安全漏洞威胁严重性评估是信息安全领域的重要组成部分,它依据漏洞自身相关属性特征通过综合衡量相关漏洞威胁评估指标,得到安全漏洞威胁严重程度,从而合理配置修复资源,优先应对威胁严重等级较高的漏洞。通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)是面向众安全厂商用于安全漏洞威胁严重等级评估的一个公开免费的风险评估系统。但CVSS在评估度量标准的选用及评估指标权重分配上主观性很强,评估过程可重复性差。基于此,本文提出并设计了一种基于CVSS并与灰色关联度分析相结合的漏洞基础评分指标权重分配方法,并通过实验验证了该方法的可行性和有效性。首先,论述了安全漏洞相关的基础概念及理论。对当前安全漏洞威胁等级评估标准及评估方法进行归纳总结,重点分析研究了CVSS风险评估系统,并总结其优势和不足,为后续的漏洞风险评估方法研究提供了理论基础。其次,提出和设计了一种基于CVSS的漏洞基础评分指标权重分配最优搜索方法。该权重搜索方法从漏洞威胁成功利用后可能造成的经济损失及威胁破坏后果是否可逆的角度切入,将机密性、完整性及可用性三个基础评分指标依据其相对重要性排序,并与CVSS相结合提出了一种指标权重分配最优搜索方法模型。该模型执行所得权重分配结果为下文提出的基于灰色关联度的指标权重求解方法提供了计算模型输入值。然后,提出了基于灰色关联度的指标权重求解方法。该方法将灰色关联度分析融合进漏洞基础评分指标权重分配求解过程中,使得权重分配结果更具客观性。借鉴灰色关联度思想方法及相关数学模型,将执行指标权重分配最优搜索方法后得到的权重分配结果作为模型输入值进行相关计算,并将所得运算结果归一化。最后,对提出的基于CVSS并结合灰色关联度分析求解得到的漏洞基础指标权重分配方案的有效性进行了验证。通过利用美国国家漏洞数据库(National Vulnerability Database,NVD)作为实验样本数据源,证明所提权重分配方法的可行性,并通过进一步的对比实验证明了本文方法的有效性。