请参看《人权捍卫者的数据安全与隐私》一书中的互联网监控与监视和回避审查章节。
FLOSS Manuals网站有如何绕过互联网审查的指引。
Sesawe网站有一个绕行工具和其他关于互联网过滤信息的列表。
由Freek编写的互联网审查百科有英语、德语和西班牙语版本。
公民实验室制作了绕过互联网审查的大众指南,正在被翻译为缅甸语、英语、法语、俄语、西班牙语和乌尔都语。
无国界记者发布了博客与网络异议人士手册的第二版,有阿拉伯语、缅甸语、汉语、英语、波斯语、法语、俄语和西班牙语版本。
全球之声的Ethan Zuckerman发布了一篇有用的指南使用 WordPress和Tor进行匿名博客写作。
-----------------------------------------------------------------------------------------
<<特别的绕行代理 up
2010年12月2日星期四
特别的绕行代理
下面几款特别的工具和代理可以帮助您避开互联网过滤。新的绕行工具会定期出现,而现有的被频繁更新,因此您应该访问“安全宝盒”网站和在延伸阅读里提及的资源,以了解更多详情。
Psiphon2是一个私密的、匿名的网页代理系统。您需要有代理服务器的网页地址(URL)和一个帐户(用户名和密码)来使用psiphon2。您可以从已有一个Psiphon 2帐户的用户那里获得邀请来创建帐户。您也可以使用本指引手册印刷版本所附带的邀请码。请参看Psiphon 用户手册。
Sesawe Hotspot Shield是一个公开的、安全的、不基于网页的免费绕行代理。您需要下载并安装来使用它。开发Hotspot Shield的公司从广告获利,所以每次使用它来访问不提供加密的网站时,您会在浏览器窗口的顶部看到一个“横幅广告”。虽然无法验证,但该公司声称会删除使用此工具的用户的IP地址,而不会保存或发送给广告商。由于Hotspot Shield基于虚拟私密网络(VPN),在您接入之后,您的整个互联网连接都会通过这个代理。如果您使用在国内被过滤了的电邮或即时通讯服务,这就很有用。您可以在AnchorFree 网站网站上对Hotspot Shield进行更多的了解。
Your-Freedom是一个私密的、安全的、不基于网页的绕行代理。它是一个免费软件工具,可以用于访问一个免费的绕行服务。您也可以通过付费来使用更快和更少限制的商业服务。您需要下载并创建帐户来使用Your-Freedom,这些都可以在Your-Freedom网站上完成。在连接到互联网时,您还需要配置您的浏览器来使用代理。您可以在Sesawe网站上学习如何进行此操作。
Peacefire维护着大量公共的、基于网页的代理,既有安全代理也有不安全的,取决于您如何访问它们。在使用Peacefire代理的时候,您必须输入HTTPS地址以建立您和代理之间的安全连接。新的代理会定期发布到一个庞大的邮件列表。您可以在Peacefire网站注册以获取更新。
..............................................................................................
Mansour: 太好了!那么我们在使用代理服务器的时候,ISP就不能看到我们在干什么,对吧?
Magda: 只要我们使用一个安全的代理,考虑每一个弹出的“安全证书警告”,那就是的,没错。要记住,一个不安全的代理仍然可以让你绕过多数互联网过滤器,但还是能让ISP窥探到你的连接,包括你所访问的页面的位置。
..............................................................................................
----------------------------------------------------------------------------------------------
<<匿名网络与基础代理服务器 up 延伸阅读>>
Psiphon2是一个私密的、匿名的网页代理系统。您需要有代理服务器的网页地址(URL)和一个帐户(用户名和密码)来使用psiphon2。您可以从已有一个Psiphon 2帐户的用户那里获得邀请来创建帐户。您也可以使用本指引手册印刷版本所附带的邀请码。请参看Psiphon 用户手册。
Sesawe Hotspot Shield是一个公开的、安全的、不基于网页的免费绕行代理。您需要下载并安装来使用它。开发Hotspot Shield的公司从广告获利,所以每次使用它来访问不提供加密的网站时,您会在浏览器窗口的顶部看到一个“横幅广告”。虽然无法验证,但该公司声称会删除使用此工具的用户的IP地址,而不会保存或发送给广告商。由于Hotspot Shield基于虚拟私密网络(VPN),在您接入之后,您的整个互联网连接都会通过这个代理。如果您使用在国内被过滤了的电邮或即时通讯服务,这就很有用。您可以在AnchorFree 网站网站上对Hotspot Shield进行更多的了解。
Your-Freedom是一个私密的、安全的、不基于网页的绕行代理。它是一个免费软件工具,可以用于访问一个免费的绕行服务。您也可以通过付费来使用更快和更少限制的商业服务。您需要下载并创建帐户来使用Your-Freedom,这些都可以在Your-Freedom网站上完成。在连接到互联网时,您还需要配置您的浏览器来使用代理。您可以在Sesawe网站上学习如何进行此操作。
Peacefire维护着大量公共的、基于网页的代理,既有安全代理也有不安全的,取决于您如何访问它们。在使用Peacefire代理的时候,您必须输入HTTPS地址以建立您和代理之间的安全连接。新的代理会定期发布到一个庞大的邮件列表。您可以在Peacefire网站注册以获取更新。
..............................................................................................
Mansour: 太好了!那么我们在使用代理服务器的时候,ISP就不能看到我们在干什么,对吧?
Magda: 只要我们使用一个安全的代理,考虑每一个弹出的“安全证书警告”,那就是的,没错。要记住,一个不安全的代理仍然可以让你绕过多数互联网过滤器,但还是能让ISP窥探到你的连接,包括你所访问的页面的位置。
..............................................................................................
----------------------------------------------------------------------------------------------
<<匿名网络与基础代理服务器 up 延伸阅读>>
匿名网络与基础代理服务器
匿名网络
匿名网络通常让您的互联网传输“来回弹跳”于多个不同的代理之间,从而隐瞒您来自哪里以及要访问什么内容。这会极大地减慢您加载网页或其他互联网服务的速度。然而,就Tor而言,它同时还提供了可靠、安全和公开的绕行手段,使您无需担心是否可以信任您的代理和您所访问网站的运行者。跟往常一样,在使用浏览器交换密码、电子邮件这些敏感信息之前,您必须确保您在使用已加密的HTTPS连接到一个安全网站。
您需要安装软件来使用Tor,您将得到一个同时提供匿名和绕行的工具。每次当您连接上Tor网络,您都选择了一条随机的路径,贯通三个安全的Tor代理。这能确保不论您的ISP还是那些代理本身都不知道您电脑的IP地址以及您所请求的互联网服务所在。您可以从Tor指南里了解更多详情。
...........................................
上手指南:查看Tor 指南并开始使用
............................................
Tor的长处之一,在于它不仅能与浏览器一起使用,还能用于不同类型的互联网软件。包括Mozilla Thunderbird 在内的电子邮件程序以及包括Pidgin在内的即时通讯程序,都可以通过Tor运作,以访问被过滤的服务和隐瞒您对这些服务的使用。
基础绕行代理
在选择一个基础绕行代理的时候,您需要考虑三个重要的问题。首先,它是一个基于网页的代理,还是会要求您更改设置或给电脑安装软件?第二,它是否安全?第三,它是私密的还是公共的?
基于网页的代理和其他代理
基于网页的代理可能是最容易使用的。它们只要求您把浏览器指向一个代理页面,输入您想查看的被过滤的网址,然后点击一个按钮。代理就会在它自己的页面内显示您所请求的内容。您可以照常点击链接,或者如果您想查看另一个网页,就往代理里输入一个新网址。您并不需要安装任何软件或更改浏览器设置,这也就是说基于网页的代理:
基于网页的代理也存在一些缺点。它们不总是正确地显示页面,很多基于网页的代理无法加载复杂的网页,包括那些以音频流和视频内容为特色的网页。还有,任何一个代理在被大量使用时都会变慢,这在使用公共的网页代理时更为明显。还有,理所当然地,基于网页的代理只能用于网页。比如说您不可以通过一个基于网页的代理来使用即时通讯软件或者电邮客户端来访问被封锁的服务。最后,安全的网页代理也只提供有限的保密性,因为它们必须经由您所访问的网站访问和修改返回给您的信息。不然的话,您点击一个链接的时候就不得不离开背后的代理,直接访问目标网站。这点在下一节里会进一步讨论。
其他类型的代理一般会要求您安装一个程序或者在您的浏览器或操作系统里配置一个外部代理地址。第一种情况下,您的绕行软件通常会提供一些开启和关闭该工具的方法,告诉您的浏览器是否去使用代理。如前面所说的,像这样的软件通常可以在一个代理被封锁后自动更换。如果您必须在您的浏览器或操作系统里配置一个外部代理地址,您要知道正确的代理地址,它在被封锁或者变得太慢而无法使用的时候也可以更改。
尽管比起基于网页的代理在使用上会稍微困难一些,这种绕行方法更可能正确显示复杂的网页,也不会在很多人开始使用某个代理服务器时很快就变慢。此外,许多不同的互联网应用软件都可以配合代理使用。例子包括浏览器的HTTP代理,电邮和聊天程序的SOCKS代理,还有可以重新引导您的所有网络流量以避开过滤的VPN代理。
安全代理与不安全的代理
在本章,一个安全的代理指的是任何能把从用户一方发起的连接进行加密的代理。一个不安全的代理也允许你绕过许多类型的过滤,但如果您的互联网连接被扫描关键词或特定的网址,它就不能用了。通过一个不安全的代理去访问一般会被加密的网站是个特别坏的主意,例如电邮帐户和银行网站。这样做的话,您可能会暴露本来被隐藏的敏感信息。还有,正如前面所提到的,不安全的代理通常比较容易被那些更新互联网过滤软件和政策的人发现和封锁。最后,免费、快速、安全的代理的存在,意味着实在没什么理由去凑合着使用一个不安全的代理。
如果您可以通过HTTPS访问一个代理页面,您就知道这个基于网页的代理是安全的。电邮帐户可能支持安全与不安全的连接,所以您应该一定要使用安全的地址。通常,在这种情况下,您需要认可一个来自浏览器的“安全证书警告”才能继续使用。后面会讨论到的Psiphon和Peacefire代理就是这种情况。这样的警告是告诉您,有人——可能是您的ISP或者黑客——可能正在监控您与代理之间的连接。虽然会有这些警告,尽可能去使用安全的代理仍然是个好主意。然而,在靠这种代理来绕行的时候,您应该避免访问安全网站、输入密码或者交换敏感资料,除非可以验证代理的SSL指纹。如果要这么做,您将需要联系代理的管理员。
Psiphon用户手册的附录C里说明了您和代理的管理员应该遵循哪些步骤,以校验代理的指纹。
不论您在访问这个代理的时候有没有看到安全证书警告,甚至不论您跟代理的运行者是否熟悉到可以在让浏览器认可警告之前校验到代理服务器的指纹,您都应该避免通过一个基于网页的代理来访问敏感资料,除非您信得过运行代理的人。在使用一个单层代理服务器来绕行的时候,它的管理员一定会知道您的IP地址以及您要访问什么网站。然而,更重要的是,如果这个代理是基于网页的,一个恶意的运作者可以取得所有通过您的浏览器和您所访问的网站的信息,包括您的电子邮件内容和您的密码。
对于非基于网页的代理,您可能需要调查一下,以确定它是否支持安全连接。本章所推荐的所有代理和匿名网络都是安全的。
私密代理与公共代理
公共代理接受来自任何人的连接,而私密代理则通常会要求用户名和密码的。公共代理有着自由使用的显著优点,但假如能被轻易找到,它们可能很快变得过度拥挤。因此,即便公共代理在技术的复杂程度和维护的力度上等同私密代理,它们通常也比较慢。最后,私密代理更倾向于如同营利事业一般运作,或者由管理员给他们直接或间接认识的用户创建帐户。因此,通常能更容易判断一个私密代理的运作者的动机是什么。然而,您不应该认为私密代理本质上更可信赖。毕竟,营利的目可能导致在线服务暴露它们的用户,这种事情曾经发生过。
简单的、不安全的公共代理通常可以在搜索引擎上输入“公共代理”这样的关键词找到,但您不应该依赖这样找到的代理。如果能选择,最好还是使用一个私密且安全的代理,并且是由您亲自认识和信任的人,或者声誉良好的人,拥有专业技术以确保他们的服务器安全的人来运作。是否使用一个基于网页的代理,取决于您自己的具体要求与偏好。如在Firefox指南里所说的,在使用代理来绕行的时候,用Firefox浏览器并安装NoScript浏览器扩展都是好主意。这样做可以帮助保护您抵御恶意代理和那些试图找出您的真实IP地址的网站。最后请记住,就算一个加密的代理,也不能使一个不安全的网站变得安全。在发送和接受敏感信息之前,您仍然必须确保用上了HTTPS连接。
如果您无法找到一个提供可靠、廉价、能在您国家访问到的代理服务的个人、组织或公司,您应该像在前面的匿名网络一节讨论过的那样,考虑使用Tor匿名网络。
------------------------------------------------------------------------------------------
<<了解如何规避审查 up 特别的绕行代理>>
匿名网络通常让您的互联网传输“来回弹跳”于多个不同的代理之间,从而隐瞒您来自哪里以及要访问什么内容。这会极大地减慢您加载网页或其他互联网服务的速度。然而,就Tor而言,它同时还提供了可靠、安全和公开的绕行手段,使您无需担心是否可以信任您的代理和您所访问网站的运行者。跟往常一样,在使用浏览器交换密码、电子邮件这些敏感信息之前,您必须确保您在使用已加密的HTTPS连接到一个安全网站。
您需要安装软件来使用Tor,您将得到一个同时提供匿名和绕行的工具。每次当您连接上Tor网络,您都选择了一条随机的路径,贯通三个安全的Tor代理。这能确保不论您的ISP还是那些代理本身都不知道您电脑的IP地址以及您所请求的互联网服务所在。您可以从Tor指南里了解更多详情。
...........................................
上手指南:查看Tor 指南并开始使用
............................................
Tor的长处之一,在于它不仅能与浏览器一起使用,还能用于不同类型的互联网软件。包括Mozilla Thunderbird 在内的电子邮件程序以及包括Pidgin在内的即时通讯程序,都可以通过Tor运作,以访问被过滤的服务和隐瞒您对这些服务的使用。
基础绕行代理
在选择一个基础绕行代理的时候,您需要考虑三个重要的问题。首先,它是一个基于网页的代理,还是会要求您更改设置或给电脑安装软件?第二,它是否安全?第三,它是私密的还是公共的?
基于网页的代理和其他代理
基于网页的代理可能是最容易使用的。它们只要求您把浏览器指向一个代理页面,输入您想查看的被过滤的网址,然后点击一个按钮。代理就会在它自己的页面内显示您所请求的内容。您可以照常点击链接,或者如果您想查看另一个网页,就往代理里输入一个新网址。您并不需要安装任何软件或更改浏览器设置,这也就是说基于网页的代理:
- 容易使用。
- 可在公共电脑上进行使用,例如在不允许您安装软件或修改设置的网吧里。
- 如果您担心因为在电脑上使用绕行软件而被捕,这就可能更安全。
基于网页的代理也存在一些缺点。它们不总是正确地显示页面,很多基于网页的代理无法加载复杂的网页,包括那些以音频流和视频内容为特色的网页。还有,任何一个代理在被大量使用时都会变慢,这在使用公共的网页代理时更为明显。还有,理所当然地,基于网页的代理只能用于网页。比如说您不可以通过一个基于网页的代理来使用即时通讯软件或者电邮客户端来访问被封锁的服务。最后,安全的网页代理也只提供有限的保密性,因为它们必须经由您所访问的网站访问和修改返回给您的信息。不然的话,您点击一个链接的时候就不得不离开背后的代理,直接访问目标网站。这点在下一节里会进一步讨论。
其他类型的代理一般会要求您安装一个程序或者在您的浏览器或操作系统里配置一个外部代理地址。第一种情况下,您的绕行软件通常会提供一些开启和关闭该工具的方法,告诉您的浏览器是否去使用代理。如前面所说的,像这样的软件通常可以在一个代理被封锁后自动更换。如果您必须在您的浏览器或操作系统里配置一个外部代理地址,您要知道正确的代理地址,它在被封锁或者变得太慢而无法使用的时候也可以更改。
尽管比起基于网页的代理在使用上会稍微困难一些,这种绕行方法更可能正确显示复杂的网页,也不会在很多人开始使用某个代理服务器时很快就变慢。此外,许多不同的互联网应用软件都可以配合代理使用。例子包括浏览器的HTTP代理,电邮和聊天程序的SOCKS代理,还有可以重新引导您的所有网络流量以避开过滤的VPN代理。
安全代理与不安全的代理
在本章,一个安全的代理指的是任何能把从用户一方发起的连接进行加密的代理。一个不安全的代理也允许你绕过许多类型的过滤,但如果您的互联网连接被扫描关键词或特定的网址,它就不能用了。通过一个不安全的代理去访问一般会被加密的网站是个特别坏的主意,例如电邮帐户和银行网站。这样做的话,您可能会暴露本来被隐藏的敏感信息。还有,正如前面所提到的,不安全的代理通常比较容易被那些更新互联网过滤软件和政策的人发现和封锁。最后,免费、快速、安全的代理的存在,意味着实在没什么理由去凑合着使用一个不安全的代理。
如果您可以通过HTTPS访问一个代理页面,您就知道这个基于网页的代理是安全的。电邮帐户可能支持安全与不安全的连接,所以您应该一定要使用安全的地址。通常,在这种情况下,您需要认可一个来自浏览器的“安全证书警告”才能继续使用。后面会讨论到的Psiphon和Peacefire代理就是这种情况。这样的警告是告诉您,有人——可能是您的ISP或者黑客——可能正在监控您与代理之间的连接。虽然会有这些警告,尽可能去使用安全的代理仍然是个好主意。然而,在靠这种代理来绕行的时候,您应该避免访问安全网站、输入密码或者交换敏感资料,除非可以验证代理的SSL指纹。如果要这么做,您将需要联系代理的管理员。
Psiphon用户手册的附录C里说明了您和代理的管理员应该遵循哪些步骤,以校验代理的指纹。
不论您在访问这个代理的时候有没有看到安全证书警告,甚至不论您跟代理的运行者是否熟悉到可以在让浏览器认可警告之前校验到代理服务器的指纹,您都应该避免通过一个基于网页的代理来访问敏感资料,除非您信得过运行代理的人。在使用一个单层代理服务器来绕行的时候,它的管理员一定会知道您的IP地址以及您要访问什么网站。然而,更重要的是,如果这个代理是基于网页的,一个恶意的运作者可以取得所有通过您的浏览器和您所访问的网站的信息,包括您的电子邮件内容和您的密码。
对于非基于网页的代理,您可能需要调查一下,以确定它是否支持安全连接。本章所推荐的所有代理和匿名网络都是安全的。
私密代理与公共代理
公共代理接受来自任何人的连接,而私密代理则通常会要求用户名和密码的。公共代理有着自由使用的显著优点,但假如能被轻易找到,它们可能很快变得过度拥挤。因此,即便公共代理在技术的复杂程度和维护的力度上等同私密代理,它们通常也比较慢。最后,私密代理更倾向于如同营利事业一般运作,或者由管理员给他们直接或间接认识的用户创建帐户。因此,通常能更容易判断一个私密代理的运作者的动机是什么。然而,您不应该认为私密代理本质上更可信赖。毕竟,营利的目可能导致在线服务暴露它们的用户,这种事情曾经发生过。
简单的、不安全的公共代理通常可以在搜索引擎上输入“公共代理”这样的关键词找到,但您不应该依赖这样找到的代理。如果能选择,最好还是使用一个私密且安全的代理,并且是由您亲自认识和信任的人,或者声誉良好的人,拥有专业技术以确保他们的服务器安全的人来运作。是否使用一个基于网页的代理,取决于您自己的具体要求与偏好。如在Firefox指南里所说的,在使用代理来绕行的时候,用Firefox浏览器并安装NoScript浏览器扩展都是好主意。这样做可以帮助保护您抵御恶意代理和那些试图找出您的真实IP地址的网站。最后请记住,就算一个加密的代理,也不能使一个不安全的网站变得安全。在发送和接受敏感信息之前,您仍然必须确保用上了HTTPS连接。
如果您无法找到一个提供可靠、廉价、能在您国家访问到的代理服务的个人、组织或公司,您应该像在前面的匿名网络一节讨论过的那样,考虑使用Tor匿名网络。
------------------------------------------------------------------------------------------
<<了解如何规避审查 up 特别的绕行代理>>
了解如何规避审查
如果一个网站被前面所提及的其中一种方法封锁了,导致您无法直接访问,您就要想办法绕过此障碍。在没有互联网过滤的国家的安全代理服务器可以提供这种绕行,它先获取您所请求的网页,再递送回给您。在您的ISP看来,您只是在互联网的某处与一台未知的电脑(代理服务器)进行安全通讯。
当然,在您的国家主管互联网审查的政府机构(或向过滤软件提供更新的公司)可能最终会发现这台“未知的电脑”其实是个绕行代理。要是这样,它的IP地址就可能被添加进黑名单里,它也就再也不能用了。然而,代理 通常不会在短时间内遭到封锁,而创建和更新绕行工具的人们也很清楚这个威胁。他们会使用以下的其中一种或两种方法来回击:
最后,只要您可以得到一个您信任的代理,来为您获取您所要求的服务,您就只管发送请求,然后使用适当的工具去查阅它返回给您的内容。通常,这道程序的细节都由您安装在电脑上的绕行工具来自动处理,它会修改您的浏览器设置,或者使其指向一个基于网页的代理页面。后文描述到的Tor匿名绕行工具使用的是第一种方法。再后面会讨论关于一些基础级别的、单层的代理绕行工具,它们的工作原理都稍有不同。
-------------------------------------------------------------------------------------------
<<了解互联网审查 up 匿名网络与基础代理服务器>>
当然,在您的国家主管互联网审查的政府机构(或向过滤软件提供更新的公司)可能最终会发现这台“未知的电脑”其实是个绕行代理。要是这样,它的IP地址就可能被添加进黑名单里,它也就再也不能用了。然而,代理 通常不会在短时间内遭到封锁,而创建和更新绕行工具的人们也很清楚这个威胁。他们会使用以下的其中一种或两种方法来回击:
- 隐藏的代理 隐藏的代理更难被鉴别。这是使用安全代理的重要性之一,它没有那么显眼。然而加密只是其中一个环节。如果一个代理的运行者希望保持隐蔽,他们在向新用户透露位置时必须小心谨慎。
- 一次性的代理 能在遭到封锁后被迅速更换。这种情况下,要告诉新用户如何寻找替代代理,此过程则也许不会特别安全。然而,通常这种类型的绕行工具分发得要比遭到封锁的速度更快。
最后,只要您可以得到一个您信任的代理,来为您获取您所要求的服务,您就只管发送请求,然后使用适当的工具去查阅它返回给您的内容。通常,这道程序的细节都由您安装在电脑上的绕行工具来自动处理,它会修改您的浏览器设置,或者使其指向一个基于网页的代理页面。后文描述到的Tor匿名绕行工具使用的是第一种方法。再后面会讨论关于一些基础级别的、单层的代理绕行工具,它们的工作原理都稍有不同。
-------------------------------------------------------------------------------------------
<<了解互联网审查 up 匿名网络与基础代理服务器>>
了解互联网审查
来自OpenNet Initiative (ONI)和无国界记者 (RSF)等组织的研究报告指出,很多国家都过滤了大量涉及社会性、政治性和“国家安全”性质的内容,但却很少会见到他们公布一个详细的网站封锁列表。那些企图掌控公民的互联网访问权的人们,自然也会费尽心机封锁已知的代理和公布绕过审查的工具与指引的网站。
联合国《世界人权宣言》第十九条庄严写明,人人都有接收消息的自由,但在过去几年,实行互联网审查的国家数量一直在急剧增长。然而,随着互联网过滤的行径散布全球,由积极分子、程序员和志愿者所创造、部署与宣扬的绕行工具也在广泛传播。
在探索规避互联网审查的各种方法之前,您应该先对这些过滤方法的原理有个基本的了解。在这个过程中,将您与互联网的连接看作一个简化的模型,会很有帮助。
您的互联网连接
您连接到互联网的第一步一般是您的家里、办公室、学校、图书馆或网吧,由互联网服务提供商ISP完成的。ISP给您的电脑分配一个IP地址,用于让不同的互联网服务鉴别您的身份、向您发送信息,如电子邮件和您要求的网页。知道您的IP地址 的任何人都可以查出您所在的城市。而且,您国家里一些神通广大的机构,可以通过此信息找到您的准确位置。
这样,您的ISP依靠您国内的网络基础设施来把包括您在内的用户跟世界上的其它地方连接起来。在连接的另一头,您访问的网站或服务从它国家的ISP那里收到自己的IP地址后,也经历了相似的过程。抛开所有技术细节,像这样的基本模型能帮助您去思考使用不同的工具来避开过滤以及在网上保持匿名。
网站是怎样被封锁的
本质上,当您去看一个网页的时候,您要把该网站的IP地址告诉您的ISP,然后请求它去把您和网站的ISP连接起来。如果你的网络连接未被过滤,它便会准确无误地执行。但如果您身处一个对互联网进行审查的国家,它会首先查阅被禁网站的黑名单,再去决定是否完成您的请求。
在一些情况下,也许存在一个取代ISP进行过滤的中央机构。通常,一个黑名单包含的是域名,例如www.blogger.com,而非IP地址。在一些国家,过滤软件监控您的网络连接,而不是封阻特定的互联网地址。这种软件会检查您作出的每个网页请求以及返回给您的每个网页,寻找敏感的关键词,然后决定是否让您看到结果。
更糟糕的是,当一个网页受到了封锁,您还不一定知道。有些过滤器提供了“阻止页面”来解释审查某个特定页面的原因,其他的只会显示误导人的错误信息。这些信息可能会显示例如无法找到该页面,或者网址拼写错误。
一般来说,应对互联网审查最简单就是设想最坏的情况,而无需试图调查在您国内所使用的过滤技术有哪些独特长处与弱点。换句话说,您可以假设:
由于最有效的绕行工具可以无视任何过滤方法,所以作出这样的最坏假设并无害处。
.............................................................................................
