一种测评方法、装置、电子设备及可读存储介质

技术领域

本发明涉及数据处理技术领域，特别是涉及一种测评方法、装置、电子设备及可读存储介质。

背景技术

依据《信息安全等级保护管理办法》(公通字[2007]43号)，信息系统运营、使用单位在进行信息系统备案后，都应当选择测评机构进行信息系统安全等级保护测评，简称等保测评。等保测评是测评机构依据《信息系统安全等级保护测评要求》等管理规范和技术标准，检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程，是落实信息安全等级保护制度的重要环节。

等保测评工作是对已经按《信息安全技术信息系统安全等级保护定级指南》定级的主机安全进行测评，检查被测主机安全是否达到已定既定的级别。相关技术中，主机安全的等保测评工作都是采用人工测评方法，例如根据等级保护技术标准要求的相应等级下的各个测评指标对不同类型的主机安全进行测评，又或者根据人工访谈和检查，根据测评的结果编写等保测评报告。而采用人工进行测评的方法存在以下问题：测试周期长、人工访谈和检查容易造成失误等。

发明内容

本申请提供了一种测评方法、装置、电子设备及可读存储介质，可实现对待测试目标的自动测评，降低等保测评的时间成本和误差率，提升测评效率。

本申请第一方面提供了一种测评方法，所述方法包括：

获得待测试目标的测试需求；

根据所述待测试目标的测试需求，确定安全测试方案；

获得与所述安全测试方案匹配的安全测试脚本；

通过所述安全测试脚本对所述待测试目标进行测试。

可选地，所述安全测试方案包括至少一个测评项；根据所述待测试目标的测试需求，确定安全测试方案，包括：

在所述待测试目标的测试需求为等保类测试需求时，确定等保级别；

根据与所述等保级别匹配的各测评项获得所述安全测试方案；或；

在所述待测试目标的测试需求为系统类测试需求时，确定所述待测试目标的操作系统的类型；

根据与所述操作系统的类型匹配的各测评项获得所述安全测试方案。

可选地，所述方法还包括：

在所述待测试目标的测试需求为等保类测试需求和系统类测试需求时，确定等保级别和所述待测试目标的操作系统的类型；

获得与所述等保级别匹配的各测评项和与所述操作系统的类型匹配的各测评项中的公共测评项；

根据所述公共测评项获得所述安全测试方案。

可选地，一个测评项对应一项测试脚本；获得与所述安全测试方案匹配的安全测试脚本，包括：

获得所述安全测试方案中各个测评项的测试脚本；

根据各个所述测试脚本获得所述安全测试脚本。

可选地，通过所述安全测试脚本对所述待测试目标进行测试，包括：

将所述安全测试脚本发送到所述待测试目标，以使所述待测试目标执行所述安全测试脚本。

可选地，在获得待测试目标的测试需求之前，所述方法还包括：

对所述安全测试脚本进行云化处理；

存储处理后的所述安全测试脚本。

可选地，所述方法还包括：

接收所述待测试目标执行所述安全测试脚本后返回的测试结果；

根据所述测试结果生成测试结果报告；

输出所述测试结果报告。

本申请第二方面提供了一种测评装置，所述装置包括：

第一获得模块，用于获得待测试目标的测试需求；

第一确定模块，用于根据所述待测试目标的测试需求，确定安全测试方案；

第二获得模块，用于获得与所述安全测试方案匹配的安全测试脚本；

测试模块，用于通过所述安全测试脚本对所述待测试目标进行测试。

可选地，所述安全测试方案包括至少一个测评项；所述第一确定模块包括：

第一确定子模块，用于在所述待测试目标的测试需求为等保类测试需求时，确定等保级别；

第一获得子模块，用于根据与所述等保级别匹配的各测评项获得所述安全测试方案；或；

第二确定子模块，用于在所述待测试目标的测试需求为系统类测试需求时，确定所述待测试目标的操作系统的类型；

第二获得子模块，用于根据与所述操作系统的类型匹配的各测评项获得所述安全测试方案。

可选地，所述装置还包括：

第二确定模块，用于在所述待测试目标的测试需求为等保类测试需求和系统类测试需求时，确定等保级别和所述待测试目标的操作系统的类型；

第三获得模块，用于获得与所述等保级别匹配的各测评项和与所述操作系统的类型匹配的各测评项中的公共测评项；

第四获得模块，用于根据所述公共测评项获得所述安全测试方案。

可选地，一个测评项对应一项测试脚本；所述第一获得模块包括：

第三获得子模块，用于获得所述安全测试方案中各个测评项的测试脚本；

第四获得子模块，用于根据各个所述测试脚本获得所述安全测试脚本。

可选地，所述测试模块包括：

发送子模块，用于将所述安全测试脚本发送到所述待测试目标，以使所述待测试目标执行所述安全测试脚本。

可选地，所述装置还包括：

处理模块，用于对所述安全测试脚本进行云化处理；

