随着信息技术的发展,信息系统在各行各业中的作用越来越重要,信息系统的安全问题已成为国家政治、军事和经济发展中必须解决的难题。对信息系统进行有效的风险评估是解决信息系统安全问题的关键技术。目前,信息安全风险评估已成为国内外信息安全领域的研究热点,国内外已建立了一系列信息安全风险评估标准,学术界也有一些相关的研究成果,但还存在难以识别新颖威胁、评估方法动态性和鲁棒性不够理想,缺乏能力自增长功能等问题有待解决。论文首先研究了国内外典型的信息安全风险评估标准和风险评估方法;对典型模型的特点进行了分析和比较;对信息安全风险评估中的两个主要过程:风险分析流程和风险评估流程进行了深入研究;针对信息安全风险的不确定性和现有评估方法的主观性,论文在深入研究传统生物免疫机制的基础上,改进了一种基于字符串编码的克隆选择算法,将改进后的克隆选择算法ISCCSA(Improved String-Coded Clonal Selection Algorithm)和层次分析方法有机结合,设计并初步实现了基于克隆选择的信息安全风险评估模型;从软硬件网络设备和主机节点角色与职责的角度研究了信息安全漏洞及其可能造成的风险问题,采用有限状态机和深度优先搜索算法对网络中存在的风险进行分析,并给出一个基于有限状态机的网络安全风险分析方法;根据我国信息安全风险评估工作的国家标准GB/T 20984-2007《信息安全技术信息系统的风险评估规范》,设计并初步实现了一个信息安全风险评估系统ISRAS(Information Security Risk Assessment System),可进行静态与动态评估。论文工作通过实验验证了ISCCSA在运行速度与解的精度方面优于改进前的基于字符串编码的克隆选择算法;还通过实验验证了基于有限状态机的网络安全风险分析方法的有效性,该方法可提高风险的识别能力;目前,研究成果—已实现的ISRAS系统正在项目背景单位进行试用。