安全态势评估是指通过获取一定时间、空间内的安全元素, 并对所获取的数据信息进行整合分析从而判断当前系统安全状况的过程^[1]。安全态势评估模型对于信息系统安全管理人员获取系统动态安全形势，判定系统异常事件并做出合理决策十分必要。

付钰等^[2]提出了基于熵权系数法的信息系统安全风险综合评估模型，利用熵权系数法确定指标权重向量并减少专家经验的主观性影响。Luo等^[3]提出了一种基于灰色综合测度的风险评估模型，但评估模型缺少管理维度指标。席荣荣等^[4]提出了一种改进的网络安全态势量化评估模型，通过博弈法优化网络安全态势量化值，但信息源过于单一。Shu等^[5]提出了一种基于网络安全漏洞的网络安全风险评估模型，通过网络漏洞定量评估网络安全风险, 但该模型所需数据量大，风险基线确定受专家偏好影响且算法复杂度高。Hemanidhi等^[6]通过对不同漏洞检测工具下的网络风险量化结果加权计算得到网络总风险值，但对不同检测工具的风险值权重分配不够合理。Eom等^[7]结合威胁频率、资产暴露程度和资产受保护程度提出风险量化公式，但威胁频率的确定受主观因素影响。Rimsha等^[8]提出了基于邻接矩阵的信息安全风险评估方法, 但阶数较高的邻接矩阵将导致风险值与实际安全状况偏差增大。

综上所述，已有研究成果的信息系统安全态势评估指标关注于技术层面，未对人为因素进行考虑；同时，安全态势的评估受专家主观性影响较大，量化结果难以准确反映系统安全情况。为此，本文提出一种基于矩阵修正方法(matrix correction method，MCM)的信息系统安全态势评估模型(information system security situation assessment model，ISSSAM)，在保留专家主观评价的前提下，修正区间判断矩阵，优化指标权重向量，使安全态势量化评估结果更为合理。

1 安全态势评估模型

基于MCM建立的信息系统安全态势评估模型如图 1所示。

对信息系统评估流程设计如下：

首先，基于层次分析法(analytic hierarchy process, AHP)建立信息系统安全态势评估3层指标体系，设定5个评估维度(如图 2所示)，分别为物理维(I₁)、主机系统维(I₂)、网络维(I₃)、数据维(I₄)、管理人员维(I₅)。

其次，通过问卷调研、物理环境考评、查看主机配置、通过入侵检测系统获取系统漏洞等步骤获取多种数据作为专家评分依据，并确定定性指标、定量指标量化标准。

再次，通过区间矩阵修正模块和熵权隶属云模块量化安全态势。经专家给出区间判断矩阵，并利用区间矩阵修正模块获取最优确定性判断矩阵，并据此获得指标层权重向量；依据专家评分结果构造指标层隶属云模型，结合指标层权重向量构造准则层隶属云模型，计算准则层云模型熵权系数，通过态势值算子得到信息系统综合安全态势值。

最后，依据《信息安全技术信息系统安全等级保护定级指南》^[9]，并根据信息系统综合安全态势值确定信息系统安全态势等级。

2 多源数据标准化

由于多源数据的异构性对专家打分造成难度，因此本文提出定性定量指标标准化方法如下。

1) 定性指标标准化。

设某定性指标评语分级为m个，依次设置为β₁，β₂，…，β_m，定义β_i~β_j(i，j∈1，2，…，m)表示评语β_i优于评语β_j，则β₁~β₂~…~β_m(i，j∈1，2，…，m)。另外设存在反映该指标评语分值的变量θ，且θ服从标准正态分布N(0, 1)。设对应于评语β_i的反映专家分值的量为t_i，且t_i为正态分布N(0, 1)的i/m分位数，则

$ P\left(\theta<t_{i}\right)=\frac{i}{m}(i=1,2, \cdots, m-1). $

(1)

