发生于2013年的斯诺登曝光美国国家安全局“棱镜”监控项目的事件再一次使网络信息安全成为全球瞩目的焦点,各国政府在军事上相继展开网络战技术研究,各类网络靶场项目也相继实施。在政府、企业、组织和个人越来越多地将核心业务和敏感信息通过Web应用进行交互的同时,75%的网络安全事件发生在这些Web应用上,传统的基于网络层的防火墙、IDS/IPS等网络安全防护设备已经不足以阻止来自应用层的网络攻击,不断爆出的Web应用安全漏洞使得建立专门用来研究针对Web应用的网络安全演练系统的需求变得十分迫切。本文的主要研究内容包括：1、在充分调研国内外网络攻防演练系统和Web应用攻防技术的基础上,针对现有的演练系统普遍存在的演练环境模拟仿真、漏洞库更新和效果评估等方面的问题,完成了面向Web应用的网络安全演练系统的总体设计,开发了系统功能模块和操作界面。2、采用虚拟化技术实现了现实复杂网络环境的仿真模拟,利用基于配置文件的网络场景快速构建技术实现了各类演练环境的快速搭建。3、分析了各种漏洞库的建设,提出了基于XML的目录型Web应用安全漏洞描述方法,构建了用于Web应用攻防演练的漏洞库和攻防工具箱。4、针对Web应用安全,优化了效果评估指标体系层次化分析模型,综合了主观赋值法和熵权法的优点,确定了各指标权重,提升了评估评价的准确度。5、采用Apache+MySQL+PHP的组合模式,开发了B/S架构的管理子系统和演练子系统,实现了系统与用户的良好交互。本文设计和实现了一套面向Web应用的网络安全演练系统,测试结果表明本系统达到了预期设计目标。论文研究成果可为Web应用安全技术相关研究人员提供支撑和借鉴,并有助于提高Web应用系统的安全防护能力和应急响应能力。