随着信息价值的不断提高、网络的使用日益广泛,信息产品受到的安全威胁日益加大,信息安全在当前这个信息社会中扮演着关键的角色。由此衍生的另一个领域一一信息安全测评也随着信息安全这一行业的壮大慢慢浮出水面,成为信息技术领域中的一个新兴课题。目前我国这方面的研究工作主要集中在组织架构和业务体系的建立上,相应的标准体系和技术体系还处于研究阶段,而且信息系统安全检测和评估过程的大部分工作还是由手动完成,导致工作量大、周期长,因此,很有必要进一步研发符合相关安全标准的自动化程度高的测评工具,以简化信息系统安全评估的工作量。本文针对国内信息系统安全测评领域的发展现状,在总结了以往测评自动化系统和融合了之前总结的渗透测试理论和技术的基础上,提出了一种改进的信息安全自动化测评框架。扫描局域网内的存活主机,对目标主机进行操作系统探测。根据操作系统的类型和版本,选择相应的规则对其进行测评。测评方法包括基于Telnet/SSH的数据采集、编写模拟攻击插件对漏洞进行检测。针对信息系统安全问题的不确定性、复杂性,引入模糊数学综合评价的理论和方法,进一步提高信息系统安全评估结果的准确性。改进后的测评框架提高了测评的自动化水平,简化了信息系统安全测评的工作量,为测评人员提供更好的测试平台,以适应未来发展的需要。