企业网络安全风险评估涉及以下关键步骤：

1. 资产信息收集：

通过调查问卷或资产登记数据库，搜集网络信息系统的资产信息。这一步骤旨在掌握关键资产的分布，并分析它们所支持的业务、面临的安全威胁及潜在脆弱性。

2. 网络拓扑发现：

使用工具如ping、traceroute或网络管理平台来识别网络信息系统的资产关联结构。这有助于更好地理解资产之间的关系和信息流。

3. 网络安全漏洞扫描：

自动搜集待评估系统的漏洞信息，以评估其安全脆弱性。专业工具能够扫描并报告潜在的安全漏洞，同时，扫描结果的交叉验证能够提高结果的准确性。

4. 人工检查：

通过直接操作评估对象来收集必要的信息。在人工检查过程中，检查表（CheckList）的使用有助于系统地查找网络结构、设备、服务器和客户端等可能存在的漏洞和风险。

5. 网络安全渗透测试：

在合法授权的情况下，模拟黑客攻击以发现更深层次的安全问题。渗透测试的关键工作包括发现目标系统的安全漏洞、构建网络攻击路径以及验证安全漏洞的利用。