在制订企业网的安全策略之前，要对企业的实际风险做一个尽可能准确的评估，否则的话就会出现或者本来企业网需要的安全级别高，结果为了省钱，选了一个安全性能不是很高的防火墙；或者本来企业网需要的安全级别不是很高，结果花了相当多的钱买了一个安全性能极高的防火墙，浪费了投资，所以一定要尽可能正确地评估企业风险。

　　在正确地评估风险时，要从如下几个方面考虑：

　　1、 本企业对黑客的吸引力大不大；

　　2、 本企业对外部开放程度如何；

　　3、 一旦出现网络安全事故，对本公司的影响最大程度是什么；

　　4、 根据公司的具体业务，哪些互联网服务是企业网络必须提供的；

　　5、 提供这些服务的风险是什么；

　　6、 若提供这种保护，可能会导致用户的抵触情绪及投资额的增加，是否值得为此付出这么多代价；

　　之所以从以上几个方面考虑，是因为不同性质的企业黑客对它们的兴趣大小不同。如高精尖企业以及银行、海关、证券等金融企业很容易引起黑客的兴趣，这样的企业风险性就大些；而一些生产普通物品的企业黑客却很少光顾，这样的企业风险性就小些；再比如，有些企业一旦出现网络安全事故，可能会企业产生致命的打击，有些企业可能就无所谓，当然它们的风险程度绝对不会相同。

　　现在安全行业内部有通用的安全评估标准，现一并摘录下来：

　　对照这几条，结合企业的现实情况，找出很切合企业的权值，最后就能得出风险分数：

　　风险分数= 危险权值* style='font-family: 宋体;兴趣权值 + 事故结果权值* 事故影响权值

　　如果分数在2－10之间的话，属于低风险；11－29属于中等风险；30－50 属于高风险

　　在写这篇文章中的过程中得到一个好消息，当然也使本文显得更有意义。这个好消息就是在今年10月18日召开的2001年信息安全高峰论坛会上，国家信息安全评测认证中心主任吴世忠透露了一条重要信息：国家《信息安全服务资质认证标准将正式出台》，安全厂商就有了一个比较的标准，水平高低根据其证书显而易见，这样一来企业可以根据上面的论述自身或请安全专家对企业网络安全状况进行评估，根据风险程度，选取合适的产品与不同级别的安全厂商，使企业的资金用到实处，并且保证企业网的安全。（完）