随着信息技术的快速发展,电子支付已经渗透到人们日常生活中的方方面面。电子支付技术的发展与应用,方便了人们的工作和生活。另一方面,电子支付过程中的安全隐患层出不穷,对支付安全造成很大的威胁。在此背景下,对电子支付系统进行风险评估显得格外重要。相对于一般的信息系统,电子支付系统特殊的业务流程、高强度的安全需求以及对风险的高度敏感意味着需要更加精准、客观的风险评估方案,普通信息系统的风险评估方案不能满足对电子支付风险评估的要求。因此,我们需要一种针对于电子支付系统的风险评估方案。本文在分析了电子支付过程中所面临的威胁以及系统本身的脆弱性的基础上,提出了一种针对于电子支付系统的风险评估模型。该模型从系统、应用、管理三个安全层面对电子支付系统进行风险评估,评估过程包括构建风险模型、信息资产评估、威胁评估、脆弱性评估、建立威胁脆弱性关联、风险确定六个阶段,以实现风险管理中信息资产的机密性、完整性和可用性三个目标。在电子支付系统风险评估模型的基础上,本文提出了一种轻量级的电子支付系统风险评估方案,该方案以业务风险流为评估对象。一个业务风险流是指攻击者利用存在的漏洞或者缺陷对业务完成一次攻击所对应的业务流。之后利用该方案对“快钱支付”进行风险评估,并对评估结果进行分析。最后,针对一些大型企业评估任务繁重、评估需要高效率高标准的需求,本文设计并实现了一个电子支付风险评估业务支撑系统。该系统为电子支付风险评估提供了流程管理、安全咨询以及知识库管理的功能,适用于大型的电子支付企业。