在计算机技术和网络通信技术的推动下，信息迅速成为支配人类社会发展进程的决定性力量之一。但是，随着信息的共享与交流越来越广泛、越来越方便，信息也面临更多的危险：窃取、破坏、污染或篡改等等。各领域的信息安全，尤其是互联网信息安全成为目前急需解决的问题。 信息保障的定义为：保证在信息运作过程中信息和信息系统的可用性、完整性、可认证性、和不可否认性。也即是保证在信息运作过程中信息和信息系统的安全服务目标。而可靠的安全措施是实现信息保障的主要手段。 本文主要研究了基于风险与成本的安全措施选择，在此基础上提出了一种基于成本的安全措施选择方法，此方法也是一种最优化信息保障的方式。 本文首先探讨了信息安全的重要性及目前国内外的现状与发展趋势，然后研究了一些经典的信息安全模型，如：BLP模型、Biba模型、RBAC模型、McCumber模型等，McCumber模型体现了在实现安全目的过程中安全措施选择的重要性。接着本文对信息保障技术框架(IATF)进行了研究，信息保障技术框架重点介绍了深度防御策略三个方面中的技术方面。 信息的安全有赖于安全措施的实现，因此，安全措施的选择在信息保障中显得非常重要。安全措施包括技术性安全措施和非技术性安全措施，本文主要研究了基于风险与成本的技术性安全措施的选择。在探讨了安全措施的选择策略后，对选择安全措施的根据之——险管理与风险评估进行了研究。研究贯穿了风险管理的整个过程：资产评估，脆弱性分析，威胁性分析，风险评估，四川大学硕士学位论文基于风险与成本的安全措施选择方法研究其中还包括风险分析策略的选择等。 在实际选择安全措施时，不可能不考虑安全措施的费用，对信息资产进行保护就是为了使信息资产免受损失或者尽量减少损失，我们希望能够从中获利，同时用来保护信息资产的费用也是有限的。因此，本文在研究风险管理与风险评估的基础上，提出了一种基于成本的安全措施选择方法，此方法同时也是一种最优化信息保障的方式。关键字:信息安全信息保障信息安全模型安全措施风险管理 成本