随着互联网的飞速发展，网络已经渗透到了与国计民生息息相关的方方面面，因此也就对信息网络的安全可信程度提出了越来越高的要求。风险评估(Risk Assessment)是指对信息和信息处理设施的威胁、影响和脆弱性，以及三者发生的可能性的评估。进行正确、全面的信息安全风险评估，可以决定如何处理安全风险，从而有助于在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等方面做出合理的决策。最后通过评估，可以对信息系统拥有单位的绩效进行考核，并提出有针对性的安全改进方案，从而在风险发生之前就对可能发生的情况进行预评估和预防御措施，才能以便于更好地确保系统的安全可信。　　 本文尝试参考全国信息安全标准化技术委员会发布的《信息安全技术信息系统安全等级保护基本要求》标准，建立一个全面可行的信息安全风险评估体系，对信息系统提供风险评估，并给出相应的评估报告。　　 首先，通过调研国外先进风险评估系统，并参照标准化等级保护基本要求，将系统的安全程度分为由低到高多个安全等级。这样，用户在进行风险评估之后，可以明白自身系统目前所处的安全等级，从而对系统的安全状况有一个量化且比较客观的认识。　　 其次，对应于每一个安全等级，从技术与管理两个层面，从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机制、人员安全管理、系统建设管理、安全服务商选择等多个角度，对各安全等级的要求进行细化，从而设计出全面且合理的页面问题对用户的系统状况进行查询。　　 第三，在用户根据自己的需求，依据自身系统的实际情况，回答页面问题后，系统根据用户的答案，对不同重要级别的问题赋以不同的权值，经过加权平均，得到一个最终值。并根据这一最终值，给出相应的系统评估报告和改进方案。　　 最后，对该系统编码实现。　　 作者参考了国内外系统及文献，完成了此系统的功能设计，并设计了详细的页面问题，提出了具体的权重赋值方法。目前完成了初步的原型设计，并实现了部分功能，基本验证了设计思想的正确性，为今后的风险评估系统研究做了最初的探索和研究。