安全合规性检测方法、装置、计算机设备及存储介质与流程

本申请涉及安全合规性检测领域，特别涉及一种安全合规性检测方法、装置、计算机设备及存储介质。

背景技术：

随着智能终端普及率的提高，市场环境日趋成熟，移动支付逐渐成为人们日常生活不可或缺的一部分，这也使得移动支付安全越来越受到人们的重视。

在相关技术中，对于移动支付的安全合规性检测往往依赖于人工检测或者采用shell脚本(shellscript)辅助检测与人工检测相结合的检测方法实现移动支付的安全合规性检测。

然而，在有人工检测的安全合规性检测过程中，由于人工因素的限制会造成检测效率低，检测安全性低，检测正确率低的现象，即使是在shell脚本辅助检测的安全合规性检测中，也无法避免人工因素造成的影响，同时由于shell脚本运行的局限性，导致安全合规性检测方法的可扩展性差。

技术实现要素：

本申请关于一种安全合规性检测方法、装置、计算机设备及存储介质，该技术方案如下：

一方面，提供了一种安全合规性检测方法，所述方法由服务器执行，所述方法包括：

接收检测终端发送的安全合规性检测命令；

根据所述安全合规性检测命令获取对应的安全合规性检测规则；

将所述安全合规性检测规则下发到代理组件；

接收所述代理组件反馈的检测结果，所述检测结果是所述代理组件根据所述安全合规性检测规则执行相应的安全合规性检测策略获得的结果；

对所述检测结果进行整合统计后发送给所述检测终端，以便所述检测终端在显示界面中显示整合统计后的所述检测结果。

在一种可能的实现方式中，所述根据所述安全合规性检测命令获取对应的安全合规性检测规则，包括：

根据所述安全合规性检测命令获取相应的安全合规性检测标准；

根据所述安全合规性检测标准获取对应的安全合规性检测规则，所述安全合规性检测规则是根据所述安全合规性检测标准预先配置的。

在一种可能的实现方式中，所述接收检测终端发送的安全合规性检测命令之前，还包括：

接收配置终端发送的配置指令；

根据所述配置指令配置所述安全合规性检测标准与所述安全合规性检测规则之间的对应关系。

在一种可能的实现方式中，所述安全合规性检测标准包括网络安全等级保护三级、支付卡行业数据安全标准pcidss以及银联卡支付信息安全管理标准updss中的至少一种。

在一种可能的实现方式中，所述安全合规性检测规则包括区间规则、前置条件以及组合条件中的至少一种；

所述区间规则用于指示所述代理组件进行数值区间的判断；

所述前置条件用于指示所述代理组件在进行数值检测前进行指定条件的判断；

所述组合条件用于指示所述代理组件进行组合逻辑关系的判断。

另一方面，提供了一种安全合规性检测方法，所述方法由代理组件执行，所述方法包括：

接收服务器发送的安全合规性检测规则；

解析所述安全合规性检测规则，获得相应的安全合规性检测策略；

执行所述安全合规性检测策略，获得检测结果；

将所述检测结果发送给服务器，以便所述服务器对所述检测结果进行整合统计后发送给检测终端，由所述检测终端在显示界面中显示整合统计后的所述检测结果。

在一种可能的实现方式中，所述安全合规性检测策略是指所述安全合规性检测规则对应的值的检测，所述值的检测包括值的大小比较，值的区间判断以及值的逻辑关系判断中的至少一种。

