百家 |“风林火山” - 《孙子兵法》与网络安全

  • A+
所属分类:云安全
百家 |“风林火山” - 《孙子兵法》与网络安全

“百家”,既是“诸子百家”,亦为“百花齐放”。他们是各行各业网络安全专家:有CSO、业界大咖、权威代表,更有奋战在网安一线的实践者、思想者和分享者。安在“百家”,最佳实践,真知灼见,思想火花,期待有你!



百家 |“风林火山” - 《孙子兵法》与网络安全
张美波


微软顾问咨询服务大中华区 
Cybersecurity 首席架构师

主要负责微软网络安全服务相关业务在中国的战略规划、技术实施和项目执行。他是微软全球企业服务体系级别最高的技术专家之一,主要负责亚太区重大客户的项目实施。他曾参与过全球最大活动目录环境的全球优化项目(负责其亚太区的部分),是全球最大 Exchange 服务器企业部署环境的架构师,并在多个具有全球排名前列的 Top 超大规模企业环境客户担任微软方的基础设施/安全架构师和“红军/蓝军”顾问,负责相关的安全架构体系规划设计与部署实施、 APT 攻击相关防范、安全运营及安全响应等。






百家 |“风林火山” - 《孙子兵法》与网络安全


《孙子兵法》是世界上最早的兵法书之一,是教人如何带兵打仗的书籍。它被奉为中国兵家经典,对中国乃至全世界的军事学发展影响深远,在世界军事史上具有重要的地位。它也被翻译成多种语言,英文译名是“The art of war”(战争的艺术),在世界军事史上具有重要的地位。


但是,它成书距今已经两千五百多年了,如此古老的东西,能够和现代化的网络安全有什么联系呢?其实不然,战争的核心在于人与人的对抗,而网络安全的核心也是在于人与人的对抗,因此《孙子兵法》中的相关理论和内容,对于网络安全同样具有重要的指导意义,甚至目前流行的网络安全架构,也与《孙子兵法》的部分理念契合。在这篇文章中,我将为大家就《孙子兵法》的内容概要、《孙子兵法》与网络安全的映射关系和《孙子兵法》的一些Top语录网络安全释义进行阐述说明。

百家 |“风林火山” - 《孙子兵法》与网络安全


《孙子兵法》的来历及内容概要


《孙子兵法》其实有好几个名字,例如《兵经》、《吴孙子兵法》。一般认为,《孙子兵法》成书于公元前515~512年,全书为十三篇,七千余字。它的作者是春秋末期的齐国人孙武,所谓“孙子”的这个子,是中国古代对于德高望重的、有学问的人的尊称,比如老子、孔子、孟子、庄子之类,而孙子也被尊称为“兵圣”。


《孙子兵法》是孙武伍子胥推荐给吴王阖闾、初次见面时赠送给吴王阖闾的见面礼。后来吴王阖闾重用孙武和伍子胥,从而大破楚国,称霸一时,成为“春秋五霸”之一。后来伍子胥被吴王夫差赐死之后,孙武归隐,约前470年于苏州逝世,墓园位于苏州相城区。


说到这个故事背景,孙武伍子胥吴王阖闾吴王夫差越王勾践这五个风云人物基本上就主导了春秋战国时期的东方历史,他们的命运纠葛和历史故事非常精彩,我大致画了一个关联关系图,大家有兴趣可以去查查资料百科。


百家 |“风林火山” - 《孙子兵法》与网络安全


接下来我们先看一下《孙子兵法》的内容架构。《孙子兵法》 全文共计十三篇,七千余字。它首次系统化的归纳论述了军事作战的原理原则,内容详尽,用词精炼,而且指示明确,可操作性强。


百家 |“风林火山” - 《孙子兵法》与网络安全


同时,《孙子兵法》继承和发展了前人的军事理论 ,把政治和谋划作为决定战争胜败的首要因素,归纳出战争的原理原则,举凡战前之准备,策略之运用,作战之布署,敌情之研判等,无不详加说明,巨细靡遗,周严完备,至今仍具有重大的现实意义。

我按照行动阶段,把《孙子》十三篇分成内部外部两个大篇章,内部篇讲的是出兵之前的谋划与准备,而外部篇讲的是在外领兵打仗。内部篇又可以分为两组,战略战术,外部篇也可以分为两组,常规作战执行特种作战执行,共计四组。


