保护你的敏感信息

更新13 March 2024

如果侵入者设法获得了你的设备，他们或许能够读取和改写你的数据。为了防止这些可能性，我们时刻都需要多几层防范措施。全盘加密你的设备以及加密设备中的文件是其中的重要一环。

加密是一种软件通过数学算法来打乱你信息的方式，只有你自己用解密的钥匙（采取密码或密钥的形式）才能破解读取其中的内容。所以，加密你的设备如同把你的信息放进保险柜里，保险柜的密码只有你自己知道。

按照下列步骤保护你设备上的数据。

请考虑把旧的数据删除

了解一下在你的国家或地区加密是否被视为非法或可疑的举动

如果你所在的国家或者你将要前往的国家没有将加密定为非法，你可以直接跳到想一想是否需要全盘加密你的设备的部分。

如果加密在你所在国家属于违法，请考虑以下替换选项

只保存不敏感的信息

• See Consider deleting old data instead of storing it to learn why it's a good idea to delete data that you don't need.
• 阅读销毁敏感信息来了解怎样安全进行这项操作。

将信息保存在加密的云服务账号里

• 根据你的潜在威胁，想一想加密的云服务是否是明智的选择。尽管这些服务加密保护你的数据，并且将你的数据储存在攻击者可能难以侵入的服务器上，然而，一旦攻击者成功侵入这些服务器，由于你无从得知，他们会有更充裕的时间来破解你的数据。

使用密语系统

• 正常保存你的文件，但是请使用密语来标记敏感的名称、地点、活动，等等。

将信息保存在加密的移动硬盘上

• 你可以不在电脑中保存敏感信息，而是将其保存在U盘或移动硬盘上。有关如何全盘加密你的存储设备的更多内容请阅读考虑加密你的外部存储设备章节。

• 需注意的是，外部设备通常比电脑更容易丢失或被收缴，所以，将敏感信息保存在外部设备上也有风险。当需要加密存储数据于这些外部设备时，请确保使用难以猜测或攻破的强密码。了解如何创建强密码，请阅读创建与保存强密码章节。

请考虑加密你的整个设备

• 注意，全盘加密（FDE）只有当你的设备完全关机时才管用，在设备的睡眠模式下（又叫做“注销”或“休眠”），全盘加密并不管用。如果你的设备没有完全关机，一旦有人获取了你的设备，他们就会更容易读取或改写你的文件和通信。

安卓设备

• 大部分安卓10系统及以上的设备要求使用基于文件的加密。

  检查的方法是，调出菜单找到系统设置>安全>加密和身份验证信息，选择加密或加密手机。请注意，不同手机的设置选项可能有不同的名字、在菜单的不同位置。

iOS设备

• 启用iOS设备时，当你设置解锁密码后，设备就会默认启用加密。

Linux设备

• 你只能在安装Linus系统时配置全盘加密，如果你的电脑没有启用FDE，你可能需要重新安装系统。在重新安装之前，请：

  • 备份你的所有数据。因为一旦你重新安装操作系统，此前保存的所有数据都会被覆盖。
  • 确保你的电脑连接到电源，以防安装过程中电脑关机。
  • 安装过程中时刻保持网络连接，这样你才可以获得最新的Linux系统更新。如果你没有连接到网络，安装过程中会询问你连接可用的网络。

• 如果要安装Ubuntu，请阅读Ubuntu的官方安装教程。

• 你需要一个启动（bootable）U盘来进行安装。

  • 选择适合你设备的Ubuntu指南来创建启动U盘：
    • 在Windows上设置启动U盘
    • 在Mac OS X上设置启动U盘
    • 在Ubuntu上设置启动U盘

macOS设备

• 启用文件保险箱（FileVault）全盘加密你的电脑。

Windows设备

你可以使用BitLocker来全盘加密你的Windows电脑。如果你的设备可以运行Windows 10或11的专业版、企业版，或教育版，你可以使用系统内置的设备加密系统。

• 有关BitLocker加密Windows电脑的更多内容，阅读Windows的官方指南
  • 如需更多安全支持，阅读启用预启动BitLocker PIN码。
• 为旧型号的Windows设备加密
  • 如果你遇到错误消息显示“该设备无法使用受信任的平台模块”，这意味着你的电脑没有进行加密操作需要使用的受信任的平台模块（TPM）芯片。但是，即使缺乏这个模块的芯片，按照下列操作配置BitLocker也可以加密电脑：
    1. 启动电脑。输入【gpedit.msc】，然后点击回车键。在新窗口中，双击操作系统驱动。
    2. 在这个窗口右手边的菜单栏里双击启动时要求额外的身份验证，一个新的窗口会弹出来。（注意：还有一个选项是“启动时要求额外的身份验证（Windows Server 2008和Windows Vista）”，_不要_选择这个选项。）
    3. 选择启用。请确保允许BitLocker不使用兼容的TPM（需要密码或实体U盘密钥）是开启的状态，然后点击【确定】。
    4. 关闭本地组策略编辑器窗口。
    5. 最后，你可以开启设备加密。

请考虑加密你的整个外部存储设备

• 将敏感信息存储在U盘或移动硬盘等设备上也可以保护你最重要的数据不被搜查你电脑的攻击者获得。
• 注意，外部设备通常比电脑更容易丢失或被收缴，所以，请确保使用难以被猜测或破解的强密码来进行加密。阅读创建与保存强密码了解如何创建强密码。
• On desktops and laptops, your device may have built-in encryption options for external storage devices. Alternatively, you can use VeraCrypt to activate this additional layer of protection.