另一方面，提供了一种安全合规性检测装置，所述装置用于服务器中，所述装置包括：

第一接收模块，用于接收检测终端发送的安全合规性检测命令；

获取模块，用于根据所述安全合规性检测命令获取对应的安全合规性检测规则；

下发模块，用于将所述安全合规性检测规则下发到代理组件；

第二接收模块，用于接收所述代理组件反馈的检测结果，所述检测结果是所述代理组件根据所述安全合规性检测规则执行相应的安全合规性检测策略获得的结果；

发送模块，用于对所述检测结果进行整合统计后发送给所述检测终端，以便所述检测终端在显示界面中显示整合统计后的所述检测结果。

在一种可能的实现方式中，所述获取模块，包括：

第一获取子模块，用于根据所述安全合规性检测命令获取相应的安全合规性检测标准；

第二获取子模块，用于根据所述安全合规性检测标准获取对应的安全合规性检测规则，所述安全合规性检测规则是根据所述安全合规性检测标准预先配置的。

在一种可能的实现方式中，所述装置还包括：

第三接收模块，用于在所述第一接收模块接收检测终端发送的安全合规性检测命令之前，接收配置终端发送的配置命令；

配置模块，用于根据所述配置指令配置所述安全合规性检测标准与所述安全合规性检测规则之间的对应关系。

在一种可能的实现方式中，所述安全合规性检测标准包括网络安全等级保护三级、支付卡行业数据安全标准pcidss以及银联卡支付信息安全管理标准updss中的至少一种。

在一种可能的实现方式中，所述安全合规性检测规则包括区间规则、前置条件以及组合条件中的至少一种；

所述区间规则用于指示所述代理组件进行数值区间的判断；

所述前置条件用于指示所述代理组件在进行数值检测前进行指定条件的判断；

所述组合条件用于指示所述代理组件进行组合逻辑关系的判断。

另一方面，提供了一种安全合规性检测装置，所述装置用于代理组件中，所述装置包括：

接收模块，用于接收服务器发送的安全合规性检测规则；

解析模块，用于解析所述安全合规性检测规则，获得相应的安全合规性检测策略；

执行模块，用于执行所述安全合规性检测策略，获得检测结果；

发送模块，用于将所述检测结果发送给服务器，以便所述服务器对所述检测结果进行整合统计后发送给检测终端，由所述检测终端在显示界面中显示整合统计后的所述检测结果。

在一种可能的实现方式中，所述安全合规性检测策略是指所述安全合规性检测规则对应的数值检测，所述数值检测包括数值大小的比较，数值区间的判断以及逻辑关系的判断中的至少一种。

另一方面，提供了一种计算机设备，所述计算机设备包括处理器和存储器，所述存储器存储有至少一条指令、至少一条程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现上述本申请实施例中提供的方法。

另一方面，提供了一种计算机可读存储介质，所述可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行以实现上述本申请实施例中提供的方法。

本申请提供的技术方案带来的有益效果至少包括：

通过服务器接收检测终端发送的安全合规性检测命令，根据安全合规性检测命令获取对应的安全合规性检测规则，将安全合规性检测规则下发到agent，接收agent反馈的根据安全合规性检测规则执行相应的安全合规性检测策略获得的检测结果，对该检测结果进行整合统计后发送给检测终端，以便检测终端在显示界面中显示整合统计后的检测结果，使得在安全合规性检测过程中，实现了针对不同的安全合规性检测命令对安全合规性检测规则的自动调整，从而提高了安全合规性检测的检测效率，检测安全性，检测正确率以及检测灵活性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本申请一个示例性实施例提供的安全合规性检测方法的流程图；

图2示出了本申请另一个示例性实施例提供的安全合规性检测方法的流程图；

图3示出了本申请另一个示例性实施例提供的安全合规性检测方法的流程图；

图4示出了本公开一个示例性实施例提供的安全合规性检测装置的结构框图；

图5示出了本公开一个示例性实施例提供的安全合规性检测装置的结构框图；

图6是根据一示例性实施例示出的计算机设备的结构框图；

图7是根据一示例性实施例示出的计算机设备的结构框图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

首先，对本申请实施例中涉及的名词进行简单的介绍：

1)第三方支付行业数据安全标准(paymentcardindustrydatasecuritystandard，pcidss)

pcidss是pci安全标准委员会指定的旨在确保持卡人数据安全的一组要求，有利于全球广泛采用统一的数据安全标准。pcidss中的要求主要是针对在日常运营期间需要处理持卡人数据的公司和机构而提出的。

pcidss从构建并维护安全的网络、保护持卡人数据、维护漏洞管理程序、执行严格的访问控制措施、定期监控和测试网络、维护信息安全策略六个方面对支付系统的安全建设提出了具体的要求。

2)银联卡支付信息安全管理标准(updss)

updss旨在明确和细化对收单业务各参与方在账户信息安全管理方面的要求，防范由收单网络引发的账户信息泄露风险。其对保护的核心对象，即“支付信息”，进行明确定义和分类。目前支付信息明确定义为“银联卡上记录的账户信息、基于银联卡开展支付业务的网络支付账户信息、身份鉴别信息、支付业务涉及的必要个人信息和其他支付相关信息”，细分为敏感支付信息、重要支付信息、一般支付信息。

根据updss要求，只要机构的业务过程涉及银联卡卡号采集、传输、处理、存储任一环节，该机构即适用updss。

当前适用updss的典型机构类型主要分为：银联卡发卡机构、涉及银联卡交易的银行卡清算机构、从事银联卡支付业务的收单机构、基于银联卡的支付账户发行方、银联卡收单特约商户、向银联卡收单机构提供收单专业化服务的机构、聚合支付服务商、涉及银联卡业务的其他参与方。

3)网络安全等级保护三级

《信息安全技术信息系统安全等级保护测评要求》等相关标准，将等级保护分为“技术”和“管理”两大模块，其中技术部分包含：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复共五个方面；管理部分包含：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理共五个方面。