Mansour: 那么,如果我某天发现无法访问博客,但在国外的一个朋友却仍然能看得见,这是否意味这政府把它封锁了呢?
Magda: 也不一定。也许会存在一些问题只影响到从此处访问我们网站的人。或者你电脑有些问题,只会在你访问某些网页时才出现。但你的思路是正确的。你还应该亲自试试使用一个绕行工具来访问。毕竟,这些工具都是仗靠外部的代理服务器,这跟你叫一个在国外的朋友帮你测试差不多,只是你可以单独完成。
..............................................................................................
----------------------------------------------------------------------------------------------
<<8.如何保持匿名与绕过互联网审查 up 了解如何规避审查>>
联合国《世界人权宣言》第十九条庄严写明,人人都有接收消息的自由,但在过去几年,实行互联网审查的国家数量一直在急剧增长。然而,随着互联网过滤的行径散布全球,由积极分子、程序员和志愿者所创造、部署与宣扬的绕行工具也在广泛传播。
在探索规避互联网审查的各种方法之前,您应该先对这些过滤方法的原理有个基本的了解。在这个过程中,将您与互联网的连接看作一个简化的模型,会很有帮助。
您的互联网连接
您连接到互联网的第一步一般是您的家里、办公室、学校、图书馆或网吧,由互联网服务提供商ISP完成的。ISP给您的电脑分配一个IP地址,用于让不同的互联网服务鉴别您的身份、向您发送信息,如电子邮件和您要求的网页。知道您的IP地址 的任何人都可以查出您所在的城市。而且,您国家里一些神通广大的机构,可以通过此信息找到您的准确位置。
- 您的ISP很清楚您在哪一栋楼房里,或者您正在使用哪一条电话线路经由调制解调器连接到互联网。
- 您所在的网吧、图书馆或单位 很清楚您在某段时间内使用了哪台电脑,以及连接到哪个端口或无线接入点。
- 政府机构由于可以支配以上所说的组织机构,所以能够了解所有这些细节。
这样,您的ISP依靠您国内的网络基础设施来把包括您在内的用户跟世界上的其它地方连接起来。在连接的另一头,您访问的网站或服务从它国家的ISP那里收到自己的IP地址后,也经历了相似的过程。抛开所有技术细节,像这样的基本模型能帮助您去思考使用不同的工具来避开过滤以及在网上保持匿名。
网站是怎样被封锁的
本质上,当您去看一个网页的时候,您要把该网站的IP地址告诉您的ISP,然后请求它去把您和网站的ISP连接起来。如果你的网络连接未被过滤,它便会准确无误地执行。但如果您身处一个对互联网进行审查的国家,它会首先查阅被禁网站的黑名单,再去决定是否完成您的请求。
在一些情况下,也许存在一个取代ISP进行过滤的中央机构。通常,一个黑名单包含的是域名,例如www.blogger.com,而非IP地址。在一些国家,过滤软件监控您的网络连接,而不是封阻特定的互联网地址。这种软件会检查您作出的每个网页请求以及返回给您的每个网页,寻找敏感的关键词,然后决定是否让您看到结果。
更糟糕的是,当一个网页受到了封锁,您还不一定知道。有些过滤器提供了“阻止页面”来解释审查某个特定页面的原因,其他的只会显示误导人的错误信息。这些信息可能会显示例如无法找到该页面,或者网址拼写错误。
一般来说,应对互联网审查最简单就是设想最坏的情况,而无需试图调查在您国内所使用的过滤技术有哪些独特长处与弱点。换句话说,您可以假设:
- 您的互联网流量里的关键词受到监控
- 直接在ISP层面实现过滤
- 被封锁的网站IP地址和域名均在黑名单上。
- 关于一个被封锁的网站为什么无法载入,您可能会得到一个不明确或误导的解释。
由于最有效的绕行工具可以无视任何过滤方法,所以作出这样的最坏假设并无害处。
.............................................................................................
Mansour: 那么,如果我某天发现无法访问博客,但在国外的一个朋友却仍然能看得见,这是否意味这政府把它封锁了呢?
Magda: 也不一定。也许会存在一些问题只影响到从此处访问我们网站的人。或者你电脑有些问题,只会在你访问某些网页时才出现。但你的思路是正确的。你还应该亲自试试使用一个绕行工具来访问。毕竟,这些工具都是仗靠外部的代理服务器,这跟你叫一个在国外的朋友帮你测试差不多,只是你可以单独完成。
..............................................................................................
----------------------------------------------------------------------------------------------
<<8.如何保持匿名与绕过互联网审查 up 了解如何规避审查>>
8. 如何保持匿名与绕过互联网审查
世界上许多国家都安装了软件以防止国内的互联网用户访问某些网站与互联网服务。公司、学校和公共图书馆通常使用类似的软件来保护他们的员工、学生和顾客接触到会导致分散注意力或带来损害的资料。这种过滤技术有很多不同的形式。有些过滤器基于IP地址阻止某个网站,其他的则会把某些域名列入黑名单,或者搜遍所有未加密的互联网通信,以查找特定的关键词。
不管是什么过滤方法,几乎都有可能通过依靠位于外国的电脑作中介替您访问被封锁的服务的方法来规避它们。这个过程通常被称为“绕过审查”,或者直接叫“绕行”,而作为中介的电脑叫做“代理”。代理同样也有多种不同的形式。本章先对多重代理匿名网络进行简要讨论,然后对绕行代理及其工作原理进行更透彻的描述。
这两种方法都是规避互联网过滤的有效手段,如果您愿意以牺牲速度来尽可能地隐匿您的互联网行为,前一种方法是最为合适的。如果您了解并信任管理您的代理的个人或组织,或者对您来说,性能比隐匿性更为重要,那么一个简单的绕行代理可能为您提供更好的服务。
设定场景
..............................................................................................
Mansour 和 Magda 是一对来自阿拉伯语国家的姐妹,她们维护着一个博客网站,在上面匿名发布揭露侵害人权和宣传政改运动的消息。因为网站的主机在外国,她们国家的当局一直无法关闭他们的网站,但他们通常会通过其他行动分子去了解博客管理员的身份。Mansour和Magda担心当局监控到她们对博客的更新,进而知道她们是谁。另外,她们想针对政府将来把她们的网站过滤掉的境况做好准备工作,这样一来,她们不仅可以继续更新,同时也为了给她们国家的读者提供绕过审查的好建议,不然读者将无法再访问这个博客。
..............................................................................................
您将从本章学到的内容
---------------------------------------------------------------------------------------------
不管是什么过滤方法,几乎都有可能通过依靠位于外国的电脑作中介替您访问被封锁的服务的方法来规避它们。这个过程通常被称为“绕过审查”,或者直接叫“绕行”,而作为中介的电脑叫做“代理”。代理同样也有多种不同的形式。本章先对多重代理匿名网络进行简要讨论,然后对绕行代理及其工作原理进行更透彻的描述。
这两种方法都是规避互联网过滤的有效手段,如果您愿意以牺牲速度来尽可能地隐匿您的互联网行为,前一种方法是最为合适的。如果您了解并信任管理您的代理的个人或组织,或者对您来说,性能比隐匿性更为重要,那么一个简单的绕行代理可能为您提供更好的服务。
设定场景
..............................................................................................
Mansour 和 Magda 是一对来自阿拉伯语国家的姐妹,她们维护着一个博客网站,在上面匿名发布揭露侵害人权和宣传政改运动的消息。因为网站的主机在外国,她们国家的当局一直无法关闭他们的网站,但他们通常会通过其他行动分子去了解博客管理员的身份。Mansour和Magda担心当局监控到她们对博客的更新,进而知道她们是谁。另外,她们想针对政府将来把她们的网站过滤掉的境况做好准备工作,这样一来,她们不仅可以继续更新,同时也为了给她们国家的读者提供绕过审查的好建议,不然读者将无法再访问这个博客。
..............................................................................................
您将从本章学到的内容
- 如何访问一个在国内被封锁的网站
- 如何防止您所访问的网站知道您的位置
- 如何确保您国家的ISP和监控机构均无法确定您访问了哪些网站和互联网服务
---------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------
延伸阅读
-请参阅《人权捍卫者的数据安全与隐私》一书中“欺诈”的章节了解更多关于假冒电邮身份的内容。
--Gmail的使用指引 .
--如何把您的Gmail联系人导入到Thunderbird
--请在服务商网站的“帮助”栏里搜索“POP”、“IMAP”“SMTP”等关键词,以了解
如何使用其他电邮服务的类似功能。
-------------------------------------------------------------------------------------------
<<电子邮件高级安全 up 8.如何保持匿名与绕过互联网审查>>
- 除了RiseUp和Thunderbird指南,还有一些网站解释了如何通过您的电邮程序来使用各种大众电子邮件服务,同时在邮件服务器上保留邮件的副本:
--Gmail的使用指引 .
--如何把您的Gmail联系人导入到Thunderbird
--请在服务商网站的“帮助”栏里搜索“POP”、“IMAP”“SMTP”等关键词,以了解
如何使用其他电邮服务的类似功能。
- 有一种针对SSL加密安全性的攻击名为“中间人攻击”。
- 在创建Gmail帐户时您必须接受的Gmail隐私政策,说明了“Google维护与改进您的Gmail帐户及其内容,以便提供Gmail服务和改进我们的服务”。事实上,所有电邮提供商都会在某种程度上扫描您的信件,这样他们便可以提供反垃圾邮件服务和其他一些类似功能。然而,Gmail的尺度要更大一点,因为他们要基于您的电子邮件的真实内容提供“精准广告投放”。如果Google所储存的信息遭到有意或无意的泄露,将会带来危险。
- 在2008年有一系列的访问,介绍了几个主流即时通讯服务的隐私与加密政策。
-------------------------------------------------------------------------------------------
<<电子邮件高级安全 up 8.如何保持匿名与绕过互联网审查>>
电子邮件高级安全
以下讨论到的工具和概念仅向有经验的电脑用户推荐。
在电子邮件中使用公钥加密
哪怕对于不安全的电邮帐户而言,要达到更高级别的电邮隐私还是有可能的。想做到这点,您要学会公钥加密。这项技术允许您对每封邮件进行编码,使邮件无法被目标收件人以外的任何人读懂。公钥加密的精巧之处在于,您无需与您的联系人交换关于你们以后将要如何把邮件进行编码的任何秘密信息。
..............................................................................................
Pablo: 但原理到底是怎样的呢?
Claudia: 聪明的算法啊!你使用由邮件联系人任意分发的独特的“公共钥匙”来给邮件进行编码。然后,她使用她谨慎保管的“私人钥匙”来阅读那些邮件。反之亦然,你的联系人使用你的公钥来加密她想写给你的邮件。因此,最终你们还是得交换公钥,但您们可以公开分享公钥,而无需担心企图获取你们公钥的人知道后会有什么后果。
..............................................................................................
这项技术可以配合任何电邮服务使用,就算是那种缺乏安全通讯通道的电邮服务,也能使用。因为每一封邮件在从您的电脑发出之前都已被加密。
记住,使用加密的话,您可能会引起注意。当您访问一个安全网站,包括电邮帐户时所使用的加密类型,比起这里所讨论到的公钥加密类型来说,通常没那么可疑。在有些情况下,如果一封包含这种加密内容的电子邮件被成功截获,或者被发布到一个公开论坛上,不管内容是什么,都有可能会连累到发送邮件的人。有时候您得在邮件的隐私与保持低调之中作出选择。
加密与鉴定不同的邮件信息
公钥加密在一开始貌似比较复杂,但只要您理解了它的原理,它其实是很简单的,而这些工具也不难使用。Mozilla Thunderbird电邮程序可以和一个叫Enigmail的扩展一起使用,轻松地加密和解密邮件信息。
............................................................
上手指南:查看 Thunderbird 指南并开始使用
............................................................
VaultletSuite 2 Go是一款免费的电邮加密程序,如果您愿意信任提供此软件的公司,并允许他们替您完成一部分工作,它比Thunderbird更容易使用。
............................................................
上手指南:查看 VaultletSuite 2Go 指南并开始使用
............................................................
鉴定您的电子邮件是通讯安全的另一个重要方面。任何能够访问互联网并且拥有适当工具的人,都可以通过一个跟您的电邮地址一模一样的假地址来发送信息,以达到冒充您的目的。从收件人的角度去看,这点的危害性就更加明显了。请想象一下以下情况所构成的威胁,比方说一封电子邮件,它表面上像是发自一个可信的联系人,但其实是来自于意图扰乱您的行动或者窃取关于您组织的敏感资料的其他人。
因为我们不能透过电子邮件看到或听到对方,我们一般都靠发送者的地址来证实其身份,这也是我们容易被假冒邮件欺骗的原因。同样依靠公钥加密的数字签名在发送邮件时提供了一个更为安全的自我证明方法。在Thunderbird指南的如何同时使用Thunderbird与Enigmail一节里有详细解释。
...............................................................................................
Pablo: 有一次,一个同事收到了来自我的邮件,但我从来没有发送过。我们最后认定它只是垃圾邮件,但现在我不禁想象,假如一封假冒电邮在错误的时候出现在错误的对象的收件箱里,这将带来多大的损害啊。我听说可以通过数字签名来防止这种事情发生,但数字签名到底是什么?
Claudia: 一个数字签名就像信封上的封印,信封里装有你的信件,只是这个封印无法被伪造。它能证明你是该信件的真正发送者,以及它在中途并未遭到篡改。
..............................................................................................
----------------------------------------------------------------------------------------------
<<保障其他互联网通讯工具的安全 up 延伸阅读 >>
在电子邮件中使用公钥加密
哪怕对于不安全的电邮帐户而言,要达到更高级别的电邮隐私还是有可能的。想做到这点,您要学会公钥加密。这项技术允许您对每封邮件进行编码,使邮件无法被目标收件人以外的任何人读懂。公钥加密的精巧之处在于,您无需与您的联系人交换关于你们以后将要如何把邮件进行编码的任何秘密信息。
..............................................................................................
Pablo: 但原理到底是怎样的呢?
Claudia: 聪明的算法啊!你使用由邮件联系人任意分发的独特的“公共钥匙”来给邮件进行编码。然后,她使用她谨慎保管的“私人钥匙”来阅读那些邮件。反之亦然,你的联系人使用你的公钥来加密她想写给你的邮件。因此,最终你们还是得交换公钥,但您们可以公开分享公钥,而无需担心企图获取你们公钥的人知道后会有什么后果。
..............................................................................................
这项技术可以配合任何电邮服务使用,就算是那种缺乏安全通讯通道的电邮服务,也能使用。因为每一封邮件在从您的电脑发出之前都已被加密。
记住,使用加密的话,您可能会引起注意。当您访问一个安全网站,包括电邮帐户时所使用的加密类型,比起这里所讨论到的公钥加密类型来说,通常没那么可疑。在有些情况下,如果一封包含这种加密内容的电子邮件被成功截获,或者被发布到一个公开论坛上,不管内容是什么,都有可能会连累到发送邮件的人。有时候您得在邮件的隐私与保持低调之中作出选择。
加密与鉴定不同的邮件信息
公钥加密在一开始貌似比较复杂,但只要您理解了它的原理,它其实是很简单的,而这些工具也不难使用。Mozilla Thunderbird电邮程序可以和一个叫Enigmail的扩展一起使用,轻松地加密和解密邮件信息。
............................................................
上手指南:查看 Thunderbird 指南并开始使用
............................................................
VaultletSuite 2 Go是一款免费的电邮加密程序,如果您愿意信任提供此软件的公司,并允许他们替您完成一部分工作,它比Thunderbird更容易使用。
............................................................
上手指南:查看 VaultletSuite 2Go 指南并开始使用
............................................................
鉴定您的电子邮件是通讯安全的另一个重要方面。任何能够访问互联网并且拥有适当工具的人,都可以通过一个跟您的电邮地址一模一样的假地址来发送信息,以达到冒充您的目的。从收件人的角度去看,这点的危害性就更加明显了。请想象一下以下情况所构成的威胁,比方说一封电子邮件,它表面上像是发自一个可信的联系人,但其实是来自于意图扰乱您的行动或者窃取关于您组织的敏感资料的其他人。
因为我们不能透过电子邮件看到或听到对方,我们一般都靠发送者的地址来证实其身份,这也是我们容易被假冒邮件欺骗的原因。同样依靠公钥加密的数字签名在发送邮件时提供了一个更为安全的自我证明方法。在Thunderbird指南的如何同时使用Thunderbird与Enigmail一节里有详细解释。
...............................................................................................
Pablo: 有一次,一个同事收到了来自我的邮件,但我从来没有发送过。我们最后认定它只是垃圾邮件,但现在我不禁想象,假如一封假冒电邮在错误的时候出现在错误的对象的收件箱里,这将带来多大的损害啊。我听说可以通过数字签名来防止这种事情发生,但数字签名到底是什么?
Claudia: 一个数字签名就像信封上的封印,信封里装有你的信件,只是这个封印无法被伪造。它能证明你是该信件的真正发送者,以及它在中途并未遭到篡改。
..............................................................................................
----------------------------------------------------------------------------------------------
<<保障其他互联网通讯工具的安全 up 延伸阅读 >>
保障其他互联网通讯工具的安全
跟电子邮件一样,根据您选择的是什么工具以及如何使用它们,即时通讯和VoIP软件可能安全,也可能不安全。
保障您的即时通讯软件安全
即时通讯,也称“聊天”,通常是不安全的,很容易像电子邮件一样受到监控。幸好有一些程序有助于保障您的聊天会话的隐私性。跟电子邮件一样,一个安全的通讯渠道要求您与您的即时通讯联系人双方都用相同的软件,并采取相同的安全预防措施。
有一款叫Pidgin的聊天程序支持许多现有的即时通讯协议,这表示您可以轻松地使用它而无需更改您的帐户名称或者重新建立联系人列表。为了适应Pidgin进行私密的、受加密保护的会话,您需要安装并激活OTR“不留记录”插件。还好这只是个相当简单的过程。
.............................................................
上手指南:查看 Pidgin 指南并开始使用
.............................................................
Skype是一个常见的VoIP工具,它同时也支持即时通讯。使用Skype应该比没有OTR插件的替代品要更为安全,但它有两个缺点。第一,它只允许您与其他Skype用户聊天,而Pidgin则可以跟几乎所有其他即时通讯服务进行安全通讯。第二,因为它并不开放源代码,这就无法验证它的加密强度。在第一章:如何保护您的电脑免受恶意软件和黑客侵害的保持更新您的软件一节里说明了“自由开源软件”FOSS的优点。简单来说,您最好还是使用带OTR插件的Pidgin来进行安全的即时通讯。
.................................................................................................
Pablo: 如果Yahoo邮箱不安全,那就代表Yahoo聊天也不安全吗?
Claudia: 需要记住的是,如果我们想使用即时通讯来讨论这份报告,我们就需要确保所有有关人员都安装有Pidgin和OTR。这样,我们便可以使用Yahoo聊天或者任何其他聊天服务了。
..................................................................................................
