我们永远也不可能让一个系统变得100%安全，那网安存在的意义是什么？

• • 任何系统都可以被攻破，只要你花的时间足够多。

• • 每个系统都有存在漏洞，只是有没有被发现而已。

• • 这个世界上不存在100%安全的系统。

• • ......

类似这样的话我听到过很多，确实，以现在的大型的软件或系统的软件复杂度来说，动辄几十万、上百万行的代码，海量的外部依赖，确实很容易产生漏洞，只要看看各大软件的更新频率和更新内容就知道了，大量的漏洞修复补丁。

就算是一个非常简单的小型系统，它也需要运行在各种操作系统上，也需要各类硬件的支持，同时还会有各种未知的网络环境，也就意味着依赖了大量的网络协议。

TCP协议漏洞：

这样看起来是不是好像很有道理的样子？那网安存在的意义是什么？

花了大量的时间和精力，但是永远也无法让系统变得100%安全，漏洞永远也修不完，安全事件迟早会发生。

忘记在哪里，有看到过这么一句话：“系统总是会存在漏洞，因此，好在我们的工作并不是要消除每一个漏洞，而是通过实施适当的防御与控制，确保单个漏洞不会导致重大损失。”

我觉得挺有道理的，当一个系统变得足够复杂的时候，它暴露的漏洞也会越多，而我们都知道，破坏比创造简单太多了。所以，网安的工作并不是保证系统100%的安全，而是控制风险，尽量减少或降低风险。

就像之前的log4j和fastjson爆出的漏洞，就算业务上的安全做得再好又有什么用呢？我们不可能去审计所有依赖的代码，甚至是依赖的依赖。

所以我们能做的也只是快速响应，事后补救，并且想办法降低风险。

不知道大家怎么看待这个问题？