员工的不安全行为是组织内信息安全事件频发的一个重要原因,对组织内员工进行信息安全能力评估是提高组织整体安全态势的重要途径。现有的信息安全能力评估方法主要以试卷测评、问卷调查和严肃游戏为主,这些评估方法基于员工的回答,主观性强,真实性差,难以评估现实场景下复杂多变的安全威胁。同时,基于员工主动回答的评估方法难以反映其信息安全意识的落实情况。对此,本文从员工的行为出发,通过基于行为分析的方法展开员工信息安全能力评估的研究工作。首先,本文介绍了本体的基本概念,并且分析了信息安全本体的应用现状和意义。在此基础上,将信息安全本体引入到在行为分析中,提出了信息安全行为本体模型。针对本文应用场景,对组织内部Android手机用户的通话、短信、网络与App应用这四类行为和各类型行为细分得到的多个动作进行了概念分类、语义建模和形式化描述。然后,本文介绍了 SWRL推理规则的基本概念、应用领域和常用工具。根据用户行为发生的序列关系,提出了一个行为关联图的动态构建算法,制定了基于SWRL语言的行为关联规则集,实现了对于用户多步骤行为的动态关联分析。接着,本文利用已有的分类算法进行单行为的不安全判定,根据判定结果提取不安全行为判定规则,并且以SWRL的形式保存到推理库中。基于提出的行为关联图和建立的SWRL形式的安全识别规则,提出了用户多步骤不安全行为路径挖掘算法。最后,为了能够对员工的信息安全能力进行定量分析,提出了一个基于胜任力模型的员工信息安全能力评估模型。通过设置显性和隐性能力评估指标,从员工的健全性、警觉性和自省性这三个维度的视角,对员工的进行定量评估。在此基础上,本文还实现了一个基于Android的员工信息安全能力评估原型系统。实验数据表明,该方法能够有效检测出用户不安全行为的发生次数与路径,评估用户的信息安全能力值,为评估Android手机用户的行为安全能力提供了一种新思路与方法。