保障您的VoIP软件安全
VoIP用户间的电话传呼一般是免费的。有些程序允许您拨打普通的电话,包括国际号码,而收费并不昂贵。不言而喻,这些功能是极其有用的。现今广受欢迎的VoIP程序有Skype、Gizmo、Google Talk、Yahoo! 语音和MSN。
通常,通过互联网的语音通讯并不比未受保护的电子邮件和即时通讯更加安全。只有Skype和Gizmo对语音会话提供了加密,而且仅限于您呼叫的是另一位VoIP用户,不适用于移动电话和固定电话。另外,因为这两个应用程序都不开源,独立专家们一直无法对它们进行全面的测试以确保它们是安全的。
----------------------------------------------------------------------------------------------
<<应对疑似电子邮件监视的有用提示 up 电子邮件高级安全>>
保障您的即时通讯软件安全
即时通讯,也称“聊天”,通常是不安全的,很容易像电子邮件一样受到监控。幸好有一些程序有助于保障您的聊天会话的隐私性。跟电子邮件一样,一个安全的通讯渠道要求您与您的即时通讯联系人双方都用相同的软件,并采取相同的安全预防措施。
有一款叫Pidgin的聊天程序支持许多现有的即时通讯协议,这表示您可以轻松地使用它而无需更改您的帐户名称或者重新建立联系人列表。为了适应Pidgin进行私密的、受加密保护的会话,您需要安装并激活OTR“不留记录”插件。还好这只是个相当简单的过程。
.............................................................
上手指南:查看 Pidgin 指南并开始使用
.............................................................
Skype是一个常见的VoIP工具,它同时也支持即时通讯。使用Skype应该比没有OTR插件的替代品要更为安全,但它有两个缺点。第一,它只允许您与其他Skype用户聊天,而Pidgin则可以跟几乎所有其他即时通讯服务进行安全通讯。第二,因为它并不开放源代码,这就无法验证它的加密强度。在第一章:如何保护您的电脑免受恶意软件和黑客侵害的保持更新您的软件一节里说明了“自由开源软件”FOSS的优点。简单来说,您最好还是使用带OTR插件的Pidgin来进行安全的即时通讯。
.................................................................................................
Pablo: 如果Yahoo邮箱不安全,那就代表Yahoo聊天也不安全吗?
Claudia: 需要记住的是,如果我们想使用即时通讯来讨论这份报告,我们就需要确保所有有关人员都安装有Pidgin和OTR。这样,我们便可以使用Yahoo聊天或者任何其他聊天服务了。
..................................................................................................
保障您的VoIP软件安全
VoIP用户间的电话传呼一般是免费的。有些程序允许您拨打普通的电话,包括国际号码,而收费并不昂贵。不言而喻,这些功能是极其有用的。现今广受欢迎的VoIP程序有Skype、Gizmo、Google Talk、Yahoo! 语音和MSN。
通常,通过互联网的语音通讯并不比未受保护的电子邮件和即时通讯更加安全。只有Skype和Gizmo对语音会话提供了加密,而且仅限于您呼叫的是另一位VoIP用户,不适用于移动电话和固定电话。另外,因为这两个应用程序都不开源,独立专家们一直无法对它们进行全面的测试以确保它们是安全的。
----------------------------------------------------------------------------------------------
<<应对疑似电子邮件监视的有用提示 up 电子邮件高级安全>>
应对疑似电子邮件监视的有用提示
如果您怀疑有人已经在监视您的电子邮件,您可能想要创建一个新帐户并把旧帐户作为诱饵。请记住,曾经跟您互通过邮件的任何一个帐户,现在都可能已经受到监视。所以,您应该采取额外的预防措施:
--------------------------------------------------------------------------------------------------
<<保障您的电邮安全 up 保障其他互联网通讯工具的安全>>
- 您和您最近的电邮联系人都应该创建新的帐户,并且只在网吧这种以前没有登录过的地方使用。我们推荐这个策略是为了防止您常用电脑里的那些可能已被监控的的网络连接泄漏您新帐户。或者,如果您必须从平常的地点登录到您的新帐户,您可以使用第八章:如何保持匿名与绕过互联网审查里描述到的其中一种工具,来隐藏这些网络连接。
- 仅通过安全渠道交换这些新邮件地址的信息,例如面对面的会晤,安全的即时通讯或加密的 VoIP会话。
- 至少在一段时间内维持您旧帐户的流量基本不变。应该要让窃密者看上去以为您仍然在使用该帐户来进行敏感通信。可想而知,您想避免暴露关键的信息,但您不应表现得太明显。您可以想象得到,这也许有点难度。
- 要使您的新帐户不容易被关联到您的真实身份上。不要使用新帐户跟您的旧帐户(或任何您认为可能已经被监控的联系人的帐户)互通邮件。
- 要注意使用新帐户时所写的东西。最好不要使用真实姓名和地址,或者诸如“人权”、“拷问”这样的词语。开发一套非正式的暗号系统跟您的电邮联系人一起使用,并且定期更改。
- 要记住,电子邮件安全不仅要有强力的技术防御,您与您的电邮联系人在彼此交流时也要谨慎注意,您在非技术行为上还要严守准则。
--------------------------------------------------------------------------------------------------
<<保障您的电邮安全 up 保障其他互联网通讯工具的安全>>
保障您的电邮安全
您可以遵循几个重要的步骤来增强电邮通信的安全性。首先是确保您发送的信息只有收件者本人才能阅读。这点会在后面的维护您电子邮箱的私密性 和换用一个更安全的电邮帐户小节里讨论到。在这个基础上而言,有时候,您的电子邮件联系人是否有能力去校验一个信息确实是发自您本人,而非试图要冒充您的人,这也是非常重要的。怎样做到这一点,后面的加密与鉴定不同的邮件信息中的电子邮件高级安全一节里会有所描述。
您也应该知道当您认为您的电邮帐户的隐私可能受到了侵犯时应该怎么做。提高您的电子邮件安全性的诀窍里解释了这个问题。
同时请记住,假如您所打的每个字都被间谍软件记录下来并定时通过互联网发送给第三方的话,安全的电子邮件也对您没有任何帮助。第一章:如何保护您的计算机免受恶意软件和黑客侵害提供了如何避免此类问题的建议,而第三章:如何创建与维护安全密码则能帮助您保护您的电邮帐户和下面将会描述到的即时通讯工具。
维护您的电子邮箱的私密性
互联网是一个开放的网络,信息通常都以可读取的格式传播。假使一封普通的电邮在传给接收者的途中被截获,它的内容就能被轻易读取。另外,因为互联网是一个巨大的、全球性的网络,依靠多台电脑作为中介来引导通信,许多不同的人就有机会通过这种途径截取信息。您的互联网服务提供商ISP会在一封电邮发到它的接收者的过程中首先接收到此信息。同样地,接收者的ISP是在您的邮件发送之前的最后一站。除非您采取一定的预防措施,否则您的信息可能在这两个地方或两者之间被读取或篡改。
.................................................................................................
Pablo: 我之前才跟其中一个伙伴在谈论这些,她说她和她的同事有时候直接把重要的信息保存在一个她们共享了密码的电邮帐户的“草稿箱”里。我觉得这听起来有点奇怪,但这样可行吗?我是说,既然邮件没有真的发出去,这不就能防止任何人阅读到这些信息了吗?
Claudia: 无论何时,当你用电脑查看一封电子邮件,就算只是草稿,它的内容也是透过互联网传送给你的。否则它不会出现在你的屏幕上,对吧?问题在于,如果有人已经监视了你,他们不光是监控你的电邮信息,还会扫描所有来往于你电脑的所有可读信息。换句话说,除非她们每人都使用安全连接来访问那个共享的电邮帐户,不然这招就不管用了。如果她们都使用安全连接,那么给每个人创建单独的帐户或者尽管去点击“发送”按钮也没有害处啊。
...................................................................................................
使您的电脑与您访问的网站之间的网络连接安全化,其实早就成为可能。通常您把密码或信用卡信息输入到网站上的时候就会受到这个级别的安全保护。使之成为可能的技术叫做SSL“传输层安全”加密。您仔细查看一下浏览器的地址栏就可以知道自己有没有在使用SSL。
通常而言,所有的网址都以HTTP几个字母开头,如下图的例子:
您访问一个安全的网站时,它的地址会以HTTPS开头。
后面多出来的那个S表明您的电脑已经打开了与网站之间的安全连接。您还可能会在地址栏或浏览器窗口底部的状态栏上注意到一个“锁”的标志。这些线索都能让您了解到,任何可能正在监视您的互联网连接的人都无法窃取到您与这个特定网站之间的通讯。
另外,为了保障您的密码与财务交易,这种加密用来保护您的电子邮件是最理想的。然而,很多电邮供应商并没有提供安全连接访问,或者要求您通过设置首选项或手动输入HTTPS去明确要启用。在登录、阅读邮件或发送信息之前,您应该确认连接是安全的。
您还应该特别留意您的浏览器有没有在尝试访问一个安全的电邮帐户时突然开始提示无效的安全证书。这表示可能有人在篡改您的电脑与网站服务器之间的通信以窃取您的信息。最后,如果您使用网页邮箱来互通敏感信息,您的浏览器就要越可靠越好。请考虑安装Mozilla Firefox和它的安全相关扩展。
...............................................................
上手指南:查看Firefox 指南并开始使用
...............................................................
Pablo: 将要和我们一起写这份报告的某人喜欢在办公时间之外使用Yahoo邮箱,我好像还记得另外一个人是使用Hotmail。如果我发送一条信息给他们,其他人能读取到吗? Claudia: 有可能。Yahoo、Hotmail和很多其他电邮提供商都的网站都不安全,不保护用户的信息隐私。如果想安全地讨论这些证词,我们就得改变某些人的习惯。
换用一个更安全的电邮帐户
很少电邮服务商会提供SSL连接。比如说Yahoo和Hotmail,在您登录的时候会提供安全连接来保护您的密码,但您的邮件在发送和接受的时候是不安全的。另外,Yahoo、Hotmail和一些其他免费电邮提供商会把您正在使用的电脑的IP地址插入到您发送的所有邮件中。
但是,Gmail可以全程通过安全连接使用,只要您不从http://mail.google.com登录到您的帐户,而是从https://mail.google.com(带有HTTPS)。其实,您现在已经可以设置一个首选项,让Gmail始终使用安全连接。还有,与Yahoo或Hotmail不同的是,Gmail会避免向您的邮件接收者暴露您的IP地址。然而,不推荐完全依赖Google去保障您的敏感邮件通信。Google会扫描和记录它的用户的邮件内容,供广泛的不同目的使用,且曾经对约束数字自由的政府作过让步。请参看延伸阅读 部分了解关于Google的隐私政策的内容。
如有可能,您应该通过访问 https://mail.riseup.net 创建一个RiseUp电邮帐户。RiseUp向全球的活动分子提供免费的电子邮箱,并且高度保护储存在他们的服务器上的信息。他们一直深受需要安全电邮解决方案的人们的信任。与Google不同的是,他们对于用户的隐私有非常严格的政策,也没有在未来可能与这些政策发生冲突的商业利益。然而,要创建一个RiseUp帐户,您将需要两个“邀请码”。这些邀请码可以由已经拥有RiseUp帐户的用户进行发放。如果您拥有一套本手册的印刷本,您应该已经随同本手册收到了邀请码。否则,您将需要找到两个RiseUp用户并请求他们每人给你发一个邀请码。
................................................................
上手指南:查看RiseUp 指南并开始使用
................................................................
Gmail和RiseUp都不仅提供网络版的邮箱。它们也能与电邮客户端一起使用,例如支持在电子邮件高级安全里描述到的技术的Thunderbird。确保您的电邮客户端使用加密连接访问您的提供商,与通过HTTPS访问您的网页邮箱同样重要。如果您在使用电邮客户端,请参看Thunderbird 指南以了解更多详情。然而,您应该最起码保证您的进出邮件服务器均启用了SSL或加密。
.............................................................................................
Pablo: 那么,我是否应该换用RiseUp,还是说我可以继续使用Gmail,只要我切换到安全的https地址?
Claudia: 这由你自己决定,但你在选择一个电邮提供商时绝对应该考虑以下几点。首先,他们是否提供了访问你帐户的安全连接?Gmail有,所以没问题。第二,你是否信任那些系统管理员能保证你的电子邮件私密,不会去看,也不会给其他人看?这点你得自己考虑。最后,你需要考虑是否可以接受让供应商识别你的身份。换句话说,使用一个众所周知受到行动分子欢迎的、以“riseup.net”结尾的邮箱,是否会给你带来麻烦,还是说你需要一个更普通的“gmail.com”地址?
..................................................................................................
不管您决定使用什么安全电邮工具,请记住每封邮件都有一个发送者和一个或以上的接收者。您自己仅是其中的一方。就算您安全地访问您的电邮帐户,也要考虑您的联系人在发送、阅读和回复邮件时是否采取哪些安全措施。请您也尝试去了解您的联系人的电邮提供商都在哪里。一些国家对电子邮件的监控比别的国家要严厉。为了保障通信隐私,您和您的联系人都应该使用服务器位于相对安全的国家的安全电邮服务。还有,如果您想确保邮件不会在您和您联系人的电邮服务器之间被截取,你们就应该都选择使用来自相同提供商的电邮帐户。RiseUp就是个不错的选择。
提高您的电子邮件安全性的其他诀窍
-使用第八章:如何保持匿名与绕过互联网审查里描述到的Tor这类隐匿工具,能够帮助您隐藏指定的电邮服务,避免被任何监控您的互联网连接的人所窃取。根据您的国家对互联网的过滤程度,您可能需要使用Tor或者其他在第八章里描述到的*绕行工具,用来访问一个像RiseUp或Gmail这样的安全电邮提供商。
---------------------------------------------------------------------------------------------------
<<7. 如何使您的互联网通信保持私密 up 应对疑似电子邮件监视的有用提示 >>
您也应该知道当您认为您的电邮帐户的隐私可能受到了侵犯时应该怎么做。提高您的电子邮件安全性的诀窍里解释了这个问题。
同时请记住,假如您所打的每个字都被间谍软件记录下来并定时通过互联网发送给第三方的话,安全的电子邮件也对您没有任何帮助。第一章:如何保护您的计算机免受恶意软件和黑客侵害提供了如何避免此类问题的建议,而第三章:如何创建与维护安全密码则能帮助您保护您的电邮帐户和下面将会描述到的即时通讯工具。
维护您的电子邮箱的私密性
互联网是一个开放的网络,信息通常都以可读取的格式传播。假使一封普通的电邮在传给接收者的途中被截获,它的内容就能被轻易读取。另外,因为互联网是一个巨大的、全球性的网络,依靠多台电脑作为中介来引导通信,许多不同的人就有机会通过这种途径截取信息。您的互联网服务提供商ISP会在一封电邮发到它的接收者的过程中首先接收到此信息。同样地,接收者的ISP是在您的邮件发送之前的最后一站。除非您采取一定的预防措施,否则您的信息可能在这两个地方或两者之间被读取或篡改。
.................................................................................................
Pablo: 我之前才跟其中一个伙伴在谈论这些,她说她和她的同事有时候直接把重要的信息保存在一个她们共享了密码的电邮帐户的“草稿箱”里。我觉得这听起来有点奇怪,但这样可行吗?我是说,既然邮件没有真的发出去,这不就能防止任何人阅读到这些信息了吗?
Claudia: 无论何时,当你用电脑查看一封电子邮件,就算只是草稿,它的内容也是透过互联网传送给你的。否则它不会出现在你的屏幕上,对吧?问题在于,如果有人已经监视了你,他们不光是监控你的电邮信息,还会扫描所有来往于你电脑的所有可读信息。换句话说,除非她们每人都使用安全连接来访问那个共享的电邮帐户,不然这招就不管用了。如果她们都使用安全连接,那么给每个人创建单独的帐户或者尽管去点击“发送”按钮也没有害处啊。
...................................................................................................
使您的电脑与您访问的网站之间的网络连接安全化,其实早就成为可能。通常您把密码或信用卡信息输入到网站上的时候就会受到这个级别的安全保护。使之成为可能的技术叫做SSL“传输层安全”加密。您仔细查看一下浏览器的地址栏就可以知道自己有没有在使用SSL。
通常而言,所有的网址都以HTTP几个字母开头,如下图的例子:
您访问一个安全的网站时,它的地址会以HTTPS开头。
后面多出来的那个S表明您的电脑已经打开了与网站之间的安全连接。您还可能会在地址栏或浏览器窗口底部的状态栏上注意到一个“锁”的标志。这些线索都能让您了解到,任何可能正在监视您的互联网连接的人都无法窃取到您与这个特定网站之间的通讯。
另外,为了保障您的密码与财务交易,这种加密用来保护您的电子邮件是最理想的。然而,很多电邮供应商并没有提供安全连接访问,或者要求您通过设置首选项或手动输入HTTPS去明确要启用。在登录、阅读邮件或发送信息之前,您应该确认连接是安全的。
您还应该特别留意您的浏览器有没有在尝试访问一个安全的电邮帐户时突然开始提示无效的安全证书。这表示可能有人在篡改您的电脑与网站服务器之间的通信以窃取您的信息。最后,如果您使用网页邮箱来互通敏感信息,您的浏览器就要越可靠越好。请考虑安装Mozilla Firefox和它的安全相关扩展。
...............................................................
上手指南:查看Firefox 指南并开始使用
...............................................................
Pablo: 将要和我们一起写这份报告的某人喜欢在办公时间之外使用Yahoo邮箱,我好像还记得另外一个人是使用Hotmail。如果我发送一条信息给他们,其他人能读取到吗? Claudia: 有可能。Yahoo、Hotmail和很多其他电邮提供商都的网站都不安全,不保护用户的信息隐私。如果想安全地讨论这些证词,我们就得改变某些人的习惯。
换用一个更安全的电邮帐户
很少电邮服务商会提供SSL连接。比如说Yahoo和Hotmail,在您登录的时候会提供安全连接来保护您的密码,但您的邮件在发送和接受的时候是不安全的。另外,Yahoo、Hotmail和一些其他免费电邮提供商会把您正在使用的电脑的IP地址插入到您发送的所有邮件中。
但是,Gmail可以全程通过安全连接使用,只要您不从http://mail.google.com登录到您的帐户,而是从https://mail.google.com(带有HTTPS)。其实,您现在已经可以设置一个首选项,让Gmail始终使用安全连接。还有,与Yahoo或Hotmail不同的是,Gmail会避免向您的邮件接收者暴露您的IP地址。然而,不推荐完全依赖Google去保障您的敏感邮件通信。Google会扫描和记录它的用户的邮件内容,供广泛的不同目的使用,且曾经对约束数字自由的政府作过让步。请参看延伸阅读 部分了解关于Google的隐私政策的内容。
如有可能,您应该通过访问 https://mail.riseup.net 创建一个RiseUp电邮帐户。RiseUp向全球的活动分子提供免费的电子邮箱,并且高度保护储存在他们的服务器上的信息。他们一直深受需要安全电邮解决方案的人们的信任。与Google不同的是,他们对于用户的隐私有非常严格的政策,也没有在未来可能与这些政策发生冲突的商业利益。然而,要创建一个RiseUp帐户,您将需要两个“邀请码”。这些邀请码可以由已经拥有RiseUp帐户的用户进行发放。如果您拥有一套本手册的印刷本,您应该已经随同本手册收到了邀请码。否则,您将需要找到两个RiseUp用户并请求他们每人给你发一个邀请码。
................................................................
上手指南:查看RiseUp 指南并开始使用
................................................................
Gmail和RiseUp都不仅提供网络版的邮箱。它们也能与电邮客户端一起使用,例如支持在电子邮件高级安全里描述到的技术的Thunderbird。确保您的电邮客户端使用加密连接访问您的提供商,与通过HTTPS访问您的网页邮箱同样重要。如果您在使用电邮客户端,请参看Thunderbird 指南以了解更多详情。然而,您应该最起码保证您的进出邮件服务器均启用了SSL或加密。
.............................................................................................
Pablo: 那么,我是否应该换用RiseUp,还是说我可以继续使用Gmail,只要我切换到安全的https地址?
Claudia: 这由你自己决定,但你在选择一个电邮提供商时绝对应该考虑以下几点。首先,他们是否提供了访问你帐户的安全连接?Gmail有,所以没问题。第二,你是否信任那些系统管理员能保证你的电子邮件私密,不会去看,也不会给其他人看?这点你得自己考虑。最后,你需要考虑是否可以接受让供应商识别你的身份。换句话说,使用一个众所周知受到行动分子欢迎的、以“riseup.net”结尾的邮箱,是否会给你带来麻烦,还是说你需要一个更普通的“gmail.com”地址?
..................................................................................................
