安全資訊

《孫子兵法》是最早系統化看待戰爭的軍事著(zhù)作。其中相關(guān)理論和內容，對于網(wǎng)絡(luò )安全同樣具有重要的指導意義。目前流行的網(wǎng)絡(luò )安全架構，也部分與《孫子兵法》思想契合。

把《孫子兵法》內容架構映射到網(wǎng)絡(luò )安全，如下圖所示：

首先在內部篇的戰略層面，這就等同于我們網(wǎng)絡(luò )安全的企業(yè)IT治理目標，網(wǎng)絡(luò )安全戰略規劃、治理框架之類(lèi)。

而在內部篇的戰術(shù)層面，就等同于我們的戰術(shù)、策略應用，例如風(fēng)險評估、組織、策略、制度、流程、技術(shù)之類(lèi)。

在外部篇的執行層面，就類(lèi)似于我們日常的安全建設、實(shí)施及運營(yíng)，而特種作戰執行就有如我們的滲透策略、社會(huì )工程學(xué)之類(lèi)。

接下來(lái)分別給大家深入介紹一下。

首先在內部篇的戰略與戰術(shù)部分，核心是企業(yè)IT和安全的戰略目標和頂層設計。這個(gè)地方我們可以引用多個(gè)企業(yè)IT治理和安全管理框架，例如COBIT 2019、ISO 27001、NIST 800-53 之類(lèi)。在這兒我就以 COBIT 2019 為例，因為我覺(jué)得它最適合這部分。

這個(gè)圖是COBIT 2019，企業(yè)信息和技術(shù)治理系統的設計工作流程，它是圍繞企業(yè)IT治理為主，里面涉及到網(wǎng)絡(luò )安全的部分其實(shí)不多（只有風(fēng)險管理、安全管理、連續性管理和安全服務(wù)管理四個(gè)控制對象），它也不是技術(shù)框架。但是它和孫子兵法的戰略和戰術(shù)部分非常契合。

這個(gè)設計工作流程里面有四個(gè)流程，前面兩個(gè)流程是了解企業(yè)的環(huán)境和戰略，確定企業(yè)IT治理系統的初步范圍，這就和孫子兵法內部篇戰略部分很類(lèi)似。我們需要首先了解企業(yè)當前的狀態(tài)，了解企業(yè)的戰略、目標，分析目前面臨的風(fēng)險，了解相關(guān)的態(tài)勢，從而確定我們的戰略目標，以及對應的作戰策略。而第三個(gè)和第四個(gè)環(huán)節就是充分的考慮相關(guān)因素，優(yōu)化和確認治理系統的范圍，以及確定最終的治理系統架構設計，就和孫子兵法內部篇戰術(shù)部分很類(lèi)似。

而外部篇操作與執行部分可以映射的安全管理計劃與安全控制框架就很多了，我選了四個(gè)：ISO 27001:2013、NIST CSF v1.1、NIST 800-53 R5、CIS Control 7.1。

ISO27001和NIST 800-53太過(guò)于龐大完整，因此實(shí)施通常需要非常專(zhuān)業(yè)的咨詢(xún)顧問(wèn)人員。而NIST CSF 和 CIS Control就相對簡(jiǎn)化直接一些，我也經(jīng)常參考，建議大家可以深入學(xué)習一下。

從涉及的范圍來(lái)看，這四個(gè)安全框架涉及的階段還是有些區別的，我大致劃分了一下，如下圖所示：

《孫子兵法》的內容博大精深，用詞精煉，蘊意深刻，里面很多經(jīng)典詞句也在全球范圍內廣泛流傳。在這部分內容中我選擇了一些孫子兵法中的經(jīng)典語(yǔ)錄來(lái)為大家從網(wǎng)絡(luò )安全方面進(jìn)行釋義闡述。

“兵者，國之大事，死生之地，存亡之道，不可不察也。”

 “兵者，國之大事，死生之地，存亡之道，不可不察也”，翻譯過(guò)來(lái)就是“戰爭是一個(gè)國家的頭等大事，關(guān)系到軍民的生死，國家的存亡，是不能不慎重周密地觀(guān)察、分析、研究”。

