随着信息化的发展，信息安全问题日益重要，也引起人们广泛的重视，而信息安全风险评估则在信息安全建设中居于关键性的基础地位，它是按照规范的流程和方法，对系统存在的危险要素进行定性和定量分析，并做出综合评价，找出存在的问题，给出有效的安全措施。但是目前尚无有效、得到大家一致认可的风险量化模型算法和支撑软件，给我国正在高度重视的信息安全风险评估的实施设置了重大障碍，因此本文重点在风险评估量化模型和辅助系统设计方面进行了研究。 本文首先介绍了与信息安全风险评估有关的相关概念，调查和研究国内外风险评估的发展及研究现状，结合我国将于近期颁布实施的《信息安全技术信息安全风险评估规范》(报批稿)，总结了常用的信息安全风险评估标准。 在总结对比以往常用的风险评估方法和对风险深刻认识的基础上，基于模糊评价法，采用多级模糊综合评价方法，对系统的风险进行分析、计算。在评价的过程中，对系统的风险因素进行分级评价，通过构造成对比较矩阵确定风险因素权重，通过一致性检验后，可以得到较为精确的权重值；通过模糊贴近度建立模糊关系矩阵，有助于表示出专家对所确定因素隶属等级的确信程度；合成运算时采用了乘与有界和算子M(□,⊕)，保证单因素评价矩阵信息的充分利用，具有较大程度的综合性。这些使得评价结果更全面、客观和科学化。采用该方法对某电信公司的一个服务器系统进行评估，并对评估结果进行分析。 结合多级模糊评价的模型，设计用于安全评估的系统，对系统的总体结构、功能需求、各个功能模块等都进行了的阐述。 本文的风险量化模型及计算过程中采用的处理方法对信息安全风险评估具有一定的借鉴作用，评估系统框架的设计对建立评估辅助系统具有一定的参考价值。