随着信息化的不断深入,信息技术给人们的日常生活带来了巨大的便利,同时也使得人们面临的信息安全风险越来越高。通过信息系统安全风险评估,可以有效地对安全风险进行控制和预防。信息系统安全风险评估包括定量和定性两种方式,在传统的安全风险定量分析方法中,通过对历史失效数据进行分析,主观地选择可能适用的模型,最后结合相关的统计分析方法,确定安全风险增长规律。经过几十年的发展,涌现出了各种各样的安全风险定量分析模型,但是由于信息系统的多样性和复杂性,不可能存在一种模型是普遍适用的,不同模型的预测结果之间往往存在不一致。因此,安全风险定量分析需要解决如何选择适用的模型对安全风险进行准确评估的问题。与传统的定量分析方法中主观地选择预测模型不同,本文在充分研究现有安全风险增长曲线以及预测有效性评价指标的基础上,提出了一种基于多个指标维度复合距离的评价标准,客观地对模型预测的有效性进行综合评判,从而选择最优模型,改进安全风险定量分析的结果。为了更准确地进行安全风险估计,在确定模型选择方法之后,引入正交缺陷分类方法,对系统的历史失效数据进行分析,挖掘缺陷的语义信息。根据正交缺陷分类规则对安全风险进行分类,再充分利用现有的模型,为不同类别的安全风险分别开发各自适用的增长曲线模型,从而为安全风险评估提供更有效和丰富的结果,为实际生产活动提供指导。最后,将正交缺陷分类方法和安全风险曲线相结合,提出了基于缺陷类别的安全风险相对估计框架,并通过实例分析,验证了为不同风险类别分别开发增长曲线模型的必要性和科学性。