不管您决定使用什么安全电邮工具,请记住每封邮件都有一个发送者和一个或以上的接收者。您自己仅是其中的一方。就算您安全地访问您的电邮帐户,也要考虑您的联系人在发送、阅读和回复邮件时是否采取哪些安全措施。请您也尝试去了解您的联系人的电邮提供商都在哪里。一些国家对电子邮件的监控比别的国家要严厉。为了保障通信隐私,您和您的联系人都应该使用服务器位于相对安全的国家的安全电邮服务。还有,如果您想确保邮件不会在您和您联系人的电邮服务器之间被截取,你们就应该都选择使用来自相同提供商的电邮帐户。RiseUp就是个不错的选择。
提高您的电子邮件安全性的其他诀窍
- 在打开并非您所期待的、来自您不认识的人、或包含可疑标题的电邮附件时需要小心。打开这种电子邮件时,您应该确保您的反病毒软件是最新的,还得格外留意您的浏览器或电邮客户端所显示的警告。
-使用第八章:如何保持匿名与绕过互联网审查里描述到的Tor这类隐匿工具,能够帮助您隐藏指定的电邮服务,避免被任何监控您的互联网连接的人所窃取。根据您的国家对互联网的过滤程度,您可能需要使用Tor或者其他在第八章里描述到的*绕行工具,用来访问一个像RiseUp或Gmail这样的安全电邮提供商。
- 当您要创建一个帐户,打算在对电邮接收者或对您可能通过电邮发布帖子的公共论坛保持匿名的时候使用,您必须注意不要注册一个与您的个人或职业信息有关的用户名或者全名。这种情况下,您应该避免使用Hotmail、Yahoo或任何其他会把您的IP地址包含在您发送的邮件里的电邮提供商。
- 根据能够实际接触到您的电脑的人员范围,从临时文件中清除与电子邮件相关的痕迹跟保护您通过互联网传递的邮件同样重要。请参看第六章:如何销毁敏感资料和CCleaner 指南以了解详情。
---------------------------------------------------------------------------------------------------
<<7. 如何使您的互联网通信保持私密 up 应对疑似电子邮件监视的有用提示 >>
7. 如何使您的互联网通信保持私密
电子邮件和即时通讯的便利性、高性价比与灵活性,使得它们即便是对于互联网被限制得最严重的个人和组织团体来说,仍然非常有用。而对于拥有更快更稳定的网络连接的用户而言,像Skype这样的VoIP软件同样具备这些优点。可惜,这些传统通信的数字化替代品无法维持敏感信息的私密性。当然,这早就不是新鲜事。邮政信件、电话呼叫和短信都有着这种弱点,被当局锁定为监控对象的人们使用这些通讯手段时尤是。
数字化的、基于互联网的通信技术与传统通信方法之间的一个重要区别,在于前者通常会允许您定义自己的安全级别。如果您使用不安全的方法来发送邮件、即时信息和VoIP会话,几乎可以肯定的是,它们比信件和电话更不私密。部分原因在于一些性能强大的电脑能自动搜索大量的数字信息来鉴别发送者、接收者和特定的关键词。而对于传统的通讯渠道来说,实现相同级别的监控则需要耗费更多资源。然而,如果您采取某些安全措施,则可能得到相反的结果。互联网通信工具的灵活性与现代化加密技术的强度,已经使保密级别达到了过去只有国家级军事和情报机构才能掌握的程度。
通过遵循以下的指南并使用本章所谈及的软件,您可以大大提高您的通信安全。RiseUp电邮服务、Pidgin即时通讯软件的OTR“不留记录”插件、Mozilla Firefox和Mozilla Thunderbird电邮客户端的Enigmail扩展全都是优秀的工具。然而,在使用它们的时候,您应该记住,一段对话的私密性从来不是百分之百有保证的。总会存在一些你没有考虑到的威胁,可能是您电脑里有键盘敲击记录程序、有人在门外偷听、电邮会话的另一方粗心大意,又或者是别的因素。本章的目的是要帮助您降低那些哪怕您不会面临的威胁,同时避免使您陷入最极端的处境 —— 有些人倒会喜欢这样 —— 请不要把您不想公开的任何东西发送到互联网上。
....................................................................................................................
Claudia和Pablo在一个南美洲国家的人权NGO工作。他们在花了数月时间收集目击者对于军方在该地区犯下的侵害人权事件的证词之后,Claudia和Pablo开始采取措施保护他们得到的资料。他们仅保留了必须的资料,存放在一个TrueCrypt分区里,并且在不同的位置都有备份。当他们准备在报告里公开某些方面的证词的时候,他们发现必须要跟几位在外国的同事讨论一些敏感资料。他们尽管已经同意不提及姓名或地点,但仍然想要对这个话题的相关电子邮件和即时通讯会话进行保密。在开会讨论了通信安全的重要性之后,Claudia问办公室里还有谁有疑问。
..................................................................................................................
您将从本章学到的内容
---------------------------------------------------------------------------------------------
保障您的电邮安全
应对疑似电子邮件监视的有用提示
保障其他互联网通讯工具的安全
电子邮件高级安全
延伸阅读
----------------------------------------------------------------------------------------------
<<延伸阅读 up 保障您的电邮安全>>
数字化的、基于互联网的通信技术与传统通信方法之间的一个重要区别,在于前者通常会允许您定义自己的安全级别。如果您使用不安全的方法来发送邮件、即时信息和VoIP会话,几乎可以肯定的是,它们比信件和电话更不私密。部分原因在于一些性能强大的电脑能自动搜索大量的数字信息来鉴别发送者、接收者和特定的关键词。而对于传统的通讯渠道来说,实现相同级别的监控则需要耗费更多资源。然而,如果您采取某些安全措施,则可能得到相反的结果。互联网通信工具的灵活性与现代化加密技术的强度,已经使保密级别达到了过去只有国家级军事和情报机构才能掌握的程度。
通过遵循以下的指南并使用本章所谈及的软件,您可以大大提高您的通信安全。RiseUp电邮服务、Pidgin即时通讯软件的OTR“不留记录”插件、Mozilla Firefox和Mozilla Thunderbird电邮客户端的Enigmail扩展全都是优秀的工具。然而,在使用它们的时候,您应该记住,一段对话的私密性从来不是百分之百有保证的。总会存在一些你没有考虑到的威胁,可能是您电脑里有键盘敲击记录程序、有人在门外偷听、电邮会话的另一方粗心大意,又或者是别的因素。本章的目的是要帮助您降低那些哪怕您不会面临的威胁,同时避免使您陷入最极端的处境 —— 有些人倒会喜欢这样 —— 请不要把您不想公开的任何东西发送到互联网上。
....................................................................................................................
Claudia和Pablo在一个南美洲国家的人权NGO工作。他们在花了数月时间收集目击者对于军方在该地区犯下的侵害人权事件的证词之后,Claudia和Pablo开始采取措施保护他们得到的资料。他们仅保留了必须的资料,存放在一个TrueCrypt分区里,并且在不同的位置都有备份。当他们准备在报告里公开某些方面的证词的时候,他们发现必须要跟几位在外国的同事讨论一些敏感资料。他们尽管已经同意不提及姓名或地点,但仍然想要对这个话题的相关电子邮件和即时通讯会话进行保密。在开会讨论了通信安全的重要性之后,Claudia问办公室里还有谁有疑问。
..................................................................................................................
您将从本章学到的内容
- 为什么大多数网络邮箱和即时通讯服务都是不安全的
- 如何创建一个更安全的新电邮帐户
- 如何改进您目前的电邮帐户的安全
- 如何使用一个安全的即时通讯服务
- 当您认为有人已经获取到您的电邮帐户时应该怎么办
- 如何校验一个电子邮件收发者的身份
---------------------------------------------------------------------------------------------
保障您的电邮安全
应对疑似电子邮件监视的有用提示
保障其他互联网通讯工具的安全
电子邮件高级安全
延伸阅读
----------------------------------------------------------------------------------------------
<<延伸阅读 up 保障您的电邮安全>>
延伸阅读
尽管没有使用安全删除的技术进行永久性消除,Firefox还是提供了内置选项来清除自身所产生的很多临时文件。这个功能在Firefox 指南 和Firefox 网站上都有描述。
CCleaner常见问题提供了关于安装和使用该工具的进一步信息。
Peter Guttmann的《从磁性记忆体与固态记忆体里安全删除数据》值得一读,尽管此文章的技术性很强。他所描述的方法对Eraser和其他安全删除工具的开发者影响很大。
---------------------------------------------------------------------------------------------------
<<消除一个存储设备上的所有内容的诀窍 up 7.如何使您的互联网通信保持私密>>
CCleaner常见问题提供了关于安装和使用该工具的进一步信息。
Peter Guttmann的《从磁性记忆体与固态记忆体里安全删除数据》值得一读,尽管此文章的技术性很强。他所描述的方法对Eraser和其他安全删除工具的开发者影响很大。
---------------------------------------------------------------------------------------------------
<<消除一个存储设备上的所有内容的诀窍 up 7.如何使您的互联网通信保持私密>>
消除一个存储设备上的所有内容的诀窍
您可能偶尔需要彻底消除存储设备里的内容。当您出售或转赠一台旧电脑时,最好是先移除硬盘,然后让电脑的新主人自己购买一个。然而如果不能这样,您应该至少在把硬盘移交之前使用Eraser进行彻底消除。就算您可以保留硬盘,无论您打算再次使用或者弃置一旁,您可能都希望 消除 它的内容。同样,如果您购买了一个新硬盘,在把数据复制过去并且做好备份之后,您也应该消除您的旧硬盘。如果您打算丢弃或回收一个旧硬盘,您也应该考虑从物理上毁灭它。(很多电脑支援专家建议,在丢弃任何曾经包含敏感资料的数据存储设备前,用锤子猛力砸它几遍。)
在上述的任何一种情况中,您都需要使用Eraser来消除整个硬盘,但只要操作系统在该硬盘上运行,这就不可能实现。要绕过这个问题,最简单的方法是移除硬盘并把它放进一个外置USB硬盘盒里,再连上任何一台已经装有Eraser的电脑。这样,您就可以删除外置硬盘里的所有内容,然后用Eraser来消除它的所有未分配空间。还好您并不需要经常这么做,因为这是很费时间的。
与其去消除储存在可擦写CD或DVD光盘上的数据,直接把光盘破坏通常会更好。如有需要,您可以再创建一张新的盘来装载您想保存的资料。当然,这是破坏一张不可擦写光盘的唯一方法。要破坏一张CD或DVD里的内容是格外困难的。您可能听说过,哪怕光盘已经被切成小碎块,里面的信息仍然被恢复了。虽然这些故事都是真的,但这种信息重组需要大量的时间和专业知识。您要自行判断,是否有人会如此大费周折来获取您的数据。通常,使用一把坚硬的剪刀(或者一台强力碎纸机)便能漂亮地完成此工作。如果您想采取额外的预防措施,您可以把剪烂的碎块搞混,再丢弃在距离您的住所或办公室较远的不同地点。
................................................................................................
Elena: 我还保存着一张旧CD,里面有我的网站服务器日志,我听说可以把CD放进微波炉里去破坏它。但不知为何,我觉得这是个馊主意。真的有人会这么做吗?有效吗? Nikolai: 我觉得这能有效地破坏数据,但我也不清楚,因为我也没试过把一张CD放进微波炉啊!您说得对,这听起来是个很可怕的主意。就算它的金属成分不会破坏您的微波炉或使它起火,我肯定那塑料成分也会释放有害的烟雾。想到这点,我也不推荐用火来烧毁CD。
................................................................................................
----------------------------------------------------------------------------------------------
<<有效地使用安全删除工具的窍门 up 延伸阅读>>
在上述的任何一种情况中,您都需要使用Eraser来消除整个硬盘,但只要操作系统在该硬盘上运行,这就不可能实现。要绕过这个问题,最简单的方法是移除硬盘并把它放进一个外置USB硬盘盒里,再连上任何一台已经装有Eraser的电脑。这样,您就可以删除外置硬盘里的所有内容,然后用Eraser来消除它的所有未分配空间。还好您并不需要经常这么做,因为这是很费时间的。
与其去消除储存在可擦写CD或DVD光盘上的数据,直接把光盘破坏通常会更好。如有需要,您可以再创建一张新的盘来装载您想保存的资料。当然,这是破坏一张不可擦写光盘的唯一方法。要破坏一张CD或DVD里的内容是格外困难的。您可能听说过,哪怕光盘已经被切成小碎块,里面的信息仍然被恢复了。虽然这些故事都是真的,但这种信息重组需要大量的时间和专业知识。您要自行判断,是否有人会如此大费周折来获取您的数据。通常,使用一把坚硬的剪刀(或者一台强力碎纸机)便能漂亮地完成此工作。如果您想采取额外的预防措施,您可以把剪烂的碎块搞混,再丢弃在距离您的住所或办公室较远的不同地点。
................................................................................................
Elena: 我还保存着一张旧CD,里面有我的网站服务器日志,我听说可以把CD放进微波炉里去破坏它。但不知为何,我觉得这是个馊主意。真的有人会这么做吗?有效吗? Nikolai: 我觉得这能有效地破坏数据,但我也不清楚,因为我也没试过把一张CD放进微波炉啊!您说得对,这听起来是个很可怕的主意。就算它的金属成分不会破坏您的微波炉或使它起火,我肯定那塑料成分也会释放有害的烟雾。想到这点,我也不推荐用火来烧毁CD。
................................................................................................
----------------------------------------------------------------------------------------------
<<有效地使用安全删除工具的窍门 up 延伸阅读>>
有效地使用安全删除工具的窍门
您现在已经了解到,即使您勤快地删除敏感文件,您的电脑或存储设备上的资料仍然可能泄露出去。您也知道使用什么工具可以永久性地消除信息。您可以遵循以下几个步骤,来确保您的驱动器已经被安全有效地清理过,尤其如果您是第一次使用这些工具:
然后您应该养成如下习惯:
----------------------------------------------------------------------------------------------
<<使用安全删除工具来消除资料 up 消除一个存储设备上的所有内容的诀窍>>
- 给您的重要文件创建一个加密备份,如第五章:如何恢复丢失的数据里讨论的那样。
- 关闭所有不需要用到的程序,断开互联网连接。
- 从所有存储设备上删除所有不必要的文件,清空回收站。
- 使用CCleaner 消除临时文件
- 使用Eraser 消除 Windows 交换文件
- 使用Eraser 消除电脑和其他存储设备上的未使用空间。这个过程也许需要花上整个晚上,因为可能会很缓慢。
然后您应该养成如下习惯:
- 定期使用CCleaner消除临时文件
- 使用Eraser来消除敏感的电子文档,而非使用回收站或Windows的删除功能
- 定期使用Eraser来消除Windows交换文件
- 定期使用Eraser来消除您的硬盘、U盘和任何其他最近可能删除过敏感资料的存储设备上的所有未分配空间。可能包括软盘、可擦写CD、可擦写DVD,和照相机、移动电话、随身听里的可移除闪存卡。
----------------------------------------------------------------------------------------------
<<使用安全删除工具来消除资料 up 消除一个存储设备上的所有内容的诀窍>>
使用安全删除工具来消除资料
当您使用某个本章里所推荐的安全删除工具的时候,更准确来说您是要替换或者“覆盖”您的敏感资料,而不是简单的删除。如果您想象一下前面的讨论中设想出来的档案柜里面的一份文件是用铅笔书写的,那么安全删除软件所做的就不止是消除内容,而且还在每一个字上面涂刮。数字信息就像铅笔痕,尽管字迹模糊,但在删除和复写之后,仍还可以被读取。正因如此,这里所推荐的工具会用随机的数据把文件重写好几次。这个过程叫消除,而重写的次数越多,则越难恢复原始的内容。专家们普遍同意,重写应该进行三次或以上,有些标准甚至推荐复写七次或更多。消除软件会自动安排合理的复写次数,但您可以根据偏好作出改变。
消除文件
有两种普通的方法能从您的硬盘或存储设备上消除文件。您可以消除单个文件或者消除驱动器上的所有“未分配的”空间。做这个决定的时候,考虑一下前面提到的其他假设示例可能会有所裨益 --- 尽管可见的文件只有一个,却可能有长篇报告显示有未完成的副本散布在硬盘各处。如果您消除文件本身,您能保证当前的版本被彻底删除,但您把其他副本留在了原处。实际上,我们无法直接地找出那些副本,因为如果不使用特殊的软件,它们都是不可见的。然而,通过消除您的存储设备的所有空白空间,您就可以确保先前删除了的信息都被销毁。回到那个标签贴得很糟糕的档案柜的比喻上,这个过程可以比作搜遍档案柜,然后擦掉并且涂刮任何已经去掉了标签的文档。
Eraser是一个免费的、开源的安全删除工具,非常容易使用。您可以使用Eraser通过三种不同的方法来消除文件:选择单个文件,选择回收站里的文件,或者消除驱动器上的所有未分配空间。Eraser也可以消除Windows交换文件里的内容,这会在后面进行讨论。
............................................................
上手指南:查看Eraser 指南并开始使用
............................................................
安全删除工具不会毁坏任何可见的文件,除非您明确地去消除它们,但您在使用这样的工具时仍需要小心。毕竟,意外无法避免,这也是为什么人们觉得回收站和数据恢复工具是如此的有用。如果您习惯了每次删除东西后都进行消除,您可能会发现自己连一个简单的错误都无法挽回。在从电脑上消除大量的数据之前,您务必要有一个安全备份。
.................................................................................................
Elena: 我知道像Microsoft Word和Open Office这种文书处理程序常常会在您编辑一个文档时创建临时的副本。其他程序也会这样吗?还是说我只需要担心我自己创建和删除的文件? Nikolai: 其实,您的电脑上很多地方都有程序会留下关于您的个人信息和网上行为的痕迹。我是说您所访问过的网站、最近书写的电子邮件草稿,诸如此类。根据您使用这台电脑的频率,所有的这些东西都可能很敏感。
..................................................................................................
消除临时数据
让Eraser 消除驱动器上所有未分配空间的这个功能,其实没有听上去那么危险,因为它只会消除早前就被删除了的内容。正常来说,可见的文件都不会受到影响。另一方面,这点凸显了另外一个问题。Eraser并不能帮您清理还没被删除但可能隐藏得很好的敏感资料。例如,含有这种内容的文件可能被藏在不重要的文件夹里,又或者以无意义的文件名来储存。这对于电子文档而言不是一个大问题,但对于那些在您使用电脑时自动收集的信息就可能很重要。例子包括:
为了从电脑上删除常见的临时文件,您可以使用一个叫CCleaner的免费软件,它正是为了清理诸如Internet Explorer、Mozilla Firefox和Microsoft Office这些(据知这些程序都会暴露潜在的敏感资料)应用程序以及Windows本身而设计的。CCleaner具有安全删除文件的能力,这能使您无需每次运行它之后,再去使用Eraser来消除驱动器里的未分配空间。
.......................................................
上手指南:查看CCleaner 指南并开始使用
.......................................................
------------------------------------------------------------------------------------------------
<<删除数据 up 有效地使用安全删除工具的窍门 >>
消除文件
有两种普通的方法能从您的硬盘或存储设备上消除文件。您可以消除单个文件或者消除驱动器上的所有“未分配的”空间。做这个决定的时候,考虑一下前面提到的其他假设示例可能会有所裨益 --- 尽管可见的文件只有一个,却可能有长篇报告显示有未完成的副本散布在硬盘各处。如果您消除文件本身,您能保证当前的版本被彻底删除,但您把其他副本留在了原处。实际上,我们无法直接地找出那些副本,因为如果不使用特殊的软件,它们都是不可见的。然而,通过消除您的存储设备的所有空白空间,您就可以确保先前删除了的信息都被销毁。回到那个标签贴得很糟糕的档案柜的比喻上,这个过程可以比作搜遍档案柜,然后擦掉并且涂刮任何已经去掉了标签的文档。
Eraser是一个免费的、开源的安全删除工具,非常容易使用。您可以使用Eraser通过三种不同的方法来消除文件:选择单个文件,选择回收站里的文件,或者消除驱动器上的所有未分配空间。Eraser也可以消除Windows交换文件里的内容,这会在后面进行讨论。
............................................................
上手指南:查看Eraser 指南并开始使用
............................................................
安全删除工具不会毁坏任何可见的文件,除非您明确地去消除它们,但您在使用这样的工具时仍需要小心。毕竟,意外无法避免,这也是为什么人们觉得回收站和数据恢复工具是如此的有用。如果您习惯了每次删除东西后都进行消除,您可能会发现自己连一个简单的错误都无法挽回。在从电脑上消除大量的数据之前,您务必要有一个安全备份。
.................................................................................................
Elena: 我知道像Microsoft Word和Open Office这种文书处理程序常常会在您编辑一个文档时创建临时的副本。其他程序也会这样吗?还是说我只需要担心我自己创建和删除的文件? Nikolai: 其实,您的电脑上很多地方都有程序会留下关于您的个人信息和网上行为的痕迹。我是说您所访问过的网站、最近书写的电子邮件草稿,诸如此类。根据您使用这台电脑的频率,所有的这些东西都可能很敏感。
..................................................................................................
消除临时数据
让Eraser 消除驱动器上所有未分配空间的这个功能,其实没有听上去那么危险,因为它只会消除早前就被删除了的内容。正常来说,可见的文件都不会受到影响。另一方面,这点凸显了另外一个问题。Eraser并不能帮您清理还没被删除但可能隐藏得很好的敏感资料。例如,含有这种内容的文件可能被藏在不重要的文件夹里,又或者以无意义的文件名来储存。这对于电子文档而言不是一个大问题,但对于那些在您使用电脑时自动收集的信息就可能很重要。例子包括:
- 您的浏览器在显示网页的时候所记录的临时数据,包括文字、图像、cookies、帐户信息、用于填写网上表单的个人资料,以及您所访问过的网站的历史记录。
- 为了帮助您在电脑崩溃之前来不及保存工作进度的情况下进行恢复,许多应用程序会保存一些临时文件。这些文件可能包括文字、图片、电子表格数据和别的文件名称,还有其他潜在的敏感资料。
- Windows为了方便用户而保存的文件与快捷方式,例如您最近使用过的应用程序的快捷方式,指向那些您宁愿保持隐蔽的文件夹的链接,当然还有您忘记清空的回收站里的内容。
- Windows 交换文件。当您的电脑存储容量用完了,例如当您在一台旧电脑上同时运行多个程序,Windows有时会把您正在使用的数据复制到一个大的交换文件里。于是,这个文件里可能包含几乎所有东西,包括网页、文档内容、密码和加密钥匙。就算您关闭了电脑,交换文件也不会被删除,所以您必须手动消除它。
为了从电脑上删除常见的临时文件,您可以使用一个叫CCleaner的免费软件,它正是为了清理诸如Internet Explorer、Mozilla Firefox和Microsoft Office这些(据知这些程序都会暴露潜在的敏感资料)应用程序以及Windows本身而设计的。CCleaner具有安全删除文件的能力,这能使您无需每次运行它之后,再去使用Eraser来消除驱动器里的未分配空间。
.......................................................
上手指南:查看CCleaner 指南并开始使用
.......................................................
