亚洲第一色欲AV|丰满无码人妻热妇无码喷水区|日韩成人一区二区|情五月亚洲天堂网

安全資訊

《孫子兵法》與網(wǎng)絡(luò)安全

戰(zhàn)爭的核心在于人與人的對抗,和對資源的爭奪:搶人、搶糧、搶地盤。網(wǎng)絡(luò)安全也是人與人的對抗,和對資源的爭奪:搶系統(tǒng)、搶數(shù)據(jù)、搶資源。


《孫子兵法》是最早系統(tǒng)化看待戰(zhàn)爭的軍事著作。其中相關(guān)理論和內(nèi)容,對于網(wǎng)絡(luò)安全同樣具有重要的指導(dǎo)意義。目前流行的網(wǎng)絡(luò)安全架構(gòu),也部分與《孫子兵法》思想契合。


把《孫子兵法》內(nèi)容架構(gòu)映射到網(wǎng)絡(luò)安全,如下圖所示:


《孫子兵法》與網(wǎng)絡(luò)安全


首先在內(nèi)部篇的戰(zhàn)略層面,這就等同于我們網(wǎng)絡(luò)安全的企業(yè)IT治理目標(biāo),網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃、治理框架之類。


而在內(nèi)部篇的戰(zhàn)術(shù)層面,就等同于我們的戰(zhàn)術(shù)、策略應(yīng)用,例如風(fēng)險評估、組織、策略、制度、流程、技術(shù)之類。


在外部篇的執(zhí)行層面,就類似于我們?nèi)粘5陌踩ㄔO(shè)、實施及運營,而特種作戰(zhàn)執(zhí)行就有如我們的滲透策略、社會工程學(xué)之類。


《孫子兵法》與網(wǎng)絡(luò)安全


接下來分別給大家深入介紹一下。


首先在內(nèi)部篇的戰(zhàn)略與戰(zhàn)術(shù)部分,核心是企業(yè)IT和安全的戰(zhàn)略目標(biāo)和頂層設(shè)計。這個地方我們可以引用多個企業(yè)IT治理和安全管理框架,例如COBIT 2019、ISO 27001、NIST 800-53 之類。在這兒我就以 COBIT 2019 為例,因為我覺得它最適合這部分。


《孫子兵法》與網(wǎng)絡(luò)安全


這個圖是COBIT 2019,企業(yè)信息和技術(shù)治理系統(tǒng)的設(shè)計工作流程,它是圍繞企業(yè)IT治理為主,里面涉及到網(wǎng)絡(luò)安全的部分其實不多(只有風(fēng)險管理、安全管理、連續(xù)性管理安全服務(wù)管理四個控制對象),它也不是技術(shù)框架。但是它和孫子兵法的戰(zhàn)略和戰(zhàn)術(shù)部分非常契合。


這個設(shè)計工作流程里面有四個流程,前面兩個流程是了解企業(yè)的環(huán)境和戰(zhàn)略,確定企業(yè)IT治理系統(tǒng)的初步范圍,這就和孫子兵法內(nèi)部篇戰(zhàn)略部分很類似。我們需要首先了解企業(yè)當(dāng)前的狀態(tài),了解企業(yè)的戰(zhàn)略、目標(biāo),分析目前面臨的風(fēng)險,了解相關(guān)的態(tài)勢,從而確定我們的戰(zhàn)略目標(biāo),以及對應(yīng)的作戰(zhàn)策略。而第三個和第四個環(huán)節(jié)就是充分的考慮相關(guān)因素,優(yōu)化和確認(rèn)治理系統(tǒng)的范圍,以及確定最終的治理系統(tǒng)架構(gòu)設(shè)計,就和孫子兵法內(nèi)部篇戰(zhàn)術(shù)部分很類似。


而外部篇操作與執(zhí)行部分可以映射的安全管理計劃與安全控制框架就很多了,我選了四個:ISO 27001:2013、NIST CSF v1.1、NIST 800-53 R5、CIS Control 7.1。


《孫子兵法》與網(wǎng)絡(luò)安全


其中ISO 27001是國際標(biāo)準(zhǔn)的信息安全管理體系要求,也是一個安全管理整體框架,目前最新的版本是2013年9月發(fā)布的版本;

NIST 800-53 是針對IT系統(tǒng)和組織的安全和隱私控制,是一個非常大而全的安全管理框架;

