CN115983645B - 一种基于企业数字轨迹的数字资产风险评估方法 - Google Patents

一种基于企业数字轨迹的数字资产风险评估方法 Download PDF

Info

Publication number
CN115983645B
CN115983645B CN202310055385.0A CN202310055385A CN115983645B CN 115983645 B CN115983645 B CN 115983645B CN 202310055385 A CN202310055385 A CN 202310055385A CN 115983645 B CN115983645 B CN 115983645B
Authority
CN
China
Prior art keywords
digital
asset
value
enterprise
influence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310055385.0A
Other languages
English (en)
Other versions
CN115983645A (zh
Inventor
刘彦伸
郭银锋
虞雁群
吴艳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Yu'an Information Technology Co ltd
Original Assignee
Zhejiang Yu'an Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Yu'an Information Technology Co ltd filed Critical Zhejiang Yu'an Information Technology Co ltd
Priority to CN202310055385.0A priority Critical patent/CN115983645B/zh
Publication of CN115983645A publication Critical patent/CN115983645A/zh
Application granted granted Critical
Publication of CN115983645B publication Critical patent/CN115983645B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于企业数字轨迹的数字资产风险评估方法,它包含如下步骤:S1搜集企业的暴露的数字资产及其轨迹信息;S2针对每一个数字资产,识别对其存在影响的影响因子;通过分析影响因子与资产之间的关联因素,设定关联影响因子权重值,再计算出其他资产对指定资产的风险影响程度;S3根据某一数字资产所有关联因子的危害程度、影响因子权重值及资产自身的价值因素,即可评估计算得到该数字资产的风险评估结果;本发明将每个影响因子拆分为三维权重因子、三维风险因子、及因子脆弱点和各脆弱点的严重级别,从而实现数字资产量化风险评估。

