《原文注釋》:「逼則反兵,走則減勢。緊隨勿迫,累其氣力,消其鬥志,散而後擒,兵不血刃。需,有孚,光。」
《原文解析》:
(1) 逼則反兵,走則減勢:逼迫敵人無路可走,它就會反撲。
(2) 緊隨勿迫,累其氣力,消其鬥志,散而後擒,兵不血刃:讓它逃跑則可減弱敵人的氣勢。追擊時,跟蹤敵人不要過於逼迫它,以消耗它的體力,瓦解它的鬥志,待敵人士氣沮喪、潰不成軍,再捕捉它,就可以避免流血。
(3) 需,有孚,光:按照《易經•需》卦的原理,待敵人心理上完全失敗而信服我,就能贏得光明的戰爭結局。
《出處》:
語或出《三十六計.第三套.攻戰計.第一六計.欲擒姑縱》。「將欲奪之,必固與之」。兩晉末年,幽州都督王浚企圖謀反篡位。晉朝名將石勒聞訊後,打算消滅王浚的部隊。王浚勢力強大,石勒恐一時難以取勝。他決定採用"欲擒故縱"之計,麻痹王浚,他派門客王子春帶了大量珍珠寶物,敬獻王浚。並寫信向王浚表示擁戴他為天子。信中說,現在社稷衰敗,中原無主,隻有你威震天下,有資格稱帝。王子春又在一旁添油加醋,說得王浚心裏喜滋滋的,信以為真。正在這時,王浚有個部下名叫遊統的,伺機謀叛王浚。遊統想找石勒做靠山,石勒卻殺了遊統,將遊統首級送給王浚。這一著,使王浚對石勒絕對放心了。
公元314年,石勒探聽到幽州遭受水災,老百姓沒有糧食,王浚不顧百姓生死,苛捐雜稅,有增無減,民怨沸騰,軍心浮動。石勒親自率領部隊攻打幽州。這年4月,石勒的部隊到了幽州城,王浚還蒙在鼓裏,以為石勒來擁戴他稱帝,根本沒有準備應戰。等到他突然被石勒將士捉拿時,才如夢初醒。王浚中了石勒"欲擒故縱"之計,身首異處,美夢成了泡影。
《資安戰運用實例》:
2020東京奧運進入倒數階段,為了防止駭客作亂,影響比賽的IT基礎系統,日本政府通過《國立研究開發法人情報通信研究機構法》修正案,允許官員登入民眾IoT裝置,並對疑似遭駭客鎖定的裝置用戶發出警告。這項修正案允許「國立研究開發法人情報通信研究機構」(NICT)的員工,在總務省的監督下對IoT設備進行調查。根據NICT的調查,在2016年以IoT設備為主的入侵,占全日本網路攻擊的三分之二,因此奧運前夕,特別針對日本國內2億多個IP進行安全測試,從路由器和網路攝影機開始,民眾家中與企業的網路設備,也會在調查名單中。
日本政府利用公權力登入IoT設備,引發民怨,民眾認為單純傳簡訊警告也能有同樣效果。但日本政府認為駭客利用預設密碼或簡易密碼的裝置,建立了物聯網的殭屍網路(botnet),許多用戶根本不知道自己的帳戶已被有心人士使用,甚至大多數用戶也不知道如何更改密碼,另外有些設備有秘密的後門帳號,假若硬體沒有更新,帳號也無法刪除。除了日本政府的強行介入,民間團體也動起來,針對IoT產品推出安全認證,從一顆星到三顆星,最終希望日本的所有產品,最起碼都要有一顆星的安全標準,預計「星級認證」將在四月上路。
由日本國內超過107個製造商與大學研究機構組成的「重要生活機器連接安全協議會」(重要生活機器連携セキュリティ協議会),將IoT產品的網路安全性分為三等級:
1.一星:最低限度的防護,不問產品種類,使用初期最起碼能對用戶發出通知,要求更換密碼。
2.二星:滿足一星條件,根據產品種類,制定安全標準。
3.三星:滿足一、二星條件,同一個產品種類內,根據每一個不同的商品,制定安全標準。二、三星的認證由各企業的判斷獨自設定,協議會表示目前仍在彙整中,未來以日本「唯一標準」為目標。
《企業實務上,筆者觀點》
你能想像有時MIS面對最大的問題,不一定是在網路管理上面,可能是你的頂頭上司,或是你的老闆,很多老闆根本是不懂電腦的一群,簡單的說,有些老闆聽到又要採購硬碟,要擴充伺服器,或者說要外包防火牆、防毒軟體等等,老闆通常都是眉頭一皺,直接回覆,有必要嗎?
