百家 ｜“风林火山” - 《孙子兵法》与网络安全

《孙子兵法》其实有好几个名字，例如《兵经》、《吴孙子兵法》。一般认为，《孙子兵法》成书于公元前515~512年，全书为十三篇，七千余字。它的作者是春秋末期的齐国人孙武，所谓“孙子”的这个子，是中国古代对于德高望重的、有学问的人的尊称，比如老子、孔子、孟子、庄子之类，而孙子也被尊称为“兵圣”。

《孙子兵法》是孙武被伍子胥推荐给吴王阖闾、初次见面时赠送给吴王阖闾的见面礼。后来吴王阖闾重用孙武和伍子胥，从而大破楚国，称霸一时，成为“春秋五霸”之一。后来伍子胥被吴王夫差赐死之后，孙武归隐，约前470年于苏州逝世，墓园位于苏州相城区。

说到这个故事背景，孙武、伍子胥、吴王阖闾、吴王夫差和越王勾践，这五个风云人物基本上就主导了春秋战国时期的东方历史，他们的命运纠葛和历史故事非常精彩，我大致画了一个关联关系图，大家有兴趣可以去查查资料百科。

接下来我们先看一下《孙子兵法》的内容架构。《孙子兵法》 全文共计十三篇，七千余字。它首次系统化的归纳论述了军事作战的原理原则，内容详尽，用词精炼，而且指示明确，可操作性强。

同时，《孙子兵法》继承和发展了前人的军事理论 ，把政治和谋划作为决定战争胜败的首要因素，归纳出战争的原理原则，举凡战前之准备，策略之运用，作战之布署，敌情之研判等，无不详加说明，巨细靡遗，周严完备，至今仍具有重大的现实意义。

我按照行动阶段，把《孙子》十三篇分成内部、外部两个大篇章，内部篇讲的是出兵之前的谋划与准备，而外部篇讲的是在外领兵打仗。内部篇又可以分为两组，战略和战术，外部篇也可以分为两组，常规作战执行和特种作战执行，共计四组。

我快速的给大家介绍一下这十三篇它们各自的核心内容是什么。

首先战略三篇，第一篇始计，一开始就强调战事至关重要，如何才能打赢？核心就是五事七计：

第二篇作战，核心就是强调打仗费钱耗时，各种不利的危害，所以打仗一定要有足够的收益，不能白打。它讲打仗之害（费钱耗时），打仗之利（抢资源，说“智将务食于敌”），说“不尽知用兵之害者，则不能尽知用兵之利也”。同时强调战争动作要快，“兵贵胜，不贵久”，要速战速决。以及将领（领袖）的重要性，说“知兵之将，民之司命，国家安危之主也”。

第三篇谋攻，强调如何以最小代价换取最大胜利？这是谋攻的基本原则，“上兵伐谋，其次伐交，其次伐兵，其下攻城”；同时介绍用兵之法，“十则围之，五则攻之”等等。以及“知胜有五”，即可以从五个方面来预见胜利：“知可以战与不可以战者胜，识众寡之用者胜，上下同欲者胜，以虞待不虞者胜，将能而君不御者胜”。

而战术部分的这三篇是具有一定连续性的。首先第一篇军形，核心就是强调自己要先立于不败之地，然后等战胜敌人的时机，“昔之善战者，先为不可胜，以待敌之可胜”。强调如何通过预先的形势分析、双方的实力对比，来筹划军事行动执行，并确保军事行动的优势和主动性，从而“胜兵先胜而后求战”。

其次兵势篇，讲的就是在前面不被敌人战胜的前提下，如何找机会战胜敌人。强调如何根据面临的敌我双方态势灵活的运用和调动我方兵力，从而创造有利条件和竞争优势。例如著名的“以正合，以奇胜”、“以利动之，以卒待之”。

而虚实篇，强调如何“避实就虚，以实击虚”，如何通过“出其所不趋，趋其所不意”、“兵无常势，水无常形”，通过奇兵掌握战争的主动权，“以众击寡” ，从而赢得战争的胜利。

外部篇这两组七篇，都是围绕军事执行层面进行说明。前面五篇讲的是常规军事行动执行，后面两篇讲的是特种作战执行。

前五篇中，首先军争篇介绍了军事行动的基本原则，如何统帅军队、如何找寻时机来抢夺军事优势。内容里面最出名的就是“孙子六如”，“其疾如风，其徐如林，侵掠如火，不动如山，难知如阴，动如雷震”，讲的是军事行动时的纲领，该快就快，该稳就稳；该攻就攻，该守就守，需要权衡利弊，根据实际情况和形势，相机行事。