设专家分值为V_e，则V_e=μt_i。其中，μ为修正系数，本文取μ=100。

2) 定量指标标准化。

本文的定量指标主要涉及正向指标与逆向指标，设指标X的量化区间为[X_a，X_b]，则对于不同量纲的定量指标标准化过程如下：

a) 正向指标

$ X_{1}=\frac{x-X_{a}}{X_{b}-X_{a}},\left(X_{b}>X_{a}\right). $

(2)

b) 逆向指标

$ X_{2}=\frac{X_{b}-x}{X_{b}-X_{a}},\left(X_{b}>X_{a}\right). $

(3)

3 区间矩阵修正模块

对信息系统安全态势的评估需要确定各指标间的相对重要程度，其数学表示即为权重向量。本文对专家给出的区间判断矩阵进行修正以提高其一致性程度，并在修正后的区间判断矩阵中搜索一致性程度最佳的确定性矩阵进而确定最佳权重向量。该方法既保留专家评价的主观性，又可提高权重向量的客观程度。

3.1 相关定义

区间判断矩阵：设n个元素的下标集合为J={1，2，…，n}，元素i与元素j两两之间的相对重要程度为a_ij。记区间判断矩阵为$\overline{\boldsymbol{A}}=\left(\bar{a}_{i j}\right)_{n \times n}$，(i，j∈1，2，…，n)，区间数$\bar{a}_{i j}$表示为[a_ij^L，a_ij^U]，a_ji=[1/a_ij^U，1/a_ij^L]且a_ij^L≤a_ij^U，其中a_ij^L，a_ij^U分别为收敛后的区间矩阵各元素的上、下限。本文采用1—9标度判断矩阵^[10]。

随机矩阵：定义矩阵A=(a_ij)_n×n，(i，j∈1，2，…，n)，其中，a_ij∈[a_ij^L，a_ij^U]，随机数a_ij按照均匀分布概率自区间[a_ij^L，a_ij^U]中产生。

满意一致性：已知判断矩阵A的一致性比率CR(A)=[λ_max(A)-n]/[(n-1)RI]，当CR < 0.1时认为判断矩阵A=(a_ij)_n×n，(i，j∈1，2，…，n)具有满意一致性。其中，λ_max(A)为判断矩阵A的最大特征值，RI为平均随机一致性指标，取值如表 1所示。

区间矩阵一致性程度:定义γ为区间矩阵一致性程度。设从区间矩阵A

中产生Q个随机矩阵，其中具有满意一致性的矩阵个数为p个, 则γ=p/Q。

3.2 区间矩阵修正算法模块

区间矩阵修正算法模块如图 3所示。

区间矩阵修正算法模块共分为3个子模块，分别为区间矩阵一致性程度判断子模块、区间矩阵元素调整子模块和最佳确定性矩阵获取子模块。

区间矩阵修正算法模块的工作流程设计如下。

步骤1  通过区间矩阵一致性程度判断模块计算给定区间矩阵的一致性程度，获取一致性程度值。

步骤2  若一致性程度值大于阈值，则转步骤3；否则与专家交互，调整区间矩阵中的区间数元素，并转步骤1。

步骤3  基于优化的区间矩阵计算最佳确定性矩阵进而获取此矩阵，并将其作为求解权重向量的依据。

下面详细阐述各子模块的处理方法和过程。

1) 区间矩阵一致性程度判断子模块。

对专家给定的区间判断矩阵按均匀分布概率产生Q个随机矩阵，并依次计算所产生的随机矩阵的一致性比率CR_k(k=1，2，…，Q)，记具有满意一致性程度的随机矩阵个数为p，则区间矩阵的一致性程度γ=p/Q。γ越大，说明区间矩阵的一致性程度越好；γ越小，说明区间矩阵的一致性程度越差。本文取Q=100。