百家 |“风林火山” - 《孙子兵法》与网络安全


► 首先内部方面战略组的三篇,讲的主要是战略层面的,例如战略目标、权谋和筹划,基本都是和战略、战争全局相关。这和政治有关,也和战前的环境态势、计算筹划、作战准备有关。

► 内部方面战术组的三篇讲的主要是战术层面的,和战争形势、战术策略的具体应用有关。形势是因地制宜、因敌制宜的对策,就如医生对症下药。它的特点是根据具体的环境,遇到什么问题,就提供什么对策,解决战斗中的实际问题。

► 外部方面的两组主要讲的是具体军队出动时,在外面如何领兵打仗,是执行操作层面的具体内容。第三组常规作战执行的五篇主要讲的是军队在外面行军打仗时遇到的各种问题处理,例如兵力分配、协同作战、天时、地利、阴阳气候、行军、地形等等,第四组特种作战执行的两篇讲的是两个特种作战执行操作,火攻和用间谍。


我快速的给大家介绍一下这十三篇它们各自的核心内容是什么。


百家 |“风林火山” - 《孙子兵法》与网络安全


首先战略三篇,第一篇始计,一开始就强调战事至关重要,如何才能打赢?核心就是五事七计:


► 五事就是“道天地将法”,讲的是针对这五个方面的分析,包括国家道义、上下一心的意志、天时地利、将领的能力(“智信仁勇严”五个方面)和组织架构、职责划分、人员编制、管理制度、资源准备和物资调配等等。

► 而七计是从君主道义、将领、士兵的能力、军备资源、天时地利、训练有素、法令执行等七个方面来进行比较,看敌我双方的优劣。从谋略层面需要如何考虑,如何进行敌我双方的实力对比,我方是否具有优势,以及如何占据战争主动权等等。


第二篇作战,核心就是强调打仗费钱耗时,各种不利的危害,所以打仗一定要有足够的收益,不能白打。它讲打仗之害(费钱耗时),打仗之利(抢资源,说“智将务食于敌”),说“不尽知用兵之害者,则不能尽知用兵之利也”。同时强调战争动作要快,“兵贵胜,不贵久”,要速战速决。以及将领(领袖)的重要性,说“知兵之将,民之司命,国家安危之主也”。


第三篇谋攻,强调如何以最小代价换取最大胜利?这是谋攻的基本原则,“上兵伐谋,其次伐交,其次伐兵,其下攻城”;同时介绍用兵之法,“十则围之,五则攻之”等等。以及“知胜有五”,即可以从五个方面来预见胜利:“知可以战与不可以战者胜,识众寡之用者胜,上下同欲者胜,以虞待不虞者胜,将能而君不御者胜”。


而战术部分的这三篇是具有一定连续性的。首先第一篇军形,核心就是强调自己要先立于不败之地,然后等战胜敌人的时机,“昔之善战者,先为不可胜,以待敌之可胜”。强调如何通过预先的形势分析、双方的实力对比,来筹划军事行动执行,并确保军事行动的优势和主动性,从而“胜兵先胜而后求战”。


其次兵势篇,讲的就是在前面不被敌人战胜的前提下,如何找机会战胜敌人。强调如何根据面临的敌我双方态势灵活的运用和调动我方兵力,从而创造有利条件和竞争优势。例如著名的“以正合,以奇胜”、“以利动之,以卒待之”。


虚实篇,强调如何“避实就虚,以实击虚”,如何通过“出其所不趋,趋其所不意”、“兵无常势,水无常形”,通过奇兵掌握战争的主动权,“以众击寡” ,从而赢得战争的胜利。


百家 |“风林火山” - 《孙子兵法》与网络安全


外部篇这两组七篇,都是围绕军事执行层面进行说明。前面五篇讲的是常规军事行动执行,后面两篇讲的是特种作战执行。


前五篇中,首先军争介绍了军事行动的基本原则,如何统帅军队、如何找寻时机来抢夺军事优势。内容里面最出名的就是“孙子六如”,“其疾如风,其徐如林,侵掠如火,不动如山,难知如阴,动如雷震”,讲的是军事行动时的纲领,该快就快,该稳就稳;该攻就攻,该守就守,需要权衡利弊,根据实际情况和形势,相机行事。


九变介绍的是如何在战场上根据面临的态势进行随机应变,后面三篇行军地形九地就接着介绍如何跑路、如何抢地利、如何用地利之类。然后是两个特种作战,火攻用间和反间谍等等。


