借《孙子兵法》保护企业安全

早在1978年，加利福尼亚的Security Pacific银行因受一个员工的诡计诱骗而将钱汇入其在瑞士银行的户头，损失了1000万美金。而前段时间，HP公司又因调查“董事会向主要媒体泄露消息”的事件而爆出巨大丑闻。该公司雇用私人调查员来对付电话公司。通过伪称是董事会的相关成员，私人调查员向电话公司要求获取公司秘密，该成员的电话通话记录，并最终得到了这些信息。

这些事件有些共同点。它们都属于因受到攻击而导致财产受损，无论该攻击是来自一把枪或是一台电脑。在具体个例中，财产的损失是因为有人受骗，有人不遵守规程，或者有人忽视了安全措施。而攻击者用于使公司职员吐露机密信息，或执行某些行为危及公司安全的方法，则被称为“托辞学”或“社会工程学”。而对“社会工程学”，安全顾问Kevin Mitnick给出的定义是：“诱使人们完成来自陌生人的指令，而该陌生人指令在正常情况下人们不会听从”（Kevin Mitnick本身是一个著名的计算机黑客，后来成立了自己的安全公司）。

对今天的公司来说，“社会工程学”提出了一个严峻的挑战。因为数据的损失不仅会伤害一个公司的竞争力，同时也可能会导致公司负上法律责任，或导致公司背负巨大的负面社会影响。不幸的是，即使是先进的硬件和软件所组成的安全系统对此依旧会败下阵来，而败阵的关键却出在公司员工的身上。

这个问题揭示了当公司和他们的员工遇到来自陌生人（可能是合法的正常人，也可能是社会工程学的攻击者）的请求时所必须处理的，进退两难的局面。本着“服务客户”或“柔和可亲”的原则，她们可能会应允每一个请求——但是这么做，他们就等于给黑客偷取贵重信息敞开了大门。

好消息是，通过学习和训练，公司雇员可以更好的抵御社会工程学的攻击。

《孙子兵法》的经验

2000年前，中国的军事策略大师孙子写出了他的经典著作《孙子兵法》,虽然这本书非常古老，但它至今还备受人们推崇。实际上，这本书对于如何抵御和反击“社会工程学”有非常中肯的建议。在孙子提出的众多兵法法则中，有三条非常贴合我们的需求：

* 兵不厌诈
* 知己知彼，百战百胜。
* 制人而不制于人

下面让我们来仔细的研究一下这些法则，并依据每条法则提出一些更具操作性的规则或章程。