天磊卫士(UGUARD)

是否系统越复杂，漏洞就会越多？

一般情况下，系统的复杂度与漏洞数成正比，可以说系统越复杂存在的漏洞就会越多，但这不是绝对的。系统的复杂度和大小，与安全性具有一定联系，但不是检验系统是否安全的决定性因素。

比如一道数学题，计算量越多出错率也会越高，但是引起错误的不仅仅是计算量，还有人为的粗心等因素造成。

同样的，决定信息系统是否安全有多种因素，漏洞的造成包括企业员工网络安全意识薄弱、缺少网络安全建设、系统的日常维护和管理不到位、计算机病毒的侵扰没有得到及时修复等，而系统复杂性，只是引起系统漏洞的其一因素。

网络安全漏洞是指在硬件、软件和协议等的具体实现或系统安全策略上存在缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。以上提到“缺陷”，正是我们所说的漏洞，简单的系统也不代表漏洞会越少，没有做好日常维护和网络安全防范，系统再简单也会漏洞百出。

对于大多数系统来说，少不了会添加新功能，因此也会增加新的代码。系统增加新功能是不可避免的，当涉及到应用安全性时，应该要考虑对新增加的功能做一次安全检测，以及时检验系统新功能的安全性，规避风险。任何系统都做不到无懈可击，总会存在漏洞，只是能否发现的问题。引起安全漏洞更多是人为因素所致，开发工程师开发系统时的疏忽和员工的不当操作，都可能会带来安全风险。因此，信息系统不论简单复杂与否，都应该进行定期的安全检测，定期地检查，才能发现问题所在。好比人体，不做体检就不知道潜藏的病痛，等到问题浮于表面，却为时已晚。复杂的系统，相对应它的功能较多，在进行网络安全建设时，相比简单系统维护起来也会复杂一些。

一方面，疏忽在所难免，我们更应该先于漏洞被恶意利用之前，发现漏洞并及时有效修复；另一方面，挖掘发现漏洞的同时，更应该做好漏洞防御。

这也提醒了开发人员在进行系统开发完成后，应该对相应信息系统、软件及硬件进行一次网络安全评估，专业安全技术人员会针对系统开展评估工作，提供修复建议，协助企业进行整改，从而确保系统正常上线，保证企业和用户的信息安全，也能在一定程度上规避风险，减少损失。企业所有的IT资产都有可能存在漏洞，对资产梳理分类并定期进行安全评估，保证安全问题在可控范围内。