------------------------------------------------------------------------------------------------
<<删除数据 up 有效地使用安全删除工具的窍门 >>
删除数据
从纯技术角度上说,您的电脑上并没有“删除”的功能。当然,您可以把一个文件拖进回收站然后清空,但这仅仅会清除掉图标,把文件名从一个隐藏的、包含了您电脑中所有内容的索引中除掉,并且告诉Windows可以把该空间留作他用。然而,在这个空间真的被Windows使用之前,它仍然被删除了的资料所包含的内容占用着,就像一个被移除了所有标签的档案柜仍然装满了档案。这就是为什么说,如果您有合适的软件并且及时行动,您就可以把意外删除的文件恢复,正如第五章:如何恢复丢失的数据里所说的那样。
您还应该记住,每次您使用电脑的时候,都有文件在您并不知情的情况下被创建和不安全地删除。假设,例如您正在写一篇很长的报告,可能要花一个星期,每天写好几个小时,而每次当您保存这个文档的时候,Windows都会创建一个新的副本并储存在您的硬盘上。经过数天的编辑之后,您可能不知不觉地保存了这个文档的若干个版本,而每一个的完成度都不一样。
当然,Windows通常也会删除文件的旧版本,但当有了一个新版本时,Windows并不会找出原始版本的精确位置并安全地进行重写。相反,它只会在刚才的比喻里提到的档案柜中找一个新的区域来放置最新的版本,并把标签从旧区域移动到新区域,然后把之前的草稿留在原地,直到别的程序需要使用那个空间。显然,如果您有充分的理由要从档案柜里清除那份文档的所有痕迹,那么只移除最新的副本是不够的,而仅仅把标签拿掉则更加糟糕。 同时也要记住,电脑硬盘并不是储存数字信息的唯一设备。CD、DVD、U盘、软盘、移动电话里的闪存卡和移动硬盘都存在着同样的问题,而您不应该相信一个简单的删除或重写操作便能消除它们上面的敏感数据。
-----------------------------------------------------------------------------------------------
<<6. 如何销毁敏感资料 up 使用安全删除工具来消除资料 >>
您还应该记住,每次您使用电脑的时候,都有文件在您并不知情的情况下被创建和不安全地删除。假设,例如您正在写一篇很长的报告,可能要花一个星期,每天写好几个小时,而每次当您保存这个文档的时候,Windows都会创建一个新的副本并储存在您的硬盘上。经过数天的编辑之后,您可能不知不觉地保存了这个文档的若干个版本,而每一个的完成度都不一样。
当然,Windows通常也会删除文件的旧版本,但当有了一个新版本时,Windows并不会找出原始版本的精确位置并安全地进行重写。相反,它只会在刚才的比喻里提到的档案柜中找一个新的区域来放置最新的版本,并把标签从旧区域移动到新区域,然后把之前的草稿留在原地,直到别的程序需要使用那个空间。显然,如果您有充分的理由要从档案柜里清除那份文档的所有痕迹,那么只移除最新的副本是不够的,而仅仅把标签拿掉则更加糟糕。 同时也要记住,电脑硬盘并不是储存数字信息的唯一设备。CD、DVD、U盘、软盘、移动电话里的闪存卡和移动硬盘都存在着同样的问题,而您不应该相信一个简单的删除或重写操作便能消除它们上面的敏感数据。
-----------------------------------------------------------------------------------------------
<<6. 如何销毁敏感资料 up 使用安全删除工具来消除资料 >>
6. 如何销毁敏感资料
在之前的章节中我们讨论了一些能帮助您保护敏感数据的工具与行为习惯,但当您决定不再需要保留某份资料的时候又该怎样呢?比如说,如果您确定某个特定文件的加密备份已经足够充分,而您想要删除其主本,怎样做才是最好的呢?恐怕答案比您想象中的要复杂。当您删除一个文件,即便在您清空回收站之后,该文件的内容仍然存留在您的硬盘里,任何人只要有恰当的工具和一点点运气,都可以把它恢复出来。
为了确保已删除的文件不落入他人之手,您得依靠能够安全、永久地删除数据的特殊软件。下面所讨论的Eraser就是这样的一款工具。使用Eraser有点像使用碎纸机而非只是把文件扔进垃圾桶然后指望没有人会找到它。当然了,删除文件只是当您需要销毁敏感资料时的一种做法。如果您仔细想到,有人,特别是有权有势并怀有政治动机的敌人,只要阅读了您以为已经删除掉的文件,便能了解您或您的组织,您大概还会考虑永久删除更多的数据,例如销毁过时的备份、把旧硬盘送出去之前进行消除、删除旧的用户帐户、清除您的网页浏览历史。本章描述到的另一款工具CCleaner可以帮助您应对删除每次使用操作系统和应用程序时创建的临时文件所带来的问题。
设定场景
......................................................................................................................
Elena 是一位在俄语国家的环保人士,她在当地维护着一个越来越受关注的网站,该网站凸显出该地区非法砍伐森林的严重程度。她已经对用于创建网站的资料作了一个备份,并把备份的副本分别存放在家、办公室和她的新手提电脑上。最近,她也开始备份她网站的访客记录和包含有她网站论坛上的用户帖子的数据库。Elena很快要出国去参加一次大型的全球性环保主义者会议,有些与会者报称在过境时电脑被拿走了超过一个小时。为了保护她的敏感资料和在她论坛上那些更具政治性的参与者的安全,她已经把家里和办公室里的备份放进一个TrueCrypt卷,并且删除了她手提电脑上的副本。她向她的侄子Nikolai咨询,他提醒说,如果担心电脑被边境官员扣押,她需要做的还不止是删除旧备份。
.....................................................................................................................
您将从本章节学到的内容
-------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------
<<延伸阅读 up 删除数据>>
为了确保已删除的文件不落入他人之手,您得依靠能够安全、永久地删除数据的特殊软件。下面所讨论的Eraser就是这样的一款工具。使用Eraser有点像使用碎纸机而非只是把文件扔进垃圾桶然后指望没有人会找到它。当然了,删除文件只是当您需要销毁敏感资料时的一种做法。如果您仔细想到,有人,特别是有权有势并怀有政治动机的敌人,只要阅读了您以为已经删除掉的文件,便能了解您或您的组织,您大概还会考虑永久删除更多的数据,例如销毁过时的备份、把旧硬盘送出去之前进行消除、删除旧的用户帐户、清除您的网页浏览历史。本章描述到的另一款工具CCleaner可以帮助您应对删除每次使用操作系统和应用程序时创建的临时文件所带来的问题。
设定场景
......................................................................................................................
Elena 是一位在俄语国家的环保人士,她在当地维护着一个越来越受关注的网站,该网站凸显出该地区非法砍伐森林的严重程度。她已经对用于创建网站的资料作了一个备份,并把备份的副本分别存放在家、办公室和她的新手提电脑上。最近,她也开始备份她网站的访客记录和包含有她网站论坛上的用户帖子的数据库。Elena很快要出国去参加一次大型的全球性环保主义者会议,有些与会者报称在过境时电脑被拿走了超过一个小时。为了保护她的敏感资料和在她论坛上那些更具政治性的参与者的安全,她已经把家里和办公室里的备份放进一个TrueCrypt卷,并且删除了她手提电脑上的副本。她向她的侄子Nikolai咨询,他提醒说,如果担心电脑被边境官员扣押,她需要做的还不止是删除旧备份。
.....................................................................................................................
您将从本章节学到的内容
- 如何永久删除您电脑上的敏感资料
- 如何删除存储在CD和U盘这样的可移除设备上的资料
- 如何防止别人知道您曾经在您的电脑上查看过哪些文档
- 如何维护您的电脑,以使删除了的文件将来无法被恢复
-------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------
<<延伸阅读 up 删除数据>>
延伸阅读
- 更多关于备份和数据恢复的信息,可在人权捍卫者的数字安全与隐私一书中的信息备份、销毁和恢复章节中找到。
-只要您先把备份加密,有几个免费在线数据储存服务可以为备份少量的敏感数据提供便利。 Dropbox和ADrive是当中的佼佼者。
- Wikipedia上有一篇关于数据恢复的优秀文章。
----------------------------------------------------------------------------------------------
<<恢复意外删除的文件 up 6. 如何销毁敏感资料>>
恢复意外删除的文件
当您在Windows下删除一个文件,它从您的视线里消失了,但它的内容却仍然留在电脑里。即使在您清空回收站之后,您所删除的文件所包含的信息通常仍然能在硬盘上找出来。请参看第六章:如何销毁敏感资料的内容。有时候,如果您意外地删除了一个重要的文件或文件夹,这个安全漏洞能变不利为有利。有几款程序能帮您恢复最近删除的文件,其中有一款自由开源软件工具,叫Undelete Plus。
..........................................................
上手指南:查看Undelete Plus 指南并开始使用
..........................................................
这些工具并不总是有效的,因为Windows可能在您删除了的信息之上写入了新的数据。因此,在您删除了一个文件而又试图使用类似Undelete Plus的工具去恢复它的期间,尽可能减少电脑操作,这点很重要。在尝试恢复该文件前,您使用电脑的时间越长,则越不可能成功。这也意味着您应该预先安装好数据恢复软件。如果您不得不在删除了一个重要的文件之后才去安装,该软件本身就可能会覆盖您试图要恢复的关键数据。
尽管听起来似乎需要很大的努力来实施本章所描述到的策略和学习使用那些工具,然而一旦整个系统已经到位,维护您的备份策略就比起初次把它建立起来要容易得多。还有,鉴于备份是数据安全最为重要的一个方面,您大可以安心,经历这个过程绝对是值得的。
-------------------------------------------------------------------------------------------------
<<创建数据备份 up 延伸阅读>>
..........................................................
上手指南:查看Undelete Plus 指南并开始使用
..........................................................
这些工具并不总是有效的,因为Windows可能在您删除了的信息之上写入了新的数据。因此,在您删除了一个文件而又试图使用类似Undelete Plus的工具去恢复它的期间,尽可能减少电脑操作,这点很重要。在尝试恢复该文件前,您使用电脑的时间越长,则越不可能成功。这也意味着您应该预先安装好数据恢复软件。如果您不得不在删除了一个重要的文件之后才去安装,该软件本身就可能会覆盖您试图要恢复的关键数据。
尽管听起来似乎需要很大的努力来实施本章所描述到的策略和学习使用那些工具,然而一旦整个系统已经到位,维护您的备份策略就比起初次把它建立起来要容易得多。还有,鉴于备份是数据安全最为重要的一个方面,您大可以安心,经历这个过程绝对是值得的。
-------------------------------------------------------------------------------------------------
<<创建数据备份 up 延伸阅读>>
创建数据备份
在讨论到的众多数据类型当中,“电子文档”是人们在建立备份策略时最为担心的。这个词有点模棱两可,但通常是指那些您用于自我记录,通过双击它们或使用某个应用程序的“文件”菜单来手动打开的文件。具体来说,它包括文本文件、文书处理文档、PPT简报、PDF文档和电子表格,还有其他。跟电子邮件信息不同的是,电子文档通常不会在互联网上有同步的远程副本。
在备份您的电子文档时,您应该记得也备份您的程序数据库。比如说,如果您使用一个日历程序或者电子地址簿,您就需要找到这些程序储存数据的文件夹。走运的话,这些数据库跟您的电子文档会储存在相同的位置,比如,在一台Windows电脑上它们通常会保存在“我的文档”里。如果不是这样,您就应该把适当的文件夹添加到您的常规备份里。
用Thunderbird这样的应用程序来储存电子邮件,这是程序数据库的一种特殊情况。如果您使用一个电子邮件程序,而且您不能或不愿意在服务器上保留一份信息副本,那您就必须确保您的常规备份包括这个电子邮件数据库。您可以根据互动的方式,把图像和视频文件视为电子文档,或者是程序数据库里的项目内容。比如,像Windows Media Player和iTunes这种应用程序,就像数据库那样运作。如果您使用这样的程序,您可能需要通过搜索您的硬盘,才知道它们把帮助您管理的媒体文件都存放在哪里。
存储设备
在您备份您的电子文档之前,您需要决定使用哪一种存储设备。
CD - CD能储存约700兆字节(MB)的数据,您将需要一台CD刻录机和空白CD盘来创建CD备份。如果您想擦写一张CD并更新储存于其上的文件,您就需要一台CD-RW刻录机和可擦写CD盘。所有主流的操作系统,包括Windows XP,现在都有内置的软件来刻录CD和CD-RW。请记住,写进这些盘片里的数据会在五年或十年后开始老化。如果您需要把备份保存得更久,您需要偶尔重新创建这些CD、购买特别“耐用”的盘片,或使用别的备份方法。
DVD - DVD能储存4.7千兆字节(GB)的数据。它们的原理跟CD差不多,但需要稍微昂贵一点的设备。您需要一台DVD或DVD-RW刻录机和合适的盘片。跟CD一样,写进一张正常DVD里的数据最终也会老化。
U盘 - 一个U盘能储存它的最大容量所允许的数据。即使是容量等于或大于一张CD或DVD的U盘也可能很便宜,它们易于擦除或复写很多次。跟CD和DVD一样,U盘使用寿命也有限,通常估计约为10年。
远程服务器 - 一台维护良好的网络备份服务器可能有无限的容量,但这种做法是否现实还得取决于您连接互联网的速度和稳定性。请记住,在您自己的办公室里运行一台备份服务器,虽然比把数据复制到互联网上更为快捷,却违背了要把重要的数据副本保存在两个不同物理位置的要求。互联网上也有免费的存储服务,但在把备份上传到您不认识或不信任的组织或个人所运行的服务器上之前,您应该把备份加密。请参看延伸阅读以了解一些案例。
备份软件
Cobian Backup是一款容易操作的工具,您可以设定它到了常规预定的时间就自动运行,也可以设定为只针对上次备份之后有过改动的文件进行备份。它还可以压缩备份以占用更少的空间。
.....................................................................
上手指南:查看Cobian Backup 指南并开始使用
.....................................................................
一如既往,使用像TrueCrypt这样的工具把备份加密是个好主意。在第四章:如何加密您计算机上的敏感数据中找到可以更多关于数据加密的资料。
.....................................................................
上手指南:查看TrueCrypt 指南并开始使用
.....................................................................
使用这些备份工具的时候,您可以做一些事情使得您的备份系统工作更为顺畅:
.................................................................................................
Elena: 好了,我在上班的时候制作了一个加密备份,放在一张CD上。Cobian已设定为几天之后更新我的备份。我的工作桌有一个上锁的抽屉,我打算把这些备份CD放进去,那它们就不会丢失或损坏。
Nikolai: 但如果您的办公室发生火灾呢?电脑、桌子、备份CD和所有东西被烧精光了呢?或者,如果您的网站论坛经常策划大型的环保示威活动,而当局进行镇压,事态无法控制,整个组织被查抄了呢?我可不相信您桌子上那小小的锁能阻止警察查抄那些CD。把它们放在家里,或者请朋友帮您保管,如何?
.................................................................................................
------------------------------------------------------------------------------------------------
<<明确您的备份策略 up 恢复意外删除的文件>>
在备份您的电子文档时,您应该记得也备份您的程序数据库。比如说,如果您使用一个日历程序或者电子地址簿,您就需要找到这些程序储存数据的文件夹。走运的话,这些数据库跟您的电子文档会储存在相同的位置,比如,在一台Windows电脑上它们通常会保存在“我的文档”里。如果不是这样,您就应该把适当的文件夹添加到您的常规备份里。
用Thunderbird这样的应用程序来储存电子邮件,这是程序数据库的一种特殊情况。如果您使用一个电子邮件程序,而且您不能或不愿意在服务器上保留一份信息副本,那您就必须确保您的常规备份包括这个电子邮件数据库。您可以根据互动的方式,把图像和视频文件视为电子文档,或者是程序数据库里的项目内容。比如,像Windows Media Player和iTunes这种应用程序,就像数据库那样运作。如果您使用这样的程序,您可能需要通过搜索您的硬盘,才知道它们把帮助您管理的媒体文件都存放在哪里。
存储设备
在您备份您的电子文档之前,您需要决定使用哪一种存储设备。
CD - CD能储存约700兆字节(MB)的数据,您将需要一台CD刻录机和空白CD盘来创建CD备份。如果您想擦写一张CD并更新储存于其上的文件,您就需要一台CD-RW刻录机和可擦写CD盘。所有主流的操作系统,包括Windows XP,现在都有内置的软件来刻录CD和CD-RW。请记住,写进这些盘片里的数据会在五年或十年后开始老化。如果您需要把备份保存得更久,您需要偶尔重新创建这些CD、购买特别“耐用”的盘片,或使用别的备份方法。
DVD - DVD能储存4.7千兆字节(GB)的数据。它们的原理跟CD差不多,但需要稍微昂贵一点的设备。您需要一台DVD或DVD-RW刻录机和合适的盘片。跟CD一样,写进一张正常DVD里的数据最终也会老化。
U盘 - 一个U盘能储存它的最大容量所允许的数据。即使是容量等于或大于一张CD或DVD的U盘也可能很便宜,它们易于擦除或复写很多次。跟CD和DVD一样,U盘使用寿命也有限,通常估计约为10年。
远程服务器 - 一台维护良好的网络备份服务器可能有无限的容量,但这种做法是否现实还得取决于您连接互联网的速度和稳定性。请记住,在您自己的办公室里运行一台备份服务器,虽然比把数据复制到互联网上更为快捷,却违背了要把重要的数据副本保存在两个不同物理位置的要求。互联网上也有免费的存储服务,但在把备份上传到您不认识或不信任的组织或个人所运行的服务器上之前,您应该把备份加密。请参看延伸阅读以了解一些案例。
备份软件
Cobian Backup是一款容易操作的工具,您可以设定它到了常规预定的时间就自动运行,也可以设定为只针对上次备份之后有过改动的文件进行备份。它还可以压缩备份以占用更少的空间。
.....................................................................
上手指南:查看Cobian Backup 指南并开始使用
.....................................................................
一如既往,使用像TrueCrypt这样的工具把备份加密是个好主意。在第四章:如何加密您计算机上的敏感数据中找到可以更多关于数据加密的资料。
.....................................................................
上手指南:查看TrueCrypt 指南并开始使用
.....................................................................
使用这些备份工具的时候,您可以做一些事情使得您的备份系统工作更为顺畅:
- 整理您电脑上的文件。尽量把所有包含了您想要备份的电子文档的文件夹放到同一个位置。比如放在“我的文档”文件夹里。
- 如果您使用要把自身数据存放在应用程序数据库里的软件,您首先要决定改数据库的位置。如果您觉得默认的位置不太方便,可以看程序是否允许您给数据库选择一个新的位置。如果允许,您可以把数据库放到与电子文档相同的位置。
- 创建一个常规时间表来进行备份。
- 尝试给您的办公室里那些还没有一套可靠安全的备份策略的员工确立程序。帮助您的同事认识到这个问题的重要性。
- 务必要测试从备份恢复数据的过程。记住,您最终真正关心的是恢复的过程而非备份的过程!
.................................................................................................
Elena: 好了,我在上班的时候制作了一个加密备份,放在一张CD上。Cobian已设定为几天之后更新我的备份。我的工作桌有一个上锁的抽屉,我打算把这些备份CD放进去,那它们就不会丢失或损坏。
Nikolai: 但如果您的办公室发生火灾呢?电脑、桌子、备份CD和所有东西被烧精光了呢?或者,如果您的网站论坛经常策划大型的环保示威活动,而当局进行镇压,事态无法控制,整个组织被查抄了呢?我可不相信您桌子上那小小的锁能阻止警察查抄那些CD。把它们放在家里,或者请朋友帮您保管,如何?
.................................................................................................
------------------------------------------------------------------------------------------------
<<明确您的备份策略 up 恢复意外删除的文件>>
明确您的备份策略
要备份以上列出的所有数据类型,您需要一系列的软件与过程解决方案。重点是,您需要确保每种数据类型都储存在至少两个不同的地方。电子文档 - 使用一款如Cobian Backup的程序给您电脑上的文档创建一个完整的备份,这在下面会进行更详细的描述。把备份储存在便携的设备上,以便您能把它带回家里或带到其他一些安全场所。比起移动硬盘或U盘,使用CD或DVD也许会容易一些,这样当您转移新备份的时候,就不会有丢失旧备份的风险了。空白CD很便宜,您可以每次都使用一张新的来进行备份。因为这类型的数据通常包含着最敏感的资料,所以使用加密把您的电子文档备份保护起来,就尤其重要。您可以在第四章:如何保护您计算机上的敏感文件 和 TrueCrypt指南里学习如何操作。 程序数据库 - 一旦您确定了程序数据库的位置,您可以使用和备份电子文档一样的方法来备份它们。 电子邮件 - 与其只通过网页浏览器来访问您的电子邮件,不如安装一个像 Thunderbird这样的电子邮件客户端,把它配置成您的帐户。多数网页邮箱都提供了如何使用这类程序的指引,而且,通常还教您如何把您的电邮地址导进去。您可以在后面的延伸阅读部分学到更多相关内容。务必在邮件服务器上保留信息的副本,而不要只把它们放到您的电脑里。Thunderbird 指南会详细解释了如何进行此操作。 移动电话的内容 - 要备份您的移动电话里的电话号码和短信,您可以利用适当的软件把它与您的电脑连接起来,这些软件通常可以在您移动电话的制造商的网站上获取到。然而,您可能需要购买一条特殊的USB线缆。或者,您也可以使用移动电话把SIM卡上的短信和联系人信息复制到您的话机本身上,然后再复制到一张备份SIM卡上。这个方法作为应急备份方案尤其有用,但记住要妥善保管另外那张SIM卡。在话机与SIM卡之间复制联系人信息和短信的功能是一项标准配置,但如果您的移动电话允许您把这些资料储存在可移除的闪存卡上,那么备份就更加容易了。 **印刷文档 ** - 如有可能,您应该扫描所有的重要纸张,然后像前面所讨论到的那样,把它们与电子文档一起备份。 最后,您应该以一种能使您的资料更好地对抗灾祸的方法,重新整理您的存储设备、数据类型和备份:
|
..............................................................................................
Elena: 我认识一些人,他们通过把所有重要的文档做成带附件的草稿信息或者发回给自己,从而保存在Gmail里。这能不能算作我的文件的“第二个物理位置”呢?
Nikolai: 如果您丢失了一两份非常重要的文档,那可能会帮您恢复,但这是个挺笨的方法。老实说,您愿意每个星期那样来备份多少个文档呢?再加上,您还需要考虑那些附件是否安全,特别是您本来就担心您的电子邮件被监控了。除非您能安全地访问Gmail,否则这就像把您的敏感资料双手奉上。使用HTTPS连接到 Gmail以备份小的TrueCrypt卷或者KeePass数据库文件还是挺安全的,因为它们都加了密,但我真的不推荐使用这种方法作为一般性的备份策略。
...............................................................................................
-------------------------------------------------------------------------------------------
<<识别与整理您的资料 up 创建数据备份>>
识别与整理您的资料
确保您资料的物理安全、不受恶意软件侵害、被一个良好的防火墙和高强度密码所保护,采取一系列的步骤来预防灾难固然很重要,但光有这些步骤还不足够。出错的可能性实在太多了,包括病毒袭击、黑客入侵、电器短路、电涌、进水、盗窃、被查抄、消磁、操作系统崩溃和硬件故障,这些仅仅是九牛一毛。预防灾难跟对抗灾难同样重要。
.............................................................................................
Elena: 我知道备份很重要,Nikolai,但这不就意味着我应该找别人帮我建立备份吗?我意思是,我真的有时间、资源和专门的技术来亲自完成吗?
Nikolai: 您可以的。制订一套良好的备份计划需要进行一些思量,但这并不会花费很多的时间和金钱。还有,跟丢失所有资料相比起来,这根本不算什么,对吧?另外,备份毫无疑问是您应该亲自处理的事项之一。除非平时帮助您解决技术问题的人非常可靠,也非常清楚您把数字资料存放在什么地方,否则您最好还是亲力亲为。
..............................................................................................
