电子政务、电子商务的发展让计算机网络在人们的日常生活中得到了更进一步的应用,而由于计算机软件所存在的不可避免的问题而让计算机网络中存在诸多安全隐患。每年因计算机安全事件所造成的经济损失较其他传统经济案件多出数倍。为了对国内信息安全进行全面建设,我国组建的两支安全专控队伍,按照国家要求逐年加大对全国范围内重要信息系统的风险评估工作的力度。针对目前市场上安全评估产品的不足之处,结合日常风险评估工作的具体需求,设计了针对Windows操作系统的自动安全评估系统,用于评估人员进行自动化的安全风险评估。通过对信息安全风险评估的分析,总结其特点和基本原则,分析风险评估的过程与步骤,参照当前风险评估的具体实施方法和主要功能需求,设计自动安全评估系统的。本文的创新之处就在于全面的风险评估,即包含基于网络的漏洞扫描又包含基于主机的安全配置和恶意代码检测。作者的主要工作：1.研究了信息安全风险评估的相关概念,总结了信息安全风险评估的特点和基本原则,并对风险评估的过程和步骤进行了详细解释,作为自动安全评估系统的理论基础。2.研究了漏洞扫描技术的原理及特点,分析了扫描技术的基本原理与安全扫描系统的分类,对主要安全扫描器的一般体系结构进行了分析。深入研究了基于网络的安全扫描与基于主机的安全扫描两种技术,并分析了两种技术的对比。3.为了满足评估工作的特殊需要,对操作系统识别技术进行了研究,包括早期的技术和TCP/IP协议栈特征。并对基于插件的漏洞扫描技术和主流恶意代码检测技术进行了详细分析。4.根据分析,结合实际工作情况,设计了自动安全评估系统的总体架构,提出了较全面的功能需求,并根据需求制订了该系统的总架构和主要模块。5.设计了自动安全评估系统的服务器端。设计了用于进行网络扫描的功能模块,并就该模块进行了详细说明。6.设计了自动安全评估系统的客户端。设计了用于进行恶意代码扫描和系统完整性检测的主要功能模块,并就相关附加功能进行详细设计。详细设计了信息提取功能,并就部分功能加以实现。最后说明了安全辅助工具的主要功能。7.作者在项目中的主要任务是提出需求及把握具体功能是否能满足风险评估要求,以及保证工具在实现相关功能的可信性,未做软件的代码实现工作。