等级保护三级的评测项目包括：结构安全、访问控制、入侵防范、网络设备防护、安全审计、软件容错、数据备份与恢复等方面。

4)网络安全合规性检测

网络安全合规性检测是指对信息系统及生产环境(包括网络策略、系统主机、数据库、中间件、应用系统、系统本身的数据安全与备份恢复策略)开展的安全性检测。依据等级保护基本要求、南网互联网(internettechnology，it)基线技术规范、入网安全测评管理办法等标准，从身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制等方面，对各类安全配置进行核查，各类安全防护措施进行检测，对各类安全漏洞进行扫描。

5)代理(agent)

agent指能够自主活动的软件或者硬件实体，在本申请实施例中，特指主机上运行的后台程序，用来解析安全合规性检测规则，并执行安全合规性检测规则对应的安全合规性检测策略，获取检测结果，并向服务器反馈检测结果。

在相关技术中，为了实现对机器的安全合规性检测，通常采用纯人工检测或者使用shell脚本辅助检测两种方式来实现。

具体表现为，纯人工检测方案是人工登录每一台机器，然后根据合规要求去查看每一个需要检测的配合或者进程信息，最终使用excel记录每一个检测项，并进行评分，最后计算总分，以实现对机器的安全合规性检测；而使用shell脚本辅助检测的方案是使用shell脚本输出主机类检测项和评分，记录到excel上，并整合其他检测项进行总分计算。

在纯人工检测方案中，由于依赖于人工操作会造成检测效率处于一个较低的状态，且人工在对每一台机器进行检测时，都需要被赋予相应的权限，使得检测过程的安全性较低，由于人工操作会在检测过程或者数据记录评分过程中存在一定的错误率，中间的每一项错误都会导致最终对机器安全合规性检测结果造成影响，因此人工检测方案错误率较高。综上，纯人工检测存在检测效率低，安全性低，正确性低的缺点。

使用shell脚本辅助检测方案中，由于shell脚本在使用过程中，一般都已经将检测逻辑固定了，也就是一个shell脚本只对应一个检测场景，对于两个差距较小的检测场景，也就是说至替换了某一个检测场景中的一个检测项目，则需要重新进项shell脚本的编写，因此使用shell脚本辅助检测方案的可扩展性较差；使用shell脚本辅助检测虽然在一些方面替换了人工操作，比如需要人工查看混合硬盘(solidstatehybriddrive，sshd)的配置，网络端口是否已打开，正在运行的进程以及查看安装包等操作，但对于另一些操作shell脚本则不能替换人工操作，比如登录主机。查看网络拓扑等操作，这些操作仍需要人工操作来实现，由于shell脚本指示在一些方面替换了人工操作，因此虽然使用shell脚本辅助检测在一定程度上提高了检测效率，但由于人工操作存在的弊端，所以使用shell脚本辅助检测仍存在效率低、安全性低、正确性低的缺点。综上，使用shell脚本辅助检测存在可延展性差、检测效率低、安全性低、正确率低的缺点。

为解决上述相关技术中的安全合规性检测方案中的缺点，本申请提供了一种安全合规性检测方法，可以实现安全合规性检测的自动化。请参考图1，其示出了本申请一个示例性实施例提供的安全合规性检测方法的流程图，该方法由服务器执行，如图1所示，该方法包括：

步骤110，接收检测终端发送的安全合规性检测命令。

可选的，在该终端的显示界面中提供有供用户进行触控交互的多个检测按钮，不同的检测按钮对应不同的检测项目，该检测项目可以是不同安全合规检测标准下的同一检测项目，也可以是同一安全合规检测标准下的不同检测项目，比如，在一种可能的情况下，用户可以通过对检测按钮的触控操作来触发在同一安全合规性检测标准下对机器进行同一检测项目的安全合规性检测，或者，在同一安全合规性检测标准下对机器进行多个检测项目的安全合规性检测，或者，在不同的安全合规性检测标准下对机器进行同一检测项目的安全合规性检测，或者，在不同的安全合规性检测标准下对机器进行多个检测项目的安全合规性检测。

当用户通过触控检测按钮触发安全合规性检测时，对应的，服务器会接收到该安全合规性检测命令。

步骤120，根据安全合规性检测命令获取对应的安全合规性检测规则。

终端显示界面中的触控按钮对应于不同的安全合规性检测接口(applicationprogramminginterface，api)，通过调用检测api将安全合规性检测命令发送给服务器，服务器中存储有安全合规性检测规则库，该安全合规性检测规则库中存储有对应于各个安全合规性检测标准中的检测项目的安全合规性检测规则，当服务器接收到终端发送的安全合规性检测命令时，服务器能够根据终端发送的安全合规性检测命令所指示的安全合规性检测标准和检测项目从存储的安全合规性检测规则库中获取对应于该安全合规性监测标准和检测项目的检测规则。

步骤130，将安全合规性检测规则下发到代理组件。

在本申请实施例中代理组件可以是主机上运行的后台程序，也可以是硬件实体，或者是软件和硬件相结合的组件，用于对接收到的安全合规性检测规则进行解析，并执行相应的响应策略，获得相应的检测结果，并将检测结果反馈给服务器。

