数字安全

指南说明

1. 思考您持有的不同类型的信息，并努力去深入了解它们对您的工作带来的价值以及攻击者在访问它们时可能对您和他人造成的伤害。采取额外措施来保护这些具有最大价值或潜在危害的资产。

现实情况是您不可能让自己的所有信息都受到天衣无缝的保护，不受丝毫可能的危害，因此您必须分清轻重缓急。您应该依据风险系统性地行事。您应该考虑信息对您工作的价值，以及信息受到损害或丢失可能对您和他人造成的潜在危害。您还可能要考虑实现价值或发生特定危害的可能性。这提供了一个合理的基础来确定您应该优先把注意力放在哪里。一般情况下，可能要将低价值低危害的信息归档，删除低价值高危害的信息，备份高价值低危害的信息。然后，您可以首先专注于为同时具有高价值和高危害的信息制定安全措施。

2. 如果必须分享敏感信息，则采取与同事面对面交流的方式，或使用允许端到端加密和消息自动消失功能的通信工具。

当您与他人共享信息时，您的敌对者也有更大的机会访问它——无论是在发送时、传输过程中还是接收者拥有它之后。您可以通过面对面交流敏感信息来减少传输过程中成功拦截的机会（注意您的环境），或者，如果这不可行，可通过Signal和ProtonMail等使用端到端加密（E2EE）的工具。

当您使用端到端加密发送消息或电子邮件时，在通过您和收件人的提供商传输之前，消息或电子邮件会在您的设备上（使用您的私钥）签名并（使用收件人的公钥）转换为密文形式，并在收件人的设备上（使用您的公钥）检查签名，并（使用他们的私钥）将消息或电子邮件解密为可读文本。不下非常人所能及的功夫，提供商或任何试图在传输过程中拦截文本的人都将无法阅读所传输的消息。

端到端加密仍然存在风险。您的身份和收件人的身份（以及你们两人之间的联系）将不会被掩盖，因为系统需要正确地在你们之间传送消息或电子邮件。电子邮件的主题行也不会被加密。此外，虽然消息或电子邮件在传输过程中可能是安全的，但如果您的设备或收件人的设备遭到破坏或被扣押（消息自动消失可能会降低这种风险，但副本可能仍然存在），它们仍然不堪一击。此外，使用端到端加密本身可能会引起监管部门怀疑，在您所在国家/地区禁止使用此类技术时尤其如此。

请记住，就像与您之前素未谋面的人进行面对面交流一样，您必须确认交流的另一端的人很可能就是您认为的人，而不是您的敌对者。不同的工具提供了不同的方法来做到这一点；例如，Signal允许您面对面地或通过不同的通信渠道相互验证唯一的安全编号，以帮助确保不会发生中间人攻击。

3. 确保您使用的任何计算机或移动设备：

a. 未经授权的人员无法亲身靠近。

亲身靠近您的设备是敌对者可以访问您的信息的最简单方法之一。例如，他们然后可以完全复制您的硬盘，或安装键盘记录器一类的物理监控设备。

在防止此类访问方面，没有硬性规定。例如，带上所有设备带参加抗议活动可能不切实际，并且会增加它们被警察没收的风险。但是，将它们留在家中会让敌对者有机会在您不知情的情况下对它们做手脚。您应该考虑您的情况以及您敌对者可能的意图和能力，并在每种情况下作出能够作出的最好判断。

b. 需要密码或解锁码才能解锁。

必须使用密码或解锁码来保护您设备上的帐户，密码要足够复杂，以防止敌对者在合理的时间范围内猜测它们。您还可以考虑实施自动擦除功能，如果密码输入错误一定次数，设备将删除其所有数据的加密密钥。但请注意意外触发这项功能而丢失数据的风险。

现代设备通常还允许一些生物特征输入来解锁设备，例如指纹或面部识别。虽然这可能很有用，但请注意，您很容易被强迫以这种方式解锁设备，而无需交出密码或密码。设备制造商已经意识到这一问题，并在需要时实施了一些简单的方法来在您必要时快速禁用生物识别访问。

您应该注意，启用密码或解锁码可能只会阻止敌对者登录您的用户帐户——它可能无法保护实际数据。攻击者仍然可以获取存储介质的副本，完全不需要使用密码。为了解决这个问题，您应该确保启用全盘加密。这对于默认情况下可能未实施全盘加密的笔记本电脑和台式机至关重要。

c. 操作系统和所有已安装的应用/软件已升级至最新可用版本。

几乎每款在设备上运行的软件都为攻击提供了潜在的途径。因此，应该对安装设备上的软件加以限制，只安装您实际需要的软件。您还应该经常（自动）检查操作系统和任何已安装软件的更新并尽快应用它们，因为它们可能包含重要的安全补丁。

