《原文注釋》：「誑也，非誑也，實其所誑也。少陰，太陰，太陽。」

《原文解析》：

(1) 誑也，非誑也，實其所誑也：運用假象欺騙對方，但是又並非一直假到底，而是讓對方把受騙的假象當成真象。
(2) 少陰，太陰，太陽：利用大大小小各種假象來掩護背後的真象。

《出處》：

道家認為「有」是從「無」產生出來的。語本《老子》第四○章。東晉末年，淝水之戰，秦軍緊逼淝水西岸布陣，晉軍無法渡河，只能隔岸對峙。此時謝玄就派使者去見苻融(苻堅之弟)，激將他說：「現在兩軍都逼臨水岸，誰也無法前進一分。看來，要想速戰速決是不可能了，只能曠日持久地消耗兵力。但是，如果您率軍稍微撤退一點，讓晉軍渡過河來對戰，豈不很快就能決勝？」

對於這個鋌而走險的建議，秦軍諸將都表示反對，但主帥苻堅認為可以將計就計，放膽一試，讓軍隊稍微後退，待晉軍置身河中時再派騎兵衝殺，便可以取得勝利。於是，他們答應了謝玄的要求，開始指揮秦軍後撤。不料興致低落的將士一後撤就徹底失去了控制，陣腳大亂。趁此時機，謝玄率領八千多騎兵搶渡淝水，向秦軍發起了猛攻。朱序則不失時機地在秦軍陣後大叫：「秦兵敗矣！秦兵敗矣！」信以為真的秦兵競相奔逃。苻融眼見大勢不妙，急忙騎馬前去阻止，不料戰馬被亂兵衝倒，落馬的苻融很快便被晉軍追兵所殺。

《資安戰運用實例》：

過去幾年在電腦上盛行的假防毒軟體 (FakeAV)已經移植到了 Android 平台，名叫 Virus Shield，該病毒已於2014年 3 月 28 日首次現身 Google Play 商店，並以 3.99 美元的價格販售。假的防毒軟體已經變成集團化在操作了，2012 年10 月)有個新聞說美國聯邦法院以高達1.63億美元的重罰判決一名販售假防毒軟體的女性，該女子透過社交工程陷阱( Social Engineering)，欺騙使用者讓他們以為自己的電腦潛藏病毒或其他惡意軟體,接著推銷一經付費便可立即下載使用的假防毒軟體。該集團誘騙橫跨 6個國家破百萬名的消費者購買假防毒軟體。最早的假防毒軟體利用恐嚇軟體手法（scareware tactics）憑藉的是讓使用者信以為真的感染警告。不過這個手法的威脅情勢已轉化為營利為主，促使網路犯罪份子運用更多的迂迴狡詐的技術。
該篇新聞，請詳閱以下連結：https://blog.trendmicro.com.tw/?p=113

《企業實務上，筆者觀點》

最近筆者很注意仔細的看「南山人壽的新系統—境界」的相關新聞，主要是南山開發這個新系統之後，因為狀況百出，被金管會下令重罰，詳細的新聞，請大家參考最近的一篇新聞： https://udn.com/news/story/7239/4058958 。

這個案件特殊的地方，是新系統的建置到上線之後，頻頻出包，甚至有的客戶出現扣款異常等等系統的問題，由於出包太多，又不見其改善，因此金管會不得不出重手重懲南山人壽，重懲的理由有三個，大家可以參考以下的新聞：https://www.chinatimes.com/realtimenews/20190917003371-260410?chdtv ，

筆者在此只舉第一個懲處的理由，那就是未落實金融控股公司及銀行內控的三道防線架構。

大家應該了解，金融業是特許行業，比較有其特殊性，所以在內控方面可謂是高標準在運作，那麼何謂三道防線？

1.	第一道防線：自行檢查。
2.	第二道防線：法令遵循與風險管理。
3.	第三道防線：內部稽核。

這三道防線，其實在資通安全管理辦法裡面也套用了這三道防線的概念。

新系統的上線，是很多公司都會遇到的一個問題，新系統理論上就是有別於舊系統，整體作翻新，理論上，剛上線都會遇到很多問題，台灣雖然號稱軟體王國，然而，筆者還是覺得，小規模的系統尚可以做到不錯的程度，然而，真的進入大型、跨國的軟體，台灣就不見得能到達國際水準了，這其中到底是甚麼原因，探討該問題可能就又是另一個大主題了，在此不做討論。

新系統剛上線，通常就是MIS皮繃最緊的時候，正常狀況下，系統是最脆弱的時候，MIS除了隨時要被召喚去處理很多操作上的問題，還要隨時檢測是否有不明流量及IP攻擊，以最近最有名的另一則新聞就是台灣民眾黨的網頁，才剛上線，因為簡訊認證機制被濫用，導致系統出包被駭，不得不關閉網頁。

本次南山人壽境界計劃給我們一個啟示，金管會認為，新系統上線，理論應該是先進行小規模的測試，然後，在逐步擴大，其實，一般企業通常都是直接上線，所謂的風險控管，都沒有考慮到測試這點，小規模的測試，對於企業來說太浪費時間了，但是不經測試，倉促上線，又造成門戶大開，風險控管幾乎等於零，但是一般企業處理類似的問題，都以為防火牆、防毒軟體檢測、DNS的檢測、IP的檢測這些步驟就可以抓出問題，但實際上，這些太過制式化的測試，根本不符合自己風險控管及內部控制程序。

由於上述第一道防線：自我檢測及風險管理未做好，到了第二道防線，法律遵循跟風險控管那就更不可能了，筆者每天都會挑幾個It邦幫忙的技術問答來看，有次意外看到幾則邦友的回應，回應內容是，法律滾出去，筆者實在有些意外，目前法遵已經非常重要了，資訊應該更開放的與各種不同領域做結合，畢竟，很多領域將來都會應用到資訊，總不能到最後，都是隔著一堵牆，彼此玩自己的吧？

最後一點，就是內部稽核機制，在這點上面，筆者認為系統稽核，有時還是必須要在系統更新時，就指派MIS成立專責稽核人員，此人必須具有獨立性，必要時由稽核部門專責考核及指揮，否則一般的稽核大部分都非MIS出身，在專業知識上不足，即使查核也流於形式。

總結：
(A)攻方：趁其最脆弱的時候進攻。
(B)守方：落實內控三道防線。