這句話(huà)是孫子兵法的開(kāi)篇之語(yǔ)，孫子一上來(lái)就強調戰爭的重要性，說(shuō)明戰爭是生死存亡、人命關(guān)天的大事情，不是兒戲，體現出他的慎戰思想。對于網(wǎng)絡(luò )安全而言，習主席強調過(guò)，沒(méi)有網(wǎng)絡(luò )安全就沒(méi)有國家安全，同時(shí)國家在“網(wǎng)絡(luò )安全法”中也對企業(yè)的網(wǎng)絡(luò )安全建設和運營(yíng)提出了強制性的要求。而對于企業(yè)而言，如果沒(méi)有做好網(wǎng)絡(luò )安全，則容易出現安全事故，例如企業(yè)商業(yè)機密被竊取、核心基礎設施被破壞等，直接影響到企業(yè)的生存和發(fā)展。

“兵者，詭道也。”

“兵者，詭道也”，說(shuō)的是“用兵作戰，就是欺騙的藝術(shù)”。

在軍事方面，欺騙藝術(shù)的核心在于掌握主動(dòng)權，主要手段有兩個(gè)，一個(gè)是隱秘企圖、遮蔽戰場(chǎng)，讓敵人無(wú)從感知，二是通過(guò)欺詐的手段迷惑敵人，讓敵人聽(tīng)從自己的安排行事，從而獲得戰爭的主動(dòng)權和優(yōu)勢地位。

而網(wǎng)絡(luò )安全同樣也是欺騙的藝術(shù)。對攻擊方而言，最典型的就是社會(huì )工程學(xué)，還有各種釣魚(yú)郵件、金融欺詐、偽冒信息等等；而對于防守方，如何遮蔽關(guān)鍵資產(chǎn)信息、利用沙箱、蜜罐、誘餌、威懾甚至社會(huì )工程學(xué)等主動(dòng)防御技術(shù)來(lái)抵御入侵方的攻擊，都具有非常大的學(xué)問(wèn)。

“攻其無(wú)備，出其不意。”

“攻其無(wú)備，出其不意”這句話(huà)從字面上也好理解，就是要攻打對方?jīng)]有防備的地方，在對方?jīng)]有料到的時(shí)機發(fā)動(dòng)進(jìn)攻。

從網(wǎng)絡(luò )安全的角度來(lái)看，這句話(huà)的核心還是敵我雙方對于當前環(huán)境、資產(chǎn)、態(tài)勢和目標對手的識別、了解和研判，從而采取對方未能預料的行動(dòng)措施，例如通過(guò)未關(guān)注到的IT資產(chǎn)發(fā)起攻擊行為等等。

對于進(jìn)攻方或者防守方而言，均需要了解具體環(huán)境的特點(diǎn)、網(wǎng)絡(luò )安全的盲點(diǎn)或薄弱點(diǎn)（技術(shù)、人員、流程），才能實(shí)現“攻其無(wú)備，出其不意”。

“故知兵之將，民之司命，國家安危之主也?！?/span>

 “故知兵之將，民之司命，國家安危之主也”。這句話(huà)強調的是帶兵打仗的將領(lǐng)的重要性，說(shuō)的是“真正懂得用兵之道、深知用兵利害的將帥，掌握著(zhù)民眾的生死，主宰著(zhù)國家的安?！?。

映射到網(wǎng)絡(luò )安全而言，它其實(shí)強調了強調企業(yè)領(lǐng)導人員（例如CEO、CIO、CISO等等）對于企業(yè)網(wǎng)絡(luò )安全的重要性，可以延申至說(shuō)明網(wǎng)絡(luò )安全組織及相關(guān)安全人員的重要性。企業(yè)網(wǎng)絡(luò )安全領(lǐng)導人員對于網(wǎng)絡(luò )安全的重視、投入和專(zhuān)業(yè)程度，決定企業(yè)網(wǎng)絡(luò )安全的高度。不重視、沒(méi)有投入、投入不夠肯定是做不好的，有投入但不夠專(zhuān)業(yè)也大概率做不好。

“上兵伐謀，其次伐交，其次伐兵，其下攻城?！?/strong>