请注意，攻击者可以尝试通过虚假警报利用此建议（通过非官方渠道）安装更新，从而在您的设备上安装恶意软件。您应该将任何警报视为您应该以正常方式为您的操作系统执行更新的指示，并且，如果更新其实不可用，那么您可能已成为企图发动黑客攻击的人瞄上。

d. 启用全盘加密（如在您所在的国家/地区合法）。

全盘加密（FDE）几乎可以加密设备的整个硬盘驱动器（或外部存储介质，例如U盘），包括操作系统和您的数据。这意味着，如果您的设备丢失、被盗或被没收，敌对者将无法仅通过获取存储副本来访问您的数据。在启用全盘加密时使用唯一性的强密码（而不是用于登录设备的密码）至关重要。但是，请注意，如果您忘记了这个密码，您可能无法访问自己的数据。还请注意，如果强度不高的用户帐户登录密码也可以解锁FDE密钥，FDE密码再强也无济于事。用户帐户密码和FDE解密密钥之间的确切关系将取决于您的设备和操作系统。

e. 正确地安装、更新和配置杀毒软件和防火墙。

病毒是一种改变计算机运行方式的恶意代码或程序。防病毒软件传统上会扫描指示已知病毒和其他恶意软件的病毒码。为了使其有效工作，必须使用它需要查找的病毒码更新防病毒软件，并且必须将相关恶意软件写入存储设备。虽然人们已经进行了改进，通过启发式检查来对这种基于识别标志的方法加以补充，会检查程序是否存在可能表明存在新的未知病毒的可疑行为，但这还是不够可靠。

防火墙用于管理传入您的设备和传出到其他设备的连接和数据流。防火墙可以检测到恶意传入连接尝试并加以阻止。但是，自动阻止传出连接尝试不大可取，因为它们通常是由用户或合法程序发起的。攻击者可以通过向您发送病毒并诱使您激活来利用这个漏洞。激活后，恶意软件将触发与服务器的传出连接，以接收命令、其他恶意代码并传输您的数据。

与所有安全措施一样，这些限制意味着最新的防病毒软件和正确配置的防火墙都是必要的，但仅靠它们本身还不够。

f. 未Root或越狱，也未安装任何盗版软件。

许多移动设备都设置了安全限制；然而，用户对这些限制并不总是买账。例如，您可能想通过root（Android）或越狱（iOS）来规避它们，例如，将用户在设备上的权限提升到最大可用权限（Root）或取消对他们可以运行的命令的一些限制（越狱）。这会使设备处于设计人员未考虑的状态，可能会导致设备变得不稳定，安全措施受到破坏，并使其容易受到恶意软件的攻击。

g. 尽可能频繁地关机并切断电源，而非仅仅使其进入睡眠或休眠状态。

有两个关键要素决定了攻击者可以对您的信息做些什么：攻击面（空间）和攻击窗口（时间）。

攻击面由您的信息所在的所有设备、外部存储介质以及手写或打印资料组成。它还包括您和其他知道这些信息的人。已存在的信息副本越多，攻击面就越大，攻击者获得成功的机会也越大。为了对此加以限制，您可以限制您的信息所在的位置及其采用的形式。

攻击窗口是指攻击面的各个组成部分易受攻击的时间。一天后销毁的手写笔记中包含的信息仅在当天易受攻击（倘若您没有将这些信息记在脑子里）。您的设备也是如此；远程攻击者只有在设备打开并运行时才有机会对其进行攻击。通过在不使用时完全关闭设备，可以减少攻击窗口。

关闭设备还可获得额外的安全益处。病毒只能在它所利用的软件运行期间执行操作。为了绕过这个问题，攻击者会尝试在受感染的设备上获得持久性，这样设备运行时病毒就处于活动状态。通过关闭您的设备，这意味着只有能够获得持久性的更高级恶意软件才能长期有效地对付您。您还应该考虑尽可能频繁地擦除设备和重新安装所有内容，以删除大多数（但不是全部）持久性恶意软件。频繁擦除还有助于对安装设备上的软件加以限制，只安装您实际需要的软件。

4. 确保您使用的任何在线服务：

a. 需要复杂的唯一密码才可访问。

在线服务（例如云存储）可以确保您的数据在需要时始终可用。但是，因为在多个位置复制您的数据，并且数据始终打开，这样会让攻击面和攻击窗口同时增加。

因此，与使用您的设备一样，务必对每项在线服务都使用唯一的强密码。每个密码都必须是唯一的——否则，一个被盗用的帐户的密码可能会被攻击者利用来访问您使用相同密码的所有其他服务。甚至用于生成密码的任何模式对攻击者也可能有用。（您可以在Have I Being Pwned?中检查您的帐户是否在数据泄露中沦陷。）

