信息系统内部威胁风险发生在组织或企业内部,即具有系统合法访问权限的用户对数据安全造成的威胁,用户身份的特殊性导致内部威胁风险一旦发生将造成巨大的损失。而且,针对信息系统内部威胁风险的研究仍然存在诸多的问题和挑战,主要包括:（1）信息系统内部威胁风险具有抽象性、隐秘性、复杂性等特征。面临难以对内部威胁风险进行系统、合理地分析和描述这一关键问题;（2）信息系统内部威胁风险发生一方面具有不确定性,另一方面发生造成的损失程度不同,同时风险因素量化过程中容易引入过多的人为主观偏差因素,从而影响度量结果的准确性。如何对内部威胁风险进行客观、合理、有效地度量是需要解决的关键问题;（3）信息系统内部威胁具备的恶意特征和目的不明显,难以被发现和识别,即使发现了对其进行处理,处理方式不当可能会造成系统无法正常使用。如何有效地处理内部威胁风险也是需要解决的一个关键问题。围绕这些关键问题和挑战,本文深入的开展了以下的研究工作:（1）构建了一个多层次的信息系统内部威胁风险度量指标体系。该指标体系涉及个人相关因素、组织管理因素以及安全技术因素三个维度的诸多风险因素,然后通过案例分析的方式验证了该指标体系的合理性和有效性。同时与其它方法进行比较,体现了该指标体系具有一定的优势。实现了内部威胁风险系统、合理地分析和描述,也为进一步的内部威胁风险度量奠定了基础。（2）提出了一种基于相邻目标优属度的内部威胁风险指标权重计算方法。该方法能有效消除权重值中的主观和偏差成分,从而得到内部威胁风险指标的客观权重。通过实验验证了所提出的方法的有效性和可行性,并与经典的AHP方法、主观赋权法以及客观赋权法进行比较,体现了该计算方法的优势。实现了内部威胁风险指标权重的客观计算。（3）提出了一种基于信息熵的内部威胁风险度量方法。该方法从不确定性的角度,对信息系统内部威胁风险进行了计算和量化。通过案例分析验证了所提出的方法的合理性和有效性,与其它方法进行比较,体现了该方法的优势。实现了从风险不确定性这一角度对系统用户自身潜在的风险进行有效和合理地度量。（4）提出了一种基于用户行为的内部威胁风险度量方法。该方法首先能够对用户行为的混乱程度进行度量,从而识别潜在内部威胁风险较大的系统用户,然后进一步从风险损失程度这一角度采用信息熵方法对内部威胁风险进行度量和计算。通过案例验证了该模型的合理性和有效性,同时也从理论上验证了该方法的合理性。实现了从不同角度对组织面临的内部威胁风险大小进行有效和合理地度量。（5）提出了一种基于用户行为的信息系统内部威胁风险处理方法。该方法结合牛顿冷却定律和惩罚因子对内部威胁风险行为进行分类和惩罚,从而能够快速发现和识别用户的恶意行为,最后通过实验验证了该方法的合理性、有效性和可行性。实现了信息系统内部威胁风险的有效和动态处理。