當然,此時如果平常跟財會部門處的不好,或是得罪的了不該得罪的人,此時,馬上會補上一刀,應該更明確的說,補上好幾刀,我們MIS常常會來訴苦,報告長官,我們做資安,為了要做好你要求的資通安全,我們不得不加購設備,可是其他部門都拿來存放電影、連續劇,我們也不敢刪除他們的檔案,你又來追殺,我們除了要負責防範駭客,還要負責被內部人相害,老闆甚麼也不懂,只要有人一有意見,剛提的議案,馬上就被砍一半,但是外面物價高漲,他們這一砍下去,我們又不敢反擊,一有意見,明年提預算,年底又被捕一刀報仇,那我們應該要怎麼做?
筆者建議是,欲擒故縱吧。MIS有沒有甚麼東西,能夠讓老闆願意花點錢來搞資安?
你的老闆本來就不太用電腦,進辦公室點完表單,簽完很多文件,已經算是做完內部的工作了,他還要負責跟客戶應酬,為了養活大家,他能簽核表單就已經很好了,你總不能一直跟他說,某某主管機關要執行甚麼,他會覺得,甚麼資安?你根本只是來要錢的,不是真的來做事的,今天要擴充甚麼,明天要防堵甚麼,今天給你了,明天又會來要,每天看公司裡面的內勤人員都在偷看影片,你怎麼不好好發揮一下你的資安呢? 你老闆永遠不知道,如果不給內勤中午看個韓劇、電影,之後MIS就會發現,請款變得無比困難,而且天天被盤問….
看了很多技術,很多資訊之後,唯一全公司能了解資安的重要,除了稽核部門,大概也只剩資訊部門,畢竟被稽核追殺,所以不得不了解。滿滿的無奈就是沒處發洩。
稽核部門是多少能體會這種痛苦,但是,如果又不小心得罪稽核,這下子MIS部門可能真的生不如死了。
是以MIS最好還是能夠利用些現實狀況轉個彎來告訴老闆,你們不是只是為了主管單位需要的,拿捏上就是告訴老闆,我們可以做,也可以不做,可以買也可以不買,做的好處在哪?不做的下場會怎樣?買的好處在哪?不買的下場會如何?如果MIS無法在第一時間要到預算,那也無妨,跟其他單位合作,找機會再提議案,可能你已經知道會計部門中午休息,就是要看韓劇,那麼只好先告訴那些不懂資訊的會計們,如果你們想看韓劇,大家要合作提議,因為COPY來的影片也許有病毒危害,加上磁碟空間不足,我們是否能合作提議購買一些設備。
也許第二次提議可能又被否決,此時,還是不能放棄,MIS掌握了全公司的資料庫跟主機,此時,就要開始加強資安宣導,在老闆最顯眼的地方,貼上一幅大大的病毒感染新聞,字體300以上,讓老闆進來簽表單時,一抬頭就看到可怕的「想哭病毒」,那麼機率又增加了一些。
事情總有轉機,在對老闆不斷的製造恐怖情境之後,加上跟其他部門建立友善的氣氛之後,大家都有了共識之後,一定會為了資安的目標全力邁進的。