本文介绍了信息系统安全评估的基础——安全标准，分别从安全标准的发展历史、现在国际上常用的标准和我国安全标准的发展情况进行了简要的描述与总结。然后介绍了我们现有的信息系统安全评估工具，它是主要依据我国现有的安全标准，并大量吸收了其它安全评估标准的精华而建立起来的，简要介绍了评估工具所涉及的评估内容和评估方法；并且给出了工具的实现模型和评估流程。 其次，本文提出了利用规则库来对现场测评的记录进行综合分析处理的思路，详细分析现有评估工具中评估知识库的结构，以及其中各个评估项之间的关系和相应的评判方法，还提出了利用安全漏洞扫描和渗透性测试的结果对各评估项的评估结果进行修正的想法。 最后，本文给出了一种形式化方法对规则进行定义，根据各评估项的特性和漏洞的影响定义了三个规则集：通用规则集、评判规则集和漏洞规则集，同时给出了这些规则集的规则实例，并描述了综合分析处理模块如何利用规则库中的规则来实现对测评记录的处理，完成综合评估。