存储模块，用于存储处理后的所述安全测试脚本。

可选地，所述装置还包括：

接收模块，用于接收所述待测试目标执行所述安全测试脚本后返回的测试结果；

生成模块，用于根据所述测试结果生成测试结果报告；

输出模块，用于输出所述测试结果报告。

本申请第三方面提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行时实现本申请第一方面所述的测评方法中的步骤。

本申请第四方面提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本申请第一方面所述的测评方法中的步骤。

通过本申请的测试方法，云服务主机安全测试平台首先获得待测试目标的测试需求，然后根据待测试目标的测试需求确定安全测试方案，并获得与安全测试方案匹配的安全测试脚本，最后通过安全测试脚本对待测试目标进行测试。通过该方法，可实现对待测试目标的自动测评，相较于相关技术中人工测评的方式，降低了等保测评的时间成本和误差率，提升了测评效率。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本申请一实施例示出的一种实施环境示意图；

图2是本申请一实施例示出的一种安全测试方法的流程图；

图3是本申请一实施例示出的一种身份鉴别的测评项的示意图；

图4是本申请一实施例示出的一种访问控制的测评项的示意图；

图5是本申请一实施例示出的一种安全审计的测评项的示意图；

图6是本申请一实施例示出的一种剩余信息保护的测评项的示意图；

图7是本申请一实施例示出的一种入侵防范的测评项的示意图；

图8是本申请一实施例示出的一种恶意代码防范的测评项的示意图；

图9是本申请一实施例示出的一种资源控制的测评项的示意图；

图10是本申请一实施例示出的一种处理截图的示意图；

图11是本申请一实施例示出的一种处理意见的示意图；

图12是本申请一实施例示出的另一种处理截图的示意图；

图13是本申请一实施例示出的一种测评装置的结构框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

图1是本申请一实施例示出的一种实施环境示意图。在图1中包括云服务主机安全测试平台、云服务资源库以及待测试目标。主机安全测试平台用于根据用户的测试需求确定最终的安全测试方案及安全测试脚本。云服务资源库用于存储云服务主机安全测试平台对待测试目标进行测试的各个阶段所产生的数据，包括：安全测试方案、安全测试脚本、测试结果等。待测试目标为待测试主机。

本申请的安全测试方法可以应用于图1中的云服务主机安全测试平台。图2是本申请一实施例示出的一种安全测试方法的流程图。参照图2，本申请的安全测试方法可以包括如下步骤：

步骤S21：获得待测试目标的测试需求。

在本实施例中，云服务主机安全测试平台可以接收待测试目标发送的测试需求，测试需求中包含待测试目标自身的信息、预申请的测试类型等。其中，待测试目标自身的信息可以是设备型号、设备参数、运行记录、操作系统类型等，本实施例对此不作具体限制。测试类型可以包括等保类测试和系统类测试等，本实施例对此不作具体限制。

依据《信息安全等级保护管理办法》(公通字[2007]43号)，信息系统运营、使用单位在进行信息系统备案后，都应当选择测评机构进行信息系统安全等级保护测评，简称等保测评。等保测评包括上述的等保类测试和系统类测试。

等保测评工作包括主机安全的测评，主机安全的测评包括至少如下测评类型：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制的测评，本申请的安全测试方法主要是应用于主机安全的测评。

在本实施例中，待测试目标可以预先将测试需求发送到云服务资源库，当云服务主机安全测试平台需要对待测试目标进行等保测评时，可以从云服务资源库中获取待测试目标的测试需求。

步骤S22：根据所述待测试目标的测试需求，确定安全测试方案。

在本实施例中，云服务主机安全测试平台通过分析待测试目标的测试需求，可以确定适合待测试目标的安全测试方案。

在主机安全的测评中，每一个测评类型对可以具有多个测评项。示例地，身份鉴别这一测评类型下具有的测评项可以是：应对登录操作系统和数据库系统的用户进行身份标识和鉴别，或者可以是：操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。再示例地，访问控制这一测评类型下具有的测评项可以是：应启用访问控制功能，依据安全策略控制用户对资源的访问，或者可以是：应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。本实施例对测评类型和各个测评类型下的测评项不作具体限制。

