电子政务系统是政府有效决策、管理、服务的重要手段,涉及国家秘密信息和高敏感度的核心政务信息,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。另外,电子政务系统是基于互联网的,存在诸多安全隐患,使电子政务系统安全面临着严峻的挑战。建立电子政务信息安全保障体系已成为目前电子政务安全建设的首要任务。而信息安全管理是其中的关键环节之一,风险评估作为信息安全管理的重要内容,在信息安全管理体系建设的各个阶段发挥着重要的作用。风险评估是一个综合评价过程,建立简化有效的评估模型是顺利完成风险评估的基础。本文论述了国内外信息安全评估标准的研究历史及现状。介绍信息系统安全风险分析的各种流行方法,如OCTAVE、SSE-CMM、层次分析法、RMECA法等。然后分析了电子政务系统的安全需求,着重分析了电子政务系统与一般信息系统的特殊性安全需求。从系统结构、应用层面和网络结构分析了电子政务系统,在此基础上分析电子政务系统在物理安全、网络结构、系统结构、应用安全、管理方面存在的风险。基于上述的理论研究,利用系统科学的理论和方法建立了一个基于模糊数学理论的结合OCTAVE的电子政务系统安全评估模型。建立了威胁发生的可能性的三层指标体系,从脆弱性对资产的影响程度和攻击的难易程度两个方面分析脆弱性的严重程度,利用模糊综合评价方法计算评估实体的隶属度以及相应的权重,计算风险事件的风险等级。此算法结合了OCTVAE方法的易操作性和模糊综合评判方法的准确性,为电子政务系统进行风险评估提供了有效的参考。最后以电子政务系统的实例,证明了此种风险评估模型的可行性。