随着信息化进程的推进和深入,信息系统在各行各业应用的广度和深度不断拓展,信息系统的重要性愈显突出。信息安全问题逐渐受到信息系统所有者、管理者和使用者的重视。由于信息系统的重要性、计算机网络的开放性、信息系统组成部分的脆弱性和用户的有意、无意不当操作或恶意的破坏企图,使信息系统面临许多风险,这是信息安全问题产生的根本原因。基于成本和效益的考虑,以及对信息技术不断发展的现实等认识,解决信息安全问题的思路不是倾尽人力、物力、财力,将风险彻底降为零,达到绝对的安全(事实上,也无法达到绝对的安全),而是以把风险降低到信息系统可以接受的水平,从而使信息系统的安全性得到提高为目标的。为了达到该目标,必须知道信息系统面临哪些风险,其分布情况和强度(包括发生的可能性与发生后的损失)有多大。这是信息系统风险评估工作的基本内容。信息系统风险评估的研究由来已久,在评估流程和方法,以及工具软件的开发上都有很多成果,但体系性、理论性和实用性都存在着很大争议,在理论和方法上都还有很多值得进一步研究的地方。本文从基于信息流的资源分布入手研究风险分布规律,构建了信息系统的风险评估过程,研究了风险评估的几个关键问题。论文首先综述了风险分析的一般理论和方法,并对自然灾害、社会稳定、经济与金融、工程项目管理和信息安全中的风险评估方法进行了比较分析,挑选出可以借鉴的其它领域风险评估的一些理论、流程和方法,同时结合信息系统风险的特点,研究信息系统风险评估方法。接下来,为引出风险评估过程,研究了风险评估的要素及其关系模型。风险评估涉及到信息系统的很多因素,有:人、环境、业务战略、法律、法规及人文环境、资产、资产价值、威胁、脆弱性、风险、残留风险、安全事件、安全需求、安全措施、安全保护等级等。这些要素在风险评估过程中必须考虑。而风险评估要素关系是指各个评估要素在风险评估过程中相互之间的因果、依赖等关系。这些关系决定了风险评估的流程。本文接着对信息系统风险评估的流程进行了描述,并对风险评估的业务需求与安全目标、资源识别与分布、风险分析、风险量化评估、安全需求导出、安全措施需求导出、实际安全措施与安全措施需求符合度检查、残留风险估计等环节的研究内容进行了阐述。在基于信息流的信息系统资源分布模型基础上,根据风险点的分布结构,以信息系统资产、安全性和脆弱性分布分析提出信息系统风险点分布分析方法,为信息系统风险的确定提供了方法。本部分论文也对风险的识别和验证进行了探讨。对风险的评估量化包括风险可能性和后果的量化。由于风险的复杂性、关联性和多样性,评估分为主观评估和客观评估。对客观评估来说,可能性评估可以通过分析风险的特点给出概率分布;后果的量化评估由安全事件造成的可量化的损失给出。对某些不能直接客观评估的风险,采用主观评估方法,分析安全事件与风险的关系,根据安全事件构成要素及其属性提出信息系统风险评估指标体系。采用模糊综合评判方法,通过对评估指标的量化完成风险的量化评估。在对风险进行分析和评估量化后,得到了信息系统存在的风险及其强度。为了使信息系统达到一定的安全等级,需要采取相应的安全措施以对抗风险,这就需要研究信息系统的安全保护需求。信息系统的安全保护需求的依据是信息系统的客观要求和信息系统的实际风险。安全需求可以通过实施各种安全措施来满足。论文采用了多目标的决策方法,研究安全措施的选择。论文还对安全保护等级与风险评估的关系进行了探讨。最后介绍根据研究成果开发的信息系统风险评估工具的一些设计思路。