WEB安全评估系统用户手册范本

WEB安全评估管理系统（WESM）用户手册1 WSEM概述

1.1 WSEM简介

WEB安全评估管理系统(WSEM)在java tomcat应用服务器中运行。其中，安全评估模块、项目管理模块、用户管理模块、知识库管理模块和项目风险统计模块是本系统的主要功能模块，SSCA源代码评估工具和SSVS安全测试工具是与本系统交互的安全工具组件。

SSCA软件安全分析器和SSVS安全测试工具将代码扫描文件和安全测试文件以xml的方式传递给安全评估模块，安全评估模块将上传的结果信息整理入库，项目风险统计模块根据入库信息提供统计报表。

知识库管理模块对代码扫描和安全测试的规则进行编辑，编辑好的规则通过组件接口下发给SSCA软件安全分析器和SSVS安全测试工具，安全工具根据下发规则对源代码和系统进行扫描。

1.2 运行环境

运行WSEM所需要的硬件及软件环境如下：

●CPU Pentium 2.4GHz及以上

●存512MB及以上

●硬盘40GB及以上

●网卡100Mbps 及以上

●操作系统Windows 2000/XP/2003，Vista等

2 安装与卸载

2.1 安装

双击安装程序wsem setup.exe，进行WSEM的安装，如下图所示

点击“下一步”，显示用户许可协议，用户需选择“我同意该许可协议的条款”能继续安装。如图：

点击“下一步”，要求输入用户名和公司名，如图：

点击“下一步”，要求选择安装路径，默认安装在C:\Program files\WSEM，用户可根据需要修改该路径。如图：

注意：请确保路径中没有其它特殊字符。

点击“下一步”，选择创建快捷方式的位置。如图：

点击“下一步”，确认安装的配置。如下图：

点击“下一步”，程序开始安装。如下图：

安装一般需要几分钟，请耐心等待。

快安装成功时会有如下提示配置My_SQL端口号的窗口，默认为“3306”，如下图：

点击“OK”，又会出现如下提示窗口，提示配置Tomcat端口号，默认为“8080”如下图：

、

点击“OK”，确认端口进入完成界面，如下图：

待程序安装完毕，会提示安装成功，点击“重新启动”即完成安装。

2.2 卸载

执行WSEM的卸载程序，会卸载WSEM安装时创建的所有程序文件。

在开始菜单选择“所有程序”中找到WSEM，如下图：

点击“卸载WSEM”，会提示是否卸载WSEM，如下图：

点击“下一步”，卸载程序开始卸载WSEM，如下图：

卸载完成，点击“完成”，关闭窗口，此时程序卸载成功。如下图

3 快速入门(各模块页面操作)

3.1 启动WSEM

右击“我的电脑”，在弹出的右键菜单中选择“管理”，将打开计算机管理，如下图所示：

点击“服务和应用程序”左侧的“+”打开服务与应用程序树，然后点击数中的“服务”项，在右侧拉动滚动条到最后项，可以看到两项服务：WSEM_MySQL和WSEM_Tomcat 如下图所示：

此时两项服务都是手动开启，选择WSEM_MySQL，右击则弹出一菜单栏，然后点击“启动”如下图所示：

同样选择WSEM_Tomcat，右击则弹出一菜单栏，然后点击“启动”，则启动了两项服务。此时在IE浏览器中输入localhost:8080/WSEM后，就打开了WSEM

3.2 界面框架

双击WSEM图标后，将打开WSEM的登陆界面，如下图：

输入用户名及密码然后，点击“登录”进入主页面，如下图所示：

3.3项目管理模块

点击左侧功能导航树栏的“项目管理”，进入项目管理页面，如下图：

用户可以对项目信息进行添加，查询，编辑（），删除()等操作。

注意：添加或编辑（修改）时项目名称不能相同。

点击项目列表右侧“添加”按钮进入添加页面，如下图：、

用户在填写好项目相关信息后（其中后面带红色“*”号为必填项），在用户信息列表中选择

一个或多个用户（点击用户名左侧的空白方框按钮，当出现对号则表示选中），表示把该项目添加到这些用户的名下，然后点击“确定”完成添加。

点击项目列表右侧“查询”按钮进入查询页面，如下图，

用户可以根据输入的查询条件进行查询，；例如查询项目编号为2的项目，在项目编号栏输入“2”，然后点击“确定”，进入查询结果页面，如下图：

点击打开项目编辑窗口，对项目进行编辑，如下图：

点击项目右侧（删除），会弹出是否删除的选择窗口对项目进行删除，如下图：

点击“确定”，则删除此项目。

3.3 用户管理模块

3.3.1用户信息管理

点击功能导航树栏的“用户管理”打开用户管理树，然后点击“用户信息管理”进入用户信息页面。

用户可以进行添加，查询，删除（按钮），编辑（按钮）操作。

注意：添加或编辑（修改）时用户名称不能相同，如下图：

点击用户列表右侧的“添加”进入添加页面，如下图：

其中后面带红色“*”号的为必填选项，而部门和用户角色则在下拉框中进行选择。

点击用户右侧的进入编辑页面，可以对用户信息进行编辑，而带红色“*”号的选项不能为空，如下图：

3.3.2 部门信息模块

点击“部门信息管理”进入该页面，用户可以进行添加，编辑等操作，如下图：

注意：添加或编辑（修改）时部门名称不能相同。

页面上显示的部门信息是系统默认的，只能通过“编辑”进行修改，不能删除，如点击部门编号为“0”，描述为默认的部门右侧的删除按钮，会出现提示窗口，如下图所示：

点击提示窗口的“确定”，然后进入部门列表窗口，如下图所示：

由图可以看出，该部门没有被删除。

3.3.3用户角色模块

点击“角色信息管理”进入该页面，如下图：

页面显示的3个角色设置为系统默认的，只能编辑（），不能删除（）

注意：添加或编辑（修改）时项目名称不能相同，例如我们添加一个角色名也为“经理”的用户看会出现什么结果。

点击“添加”进入添加页面，如下图：

其中“角色权限”项的容可以在其下面的选择框中点击选择，为该角色添加相应的角色权限，以限定该角色的操作功能。

点击“确定”，就会进入角色列表窗口，如下图：

系统在角色列表上方显示：添加角色失败，已存在相同名称的角色，说明添加失败。

点击角色管理主页面上的角色名为经理的“编辑”项（），用户可以进入该角色的编辑页面，看到相关信息，如下图：

用户可以看到经理这一角色的权限：拥有对项目进行安全测试，风险统计，项目管理模块的操作权限。

提示：用户管理信息模块和部门信息模块的信息在用户信息模块中要用到。

用户信息模块的容在项目信息模块中要用到。

3.4风险分类模块

点击功能导航树栏的“风险分类“进入该页面，如下图所示：

点击打开其中一条树，点击相应的项，可以在右边显示其容。

例如点击第二项“2 API误用”，然后点击第一项“2.1 代码正确性:调用System.gc()”，如下图所示：

点击“添加“，右边会出现添加页面（如：在api误用中添加一项名为”wwwww“）。

可以在左边页面看到添加的项，点击确定则该项添加成功。

3.5 代码扫描规则模块

点击功能导航树栏的“代码扫描规则管理”进入该页面，如下图所示：

用户可以进行添加，查询，导入，导出等操作。

点击代码扫描规则右侧的“导入”按钮，进入导入窗口。如下图：