保护你的敏感信息

更新21 May 2021

目录

...加载目录...

    侵入者有可能有能力通过互联网远程读取和改写你的数据。如果他们设法获得了你的设备,他们也有可能直接用你的设备读取改写你的数据。为了防止这些可能性,我们时刻都需要多几层防范措施。加密你机器上储存的文件是其中的重要一环。

    加密是一种通过数学算法用软件来打乱你信息的方式,只有你用解密的钥匙(采取密码或密钥的形式)才能破解读取其中的内容。所以,加密你的设备如同把你的信息放进保险柜里,保险柜的密码只有你自己知道。

    按照下列步骤保护你设备上的数据。

    请考虑把旧的数据删除

    了解我们推荐这样做的理由

    保存机密数据可能会增加你和你同事的风险。加密减小了这个风险,但不会令其消失。保护敏感信息的第一步是减少你需要保护的信息量。如果你没有很好的理由必须要保存一个文件或者一类信息,请将其删除。(参考如何销毁敏感信息了解如何安全地清除数据)。

    了解一下在你的国家或地区加密是否被视为非法或可疑的举动

    了解我们推荐这样做的理由

    加密在一些国家被视为非法。如果你的国家将加密视为非法,下载、安装和使用加密软件也许会被视为犯罪行为。警察、军队,和情报组织也许会用使用加密软件的行为作为借口来调查你的活动或迫害您的组织。不论你硬盘的加密分区中到底存了什么,也不论其中的内容在当地是否非法,他们都可能因为你使用了加密而怀疑你。

    因此,请查明你当地的执法部门如何看待加密,仔细考虑专门用来加密数据的工具是否适用于你的情况。

    If encryption is illegal in your region, consider the following alternatives

    只保存不敏感的信息

    使用覆盖式密码术

    • 覆盖式密码术指的是任何一种可以掩盖敏感信息、将之伪装成其它信息的的方法。这种方法意在避免引起不必要的注意。有一些工具可以帮你实施这种方法,但是只有非常小心谨慎的准备才能防止使用时出现错误,并且,如果有人调查你时掌握了这些工具的用途,你还是有风险会被定罪。

    Use a system of code words

    • 密语是覆盖式密码术的一种形式。正常保存你的文件,但是请使用密语来标记敏感的名称、地点、活动,等等。

    将信息保存在加密的移动硬盘上

    • 你可以不在电脑中保存敏感信息,而是将其保存在U盘或移动硬盘上。但是,这些移动存储设备往往比电脑更易被收缴或盗窃。所以,最好不要在未加密的移动存储设备里保存敏感信息、随身携带。

    将信息保存在加密的云服务账号里

    • 根据你可能受到的威胁,想一想使用加密的云服务是否明智,例如Tresorit。虽然这些服务加密保护你的数据,并且将你的数据储存在攻击者难以侵入的服务器上,但是一旦攻击者侵入了这些服务器,他们不仅有更多的时间可以劫持你的数据,你也更难以察觉自己的信息已被泄露。

    Consider encrypting your whole device

    • 注意,全盘加密只有当你的设备完全关机时才管用,在设备的睡眠模式下(也有叫做“注销”或“休眠”的),全盘加密并不管用。如果有人获取了你的设备,且设备没有完全关机,他们也许更容易入侵你的文件和通信。

    安卓设备

    • 大多数使用安卓6或更新版本的手机都可以加密。请调出菜单找到【系统设置】>【安全】>【加密和身份验证信息】,选择【加密】或【加密手机】。请注意,不同手机的设置选项可能有不同的名字、在菜单的不同位置。

    iOS设备

    Linux设备

    • 请使用操作系统自带的加密系统:

      • 你只能在安装Ubuntu系统时配置全盘加密,所以你可能需要重新安装系统。在重新安装之前,请:
      • 备份你的所有数据。因为一旦你重新安装Ubuntu,此前保存的所有数据都会被覆盖。
      • 确保你的电脑连接到电源,以防安装过程中电脑强制关机。
      • 安装Ubuntu的过程中保持网络连接,这样你才可以获得最新的系统更新。如果你没有连接到网络,安装过程中会询问你连接可用的网络。
      • 设置一个启动U盘。参考Ubuntu在各个设备上的操作指南:

    Mac设备

    Windows设备

    • 用操作系统内建的BitLocker加密
      • 为旧型号的Windows设备加密
      • 如果你遇到错误消息,示意”该设备无法使用受信任的平台模块”,这意味着你的电脑没有进行加密操作需要使用到的受信任的平台模块(TPM)芯片。但是,即使缺乏这个模块的芯片,按照下列操作配置BitLocker也可以加密电脑:
        • 第一步:启动电脑。输入【gpedit.msc】,然后点击回车键。在新窗口中,双击【操作系统驱动】。
        • 第二步:在这个窗口右手的菜单栏里双击【启动时要求额外的身份验证】,一个新的窗口会弹出来。(注意:还有一个选项是【启动时要求额外的身份验证(Windows Server 2008和Windows Vista)】,_不要_选择这个选项。)
        • 第三步:选择【启用】。请确保【允许BitLocker不使用兼容的TPM(需要密码或实体U盘密钥)】是开启的状态,然后点击【确定】。
        • 第四步:关闭本地组策略编辑器窗口。
        • 第五步:开启设备加密
    了解我们推荐这样做的理由

