WEB安全评估系统用户手册范本

wordWEB安全评估管理系统WESM用户手册1 WSEM概述1.1 WSEM简介WEB安全评估管理系统(WSEM)在java tomcat应用服务器中运行。其中，安全评估模块、项目管理模块、用户管理模块、知识库管理模块和项目风险统计模块是本系统的主要功能模块，SSCA源代码评估工具和SSVS安全测试工具是与本系统交互的安全工具组件。SSCA软件安全分析器和SSVS安全测试工具将代码扫描文件和安全测试文件以xml的方式传递给安全评估模块，安全评估模块将上传的结果信息整理入库，项目风险统计模块根据入库信息提供统计报表。知识库管理模块对代码扫描和安全测试的规如此进展编辑，编辑好的规如此通过组件接口下发给SSCA软件安全分析器和SSVS安全测试工具，安全工具根据下发规如此对源代码和系统进展扫描。1.2 运行环境运行WSEM所需要的硬件与软件环境如下：ll 内存 512MB与以上l 硬盘 40GB与以上l 网卡 100Mbps 与以上l 操作系统 Windows 2000/XP/2003，Vista等2 安装与卸载2.1 安装双击安装程序，进展WSEM的安装，如如下图所示点击“下一步，显示用户许可协议，用户需选择“我同意该许可协议的条款能继续安装。如图：点击“下一步，要求输入用户名和公司名，如图：点击“下一步，要求选择安装路径，默认安装在C:Program filesWSEM，用户可根据需要修改该路径。如图：注意：请确保路径中没有其它特殊字符。点击“下一步，选择创建快捷方式的位置。如图：点击“下一步，确认安装的配置。如如下图：点击“下一步，程序开始安装。如如下图：安装一般需要几分钟，请耐心等待。快安装成功时会有如下提示配置My_SQL端口号的窗口，默认为“3306，如如下图：点击“OK，又会出现如下提示窗口，提示配置Tomcat端口号，默认为“8080如如下图：、点击“OK，确认端口进入完成界面，如如下图：待程序安装完毕，会提示安装成功，点击“重新启动即完成安装。2.2 卸载执行WSEM的卸载程序，会卸载WSEM安装时创建的所有程序文件。在开始菜单项选择择“所有程序中找到WSEM，如如下图：点击“卸载WSEM，会提示是否卸载WSEM，如如下图：点击“下一步，卸载程序开始卸载WSEM，如如下图：卸载完成，点击“完成，关闭窗口，此时程序卸载成功。如如下图3 快速入门(各模块页面操作)3.1启动WSEM右击“我的电脑，在弹出的右键菜单中选择“管理，将打开计算机管理，如如下图所示：点击“服务和应用程序左侧的“+打开服务与应用程序树，然后点击数中的“服务项，在右侧拉动滚动条到最后项，可以看到两项服务：WSEM_MySQL和WSEM_Tomcat如如下图所示：此时两项服务都是手动开启，选择WSEM_MySQL，右击如此弹出一菜单栏，然后点击 “启动如如下图所示：同样选择WSEM_Tomcat，右击如此弹出一菜单栏，然后点击 “启动，如此启动了两项服务。此时在IE浏览器中输入localhost:8080/WSEM后，就打开了WSEM3.2界面框架双击WSEM图标后，将打开WSEM的登陆界面，如如下图：输入用户名与密码然后，点击“登录进入主页面，如如下图所示：点击左侧功能导航树栏的“项目管理，进入项目管理页面，如如下图：用户可以对项目信息进展添加，查询，编辑，删除()等操作。注意：添加或编辑修改时项目名称不能一样。点击项目列表右侧“添加按钮进入添加页面，如如下图：、用户在填写好项目相关信息后其中后面带红色“*号为必填项，在用户信息列表中选择一个或多个用户点击用户名左侧的空白方框按钮，当出现对号如此表示选中，表示把该项目添加到这些用户的名下，然后点击“确定完成添加。点击项目列表右侧“查询按钮进入查询页面，如如下图，用户可以根据输入的查询条件进展查询，；例如查询项目编号为2的项目，在项目编号栏输入“2，然后点击“确定，进入查询结果页面，如如下图：点击打开项目编辑窗口，对项目进展编辑，如如下图：点击项目右侧删除，会弹出是否删除的选择窗口对项目进展删除，如如下图：点击“确定，如此删除此项目。用户信息管理点击功能导航树栏的“用户管理打开用户管理树，然后点击“用户信息管理进入用户信息页面。 用户可以进展添加，查询，删除按钮，编辑按钮操作。注意：添加或编辑修改时用户名称不能一样，如如下图：点击用户列表右侧的“添加进入添加页面，如如下图：其中后面带红色“*号的为必填选项，而部门和用户角色如此在下拉框中进展选择。