步骤140，接收代理组件反馈的检测结果，该检测结果是代理组件根据安全合规性检测规则执行相应的安全合规性检测策略获得的结果。

其中，该检测结果可以是对每一个检测项目的检测结果，可以包括每一个检测项目的详细描述、实际值、标准值、分数和是否通过等。

步骤150，对检测结果进行整合统计后发送给检测终端，以便检测终端在显示界面中显示整合统计后的检测结果。

agent反馈给服务器的检测结果是对各个检测项目的检测结果，服务器会对这些检测结果进行整合统计，获得总分和每个检测项目的评分以及其他相关信息，并将统计整合后的结果发送给检测终端，由检测终端在显示界面中显示总分和每个检查项目的评分结果以及其他相关信息。

综上所述，本申请实施例中提供的安全合规性检测方法，应用于服务器中，通过接收检测终端发送的安全合规性检测命令，根据安全合规性检测命令获取对应的安全合规性检测规则，将安全合规性检测规则下发到agent，接收agent反馈的根据安全合规性检测规则执行相应的安全合规性检测策略获得的检测结果，对该检测结果进行整合统计后发送给检测终端，以便检测终端在显示界面中显示整合统计后的检测结果，使得在安全合规性检测过程中，实现了针对不同的安全合规性检测命令对安全合规性检测规则的自动调整，从而提高了安全合规性检测的检测效率，检测安全性，检测正确率以及检测灵活性。

对应于图1所示实施例提供的安全合规性检测方法，对于agent侧，请参考图2，其示出了本申请一个示例性实施例提供的安全合规性检测方法的流程图，该方法由agent执行，如图2所示，该方法包括：

步骤210，接收服务器发送的安全合规性检测规则。

步骤220，解析安全合规性检测规则，获得相应的安全合规性检测策略。

其中，该安全合规性检测策略可以是通过解析该安全合规性检测规则获得的函数关系，比如，该函数关系可以是对值的检测，agent可以根据通过执行相应的函数计算获得的计算结果来实现安全合规性检测。

步骤230，执行安全合规性检测策略，获得检测结果。

步骤240，将检测结果发送给服务器，以便服务器对检测结果进行整合统计后发送给检测终端，由检测终端在显示界面中显示整合统计后的检测结果。

综上所述，本申请实施例中提供的安全合规性检测方法，应用于agent中，通过接收检测接收服务器发送的安全合规性检测规则，解析安全合规性检测规则，获得相应的安全合规性检测策略，执行安全合规性检测策略，获得检测结果，将检测结果发送给服务器，以便服务器对检测结果进行整合统计后发送给检测终端，由检测终端在显示界面中显示整合统计后的检测结果，使得在安全合规性检测过程中，实现了针对不同的安全合规性检测命令对安全合规性检测规则的自动调整，从而提高了安全合规性检测的检测效率，检测安全性，检测正确率以及检测灵活性。

结合图1与图2所示实施例中的安全合规性检测方法，请参考图3，其示出了本申请一个示例性实施例提供的安全合规性检测方法的流程图，该方法由检测终端，配置终端、服务器以及agent交互执行，如图3所示，该方法包括：

步骤301，配置终端发送配置指令，相应的，服务器接收终端发送的配置指令。

其中，配置终端用于提供后台配置界面，开发人员可以在后台配置界面中可以对安全合规性检测规则进行分类，并按照不同安全合规性检测标准的检测项目对安全合规性检测规则进行组合配置。

配置终端向服务器发送配置指令中可以包含有开发人员配置好的安全和规定检测规则、不同安全合规性检测标准的检测项目以及两者之间的对应关系，用以指示服务器根据该配置命令在服务器中配置发送到服务器的安全合规性检测规则与安全合规性检测标准中的检测项目之间的对应关系。

步骤302，服务器根据配置指令配置安全合规性检测标准与安全合规性检测规则之间的对应关系。

可选的，该安全合规性检测标准包括网络安全等级保护三级、支付卡行业数据安全标准pcidss以及银联卡支付信息安全管理标准updss中的至少一种。

步骤303，检测终端发送安全合规性检测命令，相应的，服务器接收检测终端发送的安全合规性检测命令。

步骤304，服务器根据安全合规性检测命令获取相应的安全合规性检测标准。

一个安全合规性检测标准中，可以包含多个检测项目的检测标准，不同的安全合规性检测标准中，对于同一个检测项目可能存在不同的检测标准，比如对于同一台机器的同一个检测项目而言，在安全合规性检测标准a中规定该机器在该检测项目中的机器参数在(0，100)区间内为合格，但在安全合规性检测标准b中则规定该机器在该检测项目中的机器参数在(0，80)区间内为合格，当该机器在该检测项目中的机器参数为90时，在安全合规性检测标准a中，该机器的参数是合格的，但对于安全合规性检测标准b而言，该机器参数则是不合格的。

