1、信息領(lǐng)域的安全問題隨著信息化的發(fā)展而日趨嚴重，引起了國內(nèi)外的廣泛重視。但研究發(fā)現(xiàn)：信息系統(tǒng)中沒有絕對的安全，也沒有徹底的危險，只是當(dāng)存在的安全風(fēng)險超出安全措施的控制范圍時才可能引發(fā)安全事件的發(fā)生。因此對信息系統(tǒng)的安全管理實質(zhì)上也就轉(zhuǎn)化為對信息系統(tǒng)本身存在的風(fēng)險和采取的安全措施進行管理和控制，通過分析存在的風(fēng)險及采取的風(fēng)險控制措施，權(quán)衡輕重，把風(fēng)險降低到一個可按受的程度，這個過程的組織與實施工作就由信息安全風(fēng)險評估這門學(xué)科來完成。實際上，

2、對某信息系統(tǒng)進行評估就是在安全與風(fēng)險之間尋求一個平衡，既要保證信息系統(tǒng)的安全運行，又要防止因風(fēng)險控制措施的實施而產(chǎn)生成本過高問題。因此風(fēng)險評估過程是一個動態(tài)的、循環(huán)往復(fù)的平衡過程，是一個不斷降低安全風(fēng)險的過程，也是一個在信息資產(chǎn)的風(fēng)險與采用安全措施的成本代價之間尋求平衡的過程。 本文在充分學(xué)習(xí)信息安全風(fēng)險評估理論的基礎(chǔ)上，介紹了信息安全風(fēng)險評估的發(fā)展歷程及研究現(xiàn)狀，闡述了信息安全風(fēng)險評估的基本概念和理論，分析了傳統(tǒng)的風(fēng)險因素分析

3、方法、模型及評估輔助工具，指出了故障樹分析法在風(fēng)險分析時存在的不足并進行改進，并把用于解決“部分信息明確，部分信息不明確”的灰色系統(tǒng)理論引入了風(fēng)險評估以期來提高評估結(jié)果的準確性。同時針對當(dāng)前評估輔助工具在評估時應(yīng)用不力的情況進行了分析，提出了一種能夠快速、準確進行風(fēng)險評估的基于知識庫的風(fēng)險評估系統(tǒng)。隨后，將產(chǎn)生的研究成果與實踐需要相結(jié)合，研究開發(fā)了一套基于知識庫的信息系統(tǒng)安全風(fēng)險評估輔助工具，并建立了評估用的知識庫與信息庫。這些研究成果