随着“互联网+”作为一项国家战略在各行各业的推进,互联网信息系统的安全问题日益凸显。对于绝大多数中小规模信息系统来说,其存在的安全风险千差万别,都希望能够有一种按需定制的低成本安全检测方案,而虽然现存的安全工具种类繁多,但却又面临着缺乏统一安全基础设施支持的难题。因此,本文希望为信息系统的安全检测设计一个基础支撑结构,集成一系列辅助的、支撑的、方便易用的实用工具,同时提供第三方工具的扩展接口,降低安全检测平台开发门槛,从而使得开发人员可以根据信息系统的实际安全需求快速的构建安全解决方案。基于这个问题,本文分析并抽象出扫描引擎、任务调度器、可扩展数据库、缓存系统等安全检测平台最常使用的基础组件,使用多种开源技术和成熟算法,并通过多种可扩展技术将它们有机结合起来,设计并实现了一个安全检测基础支持结构,并命名为“信息系统安全检测框架”。信息系统安全检测框架创新性的使用容器技术作为框架设计的基础,使得不同语言、不同系统、不同依赖或不同运行环境的不能完全兼容的安全工具能够同时运行在框架容器之上。得益于这样的设计,开发人员可以自由选用最好或最熟悉的第三方安全工具集成到框架之中,并在框架扫描引擎和调度器的驱动下发挥出远超其原始设计的自动化扫描能力。另一方面,信息系统安全检测框架也为安全工具的开发提供了新的思路,一些数十行的简单的代码在框架支撑下也能够发挥出强大的自动分析能力,使得更多轻量级的扫描、数据分析、统计功能成为可能,安全运维人员可以从更多的角度来全面审视信息系统所面临的安全问题。最后,为了验证框架的实用性,本文还使用框架开发了一个信息系统安全检测平台,基于一些安全工具和自行编写的代码,提供诸如SQL注入漏洞探测、恶意链接扫描、敏感词检测、错误失效链接发现等多种针对信息系统的分析扫描功能,并在测试平台上取得了良好的效果。