2) 区间矩阵元素调整子模块。

区间矩阵一致性程度γ小于某阈值时，需对区间矩阵中的部分元素进行调整处理。具体处理过程设计如下。

步骤1  划掉区间矩阵中的第h行、第h列的元素，形成n个n-1阶的子区间矩阵，计算n个子区间矩阵A_h^n-1的一致性程度γ_h(h=1，2，…，n)。

步骤2  若子区间判断矩阵A_h1^n-1与A_h2^n-1的一致性程度γ_h1与γ_h2大于其他子区间判断矩阵的一致性程度，则可知原区间判断矩阵A第h₁行、第h₁列的元素与第h₂行、第h₂列元素的公共区间元素[a_h1h2^L，a_h1h2^U]，[a_h2h1^L，a_h2h1^U]对A的一致性程度影响较大，故需与专家交互意见，调整区间元素[a_h1h2^L，a_h1h2^U]，[a_h2h1^L，a_h2h1^U]。

步骤3  转入区间矩阵一致性程度判断模块，继续计算调整后的区间判断矩阵的一致性程度。

由于在划掉区间矩阵中的第h行、第h列的元素后，相当于隔离了第h行、第h列的元素与剩余元素，若子区间矩阵的一致性程度获得较大提高，则说明第h行、第h列的元素对原区间判断矩阵的一致性程度产生了消极影响，故需请专家调整相应元素，以提高区间矩阵的一致性程度^[11]。

3) 最佳确定性矩阵获取子模块。

基于优化后的区间判断矩阵处理并得到最佳确定性矩阵，该子模块包括区间矩阵收敛和最佳确定性矩阵的寻优2个过程，具体处理过程设计如下。

a) 区间矩阵收敛。

步骤1  基于优化的区间判断矩阵按均匀分布概率随机产生R个确定性矩阵。

步骤2  分别计算R个确定性矩阵的一致性比率CR_i(i=1，2，…，R)，经排序得到前ω个一致性比率较小的确定性矩阵，形成第t个矩阵簇，记为Cluster_matrix_t。

步骤3  利用矩阵簇中不同矩阵相同位置元素集成新的区间，进而得到新的区间判断矩阵中各区间元素的上下限，当i=j时，a_ij=1;当i≠j时，a_ij^L=min{a_ij1^L，a_Lij2，…，a_ijω^L}，a_ij^U=max{a_ij1^U，a_ij2^U，…，a_ijω^U}，且a_ji=[1/a_ij^U，1/a_ij^L]。

步骤4  对新生成的区间判断矩阵转至步骤1，直至满足区间矩阵各元素区间长度|a_ij^U-a_ij^L|(i，j∈1，2，…，n)之和不超过原区间判断矩阵各元素的区间长度之和的10%时停止循环。

在步骤1中，为尽量满足全局搜索最优确定性矩阵的需要，记随机产生的确定性矩阵的各确定数落入原区间矩阵各区间元素左半区间的比例为α，且满足0.5-η<α < 0.5+η(本文取η=0.05)，以防止随机产生的确定性矩阵的元素集中于原区间判断矩阵的某半区间内，防止产生局部最优搜索的情况。

b) 最佳确定性矩阵的寻优。

步骤1  以收敛后的区间矩阵作为输入，记为Input_matrix。首先初始化一个确定性矩阵M₀，该确定性矩阵各元素为a_ij(i，j∈1，2，…，n)，当i=j时，a_ij=1；当1 < j≤n，1≤i < j时(即矩阵的上三角部分元素)，a_ij=(a_ij^L+a_ij^U)/2；当1 < i≤n，1≤j < i时，a_ij=1/a_ji。对于该确定性矩阵，计算其一致性比率CR₀, 作为初始一致性比率。

步骤2  从Input_matrix中随机产生一个确定性矩阵，记为M_i(i=1，2，…，k)，计算其一致性比率CR_i，与CR₀比较，若CR_i < CR₀，则令CR₀=CR_i，M₀=M_i；否则保持CR₀与M₀不变。

步骤3  对于产生的每个确定性矩阵中的各个元素按照式(4)与(5)调整：

$ v=w \times v+c \times \text { rand } \times(\text { pbest }-\text { present }), $

(4)

$ {\rm{present = present + }}v{.} $

(5)

