系统风险，总是被视而不见？

　　虽然，如前文所言的网络信息系统的一些固有缺陷和技术不足，使得攻击、泄密、破坏等等安全事件时有发生，给企业带来损失。

　　可惜的是，大多数企业的系统管理人员以及决策者，对于这样的安全风险甚少有意识，往往只能在事件发生后，捶胸顿足、哀声长叹。即使，有部分具有前瞻眼光的决策者，察觉到了风险的可怕，却也缺少一种科学的分析方法，对于核心业务流程的风险更缺乏严格的评估、量化和分析。
　　
　　正因为如此，对于网络信息系统的风险评估是大势所趋。所谓风险评估，就是参照风险评估标准和管理规范，对资产、威胁、薄弱环节和已采取的防护措施等进行分析，判断安全事件发生的概率、可能造成的损失以及预防需要花费的成本，最终得到一个量化的数据报表，指导企业去合理地投入资源，有效地规避风险。
　　
　　我们需要建立整体的风险评估体系，还能够应对各种风险，例如外部攻击、内网泄露、违规上网行为、应用业务压力风险等等。我们需要对它们进行系统的认识，进行整体的评估。只有如此，才能掌控全局。

　　风险评估：能够掌控全局？

　　想要加固企业网络的安全性，就需要对企业的实际风险做一个尽可能准确的评估，否则的话就会出现或者本来企业网需要的安全级别高，结果为了省钱，选了一个安全性能不是很高的防火墙；或者本来企业网需要的安全级别不是很高，结果花了相当多的钱买了一个安全性能极高的防火墙，浪费了投资，所以一定要尽可能正确地评估企业风险。

　　不言而喻，风险评估的意义重大，然而，如何进行风险评估，才能掌控网络信息系统全局呢？

　　在正确地评估风险时，要从如下几个方面考虑：

　　1．本企业对黑客的吸引力大不大；

　　2．本企业对外部开放程度如何；

　　3．一旦出现网络安全事故，对本公司的影响最大程度是什么；

　　4．根据公司的具体业务，哪些互联网服务是企业网络必须提供的；

　　5．提供这些服务的风险是什么；

　　6．若提供这种保护，可能会导致用户的抵触情绪及投资额的增加，是否值得为此付出这么多代价。

　　之所以从以上几个方面考虑，是因为不同性质的企业黑客对它们的兴趣大小不同。如高精尖企业以及银行、海关、证券等金融企业很容易引起黑客的兴趣，这样的企业风险性就大些；而一些生产普通物品的企业黑客却很少光顾，这样的企业风险性就小些；再比如，有些企业一旦出现网络安全事故，可能会企业产生致命的打击，有些企业可能就无所谓，当然它们的风险程度绝对不会相同。