IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，第 1 部分：企业级 Web 应用安全解决方案介绍及其特点

核心提示： 丰富的报告和缺陷管理能力对不同的应用进行安全扫描之后，可以生成内容丰富的各种报告及报表，IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，第 1 部分：企业级 Web 应用安全解决方案介绍及其特点(4)，由于应用安全涉及企业内部核心敏感数

丰富的报告和缺陷管理能力

对不同的应用进行安全扫描之后，可以生成内容丰富的各种报告及报表。由于应用安全涉及企业内部核心敏感数据，因此报告的生成和分发，应该在权限上有所控制。同时，面对企业的不同角色，报表及报告应该可以自行定制，根据用户角色选择不同侧重点生成。

在应用中发现的任何安全缺陷，应该纳入企业的缺陷和变更管理系统。通过提供内置的流程管理功能或者和企业现有的变更管理系统集成，所有安全缺陷可以方便的在企业内部进行状态转换。

强大的权限管理能力

应用安全漏洞是企业的核心数据，即便在企业内部泄漏也存在着被攻击和利用的风险。因此，集中控制和管理的企业级应用安全平台，应该具有强大的权限管理功能。

该功能应该涵盖两个层面，一是控制企业用户使用平台的权限，也就是控制不同角色的用户可以使用平台的何种功能；二是安全隐患数据依据何种权限进行分发，也就是什么角色的用户应该看到平台产生的哪些数据。

灵活的软、硬件部署能力

根据企业规模和硬件架构的不同，企业级应用安全平台应该可以灵活部署，并能在任何部署模式下，进行系统负载平衡、优化系统并行处理能力。

IBM Rational 企业级应用安全解决方案阐述

IBM Rational 企业级应用安全解决方案，以 AppScan Enterprise Edition（以下简称为 ASE）作为核心平台。ASE 是构建在桌面产品 Rational AppScan 的先进技术之上，基于 Web 的多用户访问系统，可以协助企业对其大量的 Web 应用进行安全管理。

3.2.1 ASE 基本概念

1. 工作原理

ASE 在对 Web 应用进行安全扫描时，采用了一种称之为“黑盒扫描”的技术，在工作原理上和桌面产品 AppScan 相同。