随着计算机网络在企业中的不断应用,网络安全问题变得日益突出,加之安全管理措施不当等问题,制约着企业的发展。风险评估是网络系统主动防御的重要方法和基础性工作。它是在安全风险发生之前,通过有效的手段分析系统在保密性、完整性、可用性等方面所面临的威胁,并在此基础上选取相应的安全措施,将面临的信息安全风险控制在可接受的范围内。目前网络已深入到各个领域中。由于每个领域、每个单位都有自己的私有信息,要对外界保密,因此在企业信息网络与Internet之间就要有诸如防火墙、身份认证等安全措施。这样企业信息网络内部就像一个内核,安全控制就是它的外壳,保护着内部不受到侵害。90年代我国学者曹鸿兴提出了研究系统周界的界壳理论,该理论的核心观点是将研究的问题根据实际特点限定一个范围,范围内为系统,其外为外部环境,系统与外部环境的交接为研究对象。本文在深入研究风险评估各种标准、模型和方法的基础上,选择安全风险评估中的脆弱点进行了研究。首先在研究和分析了国内外各大安全厂商的脆弱点数据库的基础上,根据企业信息网络的实际需求建立了脆弱点数据库,利用XML语言形式化描述关联规则,通过改进的数据挖掘M-Apriori算法,构建了关联规则数据库;其次通过进一步分析现有风险评估模型的特点,从界壳理论的角度出发,建立利用界壳理论的网络风险评估模型;对目前攻击图生成方法进行分析和改进,设计了一种基于子网划分的攻击图生成算法,分析攻击图提取目标网络系统的攻击路径和关键节点集合,对安全界壳进行加固,实现对目标网络系统从局部到整体的风险评估。通过实验验证了设计的模型与算法的合理性和优越性,并采用模块化设计实现了利用界壳理论的网络安全评估系统,将理论与实际相结合应用到企业信息网中。