其中：v为寻优速度；w为寻速系数，用于调节寻优速度；c为认知因子，通常取c=2；rand为介于0~1间的随机数；pbest为当前一致性比率最小的确定性矩阵中的元素；present代表当前确定性矩阵中的元素。

记v_max=min(a_ij^U-a_ij^L)(i≠j，i，j∈1，2，…，n)。若v>v_max，则取v=v_max；若v < -v_max, 则取v=-v_max。若present∈[a_ij^L，a_ij^U]，则present无需调整；若present < a_ij^L，则取present=a_ij^L；若present>a_ij^U，则取present=a_ij^U。取v的初始值为0，pbest₀对应于步骤1中的初始确定性矩阵M₀中的各元素；present₀对应于步骤2中首次随机产生的确定性矩阵中的各元素。

步骤4  按照步骤2至步骤3迭代k次。

经过最佳确定性矩阵的寻优处理，最终得到一致性比率最小的确定性矩阵，在此基础上利用特征向量法即可解得权重向量。

4 熵权隶属云模块 4.1 相关定义

隶属云^[12]：设D为某一论域，且D={x}，S为与精确数值x相关的语言值。x对于S表达的定性概念的隶属度C_S(x)为一具有稳定倾向的随机数，隶属度在论域上的分布称为隶属云。

云的数字特征：对云模型的刻画依赖3个参数，分别为期望值E_x、熵E_n、超熵H_e。其中，E_x反映了某概念对应于某论域的中心值，E_n反映了该概念的模糊性，H_e反映了云滴的离散程度。

熵^[2]：熵度量了系统的不确定性。定义某系统可能处于n种不同的状态，每种状态出现的概率为p_i(i=1，2，…，n)，则系统的熵定义为

$ E=-\sum\limits_{i=1}^{n} p_{i} \ln p_{i}. $

(6)

其中，0≤p_i≤1且p₁+p₂+…+p_n=1。当p_i=1/n时，E_max=ln n，则当系统只有一种状态时，n=1，E_min=0，说明系统为确定的；随着n的增大，系统可能的状态数增加，则熵E增大，此系统的离散性增大，提供的信息量减小，则此系统相对于其他系统重要程度降低。

4.2 专家评价的隶属云表示

对于某一指标的评价可邀请n位专家进行，将评价结果按照节2多源数据标准化方法转化为百分制下的打分结果。用隶属云表示这n位专家对该指标的评价结果，可先通过逆向云发生器计算出云模型的3个数字特征(E_x，E_n，H_e)，再由正向云发生器以云的形式还原专家评价的结果，即可通过云模型获知专家评价的集中程度，若云滴过于离散，说明专家评价意见分歧较大，可申请重评。

1) 逆向云发生器。

$ E_{x}=\frac{E_{x 1}+E_{x 2}+\cdots+E_{x n}}{n}, $

(7)

$ E_{m}=\frac{\max \left\{E_{x 1}, E_{x 2}, \cdots, E_{m}\right\}-\min \left\{E_{x 1}, E_{x 2}, \cdots, E_{m}\right\}}{n}. $

(8)

$ S^{2}=\frac{1}{n} \sum\limits_{i=1}^{n}\left(x_{i}-E_{x}\right)^{2}. $

(9)

$ H_{e}=\sqrt{S^{2}-E_{n}^{2}}. $

(10)

其中：E_xi表示第i位专家评价的百分化结果，n表示专家人数。通过上式计算得到隶属云的数字特征(E_x，E_n，H_e)。

2) 正向云发生器。

步骤1  E_nn=Randn(E_n，H_e)，即以E_n为期望，以H_e为标准差产生正态分布的随机数E_nn。

步骤2  x_i=Randn(E_x，E_nn)，即以E_x为期望，以E_nn为标准差产生正态分布的随机数x_i。

步骤3  ξ_i=exp[-(x_i-E_x)²/2E_nn²]，按该式计算隶属度，数对(x_i，ξ_i)表示在论域D上分布的一个云滴。

步骤4  循环执行步骤1至步骤3，直至产生足够多的云滴，以云模型的形式还原专家评价结果。

4.3 云重心评判法

由于准则层中的某维指标下属的指标层中的f个指标的专家评价结果已由f个隶属云表示，因此可通过云重心评判法形成该维指标的f维综合隶属云。本文以向量g表示f维综合隶属云的重心向量，即：

