摘要：针对信息安全风险评估过程中专家评价意见多样以及不确定信息难以量化处理的问题,文章提出一种基于证据距离理论的风险评估方法。首先,根据等级保护要求和现场检测数据,采用矩阵范数求解系统资产面临的脆弱性证据距离;其次,应用D-S证据理论合成规则求解威胁可能作用于系统资产的证据距离;最后,将脆弱性证据距离与威胁可能作用于系统资产的证据距离融合后的结果作为系统的风险值。实践证明,该方法能有效降低多源风险评估的主观性和随机性,使评估结果更为科学、合理,为信息安全风险评估提供了一条科学的有效途径。