在本实施例中，测评项不是固定的，可根据国家制定的最新的等保测评标准而调整。

不同的安全测试方案包括的测评类型和测评项不同，云服务主机安全测试平台中会预先设置不同的测试需求下对应的测评类型和测评项，得到不同的测试需求下的安全测试方案。因此，当接收到待测试目标的测试需求后，根据测试需求即可获得匹配的安全测试方案。

在本实施例中，云服务主机安全测试平台预先配置得到安全测试方案后，可以将安全测试方案存储到云服务资源库中，当需要用到安全测试方案时，可以从云服务资源库中获取安全测试方案。

步骤S23：获得与所述安全测试方案匹配的安全测试脚本。

在本实施例中，云服务主机安全测试平台会预先为各个安全测试方案编写安全测试脚本。不同的安全测试方案对应不同的安全测试脚本。

在本实施例中，云服务主机安全测试平台可以将各个安全测试方案对应的安全测试脚本存储到云服务资源库中，当需要用到安全测试脚本时，可以从云服务资源库中获取安全测试脚本。

步骤S24：通过所述安全测试脚本对所述待测试目标进行测试。

在本实施例中，在获得安全测试脚本，通过安全测试脚本即可实现对待测试目标的测试。

通过本实施例的测试方法，云服务主机安全测试平台首先获得待测试目标的测试需求。然后根据待测试目标的测试需求确定安全测试方案，并获得与安全测试方案匹配的安全测试脚本。最后通过安全测试脚本对待测试目标进行测试。通过该方法，可实现对待测试目标的自动测评，相较于相关技术中人工测评的方式，降低了等保测评的时间成本和误差率，提升了测评效率。

结合以上实施例，在一种实施方式中，本申请的安全测试方案包括至少一个测评项。在此基础上，根据所述待测试目标的测试需求，确定安全测试方案，可以包括：

在所述待测试目标的测试需求为等保类测试需求时，确定等保级别；

根据与所述等保级别匹配的各测评项获得所述安全测试方案；或；

在所述待测试目标的测试需求为系统类测试需求时，确定所述待测试目标的操作系统的类型；

根据与所述操作系统的类型匹配的各测评项获得所述安全测试方案。

在本实施例中，用户可以选择等保类测试或者系统类测试，等保类测试是指与等保级别相关的等保测评，系统类测试是指与待测试目标的操作系统相关的等保测评。

在本实施例中，等保是指信息安全等级保护(一般指信息系统安全等级保护)，信息系统的安全保护等级(即等保级别)可分为五级，一至五级等级逐级增高。

当待测试目标的测试需求为等保类测试需求时，可进一步确定等保级别，用户可预先在测试需求中填写需要等保测评的等保级别，例如可以填写二级等保测评，或者三级等保测评。在确定等保级别后，可以进一步获得与等保级别匹配的各测评项，所有这些测评项组成了该等保级别对应的安全测试方案。一个等保级别下可以有多个测评项。

当待测试目标的测试需求为系统类测试需求时，可进一步确定待测试目标的操作系统的类型，用户可预先在测试需求中填写待测试目标的操作系统的类型，例如可以填写windows系统，或者linux系统等，本实施例对系统类型不作具体限制。在确定待测试目标的操作系统后，可以进一步获得与待测试目标的操作系统匹配的各测评项，所有这些测评项组成了该操作系统的类型对应的安全测试方案。

在本实施例中，用户可根据实际需求选用等保类测试或者系统类测试，增强了等保测评的灵活性。

结合以上实施例，在一种实施方式中，等保类测试和系统类测试还可以结合使用，具体包括如下步骤：

在所述待测试目标的测试需求为等保类测试需求和系统类测试需求时，确定等保级别和所述待测试目标的操作系统的类型；

获得与所述等保级别匹配的各测评项和与所述操作系统的类型匹配的各测评项中的公共测评项；

根据所述公共测评项获得所述安全测试方案。

在本实施例中，可获得与等保级别匹配的各测评项，以及与待测试目标的操作系统的类型匹配的各测评项，然后选出这些测评项中的公共测评项，将这些公共测评项作为等保类测试和系统类测试结合使用时的安全测试方案。

