[发明专利]一种基于企业数字轨迹的数字资产风险评估方法

权利要求书

1.一种基于企业数字轨迹的数字资产风险评估方法，其特征在于，包含如下步骤：

S1：搜集企业的暴露的数字资产及其轨迹信息，包括网络资产信息、供应链信息、知识产权信息、商务轨迹、企业敏感信息；

S2：针对每一个数字资产，识别对其存在影响的影响因子αi；所述的影响因子αi指对一数字资产的安全风险存在一定关联影响的其他数字资产元素；通过分析影响因子αi与资产之间的关联因素，包括资产间的路由距离、资产间的连通性、资产归属部门、资产归属关联企业情况，设定关联影响因子权重值w_αi，再计算出其他数字资产对指定资产的危害程度值；

针对每个影响因子自身脆弱点及相关脆弱点诱发的攻击手段,得到由攻击手段产生的危害程度值δ_αi；

具体步骤如下：

P1：评估影响因子的每个脆弱点可能产生的危害值；脆弱点为x，诱发的攻击手段为A_j，每种攻击手段的频率为f_j；则该脆弱点的危害值为：

其中D_x表示脆弱点x的危害值，x∈(0,100]；b_jf_j表示攻击手段A_j在攻击频率f_j下造成的总危害值，b_j表示攻击手段A_j攻击一次造成的影响；

P2：根据影响因子αi的所有脆弱点的危害值，评估该影响因子的危害程度值δ_αi，通过下式确定：

S3：根据一数字资产所有影响因子的危害程度值、影响因子权重值及资产自身的价值因素，即评估计算得到该数字资产的风险评估的结果值E；

所述风险评估结果值E通过下式确定：

其中，E表示对指定数字资产风险评估的结果值；v表示该数字资产自身的价值,v∈(0,1]；δ_αi表示影响因子αi的危害程度值；w_αi表示影响因子αi对该数字资产的影响因子权重值，满足w_α1+w_α2+…+w_αn＝1。

2.根据权利要求1所述的一种基于企业数字轨迹的数字资产风险评估方法，其特征在于步骤S1中，所述的网络资产信息包括IP、端口、服务、域名、中间件的信息。

3.根据权利要求1所述的一种基于企业数字轨迹的数字资产风险评估方法，其特征在于步骤S1中，所述的供应链信息包括合作企业、子公司、母公司、服务客户企业的信息。

4.根据权利要求1所述的一种基于企业数字轨迹的数字资产风险评估方法，其特征在于步骤S1中，所述的商务轨迹包括公开招投标信息、参加的重要组织团体活动、企业大事件、对外发布的招聘信息。

5.根据权利要求1所述的一种基于企业数字轨迹的数字资产风险评估方法，其特征在于步骤S1中，所述的企业敏感信息包括企业内部相关人员的个人信息。