《孫子兵法》是最早系統化看待戰爭的軍事著作。其中相關理論和內容，對于網絡安全同樣具有重要的指導意義。目前流行的網絡安全架構，也部分與《孫子兵法》思想契合。

把《孫子兵法》內容架構映射到網絡安全，如下圖所示：

首先在內部篇的戰略層面，這就等同于我們網絡安全的企業IT治理目標，網絡安全戰略規劃、治理框架之類。

而在內部篇的戰術層面，就等同于我們的戰術、策略應用，例如風險評估、組織、策略、制度、流程、技術之類。

在外部篇的執行層面，就類似于我們日常的安全建設、實施及運營，而特種作戰執行就有如我們的滲透策略、社會工程學之類。

接下來分別給大家深入介紹一下。

首先在內部篇的戰略與戰術部分，核心是企業IT和安全的戰略目標和頂層設計。這個地方我們可以引用多個企業IT治理和安全管理框架，例如COBIT 2019、ISO 27001、NIST 800-53 之類。在這兒我就以 COBIT 2019 為例，因為我覺得它最適合這部分。

這個圖是COBIT 2019，企業信息和技術治理系統的設計工作流程，它是圍繞企業IT治理為主，里面涉及到網絡安全的部分其實不多（只有風險管理、安全管理、連續性管理和安全服務管理四個控制對象），它也不是技術框架。但是它和孫子兵法的戰略和戰術部分非常契合。

這個設計工作流程里面有四個流程，前面兩個流程是了解企業的環境和戰略，確定企業IT治理系統的初步范圍，這就和孫子兵法內部篇戰略部分很類似。我們需要首先了解企業當前的狀態，了解企業的戰略、目標，分析目前面臨的風險，了解相關的態勢，從而確定我們的戰略目標，以及對應的作戰策略。而第三個和第四個環節就是充分的考慮相關因素，優化和確認治理系統的范圍，以及確定最終的治理系統架構設計，就和孫子兵法內部篇戰術部分很類似。

而外部篇操作與執行部分可以映射的安全管理計劃與安全控制框架就很多了，我選了四個：ISO 27001:2013、NIST CSF v1.1、NIST 800-53 R5、CIS Control 7.1。

ISO27001和NIST 800-53太過于龐大完整，因此實施通常需要非常專業的咨詢顧問人員。而NIST CSF 和 CIS Control就相對簡化直接一些，我也經常參考，建議大家可以深入學習一下。

從涉及的范圍來看，這四個安全框架涉及的階段還是有些區別的，我大致劃分了一下，如下圖所示：

《孫子兵法》的內容博大精深，用詞精煉，蘊意深刻，里面很多經典詞句也在全球范圍內廣泛流傳。在這部分內容中我選擇了一些孫子兵法中的經典語錄來為大家從網絡安全方面進行釋義闡述。

“兵者，國之大事，死生之地，存亡之道，不可不察也。”

 “兵者，國之大事，死生之地，存亡之道，不可不察也”，翻譯過來就是“戰爭是一個國家的頭等大事，關系到軍民的生死，國家的存亡，是不能不慎重周密地觀察、分析、研究”。

這句話是孫子兵法的開篇之語，孫子一上來就強調戰爭的重要性，說明戰爭是生死存亡、人命關天的大事情，不是兒戲，體現出他的慎戰思想。對于網絡安全而言，習主席強調過，沒有網絡安全就沒有國家安全，同時國家在“網絡安全法”中也對企業的網絡安全建設和運營提出了強制性的要求。而對于企業而言，如果沒有做好網絡安全，則容易出現安全事故，例如企業商業機密被竊取、核心基礎設施被破壞等，直接影響到企業的生存和發展。

“兵者，詭道也。”

“兵者，詭道也”，說的是“用兵作戰，就是欺騙的藝術”。

在軍事方面，欺騙藝術的核心在于掌握主動權，主要手段有兩個，一個是隱秘企圖、遮蔽戰場，讓敵人無從感知，二是通過欺詐的手段迷惑敵人，讓敵人聽從自己的安排行事，從而獲得戰爭的主動權和優勢地位。