示例地，假设等保级别为二级，操作系统的类型为linux系统，二级等保对应的测评项包括：测评项1、测评项2、测评项3、测评项4，linux系统对应的测评项包括：测评项2、测评项3、测评项4、测评项5，那么公共测评项为测评项2、测评项3、测评项4，安全测试方案即为测评项2、测评项3以及测评项4组成的测试方案。

在本实施例中，等保类测试和系统类测试可以结合使用，可以满足用户更多的测试需求，进一步增强了等保测评的灵活性。

结合以上实施例，在一种实施方式中，一个测评项对应一项测试脚本。获得与所述安全测试方案匹配的安全测试脚本，可以包括：

获得所述安全测试方案中各个测评项的测试脚本；

根据各个所述测试脚本获得所述安全测试脚本。

在本实施例中，可以预先为各个测评项编写测试脚本，如此，在确定出安全测试方案后，可方便快捷地根据该安全测试方案中的各个测评项确定出安全测试方案对应的安全测试脚本。

具体地，确定安全测试方案中包含的所有测评项，由于一个测评项对应一项测试脚本，因此可以获得所有测评项对应的测试脚本，再将得到的所有测试脚本组合得到安全测试脚本。

对于与等保级别匹配的各测评项和与操作系统的类型匹配的各测评项中的公共测评项，这些公共测评项中的每个测评项可以至少对应两类脚本，一类脚本是与等保级别匹配的测试脚本，另一类脚本是与操作系统的类型匹配的测试脚本，这两种脚本是不同的，在执行时可以分别执行，获得不同的测试结果。

示例地，对于测评项X，如果其可以作为与等保级别匹配的测评项，应当为其编写与等保级别匹配的测试脚本M，如果其可以作为与操作系统的类型匹配的测评项，应当为其编写与操作系统的类型匹配的测试脚本N。

具体地，如果等保级别包括：等保一级至等保五级，操作系统的类型包括：windows操作系统和linux操作系统。那么，与等保级别匹配的测试脚本可以包括：等保一级对应的测试脚本、等保二级对应的测试脚本、等保三级对应的测试脚本、等保四级对应的测试脚本、等保五级对应的测试脚本，与操作系统的类型匹配的测试脚本可以包括：windows操作系统对应的测试脚本、linux操作系统对应的测试脚本。

不是所有的测评项都涵盖所有的测试脚本，可以根据需求设置。例如对于测评项Z，只有当需要对待测试目标进行等保三级的测评时，才可能使用到该测评项，那么可以只为测评项Z编写等保三级对应的测试脚本。

结合以上实施例，在一种实施方式中，通过所述安全测试脚本对所述待测试目标进行测试，包括：

将所述安全测试脚本发送到所述待测试目标，以使所述待测试目标执行所述安全测试脚本。

在本实施例中，在得到安全测试脚本后，可以将安全测试脚本发送到待测试目标，待测试目标执行安全测试脚本，依次对各个测评项进行测试，例如测试是否对登录操作系统和数据库系统的用户进行身份标识和鉴别，以及测试操作系统和数据库系统管理用户身份标识是否具有不易被冒用的特点，口令是否有复杂度要求并定期更换等。

在实际实施时，如果待测试目标的测试需求为等保类测试需求和系统类测试需求，那么每个测评项都具有与等保级别匹配的测试脚本，和与操作系统的类型匹配的测试脚本，那么在待测试终端可以分别执行这两类测试脚本，获得两类测试结果。例如可以先执行所有与等保级别匹配的测试脚本，再执行所有与操作系统的类型匹配的测试脚本。

在测试过程中，待测试目标会记录所有测试过程中产生的数据以及测试结果，并将所有这些数据保存到云服务资源库中，以便于后续分析。

在本实施例中，云服务主机安全测试平台可将安全测试脚本下发到待测试目标，由待测试目标执行安全测试脚本以实现自动测评，提升了等保测评的效率。

结合以上实施例，在一种实施方式中，本申请的测评方法还可以包括：

接收所述待测试目标执行所述安全测试脚本后返回的测试结果；

根据所述测试结果生成测试结果报告；

输出所述测试结果报告。

在本实施例中，待测试目标执行安全测试脚本后，还可以将得到的测试结果发送到云服务主机安全测试平台。云服务主机安全测试平台可以根据测试结果生成测试报告，然后输出测试报告。

其中，输出测试报告时，既可以通过云服务主机安全测试平台的信息输出组件输出，也可以发送到云终端并由云终端的信息输出组件输出，本实施例对此不作限制。信息输出组件包括：显示组件、音频输出组件等。