$ \boldsymbol{g}=\left(g_{1}, g_{2}, \cdots, g_{f}\right). $

其中：$g_{i}=E_{x i}^{\prime} w_{i}(i=1, 2, \cdots, f), E_{n}^{\prime}$表示f个隶属云中第i个隶属云的期望值；w_i表示该指标对应的权重，该值由节3区间矩阵修正模块计算得到。

假设系统初始状态为理想状态，则f维综合隶属云的初始云重心向量为

$ \boldsymbol{g}^{0}=\left(g_{1}^{0}, g_{2}^{0}, \cdots, g_{f}^{0}\right). $

表示当前专家评价结果的云重心向量为

$ \boldsymbol{g}^{\prime}=\left(g_{1}^{\prime}, g_{2}^{\prime}, \cdots, g_{f}^{\prime}\right). $

则对f维综合云重心向量的变化进行归一化得

$ g_i^G = \left\{ {\begin{array}{*{20}{l}} {\left( {g_i^\prime - g_i^0} \right)/g_i^0,g_i^\prime \le g_i^0;}\\ {\left( {g_i^\prime - g_i^0} \right)/g_i^\prime ,g_i^\prime > g_i^0,} \end{array}} \right. $

(11)

其中，i=1，2，…，f。

利用权重向量W=(w₁，w₂，…，w_f)计算加权偏离度δ得

$ \delta=\sum\limits_{i=1}^{f} g_{i}^{G} w_{i}. $

(12)

将δ输入评测云模型即可得准则层下的该维指标对于不同评语的支持程度^[13]。评测云模型如图 4所示。

在由指标层向准则层进行态势量化的过程中，可采用云重心评判法通过计算加权偏离度进而获得准则层不同维指标的安全态势值，而在由准则层向目标层进行态势量化的过程中，传统方法^[14]通常默认准则层的各维指标相对重要程度相同，而未区分准则层不同指标的相对重要性，这对于获取信息系统的综合安全态势的量化值有一定局限性。

首先，在某一时刻下不同的信息系统的物理维、主机维、网络维、数据维及管理人员维的相对重要性有所区别，其原因为有的信息系统与外网通路较少甚至相隔离，影响该类系统安全的主要因素在于人为管理^[15]，而有的信息系统则常面临如漏洞、恶意攻击等威胁，故需侧重考虑对其主机维、网络维指标的防护工作。其次，对于同一信息系统，影响其安全态势的主要因素会随时间发生变化，这是由于信息系统软、硬件的更新，管理人员的流动均会导致准则层的权重向量发生变动，进而影响系统的综合安全态势值。

针对上述问题，本文在已知准则层各指标云重心加权偏离度的基础上，通过查看评测云模型中受激活的评语及各评语的支持度，从而确定准则层各维指标相对于各评语的支持度矩阵P，如表 2所示。

表 2中的X₁、X₂、X₃、X₄、X₅分别对应于准则层的物理维、主机维、网络维、数据维及管理人员维指标，P_ij表示第i维指标对第j个评语(i，j∈1，2，3，4，5)的支持度。

计算各维指标的绝对熵值：

$ H_{i}=-\sum\limits_{j=1}^{n} p_{i j} \ln p_{i j}. $

(13)

当p_i1=p_i2=…=p_in时，有H_max=lnn。计算各维指标的相对熵值为

$ \mu_{i}=-\frac{1}{\ln n} \sum\limits_{j=1}^{n} p_{i j} \ln p_{i j} $

(14)