Linux设备、macOS设备，和Windows设备

不管你使用的是哪种操作系统，你都可以使用VeraCrypt来加密外部存储设备保护敏感文件。你可以选择加密外部设备硬盘的某一分区或整个硬盘。

• 下载VeraCrypt
• 如何使用VeraCrypt
• 想要了解如何使用VeraCrypt全盘加密你的外部存储设备，请参考Lifewire的文章《如何加密闪存盘》
• 请考虑在移动模式下使用VeraCrypt，这样以来，任何搜查你电脑的人都无法发现你在使用VeraCrypt。

macOS设备

在macOS系统中，你可以使用内置的磁盘工具来加密你的外部存储设备。需注意的是，如果你选择了这一方案，加密后的设备只能通过macOS访问。

• 了解如何在“磁盘工具”中使用密码加密和保护储存设备。

Windows设备

在Windows系统中，你可以使用内置的Bitlocker（仅限Windows10或11的专业版、企业版，以及教育版）来加密你的外部存储设备。需注意的是，如果你选择了这一方案，加密后的设备只能通过Windows系统访问。

• 了解如何使用Bitlocker加密外部存储设备。

Tails系统

Tails是一个通过U盘运行的操作系统，你可以将U盘连接在你的电脑上运行Tails。它时刻使用Tor来保护你的网络连接，并且关机后自动删除所有历史记录，不会在你的电脑上留下任何痕迹。此外，你还可以在U盘中创建一个加密分区来存储敏感信息，即使你遗失了这个U盘，或被收缴，任何人也无法获得加密分区中的信息。

• 了解更多有关Tails的内容。
• 了解更多有关Tails持久性存储的内容。

请考虑只加密特定的敏感文件

On desktops and laptops, your device may have built-in encryption options that offer additional protection for specific files. Alternatively, you can use Cryptomator to activate this additional layer of protection on any operating system, including mobile devices. Another option to encrypt your sensitive data on computers is VeraCrypt, which also makes it possible to hide your encrypted folder.

Microsoft Windows, Mac OS, GNU/Linux, Android 和 iOS 兼容程序

不管你是否需要加密电脑或移动设备上的文件，你都可以使用免费的开源应用程序Cryptomator，它是专门被开发用以保护你上传到在线存储平台的文件的，但也可以用来加密你设备上的文件。

阅读Cryptomator的官方使用说明，特别是电脑版入门指南。

Windows设备

• 如何在Windows10中加密文件
• 如何在Windows 11中加密文件

macOS设备

• 在macOS系统中，你可以通过内置的“磁盘工具”创建安全磁盘映像来存储保护单个文件。

Linux设备、macOS设备，和Windows设备

• 你可以使用VeraCrypt建立加密文件保管箱来存储保护单个文件。

• 下载VeraCrypt

• 如何使用VeraCrypt

请考虑是否建立一个隐藏分区存储文件

保护你的加密文件夹或分区

卸载并断开加密文件夹或分区的连接

• 当你的VeraCrypt文件夹或分区处于“挂载”状态（这时你可以随时访问硬盘里的内容），你的数据有可能易受风险。当你不需要读取或修改文件夹或分区内的文件时，请将该文件夹或分区卸载。
• 如果你的加密分区或文件夹在U盘或外置硬盘上，请记住，单只是断开外部存储设备的连接并不能让加密分区立刻在系统里消失。不按程序断开连接还可能损坏存储设备中的数据。你需要先卸载分区或文件夹，然后在操作系统中选择弹出硬盘驱动，最后再将设备从电脑上拔出。注意，卸载分区之前，需要关闭这个分区内的所有文件。如果你正在编辑一个文档或图片，请先关闭文件或使用文件的程序，再卸载分区。反复练习几次直至熟练，以应对紧急情况的发生。

在以下所有情况中，确保卸载加密文件夹或分区并断开连接：

• 在你离开自己设备之前（不论你需要离开多久）。这可以确保在你离开期间，物理或远程入侵无法获得你的敏感文件。
• 在你将电脑调整到睡眠模式（又叫做“注销”或“休眠”）之前，不管你是要选择休眠的选项，还是要合上笔记本电脑。
• 在你允许他人接触你的电脑之前。当你带着笔记本电脑过安检或出入境时，请务必断开所有加密分区的连接，将电脑彻底关机。
• 在你往电脑上插入不受信的U盘或外接存储设备之前，哪怕是来自同事或朋友的设备。

保护你的设备不受恶意软件攻击

加密只有在无人监视的情况下才能保护你的文件。比如说，你输入解密密码时要确保不被监视。像间谍软件一类的恶意软件可以削弱你对文件和通信采取的任何保护措施。所以，你还需要按照盒中安全手册的如何防范恶意软件部分中的指导来提升设备的健康度。

不要在不受信的设备上访问你的加密文件夹或分区

• 对你不利的人也许会在你无法掌握的设备上（如网咖的电脑）安装恶意代码进行窃听，他们会用恶意代码窃取你的密码，入侵你的加密硬盘或设备上其它敏感信息。

使用你信任的供货商和维修商

• 如果你购买的是二手设备，请你信任的专家彻底清除上面的数据并检查是否有恶意代码。
• 如果你认为有人具有一定资源和动机针对你，能够在你想要购买的设备上提前安装部署恶意代码，请谨慎考虑换到另一家你可以信任的卖家。
• 如果你的设备需要维修，请务必找你信任的维修商店或个人。