本发明公开一种对现存应用系统提供免改造的主客体精细控制的业务及数据安全防护方法、装置及系统，其包括：制定针对应用系统的安全防护策略；当应用系统发生业务操作和数据访问时，在其通讯、数据访问或程序运行流程中进行拦截，获取通讯内容、数据访问内容或程序数据；解析并识别出通讯内容、数据访问内容或程序数据中的要素信息，构造抽象信息模型对象；据此决策出适用于本次业务操作和数据访问的有效安全防护策略；执行有效安全防护策略中的防护措施。对于现存的、自身不具备足够安全防护措施的应用系统，这种方法可以无需开发改造就能为其提供精细粒度的安全防护，对访问主体能控制到具体的用户，客体可以控制到数据行和字段级别。