在本实施例中，云服务主机安全测试平台可根据测试结果输出测试结果报告，使得用户可更好地了解测试情况，为用户后续对待测试目标的管理提供了便利。

结合以上实施例，在一种实施方式中，在获得待测试目标的测试需求之前，本申请的测评方法还可以包括：

对所述安全测试脚本进行云化处理；

存储处理后的所述安全测试脚本。

在本实施例中，在预先编写各个测评项对应的测试脚本后，需要对测试脚本进行云化处理，然后将处理后的测试脚本存储到云服务资源库。由于云服务主机安全测试平台、云服务资源库以及云终端均是采用云服务模式，因此，需要对安全测试脚本进行云化处理，以保证等保测评方法的顺利实施，其中云化的过程可参照现有技术实现，本实施例对此不作具体限制。

图3是本申请一实施例示出的一种身份鉴别的测评项的示意图。图4是本申请一实施例示出的一种访问控制的测评项的示意图。图5是本申请一实施例示出的一种安全审计的测评项的示意图。图6是本申请一实施例示出的一种剩余信息保护的测评项的示意图。图7是本申请一实施例示出的一种入侵防范的测评项的示意图。图8是本申请一实施例示出的一种恶意代码防范的测评项的示意图。图9是本申请一实施例示出的一种资源控制的测评项的示意图。

下面将结合图3-图9，以测试需求为等保类测试需求为例，对本申请的方案进行详细说明。在图3-图9中，G2表示等保级别为二级，G3表示等保级别为三级。

当云服务主机安全测试平台确定待测试目标的测试需求为等保类测试需求时，进一步确定等保级别。如果等保级别是二级，云服务主机安全测试平台从云服务资源库中获得所有标记有G2的测评项，即图3-图9中序号依次为1-5、7、9-11、14、16、19、24-25、27-29、31的测评项，所有这些测评项组成了安全测试方案。由于每一个测评项都对应有测试脚本，云服务主机安全测试平台从云服务资源库中获得序号依次为1-5、7、9-11、14、16、19、24-25、27-29、31的测评项的各自的测试脚本，这些测试脚本组成了与二级等保安全测试方案匹配的安全测试脚本。

云服务主机安全测试平台将安全测试脚本发送给待测试目标，待测试目标依次执行安全测试脚本，按照序号为1-5、7、9-11、14、16、19、24-25、27-29、31的各项依次进行测试，获得测试结果。例如执行序号为1的测评项对应的测试脚本，完成序号为1的测评项的测试，执行序号为7的测评项对应的测试脚本，完成序号为7的测评项的测试，以此类推。

待测试目标执行安全测试脚本完毕后，可以获得二级等保测试结果，将二级等保测试结果返回给云服务主机安全测试平台。

再示例地，云服务主机安全测试平台确定待测试目标的测试需求为等保类测试需求，且等保级别是三级时，云服务主机安全测试平台从云服务资源库中获得所有标记有G3的测评项，即图3-图9中序号依次为6、8、12-13、15、17-18、20-23、26、30、32的测评项，所有这些测评项组成了安全测试方案。由于每一个测评项都对应有测试脚本，云服务主机安全测试平台从云服务资源库中获得序号依次为6、8、12-13、15、17-18、20-23、26、30、32的测评项的各自的测试脚本，这些测试脚本组成了与三级等保安全测试方案匹配的安全测试脚本。

云服务主机安全测试平台将安全测试脚本发送给待测试目标，待测试目标依次执行安全测试脚本，按照序号为6、8、12-13、15、17-18、20-23、26、30、32的各项依次进行测试，获得测试结果。例如执行序号为6的测评项对应的测试脚本，完成序号为6的测评项的测试，执行序号为15的测评项对应的测试脚本，完成序号为15的测评项的测试，以此类推。

与等保级别匹配的安全测试方案和与操作系统的类型匹配的安全测试方案也可以包括图3-图9中的多个测评项，具体选用哪些测评项可根据实际需求设置。待测试目标执行与等保级别匹配的安全测试脚本，或与操作系统的类型匹配的安全测试脚本的原理，与执行上述三级等保安全测试方案的安全测试脚本的原理相同，本实施例在此不作赘述。

待测试目标执行安全测试脚本完毕后，可以获得三级等保测试结果，可以将三级等保测试结果返回给云服务主机安全测试平台。

在本实施例中，测试结果报告可以包括测评项、安全问题、测评对象、存在风险、解决方案、处理意见、查看插件、更改密码、处理截图等，具体可根据实际需求选用一项或者多项，本实施例对此不作具体限制。

