随着信息时代的飞速发展,网络与信息系统构成的虚拟空间日益重要,信息安全成为社会与国家安全的重要组成部分。通过信息安全风险评估,识别信息系统中风险的性质及危害程度,并制定有针对性的解决方案,采取适当的控制目标和控制方式对风险实施管理,尽最大可能避免风险的发生,或将风险降到最低水平。因此,信息安全风险评估在当今时代占有了举足轻重的地位。本文对信息安全风险评估的过程进行研究,主要工作如下：1)细致研究了国内外信息安全风险评估相关标准。标准中通常给出一定的评估目标和指导方向,并没有阐述详细的评估方法,得出的结论也较为模糊。比较常用的几种信息安全风险评估方法,可知评估中存在一定的不确定性,控制这些不确定性对有效的风险评估具有重要意义。本文以GB/T 20984《信息安全技术信息安全风险评估规范》为基础,对风险评估的实施过程进行修改和优化。采用模糊逻辑(Fuzzy Logic)原理解决评估过程中专家打分语言的模糊性问题。2)在评估过程中,资产、威胁和脆弱性三要素是密不可分的,资产是威胁和脆弱性作用的主体。本文以资产(Asset)为切入点,给出资产关联性(ANC)的定义描述,将信息安全风险评估中存在的关联问题归类到资产关联性问题中。通过资产关联性分析得到综合风险值,进一步提高评估结果的准确性。3)GB/T 20984中,未明确区分脆弱性的可利用程度和脆弱性的严重程度两个指标,这使得系统面临的风险大小出现一定的偏差。因为即使资产存在非常严重的脆弱性问题,但如果该脆弱性被利用的可能很小甚或为零,那么它对系统安全风险的影响将非常小,所以严格区分脆弱性的可利用程度和脆弱性的严重程度对有效的评估具有重要意义。4)由上述工作得到基于Fuzzy-ANC的信息安全风险评估方法,并采用形式化语言对该评估过程进行描述,为实现自动化评估等后续工作的展开奠定基础。5)在基于Fuzzy-ANC的信息安全风险评估方法之上,构建信息安全风险评估知识库(RAKD),采用经典的宽度优先算法Apriori对预处理的数据进行频繁项搜索,得到历史数据中出现频率超过预定阀值的知识项,进一步为自动化评估的实现做铺垫。6)开发基于Fuzzy-ANC的信息安全风险评估辅助工具,在提高评估结果准确性的基础上,使得本文所述评估方法更易操作,以提高评估效率。