《孫子兵法》是最早系統(tǒng)化看待戰(zhàn)爭的軍事著作。其中相關(guān)理論和內(nèi)容，對于網(wǎng)絡(luò)安全同樣具有重要的指導(dǎo)意義。目前流行的網(wǎng)絡(luò)安全架構(gòu)，也部分與《孫子兵法》思想契合。

把《孫子兵法》內(nèi)容架構(gòu)映射到網(wǎng)絡(luò)安全，如下圖所示：

首先在內(nèi)部篇的戰(zhàn)略層面，這就等同于我們網(wǎng)絡(luò)安全的企業(yè)IT治理目標，網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃、治理框架之類。

而在內(nèi)部篇的戰(zhàn)術(shù)層面，就等同于我們的戰(zhàn)術(shù)、策略應(yīng)用，例如風險評估、組織、策略、制度、流程、技術(shù)之類。

在外部篇的執(zhí)行層面，就類似于我們?nèi)粘５陌踩ㄔO(shè)、實施及運營，而特種作戰(zhàn)執(zhí)行就有如我們的滲透策略、社會工程學(xué)之類。

接下來分別給大家深入介紹一下。

首先在內(nèi)部篇的戰(zhàn)略與戰(zhàn)術(shù)部分，核心是企業(yè)IT和安全的戰(zhàn)略目標和頂層設(shè)計。這個地方我們可以引用多個企業(yè)IT治理和安全管理框架，例如COBIT 2019、ISO 27001、NIST 800-53 之類。在這兒我就以 COBIT 2019 為例，因為我覺得它最適合這部分。

這個圖是COBIT 2019，企業(yè)信息和技術(shù)治理系統(tǒng)的設(shè)計工作流程，它是圍繞企業(yè)IT治理為主，里面涉及到網(wǎng)絡(luò)安全的部分其實不多（只有風險管理、安全管理、連續(xù)性管理和安全服務(wù)管理四個控制對象），它也不是技術(shù)框架。但是它和孫子兵法的戰(zhàn)略和戰(zhàn)術(shù)部分非常契合。

這個設(shè)計工作流程里面有四個流程，前面兩個流程是了解企業(yè)的環(huán)境和戰(zhàn)略，確定企業(yè)IT治理系統(tǒng)的初步范圍，這就和孫子兵法內(nèi)部篇戰(zhàn)略部分很類似。我們需要首先了解企業(yè)當前的狀態(tài)，了解企業(yè)的戰(zhàn)略、目標，分析目前面臨的風險，了解相關(guān)的態(tài)勢，從而確定我們的戰(zhàn)略目標，以及對應(yīng)的作戰(zhàn)策略。而第三個和第四個環(huán)節(jié)就是充分的考慮相關(guān)因素，優(yōu)化和確認治理系統(tǒng)的范圍，以及確定最終的治理系統(tǒng)架構(gòu)設(shè)計，就和孫子兵法內(nèi)部篇戰(zhàn)術(shù)部分很類似。

而外部篇操作與執(zhí)行部分可以映射的安全管理計劃與安全控制框架就很多了，我選了四個：ISO 27001:2013、NIST CSF v1.1、NIST 800-53 R5、CIS Control 7.1。

ISO27001和NIST 800-53太過于龐大完整，因此實施通常需要非常專業(yè)的咨詢顧問人員。而NIST CSF 和 CIS Control就相對簡化直接一些，我也經(jīng)常參考，建議大家可以深入學(xué)習(xí)一下。

從涉及的范圍來看，這四個安全框架涉及的階段還是有些區(qū)別的，我大致劃分了一下，如下圖所示：

《孫子兵法》的內(nèi)容博大精深，用詞精煉，蘊意深刻，里面很多經(jīng)典詞句也在全球范圍內(nèi)廣泛流傳。在這部分內(nèi)容中我選擇了一些孫子兵法中的經(jīng)典語錄來為大家從網(wǎng)絡(luò)安全方面進行釋義闡述。

“兵者，國之大事，死生之地，存亡之道，不可不察也。”

