风险评估作为信息安全管理体系建设的重要环节越来越受到重视。有关风险评估的标准、方法和模型的研究已经成为信息安全领域的热点。然而,在现有的各种风险分析计算模型中,信息系统总的风险值往往为各个单个资产风险值之和。单个资产风险值的计算通常是这个资产面临的威胁利用资产自身的脆弱性的可能性和安全事件发生后造成的损失的数量积,较少地考虑到在一个信息系统中各个资产之间安全事件的相互影响。在一个信息化依赖程度较高的企业中,企业管理者更关心的是自己的关键资产或业务系统面临的风险是多大。本文提出了基于访问路径的面向关键资产的风险分析,对业务系统进行风险分析时将影响业务系统的其它信息资产的风险考虑在内。为了更好的描述各个资产之间的关系,本文用到了事故树的分析方式,并在事故树的各个分支赋予不同的权值的方法。在事故树的分析中,设计出了基于字符串处理方式的求最小割集的方式,并据此求出底事件的结构重要度的算法。风险评估工具的设计完全遵循《信息安全风险评估规范》所规定的流程,设计出了资产评估、威胁评估、脆弱性评估和风险分析等模块。在风险分析模块中,封装了上面提到的算法。为了更准确地计算业务系统的风险,本次论文还将风险计算公式改进为求系统机密性、完整性和可用性这三个属性因为安全事件的影响而产生的风险值之和。