这些具体执行的内容对于现代战争还是有用的,只是有的内容和我们网络安全领域就有点脱节了,因此就不深入和大家分析了。


《孙子兵法》是第一部系统化的对待战争的军事著作,在此我总结一下《孙子兵法》的五个主要核心思想。


百家 |“风林火山” - 《孙子兵法》与网络安全


► 首先第一个就是强调慎战,谨慎的对待战争,开篇第一句就是“兵者,国之大事”,说战争是国家至关重要的事情,而且讲了很多战争的不利之处,所以要谨慎对待。

► 第二个是强调战争事前的谋划和准备,不打无计划、无准备之仗。

► 第三个是强调领导人员的重要性,并且提出了对将领的要求,“智信仁勇严”。

► 第四个是强调掌握战争的主动权和临阵随机应变,例如非常出名的那几句“兵者诡道也”、“攻其无备,出其不意”等等;

► 第五个是强调人员组织与纪律的重要性,体现了孙子文武兼施、德威并重的治军思想和治军原则,例如“令之于文,齐之于武”等等。


《孙子兵法》与网络安全


战争的核心在于人与人的对抗,和对资源的争夺:抢人、抢粮、抢地盘。网络安全也是人与人的对抗,和对资源的争夺:抢系统、抢数据、抢资源。


《孙子兵法》是最早系统化看待战争的军事著作。其中相关理论和内容,对于网络安全同样具有重要的指导意义。目前流行的网络安全架构,也部分与《孙子兵法》思想契合。


把《孙子兵法》内容架构映射到网络安全,如下图所示:


百家 |“风林火山” - 《孙子兵法》与网络安全


首先在内部篇的战略层面,这就等同于我们网络安全的企业IT治理目标,网络安全战略规划、治理框架之类。


而在内部篇的战术层面,就等同于我们的战术、策略应用,例如风险评估、组织、策略、制度、流程、技术之类。


在外部篇的执行层面,就类似于我们日常的安全建设、实施及运营,而特种作战执行就有如我们的渗透策略、社会工程学之类。


百家 |“风林火山” - 《孙子兵法》与网络安全


接下来分别给大家深入介绍一下。


首先在内部篇的战略与战术部分,核心是企业IT和安全的战略目标和顶层设计。这个地方我们可以引用多个企业IT治理和安全管理框架,例如COBIT 2019、ISO 27001、NIST 800-53 之类。在这儿我就以 COBIT 2019 为例,因为我觉得它最适合这部分。


百家 |“风林火山” - 《孙子兵法》与网络安全


这个图是COBIT 2019,企业信息和技术治理系统的设计工作流程,它是围绕企业IT治理为主,里面涉及到网络安全的部分其实不多(只有风险管理安全管理连续性管理安全服务管理四个控制对象),它也不是技术框架。但是它和孙子兵法的战略和战术部分非常契合。


这个设计工作流程里面有四个流程,前面两个流程是了解企业的环境和战略,确定企业IT治理系统的初步范围,这就和孙子兵法内部篇战略部分很类似。我们需要首先了解企业当前的状态,了解企业的战略、目标,分析目前面临的风险,了解相关的态势,从而确定我们的战略目标,以及对应的作战策略。而第三个和第四个环节就是充分的考虑相关因素,优化和确认治理系统的范围,以及确定最终的治理系统架构设计,就和孙子兵法内部篇战术部分很类似。


而外部篇操作与执行部分可以映射的安全管理计划与安全控制框架就很多了,我选了四个:ISO 27001:2013、NIST CSF v1.1、NIST 800-53 R5、CIS Control 7.1。


百家 |“风林火山” - 《孙子兵法》与网络安全


► 其中ISO 27001是国际标准的信息安全管理体系要求,也是一个安全管理整体框架,目前最新的版本是2013年9月发布的版本;

► NIST 800-53 是针对IT系统和组织的安全和隐私控制,是一个非常大而全的安全管理框架;

► NIST CSF v1.1 是针对关键基础设施的安全改进的框架,是一个以安全风险为核心的安全管理框架,相比前面两个已经简化了很多;

► 而第四个是CIS Control,和前面三个不一样,这是一个以保护目标、安全功能为核心的安全技术框架,包含具体的技术实施细节要求,非常具有可操作性。

ISO27001和NIST 800-53太过于庞大完整,因此实施通常需要非常专业的咨询顾问人员。而NIST CSF 和 CIS Control就相对简化直接一些,我也经常参考,建议大家可以深入学习一下。


