为进一步提高信息系统安全风险评估结果的准确性和可用性，降低主观因素的影响，以模糊层次分析法和攻击树模型为基础，对信息系统的安全风险进行评估。首先，采用攻击树模型描述系统可能遭受的攻击；其次，假定各叶节点具有不同的安全属性，采用模糊层次分析法求解各安全属性的权值，为降低专家评分的主观因素影响，假定各属性得分为区间变量，建立基于区间变量的属性概率发生模型。最后，采用实例进行分析验证，结果表明该方法不仅进一步降低了风险评估时主观因素的影响，且思路清晰，方法简单，具有较强的通用性和工程应用价值。