编者按：深圳妇幼信息泄露事件并非偶然，当前的企业网络信息正面临各种各样的风险，外部攻击、内网泄露、违规上网行为、应用业务压力风险等等，我们如何才能掌控全局？

网络系统正处于内忧外患？
网络系统是被自己打倒的？
系统风险，总是被视而不见？
风险评估：能够掌控全局？

    【IT168 专稿】6月底，深圳某著名妇幼保健医院发生了产妇和婴儿资料信息泄露的严重事件。据知情人透露是有人利用职务之便，在上班期间仅仅用了5分钟时间，通过U盘拷贝了相关的重要数据后，被不法分子得到随即以1.2万元的价格对外出售。

     其实，妇幼信息泄露事件只是企业网络风险的一种。企业网络信息面临各种各样的风险，外部攻击、内网泄露、违规上网行为、应用业务压力风险等等，要解决这么问题，我们需要对它们进行系统的认识，进行整体的评估。只有如此，才能掌控全局。

也因此，对于不少企业来说，网络信息系统的风险评估，显得越来越重要了。但是，风险评估如何进行呢？它到底能带来什么？为此，我们组织了本次专题。

网络系统正处于内忧外患？

　　互联网上存在着各种各样的危险，这种危险要能是恶意的，也可能是非恶意的，如因失误而造成的事故；恶意的危险又分为理智型的 ( 如故意偷取企业机密) 和非理智型的( 如毁坏企业的数据) 。总的说来，比较典型的危险主要包括如下几个方面：

　　1、 软硬件设计故障导致网络瘫痪。
　　如防火墙意外瘫痪而导致失效，以致安全设置形同虚设；由于内外部人员同时访问导致服务器负载过大以致死机、严重者导致数据丢失等等；
　　2、 黑客入侵。
　　一些不坏好意的人强行闯入企业网实施破坏；冒充合法的用户进行企业网内部，偷盗企业机密信息和破坏企业形象等等；
　　3、 敏感信息泄露。
　　企业内部的敏感信息被入侵者偷看，导致这种状况的有几种原因，如寻径错误的电子邮件、配置错误的访问控制列表，没有严格地设置好不同用户的访问权限等等；
　　4、 信息删除。
　　有时网管员对安全权限设置不当，导致某些怀有恶意的人故意破坏企业商业机密的完整性以及向竞争对手故意泄露商业机密等等。

　　也就说互联网上的危险不仅来自于外面，而且有时也来自于内部。虽然在互联网上存在不同程度的危险，但为了企业的业务发展，很多企业不得不把企业的内部网联入互联网，向雇员提供互联网的访问。

　　 美国可以说是比较注重网络安全的国家之一，但是根据 IDG 公司的调查报告表明，在所有被调查的公司中，进行常规性安全检查的公司还不到一半，只有 30% 的公司具有跟踪用户访问的能力， 1/3 的公司使用加密技术，其中有60 家左右的公司在三个月内遭受到142 次入侵。美国尚且如此，我们国家的企业网安全现状如何呢？笔者今年年初在北京参加一次安全会议时，有一安全专家对我国企业网的安全状况用“确实应该引起我们警觉”来概括。