随着计算机网络的飞速发展和社会信息化进程的加快，越来越多的企业和政府部门通过信息系统开展业务、提供服务，信息系统的安全问题逐渐受到关注，成为时下热点。风险评估能够有效落实系统安全管理问题，并能够评估出不同时期不同环境下安全问题重点，加强系统安全管理。为确保系统安全，对整个网络信息系统进行风险评估是非常必要的。目前，现有的风险评估方法研究大多集中于静态评估方法研究，少数提出动态实时概念的方法仅仅考虑恶意攻击、植入木马等外部攻击威胁，而忽略了系统内部由系统升级、人工操作等因素造成的内部配置错误威胁。为解决上述问题，本文主要进行三方面的工作。第一，将隐马尔可夫模型引入信息安全风险评估工作中，建模信息系统中主机的安全状态，全面考虑主机可能面临的外部威胁和内部威胁，提出一种动态实时的信息安全风险评估模型。第二，改进模型算法，提出计算实时状态转移矩阵的新概念，最后基于隐马尔可夫模型中的评估问题求解给出了一种信息系统整体意义上的网络安全风险度量方法，为信息系统的网络安全的量化管理提供了思路。仿真实验结果表明，该方法保证实时动态评估的同时，能够综合分析威胁，合理分析和量化信息系统的安全状况，提高了评估结果准确性和实时性。第三，基于风险评估理论，设计开发信息安全实时风险评估系统，引入Snort入侵检测系统监控外部攻击，设计配置核查系统根据信息安全等级保护标准检查主机内部配置，所采集的外部威胁和内部威胁数据格式化后传输给风险评估主系统，系统根据评估算法计算实时风险值，并分析威胁种类和配置符合情况，提供有效的整改建议报告。该系统提供了一种简单有效的风险评估过程，提高评估效率，并能够对信息系统整体安全状态做出科学的评价，对信息系统的安全防护水平提升有积极的推动作用。