《孫子兵法》是最早系統(tǒng)化看待戰(zhàn)爭(zhēng)的軍事著作。其中相關(guān)理論和內(nèi)容，對(duì)于網(wǎng)絡(luò)安全同樣具有重要的指導(dǎo)意義。目前流行的網(wǎng)絡(luò)安全架構(gòu)，也部分與《孫子兵法》思想契合。

把《孫子兵法》內(nèi)容架構(gòu)映射到網(wǎng)絡(luò)安全，如下圖所示：

首先在內(nèi)部篇的戰(zhàn)略層面，這就等同于我們網(wǎng)絡(luò)安全的企業(yè)IT治理目標(biāo)，網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃、治理框架之類。

而在內(nèi)部篇的戰(zhàn)術(shù)層面，就等同于我們的戰(zhàn)術(shù)、策略應(yīng)用，例如風(fēng)險(xiǎn)評(píng)估、組織、策略、制度、流程、技術(shù)之類。

在外部篇的執(zhí)行層面，就類似于我們?nèi)粘５陌踩ㄔO(shè)、實(shí)施及運(yùn)營(yíng)，而特種作戰(zhàn)執(zhí)行就有如我們的滲透策略、社會(huì)工程學(xué)之類。

接下來(lái)分別給大家深入介紹一下。

首先在內(nèi)部篇的戰(zhàn)略與戰(zhàn)術(shù)部分，核心是企業(yè)IT和安全的戰(zhàn)略目標(biāo)和頂層設(shè)計(jì)。這個(gè)地方我們可以引用多個(gè)企業(yè)IT治理和安全管理框架，例如COBIT 2019、ISO 27001、NIST 800-53 之類。在這兒我就以 COBIT 2019 為例，因?yàn)槲矣X得它最適合這部分。

這個(gè)圖是COBIT 2019，企業(yè)信息和技術(shù)治理系統(tǒng)的設(shè)計(jì)工作流程，它是圍繞企業(yè)IT治理為主，里面涉及到網(wǎng)絡(luò)安全的部分其實(shí)不多（只有風(fēng)險(xiǎn)管理、安全管理、連續(xù)性管理和安全服務(wù)管理四個(gè)控制對(duì)象），它也不是技術(shù)框架。但是它和孫子兵法的戰(zhàn)略和戰(zhàn)術(shù)部分非常契合。

這個(gè)設(shè)計(jì)工作流程里面有四個(gè)流程，前面兩個(gè)流程是了解企業(yè)的環(huán)境和戰(zhàn)略，確定企業(yè)IT治理系統(tǒng)的初步范圍，這就和孫子兵法內(nèi)部篇戰(zhàn)略部分很類似。我們需要首先了解企業(yè)當(dāng)前的狀態(tài)，了解企業(yè)的戰(zhàn)略、目標(biāo)，分析目前面臨的風(fēng)險(xiǎn)，了解相關(guān)的態(tài)勢(shì)，從而確定我們的戰(zhàn)略目標(biāo)，以及對(duì)應(yīng)的作戰(zhàn)策略。而第三個(gè)和第四個(gè)環(huán)節(jié)就是充分的考慮相關(guān)因素，優(yōu)化和確認(rèn)治理系統(tǒng)的范圍，以及確定最終的治理系統(tǒng)架構(gòu)設(shè)計(jì)，就和孫子兵法內(nèi)部篇戰(zhàn)術(shù)部分很類似。

而外部篇操作與執(zhí)行部分可以映射的安全管理計(jì)劃與安全控制框架就很多了，我選了四個(gè)：ISO 27001:2013、NIST CSF v1.1、NIST 800-53 R5、CIS Control 7.1。

ISO27001和NIST 800-53太過(guò)于龐大完整，因此實(shí)施通常需要非常專業(yè)的咨詢顧問(wèn)人員。而NIST CSF 和 CIS Control就相對(duì)簡(jiǎn)化直接一些，我也經(jīng)常參考，建議大家可以深入學(xué)習(xí)一下。

從涉及的范圍來(lái)看，這四個(gè)安全框架涉及的階段還是有些區(qū)別的，我大致劃分了一下，如下圖所示：

《孫子兵法》的內(nèi)容博大精深，用詞精煉，蘊(yùn)意深刻，里面很多經(jīng)典詞句也在全球范圍內(nèi)廣泛流傳。在這部分內(nèi)容中我選擇了一些孫子兵法中的經(jīng)典語(yǔ)錄來(lái)為大家從網(wǎng)絡(luò)安全方面進(jìn)行釋義闡述。

