随着计算机网络技术的迅速发展,网络安全问题己成为当前网络技术研究的重点。漏洞评估技术能够检测网络系统潜在的安全漏洞和脆弱性,评估网络系统的安全状况,是实现网络安全的重要技术之一。现有漏洞扫描、网络安全评估等安全工具不能满足现在网络安全的需要,没有一种标准化的方法和符合标准的产品或服务,不能准确检测出系统存在的漏洞、补丁错误、配置错误等问题,不能很好地实现各种网络安全产品和服务间兼容和互操作。这使得网络安全评估依然严峻。针对这些现状,本文研究了基于国际OVAL(open vulnerability and assessment language开放漏洞评估语言)的漏洞评估系统。目的是研究标准化的漏洞描述方法,实现漏洞描述、漏洞检测过程、漏洞评估地标准化,以及网络的整体安全态势的评估;基于OVAL的漏洞评估系统也能很好的解决与其他安全产品的互操作问题。漏洞评估系统采用一个控制中心与多代理的系统架构。本文研究了当前漏洞检测评估的现状与发展。主要分析了当前的一些洞检测产品,漏洞描述向规范化、结构化、标准化方向发展;研究了漏洞产生的原因,漏洞的危害,漏洞的检测的原理,以及漏洞检测技术的发展。本文研究了OVAL标准,对OVAL语言的定义,用OVAL定义漏洞,做了全面的研究。对单一漏洞安全级别,本文采用CVSS漏洞评估标准体系,本文对CVSS漏洞评分系统做了全面的研究,并用实例加以阐述。以OVAL漏洞定义和CVSS评分标准为基础,研究了基于安全案例的网络安全态势评估方法,对检测网络和系统的整体安全态势进行评估。本文在前面的研究基础上,综合传统的漏洞检测评估技术以及最新的漏洞评估的技术和标准,分析和设计了基于OVAL的漏洞评估系统。对系统的设计目标、系统的流程、体系结构、基本的功能模块、各模块的逻辑关系等进行了详细的分析和设计。最后实现了基于OVAL的漏洞评估模型系统的主要功能模块,并做了测试,给出了测试报告。