风险评估作为一种能使系统更加安全和健壮的主动安全防范的信息安全技术,它不仅能够融合包括信息资产,脆弱性、威胁等在内的众多安全评估要素,而且能够帮助用户更为主动地识别系统所面临的潜在的安全威胁,现正成为当今的信息安全保障体系建设中的基础性工作和重要环节。而在我们的生活日益依赖于互联网所营造的信息世界的今天,对计算机网络空间下的信息安全风险评估,即网络安全风险评估展开研究,是网络安全领域的研究热点之一。本文围绕网络安全风险定量评估的理论与方法问题展开了深入的研究和探讨。本文首先从剖析信息安全风险评估的原理出发,从评估标准,评估方法,评估工具等三个方面系统地介绍和分析了当前信息安全领域的风险评估技术发展现状与存在的问题,并着重对现有的风险评估的理论与方法进行了归类和总结。指出当前网络安全风险评估问题的根源在于:必须依靠大量的本领域历史资料数据和长期经验知识的传统风险评估理论与方法,是无法解决快速发展的、不断出现新问题、新情况的网络信息世界的安全风险评估问题。必须更多地从网络信息系统本身特点出发,挖掘其脆弱点与威胁的行为模式,形成网络安全风险评估领域的特有理论与方法。针对目前网络安全风险评估存在的几个主要问题,本文重新拓展了“基于模型的网络安全风险评估”的内涵,把在风险评估过程中,以某种网络安全评估模型为核心,从网络自身的脆弱点与威胁的行为模式出发,通过该模型构建起目标网络的威胁场景,并基于该场景进行风险分析与评估的方法亦纳入“基于模型的网络安全风险评估”的范畴。并据此提出了一新颖的基于模型的网络安全风险评估方法——基于以组件为中心的访问图模型的网络安全风险评估方法(Oc-AGNSRAM)。围绕着该模型,本文的主要工作和贡献如下:1.提出了一种适合风险分析与评估的以组件为中心的访问图模型以组件为中心的访问图模型不仅能够在网络安全风险分析评估中体现每个脆弱点由于网络中高度互联性关系为整个网络信息系统所带来的整体风险问题;而且我们所提出的访问图模型的生成算法在具有较高计算准确性同时,针对大规模网络多以子网划分的特点加以优化,从而降低了算法的计算时间复杂度,使得该模型具有良好的可扩展性,因此可以适用实际规模的网络系统,具有良好的实用性。2.提出了基于可靠性原理的威胁事件发生概率的估算算法可靠性原理原本是用于评估元器件产品可靠程度的传统理论,本文将其引入用来构造威胁事件发生的概率与弱点的攻击成本、攻击者的攻击能力之间的函数关系。因充分考虑了影响威胁事件形成的两方面的主要因素:网络脆弱点(安全漏洞)和攻击者,使得计算的结果更为准确、客观。3.提出了面向安全策略的威胁事件可能造成的信息资产损失的估算算法本文创造性地提出了面向安全策略的威胁事件可能造成的信息资产损失的估算算法,将安全事件对信息资产的安全属性危害程度(即信息资产的损失程度)用违反安全策略的不同程度来衡量。这样不仅很好地解决威胁事件可能造成的信息资产损失估算难以客观、自动化实现方面的问题,同时也可以对内部(来自组织内部人员不正当的行为)、外部(来自外部不法人员的攻击)的威胁事件作统一处理。另外,本文在原型系统中设计了安全风险评估模型的元模型,定义了一个针对网络安全风险评估领域的特定领域语言。在此基础上,用户能够对网络信息系统的安全风险的相关信息进行建模,在基于本模型构建自动风险评估工具、不同系统之间数据交换标准方面做了有益的探索。