而九变介绍的是如何在战场上根据面临的态势进行随机应变，后面三篇行军、地形、九地就接着介绍如何跑路、如何抢地利、如何用地利之类。然后是两个特种作战，火攻，用间谍和反间谍等等。

这些具体执行的内容对于现代战争还是有用的，只是有的内容和我们网络安全领域就有点脱节了，因此就不深入和大家分析了。

《孙子兵法》是第一部系统化的对待战争的军事著作，在此我总结一下《孙子兵法》的五个主要核心思想。

战争的核心在于人与人的对抗，和对资源的争夺：抢人、抢粮、抢地盘。网络安全也是人与人的对抗，和对资源的争夺：抢系统、抢数据、抢资源。

《孙子兵法》是最早系统化看待战争的军事著作。其中相关理论和内容，对于网络安全同样具有重要的指导意义。目前流行的网络安全架构，也部分与《孙子兵法》思想契合。

把《孙子兵法》内容架构映射到网络安全，如下图所示：

首先在内部篇的战略层面，这就等同于我们网络安全的企业IT治理目标，网络安全战略规划、治理框架之类。

而在内部篇的战术层面，就等同于我们的战术、策略应用，例如风险评估、组织、策略、制度、流程、技术之类。

在外部篇的执行层面，就类似于我们日常的安全建设、实施及运营，而特种作战执行就有如我们的渗透策略、社会工程学之类。

接下来分别给大家深入介绍一下。

首先在内部篇的战略与战术部分，核心是企业IT和安全的战略目标和顶层设计。这个地方我们可以引用多个企业IT治理和安全管理框架，例如COBIT 2019、ISO 27001、NIST 800-53 之类。在这儿我就以 COBIT 2019 为例，因为我觉得它最适合这部分。

这个图是COBIT 2019，企业信息和技术治理系统的设计工作流程，它是围绕企业IT治理为主，里面涉及到网络安全的部分其实不多（只有风险管理、安全管理、连续性管理和安全服务管理四个控制对象），它也不是技术框架。但是它和孙子兵法的战略和战术部分非常契合。

这个设计工作流程里面有四个流程，前面两个流程是了解企业的环境和战略，确定企业IT治理系统的初步范围，这就和孙子兵法内部篇战略部分很类似。我们需要首先了解企业当前的状态，了解企业的战略、目标，分析目前面临的风险，了解相关的态势，从而确定我们的战略目标，以及对应的作战策略。而第三个和第四个环节就是充分的考虑相关因素，优化和确认治理系统的范围，以及确定最终的治理系统架构设计，就和孙子兵法内部篇战术部分很类似。

而外部篇操作与执行部分可以映射的安全管理计划与安全控制框架就很多了，我选了四个：ISO 27001:2013、NIST CSF v1.1、NIST 800-53 R5、CIS Control 7.1。

ISO27001和NIST 800-53太过于庞大完整，因此实施通常需要非常专业的咨询顾问人员。而NIST CSF 和 CIS Control就相对简化直接一些，我也经常参考，建议大家可以深入学习一下。

从涉及的范围来看，这四个安全框架涉及的阶段还是有些区别的，我大致划分了一下，如下图所示：

《孙子兵法》的内容博大精深，用词精炼，蕴意深刻，里面很多经典词句也在全球范围内广泛流传。在这部分内容中我选择了一些孙子兵法中的经典语录来为大家从网络安全方面进行释义阐述。

“兵者，国之大事，死生之地，存亡之道，不可不察也。”

 “兵者，国之大事，死生之地，存亡之道，不可不察也”，翻译过来就是“战争是一个国家的头等大事，关系到军民的生死，国家的存亡，是不能不慎重周密地观察、分析、研究”。

这句话是孙子兵法的开篇之语，孙子一上来就强调战争的重要性，说明战争是生死存亡、人命关天的大事情，不是儿戏，体现出他的慎战思想。对于网络安全而言，习主席强调过，没有网络安全就没有国家安全，同时国家在“网络安全法”中也对企业的网络安全建设和运营提出了强制性的要求。而对于企业而言，如果没有做好网络安全，则容易出现安全事故，例如企业商业机密被窃取、核心基础设施被破坏等，直接影响到企业的生存和发展。

