目前，一些中小企業以及初創公司，往往不太注重網絡安全建設，認為自身企業與其他大公司甚至上市公司不同，對于黑客來說沒有利用價值，因此不愿意花費過多的時間和成本投入在網絡安全建設上。這種錯誤的想法往往會給企業帶來危害，企業雖小，但不意味著你不在攻擊范圍內。

　　黑客隨時隨地掃描互聯網，時刻尋找他們可以利用的漏洞，中小企業以及初創公司并不能免受網絡攻擊。

　　隨著網絡安全相關法律的頒布與實施，網絡安全越來越被重視，很多企業也意識到網絡安全的重要性，這意味著網絡安全正成為一個重要推動環節。

　　一、關于網絡安全評估

　　網絡安全評估是指針對公共網絡所存在的漏洞及漏洞披露方式進行的一種技術評估。評估有多種形式，以下介紹幾種常見的方式：

　　漏洞掃描：利用評估工具，配合用戶業務要求，對網絡層、操作系統層、應用層等范圍以遠程自動掃描的方式對評估范圍內的系統和網絡進行的安全掃描。

　　滲透測試：由具備高技能和高素質的安全服務人員發起，并模擬常見黑客所使用的攻擊手段對目標系統進行模擬入侵，從而發現系統存在的安全漏洞。

　　代碼審計：由具備豐富編碼經驗并對安全編碼原則及應用安全具有深刻理解的安全服務人員對系統的源代碼和軟件架構的安全性、可靠性進行全面的安全檢查。

　　人工驗證的方式往往比工具驗證發現得更加準確，而滲透測試和代碼審計正是安全評估人工驗證的其二方式。

　　二、為何要進行評估

　　1、第三方或客戶要求

　　合作中第三方或客戶為了確保系統的安全性，多數時候會特別要求出具安全評估報告，這時候不得不去找專業安全公司去做安全評估，給客戶一個滿意的交付和一份安心。

　　2、行業法規

　　相關法律法規會要求組織定期進行安全測試，例如《網絡安全法》、《等級保護制度》等。如不依照執行，會迎來相關處罰，不僅金錢損失，還會影響企業形象，得不償失。有了法律法規的約束，企業便會乖乖依法照辦。

　　3、網絡安全事件的警醒

　　近期接連的網絡安全事件，給許多事企單位敲響警鐘，但還是會有不少企業會犯同樣的錯誤，過于忽視網絡安全的重要性，給公司帶來不好影響。

　　三、如何選擇適合自己的評估方式

　　1、沒有儲存敏感數據

　　如果企業系統或網站沒有儲存敏感數據，并且投入網絡安全建設的預算不高，安全漏洞掃描將可能成為你的第一選擇，經過自動化工具掃描驗證，后期安全服務人員針對所在漏洞修復，可以優化一些安全問題。

　　2、儲存大量用戶信息

　　如果企業系統或網站儲存大量用戶信息，用戶信息為個人隱私，屬敏感數據，應考慮選擇人工驗證的方式進行評估，以上提及的滲透測試和代碼審計，可根據企業需求及預算自行選擇合適的評估方案。

　　3、信息數量多且敏感

　　若企業儲存的數據既重要又敏感，例如金融類企業，網絡犯罪分子會格外對該類重要敏感信息“感興趣”該類型企業應定期投入或多或少的預算用于網絡安全建設，選擇多種評估方式發現潛在威脅，及時修補。這時，你可能需要自動化加人工的形式。

　　每家企業都是獨一無二的，沒有一種網絡安全方案適用于每家公司，一切的選擇都應根據企業的自身需求、預算以及專業人士的建議。網絡安全意識極為重要，決定了你是否會為下一步的網絡安全建設付出行動。同時，相關法律法規的約束，使得多數企業對此更加關注。

　　網絡安全建設是段漫長的路途，并非對系統進行一兩次的維護就足以，安全漏洞和新的攻擊手法每天在不斷變化，需要定期的檢查和修補，才能及時解決安全問題。