由于用户对于机器的检测项目可以是多个检测项目之间的组合，且该多个检测项目可能属于不同的安全合规检测标准，所以对应于检测终端发送的安全合规性检测命令可以对应于多个安全合规性检测标准中的检测项目，因此，需要先对该安全合规性检测命令中涉及到的安全合规性检测标准进行判断，以获取相应安全合规性检测标准下的检测项目对应的安全合规性检测规则。

步骤305，服务器根据安全合规性检测标准获取对应的安全合规性检测规则，该安全合规性检测规则是根据安全合规性检测标准预先配置的。

可选的，安全合规性检测规则包括区间规则、前置条件以及组合条件中的至少一种；

区间规则用于指示代理组件进行数值区间的判断；

比如，对于安全合规性检测的某一检测项目是对某一文件的配置项中的数字进行安全合规性检测，当该数字处于摸一个区间范围内时，则判断该文件符合安全合规性续需求。

其中该区间规则所指示的数值区间可以根据安全合规性检测标准设置为开区间，也可以为闭区间。

前置条件用于指示代理组件在进行数值检测前进行指定条件的判断；

对于安全合规性检测的某一检测项目是对某一属性进行安全合规性检测，但是在进对该参数的安全合规性检测前，需要进行一些关于其他属性的预检测，比如，在邮件日志检测项目中，首先要检测syslogd进程是否存在，查看邮件是否在syslogd配置文件中配置，当上述条件否满足，也就是syslogd进程存在，且邮件在syslogd配置文件中配置，才能对查看是否存在邮件日志的记录。

组合条件用于指示代理组件进行组合逻辑关系的判断。

组合条件是指对同一参数或者属性的多个条件进行与、或等逻辑关系的组合，比如，对于条件(value>0&&value<100)表示value大于0且小于100时符合安全合规性检测规则。

步骤306，服务器将安全合规性检测规则下发到代理组件，相应的，代理组件接收安全合规性检测规则。

步骤307，代理组件解析安全合规性检测该规则，获得相应的安全合规性检测策略。

可选的，该安全合规性检测策略是指根据安全合规性检测规则预设的值的检测，该值的检测包括值的大小比较，值的区间判断以及值的逻辑关系判断中的至少一种。

步骤308，代理组件执行安全合规性检测策略，获得检测结果。

比如，在一次安全合规性检测中提供如下规则：

agent获取到上述规则后，对该规则进行解析，检测到对应的“uuid”后进一步获取到pre_param(前置条件)和param(具体合规条件)，先对pre_param进行检测，由于pre_param为空，所以不需要进行前置条件的检测，下一步进行param的检测，type为“check_redis”，agent会调此次方法获取到相应的value(值)，安全合规性检测规则rule为(value>0&&value<100)||valuein[12:123)表示，当value在大于0小于100的区间内或者在大于等于12小于123的区间内，则通过安全合规性检测，假设value是110，因为value大于100，不满足(value>0&&value<100)，但是value在[12:123)中，所以通过安全合规性检测。

步骤309，代理组件向服务器反馈检测结果，相应的服务器接收代理组件反馈的检测结果，该检测结果是代理组件根据安全合规性检测规则执行相应的安全合规性检测策略获得的结果。

步骤310，服务器对检测结果进行整合统计后发送给检测终端，相应的，检测终端接收到服务器整合统计后的检测结果，并在显示界面中显示整合统计后的检测结果。

综上所述，本申请实施例中提供的安全合规性检测，通过服务器接收检测终端发送的安全合规性检测命令，根据安全合规性检测命令获取对应的安全合规性检测规则，将安全合规性检测规则下发到agent，接收agent反馈的根据安全合规性检测规则执行相应的安全合规性检测策略获得的检测结果，对该检测结果进行整合统计后发送给检测终端，以便检测终端在显示界面中显示整合统计后的检测结果，使得在安全合规性检测过程中，实现了针对不同的安全合规性检测命令对安全合规性检测规则的自动调整，从而提高了安全合规性检测的检测效率，检测安全性，检测正确率以及检测灵活性。