由于当相对熵值越大时，对应的指标对系统综合安全态势的影响越小，因此通过(1-μ_i)来表示对应指标的权值，归一化得

$ \tau_{i}=\frac{1}{n-\sum\limits_{i=1}^{n} \mu_{i}}\left(1-\mu_{i}\right). $

(15)

其中，τ_i∈[0, 1]且τ₁+τ₂+…+τ_n=1。τ_i即为X_i对应的隶属云的熵权系数。

给定的评测云模型中各评语对应的权重组成的权重向量取为C=(c_差，c_较差，c_一般，c_较好，c_好)=(1/15，2/15，1/5，4/15，1/3)^{[2, 16]}。

本文采用安全态势值越高表征系统安全状况越好的判定标准，故信息系统综合安全态势值算子为

$ V=1-\tau \times \boldsymbol{P} \times \boldsymbol{C}^{\mathrm{T}}. $

(16)

其中：τ为隶属云熵权系数向量，表征准则层中不同指标重要程度大小；P为评语支持度矩阵；C为评语权重向量，表征系统处于各评语所述状态的可能性大小。τ与P相乘得加权支持度向量，其内某值表示某一评语下准则层中不同指标对该评语支持度的加权和，可理解为系统对该评语的支持度，而系统对不同评语支持度基于C所述状态可能性的加权和为系统危险值，即τ×P×C_T，该值越低表示系统安全状态越佳，其区间为[0, 1]。

本文依据文[2, 12]确定安全态势等级表如表 3所示，结合V值即可判定系统安全态势等级。

5 实验结果与分析

将本文评估模型应用于国内某机场离港控制系统(departure control system，DCS)，在2018年10月1日至12月23日期间每周二进行一次系统安全态势评估，共计12次。下面以该系统准则层网络维在2018年10月9日的评估为例，说明该评估模型的应用过程。

5.1 专家评价百分化

针对网络维(I₃)下属的4个子指标(I₃₁，I₃₂，I₃₃，I₃₄)=(网络拓扑，网络访问控制，安全审计，网络流量)，邀请10名专家对各子指标进行评价，按照节2多源数据标准化的处理方法，将专家对定性定量指标的评价统一为百分制下的评分，对各子指标的评分如表 4所示。

5.2 确定指标权重

请专家对4个子指标的相对重要程度给出区间判断矩阵：

$ \boldsymbol{A}^{0}=\left[\begin{array}{cccc} 1 & {[3,4]} & {[3,5]} & {[3,5]} \\ {[1 / 4,1 / 3]} & 1 & {[1 / 2,1]} & {[2,5]} \\ {[1 / 5,1 / 3]} & {[1,2]} & 1 & {[1 / 3,1]} \\ {[1 / 5,1 / 3]} & {[1 / 5,1 / 2]} & {[1,3]} & 1 \end{array}\right]. $

根据节3区间矩阵修正算法模块，首先对该4阶区间矩阵的一致性程度进行判断，取一致性程度阈值为0.6，得γ=0.76>0.6^[11]，说明该区间矩阵的一致性程度满足要求，不需再与专家交互进行调整。以此矩阵作为节3.2最佳确定性矩阵获取子模块的Input_matrix，先进行区间矩阵收敛，取R=100，ω=10，经过7次迭代得收敛后的区间矩阵为

$ \boldsymbol{A}^{1}=\left[\begin{array}{cccc} 1 & {[3.210,3.463]} & {[3.653,4.000]} & {[4.202,4.417]} \\ {[0.289,0.312]} & 1 & {[0.934,0.953]} & {[2.029,2.040]} \\ {[0.250,0.274]} & {[1.049,1.070]} & 1 & {[0.894,0.905]} \\ {[0.226,0.238]} & {[0.490,0.493]} & {[1.104,1.119]} & 1 \end{array}\right]. $

基于此矩阵，依据最佳确定性矩阵的寻优过程, 得在寻优次数k=1 000条件下最佳确定性矩阵为

$ \boldsymbol{A}^{\mathrm{bece}}=\left[\begin{array}{cccc} 1 & 3.300679 & 3.874924 & 4.261778 \\ 0.300351 & 1 & 0.942991 & 2.032611 \\ 0.259102 & 1.057097 & 1 & 0.899372 \\ 0.233799 & 0.490148 & 1.109949 & 1 \end{array}\right]. $

