针对Web应用的安全风险，提出模糊综合评价与信息熵相结合的集成风险评估方法。对于Web应用的技术维度，采用层次分析法确定评估指标的权重；为更好地反映安全漏洞的潜在风险，在多级模糊评价的过程中引入峰值评判的准则。对于Web应用的管理维度，采用信息熵挖掘评估指标的权重和专家意见的权重，获取专家群体的一致性评判意见。通过应用实例证明了评估方法的可行性和有效性。该集成评估方法吸收了当前网络安全众测的理念，体现了网络安全等级保护和信息安全体系建设的要求，有利于组织快速评估Web应用安全风险并进行持续的改进。

• 单位
  清远职业技术学院