制订一个备份策略的第一步就是设想一下您的个人与工作资料目前在何处。比如说您的电子邮件,可能储存在提供商的邮件服务器里,在您自己的电脑上,或同时在这两个地方。当然,您可能拥有多个电子邮件帐户。再者,您使用的电脑里有重要的文档,而电脑可能在办公室或家里。这些重要文档包括地址簿、聊天记录和个人程序设置。也可能有些资料是储存在可移除的介质上,包括U盘、移动硬盘、CD、DVD和老式的软盘。您的移动电话里有联系人名单,还可能有重要的短信。如果您有一个网站,它可能含有大量经过多年努力而写成的文章。最后,不要忘记您的非数字资料,例如纸质笔记本、日记和信件。
下一步,您需要明确哪些文件是“主本”,哪些是副本。主本通常是某个特定文件或文件集的最新版本,也就是当您需要更新内容时,实际去编辑的那个版本。显然,如果只有唯一的一份的文件,则不存在此区别,但对于某些种类的资料而言,这种分类却是极其重要的。常见的不幸情景就是,尽管对某份重要的文档进行了备份,但主本却在副本被更新之前就丢失或毁坏了。想象一下,比如说您旅行了一周,并一直更新着某个保存在U盘里的电子表格。这时您就应该开始把这一份本文视为您的主本,因为在您办公室电脑里的那些定期自动备份的过时版本已经没有用了。
尽量把上述资料的所有主本和副本的位置写下来。这样会帮您明确需求并开始制订合适的备份策略。下表是一些很基础的例子。当然,您可能会发现您的清单会长得多,包含一些不止单一“数据类型”的“存储设备”和一些在多种设备下出现的数据类型。
数据类型主本/副本 存储设备 地点
电子文档 主本 计算机硬盘 办公室
一些重要的电子文档 副本 USB 记忆棒 随身携带
程序数据库(照片、地址簿、日历等) 主本 计算机硬盘 办公室
一些电子文档 副本 CD 家里
电邮和电邮联系人 主本 Gmail 帐户 互联网
短信和电话联系人 主本 移动电话 随身携带
打印文档(合同、发票等) 主本 桌子抽屉 办公室
在上面的表格里,您可以看到:
---------------------------------------------------------------------------------------------
5. 如何恢复丢失的数据 up 明确您的备份策略>>
.............................................................................................
Elena: 我知道备份很重要,Nikolai,但这不就意味着我应该找别人帮我建立备份吗?我意思是,我真的有时间、资源和专门的技术来亲自完成吗?
Nikolai: 您可以的。制订一套良好的备份计划需要进行一些思量,但这并不会花费很多的时间和金钱。还有,跟丢失所有资料相比起来,这根本不算什么,对吧?另外,备份毫无疑问是您应该亲自处理的事项之一。除非平时帮助您解决技术问题的人非常可靠,也非常清楚您把数字资料存放在什么地方,否则您最好还是亲力亲为。
..............................................................................................
制订一个备份策略的第一步就是设想一下您的个人与工作资料目前在何处。比如说您的电子邮件,可能储存在提供商的邮件服务器里,在您自己的电脑上,或同时在这两个地方。当然,您可能拥有多个电子邮件帐户。再者,您使用的电脑里有重要的文档,而电脑可能在办公室或家里。这些重要文档包括地址簿、聊天记录和个人程序设置。也可能有些资料是储存在可移除的介质上,包括U盘、移动硬盘、CD、DVD和老式的软盘。您的移动电话里有联系人名单,还可能有重要的短信。如果您有一个网站,它可能含有大量经过多年努力而写成的文章。最后,不要忘记您的非数字资料,例如纸质笔记本、日记和信件。
下一步,您需要明确哪些文件是“主本”,哪些是副本。主本通常是某个特定文件或文件集的最新版本,也就是当您需要更新内容时,实际去编辑的那个版本。显然,如果只有唯一的一份的文件,则不存在此区别,但对于某些种类的资料而言,这种分类却是极其重要的。常见的不幸情景就是,尽管对某份重要的文档进行了备份,但主本却在副本被更新之前就丢失或毁坏了。想象一下,比如说您旅行了一周,并一直更新着某个保存在U盘里的电子表格。这时您就应该开始把这一份本文视为您的主本,因为在您办公室电脑里的那些定期自动备份的过时版本已经没有用了。
尽量把上述资料的所有主本和副本的位置写下来。这样会帮您明确需求并开始制订合适的备份策略。下表是一些很基础的例子。当然,您可能会发现您的清单会长得多,包含一些不止单一“数据类型”的“存储设备”和一些在多种设备下出现的数据类型。
数据类型
在上面的表格里,您可以看到:
- 如果您办公室电脑的硬盘崩溃了,唯一能幸存的文档是那些在您的U盘上和家里的CD上的副本。
- 您没有任何电子邮件和地址簿的离线副本,所以如果您忘记了您的密码(或者如果被人恶意地修改了),您将失去访问它们的权限。
- 您没有移动电话里的任何数据的副本。
- 您没有印刷文档(例如合同或发票)的数字化或实体副本。
---------------------------------------------------------------------------------------------
5. 如何恢复丢失的数据 up 明确您的备份策略>>
5. 如何恢复丢失的数据
每一种储存或传输数字信息的新方法都可能带来若干新的隐患,导致这些信息丢失、被盗或毁坏。由于失窃、一时大意、电脑硬件被查抄,或者数码储存技术本身的脆弱性,多年的工作成果很可能毁于一旦。在电脑技术支援专家中流传着这么一句话:“数据会不会丢失,并不是一个问题;问题是何时会丢失。”所以,当这种情况发生在您身上时,您得有最新的备份,以及切实可行的方法来还原它们。否则,当您想起一个备份系统的重要性时,往往为时已晚。
虽然这只是电脑安全的最基本要件之一,制订一套有效的备份策略却不是听起来那么简单。有许多原因可能对规划造成重大的障碍:需要把原来的数据和备份恢复到不同的物理位置,保持备份的秘密性,以及在使用各自的便携存储设备来彼此分享资料的人们之间进行协调的困难。除了备份和文件恢复的策略之外,本章还提到两款专门工具,Cobian Backup和Undelete Plus。
设定场景
.............................................................................................
Elena 是一位俄语国家的环保人士,她开始在当地创办一个网站,依靠照片、视频、地图和故事的创意简报,来凸现该地区非法砍伐森林的严重程度。她多年来一直收集文档、多媒体文件和有关伐木的地理信息,这些信息大部分都储存在她所工作的 NGO的办公室里一台Windows旧电脑上。在根据这些资料来设计网站的时候,她开始意识到了这些资料的重要性,并担心万一她的电脑受到破坏,特别是在她把所有内容复制到网站上之前,该如何维护这些资料。组织里的其他成员不时会使用这台电脑,所以她也希望学会如何恢复文件,以防有人意外删除了包含有她的工作成果的文件夹。她请侄子Nikolai帮她制订一套备份策略。
...................................................................................................
您将从本章节学到的内容
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
<<延伸阅读 up 识别与整理您的资料>>
虽然这只是电脑安全的最基本要件之一,制订一套有效的备份策略却不是听起来那么简单。有许多原因可能对规划造成重大的障碍:需要把原来的数据和备份恢复到不同的物理位置,保持备份的秘密性,以及在使用各自的便携存储设备来彼此分享资料的人们之间进行协调的困难。除了备份和文件恢复的策略之外,本章还提到两款专门工具,Cobian Backup和Undelete Plus。
设定场景
.............................................................................................
Elena 是一位俄语国家的环保人士,她开始在当地创办一个网站,依靠照片、视频、地图和故事的创意简报,来凸现该地区非法砍伐森林的严重程度。她多年来一直收集文档、多媒体文件和有关伐木的地理信息,这些信息大部分都储存在她所工作的 NGO的办公室里一台Windows旧电脑上。在根据这些资料来设计网站的时候,她开始意识到了这些资料的重要性,并担心万一她的电脑受到破坏,特别是在她把所有内容复制到网站上之前,该如何维护这些资料。组织里的其他成员不时会使用这台电脑,所以她也希望学会如何恢复文件,以防有人意外删除了包含有她的工作成果的文件夹。她请侄子Nikolai帮她制订一套备份策略。
...................................................................................................
您将从本章节学到的内容
- 如何整理和备份您的资料
- 您应该把备份保存在哪里
- 如何安全管理您的备份
- 如何恢复被意外删除的文件
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
<<延伸阅读 up 识别与整理您的资料>>
延伸阅读
更多关于如何保护您的资料的信息,请参看《人权捍卫者的数字安全与隐私》一书中的“密码术”、 “信息伪装”章节以及“案例研究 3”。
TrueCrypt FAQ提供了关于TrueCrypt的一些常见问题的回答。
------------------------------------------------------------------------------------------------
<<隐藏您的敏感数据 up 5. 如何恢复丢失的数据>>
TrueCrypt FAQ提供了关于TrueCrypt的一些常见问题的回答。
------------------------------------------------------------------------------------------------
<<隐藏您的敏感数据 up 5. 如何恢复丢失的数据>>
隐藏您的敏感数据
抛开便携性不谈,把保险柜放在家里或办公室里有一个问题,就是它太显眼了。很多人担心使用加密会使自己受到牵连而入罪。虽然加密数据的正当理由比不正当的要多,但这并不代表这种威胁就不存在。从根本上说,有两个理由使您可能不愿意使用像TrueCrypt这样的工具:自证其罪的风险和清楚表明您最敏感的资料所在何处的风险。
担心自证其罪的风险
加密在一些国家是不合法的,这意味着下载、安装或使用此类软件本身就可能是一种罪行。另外,如果警察、军方或情报部门是您要防备的对象之一,那您违反了这些法律的行为就为他们提供了借口来调查您的行动或者迫害您的组织机构。然而,其实您所受到的这种威胁可能跟有关工具的合法性毫不相关。只要跟加密软件沾上一点边(无论您的加密卷里有什么内容),都可以让您因从事犯罪活动或间谍行为被起诉,所以您必须谨慎考虑此类工具对于您的处境是否适当。
如果不幸言中,您还有若干选择:
如有必要,您应该适当采用这些策略。然而,即使在您担心会自证其罪的情况下,使用TrueCrypt仍然可能是最安全的方法,只要您把加密卷尽可能伪装隐藏起来。
如果想使您的加密卷没那么显眼,您可以对它重命名,让它看起来像是另一类文件。使用 '.iso' 扩展名来伪装成CD光盘镜像,对于700MB左右的大尺寸加密卷是个效果很好的方法。其他扩展名对于小一点的加密卷来说则更为现实。这有点像把保险箱隐藏在办公室墙壁上的一副油画背后。这在慎密的调查下可能站不住脚,但也能起到一点保护作用。您可以把TrueCrypt程序重命名,假装您把它作为一个不是程序文件的常规文件储存在硬盘或U 盘上。在TrueCrypt 指南里介绍了具体做法。
担心被鉴别出敏感资料的风险
通常,您可能不太关心由于计算机上或U盘里有加密软件而“被抓现形”的后果,而更担心您的加密卷会明确指出您最想保护的资料的存放位置。也许确实其他人都无法读取资料,但入侵者会知道这些信息在哪里,知道您采取了措施去保护这些信息。入侵者则可以采取一些非技术手段来对付您,试图获取访问权限,例如恐吓、勒索、审问和严刑逼供。在这种情况下,前面提及的TrueCrypt的“隐藏的TrueCrypt加密卷”功能就可以发挥作用了。
TrueCrypt的“隐藏的TrueCrypt加密卷”功能正是使它超越其他文件 加密工具的特色之一。这个功能可以被看作信息伪装的一种特殊形式,把您最为敏感的资料伪装成其他不太敏感的隐藏数据。这有点像给办公室里那个不太精密的保险箱安装一个精巧的暗格。如果入侵者偷到了钥匙,或者威逼您交出锁的密码,他就会找到一些有说服力的“诱饵”资料,但那些并非您真正关心和想要保护的资料。
只有您才知道您的保险箱背后还有一个暗格。这能让您向入侵者交出部分资料,还保留了一些秘密,不完全交待,也能在您因为某种原因不得不透露密码的时候起到保护作用。这些原因可能包括对您本人或您的同事、伙伴、朋友和家人的安全遭受的司法威胁或人身威胁。“隐藏的TrueCrypt加密卷”的目的在于即使您选择继续保护您的资料,您也还有机会逃离潜在的危险处境。然而,正如担心自证其罪的风险里讨论过的那样,如果仅仅因为办公室里有保险箱就足以给您带来严重的后果,这个功能也就没有太大作用了。
TrueCrypt的“隐藏的TrueCrypt加密卷”功能的原理是在您的常规加密卷里再储存一个“隐藏卷”。您要另外提供一个与您平常使用不一样的密码来打开这个隐藏卷。即使一个技术经验丰富的入侵者取得了常规卷的访问权,他也无法证明还有一个隐藏卷。当然,他很可能知道TrueCrypt有着这种隐藏信息的功能,所以这并不意味着在您透露密码后,他们会马上停止威胁。很多人使用TrueCrypt但没有启用“隐藏的TrueCrypt加密卷”功能,然而,人们普遍认为无法通过分析鉴定来证实一个加密卷中是否还含有这种“暗格”,也就是说,您的责任就是保证不通过非技术手段泄露隐藏卷,例如忘记关闭隐藏卷或者允许别的应用程序给它里面所包含的文件创建快捷方式。在下面的延伸阅读部分会给您提供更多有关信息。
..............................................................................................
Claudia: 好的,那么让我们往常规卷里扔些垃圾,然后把我们所有的证词放进隐藏卷里去。您有没有什么过时的PDF文件给我们使用呢?
Pablo: 我也在想这个。我是说,当我们没有别的选择,我们就应该供出那个诱骗密码,对吧?但为了使这更有说服力,我们要把文件弄得看上去很重要,您说不是吗?否则,我们为什么还要加密它们呢?也许我们应该使用一些不相关的财务文件或者一个网站密码的列表或者别的什么东西。
................................................................................................
<<加密您的数据 up 延伸阅读>>
担心自证其罪的风险
加密在一些国家是不合法的,这意味着下载、安装或使用此类软件本身就可能是一种罪行。另外,如果警察、军方或情报部门是您要防备的对象之一,那您违反了这些法律的行为就为他们提供了借口来调查您的行动或者迫害您的组织机构。然而,其实您所受到的这种威胁可能跟有关工具的合法性毫不相关。只要跟加密软件沾上一点边(无论您的加密卷里有什么内容),都可以让您因从事犯罪活动或间谍行为被起诉,所以您必须谨慎考虑此类工具对于您的处境是否适当。
如果不幸言中,您还有若干选择:
- 您可以避免全面使用数据安全软件,这要求您仅储存非机密信息,或创建一套代码词语系统来保护敏感文件里的关键信息。
- 您可以利用信息伪装技巧来隐藏敏感信息,而不用进行加密。有工具能提供这方面的帮助,但正确地使用它们会要求您进行非常谨慎的准备。而且如果被人知道您使用了哪个工具,您仍然会面临被归罪的风险。
- 您可以尝试把所有的敏感信息储存在一个安全电邮账户里。但这要求有可靠的互联网连接和精通计算机与互联网服务知识。此技巧的前提是网络加密比起文件加密来,没那么被归罪,这样做可以避免您不慎把敏感数据复制到自己的硬盘上并置之不理。
- 您可以把敏感资料储存在U盘或移动硬盘里,而不用存在您的电脑里。然而,这种设备一般更容易受损害,它们比计算机更容易丢失或被没收。所以,把敏感的、未加密的资料放在U盘或移动硬盘里通常很不明智。
如有必要,您应该适当采用这些策略。然而,即使在您担心会自证其罪的情况下,使用TrueCrypt仍然可能是最安全的方法,只要您把加密卷尽可能伪装隐藏起来。
如果想使您的加密卷没那么显眼,您可以对它重命名,让它看起来像是另一类文件。使用 '.iso' 扩展名来伪装成CD光盘镜像,对于700MB左右的大尺寸加密卷是个效果很好的方法。其他扩展名对于小一点的加密卷来说则更为现实。这有点像把保险箱隐藏在办公室墙壁上的一副油画背后。这在慎密的调查下可能站不住脚,但也能起到一点保护作用。您可以把TrueCrypt程序重命名,假装您把它作为一个不是程序文件的常规文件储存在硬盘或U 盘上。在TrueCrypt 指南里介绍了具体做法。
担心被鉴别出敏感资料的风险
通常,您可能不太关心由于计算机上或U盘里有加密软件而“被抓现形”的后果,而更担心您的加密卷会明确指出您最想保护的资料的存放位置。也许确实其他人都无法读取资料,但入侵者会知道这些信息在哪里,知道您采取了措施去保护这些信息。入侵者则可以采取一些非技术手段来对付您,试图获取访问权限,例如恐吓、勒索、审问和严刑逼供。在这种情况下,前面提及的TrueCrypt的“隐藏的TrueCrypt加密卷”功能就可以发挥作用了。
TrueCrypt的“隐藏的TrueCrypt加密卷”功能正是使它超越其他文件 加密工具的特色之一。这个功能可以被看作信息伪装的一种特殊形式,把您最为敏感的资料伪装成其他不太敏感的隐藏数据。这有点像给办公室里那个不太精密的保险箱安装一个精巧的暗格。如果入侵者偷到了钥匙,或者威逼您交出锁的密码,他就会找到一些有说服力的“诱饵”资料,但那些并非您真正关心和想要保护的资料。
只有您才知道您的保险箱背后还有一个暗格。这能让您向入侵者交出部分资料,还保留了一些秘密,不完全交待,也能在您因为某种原因不得不透露密码的时候起到保护作用。这些原因可能包括对您本人或您的同事、伙伴、朋友和家人的安全遭受的司法威胁或人身威胁。“隐藏的TrueCrypt加密卷”的目的在于即使您选择继续保护您的资料,您也还有机会逃离潜在的危险处境。然而,正如担心自证其罪的风险里讨论过的那样,如果仅仅因为办公室里有保险箱就足以给您带来严重的后果,这个功能也就没有太大作用了。
TrueCrypt的“隐藏的TrueCrypt加密卷”功能的原理是在您的常规加密卷里再储存一个“隐藏卷”。您要另外提供一个与您平常使用不一样的密码来打开这个隐藏卷。即使一个技术经验丰富的入侵者取得了常规卷的访问权,他也无法证明还有一个隐藏卷。当然,他很可能知道TrueCrypt有着这种隐藏信息的功能,所以这并不意味着在您透露密码后,他们会马上停止威胁。很多人使用TrueCrypt但没有启用“隐藏的TrueCrypt加密卷”功能,然而,人们普遍认为无法通过分析鉴定来证实一个加密卷中是否还含有这种“暗格”,也就是说,您的责任就是保证不通过非技术手段泄露隐藏卷,例如忘记关闭隐藏卷或者允许别的应用程序给它里面所包含的文件创建快捷方式。在下面的延伸阅读部分会给您提供更多有关信息。
..............................................................................................
Claudia: 好的,那么让我们往常规卷里扔些垃圾,然后把我们所有的证词放进隐藏卷里去。您有没有什么过时的PDF文件给我们使用呢?
Pablo: 我也在想这个。我是说,当我们没有别的选择,我们就应该供出那个诱骗密码,对吧?但为了使这更有说服力,我们要把文件弄得看上去很重要,您说不是吗?否则,我们为什么还要加密它们呢?也许我们应该使用一些不相关的财务文件或者一个网站密码的列表或者别的什么东西。
................................................................................................
<<加密您的数据 up 延伸阅读>>
加密您的数据
............................................................................................
Pablo: 我的电脑已经有Windows 登录密码的保护了,这还不够吗?
Claudia: 其实,Windows登录密码通常很容易被破解。而且,只要有足够的时间,任何能接触您的电脑的人都可以用一张Live CD来重启您的电脑,并复制数据而无需担心密码。如果他们设法把电脑带走一段时间,您的麻烦可能会更大。不仅Windows 密码需要您操心,微软的Word或Adobe Acrobat的密码也不值得您信任。
............................................................................................
加密您的数据有点像把它们锁在保险箱里。只有持有钥匙或知道锁的暗码(这里指密钥或者密码)的人才能访问这些数据。这个比喻尤其适用于TrueCrypt及类似工具。这些工具不是每次仅能保护一个文件,它们能创建名为“加密卷”的安全容器,您可以把很多文件同时放进加密卷里,但这些工具不能保护储存在您计算机或U盘以外其他地方的文件。
....................................................
上手指南:查看 TrueCrypt 指南并开始使用。
....................................................
虽然其他工具也能提供同样强度的加密,但TrueCrypt是为尽可能简化这种安全文件储存而特别设计的,而且它还支持把加密卷放在便携存储设备上。它是自由开源软件,在下一部分“如何隐藏您的敏感数据”里将讲述到的它的 “隐藏的TrueCrypt加密卷”特色功能,使TrueCrypt大大优越于许多内置的专有加密工具,例如Windows XP 的“bitlocker”。
.............................................................................................
Pablo: 好吧,现在您让我担心了。那么电脑上的其他用户又如何呢?他们可以访问“我的文档”里的文件吗?
Claudia: 我很欣赏您的思路!如果您的Windows密码不能抵御入侵者,它又怎么能抵御在同一台电脑上有帐户的其他人呢?实际上,您的“我的文档”通常是对任何人可见的。所以其他用户根本不需要耍小聪明就能读取您未加密的文件。您刚才说得对,就算文件夹被标记为“私密”,这仍然不够安全,除非您采取了某些保护措施。
...............................................................................................
安全地使用文件加密的小窍门
保存机密文件对您和您的同事来说可能都是个风险。 加密能降低风险,但不能彻底消除风险。保护敏感资料的第一步就是要减少所保存的数量。除非您有充分的理由去保存某个文件,或一个文件里的某类信息,否则您就应该删除它(参看第六章:如何销毁敏感资料以了解更多关于安全删除的内容)。第二步就是使用一个优秀的文件加密工具,如TrueCrypt。
................................................................................................
Claudia: 那么也许我们不应该保存那些能鉴别出证人身份的证词?您说呢?
Pablo: 我同意。我们也应该尽可能记录得少一些。还有,我们应该想出一个简单的密码来保护那些必须记录下来的姓名和地址。
................................................................................................
