随着计算机与网络技术的高速发展,计算机漏洞的数量越来越多。随着漏洞数量的持续增加,网络威胁事件也与日俱增。本文旨在建立漏洞数据的收集、管理和共享机制,实现对漏洞的安全性评估,从而面向大众提供有兼容性的漏洞评估系统。本文首先调研并分析了主流的漏洞数据库,提出了漏洞属性筛选原则,建立了一个全面的可扩展的关系型漏洞数据库。此数据库与主流数据库兼容,使用CVE编号进行索引,并且符合国家相关标准。具有全面、兼容、有针对性、可扩展、支持安全性评估等优势。然后,本文根据该漏洞数据库的结构,设计了一种基于XML的漏洞描述语言CCVDL。其主要功能是实现对该漏洞数据库信息的描述,限定了文本格式的描述标准,方便将关系型数据库形式的漏洞信息在网页上展示。并且具有全面性和扩展性,规范标准严谨,能够随时并且无限量的添加新的漏洞信息,尤其是可以支持漏洞的安全性评估,并且规定了评估结果的标准。最后,本文提出了一种漏洞静态评估算法。该方法利用了统计学原理,通过统计目前已知的近7万条漏洞的安全级别之间的关联性以及变化规律,根据主成分分析法以及CVSS中BASE矩阵的6项参数,计算得出各参数对安全结果的影响程度,并将影响程度作为参数的权重进行加权,从而得到静态评估算法的计算公式以及每个漏洞的静态评估得分。此方法基于统计学原理,统计并分析了已知的所有漏洞的数据,因此该方法具有全面性,并且反映了一定的规律,可作为漏洞安全性的一个重要参考。