    设备如果遗失、被盗,或被收缴检查上面的文件和通信,采取措施可以降低信息泄露的风险。加密你的设备来保护你的信息。

    台式电脑和笔记本电脑会有内建的加密系统。除此以外,你也可以使用VeraCrypt为特定的文件和外接硬盘进一步进行加密保护,或者如果你认为合适,也可以使用VeraCrypt加密你的整个设备。

    请考虑加密特定的文件

    Linux设备、Mac设备,和Windows设备

    了解我们推荐这样做的理由

    有时候,设备上不敏感的信息不加密反而有用,这样一来,如果你的设备被搜查,因为可以看到上面保存了日常的文件和通信,也不会显得可疑。在这种情况下,只需加密特定的文件。

    请考虑是否建立一个隐藏分区

    了解我们推荐这样做的理由

    当你的信息加密后,的确其他人无法读取,但还是有人有可能看到这些加密信息的位置,并且会想方设法破解这些信息。对你不利的人也许会通过威胁、敲诈、审问,或是酷刑来让你就范,解锁你的加密信息。

    VeraCrypt让你有机会使用“隐藏分区”来规避这种风险。通过一个与加密密码不同的密码,你可以打开VeraCrypt的隐藏分区。即使入侵者技术高超,攻破了你未隐藏的加密文件,他们也无法证明隐藏文件的存在。

    VeraCrypt将你的加密信息伪装成不那么敏感的隐藏数据(如音乐文件或普通文档),使之不受注意。基本上,通过分析是无法鉴别一个加密分区是否包含了隐藏分区的。如果一个入侵者窃取了你的密钥,或者将你告上了法庭,又或是威胁你交出了你的密码,他们也只会得到“诱饵”,而不会看到你想要保护的信息。

    这就如同是一个带有暗格的上锁保险箱,而只有你知道你的保险箱有一个暗格。如果你受迫必须交出一些机密,如密码,这样做可以帮助你防止更多的机密被泄露。这就给了你一个机会规避潜在的危险。但是,如果仅仅是在办公室藏有保险箱都会被怀疑,那么这么做也没有太大意义。

    需要警惕调查你信息的人也许知道VeraCrypt隐藏信息的方式。即使你交出诱饵密码,他们也可能继续刨根问底。但是很多VeraCrypt的用户不会使用隐藏分区。

    你还必须确保你不会在隐藏分区打开时离开你的设备,或者不小心把隐藏分区里的文件在其他地方设置了快捷方式,从而意外泄露你的隐藏分区。

    保护你的加密硬盘

    Unmount

    • 当你的VeraCrypt分区处于“挂载”状态(这时你可以随时访问硬盘里的内容),你的数据有可能易受风险。当你不需要读取或修改分区内的文件时,请将该分区卸载。
    • 如果你的加密分区在U盘上,请记住,单单是拔出U盘并不能让加密分区立刻在系统里消失。不按程序拔出U盘还可能损坏U盘中的数据。你需要先在VeraCrypt卸载分区,然后在操作系统中选择弹出U盘,最后再将U盘从电脑上拔出。注意卸载分区之前,需要关闭这个分区内的所有文件。如果你正在编辑一个文档或图片,请先关闭文件或使用文件的程序再卸载分区。反复练习几次直至熟练,以应对紧急情况的发生。

    Disconnect the drive

    • 如果你需要离开自己的设备一段时间(不论长短),断开加密硬盘的连接防止入侵者趁你不在使用物理或远程攻击劫持你的敏感信息。
    • 如果你需要将电脑调整到睡眠模式(又叫做“注销”或“休眠”),在此之前断开加密硬盘的连接,之后再选择休眠或合上笔记本电奥。
    • 如果你需要让他人接触你的电脑,在此之前请断开加密硬盘的连接。当你带着笔记本电脑过安检或出入境时,请务必断开所有加密分区的连接,将电脑彻底关机。
    • 如果你需要在电脑上插入不受信的U盘或外接存储设备,包括家人、同事和朋友的设备,请先断开加密硬盘的连接。

    Don’t access your encrypted drive on a device you don’t trust

    • 对你不利的人也许会在你无法掌握的陌生设备上(如网咖的电脑)安装恶意代码进行窃听,他们会用恶意代码窃取你的密码,入侵你的加密硬盘或设备上其它敏感的信息。
    了解我们推荐这样做的理由

    还是参照“上锁的保险箱”的比喻,不管你的保险箱多么坚固,如果你的门忘了关,你的安全还是会大打折扣。下列步骤可以保护你的加密硬盘。

    使用你信任的供货商和维修商

    • 如果你购买的是二手设备,请你信任的专家彻底清除上面的数据并检查是否有恶意代码。
    • 如果你认为有人具有能力和动机针对你,能够在你想要购买的设备上提前安装部署恶意代码,请考虑随机挑选另一家授权供货商。
    了解我们推荐这样做的理由

    购买二手设备或将设备送修会给人一个窃取你文件的机会。很不幸,二手设备有可能会携带恶意软件或间谍软件,所以如果条件允许,最好还是购买全新的设备。有些维修商以窃听设备和拷贝贩卖设备上的信息而臭名昭著。选择维修商时一定要选择你信任。