回到保险箱的比喻上来。在使用TrueCrypt及此类工具时,您应该谨记若干事项。不论您的保险柜多么稳固,柜门大开总不会给您带来多少好处。当您的TrueCrypt卷完成加载(您能访问里面的内容),您的数据就很容易受到损害,所以除非您真的需要阅读或修改里面的文件,您应该关闭它。
在以下几种情况下,请切记不要把加密卷遗忘在加载状态:
如果您决定把您的TrueCrypt加密卷保存在U盘上,您也可以把一份TrueCrypt程序的副本放在一起。这能使您可以在别人的计算机上访问您的数据。然而,还是老规矩:如果您不确定该计算机上有没有恶意软件,您就不应该在该计算机上输入您的密码或访问敏感数据。
-------------------------------------------------------------------------------------------
<<4. 如何保护您计算机上的敏感文件 up 隐藏您的敏感数据 >>
Pablo: 我的电脑已经有Windows 登录密码的保护了,这还不够吗?
Claudia: 其实,Windows登录密码通常很容易被破解。而且,只要有足够的时间,任何能接触您的电脑的人都可以用一张Live CD来重启您的电脑,并复制数据而无需担心密码。如果他们设法把电脑带走一段时间,您的麻烦可能会更大。不仅Windows 密码需要您操心,微软的Word或Adobe Acrobat的密码也不值得您信任。
............................................................................................
加密您的数据有点像把它们锁在保险箱里。只有持有钥匙或知道锁的暗码(这里指密钥或者密码)的人才能访问这些数据。这个比喻尤其适用于TrueCrypt及类似工具。这些工具不是每次仅能保护一个文件,它们能创建名为“加密卷”的安全容器,您可以把很多文件同时放进加密卷里,但这些工具不能保护储存在您计算机或U盘以外其他地方的文件。
....................................................
上手指南:查看 TrueCrypt 指南并开始使用。
....................................................
虽然其他工具也能提供同样强度的加密,但TrueCrypt是为尽可能简化这种安全文件储存而特别设计的,而且它还支持把加密卷放在便携存储设备上。它是自由开源软件,在下一部分“如何隐藏您的敏感数据”里将讲述到的它的 “隐藏的TrueCrypt加密卷”特色功能,使TrueCrypt大大优越于许多内置的专有加密工具,例如Windows XP 的“bitlocker”。
.............................................................................................
Pablo: 好吧,现在您让我担心了。那么电脑上的其他用户又如何呢?他们可以访问“我的文档”里的文件吗?
Claudia: 我很欣赏您的思路!如果您的Windows密码不能抵御入侵者,它又怎么能抵御在同一台电脑上有帐户的其他人呢?实际上,您的“我的文档”通常是对任何人可见的。所以其他用户根本不需要耍小聪明就能读取您未加密的文件。您刚才说得对,就算文件夹被标记为“私密”,这仍然不够安全,除非您采取了某些保护措施。
...............................................................................................
安全地使用文件加密的小窍门
保存机密文件对您和您的同事来说可能都是个风险。 加密能降低风险,但不能彻底消除风险。保护敏感资料的第一步就是要减少所保存的数量。除非您有充分的理由去保存某个文件,或一个文件里的某类信息,否则您就应该删除它(参看第六章:如何销毁敏感资料以了解更多关于安全删除的内容)。第二步就是使用一个优秀的文件加密工具,如TrueCrypt。
................................................................................................
Claudia: 那么也许我们不应该保存那些能鉴别出证人身份的证词?您说呢?
Pablo: 我同意。我们也应该尽可能记录得少一些。还有,我们应该想出一个简单的密码来保护那些必须记录下来的姓名和地址。
................................................................................................
回到保险箱的比喻上来。在使用TrueCrypt及此类工具时,您应该谨记若干事项。不论您的保险柜多么稳固,柜门大开总不会给您带来多少好处。当您的TrueCrypt卷完成加载(您能访问里面的内容),您的数据就很容易受到损害,所以除非您真的需要阅读或修改里面的文件,您应该关闭它。
在以下几种情况下,请切记不要把加密卷遗忘在加载状态:
- 当您离开计算机,不论时间有多长,都要卸载加载。就算您经常让计算机彻夜运行,您也要确保在您离开期间,实体或远程的入侵者无法访问您的敏感文件。
- 在使计算机进入睡眠模式前卸载加载。这同时适用于常见于笔记本电脑,并且也可能在台式计算机上出现的“睡眠”和“休眠”功能。
- 在让别人使用您的计算机前断开加载。在携带笔记本电脑通过安检或越过边境的时候,断开所有加密卷并且彻底关闭您的计算机,这点很重要。
- 在插入陌生的U盘或外部存储设备前断开加载,包括那些来自于朋友或同事的存储设备。
- 如果您把一个加密卷保存在U盘里,请记住,移除设备可能并不会立即卸载加载。即使您需要在匆忙中收藏起您的文件,您也需要正确地卸载加载,然后把外置驱动器或U盘移除。您需要多加练习直到找到完成此举的最快途径。
如果您决定把您的TrueCrypt加密卷保存在U盘上,您也可以把一份TrueCrypt程序的副本放在一起。这能使您可以在别人的计算机上访问您的数据。然而,还是老规矩:如果您不确定该计算机上有没有恶意软件,您就不应该在该计算机上输入您的密码或访问敏感数据。
-------------------------------------------------------------------------------------------
<<4. 如何保护您计算机上的敏感文件 up 隐藏您的敏感数据 >>
4. 如何保护您计算机上的敏感文件
假如“入侵者”能够通过互联网读取或修改您的数据,那么他就可以实现对您计算机或便携存储设备上的资料在远程上进行未经授权访问了。或者假如他设法获得您的硬件,则可以在实体上实现未授权访问了。您可以通过提高数据的物理与网络安全来进行自我保护以应对这两种威胁。对此,我们在第一章:如何保护您的计算机免受恶意软件和黑客侵害和第二章:如何保护您的信息资料免受物理性威胁里面已经有所讨论。建立多层外围防护总是好的,然而,您也应该保护文件本身。这样,即使您对外围安全所作的努力不够充分,您的敏感文件也有可能仍然安全。
有两种一般的途径可以应对这种数据安全的挑战。您可以加密您的文件,使其他任何人无法读取;或者您可以把它们隐藏起来,希望入侵者找不到您的敏感资料。这两种途径都有工具能提供帮助,包括一个叫TrueCrypt的自由开源软件,它既能加密也能隐藏您的文件。
设定背景
.............................................................................................
Claudia和Pablo在一个南美洲国家的人权NGO工作。他们花了数月时间收集军方在该地区犯下的侵害人权事件的目击者证词。如果提供证词的目击者的详细资料泄露出去,将会危及这些勇敢的人们以及这个组织在该地区的成员。这些资料目前储存在一份电子表格里,放在这个NGO的一台连接上互联网的Windows XP计算机上。出于安全意识,Claudia觉得必须要储存备份到一张CD上,并保存在办公室以外的地方。
.............................................................................................
您将从本章节学到的内容
----------------------------------------------------------------------------------------------
<<延伸阅读 up 加密您的数据>>
有两种一般的途径可以应对这种数据安全的挑战。您可以加密您的文件,使其他任何人无法读取;或者您可以把它们隐藏起来,希望入侵者找不到您的敏感资料。这两种途径都有工具能提供帮助,包括一个叫TrueCrypt的自由开源软件,它既能加密也能隐藏您的文件。
设定背景
.............................................................................................
Claudia和Pablo在一个南美洲国家的人权NGO工作。他们花了数月时间收集军方在该地区犯下的侵害人权事件的目击者证词。如果提供证词的目击者的详细资料泄露出去,将会危及这些勇敢的人们以及这个组织在该地区的成员。这些资料目前储存在一份电子表格里,放在这个NGO的一台连接上互联网的Windows XP计算机上。出于安全意识,Claudia觉得必须要储存备份到一张CD上,并保存在办公室以外的地方。
.............................................................................................
您将从本章节学到的内容
- 如何加密您计算机上的信息
- 保存加密数据可能给您带来什么风险
- 如何保护U盘上的数据以防遗失或被盗
- 可以采取哪些步骤对实体上或远程的入侵者隐藏信息
------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------
<<延伸阅读 up 加密您的数据>>
延伸阅读
要了解更多关于安全密码,请参看《人权捍卫者的数字安全与隐私》一书附录中的“密码保护”章节以及“我的密码应该有多长?”。
维基百科上有关于密码、密码强度准则和密码破解的资料。
------------------------------------------------------------------------------------------------
<<记住与记录安全密码 up 4.如何保护您计算机上的敏感文件 >>
维基百科上有关于密码、密码强度准则和密码破解的资料。
------------------------------------------------------------------------------------------------
<<记住与记录安全密码 up 4.如何保护您计算机上的敏感文件 >>
记住与记录安全密码
当看到以上列出的建议,您可能会质疑:没有过目不忘能力的人,如果不写下来,怎么可能记得住这么长这么复杂而又没有意义的密码呢?而要在不同账户使用不同密码,就更是难上加难了。有一些技巧也许可以帮助您创建密码能让您很容易记住,但即使对于别人而言,即使他非常聪明并且拥有先进的“密码破解”软件,都很难破解。您还可以选用专为此目的而创建的工具,如KeePass,用来记录您的密码。
记住安全密码
选择密码的时候,使用不同类型的字符很重要。这可以通过不同的方法做到:
任何一种这样的方法都可以增加一个简单密码的复杂性,帮您创建出一个安全的密码,而又不需要完全抛弃原本用来记住它的方法。有些普通的置换法(如使用'0'来代替'o'或使用'@'符号来代替'a')早就被密码破解工具给结合进去了,但仍不失为好方法。因为它能拖延此类工具破解出密码所需要的时间。而在更多情况下,当无法使用此类工具时,密码也没那么容易被碰运气猜出来。
您也可以利用更为传统的助忆法,例如首字母组合。这可以把长长的语句变成既复杂看上去又很随机的词语:
这仅仅是抛砖引玉,您可以想出一套自己的方法,来把单词或短语重新编码,使它们既复杂又容易记住。
安全地记录密码
虽然少许创新便能让您记住您的所有密码,但要定期更改密码可能很快会让您无计可施。您可以生成随机的安全密码用于您的大多数账户,而不用逐一记住它们。您可以把它们记录在一个便携的、加密的安全密码数据库 里,如KeePass。
............................................
上手指南:查看 KeePass 指南 开始使用
............................................
当然,如果您使用这种方法,给KeePass或任何一款工具本身创建一个非常安全的主密码并记住它就变得尤其重要。任何时候当您需要给某个账户输入一个密码,您就可以只通过一个主密码来找到它,这就使得遵循上面的建议变得更为容易。KeePass也是便携的,这意味着,您可以把数据库放进U盘里,以防您不在经常使用的计算机前而又需要查找一个密码。
尽管这对于那些需要维护大量账户的人来说也许是最好的方法,这个方法也有一些缺点。首先,如果您遗失了或不慎删除了唯一的密码数据库,您就再也不能访问任何一个密码保存在数据库中的账户了。这就使得备份KeePass数据库变得极为重要。请参看第五章:如何挽回信息损失以了解更多备份策略的信息。幸好,您的数据库是加密的,您并不需要因为丢失了U盘或含有数据库副本的备份驱动器而惊慌失措。
第二个主要缺点更为关键。如果您忘记了KeePass的主密码,就没有办法找回密码或恢复数据库里的内容了。所以,一定要选择一个既安全又能记住的密码作为主密码!
...............................................................................................
Mansour: 等等,如果KeePass仅仅使用一个主密码来保护您的所有其他密码,这怎么会比把同一个密码用于您的所有账户来得更安全呢?我意思是,如果有坏人知道了主密码,他就能获取所有东西了,对吧?
Magda: 您考虑得很周到。保护好主密码很重要,您说对了。但当中有几点重要的区别。首先,这个“坏人”不光需要您的密码,他还需要您的KeePass数据库文件。如果您仅仅是把同一个密码用于您的所有账户,他就仅仅需要一个密码了。而且,我们都知道KeePass非常安全,对吧?但其他程序和网站就不一样了,它们有些非常不安全,那您也不想让人通过闯进一个脆弱的网站,进而访问到一个更安全的账户吧。还有一点,当您认为有必要的时候,修改KeePass的主密码真的很方便。我当初要是那样做就走运了!今天我花了一整天来更新我的密码。
...............................................................................................
---------------------------------------------------------------------------------------------
<<选择与维护安全密码 up 延伸阅读>>
记住安全密码
选择密码的时候,使用不同类型的字符很重要。这可以通过不同的方法做到:
- 改变大小写,例如:'My naME is Not MR. MarSter'
- 数字与字母互相替换,例如:'a11 w0Rk 4nD N0 p14Y'
- 掺入符号,例如:'c@t(heR1nthery3'
- 使用不同语言,例如:'Let Them Eat 1e gateaU au ch()colaT'
任何一种这样的方法都可以增加一个简单密码的复杂性,帮您创建出一个安全的密码,而又不需要完全抛弃原本用来记住它的方法。有些普通的置换法(如使用'0'来代替'o'或使用'@'符号来代替'a')早就被密码破解工具给结合进去了,但仍不失为好方法。因为它能拖延此类工具破解出密码所需要的时间。而在更多情况下,当无法使用此类工具时,密码也没那么容易被碰运气猜出来。
您也可以利用更为传统的助忆法,例如首字母组合。这可以把长长的语句变成既复杂看上去又很随机的词语:
- 'To be or not to be? That is the question' 变为 '2Bon2B?TitQ'
- 'We hold these truths to be self-evident: that all men are created equal' 变为 'WhtT2bs-e:taMac='
- 'Are you happy today?' 变为 'rU:-)2d@y?'
这仅仅是抛砖引玉,您可以想出一套自己的方法,来把单词或短语重新编码,使它们既复杂又容易记住。
安全地记录密码
虽然少许创新便能让您记住您的所有密码,但要定期更改密码可能很快会让您无计可施。您可以生成随机的安全密码用于您的大多数账户,而不用逐一记住它们。您可以把它们记录在一个便携的、加密的安全密码数据库 里,如KeePass。
............................................
上手指南:查看 KeePass 指南 开始使用
............................................
当然,如果您使用这种方法,给KeePass或任何一款工具本身创建一个非常安全的主密码并记住它就变得尤其重要。任何时候当您需要给某个账户输入一个密码,您就可以只通过一个主密码来找到它,这就使得遵循上面的建议变得更为容易。KeePass也是便携的,这意味着,您可以把数据库放进U盘里,以防您不在经常使用的计算机前而又需要查找一个密码。
尽管这对于那些需要维护大量账户的人来说也许是最好的方法,这个方法也有一些缺点。首先,如果您遗失了或不慎删除了唯一的密码数据库,您就再也不能访问任何一个密码保存在数据库中的账户了。这就使得备份KeePass数据库变得极为重要。请参看第五章:如何挽回信息损失以了解更多备份策略的信息。幸好,您的数据库是加密的,您并不需要因为丢失了U盘或含有数据库副本的备份驱动器而惊慌失措。
第二个主要缺点更为关键。如果您忘记了KeePass的主密码,就没有办法找回密码或恢复数据库里的内容了。所以,一定要选择一个既安全又能记住的密码作为主密码!
...............................................................................................
Mansour: 等等,如果KeePass仅仅使用一个主密码来保护您的所有其他密码,这怎么会比把同一个密码用于您的所有账户来得更安全呢?我意思是,如果有坏人知道了主密码,他就能获取所有东西了,对吧?
Magda: 您考虑得很周到。保护好主密码很重要,您说对了。但当中有几点重要的区别。首先,这个“坏人”不光需要您的密码,他还需要您的KeePass数据库文件。如果您仅仅是把同一个密码用于您的所有账户,他就仅仅需要一个密码了。而且,我们都知道KeePass非常安全,对吧?但其他程序和网站就不一样了,它们有些非常不安全,那您也不想让人通过闯进一个脆弱的网站,进而访问到一个更安全的账户吧。还有一点,当您认为有必要的时候,修改KeePass的主密码真的很方便。我当初要是那样做就走运了!今天我花了一整天来更新我的密码。
...............................................................................................
---------------------------------------------------------------------------------------------
<<选择与维护安全密码 up 延伸阅读>>
选择与维护安全密码
一般来说,当您想要保护某个东西,您会用钥匙把它锁起来。房子、汽车和自行车的锁全部都有实体钥匙;受保护的文件有加密钥匙,银行卡有PIN码,电邮账户也有密码。所有的这些“钥匙”,无论是实体的还是电子化的,都有一个共通点:它们落到别人手上时也能同样有效地打开对应的锁。您可以安装高级防火墙、保护电邮账户和加密 硬盘,但如果您的密码太弱,或者密码落入别人手里,那您采取的措施都于事无补了。
一个高强度密码的要素
一个密码应该要很难被计算机程序猜解出来。
一个密码应该要很难被别人猜出。
如果有人知道了密码,要另外选择一个密码以减少损失。
.............................................................................................
Mansour: 如果我相信某个人呢?那我把我的密码告诉他也没问题,对吧?
Magda: 首先,您相信某个人而把密码告诉他,不代表着他就能好好保管密码,是吧?尽管我不会滥用您的密码,但我有可能把它写下来或者遗失了。这也许就是我陷入现在这个困境的原因!而且,这不仅是信任不信任的问题,如果您是知道密码的唯一一个人,当您的帐户被闯入,您就不需要花时间去烦恼应该责怪谁。好比现在,我就能确信是有人猜到了或破解了我的密码,因为我从来没有把它写下来或分享过给任何人。
..............................................................................................
---------------------------------------------------------------------------------------------
<<3.如何创建与维护安全密码 up 记住与记录安全密码>>
一个高强度密码的要素
一个密码应该要很难被计算机程序猜解出来。
- 加长:一个密码越长,电脑程序在一定的时间內把它猜解出来的可能性就越小。您应该尽量创建十位或以上的密码。有些人使用不止一个单词的密码,中间可能包含空格,这叫密码短语。这是个很好的主意,只要您使用的程序或服务允许您选择如此长的密码。
- 复杂化:除了长度之外,密码的复杂性也能帮助预防自动的“密码破解”软件猜出正确的字符组合。如有可能,您应该在密码中使用大小写字母、数字和符号,例如标点符号。
一个密码应该要很难被别人猜出。
- 实用性:如果您因记不住密码而不得不把它写下来,那您就可能面临另外的危险,任何人,只要能看清您的桌面或者能暂时进入您家、接触到您的钱包甚至您办公室外的垃圾箱,都有可能对您造成危害。如果您想不出来一个长而复杂又能记得住的密码,以下的记住安全密码可能会对您有所帮助。否则,您还是应该选择安全的密码,但需要借助一个安全密码数据库来记录密码,例如KeePass。其他受密码保护的文件,包括微软 Word文档,都不应被信任用于此用途,因为通过互联网上随意获取的工具就能很快地破解它们。
- 避免个人化: 您的密码不应该跟您个人相关。不要用您的名字、身份证号码、电话号码、小孩的名字、宠物的名字、生日,或别人稍作调查便可得知的其他信息来选择单词或短语作为密码。
- 保持私密性: 除非确实有必要,否则不要与任何人分享您的密码。还有,如果您必须把一个密码分享给朋友、家庭成员或同事,您应该先改成一个临时密码再分享,等他们使用完了再把它改回来。通常还有一些分享密码的替代方法,比如可以为需要访问的个人另外创设一个单独的帐号。保持密码的私密性也意味着必须注意当您输入密码或通过安全密码数据库查找密码的时候,有没有人在您的背后偷看。
如果有人知道了密码,要另外选择一个密码以减少损失。
- 独特化: 避免把相同的密码用于一个以上的账户。否则,任何人得知密码后就可以获取您更多的敏感信息。这点尤为正确,因为有些服务很容易就能破解出密码。例如,假如您给 Windows账户和Gmail账户设置相同的密码,那么能实际接触到您的计算机的人,就可以通过破解前者的密码来获取后者的访问权限。同理,把一个密码倒过来拼写再用于另一个账户,也不是个好主意。
- 定期更新: 定期更改您的密码,最好至少每三个月一次。有人会对某个特定的密码情有独钟而从来不更改。这不是一个好主意。您使用一个密码越久,别人把它推算出来的机会就越大。还有,如果有人能够使用您已经外泄的密码来访问您的资料,而您却毫不知情,那他们会一直偷窥,直到您更改密码。
.............................................................................................
Mansour: 如果我相信某个人呢?那我把我的密码告诉他也没问题,对吧?
Magda: 首先,您相信某个人而把密码告诉他,不代表着他就能好好保管密码,是吧?尽管我不会滥用您的密码,但我有可能把它写下来或者遗失了。这也许就是我陷入现在这个困境的原因!而且,这不仅是信任不信任的问题,如果您是知道密码的唯一一个人,当您的帐户被闯入,您就不需要花时间去烦恼应该责怪谁。好比现在,我就能确信是有人猜到了或破解了我的密码,因为我从来没有把它写下来或分享过给任何人。
..............................................................................................
---------------------------------------------------------------------------------------------
<<3.如何创建与维护安全密码 up 记住与记录安全密码>>
3. 如何创建与维护安全密码
很多让我们使用数码技术来轻松管理重要事务的安全服务,从登录计算机、发送电子邮件,到加密与隐藏敏感数据,都会要求我们记住密码。这些秘密的单词、短语或杂乱无章的字符串,往往提供了第一道,甚至有时候是唯一的一道安全屏障,用来防止别人未经您的许可就读取、复制、修改或销毁您的敏感资料。别人能通过多种方法得知您的密码,但您可以采取一些特定的策略、使用一个安全密码数据库工具安全密码数据库工具,如KeePass,来抵御他们。
设定场景
..............................................................................................
Mansour 和 Magda 是一对来自阿拉伯语国家的姐妹,她们维护着一个博客网站,在上面匿名发布揭露侵害人权和宣传政改运动的消息。Magda 最近在尝试登录她私人电子邮件帐户时发现她的密码被修改了。在重置密码后,她能成功登录,但当她打开收件箱时她注意到有几封新邮件被标记为“已读”。她怀疑某个有政治动机的入侵者可能知道或猜到了她同时用于若干个网站的密码。她正在与比她电脑经验更少的 Mansour 会面,打算要说明情况并表明她的忧虑。
..............................................................................................
您将从本章节学到的内容
---------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------
<<延伸阅读 up 选择与维护安全密码>>
设定场景
..............................................................................................
Mansour 和 Magda 是一对来自阿拉伯语国家的姐妹,她们维护着一个博客网站,在上面匿名发布揭露侵害人权和宣传政改运动的消息。Magda 最近在尝试登录她私人电子邮件帐户时发现她的密码被修改了。在重置密码后,她能成功登录,但当她打开收件箱时她注意到有几封新邮件被标记为“已读”。她怀疑某个有政治动机的入侵者可能知道或猜到了她同时用于若干个网站的密码。她正在与比她电脑经验更少的 Mansour 会面,打算要说明情况并表明她的忧虑。
..............................................................................................
