一般情况下,系统的复杂度与漏洞数成正比,可以说系统越复杂存在的漏洞就会越多,但这不是绝对的。系统的复杂度和大小,与安全性具有一定联系,但不是检验系统是否安全的决定性因素。
比如一道数学题,计算量越多出错率也会越高,但是引起错误的不仅仅是计算量,还有人为的粗心等因素造成。
同样的,决定信息系统是否安全有多种因素,漏洞的造成包括企业员工网络安全意识薄弱、缺少网络安全建设、系统的日常维护和管理不到位、计算机病毒的侵扰没有得到及时修复等,而系统复杂性,只是引起系统漏洞的其一因素。
网络安全漏洞是指在硬件、软件和协议等的具体实现或系统安全策略上存在缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。以上提到的“缺陷”,正是我们所说的漏洞,简单的系统也不代表漏洞会越少,没有做好日常维护和网络安全防范,系统再简单也会漏洞百出。
对于大多数系统来说,少不了会添加新功能,因此也会增加新的代码。系统增加新功能是不可避免的,当涉及到应用安全性时,应该要考虑对新增加的功能做一次安全检测,以及时检验系统新功能的安全性,规避风险。
任何系统都做不到无懈可击,总会存在漏洞,只是能否发现的问题。引起安全漏洞更多是人为因素所致,开发工程师在开发系统时的疏忽和员工的不当操作,都可能会带来安全风险。
因此,信息系统不论简单复杂与否,都应该进行定期的安全检测,定期地检查,才能发现问题所在。好比人体,不做体检就不知道潜藏的病痛,等到问题浮于表面,却为时已晚。复杂的系统,相对应它的功能较多,在进行网络安全建设时,相比简单系统维护起来也会复杂一些。
一方面,疏忽在所难免,我们更应该先于漏洞被恶意利用之前,发现漏洞并及时有效修复;另一方面,挖掘发现漏洞的同时,更应该做好漏洞防御。
这也提醒了开发人员在进行系统开发完成后,应该对相应信息系统、软件及硬件进行一次网络安全评估,专业安全技术人员会针对系统开展评估工作,提供修复建议,协助企业进行整改,从而确保系统正常上线,保证企业和用户的信息安全,也能在一定程度上规避风险,减少损失。企业所有的IT资产都有可能存在漏洞,对资产梳理分类并定期进行安全评估,保证安全问题在可控范围内。
