随着信息技术的迅猛发展，信息系统被广泛应用，它正成为国家建设的关键基础设施。与此同时，信息安全问题变得日益突出，关于安全问题的研究已成为信息技术发展迫在眉睫、亟待解决的重要前沿研究课题。而对于信息系统的安全状况进行科学系统的评估，有助于用户了解系统的风险状况以及安全态势，从而采取相应的安全控制措施。信息安全风险评估方法是最常用的信息系统安全评估方法之一，开展安全风险评估方法及其关键技术的研究具有极其重要的理论意义和实用价值。 本文在对国内外评估标准及方法进行研究的基础上，给出了一个安全风险评估研究的概念框架，并在该框架的指导下，采用定量与定性相结合的方法，对安全风险评估方法及其关键技术进行了研究。具体工作包括： (1)通过对安全风险评估理论和方法的深入研究，本文提出了信息安全风险评估方法ISRAM(Information Security Risk AssessMent)，与同类方法相比，该方法具有操作性强、实用、结果直观性好等特点。在此基础上，本文设计并实现了基于ISRAM方法的安全风险评估系统，为用户提供了一个简单易用的评估工具，简化了安全风险评估的工作量。 (2)本文基于安全风险评估的特点，给出了基于多层模型的资产分类方法以及分类列表：分别对威胁和脆弱性提出了基于威胁作用过程和基于脆弱性生命周期的多属性分类模型；根据ISO17799中的安全控制措施集给出了安全防护措施的分类列表。 (3)针对安全风险评估中安全问题的相关性和复杂性，本文将层次分析、多属性决策和群决策的理论和方法引入安全风险评估的安全决策问题中，这有助于进一步提高安全风险评估结果的准确性。 (4)针对信息系统自身的特点，基于数据融合技术和贝叶斯网络模型，本文提出了一种动态安全事件概率预测模型，可以有效的提高安全事件概率预测以及安全风险评估结果的客观性与准确性。 (5)本文提出了基于安全风险评估结果和模糊理论的信息系统整体安全态势评估方法，并对多属性安全态势评估的模型和方法进行了研究，提出了一种基于多属性的信息系统整体安全态势评估模型。本文的研究意义在于：通过对信息安全、决策科学、模糊数学等多学科交叉研究的方法，构建了安全风险评估方法的理论框架，并对其关键技术进行了深入研究。为全面评估信息系统的安全状况提供了新的思路和方法，拓宽和深化了安全风险评估的研究内容。本文的研究结果对于提高安全风险评估的准确性和客观性具有重要的理论价值和实践意义。