示例地，一种测试结果报告可以如下所示：

测评项：操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。

安全问题：经检查，已启用口令密码复杂度，但口令最长使用天数42，最小使用天数0，最小长度为0，不满足复杂度要求的设置。

测评对象：应用服务器、数据库服务器。

存在风险：无法防止恶意猜解用户名/口令。

解决方案：目前操作系统的口令均为加密存储。而目前市面上主流的数据库系统用户信息也都采用了加密存储方式，Windows操作系统中口令策略设置可参考：强制口令历史(3个)、最短密码长度(8个字符)、复杂性要求(启用)、最长使用期(70天)等。

处理意见：windows用户策略：gpedit.msc计算机配置-安全策略-密码策略，mysql：安装validate_password插件：INSTALL PLUGIN validate_password SONAME'validate_password.dll'。

查看插件：show global variables like'％validate_password％'。

更改密码：UPDATE user SET password＝PASSWORD("pbbst1qaz@WSX")WHEREuser＝"root"；刷新权限：FLUSH PRIVILEGES。

处理截图：具体如图10所示。图10是本申请一实施例示出的一种处理截图的示意图。

再示例地，一种测试结果报告可以如下所示：

测评项：应及时删除多余的、过期的帐户，避免共享帐户的存在。

安全问题：经检查，有多余过期的账户，比如games/lp/halt/mail等用户。

测评对象：应用服务器、数据库服务器。

存在风险：多余和过期帐户如不及时删除，存在被恶意利用的风险。

解决方案：共享帐户会导致审计困难，造成事件难以追溯。应避免出现多余、过期和共享帐户。

处理意见：删除前，详见图11。图11是本申请一实施例示出的一种处理意见的示意图。

处理截图：删除后，详见图12。图12是本申请一实施例示出的另一种处理截图的示意图。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。

基于同一发明构思，本申请提供了一种测评装置1300。图13是本申请一实施例示出的一种测评装置的结构框图。参照图13，本申请的装置1300可以包括：

第一获得模块1301，用于获得待测试目标的测试需求；

第一确定模块1302，用于根据所述待测试目标的测试需求，确定安全测试方案；

第二获得模块1303，用于获得与所述安全测试方案匹配的安全测试脚本；

测试模块1304，用于通过所述安全测试脚本对所述待测试目标进行测试。

可选地，所述安全测试方案包括至少一个测评项；所述第一确定模块1302包括：

第一确定子模块，用于在所述待测试目标的测试需求为等保类测试需求时，确定等保级别；

第一获得子模块，用于根据与所述等保级别匹配的各测评项获得所述安全测试方案；或；

第二确定子模块，用于在所述待测试目标的测试需求为系统类测试需求时，确定所述待测试目标的操作系统的类型；

第二获得子模块，用于根据与所述操作系统的类型匹配的各测评项获得所述安全测试方案。

可选地，所述装置1300还包括：

第二确定模块，用于在所述待测试目标的测试需求为等保类测试需求和系统类测试需求时，确定等保级别和所述待测试目标的操作系统的类型；

第三获得模块，用于获得与所述等保级别匹配的各测评项和与所述操作系统的类型匹配的各测评项中的公共测评项；

第四获得模块，用于根据所述公共测评项获得所述安全测试方案。

可选地，一个测评项对应一项测试脚本；所述第一获得模块1301包括：

第三获得子模块，用于获得所述安全测试方案中各个测评项的测试脚本；

第四获得子模块，用于根据各个所述测试脚本获得所述安全测试脚本。

可选地，所述测试模块1304包括：

发送子模块，用于将所述安全测试脚本发送到所述待测试目标，以使所述待测试目标执行所述安全测试脚本。

可选地，所述装置1300还包括：

处理模块，用于对所述安全测试脚本进行云化处理；

存储模块，用于存储处理后的所述安全测试脚本。

可选地，所述装置1300还包括：

接收模块，用于接收所述待测试目标执行所述安全测试脚本后返回的测试结果；

生成模块，用于根据所述测试结果生成测试结果报告；

输出模块，用于输出所述测试结果报告。

基于同一发明构思，本申请提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行时实现本申请上述任一实施例所述的测评方法中的步骤。

基于同一发明构思，本申请提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本申请上述任一实施例所述的测评方法中的步骤。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。

最后，还需要说明的是，在本申请中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本发明所提供的一种测评方法、装置、电子设备及可读存储介质，进行了详细介绍，本申请中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。