请参考图4，其示出了本公开一个示例性实施例提供的安全合规性检测装置的结构框图，该装置用于服务器中，如图4所示，该装置包括：

第一接收模块410，用于接收检测终端发送的安全合规性检测命令；

获取模块420，用于根据安全合规性检测命令获取对应的安全合规性检测规则；

下发模块430，用于将安全合规性检测规则下发到代理组件；

第二接收模块440，用于接收代理组件反馈的检测结果，检测结果是代理组件根据安全合规性检测规则执行相应的安全合规性检测策略获得的结果；

发送模块450，用于对检测结果进行整合统计后发送给检测终端，以便检测终端在显示界面中显示整合统计后的检测结果。

在一种可能的实现方式中，该获取模块420，包括：

第一获取子模块，用于根据安全合规性检测命令获取相应的安全合规性检测标准；

第二获取子模块，用于根据安全合规性检测标准获取对应的安全合规性检测规则，该安全合规性检测规则是根据安全合规性检测标准预先配置的。

在一种可能的实现方式中，该装置还包括：

第三接收模块，用于在第一接收模块接收检测终端发送的安全合规性检测命令之前，接收配置终端发送的配置命令；

配置模块，用于根据配置指令配置安全合规性检测标准与安全合规性检测规则之间的对应关系。

在一种可能的实现方式中，安全合规性检测标准包括网络安全等级保护三级、支付卡行业数据安全标准pcidss以及银联卡支付信息安全管理标准updss中的至少一种。

在一种可能的实现方式中，安全合规性检测规则包括区间规则、前置条件以及组合条件中的至少一种；

区间规则用于指示代理组件进行数值区间的判断；

前置条件用于指示代理组件在进行数值检测前进行指定条件的判断；

组合条件用于指示代理组件进行组合逻辑关系的判断。

综上所述，本申请实施例中提供的安全合规性检测装置，应用于服务器中，通过接收检测终端发送的安全合规性检测命令，根据安全合规性检测命令获取对应的安全合规性检测规则，将安全合规性检测规则下发到agent，接收agent反馈的根据安全合规性检测规则执行相应的安全合规性检测策略获得的检测结果，对该检测结果进行整合统计后发送给检测终端，以便检测终端在显示界面中显示整合统计后的检测结果，使得在安全合规性检测过程中，实现了针对不同的安全合规性检测命令对安全合规性检测规则的自动调整，从而提高了安全合规性检测的检测效率，检测安全性，检测正确率以及检测灵活性。

请参考图5，其示出了本公开一个示例性实施例提供的安全合规性检测装置的结构框图，该装置用于服务器中，如图5所示，该装置包括：

接收模块510，用于接收服务器发送的安全合规性检测规则；

解析模块520，用于解析安全合规性检测规则，获得相应的安全合规性检测策略；

执行模块530，用于执行安全合规性检测策略，获得检测结果；

发送模块540，用于将检测结果发送给服务器，以便服务器对检测结果进行整合统计后发送给检测终端，由检测终端在显示界面中显示整合统计后的检测结果。

在一种可能的实现方式中，安全合规性检测策略是指安全合规性检测规则对应的数值检测，数值检测包括数值大小的比较，数值区间的判断以及逻辑关系的判断中的至少一种。

综上所述，本申请实施例中提供的安全合规性检测装置，应用于agent中，通过接收检测接收服务器发送的安全合规性检测规则，解析安全合规性检测规则，获得相应的安全合规性检测策略，执行安全合规性检测策略，获得检测结果，将检测结果发送给服务器，以便服务器对检测结果进行整合统计后发送给检测终端，由检测终端在显示界面中显示整合统计后的检测结果，使得在安全合规性检测过程中，实现了针对不同的安全合规性检测命令对安全合规性检测规则的自动调整，从而提高了安全合规性检测的检测效率，检测安全性，检测正确率以及检测灵活性。

图6是根据一示例性实施例示出的计算机设备600的结构框图。该计算机设备600可以实现为上述方案中的检测终端和配置终端，比如智能手机、平板电脑或台式电脑。计算机设备600还可能被称为用户设备、便携式终端、膝上型终端、台式终端等其他名称。

通常，计算机设备600包括有：处理器601和存储器602。

处理器601可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器601可以采用dsp(digitalsignalprocessing，数字信号处理)、fpga(field－programmablegatearray，现场可编程门阵列)、pla(programmablelogicarray，可编程逻辑阵列)中的至少一种硬件形式来实现。处理器601也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称cpu(centralprocessingunit，中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器601可以在集成有gpu(graphicsprocessingunit，图像处理器)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器601还可以包括ai(artificialintelligence，人工智能)处理器，该ai处理器用于处理有关机器学习的计算操作。

存储器602可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器602还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中，存储器602中的非暂态的计算机可读存储介质用于存储至少一个指令，该至少一个指令用于被处理器601所执行以实现本申请中方法实施例提供的方法。

在一些实施例中，计算机设备600还可选包括有：外围设备接口603和至少一个外围设备。处理器601、存储器602和外围设备接口603之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外围设备接口603相连。具体地，外围设备包括：射频电路604、触摸显示屏605、摄像头606、音频电路607、定位组件608和电源609中的至少一种。

外围设备接口603可被用于将i/o(input/output，输入/输出)相关的至少一个外围设备连接到处理器601和存储器602。在一些实施例中，处理器601、存储器602和外围设备接口603被集成在同一芯片或电路板上；在一些其他实施例中，处理器601、存储器602和外围设备接口603中的任意一个或两个可以在单独的芯片或电路板上实现，本实施例对此不加以限定。