 “兵者，國之大事，死生之地，存亡之道，不可不察也”，翻譯過來就是“戰(zhàn)爭是一個國家的頭等大事，關(guān)系到軍民的生死，國家的存亡，是不能不慎重周密地觀察、分析、研究”。

這句話是孫子兵法的開篇之語，孫子一上來就強調(diào)戰(zhàn)爭的重要性，說明戰(zhàn)爭是生死存亡、人命關(guān)天的大事情，不是兒戲，體現(xiàn)出他的慎戰(zhàn)思想。對于網(wǎng)絡(luò)安全而言，習(xí)主席強調(diào)過，沒有網(wǎng)絡(luò)安全就沒有國家安全，同時國家在“網(wǎng)絡(luò)安全法”中也對企業(yè)的網(wǎng)絡(luò)安全建設(shè)和運營提出了強制性的要求。而對于企業(yè)而言，如果沒有做好網(wǎng)絡(luò)安全，則容易出現(xiàn)安全事故，例如企業(yè)商業(yè)機密被竊取、核心基礎(chǔ)設(shè)施被破壞等，直接影響到企業(yè)的生存和發(fā)展。

“兵者，詭道也。”

“兵者，詭道也”，說的是“用兵作戰(zhàn)，就是欺騙的藝術(shù)”。

在軍事方面，欺騙藝術(shù)的核心在于掌握主動權(quán)，主要手段有兩個，一個是隱秘企圖、遮蔽戰(zhàn)場，讓敵人無從感知，二是通過欺詐的手段迷惑敵人，讓敵人聽從自己的安排行事，從而獲得戰(zhàn)爭的主動權(quán)和優(yōu)勢地位。

而網(wǎng)絡(luò)安全同樣也是欺騙的藝術(shù)。對攻擊方而言，最典型的就是社會工程學(xué)，還有各種釣魚郵件、金融欺詐、偽冒信息等等；而對于防守方，如何遮蔽關(guān)鍵資產(chǎn)信息、利用沙箱、蜜罐、誘餌、威懾甚至社會工程學(xué)等主動防御技術(shù)來抵御入侵方的攻擊，都具有非常大的學(xué)問。

“攻其無備，出其不意。”

“攻其無備，出其不意”這句話從字面上也好理解，就是要攻打?qū)Ψ經(jīng)]有防備的地方，在對方?jīng)]有料到的時機發(fā)動進攻。

從網(wǎng)絡(luò)安全的角度來看，這句話的核心還是敵我雙方對于當前環(huán)境、資產(chǎn)、態(tài)勢和目標對手的識別、了解和研判，從而采取對方未能預(yù)料的行動措施，例如通過未關(guān)注到的IT資產(chǎn)發(fā)起攻擊行為等等。

對于進攻方或者防守方而言，均需要了解具體環(huán)境的特點、網(wǎng)絡(luò)安全的盲點或薄弱點（技術(shù)、人員、流程），才能實現(xiàn)“攻其無備，出其不意”。

“故知兵之將，民之司命，國家安危之主也。”

 “故知兵之將，民之司命，國家安危之主也”。這句話強調(diào)的是帶兵打仗的將領(lǐng)的重要性，說的是“真正懂得用兵之道、深知用兵利害的將帥，掌握著民眾的生死，主宰著國家的安?！薄?/span>

映射到網(wǎng)絡(luò)安全而言，它其實強調(diào)了強調(diào)企業(yè)領(lǐng)導(dǎo)人員（例如CEO、CIO、CISO等等）對于企業(yè)網(wǎng)絡(luò)安全的重要性，可以延申至說明網(wǎng)絡(luò)安全組織及相關(guān)安全人員的重要性。企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人員對于網(wǎng)絡(luò)安全的重視、投入和專業(yè)程度，決定企業(yè)網(wǎng)絡(luò)安全的高度。不重視、沒有投入、投入不夠肯定是做不好的，有投入但不夠?qū)I(yè)也大概率做不好。

“上兵伐謀，其次伐交，其次伐兵，其下攻城?！?/strong>