目前，一些中小企業(yè)以及初創(chuàng)公司，往往不太注重網(wǎng)絡(luò)安全建設(shè)，認(rèn)為自身企業(yè)與其他大公司甚至上市公司不同，對于黑客來說沒有利用價(jià)值，因此不愿意花費(fèi)過多的時(shí)間和成本投入在網(wǎng)絡(luò)安全建設(shè)上。這種錯(cuò)誤的想法往往會(huì)給企業(yè)帶來危害，企業(yè)雖小，但不意味著你不在攻擊范圍內(nèi)。

[[416062]]

黑客隨時(shí)隨地掃描互聯(lián)網(wǎng)，時(shí)刻尋找他們可以利用的漏洞，中小企業(yè)以及初創(chuàng)公司并不能免受網(wǎng)絡(luò)攻擊。

隨著網(wǎng)絡(luò)安全相關(guān)法律的頒布與實(shí)施，網(wǎng)絡(luò)安全越來越被重視，很多企業(yè)也意識到網(wǎng)絡(luò)安全的重要性，這意味著網(wǎng)絡(luò)安全正成為一個(gè)重要推動(dòng)環(huán)節(jié)。

一、關(guān)于網(wǎng)絡(luò)安全評估

網(wǎng)絡(luò)安全評估是指針對公共網(wǎng)絡(luò)所存在的漏洞及漏洞披露方式進(jìn)行的一種技術(shù)評估。評估有多種形式，以下介紹幾種常見的方式：

漏洞掃描：利用評估工具，配合用戶業(yè)務(wù)要求，對網(wǎng)絡(luò)層、操作系統(tǒng)層、應(yīng)用層等范圍以遠(yuǎn)程自動(dòng)掃描的方式對評估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行的安全掃描。

滲透測試：由具備高技能和高素質(zhì)的安全服務(wù)人員發(fā)起，并模擬常見黑客所使用的攻擊手段對目標(biāo)系統(tǒng)進(jìn)行模擬入侵，從而發(fā)現(xiàn)系統(tǒng)存在的安全漏洞。

代碼審計(jì)：由具備豐富編碼經(jīng)驗(yàn)并對安全編碼原則及應(yīng)用安全具有深刻理解的安全服務(wù)人員對系統(tǒng)的源代碼和軟件架構(gòu)的安全性、可靠性進(jìn)行全面的安全檢查。

人工驗(yàn)證的方式往往比工具驗(yàn)證發(fā)現(xiàn)得更加準(zhǔn)確，而滲透測試和代碼審計(jì)正是安全評估人工驗(yàn)證的其二方式。

二、為何要進(jìn)行評估

1、第三方或客戶要求

合作中第三方或客戶為了確保系統(tǒng)的安全性，多數(shù)時(shí)候會(huì)特別要求出具安全評估報(bào)告，這時(shí)候不得不去找專業(yè)安全公司去做安全評估，給客戶一個(gè)滿意的交付和一份安心。

2、行業(yè)法規(guī)

相關(guān)法律法規(guī)會(huì)要求組織定期進(jìn)行安全測試，例如《網(wǎng)絡(luò)安全法》、《等級保護(hù)制度》等。如不依照執(zhí)行，會(huì)迎來相關(guān)處罰，不僅金錢損失，還會(huì)影響企業(yè)形象，得不償失。有了法律法規(guī)的約束，企業(yè)便會(huì)乖乖依法照辦。

3、網(wǎng)絡(luò)安全事件的警醒

近期接連的網(wǎng)絡(luò)安全事件，給許多事企單位敲響警鐘，但還是會(huì)有不少企業(yè)會(huì)犯同樣的錯(cuò)誤，過于忽視網(wǎng)絡(luò)安全的重要性，給公司帶來不好影響。

三、如何選擇適合自己的評估方式

1、沒有儲(chǔ)存敏感數(shù)據(jù)

如果企業(yè)系統(tǒng)或網(wǎng)站沒有儲(chǔ)存敏感數(shù)據(jù)，并且投入網(wǎng)絡(luò)安全建設(shè)的預(yù)算不高，安全漏洞掃描將可能成為你的第一選擇，經(jīng)過自動(dòng)化工具掃描驗(yàn)證，后期安全服務(wù)人員針對所在漏洞修復(fù)，可以優(yōu)化一些安全問題。

2、儲(chǔ)存大量用戶信息

如果企業(yè)系統(tǒng)或網(wǎng)站儲(chǔ)存大量用戶信息，用戶信息為個(gè)人隱私，屬敏感數(shù)據(jù)，應(yīng)考慮選擇人工驗(yàn)證的方式進(jìn)行評估，以上提及的滲透測試和代碼審計(jì)，可根據(jù)企業(yè)需求及預(yù)算自行選擇合適的評估方案。

3、信息數(shù)量多且敏感

若企業(yè)儲(chǔ)存的數(shù)據(jù)既重要又敏感，例如金融類企業(yè)，網(wǎng)絡(luò)犯罪分子會(huì)格外對該類重要敏感信息“感興趣”該類型企業(yè)應(yīng)定期投入或多或少的預(yù)算用于網(wǎng)絡(luò)安全建設(shè)，選擇多種評估方式發(fā)現(xiàn)潛在威脅，及時(shí)修補(bǔ)。這時(shí)，你可能需要自動(dòng)化加人工的形式。

每家企業(yè)都是獨(dú)一無二的，沒有一種網(wǎng)絡(luò)安全方案適用于每家公司，一切的選擇都應(yīng)根據(jù)企業(yè)的自身需求、預(yù)算以及專業(yè)人士的建議。網(wǎng)絡(luò)安全意識極為重要，決定了你是否會(huì)為下一步的網(wǎng)絡(luò)安全建設(shè)付出行動(dòng)。同時(shí)，相關(guān)法律法規(guī)的約束，使得多數(shù)企業(yè)對此更加關(guān)注。

網(wǎng)絡(luò)安全建設(shè)是段漫長的路途，并非對系統(tǒng)進(jìn)行一兩次的維護(hù)就足以，安全漏洞和新的攻擊手法每天在不斷變化，需要定期的檢查和修補(bǔ)，才能及時(shí)解決安全問題。