射频电路604用于接收和发射rf(radiofrequency，射频)信号，也称电磁信号。射频电路604通过电磁信号与通信网络以及其他通信设备进行通信。射频电路604将电信号转换为电磁信号进行发送，或者，将接收到的电磁信号转换为电信号。可选地，射频电路604包括：天线系统、rf收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路604可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于：万维网、城域网、内联网、各代移动通信网络(2g、3g、4g及5g)、无线局域网和/或wifi(wirelessfidelity，无线保真)网络。在一些实施例中，射频电路604还可以包括nfc(nearfieldcommunication，近距离无线通信)有关的电路，本申请对此不加以限定。

显示屏605用于显示ui(userinterface，用户界面)。该ui可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏605是触摸显示屏时，显示屏605还具有采集在显示屏605的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器601进行处理。此时，显示屏605还可以用于提供虚拟按钮和/或虚拟键盘，也称软按钮和/或软键盘。在一些实施例中，显示屏605可以为一个，设置计算机设备600的前面板；在另一些实施例中，显示屏605可以为至少两个，分别设置在计算机设备600的不同表面或呈折叠设计；在再一些实施例中，显示屏605可以是柔性显示屏，设置在计算机设备600的弯曲表面上或折叠面上。甚至，显示屏605还可以设置成非矩形的不规则图形，也即异形屏。显示屏605可以采用lcd(liquidcrystaldisplay，液晶显示屏)、oled(organiclight-emittingdiode,有机发光二极管)等材质制备。

摄像头组件606用于采集图像或视频。可选地，摄像头组件606包括前置摄像头和后置摄像头。通常，前置摄像头设置在终端的前面板，后置摄像头设置在终端的背面。在一些实施例中，后置摄像头为至少两个，分别为主摄像头、景深摄像头、广角摄像头、长焦摄像头中的任意一种，以实现主摄像头和景深摄像头融合实现背景虚化功能、主摄像头和广角摄像头融合实现全景拍摄以及vr(virtualreality，虚拟现实)拍摄功能或者其它融合拍摄功能。在一些实施例中，摄像头组件606还可以包括闪光灯。闪光灯可以是单色温闪光灯，也可以是双色温闪光灯。双色温闪光灯是指暖光闪光灯和冷光闪光灯的组合，可以用于不同色温下的光线补偿。

音频电路607可以包括麦克风和扬声器。麦克风用于采集用户及环境的声波，并将声波转换为电信号输入至处理器601进行处理，或者输入至射频电路604以实现语音通信。出于立体声采集或降噪的目的，麦克风可以为多个，分别设置在计算机设备600的不同部位。麦克风还可以是阵列麦克风或全向采集型麦克风。扬声器则用于将来自处理器601或射频电路604的电信号转换为声波。扬声器可以是传统的薄膜扬声器，也可以是压电陶瓷扬声器。当扬声器是压电陶瓷扬声器时，不仅可以将电信号转换为人类可听见的声波，也可以将电信号转换为人类听不见的声波以进行测距等用途。在一些实施例中，音频电路607还可以包括耳机插孔。

定位组件608用于定位计算机设备600的当前地理位置，以实现导航或lbs(locationbasedservice，基于位置的服务)。定位组件608可以是基于美国的gps(globalpositioningsystem，全球定位系统)、中国的北斗系统或俄罗斯的伽利略系统的定位组件。

电源609用于为计算机设备600中的各个组件进行供电。电源609可以是交流电、直流电、一次性电池或可充电电池。当电源609包括可充电电池时，该可充电电池可以是有线充电电池或无线充电电池。有线充电电池是通过有线线路充电的电池，无线充电电池是通过无线线圈充电的电池。该可充电电池还可以用于支持快充技术。

在一些实施例中，计算机设备600还包括有一个或多个传感器610。该一个或多个传感器610包括但不限于：加速度传感器611、陀螺仪传感器612、压力传感器613、指纹传感器614、光学传感器615以及接近传感器616。

加速度传感器611可以检测以计算机设备600建立的坐标系的三个坐标轴上的加速度大小。比如，加速度传感器611可以用于检测重力加速度在三个坐标轴上的分量。处理器601可以根据加速度传感器611采集的重力加速度信号，控制触摸显示屏605以横向视图或纵向视图进行用户界面的显示。加速度传感器611还可以用于游戏或者用户的运动数据的采集。

陀螺仪传感器612可以检测计算机设备600的机体方向及转动角度，陀螺仪传感器612可以与加速度传感器611协同采集用户对计算机设备600的3d动作。处理器601根据陀螺仪传感器612采集的数据，可以实现如下功能：动作感应(比如根据用户的倾斜操作来改变ui)、拍摄时的图像稳定、游戏控制以及惯性导航。