NIST CSF v1.1 是針對關(guān)鍵基礎(chǔ)設(shè)施的安全改進(jìn)的框架,是一個以安全風(fēng)險為核心的安全管理框架,相比前面兩個已經(jīng)簡化了很多;

而第四個是CIS Control,和前面三個不一樣,這是一個以保護(hù)目標(biāo)、安全功能為核心的安全技術(shù)框架,包含具體的技術(shù)實施細(xì)節(jié)要求,非常具有可操作性。

ISO27001和NIST 800-53太過于龐大完整,因此實施通常需要非常專業(yè)的咨詢顧問人員。而NIST CSF 和 CIS Control就相對簡化直接一些,我也經(jīng)常參考,建議大家可以深入學(xué)習(xí)一下。


從涉及的范圍來看,這四個安全框架涉及的階段還是有些區(qū)別的,我大致劃分了一下,如下圖所示:


《孫子兵法》與網(wǎng)絡(luò)安全


《孫子兵法》Top 語錄精選


《孫子兵法》的內(nèi)容博大精深,用詞精煉,蘊意深刻,里面很多經(jīng)典詞句也在全球范圍內(nèi)廣泛流傳。在這部分內(nèi)容中我選擇了一些孫子兵法中的經(jīng)典語錄來為大家從網(wǎng)絡(luò)安全方面進(jìn)行釋義闡述。


兵者,國之大事,死生之地,存亡之道,不可不察也。


 “兵者,國之大事,死生之地,存亡之道,不可不察也”,翻譯過來就是“戰(zhàn)爭是一個國家的頭等大事,關(guān)系到軍民的生死,國家的存亡,是不能不慎重周密地觀察、分析、研究”。


這句話是孫子兵法的開篇之語,孫子一上來就強調(diào)戰(zhàn)爭的重要性,說明戰(zhàn)爭是生死存亡、人命關(guān)天的大事情,不是兒戲,體現(xiàn)出他的慎戰(zhàn)思想。對于網(wǎng)絡(luò)安全而言,習(xí)主席強調(diào)過,沒有網(wǎng)絡(luò)安全就沒有國家安全,同時國家在“網(wǎng)絡(luò)安全法”中也對企業(yè)的網(wǎng)絡(luò)安全建設(shè)和運營提出了強制性的要求。而對于企業(yè)而言,如果沒有做好網(wǎng)絡(luò)安全,則容易出現(xiàn)安全事故,例如企業(yè)商業(yè)機密被竊取、核心基礎(chǔ)設(shè)施被破壞等,直接影響到企業(yè)的生存和發(fā)展。


兵者,詭道也。


“兵者,詭道也”,說的是“用兵作戰(zhàn),就是欺騙的藝術(shù)”。


在軍事方面,欺騙藝術(shù)的核心在于掌握主動權(quán),主要手段有兩個,一個是隱秘企圖、遮蔽戰(zhàn)場,讓敵人無從感知,二是通過欺詐的手段迷惑敵人,讓敵人聽從自己的安排行事,從而獲得戰(zhàn)爭的主動權(quán)和優(yōu)勢地位。


而網(wǎng)絡(luò)安全同樣也是欺騙的藝術(shù)。對攻擊方而言,最典型的就是社會工程學(xué),還有各種釣魚郵件、金融欺詐、偽冒信息等等;而對于防守方,如何遮蔽關(guān)鍵資產(chǎn)信息、利用沙箱、蜜罐、誘餌、威懾甚至社會工程學(xué)等主動防御技術(shù)來抵御入侵方的攻擊,都具有非常大的學(xué)問。


攻其無備,出其不意。


“攻其無備,出其不意”這句話從字面上也好理解,就是要攻打?qū)Ψ經(jīng)]有防備的地方,在對方?jīng)]有料到的時機發(fā)動進(jìn)攻。


從網(wǎng)絡(luò)安全的角度來看,這句話的核心還是敵我雙方對于當(dāng)前環(huán)境、資產(chǎn)、態(tài)勢和目標(biāo)對手的識別、了解和研判,從而采取對方未能預(yù)料的行動措施,例如通過未關(guān)注到的IT資產(chǎn)發(fā)起攻擊行為等等。