从涉及的范围来看,这四个安全框架涉及的阶段还是有些区别的,我大致划分了一下,如下图所示:


百家 |“风林火山” - 《孙子兵法》与网络安全


《孙子兵法》Top 语录精选


《孙子兵法》的内容博大精深,用词精炼,蕴意深刻,里面很多经典词句也在全球范围内广泛流传。在这部分内容中我选择了一些孙子兵法中的经典语录来为大家从网络安全方面进行释义阐述。


兵者,国之大事,死生之地,存亡之道,不可不察也。


百家 |“风林火山” - 《孙子兵法》与网络安全


 “兵者,国之大事,死生之地,存亡之道,不可不察也”,翻译过来就是“战争是一个国家的头等大事,关系到军民的生死,国家的存亡,是不能不慎重周密地观察、分析、研究”。


这句话是孙子兵法的开篇之语,孙子一上来就强调战争的重要性,说明战争是生死存亡、人命关天的大事情,不是儿戏,体现出他的慎战思想。对于网络安全而言,习主席强调过,没有网络安全就没有国家安全,同时国家在“网络安全法”中也对企业的网络安全建设和运营提出了强制性的要求。而对于企业而言,如果没有做好网络安全,则容易出现安全事故,例如企业商业机密被窃取、核心基础设施被破坏等,直接影响到企业的生存和发展。


兵者,诡道也。


百家 |“风林火山” - 《孙子兵法》与网络安全


“兵者,诡道也”,说的是“用兵作战,就是欺骗的艺术”。


在军事方面,欺骗艺术的核心在于掌握主动权,主要手段有两个,一个是隐秘企图、遮蔽战场,让敌人无从感知,二是通过欺诈的手段迷惑敌人,让敌人听从自己的安排行事,从而获得战争的主动权和优势地位。


而网络安全同样也是欺骗的艺术。对攻击方而言,最典型的就是社会工程学,还有各种钓鱼邮件、金融欺诈、伪冒信息等等;而对于防守方,如何遮蔽关键资产信息、利用沙箱、蜜罐、诱饵、威慑甚至社会工程学等主动防御技术来抵御入侵方的攻击,都具有非常大的学问。


攻其无备,出其不意。


百家 |“风林火山” - 《孙子兵法》与网络安全


“攻其无备,出其不意”这句话从字面上也好理解,就是要攻打对方没有防备的地方,在对方没有料到的时机发动进攻。


从网络安全的角度来看,这句话的核心还是敌我双方对于当前环境、资产、态势和目标对手的识别、了解和研判,从而采取对方未能预料的行动措施,例如通过未关注到的IT资产发起攻击行为等等。


对于进攻方或者防守方而言,均需要了解具体环境的特点、网络安全的盲点或薄弱点(技术、人员、流程),才能实现“攻其无备,出其不意”。


“故知兵之将,民之司命,国家安危之主也。”


百家 |“风林火山” - 《孙子兵法》与网络安全


 “故知兵之将,民之司命,国家安危之主也”。这句话强调的是带兵打仗的将领的重要性,说的是“真正懂得用兵之道、深知用兵利害的将帅,掌握着民众的生死,主宰着国家的安危”。


映射到网络安全而言,它其实强调了强调企业领导人员(例如CEO、CIO、CISO等等)对于企业网络安全的重要性,可以延申至说明网络安全组织及相关安全人员的重要性。企业网络安全领导人员对于网络安全的重视、投入和专业程度,决定企业网络安全的高度。不重视、没有投入、投入不够肯定是做不好的,有投入但不够专业也大概率做不好。


“上兵伐谋,其次伐交,其次伐兵,其下攻城。”


百家 |“风林火山” - 《孙子兵法》与网络安全


“上兵伐谋”这句话是非常出名的,完整的一句是 “故上兵伐谋,其次伐交,其次伐兵,其下攻城。”,讲的是“上等的军事行动是用谋略挫败敌方的战略意图或战争行为,其次就是用外交战胜敌人,再次是用武力击败敌军,最下之策是攻打敌人的城池。”。


它的核心在于强调如何以最小代价获取最大的胜利,即最大的投入产出比。映射到网络安全而言,对于攻击方而言,如果可以通过社工或者钓鱼邮件轻松获得管理员密码,也就没有必要花更大的代价去进行攻击。