Description

一种基于企业数字轨迹的数字资产风险评估方法
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于企业数字轨迹的数字资产风险评估方法。
背景技术
近年来,数字经济迅猛发展,数据成为了国家、政府、企业的重要资产。中国数字产业化规模急剧扩大,不断催生出新产业、新业态、新模式,正在向全球高端产业链迈进。与此同时,数据价值的提升导致泄密风险显著增加,传统的数字资产风险评估方法已无法适应数据安全的新要求。云计算、5G、物联网等技术的发展使企业的数字资产环境变得越发复杂,使得企业的数字资产散落在各处,让企业数字资产的管理面临不小的挑战。由于黑客攻击的形式持续升级,从单纯的网络资产识别,延伸到企业暴露的知识产权信息、商务信息、参与招投标的痕迹、第三方关联服务企业及软件供应链等一切与企业相关的数字化资产信息的识别,每类资产都存在直接或间接导致企业敏感信息泄露或网络被入侵的风险。例如,在金融行业,企业邮件充满敏感数据,数字资产防泄露成为了金融行业的当务之急。这也促使需要一种方法从多种关联维度定量评估企业暴露的主要数字资产风险,以便确定企业存在的攻击面风险信息。
现有的资产风险评估方式大多是以GBT20984-2007《信息安全技术信息安全风险评估规范》为基础,以资产、威胁、脆弱性三个维度进行评估,且在实际过程中资产仅用于网络资产,威胁仅用于主机和web漏洞,所以评估内容过于单一,很难真正识别和确认企业实际的安全风险。
发明内容
本发明的目的在于针对现有技术的缺陷和不足,提供一种基于企业数字轨迹的数字资产风险评估方法。
为实现上述目的,本发明采用的技术方案是:它包含如下步骤:
S1:搜集企业的暴露的数字资产及其轨迹信息,包括网络资产信息、供应链信息、知识产品信息、商务轨迹、企业敏感信息;
S2:针对每一个数字资产,识别对其存在影响的因子α;所述的影响因子α指对某一数字资产的安全风险存在有一定关联影响的其他数字资产元素;通过分析影响因子α与资产之间的关联因素,包括资产间的路由距离、资产间的连通性、资产归属部门、资产归属关联企业情况,设定关联影响因子权重值w,再计算出其他资产对指定资产的风险影响程度。
S3:根据某一数字资产所有关联因子的危害程度、影响因子权重值及资产自身的价值因素,即可评估计算得到该数字资产的风险评估结果E。
所述风险评估结果E通过下式确定:
其中,E表示对指定数字资产风险评估的结果值;v表示该数字资产自身的价值,v∈(0,1];δαi表示关联因子αi的危害程度值;wαi表示影响因子αi对该数字资产的影响权重,满足wα1+wα2+…+wαn=1。
进一步地,步骤S1中,所述的网络资产信息包括IP、端口、服务、域名、中间件的信息;
进一步地,步骤S1中,所述的供应链信息包括合作企业、子公司、母公司、服务客户企业的信息;
进一步地,步骤S1中,所述的商务轨迹包括公开招投标信息、参加的重要组织团体活动、企业大事件、对外发布的招聘信息;
进一步地,步骤S1中,所述的企业敏感信息包括企业内部相关人员的个人信息;
进一步地,步骤S2中,针对每个影响因子α,确定每个影响因子自身脆弱点及
相关脆弱点诱发的攻击手段,得到由此攻击手段产生的危害程度δα
具体步骤如下:
P1:评估影响因子的每个脆弱点可能产生的危害值。脆弱点为x,诱发的攻击手段为Ai,对应的攻击导致的损失为bi(其中最高基准值为100),每种攻击手段的频率为fi。则该脆弱点的危害值为:
其中Dx表示脆弱点x的危害程度值,x∈(0,100];bifi表示攻击手段Ai在攻击频率fi下造成的总危害值,bi表示攻击手段Ai攻击一次造成的影响;
P2:根据影响因子α的所有脆弱点的危害值,评估该影响因子的危害程度δα,通过下式确定:
采用上述方案后,本发明所述的一种基于企业数字轨迹的数字资产风险评估方法,与现有技术相比,具有以下优点:
1,常规的数字资产风险评估是孤立的,而数字资产风险的影响因子,本质衡量的是其他数字资产对本数字资产的影响。数字资产之间将形成多维关联树,每个资产自身的特性和风险将对其他资产的风险其影响作用。
2,资产脆弱性风险评估方法形成多维立体形态,每个影响因子拆分为三维权重因子、三维风险因子、及因子脆弱点和各脆弱点的严重级别,从而实现数字资产量化风险评估。
附图说明
为了更清楚的说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明基于企业数字轨迹的数字资产风险评估方法的流程图
具体实施方式
下面结合附图,对本发明作进一步的说明。
参看图1所示,本具体实施方式采用的技术方案是:它包含如下步骤:
S1:搜集企业的暴露的数字资产及其轨迹信息,包括网络资产信息、供应链信息、知识产品信息、商务轨迹、企业敏感信息;
所述网络资产信息包括IP、端口、服务、域名、中间件的信息;
所述供应链信息包括合作企业、子公司、母公司、服务客户企业的信息;
所述商务轨迹包括公开招投标信息、参加的重要组织团体活动、企业大事件、对外发布的招聘信息;所述企业敏感信息包括企业内部相关人员的个人信息;
S2:针对每一个数字资产,识别对其存在影响的因子α。所谓影响因子α指对某一数字资产的安全风险存在有一定关联影响的其他数字资产元素,通过分析影响因子α与资产之间的关联因素,包括资产间的路由距离、资产间的连通性、资产归属部门、资产归属关联企业情况等,设定关联影响因子权重值w,再计算出其他资产对指定资产的风险影响程度。
针对每个影响因子α,确定每个影响因子自身脆弱点及相关脆弱点诱发的攻击手段,得到由此攻击手段产生的危害程度δα
具体步骤如下:
P1:评估影响因子的每个脆弱点可能产生的危害值。脆弱点为x,诱发的攻击手段为Ai,对应的攻击导致的损失为bi(其中最高基准值为100),每种攻击手段的频率为fi。则该脆弱点的危害值为:
其中Dx表示脆弱点x的危害程度值,x∈(0,100];bifi表示攻击手段Ai在攻击频率fi下造成的总危害值,bi表示攻击手段Ai攻击一次造成的影响;
P2:根据影响因子α的所有脆弱点的危害值,评估该影响因子的危害程度δα,通过下式确定:
S3:根据某一数字资产所有关联因子的危害程度、影响因子权重值及资产自身的价值因素,即可评估计算得到该数字资产的风险评估结果E。
所述风险评估结果E通过下式确定:
其中,E表示对指定数字资产风险评估的结果值;v表示该数字资产自身的价值,v∈(0,1];δαi表示关联因子αi的危害程度值;wαi表示影响因子αi对该数字资产的影响权重,满足wα1+wα2+…+wαn=1。
常规的数字资产风险评估是孤立的,而数字资产风险影响因子,本质衡量的是其他数字资产对本数字资产的影响;数字资产之间将形成多维关联树,每个资产自身的特性和风险将对其他资产的风险起影响作用;
资产脆弱性风险评估方法形成多维立体形态,每个影响因子拆分为三维权重因子、三维风险因子、及因子脆弱点和各脆弱点的严重级别,从而实现数字资产量化风险评估。
以上所述,仅用以说明本发明的技术方案而非限制,本领域普通技术人员对本发明的技术方案所做的其他修改或等同替换,只要不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。