以您可能使用的在线服务数量，使用传统建议去创建和记住许多唯一的强密码并不现实。您可以代之以1Password或LastPass等经过加密的密码管理器，来生成合适的密码和存储您的登录凭据。请注意，访问您的密码管理器数据的攻击者可能会访问您的所有在线帐户。因此，您必须确保用于登录密码管理器的密码本身复杂、唯一并且好记，并启用了双因素身份验证。由于您无法使用密码管理器本身来存储这个密码，因此您可以使用两种类似方法中的一种来手动创建一个复杂但是好记的密码。您还可以使用这些方法为您的设备用户帐户和全盘加密创建密码：

• 密码短语法：选择一组四到六个不相关的单词，您可以从中在心目中创造一个形象。然后用数字或符号替换这些单词中的一些字母（尽管避免所谓“leetspeak”的常见替换，例如用4代替A，用3代替 E）。

• 句子法：选择一个长句，您可以从中在心目中创造一个形象。从每个单词的第一个字母构造密码，然后用数字或符号替换上面的一些字母（同样要避免常见的替换）。

请注意，如果您使用指纹或面孔启用了对密码管理器的生物识别访问，这也可能允许攻击者在没有密码的情况下获得访问权限。

b. 启用了双因素身份验证（2FA/2SV）（如可用）。

双因素身份验证（2FA）是一种额外的安全措施，需要两种不同的身份验证形式才能访问某些内容。对于支持2FA的在线服务，第一个因素是您知道的（您的密码），另一个因素是您拥有的（来自验证应用的数字码）或您本身的（使用您的指纹、面部或声纹进行生物识别）。它为您的在线帐户增加了一层安全性，因为攻击者无法仅凭您的密码就可以访问您的帐户。

严格来说，当您收到短信中的数字验证码（而不是使用身份验证器应用）时，这是两步验证（2SV），因为它是发送给您的东西，而不是您拥有的东西。它很容易被拦截，如果可以选择，您应该始终选择使用身份验证器应用，例如 Authy，而不是短信。但是两步验证仍然比单独的密码保护更安全。

5. 如果通过公共或不受信任的网络上网，请使用注重隐私的VPN。

当您访问互联网时，您的互联网服务提供商（ISP）可以记录您访问的网站，并可能与当局共享信息。您可以使用Mullvad等所谓的VPN或虚拟专用网络软件，将您的互联网流量通过加密隧道从您的设备发送到VPN提供商的服务器之一，然后再发送到您在访问的网站。这将从这些网站、您的ISP和一些基于网络的监视中隐藏您的IP地址（尽管您可能仍会以其他方式被跟踪，例如设备指纹识别和网站跟踪器）。

当您通过公共或不受信任的网络（例如在咖啡馆或酒店）访问互联网时，VPN就变得格外重要。如果网络提供者是恶意的，他们可能会监视您的在线流量，甚至获取您在线帐户的密码。由于VPN提供了从您的设备到VPN提供商服务器之一的安全隧道，因此网络运营商应该无法监视您的其他在线活动。

请注意，VPN提供商或他们使用的任何第三方数据中心（及其ISP）可能会维护流量日志和其他可用于识别和/或跟踪您的数据。VPN服务器也可能位于具有大规模监视或批量收集制度的司法管辖区，他们也可能通过数据分析揭开对您和您的活动的伪装。您还应该注意，使用VPN本身可能会引发对您的警报或怀疑，并且VPN在多个国家/地区是非法的，或受到政府控制。

6. 一旦不再需要，请安全删除所有形式和版本的敏感信息，并确保其不可恢复。

当您从设备或外部存储介质中删除信息时，其有效性可能会有所不同。硬盘驱动器（HDD）可以通过将随机数据重复写入整个存储区域来基本擦除；但是，这在现代固态驱动器（SSD）上是不可能的。在SSD上，大量数据保存在备用区域中，以限制驱动器的磨损。这意味着仅靠软件可能无法安全删除包含未加密数据的存储介质；对驱动器进行适当的物理破坏可能是唯一安全的选择。如果您在设备上使用全盘加密（包括使用SSD的设备），会减少安全删除的需求，但这种需求仍然存在。

请注意，并非您的所有信息都会存储在电子设备上。您应该安全地存放任何包含敏感信息的物理介质，例如笔记本或打印件。当不再需要这条信息或如果其继续存在带来太大风险时，您应该使用横切碎纸机将其粉碎并焚烧来销毁，虽然最有效的方法因介质而异。破坏必定会导致垃圾，原始资料无法再从这些垃圾再创建出来了。切勿将敏感信息放在废物或垃圾中，因为当局经常搜查房屋和办公室的垃圾来发现文件和其他泄露信息。