随着国民经济和社会信息化进程的全面加快,网络和信息系统的基础性、全局性作用日益增强,由此而产生的信息安全问题对国家安全的影响日益增加、日益突出。仅仅依靠现有的安全防御技术,如IDS、防火墙、数据加密等,都不同程度的缺乏主动的技术适应网络攻击,在时效性方面存在延迟,在“集成化网络安全防卫系统”的框架中,安全风险评估是安全预防实现的重要措施,它可以通过对网络、主机、资源、服务等进行评估,制定和调整安全策略,在攻击发生以前降低或者避免一部分安全风险。本文研究了网络安全风险评估的实施方案,依据国家标准《信息安全风险评估指南》设计评估体系结构,结合实际需要,将评估工作分为静态评估和动态实时评估两个阶段,静态评估利用定性和定量结合的模糊数学综合评价方法对资产、威胁、脆弱性、安全措施等风险因素进行细化和量化,从局部到整体的分析评估网络系统的安全等级,降低评估过程中的主观性。动态实时评估阶段使用隐马尔可夫模型评估网络安全状态,这种基于模型的评估方法增强了实时评估的时效性和可行性。在国际CVE(Common vulnerabilities and exposures,公共弱点和风险)标准的基础上,研究了系统安全漏洞,设计并实现了一个漏洞数据库来进行漏洞的查询和管理,基于这个平台,提出基于威胁评估和集合多种安全工具的安全风险评估模型,进行信息融合,提高评估的完整性和自动性。本文所提出的基于CVE漏洞库的多种安全工具的信息融合,以及实时安全评估方法在评估系统中的使用都有重要意义。