IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，第 2 部分：企业级 Web 应用安全解决方案实例

核心提示： 图片看不清楚？请点击这里查看原图（大图），图 10 ASE 中 QuickScan 配置 从上面可以看到，IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，第 2 部分：企业级 Web 应用安全解决方案实例(7)，在 ASE 中，安全管理

　　图片看不清楚？请点击这里查看原图（大图）。

图 10 ASE 中 QuickScan 配置

从上面可以看到，在 ASE 中，安全管理员的工作主要是对企业中的所有 Web 应用进行总体部署和管理，他需要按照某种逻辑划分所有应用、根据这些逻辑进行权限分配、定义企业所有的扫描任务（当然，他也可以将权限开放，让不同部门的管理员自行定义部门内部的扫描任务）、定义扫描模板、定义其它部署逻辑等。

部门经理 Ken 的一天

在一个企业中，不同的角色需要了解 Web 应用安全不同级别的信息。开发人员需要访问安全漏洞的详细情况，包括怎样修改它们；而管理者则需要更高层面的信息，如企业应用安全概览和趋势、企业当前所处的安全水平、相关的法规遵从等等。

在本例中，部门经理 Ken 在一天的工作中，就需要了解上述信息。

经过 Administrator 的事先定义，Ken 进入 ASE 后，看到的将不是某个应用的具体细节，而是宏观的报告和仪表板。如图 11，通过仪表板，Ken 可以知道：

问题严重等级历史报告（Issue Severity History）：Ken 可以看到，随着时间的推移，各种级别的安全隐患总体是呈下降趋势，但是在这中间有一些拐点出现，为什么会出现这种情况？是在此期间安全管理力度有所减弱，还是开发人员仍然没有总结出针对某一问题的完全解决方案，导致问题一再出现？Ken 可以结合该趋势图，并和相关人员分析后，得出上述问题的答案。

问题管理历史报告（Issue Management History）：从该报告中，Ken 看出当前所有的安全隐患中，有多少处于 Open、Active 或者 Fixed？这些数据可以帮助 Ken 来判断项目的进度，做出项目是否可以发布，或者是否需要加班赶上进度的决策。