随着大数据、物联网等信息技术的快速发展,网络安全评价成为保障信息系统正常运行的基础技术。网络安全评价是能够正确分析信息系统等目标系统的安全质量、运行状况、符合程度并实现持续改进的重要手段。评价指标体系抽象难、细化粒度不可控、不同模型的评价结果无法对比等现状造成的信息系统安全性评价“合理性不足”及海量信息带来的“评判不确定性”等问题,为安全性评价带来了极大的挑战。此外,信息系统本身的异构性、动态性及其运行环境的复杂性等特征,进一步增加了系统安全性评价难度。如何在现有标准和法律法规的基础上,设计有效、合理的安全性评价模型是亟待解决的问题。关联性分析、层次分析等传统的系统安全性评价方法更适用于单一产品或耦合性低、网络结构简单的信息系统,已经不再适用于日益复杂的异构信息系统。基于此,本文开展了信息系统安全性评价关键技术研究,主要工作和创新点包括以下四个方面。（1）支持标准化度量指标体系的安全性评价模型针对评价指标体系抽象难、细化粒度不可控而导致的“合理性不足”问题,提出了支持标准化度量指标体系的安全性评价模型。首先,依据通用准则和国家标准要求,构建了包含机密性、可鉴别性、可控性、可用性等安全属性在内的标准化评价指标体系。其次,提出了基于区分度的度量指标体系优化算法,以实现指标筛选,提高指标体系的区分度。最后,采用主客观结合确权的模糊综合评价算法,实现系统的客观评价。实验结果表明,该模型能够对机密稳健复杂系统进行评价,提高了安全性评价的合理性。（2）基于模型适配的反馈型安全性评价模型针对不同评价模型的结果无法横向对比导致的“合理性不足”问题,分析安全评价模型的分类及特点,构建了支持模型适配的系统安全性评价框架。在该框架中提出了一种基于多级分解反馈的信息安全综合评价模型,对目标对象的指标体系进行细化,并依据改进的基于理想解相似排序的安全性综合评价算法进行评价。为了验证评价模型的合理性,提出了基于首尾顺序一致的安全性评价模型合理性验证方法,依据首尾一致性、降幅比、标准差等参数来分析模型的评价效果,得到目标对象的适配评价模型。实验结果表明,该方法能够对比不同类别评价模型的效果,增强了不同模型之间的对比性,依据适配评价模型提升了评价的合理性。（3）基于安全关键件的时序动态安全性评价方法针对网络态势感知技术在对信息系统安全性进行定量分析时存在的“数据量大、价值密度低、评判不确定性”问题,提出了基于安全关键件的时序动态安全性评价方法。具体的,基于威胁攻击树分析方法选取信息系统中的安全关键件,对信息系统中安全关键件进行形式化描述,利用基于变异系数法的评价算法,对关键件安全性进行评价,最终实现从局部安全性到全局安全性状态的描绘。基于网络中采集的数据,开展了关键件的选取和评价实验,实验表明该评价方法能够减少海量信息带来的评判不确定性。（4）基于模糊Choquet积分的弹性安全性评价方法信息系统采用内生安全机制,具有弹性防御能力,给信息系统安全性评价带来不确定性。针对传统安全性评价模型无法准确描述内生安全防御技术改造后信息系统的问题,提出了基于模糊Choquet积分的弹性安全性评价方法。结合内生安全机制特点,构建系统性能、系统服务能力、攻击活动和系统脆弱性等指标体系,采用模糊Choquet积分,实现安全性评价内涵到弹性安全性的扩展。最后,基于攻防场景建模,开展了动态防御Web信息系统的安全弹性评价,实验表明该方法实现了对具备弹性防御能力的信息系统安全性评价,增加了安全性评价的适用范围。综上所述,论文工作对评价指标体系构建和安全性评价模型合理性分析等难点进行突破,应用模糊数学、数理统计和优化分析等理论和方法,采用指标体系优化、模型适配、安全关键件选取、弹性安全性评价等技术手段,提升了安全性评价合理性,为信息系统安全性评价工作提供有效支撑。