各种信息化产品便利了人们生活的同时,也越来越暴露在网络攻击风险中。目前针对产品的信息安全风险评价主流方法是基于指标体系的方法,缺乏客观性和实时性,论文开展基于攻击图的产品信息安全风险评价方法的研究,通过分析攻击行为和漏洞信息,建立攻击图模型,模拟出攻击路径,以此评判漏洞被成功利用所带来的影响,最后对产品信息安全风险进行评价。开展的主要工作如下:(1)提出了基于攻击图的产品信息安全风险评价框架。将产品信息安全风险评价问题转换为漏洞严重性程度计算问题,针对目前的漏洞严重性程度计算方法只能解决单一漏洞的风险评价问题,提出了基于攻击图的风险叠加方法,确立了基于攻击图的产品信息安全风险评价框架,阐述了风险计算流程。(2)建立了基于漏洞类别关联的漏洞知识库。提出漏洞类别对漏洞可利用性分值的影响,针对当前各漏洞数据库的现状与不足,建立了基于漏洞类别关联的漏洞知识库,对各漏洞数据库的漏洞条目与漏洞类别进行了整合,规范了漏洞数据的字段描述。(3)提出了基于WRank算法的漏洞类别可利用性分值计算方法。将漏洞细化为若干漏洞类别,提出了一种漏洞类别严重性传播算法WRank,能够有效计算各漏洞类别的严重性分值和可利用性分值,根据计算出的漏洞类别可利用性分值,计算出产品的最终风险值,从而对产品的信息安全风险进行评价。实验结果表明,论文方法提高了产品信息安全风险评价的有效性、客观性、准确性,起到对产品信息安全质量风险的预警作用。