文章通过对应用系统安全防护技术的研究,分析了针对应用系统的身份鉴别、访问控制、安全审计等安全防护技术。身份鉴别如传统的用户名和口令方式，由于其安全性不够强，已越来越被证书认证所取代。访问控制是重要的安全功能之一，它的任务是在对系统信息资源提供最大限度共享的基础上，对用户的访问权进行管理，通过权限控制准许或者限制访问范围，防止对信息的非授权使用。安全审计系统能够及时地将用户操作以日志的形式记录下来，并且对违规操作进行阻断，日志信息可以为事后取证提供证据。对于主流的基于Web技术的应用系统，用户直接面对的是客户端浏览器。用户在使用系统时，请求之后的事务逻辑处理和数据逻辑运算由服务器与数据库系统共同完成。应用系统的正常运行由数据库和应用服务器提供保障。因此应针对客户端、Web服务器、数据库进行安全防护。对于客户端的防护，重点对Web程序组件的安全进行防护，严格限制从网络上任意下载程序并在本地执行。对于Web服务器防护，首先要对Windows和Internet信息服务(IIS)进行安全配置。其次可采取部署Web应用防火墙或网页防篡改系统或其相结合的方式增强安全性。对于数据库防护，在数据库中存储着大量业务数据，为了保证企业重要业务的连续性和安全性，必须配置相应完善的备份与恢复机制，实现数据库与应用服务器的备份与恢复，一旦数据库发生故障，利用恢复机制可以实现快速恢复。