网站安全测评是一种新兴的第三方服务,可以提供信息安全评估,帮助企业及时发现网站存在的安全漏洞和威胁,提供隐私和数据保护等。然而,有些网站安全测评服务留有“后门”,嵌入了非测评的商业服务,泄露了用户信息,引入了新的安全问题。针对网站安全测评服务本身存在的安全问题,本文开展的研究工作如下:(1)研究了主流的网站安全测评服务,并具体分析其测评内容、方法和过程等。(2)提出了网站安全测评服务中可能存在的信息安全问题,重点针对服务对象安全(网站安全)、测评工具安全、服务过程安全、服务人员安全四方面总结其信息安全问题,并根据这些信息安全问题列出了网站安全测评服务应满足的安全要求和原则。(3)设计了一种面向网站安全测评服务的信息安全度量模型。该模型中,本文针对网站安全测评服务可能存在的安全问题,提出了面向网站安全测评服务的安全度量指标体系,该体系包含70个左右的安全度量指标,具有全面性和具体性。该模型采用对偶加权法来确定各度量指标的权重,最终使用模糊综合评估法结合专家可信度加权法来对网站安全测评服务进行安全评估。该模型将定性的安全评价转为定量评分,有效地降低了专家的主观性及其评价的不确定性。(4)设计并实现了面向网站安全测评服务的专家安全评估软件。该软件将专家的安全评价使用上述模型来对网站安全测评服务进行综合安全评估,现已被采用。本文采用不同数目的度量指标进行安全评估仿真实验,仿真结果表明,该安全度量指标体系具有全面性,可以在不同的环境下较好地覆盖关键指标。然后,本文采用该安全评估软件对32家网站安全测评服务进行安全评估,实验结果显示,仍有25%的测评服务处于安全隐患较高的状态,对测评服务进行安全评估是迫切和必要的。本文的研究不仅可以使用户、网站和政府意识到对网站安全测评服务进行安全评估的重要性,而且对政府评估认证这些第三方服务的信息安全有一定的指导意义。