析,因而忽略了软件自身的安全问题,把主要精力集中在了网络安全技术,和信息系统安全大框架上,而对引发安全问题的方面却无所作为。一部分安全领域的实际工作者意识到了软件自身安全的重要性,并对其进行研究,可往往又忽略了其他方面的问题。本文结合J2EE企业应用的特点和体系结构,并结合基于J2EE的企业应用安全防护的需求和特点,采用分层的结构对安全服务进行了实现。本安全框架从应用软件、发布系统和物理链路三个方面分析解决应用系统的安全问题,并通过有机的整合措施,构成一个稳定、合理和健全的J2EE企业应用的安全策略。应用软件的安全防护主要是负责企业应用软件本身的安全问题,本文采用了基于角色的权限控制保障系统的正常运行。系统层涉及到J2EE应用服务器和Web服务器等系统软件的安全性问题,在这个层上的安全防护主要是负责保障企业应用的数据安全,本文采用分布式EJB数据访问模块,数据加密、数字签名、认证回执技术的组合,由这些技术构建了一套功能完备和可靠稳定的保护体系。物理层采用了防火墙技术和物理隔离器技术相结合的策略,尤其是物理隔离器技术的引入使得系统的安全防护策略由被动防御阶段提升到主动保护阶段,极大地提升了系统的安全性。通过在上述三个层次上的安全防护措施,本文构建和研制了一套具有很高可靠性和实用性的安全策略,是构建基于J2EE企业应用的重要安全保障。