資安戰爭三十六計之第32計：空城計

第 11 屆 iThome 鐵人賽

Security

資安戰爭三十六計系列第 32 篇

11th鐵人賽

彭偉鎧

2019-10-18 13:32:35

1598 瀏覽

《原文注釋》：「虛者虛之，疑中生疑；剛柔之際，奇而復奇。」

《原文解析》：

(1)虚者虚之，疑中生疑：空虛的就讓它空虛，使他在疑惑中更加產生疑惑。
(2)剛柔之際，奇而復奇：使剛與柔相互交會，沒有災難，並產生奇妙而又奇特的功效。

《出處》：

故事源自《三國演義》。三國時期，諸葛亮因錯用馬謖而失掉戰略要地街亭，司馬懿乘勢引大軍15萬向諸葛亮所在的西城蜂擁而來。當時，諸葛亮身邊沒有大將，只有一班文官，所帶領的五千軍隊，也有一半運糧草去了，只剩2500名士兵在城裡。眾人聽到司馬懿帶兵前來的消息都大驚失色。諸葛亮登城樓觀望後，於是，傳令把所有的旌旗都藏起來，士兵原地不動，如果有私自外出以及大聲喧嘩的，立即斬首。又叫士兵把四個城門打開，每個城門之上派20名士兵扮成百姓模樣，灑水掃街。諸葛亮自己披上鶴氅，戴上高高的綸巾，領著兩個小書童，帶上一把琴，到城上望敵樓前憑欄坐下，燃起香，然後慢慢彈起琴來。

司馬懿的先頭部隊到達城下，見了這種氣勢，都不敢輕易入城，便急忙返回報告司馬懿。司馬懿聽後，笑著說：『這怎麼可能呢?』於是便令三軍停下，自己飛馬前去觀看。離城不遠，他果然看見諸葛亮端坐在城樓上，笑容可掬，正在焚香彈琴。左面一個書童，手捧寶劍；右面也有一個書童，手裡拿著拂塵。城門裡外，20多個百姓模樣的人在低頭灑掃，旁若無人。司馬懿看後，疑惑不已，便來到中軍，令後軍充作前軍，前軍作後軍撤退。他的二子司馬昭說：『莫非是諸葛亮家中無兵，所以故意弄出這個樣子來?父親您為什麼要退兵呢？』司馬懿說：『諸葛亮一生謹慎，不曾冒險。現在城門大開，裡面必有埋伏，我軍如果進去，正好中了他們的計。還是快快撤退吧！』於是各路兵馬都退了回去。

《資安戰運用實例》：

銓敘部公務員個資外洩風暴愈滾愈大！由美英等國組成的情報交換網「5眼聯盟」日前輾轉通知台灣這起重大資安事件後，經行政院緊急調查，發現包括國安局、軍情局、調查局、警政署、檢察、海巡、政風及憲兵等8大情治系統個資全都流出。
令人驚訝的是，連統籌國內情報工作的龍頭國安局高官都不能倖免，且PO出我公務員個資的帳號已確認來自中國，顯示中國早在馬政府時代就已掌握該份機密檔案，行政院資通安全會報緊急危機處理，除鎖定銓敘部外洩的電腦主機，循線追查是否有內鬼或駭客入侵，還透過情報交換系統希望撤下刊登在美國的網頁內容。

原文請參考：《鏡周刊--【情報員個資洩光光1~6】電腦主機遭植入木馬　國安8大情治人員個資全被偷光》：
https://www.mirrormedia.mg/story/20190702inv010/
https://www.mirrormedia.mg/story/20190702inv011/
https://www.mirrormedia.mg/story/20190702inv012/
https://www.mirrormedia.mg/story/20190702inv013/
https://www.mirrormedia.mg/story/20190702inv014/
https://www.mirrormedia.mg/story/20190702inv015/

《企業實務上，筆者觀點》

空城計是大家最熟悉的一個三國演義的故事之一，那麼空城計主要是諸葛亮這個角色，因為主角親自出馬，加上他過去的經驗值，所以得以演出這場精彩的退敵之戰。筆者就針對選角這個問題，來探討一下資安長(CISO)的條件有哪些？

筆者從台灣大學計算機中心裡面，看了台大轉貼「CIO IT經理人」雜誌 2019年2月號的文章，對於資安長的解釋及條件要求，甚至連薪資也有做說明，相關聯結如下：

http://www.cc.ntu.edu.tw/chinese/epaper/0048/20190320_4811.html

看完好像不是那麼簡單，不過，也不要把他想的太難，很多能夠有資格坐上資安長的位置的人，筆者歸納成三點看法：不停學習的熱情、經驗累積、危機處理。

當然站在科學角度，前題還是要設定好的，否則就沒有科學的依據，筆者倒是很認同Palo Alto Networks亞太區安全長Kevin O'Leary，這位歷史老師轉成資安長的一個看法：零信任!

有興趣可以看以下這篇報導：https://www.bnext.com.tw/article/52784/cybersecurity-history-paloaltonetworks

今年參賽者之一的竹風之翼(SunAllen先生戲稱他為被資訊耽誤的歷史學家)也有提到O'Leary。

零信任的說法是比較直白一點的表達方式，比較科學的說法應該說，要抱持懷疑的態度，尤其到了這個進入資安的時代，除非你完全不上網，否則要查一個人的資料，基本上，還是不難的，即使你不上網，還是會有認識的人，跟你的人際網路相連的，結果還是有可能別人洩漏你的資料的。

談完基本假設，接著來說明，學習的熱情跟經驗累積這兩點，是可以透過學習跟時間累積出來的，只要有熱情，要在這兩點有所突破，基本上都不是太難。比較困難的，就是危機處理能力，很多人是認為要百分之百的準備好，才有辦法解決問題，然而實際上，很多不確定因素會一直出現，所以沒有人敢誇口能夠有100%的完美結局，所以，隨時能解決問題跟危機處理的能力，就很重要了，而這種能力，跟人格特質，都要很長期的觀察與測試，才能知道是否具備，在資安領域中，如果要達到A+，那麼這個危機處理能力，最好能夠有反擊的能力，換句話說，有『逆轉勝』的危機處理能力，這樣才是所謂的真正具有領導統馭的優秀資安人才。，不過，這類的人，實在是萬中選一，不容易找到的。