压力传感器613可以设置在计算机设备600的侧边框和/或触摸显示屏605的下层。当压力传感器613设置在计算机设备600的侧边框时，可以检测用户对计算机设备600的握持信号，由处理器601根据压力传感器613采集的握持信号进行左右手识别或快捷操作。当压力传感器613设置在触摸显示屏605的下层时，由处理器601根据用户对触摸显示屏605的压力操作，实现对ui界面上的可操作性控件进行控制。可操作性控件包括按钮控件、滚动条控件、图标控件、菜单控件中的至少一种。

指纹传感器614用于采集用户的指纹，由处理器601根据指纹传感器614采集到的指纹识别用户的身份，或者，由指纹传感器614根据采集到的指纹识别用户的身份。在识别出用户的身份为可信身份时，由处理器601授权该用户执行相关的敏感操作，该敏感操作包括解锁屏幕、查看加密信息、下载软件、支付及更改设置等。指纹传感器614可以被设置计算机设备600的正面、背面或侧面。当计算机设备600上设置有物理按键或厂商logo时，指纹传感器614可以与物理按键或厂商logo集成在一起。

光学传感器615用于采集环境光强度。在一个实施例中，处理器601可以根据光学传感器615采集的环境光强度，控制触摸显示屏605的显示亮度。具体地，当环境光强度较高时，调高触摸显示屏605的显示亮度；当环境光强度较低时，调低触摸显示屏605的显示亮度。在另一个实施例中，处理器601还可以根据光学传感器615采集的环境光强度，动态调整摄像头组件606的拍摄参数。

接近传感器616，也称距离传感器，通常设置在计算机设备600的前面板。接近传感器616用于采集用户与计算机设备600的正面之间的距离。在一个实施例中，当接近传感器616检测到用户与计算机设备600的正面之间的距离逐渐变小时，由处理器601控制触摸显示屏605从亮屏状态切换为息屏状态；当接近传感器616检测到用户与计算机设备600的正面之间的距离逐渐变大时，由处理器601控制触摸显示屏605从息屏状态切换为亮屏状态。

本领域技术人员可以理解，图6中示出的结构并不构成对计算机设备600的限定，可以包括比图示更多或更少的组件，或者组合某些组件，或者采用不同的组件布置。

图7是根据一示例性实施例示出的计算机设备700的结构框图。该计算机设备可以实现为本申请上述方案中的服务器和agent。所述计算机设备700包括中央处理单元(centralprocessingunit，cpu)701、包括随机存取存储器(randomaccessmemory，ram)702和只读存储器(read-onlymemory，rom)703的系统存储器704，以及连接系统存储器704和中央处理单元701的系统总线705。所述计算机设备700还包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(input/output系统，i/o系统)706，和用于存储操作系统713、应用程序714和其他程序模块715的大容量存储设备707。

所述基本输入/输出系统706包括有用于显示信息的显示器708和用于用户输入信息的诸如鼠标、键盘之类的输入设备709。其中所述显示器708和输入设备709都通过连接到系统总线705的输入输出控制器710连接到中央处理单元701。所述基本输入/输出系统706还可以包括输入输出控制器710以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地，输入输出控制器710还提供输出到显示屏、打印机或其他类型的输出设备。

所述大容量存储设备707通过连接到系统总线705的大容量存储控制器(未示出)连接到中央处理单元701。所述大容量存储设备707及其相关联的计算机可读介质为计算机设备700提供非易失性存储。也就是说，所述大容量存储设备707可以包括诸如硬盘或者只读光盘(compactdiscread-onlymemory，cd-rom)驱动器之类的计算机可读介质(未示出)。

不失一般性，所述计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括ram、rom、可擦除可编程只读寄存器(erasableprogrammablereadonlymemory，eprom)、电子抹除式可复写只读存储器(electrically-erasableprogrammableread-onlymemory，eeprom)、闪存或其他固态存储其技术，cd-rom、数字多功能光盘(digitalversatiledisc，dvd)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然，本领域技术人员可知所述计算机存储介质不局限于上述几种。上述的系统存储器704和大容量存储设备707可以统称为存储器。

根据本申请的各种实施例，所述计算机设备700还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即计算机设备700可以通过连接在所述系统总线705上的网络接口单元711连接到网络712，或者说，也可以使用网络接口单元711来连接到其他类型的网络或远程计算机系统(未示出)。

所述存储器还包括一个或者一个以上的程序，所述一个或者一个以上程序存储于存储器中，中央处理器701通过执行该一个或一个以上程序来实现图1、图2或图3所示的方法的全部或者部分步骤。

本领域技术人员可以理解，在上述一个或多个示例中，本申请实施例所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

本申请实施例还提供了一种计算机可读存储介质，用于存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现上述安全合规性检测方法。例如，该计算机可读存储介质可以是rom、ram、cd-rom、磁带、软盘和光数据存储设备等。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。