谈网络安全风险评估的重要性！

近年来，随着信息技术的发展和互联网应用的普及，让网络和信息系统面临着前所未有的威胁风险。利用黑客手段窃取商业秘密也屡见不鲜，对企业来说，商业秘密既是企业的“心脏”，也是企业的重要资产，对企业的发展至关重要。Wannacry的蠕虫勒索软件袭击全球网络，这被认为是迄今为止最巨大的勒索交费活动，直接影响到近百个国家上千家企业。

2009年2月，杰作工作室负责人李育举利用推销羊毛衫设计图之机，获取了浙江爵派尔服饰有限公司技术部人员的QQ号码。之后李育举雇用“黑客”远程控制自己的电脑，由“黑客”操控，向该QQ号码发送捆绑远程木马程序的羊毛衫设计图片，一旦对方打开图片就将木马程序安装进对方电脑，从而远程控制对方电脑，窃取浙江爵派尔服饰有限公司2009年秋冬款羊毛衫14个系列912个款式的样衣照片2500余张，并将该批样衣照片出售给其他羊毛衫生产厂家，从中牟利。 据悉，该批样衣照片不为公众所知悉，能为权利人带来经济利益，具有实用性并经权利人采取保密措施，属于商业秘密。经鉴定，李育举的行为给权利人浙江爵派尔服饰有限公司造成直接经济损失为196万余元。像这样，重要竞争对手利用黑客攻击网络，窃取商业秘密时有发生，网络安全问题越发突出。

2014年2月，中央网络安全和信息化领导小组宣告成立；2017年6月1日《网络安全法》正式生效。再次体现了中国最高层全面深化改革、加强顶层设计的意志，显示出在保障网络安全、维护国家利益、推动信息化发展的决心。《网络安全法》第17条和29条规定国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务，加强对网络安全风险的分析评估。针对网络攻击、僵尸网络、病毒木马、终端安全等网络安全风险，网络安全评估将逐渐走上规范化和法制化的轨道上来，信息系统及相关产品的风险评估认证成为必需环节。

网络安全风险评估主要包括资产、威胁、脆弱性和风险四个主要因素。网络安全风险评估能为全面有效落实安全管理工作提供基础，通过预测事件发生的可能性、影响范围和危害程度，有效提高预防保护的准确性。企业信息系统建设之初就存在安全问题，好比高楼大厦建在流沙之上，地基不固，楼建的越高倒塌的风险就越大。网络安全风险评估是信息系统这座高楼大厦的安全根基，它可以帮助信息系统管理者了解潜在威胁，合理利用现有资源开展规划建设。网络安全风险评估还可以为信息系统建设者节省信息系统建设总体投资，达到“以最小成本获得最大安全保障”的效果。

没有网络安全就没有国家安全，没有信息化就没有现代化。企业重视风险评估的一个重要原因是“安全事件驱动”，即“不出事不重视”，真正做到“未雨绸缪”的少之又少。网络安全和信息化事关商业机密安全，是企业生存和发展的关键所在。而网络安全风险评估是网络安全的前提和基础。为此，通过专业的安全评测机构对网络安全风险进行分析评估，预测网络风险事件发生的可能性、影响范围和危害程度，让风险评估为网络安全保驾护航，建立维护网络安全的长效机制刻不容缓。