[发明专利]一种用于信息系统的威胁数据处理方法

说明书

本发明公开了一种用于信息系统的威胁数据处理方法，包括：将获取的信息安全事件映射为潜在威胁指标和既有威胁指标；对既有威胁指标进行威胁频率计算，并将频率计算的结果赋值到与信息安全事件关联的安全域威胁指标中；按照预设的周期，根据预设的威胁源对潜在威胁指标进行信息采集、范式化并关联为威胁多元组；对目标信息系统的日志中的各威胁要素进行索引，将威胁多元组按照指数化计算方法计算出各元组的发生概率，并赋值映射为威胁值；根据安全域威胁指标和威胁值生成相应的数据模型，以对信息系统的安全进行评估。数据模型的建立便于用户直观地观测到信息安全事件中各种威胁可能发生的概率，实现了客观地对信息系统所面临的威胁进行评估。

技术领域

本发明涉及信息安全技术领域，特别是涉及一种用于信息系统的威胁数据处理方法。

背景技术

随着网络的互联互通，信息业务应用越来越紧密，一个组织的信息系统面临的安全威胁越来越呈现出“内外夹击”的态势，虚拟网络世界的威胁与物理威胁趋于一致。

为了保障信息的安全，就需要对威胁进行识别和分类等，并作出相应的对策。而威胁识别就需要分析事故潜在起因。造成威胁的原因是多种多样的，大致分为人为因素和环境因素两大类，电力系统信息资源本身具有足够的吸引力，其面临来自全球的威胁，面对庞大的虚拟空间，其威胁起因有两方面：一是攻击者所拥有的资源和技能；二是信息系统本身具备的吸引力。目前，各组织、企业等的信息系统对于信息安全的管理不规范，无法客观地反映出信息系统所面临的威胁。

因此，如何实现信息安全的指标化管理，并能够客观地了解目标信息系统所面临的威胁，是本领域技术人员目前需要解决的技术问题。

发明内容

本发明的目的是提供一种用于信息系统的威胁数据处理方法，实现信息安全的指标化管理，并能够客观地了解目标信息系统所面临的威胁。

为解决上述技术问题，本发明提供了如下技术方案：

一种用于信息系统的威胁数据处理方法，包括：

将获取的信息安全事件映射为潜在威胁指标和既有威胁指标；

对所述既有威胁指标进行威胁频率计算，并将频率计算的结果赋值到与所述信息安全事件关联的安全域威胁指标中；

按照预设的周期，根据预设的威胁源对所述潜在威胁指标进行信息采集、范式化并关联为威胁多元组；

对目标信息系统的日志中的各所述威胁要素进行索引，将所述威胁多元组按照指数化计算方法计算出各元组的发生概率，并赋值映射为威胁值；

根据所述安全域威胁指标和所述威胁值生成相应的数据模型，以对所述信息系统的安全进行评估。

优选地，所述对所述既有威胁指标进行威胁频率计算，并将频率计算的结果赋值到与所述信息安全事件关联的安全域威胁指标中，包括：

获取所述既有威胁指标的威胁种类；

根据所述既有威胁指标对应的各类威胁的频率计算相应的安全威胁指数；

计算各所述安全威胁指数的算术平均值，记为与所述信息安全事件关联的安全域威胁指数。

优选地，所述按照预设的周期，根据预设的威胁源对所述潜在威胁指标进行信息采集、范式化并关联为威胁多元组，包括：

按照预设的周期，根据预设的国家标准、行业标准、集团制度、业界威胁情报和风险评估对所述潜在威胁指标进行信息采集和范式化；

对所有的威胁要素进行梳理和分类并形成符合所述目标信息系统当前状态的威胁多元组。

优选地，所述对所有的威胁要素进行梳理、分类、裁剪并形成符合所述目标信息系统当前状态的威胁多元组，包括：