“兵者，诡道也。”

“兵者，诡道也”，说的是“用兵作战，就是欺骗的艺术”。

在军事方面，欺骗艺术的核心在于掌握主动权，主要手段有两个，一个是隐秘企图、遮蔽战场，让敌人无从感知，二是通过欺诈的手段迷惑敌人，让敌人听从自己的安排行事，从而获得战争的主动权和优势地位。

而网络安全同样也是欺骗的艺术。对攻击方而言，最典型的就是社会工程学，还有各种钓鱼邮件、金融欺诈、伪冒信息等等；而对于防守方，如何遮蔽关键资产信息、利用沙箱、蜜罐、诱饵、威慑甚至社会工程学等主动防御技术来抵御入侵方的攻击，都具有非常大的学问。

“攻其无备，出其不意。”

“攻其无备，出其不意”这句话从字面上也好理解，就是要攻打对方没有防备的地方，在对方没有料到的时机发动进攻。

从网络安全的角度来看，这句话的核心还是敌我双方对于当前环境、资产、态势和目标对手的识别、了解和研判，从而采取对方未能预料的行动措施，例如通过未关注到的IT资产发起攻击行为等等。

对于进攻方或者防守方而言，均需要了解具体环境的特点、网络安全的盲点或薄弱点（技术、人员、流程），才能实现“攻其无备，出其不意”。

“故知兵之将，民之司命，国家安危之主也。”

 “故知兵之将，民之司命，国家安危之主也”。这句话强调的是带兵打仗的将领的重要性，说的是“真正懂得用兵之道、深知用兵利害的将帅，掌握着民众的生死，主宰着国家的安危”。

映射到网络安全而言，它其实强调了强调企业领导人员（例如CEO、CIO、CISO等等）对于企业网络安全的重要性，可以延申至说明网络安全组织及相关安全人员的重要性。企业网络安全领导人员对于网络安全的重视、投入和专业程度，决定企业网络安全的高度。不重视、没有投入、投入不够肯定是做不好的，有投入但不够专业也大概率做不好。

“上兵伐谋，其次伐交，其次伐兵，其下攻城。”

“上兵伐谋”这句话是非常出名的，完整的一句是 “故上兵伐谋，其次伐交，其次伐兵，其下攻城。”，讲的是“上等的军事行动是用谋略挫败敌方的战略意图或战争行为，其次就是用外交战胜敌人，再次是用武力击败敌军，最下之策是攻打敌人的城池。”。

它的核心在于强调如何以最小代价获取最大的胜利，即最大的投入产出比。映射到网络安全而言，对于攻击方而言，如果可以通过社工或者钓鱼邮件轻松获得管理员密码，也就没有必要花更大的代价去进行攻击。

从安全防守的角度来看，企业网络环境复杂，需要保护的目标众多，如何识别资产的优先级，并进行相应的安全保护，从而降低安全事件产生的影响，这其实是非常考验安全管理和运营人员的能力。

“知彼知己，百战不殆。”

“知彼知己，百战不殆”这句话也是非常著名，也很好理解，翻译过来就是“了解敌方也了解自己，每一次战斗都不会有危险”。

而映射到网络安全，这句话的核心还是敌我双方对于当前环境、资产、态势和目标对手的识别、了解和研判，从而采取所对应的措施。

对于攻击方而言，你需要了解目标环境的具体配置、信息、状态，从而有的放矢，确保实现攻击目标。而对于防守方而言，除了了解自己的环境、资产、技术、配置、系统、服务等等，也需要了解对应的攻击技术、手法和安全情报等等，才能更好的进行安全防护。

“用兵之法，无恃其不来，恃吾有以待之；无恃其不攻，恃吾有所不可攻也。”

这句话讲的是用兵的原则，“不要抱敌人不会来的侥幸心理，而要依靠我方有充分准备，严阵以待。也不要抱敌人不会攻击的侥幸心理，而要依靠我方坚不可摧的防御，确保不会被战胜。”

这句话的核心是强调不能有任何侥幸心理，而是需要做好完善的准备和应对措施，从而首先达到“先为不可胜”的状态，才能找到机会战胜敌人。

从网络安全角度，我们同样不能有任何侥幸心理，需要做好完善的安全防护措施，才能防止别人的攻击行为，至少要达到不能被敌人“速胜”的效果。

2018百家专栏全集请戳“阅读原文”