点击用户右侧的进入编辑页面，可以对用户信息进展编辑，而带红色“*号的选项不能为空，如如下图：部门信息模块点击“部门信息管理进入该页面，用户可以进展添加，编辑等操作，如如下图：注意：添加或编辑修改时部门名称不能一样。页面上显示的部门信息是系统默认的，只能通过“编辑进展修改，不能删除，如点击部门编号为“0，描述为默认的部门右侧的删除按钮，会出现提示窗口，如如下图所示：点击提示窗口的“确定，然后进入部门列表窗口，如如下图所示：由图可以看出，该部门没有被删除。用户角色模块点击“角色信息管理进入该页面，如如下图：页面显示的3个角色设置为系统默认的，只能编辑，不能删除注意：添加或编辑修改时项目名称不能一样，例如我们添加一个角色名也为“经理的用户看会出现什么结果。点击“添加进入添加页面，如如下图：其中“角色权限项的内容可以在其下面的选择框中点击选择，为该角色添加相应的角色权限，以限定该角色的操作功能。点击“确定，就会进入角色列表窗口，如如下图：系统在角色列表上方显示：添加角色失败，已存在一样名称的角色，说明添加失败。点击角色管理主页面上的角色名为经理的“编辑项，用户可以进入该角色的编辑页面，看到相关信息，如如下图：用户可以看到经理这一角色的权限：拥有对项目进展安全测试，风险统计，项目管理模块的操作权限。提示：用户管理信息模块和部门信息模块的信息在用户信息模块中要用到。 用户信息模块的内容在项目信息模块中要用到。点击功能导航树栏的“风险分类“进入该页面，如如下图所示：点击打开其中一条树，点击相应的项，可以在右边显示其内容。例如点击第二项“2 API误用，然后点击第一项“2.1 代码正确性:调用System.gc()，如如下图所示：点击“添加“，右边会出现添加页面如：在api误用中添加一项名为ww“。可以在左边页面看到添加的项，点击确定如此该项添加成功。3.5代码扫描规如此模块点击功能导航树栏的“代码扫描规如此管理进入该页面，如如下图所示：用户可以进展添加，查询，导入，导出等操作。点击代码扫描规如此右侧的“导入按钮，进入导入窗口。如如下图：点击“浏览，弹出窗口，如如下图所示：选择要上传的文件，点“确定如此可以上传，注意：上传的文件必须是压缩成zip包的xml文件。点击代码扫描规如此右侧的“导出，弹出导出窗口，如如下图：选择相应的地址进展保存，导出的是此时数据库中所有的代码扫描规如此。3.6安全测试模块点击功能导航树栏的“安全测试规如此管理进入该页面，如如下图所示：点击安全测试规如此右侧的“导入，进入导入窗口，点击“浏览。如如下图：选择要导入的文件点击确定。3.7 解决方案点击功能导航树栏的“解决方案管理进入该页面，如如下图：点击功能导航树栏的“参考资源管理进入该页面，如如下图所示：4报表分析从登陆页面进入到主页面后，用户如果要查看项目风险统计和项目安全评估，如此要先在项目管理模块中选择一个项目，如图：点“进入项目进入一个项目，如图：用户可以对项目风险统计和项目安全评估进展操作注：一个用户登陆后进入项目管理，只能看到属于自己的项目，这个在项目添加页面里的用户信息列表中可以选择把项目加到用户名下安全测试点击“项目安全评估中的“安全测试，如如下图：用户可以进展上传，查询等操作。点击“上传按钮，进入上传页面，点击浏览，如下列图：选择要上传的文件，然后点击“打开，如此上传成功。点击编号为1右侧的“查看可以看到，如如下图：其中“导出为PDF格式和“导出为HTML格式两个按钮可以把该页面信息导出为指定的格式，以便保存，如点击“导出为HTML格式，如如下图：代码测试点击“项目安全评估中的“代码审查，进入代码审查界面，如如下图：点击右侧“上传，打开上传窗口，点击浏览，如如下图：选择要上传的文件，点击“打开，上传成功。4.2 项目风险统计点击“项目风险统计，进入项目风险统计界面，如如下图：项目风险统计点击右边页面中的“项目风险统计，用户可以看到项目的历史最近两次风险统计报表图，如如下图：安全测试风险统计点击“安全测试风险统计下的风险统计结果，显示最近一次上传的测试结果的报表。页面如如下图：安全测试风险历史统计点击“历史风险统计，显示最近两次统计的报表如如下图：安全测试阶段风险统计点击“阶段风险统计，显示所选时间段内的风险统计报表，如如下图：代码扫描风险统计点击“项目安全评估中的“代码审查，进入代码审查界面，如如下图：点击“代码扫描风险统计下的风险统计结果，显示最近一次上传的测试结果的报表。如如下图：代码扫描风险历史统计点击“历史风险统计，显示最近统计的报表如如下图：代码扫描阶段风险统计点击“阶段风险统计，显示所选时间段内的风险统计报表，如如下图：用户可以选择开始时间，完毕时间，然后点击查看，结果如如下图：33 / 33