Claims (5)

1.一种基于企业数字轨迹的数字资产风险评估方法,其特征在于,包含如下步骤:
S1:搜集企业的暴露的数字资产及其轨迹信息,包括网络资产信息、供应链信息、知识产权信息、商务轨迹、企业敏感信息;
S2:针对每一个数字资产,识别对其存在影响的影响因子αi;所述的影响因子αi指对一数字资产的安全风险存在一定关联影响的其他数字资产元素;通过分析影响因子αi与资产之间的关联因素,包括资产间的路由距离、资产间的连通性、资产归属部门、资产归属关联企业情况,设定关联影响因子权重值wαi,再计算出其他数字资产对指定资产的危害程度值;
针对每个影响因子自身脆弱点及相关脆弱点诱发的攻击手段,得到由攻击手段产生的危害程度值δαi
具体步骤如下:
P1:评估影响因子的每个脆弱点可能产生的危害值;脆弱点为x,诱发的攻击手段为Aj,每种攻击手段的频率为fj;则该脆弱点的危害值为:
其中Dx表示脆弱点x的危害值,x∈(0,100];bjfj表示攻击手段Aj在攻击频率fj下造成的总危害值,bj表示攻击手段Aj攻击一次造成的影响;
P2:根据影响因子αi的所有脆弱点的危害值,评估该影响因子的危害程度值δαi,通过下式确定:
S3:根据一数字资产所有影响因子的危害程度值、影响因子权重值及资产自身的价值因素,即评估计算得到该数字资产的风险评估的结果值E;
所述风险评估结果值E通过下式确定:
其中,E表示对指定数字资产风险评估的结果值;v表示该数字资产自身的价值,v∈(0,1];δαi表示影响因子αi的危害程度值;wαi表示影响因子αi对该数字资产的影响因子权重值,满足wα1+wα2+…+wαn=1。
2.根据权利要求1所述的一种基于企业数字轨迹的数字资产风险评估方法,其特征在于步骤S1中,所述的网络资产信息包括IP、端口、服务、域名、中间件的信息。
3.根据权利要求1所述的一种基于企业数字轨迹的数字资产风险评估方法,其特征在于步骤S1中,所述的供应链信息包括合作企业、子公司、母公司、服务客户企业的信息。
4.根据权利要求1所述的一种基于企业数字轨迹的数字资产风险评估方法,其特征在于步骤S1中,所述的商务轨迹包括公开招投标信息、参加的重要组织团体活动、企业大事件、对外发布的招聘信息。
5.根据权利要求1所述的一种基于企业数字轨迹的数字资产风险评估方法,其特征在于步骤S1中,所述的企业敏感信息包括企业内部相关人员的个人信息。
CN202310055385.0A 2023-01-16 2023-01-16 一种基于企业数字轨迹的数字资产风险评估方法 Active CN115983645B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310055385.0A CN115983645B (zh) 2023-01-16 2023-01-16 一种基于企业数字轨迹的数字资产风险评估方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310055385.0A CN115983645B (zh) 2023-01-16 2023-01-16 一种基于企业数字轨迹的数字资产风险评估方法

Publications (2)

Publication Number Publication Date
CN115983645A CN115983645A (zh) 2023-04-18
CN115983645B true CN115983645B (zh) 2023-08-04

Family

ID=85976004

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310055385.0A Active CN115983645B (zh) 2023-01-16 2023-01-16 一种基于企业数字轨迹的数字资产风险评估方法

