随着互联网技术应用的普及与推广,其用户数量急剧增长,应用形式层出不穷,网络的安全问题愈发严重,安全防御手段缺乏统一性和主动性的缺点也凸显出来。本文以网络安全风险管理框架(ISRM)为基础架构,从网络数据融合技术、态势评估及预测、风险管理绩效评估三个关键点着手,结合国内外相关研究成果,对信息安全评价及态势预测关键技术进行详细研究,主要取得了如下成果:　　 1)引入标准化通用标记语言XML,提出一种多源异构数据格式化处理的方式,并由DTD(文档类型定义)建立起多源异构数据格式化处理框架,向应用层提供透明的XML接口及COBRA接口。此外还在XML格式化处理框架下提出分布式数据库中间件技术,支持通用的DBMS串行关系数据库,使网络数据融合技术适用于当前网络大规模、高数据量的特点。　　 2)结合国家标准《信息安全风险评估规范》以及国际风险评估和风险管理标准ISO/IEC27001,建立了一个比较全面的二层次的评价指标体框架,针对不同的指标特性进行了标准化优化。并以标准化优化方法为基础给出权重分析方法,引入具体实例对权重分析方法进行验证。该方法能够在较完善的反映信息网络安全特征前提下有效提高网络安全态势评估结果的准确性与可靠性。　　 3)研究网络、主机、服务等各层次的安全态势预测方法,提出了生存性分析和时间序列分析结合的态势预测方法,实现了网络安全中多数据源融合与安全态势评估模型的松耦合,以及对网络安全状态趋势的量化分析。该方法可使管理员有针对性的采取相应防护措施,增强网络的安全性。　　 4)提出了一种以Bayes损失分析树及AHP层次化理论为基础的网络安全事件的损失评估方法。在此基础上建立了一套使用收益分析和绩效理论进行信息系统信息安全风险管理的新方法,用来显示风险管理本身所具有的价值,衡量实施风险管理的有效性。该方法为信息系统风险管理提供了一条新途径。