“兵者，國(guó)之大事，死生之地，存亡之道，不可不察也。”

 “兵者，國(guó)之大事，死生之地，存亡之道，不可不察也”，翻譯過(guò)來(lái)就是“戰(zhàn)爭(zhēng)是一個(gè)國(guó)家的頭等大事，關(guān)系到軍民的生死，國(guó)家的存亡，是不能不慎重周密地觀察、分析、研究”。

這句話是孫子兵法的開篇之語(yǔ)，孫子一上來(lái)就強(qiáng)調(diào)戰(zhàn)爭(zhēng)的重要性，說(shuō)明戰(zhàn)爭(zhēng)是生死存亡、人命關(guān)天的大事情，不是兒戲，體現(xiàn)出他的慎戰(zhàn)思想。對(duì)于網(wǎng)絡(luò)安全而言，習(xí)主席強(qiáng)調(diào)過(guò)，沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全，同時(shí)國(guó)家在“網(wǎng)絡(luò)安全法”中也對(duì)企業(yè)的網(wǎng)絡(luò)安全建設(shè)和運(yùn)營(yíng)提出了強(qiáng)制性的要求。而對(duì)于企業(yè)而言，如果沒有做好網(wǎng)絡(luò)安全，則容易出現(xiàn)安全事故，例如企業(yè)商業(yè)機(jī)密被竊取、核心基礎(chǔ)設(shè)施被破壞等，直接影響到企業(yè)的生存和發(fā)展。

“兵者，詭道也。”

“兵者，詭道也”，說(shuō)的是“用兵作戰(zhàn)，就是欺騙的藝術(shù)”。

在軍事方面，欺騙藝術(shù)的核心在于掌握主動(dòng)權(quán)，主要手段有兩個(gè)，一個(gè)是隱秘企圖、遮蔽戰(zhàn)場(chǎng)，讓敵人無(wú)從感知，二是通過(guò)欺詐的手段迷惑敵人，讓敵人聽從自己的安排行事，從而獲得戰(zhàn)爭(zhēng)的主動(dòng)權(quán)和優(yōu)勢(shì)地位。

而網(wǎng)絡(luò)安全同樣也是欺騙的藝術(shù)。對(duì)攻擊方而言，最典型的就是社會(huì)工程學(xué)，還有各種釣魚郵件、金融欺詐、偽冒信息等等；而對(duì)于防守方，如何遮蔽關(guān)鍵資產(chǎn)信息、利用沙箱、蜜罐、誘餌、威懾甚至社會(huì)工程學(xué)等主動(dòng)防御技術(shù)來(lái)抵御入侵方的攻擊，都具有非常大的學(xué)問(wèn)。

“攻其無(wú)備，出其不意。”

“攻其無(wú)備，出其不意”這句話從字面上也好理解，就是要攻打?qū)Ψ經(jīng)]有防備的地方，在對(duì)方?jīng)]有料到的時(shí)機(jī)發(fā)動(dòng)進(jìn)攻。

從網(wǎng)絡(luò)安全的角度來(lái)看，這句話的核心還是敵我雙方對(duì)于當(dāng)前環(huán)境、資產(chǎn)、態(tài)勢(shì)和目標(biāo)對(duì)手的識(shí)別、了解和研判，從而采取對(duì)方未能預(yù)料的行動(dòng)措施，例如通過(guò)未關(guān)注到的IT資產(chǎn)發(fā)起攻擊行為等等。

對(duì)于進(jìn)攻方或者防守方而言，均需要了解具體環(huán)境的特點(diǎn)、網(wǎng)絡(luò)安全的盲點(diǎn)或薄弱點(diǎn)（技術(shù)、人員、流程），才能實(shí)現(xiàn)“攻其無(wú)備，出其不意”。

“故知兵之將，民之司命，國(guó)家安危之主也?！?/span>

 “故知兵之將，民之司命，國(guó)家安危之主也”。這句話強(qiáng)調(diào)的是帶兵打仗的將領(lǐng)的重要性，說(shuō)的是“真正懂得用兵之道、深知用兵利害的將帥，掌握著民眾的生死，主宰著國(guó)家的安?！?。

