系统安全策略
I、代码授权（Code Authorization）
J2EE产品通过java 2 安全模型来限制特定J2SE的类和方法的执行，以保护和确保操作系统的安全。
II、调用者授权（Caller Authorization）
安全角色：安全角色是具有相同安全属性的逻辑组。它由应用程序的装配者（Application Assembler）或应用程序的部署者（Application Deployer）分配的。
III、安全角色引用
安全角色引用是应用程序提供者（Application Provider）用来引用安全角色的标识。应用程序提供者（Application Provider）可以用安全角色引用来为安全角色分配资源访问的权限，也可以在安全相关的程序代码中引用安全角色。
IV、用户和组
用户和组是在实际系统环境下的用户和用户的集合。它们对应着现实当中的人和群体。
V、访问控制
访问控制可以确保安全角色只能访问已授予它安全权限的授权对象。授权对象包括EJB的远程方法、web资源（html网页，jsp/servlet和多媒体或二进制文件）等。在J2EE中访问控制在应用程序描述文件中与安全角色关联起来。
VI、映射
通过映射应用程序的系统管理员将实际系统环境中的用户和角色与安全角色联系起来，从而是实际的用户拥有对企业资源访问的适当授权。
VII、被传播的调用者身份标识
在J2EE 1.3中可以选择用传播调用者标识作为web组件和ejb组件调用者的标识来进行验证。在这种方式下，整个ejb组件的调用链中interface EJBContext的方法getCallerPrincipal返回相同的主体名（principal name）。如果调用链中的第一个ejb是被jsp/servlet调用的，interface EJBContext的方法getCallerPrincipal返回的主体名（principal name）应与interface HttpServletRequest的方法getUserPrincipal的返回值相同。要注意的是在调用链中传递的是用户的标识，而不是凭证（credentials），这一点非常重要，因为在调用链的每个节点上用户可能使用不同的安全属性。
VIII、Run As Identities
J2EE 1.3中提供了允许组件开发者和部署者来指定组件以什么身份运行的方法。符合J2EE1.3规范的产品会提供将组件设置成Run As Identities方式的方法。如果Run As Identities方式被选中，在运行中被设置为Run As Identities的组件的调用者不再是调用链中第一个节点的调用者了，而是在部署时被指定的调用者。而调用链中随后节点的调用者也变为与被设置为Run As Identities的组件的调用者相同。

防火墙安全策略
    通过在防火墙安全策略方面的硬性安全过来，来实现网络系统安全方面，主要策略有，关闭闲置的服务端口，设置IP恶意攻击策略等。

综上所述：通过以上安全措施可以在软硬件两个方面进行有效的防止非法用户登录，防止数据被非法用户查询和修改，确保系统的安全。