Country Status (1)

Country Link
CN (1) CN115983645B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116611695B (zh) * 2023-07-17 2023-09-22 北京大学 一种基于区间模糊综合评价的数字资产风险评估系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105516130A (zh) * 2015-12-07 2016-04-20 北京安信天行科技有限公司 一种数据处理方法和装置
CN108494787A (zh) * 2018-03-29 2018-09-04 北京理工大学 一种基于资产关联图的网络风险评估方法
CN110401625A (zh) * 2019-03-07 2019-11-01 中国科学院软件研究所 基于关联分析的风险评估方法和系统
CN110472419A (zh) * 2019-07-18 2019-11-19 北京理工大学 一种基于损失效应的网络安全风险评估方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8402546B2 (en) * 2008-11-19 2013-03-19 Microsoft Corporation Estimating and visualizing security risk in information technology systems

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105516130A (zh) * 2015-12-07 2016-04-20 北京安信天行科技有限公司 一种数据处理方法和装置
CN108494787A (zh) * 2018-03-29 2018-09-04 北京理工大学 一种基于资产关联图的网络风险评估方法
CN110401625A (zh) * 2019-03-07 2019-11-01 中国科学院软件研究所 基于关联分析的风险评估方法和系统
CN110472419A (zh) * 2019-07-18 2019-11-19 北京理工大学 一种基于损失效应的网络安全风险评估方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于攻防状态图模型的网络风险评估方法;周末等;东南大学学报;第46卷(第4期);第688-694页 *

Also Published As

Publication number Publication date
CN115983645A (zh) 2023-04-18

Similar Documents

Publication Publication Date Title
TWI573036B (zh) 針對威脅評估之風險評分技術
CN109922069B (zh) 高级持续性威胁的多维关联分析方法及系统
KR101702614B1 (ko) 온라인 사기 검출 동적 점수 합계 시스템 및 방법
CN115983645B (zh) 一种基于企业数字轨迹的数字资产风险评估方法
CN111652732B (zh) 一种基于交易图匹配的比特币异常交易实体识别方法
CN106779278A (zh) 资产信息的评价系统及其信息的处理方法和装置
CN115378712B (zh) 一种基于政务区块链底座的威胁情报共享方法
Williams et al. Perceptions of the eCrime controllers: Modelling the influence of cooperation and data source factors
CN112464252A (zh) 一种基于风险的漏洞威胁程度动态计算方法
CN113657802A (zh) 数据采集分类分级成熟度指标记账方法、区块链系统及数据采集分类分级成熟度评估方法
CN111831881B (zh) 一种基于网站流量日志数据与优化谱聚类算法的恶意爬虫检测方法
CN117593020A (zh) 基于跨境电商贸易真实性智能核查方法及系统
Turiel et al. Evidence of air quality data misreporting in China: An impulse indicator saturation model comparison of local government-reported and US embassy-reported PM2. 5 concentrations (2015–2017)
CN109962916B (zh) 一种基于多属性的工业互联网安全态势评价方法
CN116720194A (zh) 一种数据安全风险评估的方法和系统
US11757916B1 (en) Methods and apparatus for analyzing and scoring digital risks
Dhoot et al. Security analysis of private intellectual property
CN114066624A (zh) 基于图计算的黑名单关联图谱挖掘方法及系统
CN115766138B (zh) 一种工业互联网企业网络安全分级评价方法和系统
Thomas et al. A comparison of conventional and online fraud
CN115208638B (zh) 一种网络安全意识评估方法和装置
Huang et al. Detecting phishing gangs via taint analysis on the Ethereum blockchain
Edmondson Forensic Analysis of Inventor Qualifications using Social Media Data
Edu et al. An impact and risk assessment framework for national electronic identity (eID) systems
Oreku et al. Rethinking e-commerce security

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A Digital Asset Risk Assessment Method Based on Enterprise Digital Trajectory

Granted publication date: 20230804

Pledgee: Zhejiang Hangzhou Yuhang Rural Commercial Bank Co.,Ltd. Science and Technology City Branch

Pledgor: Zhejiang Yu'an Information Technology Co.,Ltd.

Registration number: Y2024980010210

PE01 Entry into force of the registration of the contract for pledge of patent right