IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，第 1 部分：企业级 Web 应用安全解决方案介绍及其特点

核心提示： 1. 基于 Web 的多用户安全解决方案完整的应用覆盖度：基于服务器（server-based）的扫描引擎，其处理能力可以保证正确无误的测试企业中成百上千个 Web 应用，IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，第 1 部分：企

1. 基于 Web 的多用户安全解决方案

完整的应用覆盖度：基于服务器（server-based）的扫描引擎，其处理能力可以保证正确无误的测试企业中成百上千个 Web 应用，并同时对这些应用进行分析和处理。

由于 ASE 可以根据企业的需要进行灵活的架构搭建和系统配置（这一点我们将在本章节第 4 部分中讲到），因此图 5 仅表示 ASE 系统架构的主要组件。

图 5 ASE 的系统组件概览

在企业中，所有人员都是通过 Web 界面来访问和使用 ASE 的，该界面就存储在 ASE Control Center Server 上，它由一组 ASP.net 页面组成。由图 5 可以看到，渗透测试人员、开发人员、安全管理组、质量保证团队等各种角色，都是通过 ASE Control Center 访问系统、并得到最后的扫描结果。根据用户量，企业可以部署多台 Control Center，进行负载平衡。

ASE Database Server 是另一个重要的组件，它通过使用 SQL Server 等商业关系型数据库，存储了所有 ASE 的配置数据，如用户信息、扫描配置、报告配置等；同时，它也存储了在应用安全扫描过程中收集的所有数据。数据库组件可以被配置成集群，以保证更好的负载平衡和冗余。

ASE Agent Server 负责真正的安全漏洞扫描工作。它由一组 Windows 进程组成，负责访问目的 Web 应用，并把扫描过程中的所有信息记录在数据库中。一个 Agent Server 可以同时扫描多个 Web 应用，通过增加 Agent Server 的数量，企业可以实现同时测试多个应用的目的。