而網絡安全同樣也是欺騙的藝術。對攻擊方而言，最典型的就是社會工程學，還有各種釣魚郵件、金融欺詐、偽冒信息等等；而對于防守方，如何遮蔽關鍵資產信息、利用沙箱、蜜罐、誘餌、威懾甚至社會工程學等主動防御技術來抵御入侵方的攻擊，都具有非常大的學問。

“攻其無備，出其不意。”

“攻其無備，出其不意”這句話從字面上也好理解，就是要攻打對方沒有防備的地方，在對方沒有料到的時機發動進攻。

從網絡安全的角度來看，這句話的核心還是敵我雙方對于當前環境、資產、態勢和目標對手的識別、了解和研判，從而采取對方未能預料的行動措施，例如通過未關注到的IT資產發起攻擊行為等等。

對于進攻方或者防守方而言，均需要了解具體環境的特點、網絡安全的盲點或薄弱點（技術、人員、流程），才能實現“攻其無備，出其不意”。

“故知兵之將，民之司命，國家安危之主也。”

 “故知兵之將，民之司命，國家安危之主也”。這句話強調的是帶兵打仗的將領的重要性，說的是“真正懂得用兵之道、深知用兵利害的將帥，掌握著民眾的生死，主宰著國家的安危”。

映射到網絡安全而言，它其實強調了強調企業領導人員（例如CEO、CIO、CISO等等）對于企業網絡安全的重要性，可以延申至說明網絡安全組織及相關安全人員的重要性。企業網絡安全領導人員對于網絡安全的重視、投入和專業程度，決定企業網絡安全的高度。不重視、沒有投入、投入不夠肯定是做不好的，有投入但不夠專業也大概率做不好。

“上兵伐謀，其次伐交，其次伐兵，其下攻城。”

“上兵伐謀”這句話是非常出名的，完整的一句是 “故上兵伐謀，其次伐交，其次伐兵，其下攻城。”，講的是“上等的軍事行動是用謀略挫敗敵方的戰略意圖或戰爭行為，其次就是用外交戰勝敵人，再次是用武力擊敗敵軍，最下之策是攻打敵人的城池。”。

它的核心在于強調如何以最小代價獲取最大的勝利，即最大的投入產出比。映射到網絡安全而言，對于攻擊方而言，如果可以通過社工或者釣魚郵件輕松獲得管理員密碼，也就沒有必要花更大的代價去進行攻擊。

從安全防守的角度來看，企業網絡環境復雜，需要保護的目標眾多，如何識別資產的優先級，并進行相應的安全保護，從而降低安全事件產生的影響，這其實是非常考驗安全管理和運營人員的能力。

“知彼知己，百戰不殆。”

“知彼知己，百戰不殆”這句話也是非常著名，也很好理解，翻譯過來就是“了解敵方也了解自己，每一次戰斗都不會有危險”。

而映射到網絡安全，這句話的核心還是敵我雙方對于當前環境、資產、態勢和目標對手的識別、了解和研判，從而采取所對應的措施。

對于攻擊方而言，你需要了解目標環境的具體配置、信息、狀態，從而有的放矢，確保實現攻擊目標。而對于防守方而言，除了了解自己的環境、資產、技術、配置、系統、服務等等，也需要了解對應的攻擊技術、手法和安全情報等等，才能更好的進行安全防護。

“用兵之法，無恃其不來，恃吾有以待之；無恃其不攻，恃吾有所不可攻也。”

這句話講的是用兵的原則，“不要抱敵人不會來的僥幸心理，而要依靠我方有充分準備，嚴陣以待。也不要抱敵人不會攻擊的僥幸心理，而要依靠我方堅不可摧的防御，確保不會被戰勝。”

這句話的核心是強調不能有任何僥幸心理，而是需要做好完善的準備和應對措施，從而首先達到“先為不可勝”的狀態，才能找到機會戰勝敵人。

從網絡安全角度，我們同樣不能有任何僥幸心理，需要做好完善的安全防護措施，才能防止別人的攻擊行為，至少要達到不能被敵人“速勝”的效果。