其一致性比率为CR=0.022 591 < 0.1，该矩阵为满意一致性矩阵。由特征向量法求得权重向量为w=(0.555 665, 0.178 134, 0.144 072, 0.122 129)。

5.3 态势量化与定级

专家评价结果经隶属云还原如图 5所示。由于各云模型的云滴较为集中，表明专家评价意见较为一致，因此不需再请求专家重评。

根据图 5所得网络维4个子指标的期望值向量以及基于节5.2得到权重向量如表 5所示。

依据式(11)—(12)计算得加权偏离度δ=-0.079 134，则网络维的安全态势值为1+δ=0.920 866。将δ输入评测云模型可知激活的云对象为“较好”与“好”，其中对“好”维云的激活程度更大，故知网络维处于“好”的状态，如图 6所示。

对评测云模型进行正态曲线拟合，得到评语“较好”的支持度为0.122 04，评语“好”的支持度为0.636 88，余下支持度(1-0.122 04-0.636 88=0.241 08)按网络维态势值与其他未激活的3个评语的期望值的距离的倒数等比分配，网络维评语支持度向量(p₃₁，p₃₂，p₃₃，p₃₄，p₃₅)=(0.052 86，0.072 56，0.115 66，0.122 04，0.636 88)。

对准则层其他四维指标的评语支持度向量与网络维评语支持度向量的计算过程相同，在此不再赘述。

最终获取的准则层各维指标安全态势值向量为(0.677 2，0.731 4，0.920 9，0.522 5，0.643 4), 评语支持度矩阵P如表 6所示。

由式(13)—(15)可计算得准则层指标熵权系数向量为τ=(0.143，0.380，0.121，0.307，0.049)，由式(16)得DCS在2018年10月9日的综合安全态势值为0.752，结合表 3可知该信息系统安全态势处于“较好”状态，与实际情况相符。

将本文安全态势评估方法、熵权系数法^[2]、AHP法^[10]运用于DCS的评估中，在保持评价专家不变的情况下，评估准则层I₁、I₃及I₄的安全态势与系统总体安全态势如图 7—8所示。

依据专家反馈结果，本文模型所得安全态势值更符合DCS安全态势实际情况；由图 7和8可知，本文模型的I₁、I₃、I₄指标的态势评估值及系统总态势值波动明显小于基于熵权系数法和传统AHP法所得态势值。原因如下：

1) 本文方法通过修正区间矩阵提高了权重向量的客观程度，克服了传统AHP法主观性过强的缺点；同时，通过判断还原专家评价结果的隶属云云滴的离散程度，可发现异常指标值并申请重评，相较熵权系数法可避免不合理的指标赋权，故本文模型的态势量化结果与DCS实际安全态势值更贴切，提高了信息系统安全态势评估的可靠性。

2) 因为各次评估中专家给定的区间判断矩阵变动不大，所以由修正后的区间矩阵产生的指标层权重向量相对固定，故准则层指标态势值波动较小；由于专家的层次、经验不同，对于准则层各维指标相对重要程度的判断难以统一，因此在百分化专家评价结果的基础上，利用熵权隶属云确定准则层指标对应的各云模型的熵权系数，避免直接为准则层指标赋权，故系统总态势值能够避免较大波动，提高了信息系统安全态势评估的稳定性。

6 结论

本文提出了一种基于矩阵修正方法的信息系统安全态势评估模型。该模型通过修正区间判断矩阵，寻找最优确定性矩阵确定指标层权重向量，并结合熵权隶属云对安全态势进行量化与定级。通过对某机场离港控制系统的安全态势评估，验证了本文模型的可行性、有效性。通过与基于熵权系数法和传统AHP法的评估结果对比分析，发现本文提出的模型的安全态势量化计算方法具有较好的可靠性和稳定性。