Web服务是近年提出的一种新的面向Web的分布应用开发与集成框架，它基于面向服务的体系结构，采用Internet通信协议和XML编码传输消息，具有系统平台无关、开发语言无关、松散耦合以及可伸缩等优点，具有极大的发展与应用潜力。尽管Web服务有许多优点，但安全性比较差是其主要缺点，安全性问题已经逐渐引起人们的重视。然而单靠技术不可能从根本上解决Web服务的安全问题，Web服务安全更应从系统工程的角度来看待。而在系统工程中，风险评估占有重要地位，它是Web服务安全的基础和前提，因此，对Web服务进行安全风险评估是十分必要的。　　 本文分析了web服务的安全技术和web服务安全规范，在详细研究信息安全风险评估相关理论和技术的基础上，对Web服务安全风险评估进行了有益的探索，设计并实现了一个可信的Web服务安全风险评估系统。该评估系统主要从资产评估、脆弱性评估、威胁性评估三个模块展开，用户通过进行资产识别完成资产评估模块；通过完成问卷调查来实现威胁性评估模块；脆弱性评估模块则通过用户在Nessus Client设置扫描规则，由系统调用Nessus Server对目标主机进行扫描，然后将扫描结果进行分析后放入数据库。最后评估系统根据各个模块评估结果算出最后的风险值，并给出建议和改进措施。　　 最后本文介绍了实验的环境、过程和结果分析。实验结果表明，Web服务安全风险评估系统给出了目标系统的风险等级，实现了预期的设计目标。应用该工具进行风险评估较好地满足了风险评估工具发展的新要求，为用户下一步的Web服务安全风险管理工作提供了科学的有力支持。