从安全防守的角度来看,企业网络环境复杂,需要保护的目标众多,如何识别资产的优先级,并进行相应的安全保护,从而降低安全事件产生的影响,这其实是非常考验安全管理和运营人员的能力。


知彼知己,百战不殆。

 百家 |“风林火山” - 《孙子兵法》与网络安全


“知彼知己,百战不殆”这句话也是非常著名,也很好理解,翻译过来就是“了解敌方也了解自己,每一次战斗都不会有危险”。


而映射到网络安全,这句话的核心还是敌我双方对于当前环境、资产、态势和目标对手的识别、了解和研判,从而采取所对应的措施。


对于攻击方而言,你需要了解目标环境的具体配置、信息、状态,从而有的放矢,确保实现攻击目标。而对于防守方而言,除了了解自己的环境、资产、技术、配置、系统、服务等等,也需要了解对应的攻击技术、手法和安全情报等等,才能更好的进行安全防护。


用兵之法,无恃其不来,恃吾有以待之;无恃其不攻,恃吾有所不可攻也。


百家 |“风林火山” - 《孙子兵法》与网络安全


这句话讲的是用兵的原则,“不要抱敌人不会来的侥幸心理,而要依靠我方有充分准备,严阵以待。也不要抱敌人不会攻击的侥幸心理,而要依靠我方坚不可摧的防御,确保不会被战胜。”


这句话的核心是强调不能有任何侥幸心理,而是需要做好完善的准备和应对措施,从而首先达到“先为不可胜”的状态,才能找到机会战胜敌人。


从网络安全角度,我们同样不能有任何侥幸心理,需要做好完善的安全防护措施,才能防止别人的攻击行为,至少要达到不能被敌人“速胜”的效果。



「推荐阅读」



2021百家专栏文章



百家 | 信息安全需要沉静的力量


百家|手把手教你免费自建百万量级数据日志分析系统


百家 | 安全唯谦之路


百家 |内存保护:解决内存马攻击的有利手段


2020百家专栏文章



百家 | 周利斌:企业数字化转型


百家 | 某集团企业数字化转型期信息安全建设之路


百家 | 科技企业和金融企业在信息安全领域的差异


百家 | 中信银行提供流水的教训凸显金融隐私保护关键在人


百家 | 朱林:关于SOC、态势感知,5种常见的关联分析模型


百家|从企业合规落地角度,试解《数据安全法(草案)》


百家 | 信息安全为富力数字化转型保驾护航


百家 | 抖音侵犯隐私案判决逻辑全解析


百家 | HW行动,蓝军秘籍


百家|2021年十大端点安全趋势


2019百家专栏文章



百家 | 洪延青:过度收集个人信息怎破?四大部门集体发声
百家 | 董祎铖:基于通用技术的企业安全运营架构
百家 | 董祎铖:态势感知从入坑到重生
百家 | 科技创新型企业,小团队如何做安全?
百家 | 宋克亚 :商业银行渗透测试体系建设思考
百家 | 送给CSO的三个锦囊
百家 | 小团队做安全之金融、互金、游戏行业篇
百家 | 互联网新技术新业务信息安全评估实践
百家 | 卫剑钒:信息安全管理锦囊妙计之9大思维
百家 | GDPR实施一周年:中国企业个人数据保护的差距简析与解决方案
百家 | 浅谈电子物证鉴定:对不起,有钱真的可以为所欲为
百家 | 等保2.0时代,企业如何实现网络安全价值
百家 | 业务连续性建设之业务影响分析浅谈
百家 | 建设 “指导员”体系,打造网安创业企业的子弟兵
百家 | 治疗条款——CCPA留给企业的“救命稻草”
百家 | 未来已来——网络超视距战争
百家 | 王卫东:智慧医院网络安全建设思路


2018百家专栏全集请戳“阅读原文”




百家 |“风林火山” - 《孙子兵法》与网络安全
百家 |“风林火山” - 《孙子兵法》与网络安全

齐心抗疫 与你同在 百家 |“风林火山” - 《孙子兵法》与网络安全




百家 |“风林火山” - 《孙子兵法》与网络安全

点【在看】的人最好看


百家 |“风林火山” - 《孙子兵法》与网络安全

本文始发于微信公众号(安在):百家 |“风林火山” - 《孙子兵法》与网络安全

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: