随着科学技术的飞速发展,信息系统的安全问题已越来越引起人们的关注,成为一个急需要解决的问题。计算机病毒、密码篡改、网络攻击等现象层出不穷,严重威胁着个人甚至国家的信息安全。因此,信息系统安全风险评估已成为各国政府及企业越来越关心的问题。所谓信息系统安全风险评估,即是根据国家相关信息安全技术标准而对待评估的信息系统进行科学评价并为其提供安全措施建议的过程。在信息系统安全风险评估中,计算出系统中存在的风险值是评估最为主要的目的。依据现有的风险计算模型可以对风险中的要素进行量化,给出风险值的描述并以此计算出风险值。但是模型没有充分地考虑到风险评估中涉及的要素,没有提出不同条件下风险要素的具体量化方法。针对上述问题,本文在研究了国内外信息安全评估的标准、方法的基础上通过对风险中涉及的要素进行细化分析,对现有的计算模型进行了改进,提出了一种改进的风险计算模型。此模型比较充分地考虑了影响风险的要索,并将部分要素细化分解为若干个子要素以进行不同条件下的量化,使改进后的计算模型内容更加全面,计算结果也更加客观。然后根据改进的风险综合计算模型,设计实现了基于层次分析法和模糊综合评价法的风险评估计算系统。最后,应用评估系统对实验室中的某信息系统进行风险评估。在实例分析中详细叙述了应用实例的风险计算过程并得到了风险计算结果,验证了评估模型及系统的正确性和实用性。