Skip to main content
Surveillance
Self-Defense

< Basics

保护数据安全

最后更新: July 22, 2024

This page was translated from English. The English version may be more up-to-date.

您的计算机(包括笔记本电脑、手机、平板电脑和其他设备)上携带着大量数据。您的设备上有很多需要保护的内容,例如您的交际网络、私人通信、财务和医疗文件、照片等等。

您的设备可能被海关或执法部门扣押、遗落在咖啡店被人捡到、甚至被闯进家里的盗贼偷走——一旦落入他人之手,您的数据就可能很快被复制。不幸的是,如果设备本身被扣押,用密码、PIN 码或生物识别技术锁住设备也许并不能保护您的数据。根据设备类型和数据储存方式,此类锁定方式可能被轻松绕过。

话虽如此,您还是可以让偷走设备的人不那么容易窥探到其中的秘密。以下是一些有助于保护数据安全的方法。

对数据加密 anchor link

如果使用加密,对方需要同时取得您的设备和密码(或者设法得到您的生物信息,例如面容或指纹)才能破解被加密的数据。因此,最安全的做法是加密所有数据,而不是只加密几个文件夹。大部分智能手机和计算机提供完整的全盘加密功能。

智能手机和平板电脑:

  • 安卓设备提供全盘加密,较新的设备可以在首次设置设备时进行,而所有设备都可以之后在“安全”设置中进行。较旧的设备不一定默认打开这个选项,所以最好在“安全”设置中确认。
  • 苹果设备(例如 iPhone 和 iPad)将全盘加密称为“数据保护”,在您设置设备的过程中设置密码时默认打开。苹果设备还提供“高级数据保护”,将保护范围扩展到您储存在 iCloud 中的数据。这里是相关的设置指南

计算机:

大部分操作系统(包括 Windows、macOS 和常用的 Linux 发行版)都具有某种形式的全盘加密功能。请参考我们的指南,了解如何在您的操作系统上设置全盘加密

请注意,如果是 Windows 和 macOS,分别必须信任微软和苹果公司。如果您担心被可能能获取秘密工具或后门的人监视,那么请考虑针对安全攻击进行过强化的开源操作系统,例如TailsQubes OS。或者,考虑安装另一个磁盘加密软件 Veracrypt 来加密硬盘。

请记住:不论您的设备说得多么天花乱坠,加密的安全等级只和密码一样高。如果对方取得了您的设备,他们总是能破解您的密码。要创建一个安全性强而且能记住的密码,有一个有效方法是使用骰子单词表来随机选择单词。用这些单词组成您的“口令”。“口令”是指一种较长的密码,可提高安全性。对于磁盘加密,我们建议至少选择六个单词。请查看我们的“创建安全性强的密码”指南,了解更多信息。

尽管如此,加密虽然有助于防止他人随意访问,但对于高度机密的数据,您还是应该将它隐藏好,以防对手的物理访问,或者单独存储在更安全的设备上。

创建安全设备 anchor link

维持安全的环境不容易。最好的情况是,您要改变密码、习惯、可能还有您在主要计算机或设备上使用的软件。最坏的情况是,您要不断思考机密信息有没有泄露或您有没有使用不安全的做法。即使知道问题所在,您可能还是无法部署解决方案,因为有时您的通信对象采用的数字安全措施不够安全。例如,同事可能让您打开他们发送的电子邮件附件,而您知道攻击者可能会冒充他们给您发送恶意软件。

那怎么办呢?

请考虑将重要数据和通信单独存储在更安全的设备里。您可以使用安全设备保存机密数据的主要副本。只偶尔使用这个设备,并在使用时有意识地更加小心谨慎。如果您需要打开附件,或者使用不安全的软件,请使用另一台机器。

增加一台安全的计算机可能没有您想的那么昂贵。记住:这大概率不会是您日常使用的机器。这台计算机很少使用并且只运行几个程序,所以不需要特别快或者特别新。您可以买一台旧的上网本,价格只有一台新款笔记本电脑或手机的几分之一。比起较新的型号,旧一些的机器还有一个好处,就是 Tails 等安全软件更有可能顺利运行。

有些常规建议基本上都是对的:购买设备或者操作系统时,通过软件更新使其保持最新状态。更新通常会修复旧代码中容易被攻击者利用的安全问题。请注意,有些旧的操作系统可能不再受官方支持,连安全更新都不会有。

在设置安全计算机时,有哪些措施可以提高其安全性? anchor link

  1. 藏好设备:将其存放在您能看出有没有遭到破坏的地方,例如上锁的柜子(不要与他人讨论这个位置)。
  2. 加密电脑硬盘:如上文所述,使用安全性强的口令,那么即使设备被盗,只要没有口令,数据还是无法被读取。
  3. 安装注重隐私和安全的操作系统,例如 TailsQubes:虽然这两个都和您平时惯用的操作系统截然不同,但它们只是用来储存、编辑、写入机密信息,不需要在上面进行所有的日常活动。
  4. 设备不联网:毋庸置疑,不想受到互联网攻击或者线上监视,最好的方法是永不联网。确保安全设备决不连接到本地网络或 Wi-Fi,只用 USB 驱动器或 DVD 等物理传输媒体将文件复制到这台机器上。在网络安全中,这叫做在计算机和其他东西之间形成“气隙”。虽然极端,但如果您想保护一些极少访问但绝不想丢失的数据(例如加密密钥、密码清单、他人托付给您的隐私数据备份)时,可以选择这种方案。或者,如果您只需要储存敏感数据,更简单的方法是使用加密的 USB 密钥并将其藏好。
  5. 不要登录常用的账号:如果安全设备联网了,则创建单独的网络或电子邮件账号用于在这台设备上通信,并使用 Tor(查看针对 LinuxmacOSWindows智能手机的指南)向这些服务隐藏您的 IP 地址。如果有人选择用恶意软件专门针对您的身份,或者只是拦截您的通信,单独的账号和 Tor 有助于切断您的身份与这台机器之间的联系。

虽然用一台安全设备来存放重要的机密信息有助于保护这些信息,但这也形成了一个明显的目标。而且如果这台机器被毁,您有可能失去唯一的数据副本。如果您丢失所有数据能令对手获益,那就不要只存在一个地方——不论这个地方有多安全。加密一份副本,然后保存在其他地方。

参考安全机器的做法,我们可以换一种思路——准备一台不安全的机器:只有去危险的地方或者要进行有风险的操作时才会使用这台设备。例如,许多记者和活动家会在旅行时随身携带一台基础的上网本。这台计算机上没有任何文件或常用联系人或电子邮件信息,如果被没收或者扫描,损失也不大。您可以将这条策略应用于手机。如果您平时使用智能手机,则可以考虑购买一台廉价的一次性电话,用于在旅途中进行特定通信。