映射到網(wǎng)絡(luò)安全而言，它其實(shí)強(qiáng)調(diào)了強(qiáng)調(diào)企業(yè)領(lǐng)導(dǎo)人員（例如CEO、CIO、CISO等等）對(duì)于企業(yè)網(wǎng)絡(luò)安全的重要性，可以延申至說(shuō)明網(wǎng)絡(luò)安全組織及相關(guān)安全人員的重要性。企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人員對(duì)于網(wǎng)絡(luò)安全的重視、投入和專業(yè)程度，決定企業(yè)網(wǎng)絡(luò)安全的高度。不重視、沒有投入、投入不夠肯定是做不好的，有投入但不夠?qū)I(yè)也大概率做不好。

“上兵伐謀，其次伐交，其次伐兵，其下攻城。”

“上兵伐謀”這句話是非常出名的，完整的一句是 “故上兵伐謀，其次伐交，其次伐兵，其下攻城?！?，講的是“上等的軍事行動(dòng)是用謀略挫敗敵方的戰(zhàn)略意圖或戰(zhàn)爭(zhēng)行為，其次就是用外交戰(zhàn)勝敵人，再次是用武力擊敗敵軍，最下之策是攻打敵人的城池?！?。

它的核心在于強(qiáng)調(diào)如何以最小代價(jià)獲取最大的勝利，即最大的投入產(chǎn)出比。映射到網(wǎng)絡(luò)安全而言，對(duì)于攻擊方而言，如果可以通過(guò)社工或者釣魚郵件輕松獲得管理員密碼，也就沒有必要花更大的代價(jià)去進(jìn)行攻擊。

從安全防守的角度來(lái)看，企業(yè)網(wǎng)絡(luò)環(huán)境復(fù)雜，需要保護(hù)的目標(biāo)眾多，如何識(shí)別資產(chǎn)的優(yōu)先級(jí)，并進(jìn)行相應(yīng)的安全保護(hù)，從而降低安全事件產(chǎn)生的影響，這其實(shí)是非?？简?yàn)安全管理和運(yùn)營(yíng)人員的能力。

“知彼知己，百戰(zhàn)不殆。”

“知彼知己，百戰(zhàn)不殆”這句話也是非常著名，也很好理解，翻譯過(guò)來(lái)就是“了解敵方也了解自己，每一次戰(zhàn)斗都不會(huì)有危險(xiǎn)”。

而映射到網(wǎng)絡(luò)安全，這句話的核心還是敵我雙方對(duì)于當(dāng)前環(huán)境、資產(chǎn)、態(tài)勢(shì)和目標(biāo)對(duì)手的識(shí)別、了解和研判，從而采取所對(duì)應(yīng)的措施。

對(duì)于攻擊方而言，你需要了解目標(biāo)環(huán)境的具體配置、信息、狀態(tài)，從而有的放矢，確保實(shí)現(xiàn)攻擊目標(biāo)。而對(duì)于防守方而言，除了了解自己的環(huán)境、資產(chǎn)、技術(shù)、配置、系統(tǒng)、服務(wù)等等，也需要了解對(duì)應(yīng)的攻擊技術(shù)、手法和安全情報(bào)等等，才能更好的進(jìn)行安全防護(hù)。

“用兵之法，無(wú)恃其不來(lái)，恃吾有以待之；無(wú)恃其不攻，恃吾有所不可攻也。”

這句話講的是用兵的原則，“不要抱敵人不會(huì)來(lái)的僥幸心理，而要依靠我方有充分準(zhǔn)備，嚴(yán)陣以待。也不要抱敵人不會(huì)攻擊的僥幸心理，而要依靠我方堅(jiān)不可摧的防御，確保不會(huì)被戰(zhàn)勝?！?/span>

這句話的核心是強(qiáng)調(diào)不能有任何僥幸心理，而是需要做好完善的準(zhǔn)備和應(yīng)對(duì)措施，從而首先達(dá)到“先為不可勝”的狀態(tài)，才能找到機(jī)會(huì)戰(zhàn)勝敵人。

從網(wǎng)絡(luò)安全角度，我們同樣不能有任何僥幸心理，需要做好完善的安全防護(hù)措施，才能防止別人的攻擊行為，至少要達(dá)到不能被敵人“速勝”的效果。