随着现代企业的发展和信息化程度不断提高，企业的各种信息系统日益庞大和复杂，系统安全形势也日益严峻。企业应用系统的每个环节都有可能遭到安全威胁，应用系统需要保护众多的资源。然而，正是因为目前的各种企业应用系统日益庞大和复杂，对认证和授权以及资源的访问控制管理也越来越困难。为企业提供一套易使用的、易扩展和易管理的企业应用安全框架是十分重要的。 本论文以RBAC访问控制模型，Acegi安全框架和东软集团软件股份有限公司开发的通用企业应用平台(UniversalEnterpriseApplicationPlatform，UniEAP)系统架构为基础，对基于J2EE的企业应用系统的安全进行了深入研究。从多个角度、多个层次论述了如何有效的解决应用系统的总体安全问题，并给出了一套具有通用性的安全架构设计方案。本文将安全框架设计为三部分，分别是：组织机构、认证系统和授权系统，分别从这三个方面给出了具体的设计与实现。由于企业对安全框架的要求各不相同，这里只提供了一个基础的安全框架，解决具有共性的安全问题，同时安全框架具有高度的可扩展性。本文提出的设计方案大大降低了通用企业应用平台安全管理的复杂度，增强了系统的安全性。该设计方案对于解决其它企业应用平台和企业应用的安全问题也具有一定的借鉴意义。