對于進(jìn)攻方或者防守方而言,均需要了解具體環(huán)境的特點、網(wǎng)絡(luò)安全的盲點或薄弱點(技術(shù)、人員、流程),才能實現(xiàn)“攻其無備,出其不意”。


“故知兵之將,民之司命,國家安危之主也。”


 “故知兵之將,民之司命,國家安危之主也”。這句話強調(diào)的是帶兵打仗的將領(lǐng)的重要性,說的是“真正懂得用兵之道、深知用兵利害的將帥,掌握著民眾的生死,主宰著國家的安?!薄?/span>


映射到網(wǎng)絡(luò)安全而言,它其實強調(diào)了強調(diào)企業(yè)領(lǐng)導(dǎo)人員(例如CEO、CIO、CISO等等)對于企業(yè)網(wǎng)絡(luò)安全的重要性,可以延申至說明網(wǎng)絡(luò)安全組織及相關(guān)安全人員的重要性。企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人員對于網(wǎng)絡(luò)安全的重視、投入和專業(yè)程度,決定企業(yè)網(wǎng)絡(luò)安全的高度。不重視、沒有投入、投入不夠肯定是做不好的,有投入但不夠?qū)I(yè)也大概率做不好。


“上兵伐謀,其次伐交,其次伐兵,其下攻城?!?/strong>


“上兵伐謀”這句話是非常出名的,完整的一句是 “故上兵伐謀,其次伐交,其次伐兵,其下攻城?!保v的是“上等的軍事行動是用謀略挫敗敵方的戰(zhàn)略意圖或戰(zhàn)爭行為,其次就是用外交戰(zhàn)勝敵人,再次是用武力擊敗敵軍,最下之策是攻打敵人的城池?!?。


它的核心在于強調(diào)如何以最小代價獲取最大的勝利,即最大的投入產(chǎn)出比。映射到網(wǎng)絡(luò)安全而言,對于攻擊方而言,如果可以通過社工或者釣魚郵件輕松獲得管理員密碼,也就沒有必要花更大的代價去進(jìn)行攻擊。


從安全防守的角度來看,企業(yè)網(wǎng)絡(luò)環(huán)境復(fù)雜,需要保護(hù)的目標(biāo)眾多,如何識別資產(chǎn)的優(yōu)先級,并進(jìn)行相應(yīng)的安全保護(hù),從而降低安全事件產(chǎn)生的影響,這其實是非常考驗安全管理和運營人員的能力。


知彼知己,百戰(zhàn)不殆。


“知彼知己,百戰(zhàn)不殆”這句話也是非常著名,也很好理解,翻譯過來就是“了解敵方也了解自己,每一次戰(zhàn)斗都不會有危險”。


而映射到網(wǎng)絡(luò)安全,這句話的核心還是敵我雙方對于當(dāng)前環(huán)境、資產(chǎn)、態(tài)勢和目標(biāo)對手的識別、了解和研判,從而采取所對應(yīng)的措施。


對于攻擊方而言,你需要了解目標(biāo)環(huán)境的具體配置、信息、狀態(tài),從而有的放矢,確保實現(xiàn)攻擊目標(biāo)。而對于防守方而言,除了了解自己的環(huán)境、資產(chǎn)、技術(shù)、配置、系統(tǒng)、服務(wù)等等,也需要了解對應(yīng)的攻擊技術(shù)、手法和安全情報等等,才能更好的進(jìn)行安全防護(hù)。


用兵之法,無恃其不來,恃吾有以待之;無恃其不攻,恃吾有所不可攻也。


這句話講的是用兵的原則,“不要抱敵人不會來的僥幸心理,而要依靠我方有充分準(zhǔn)備,嚴(yán)陣以待。也不要抱敵人不會攻擊的僥幸心理,而要依靠我方堅不可摧的防御,確保不會被戰(zhàn)勝?!?/span>


這句話的核心是強調(diào)不能有任何僥幸心理,而是需要做好完善的準(zhǔn)備和應(yīng)對措施,從而首先達(dá)到“先為不可勝”的狀態(tài),才能找到機會戰(zhàn)勝敵人。


從網(wǎng)絡(luò)安全角度,我們同樣不能有任何僥幸心理,需要做好完善的安全防護(hù)措施,才能防止別人的攻擊行為,至少要達(dá)到不能被敵人“速勝”的效果。


服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號

微信公眾號