您将从本章节学到的内容
- 一个安全密码的要素
- 记住长而复杂的密码的一些诀窍
- 如何使用KeePass 安全密码数据库来储存密码,而不用再记住它们。
---------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------
<<延伸阅读 up 选择与维护安全密码>>
制定您的物理安全策略
一旦您对个人或您的组织所面临的威胁与漏洞作出评估,您就必须考虑可以采取哪些步骤来改善您的物理安全。您应该制定一份详细的安全策略 ,把这些步骤一一写下来。这个书面文件将会对您自己、您的同事和刚加入组织的新人起到指引作用。它同时还应该包括一份清单,说明在各种不同的物理安全紧急情形下应当采取何种措施。每位相关人员都应该花时间阅读、执行并保持这些安全标准。也应该鼓励他们就如何改善这个文件提出问题和建议。
根据具体情况,您的物理安全策略应该包含不同的部分:
- 一份办公室通行策略,列明了各个警报系统、有哪些钥匙、谁持有这些钥匙、什么时候允许访客进入、跟谁签定了清洁合约以及其他此类问题。
- 一份关于办公室的哪个区域是仅限授权人士使用的策略。
- 一份设备的详细清单,包括序列号和物理性描述。
- 一份对于包含敏感信息的纸张垃圾的安全废置方案。
- 相关应急程序:
当发生火灾、洪水或其他自然灾害时应该联系谁。
如何进行某条钥匙的紧急重配。
如何联系提供电力、水利、或网络服务的公司或组织。
如何从您的异地备份中恢复数据。您可以在第五章:如何挽救信息损失中找到更
详细的备份建议。
详细的备份建议。
您的安全策略应该定期复审和修改,以反映自上一次复审后作出的任何策略变化。还有,在备份其他重要数据的同时,不要忘记备份您的安全策略文档。更多有关制定安全策略的信息,请参看延伸阅读部分。
-----------------------------------------------------------------------------------------------
延伸阅读
关于风险评估的进一步信息,请参看人权捍卫者的数字安全与隐私一书中的安全意识和威胁评估部分。
关于如何设置BIOS密码的详尽解释,请参看人权捍卫者的数字安全与隐私一书中的Windows安全章节。
关于创建安全策略的方针指引,请参看人权捍卫者的数字安全与隐私一书中的案例研究一。
也请参看人权捍卫者的保护说明书和防卫手册。
-----------------------------------------------------------------------------------------------
<<制定您的物理安全策略 up 3. 如何创建与维护安全密码>>
关于如何设置BIOS密码的详尽解释,请参看人权捍卫者的数字安全与隐私一书中的Windows安全章节。
关于创建安全策略的方针指引,请参看人权捍卫者的数字安全与隐私一书中的案例研究一。
也请参看人权捍卫者的保护说明书和防卫手册。
-----------------------------------------------------------------------------------------------
<<制定您的物理安全策略 up 3. 如何创建与维护安全密码>>
为您的计算机硬件维持一个健康的环境
就跟许多电子设备一样,计算机也相当敏感。它们对不稳定的供电、极端温度、灰尘、潮湿或者机械压力会适应不良。您可以采取一些措施来保护您的计算机和网络设备免受这些威胁:
.................................................................................................
Shingai: 其实今年早些时候我们刚解决了一些这样的问题。我们花了几个月时间去找不会从电脑后部脱落的线缆。
Otto: 还有看起来不至于造成地毯着火的插线板呢?
Shingai: 那也找了。最后,Rudo 不得不从约翰内斯堡带了些回来。别忘了,这里供电状况本身还是很不稳定的,但至少设备还比较好用。
.................................................................................................
-------------------------------------------------------------------------------------------------
<<保护您的信息免受物理入侵 up 制定您的物理安全策略>>
- 电力问题,如电涌、全面停电和部分停电,可能导致计算机受到物理损害。这种不规则性能使硬盘“崩溃”,损毁它里面包含的信息,或者对计算机里的电子部件造成物理损害。
- 如有能力,您应该给办公室里重要的计算机安装不间断电源(UPSs),UPS能在停电时提供临时的电力。
- 如果认为 UPSs 不适宜或太昂贵,您还可以使用电源滤波器或电涌保护装置,它们中的任意一个都可以帮您避免电涌造成的损害。
- 在连接重要的设备前,先测试好您的供电网络。尽量使用三孔的电源插座,它们当中有一条接连“地线”。另外,如有可能,在冒险插上计算机之前先插上廉价的设备,如电灯和电风扇,先试用一两天来看看电力系统的运行情况。
- 为了避免发生意外,不要把重要的硬件放置在通道、接待处或其他容易被接近的地点。UPS、电源滤波器、电涌保护装置、插线板和电源延长线,特别是那些与服务器和网络设备连接起来的装置,应该放在适当的位置,从而不会因意外失误而关闭。
- 如果您能买到高质量的计算机线缆、插线板和延长线,您应该购买足够数量供整个办公室使用并且额外留一些作为备用。那些会从墙上松脱下来的、与插头接触不良的、时常产生火花的插线板不仅烦人,还会对连接在上面的计算机的物理安全造成损害。有些用户拿它们没办法,会用胶带把接触不良的插头绑紧在会产生火花的插线板上,这就留下了明显的火灾隐患。
- 如果您把任何计算机放在机柜里,请确保机柜足够通风,否则计算机可能过热。
- 计算机设备不应该放置在散热器、排气口,空调或其他管道系统附近。
.................................................................................................
Shingai: 其实今年早些时候我们刚解决了一些这样的问题。我们花了几个月时间去找不会从电脑后部脱落的线缆。
Otto: 还有看起来不至于造成地毯着火的插线板呢?
Shingai: 那也找了。最后,Rudo 不得不从约翰内斯堡带了些回来。别忘了,这里供电状况本身还是很不稳定的,但至少设备还比较好用。
.................................................................................................
-------------------------------------------------------------------------------------------------
<<保护您的信息免受物理入侵 up 制定您的物理安全策略>>
保护您的信息免受物理入侵
伺机接触您的敏感资料的不怀好意的人是一种重大的物理威胁。如果您以为这就是您的信息安全所面临的唯一威胁的话,那您就错了,但忽视它就更是目光短浅,大错特错了。您可以采取一些步骤来降低物理侵扰的风险。以下列出的分类和大部分建议都既适用于家庭也适用于办公室。您应该以此为基础,制定出与您个人具体的物理安全状况相适应的策略。
办公室周围
办公室里
工作的时候
有关物理安全的软件及设置
..................................................................................................
Rudo: 在BIOS里捣鼓,我有点紧张。如果操作出错,我会把电脑弄坏吗?
Otto: 当然会,至少可能会死机一小会儿。实际上,你需要改变的设定都很简单,但BIOS的界面本身可能有点吓人,而且如果操作失当,有可能会导致电脑暂时无法启动。一般来说,如果你对BIOS的操作感到不安,你应该请电脑经验更丰富的人来帮忙。
..................................................................................................
便携设备
-----------------------------------------------------------------------------------------------
<<风险评估 up 为您的计算机硬件维持一个健康的环境>>
办公室周围
- 要了解您的邻居。根据您的国家和邻里关系的安全状况,有可能出现以下其中一种情况:要么把他们变成帮助您照看办公室的盟友;要么把他们加入到您的潜在威胁列表中,成为安全计划必须要解决的问题。
- 检查您如何保护所有门、窗以及其他能通往您办公室的入口。
- 考虑安装一个监控摄像头或者动作感应警报器。
- 尝试设立一个接待处,在访客进入办公室之前,先在那里接见他们。设立一个与您的日常工作区分隔开的会议室。
办公室里
- 把网络线缆安装在室内以便保护它们。
- 把服务器,路由器,交换器, 集线器和调制解调器等网络设备锁进安全的房间或者机柜。能够在实际接触这些设备的入侵者可以安装恶意软件,这样一来,他即便离开,也仍然可以窃取数据或攻击您网络上的其他计算机。
- 如果您有无线网络,保护您的接入点是至关重要的,这样入侵者就不能加入您的网络或监控您的通信。如果您使用不安全的无线网络,那么,在您附近任何一个有笔记本电脑的人都可能成为潜在的入侵者。这样来定义“物理性”确实有些不寻常,但这帮助您考虑到,能够监控您的无线网络的不怀好意的人,相当于偷偷潜入了您的办公室,插上网线接入到您的网络上。根据您的接入点硬件和软件的具体情况,用以保障无线网络安全所需的步骤可能有所不同,但通常都不难解决。
工作的时候
- 为了避免别人看到屏幕上正在显示的内容,您应该留意计算机屏幕放置的地点,无论放在办公桌上还是当您离开办公室时,都要谨慎。在办公室室内的话,意味着要注意窗户的位置和敞开的门,如有宾客等候处,也要注意。
- 大多数台式计算机机箱都有一个扣槽,您可以添加一个挂锁让任何没有钥匙的人无法打开它。如果您办公室里有这样的机箱,您应该把它们锁上,这样入侵者就不能擅自改动内部的硬件。在购买新的计算机时您也可以把这一功能考虑进去。
- 如有可能,应使用电脑锁来防止入侵者偷走整台计算机。 这对可以藏在包里或大衣之下的笔记本电脑和小型台式机来说尤为重要。
有关物理安全的软件及设置
- 确保当您重启计算机时,它会在允许您运行软件和访问文件之前要求您输入密码。如果它不要求,您可以在 Windows 中启用这个功能。点击“开始”菜单,选择“控制面板”,然后双击“用户帐户”。在“用户帐户”窗口选择您自己的帐户,然后点击“创建密码”。选择一个安全的密码,如在第三章:如何创建和维护良好的密码中所论述的。输入您的密码,确认一遍,再点击“创建密码”。
- 在您的计算机的BIOS基本输入输出系统中有几项有关物理安全的设置。首先,您应该把计算机设置为禁止从软盘驱动器、CD或DVD驱动器启动。其次,您应该为BIOS本身设置一个密码,这样入侵者就不能简单地撤销之前的设置。再次强调,请确保选择一个安全的密码。
- 如果您使用一个在第三章里说到的安全密码数据库来为特定的计算机储存您的 Windows 或 BIOS 密码,请切记不要把唯一的数据库副本保存在该台计算机上。
- 养成每次当您离开计算机前都把帐户锁定的习惯。在 Windows 上,您可以按住 Windows 标志键然后按 L 键来快速锁定。正如前面所说的,只有给帐户设置了密码,此功能才会生效。
- 给办公室里的计算机和储存设备上的敏感信息加密。请参看第四章:如何保护您计算机上的敏感文件了解更多详情和相关的上手指南。
..................................................................................................
Rudo: 在BIOS里捣鼓,我有点紧张。如果操作出错,我会把电脑弄坏吗?
Otto: 当然会,至少可能会死机一小会儿。实际上,你需要改变的设定都很简单,但BIOS的界面本身可能有点吓人,而且如果操作失当,有可能会导致电脑暂时无法启动。一般来说,如果你对BIOS的操作感到不安,你应该请电脑经验更丰富的人来帮忙。
..................................................................................................
便携设备
- 把您的笔记本电脑、移动电话和其他包含敏感信息的便携设备随时带在身上,特别是当您去旅行或住在旅馆里的时候。旅行时带上笔记本电脑电脑锁是个不错的主意,尽管有时候不容易找到适当的东西栓住。记住,小偷往往选择就餐时间作案,他们大多会在房间可能没人的时段里到房间翻找笔记本电脑。
- 如果你拥有一台笔记本电脑,或者手持计算机设备例如掌上电脑(PDA),尽量避免把它们显露出来。没有必要让小偷知道你带了这么多贵重的硬件,或者让想获取您资料的人知道您包里有一个装满数据信息的硬盘。避免在公共场合使用您的便携设备,最好把手提电脑装在看上去不像手提电脑包的包里。
-----------------------------------------------------------------------------------------------
<<风险评估 up 为您的计算机硬件维持一个健康的环境>>
风险评估
许多组织团体都低估了保持办公室与设备的物理安全的重要性。于是,他们往往缺乏一套清晰的策略,用来描述应该采取何种措施来避免计算机和备份存储设备遭遇失窃、恶劣天气、意外事件以及其他物理威胁。显然,这些策略非常重要,但是要把它们适当地制定出来可能比想象中复杂得多。比如说,许多组织都给办公室安装了质量很好的门锁,也许还有保险窗,但如果他们不注意钥匙的配制数量,以及什么人持有这些钥匙,那他们的敏感资料仍然易受侵害。
..................................................................................................
Shingai: 我们想把一份安全策略的摘要写到申请书里,但要确保这个策略本身足够完善。我们都应该写些什么内容呢?
Otto: 我恐怕我无法推荐一套“放之四海而皆准”的解决方案来应对物理安全所面临的挑战。一套好策略的详情一般都要根据某个特定组织的个体环境而定。不过,我倒是有一个大体上的建议:当您尝试制定一个计划时,您必须非常仔细地观察您的工作环境,对薄弱环节的所在以及如何加强这些环节,要进行富有创造性的思考。
....................................................................................................
要考虑存放这些物件的实际位置。它们可能位于办公室、家里、后院的垃圾桶中,又或者,越来越普遍的情况是“放在互联网上”。在最后这种情况中,要界定一份特定资料的物理位置,恐怕是很困难的。
记住,同一份资料可能在不同的层面存在隐患。就像您想依靠反病毒软件来保护U盘的内容不受恶意软件的侵害,您还必须依靠一份详细的物理安全计划来避免这份资料遭到盗窃、丢失或毁坏。有些安保实践,例如拥有一个良好的异地备份策略,对于避免数据威胁和物理威胁都是有好处的,而其他实践则显然更具针对性。
当您要决定是把U盘放在口袋里还是密封于行李底部的塑料袋里,您就是在作一个有关物理安全的决定,尽管您试图保护的资料是数字化的。通常,正确的策略在很大程度上视实际情况而定。您是要穿行于城镇之间,还是要跨越边境?会有别人帮您提包吗?是否正在下雨?这些就是当您要作此种决定时应该考虑的问题。
---------------------------------------------------------------------------------------------
<<2.如何保护您的信息资料免受物理性威胁 up 保护您的信息免受物理入侵>>
..................................................................................................
Shingai: 我们想把一份安全策略的摘要写到申请书里,但要确保这个策略本身足够完善。我们都应该写些什么内容呢?
Otto: 我恐怕我无法推荐一套“放之四海而皆准”的解决方案来应对物理安全所面临的挑战。一套好策略的详情一般都要根据某个特定组织的个体环境而定。不过,我倒是有一个大体上的建议:当您尝试制定一个计划时,您必须非常仔细地观察您的工作环境,对薄弱环节的所在以及如何加强这些环节,要进行富有创造性的思考。
....................................................................................................
- 在评估您或您的组织所面临的风险与安全漏洞时,您必须估计您的数据受到的威胁可能来自若干不同的层面。
- 要考虑您使用的通信渠道,以及您是如何使用它们的。包括信件、传真、固定电话、移动电话、电子邮件以及Skype。
- 要考虑您如何储存重要资料。计算机硬盘、电子邮件和网络服务器、U盘、外置硬盘、CD和DVD、移动电话、打印纸张以及手写的便条,都是可能的方式。
要考虑存放这些物件的实际位置。它们可能位于办公室、家里、后院的垃圾桶中,又或者,越来越普遍的情况是“放在互联网上”。在最后这种情况中,要界定一份特定资料的物理位置,恐怕是很困难的。
记住,同一份资料可能在不同的层面存在隐患。就像您想依靠反病毒软件来保护U盘的内容不受恶意软件的侵害,您还必须依靠一份详细的物理安全计划来避免这份资料遭到盗窃、丢失或毁坏。有些安保实践,例如拥有一个良好的异地备份策略,对于避免数据威胁和物理威胁都是有好处的,而其他实践则显然更具针对性。
当您要决定是把U盘放在口袋里还是密封于行李底部的塑料袋里,您就是在作一个有关物理安全的决定,尽管您试图保护的资料是数字化的。通常,正确的策略在很大程度上视实际情况而定。您是要穿行于城镇之间,还是要跨越边境?会有别人帮您提包吗?是否正在下雨?这些就是当您要作此种决定时应该考虑的问题。
---------------------------------------------------------------------------------------------
<<2.如何保护您的信息资料免受物理性威胁 up 保护您的信息免受物理入侵>>
2. 如何保护您的信息资料免受物理性威胁
无论您为您的计算机筑起数据屏障付出了多大的努力,您仍然可能在某天醒来,发现计算机或里面的信息副本因各种不幸的意外或蓄意行为而丢失、被盗或受损。任何意外,电源冲击、忘记关上窗户或打翻一杯咖啡,都可能导致您所有数据丢失并且无法继续使用您的计算机。谨慎的风险评估、坚持不懈地维持健康的计算机作业环境,以及书面化的安全策略可以帮助您避免此类灾难。
设定场景
..................................................................................................
Shingai 和 Rudo 是一对年长夫妇,他们长年帮助津巴布韦的艾滋病感染者维持适当的药物治疗。他们正在申请资助给他们的办公室购置新计算机和网络设备。由于他们生活在一个政治动荡、基础设施匮乏的地区,他们和资助者都希望能够确保新硬件设施的安全,不仅不会受到黑客和病毒的侵害,而且也不会遭遇没收、雷暴、电涌及其他此类灾害的困扰。一旦成功申请到资助,他们就请当地的计算机技术员 Otto 帮忙设计一套行动方案,来加强准备购置的新计算机和网络设备的物理安全。
..................................................................................................
您将从本章节学到的内容
---------------------------------------------------------------------------------------
风险评估
-------------------------------------------------------------------------------------------------
<<延伸阅读 up 风险评估 >>
设定场景
..................................................................................................
Shingai 和 Rudo 是一对年长夫妇,他们长年帮助津巴布韦的艾滋病感染者维持适当的药物治疗。他们正在申请资助给他们的办公室购置新计算机和网络设备。由于他们生活在一个政治动荡、基础设施匮乏的地区,他们和资助者都希望能够确保新硬件设施的安全,不仅不会受到黑客和病毒的侵害,而且也不会遭遇没收、雷暴、电涌及其他此类灾害的困扰。一旦成功申请到资助,他们就请当地的计算机技术员 Otto 帮忙设计一套行动方案,来加强准备购置的新计算机和网络设备的物理安全。
..................................................................................................
您将从本章节学到的内容
- 更多有关您的计算机以及储存在计算机上的信息所面临的物理威胁。
- 如何最好地保护您的计算机设备免受这些威胁影响。
- 如何为计算机与网络设备创建健康的作业环境。
- 在为您的办公室计算机制定安全计划时应该考虑什么。
---------------------------------------------------------------------------------------
风险评估
-------------------------------------------------------------------------------------------------
<<延伸阅读 up 风险评估 >>
2010年11月26日星期五
延伸阅读
参看《人权捍卫者的数据安全与隐私》中关于恶意软件与垃圾邮件的章节,以及互联网程序设定的附录。
及时了解病毒告示板网站上关于病毒的新闻。
学习如何 判断哪个“Windows服务”是不必要的,以及 禁用那些您不需要的服务。
来自战略技术共同体(TTC)的其他工具包能帮助您换用满足您需要的自由开源软件与免费软件。
下载免费应急启动光盘,在不启动Windows的状态下扫描您的计算机并清除病毒。
---------------------------------------------------------------------------------------------
<<保持更新您的软件 up 2. 如何保护您的信息资料免受物理性威胁 >>
及时了解病毒告示板网站上关于病毒的新闻。
学习如何 判断哪个“Windows服务”是不必要的,以及 禁用那些您不需要的服务。
来自战略技术共同体(TTC)的其他工具包能帮助您换用满足您需要的自由开源软件与免费软件。
下载免费应急启动光盘,在不启动Windows的状态下扫描您的计算机并清除病毒。
---------------------------------------------------------------------------------------------
<<保持更新您的软件 up 2. 如何保护您的信息资料免受物理性威胁 >>
保持更新您的软件
计算机程序往往庞大而复杂。您日常使用的软件中不可避免地包含未被发现的错误,其中一些错误可能会危害您的计算机安全。然而,软件开发者不停地找出这些错误,并且通过发布更新来修复它们。因此,您很有必要经常更新您计算机上的全部软件,包括操作系统。如果 Windows 不自动更新,您可以通过点击开始菜单,选择所有程序,然后点击Windows更新来进行更新。这样做会打开 Internet Explorer,把您带到微软的更新页面。在那里您可以启用自动更新功能。更多详情请看延伸阅读部分。
保持更新免费软件和自由开源软件
专有软件 通常在您安装更新之前要求检验自身是合法购买的。例如,如果您正在使用盗版的Microsoft Windows,它将不能自动更新,从而导致您和您的信息极度容易受损害。如果没有一个有效授权,您就将自己和他人置于危险之中。依赖盗版软件也会带来非技术性的风险。越来越多国家的当局已经开始查证各组织机构对其所使用的每一款软件都拥有合法授权。警察会以“盗版软件”为由没收计算机并且关闭这些组织机构。一些国家的当局由于政治原因要干预某些组织机构的工作时,这个理由就很容易被滥用。幸好,您并不需要购买昂贵的软件来保护自己免遭这种手段。
我们强烈推荐您尝试使用免费软件或自由开源软件来替代您正在使用的专有软件,特别是那些未经授权的专有软件。免费软件和自由开源软件通常是由免费发布和更新它们的志愿者与非营利组织所编写的。特别是自由开源软件,它们被普遍认为比专有软件更加安全。因为它们的开发过程是透明的,允许不同的专家组来检查它们的源代码,这些专家可以识别出问题所在,并提供解决方法。
许多自由开源软件看上去和用起来都与被它们替代的私有软件极为相似。同时,您也可以把它们跟专有软件包括Windows操作系统一起使用,这都没有任何问题。即使您的同事继续使用某个特定程序的商业版本,您也可以跟他们轻松地交换文件和共享信息。特别值得一提的是,您可以考虑用 Firefox, Thunderbird 和 OpenOffice 来分别代替 Internet explorer, Outlook / Outlook Express 和 Microsoft Office。
其实,您甚至可以彻底抛弃 Microsoft Windows 操作系统,转而尝试使用一个更为安全的自由开源软件:GNU/Linux。想要知道您是否已经准备好进行转变,最好的方法就是尝试一下。您可以下载一个 Ubuntu Linux 的 LiveCD 版本,把它刻录成CD或DVD,放进您的计算机然后重启。当它完成加载时,您的计算机将开始运行GNU/Linux,您可以视情况再作决定。请别担心,这些都不是永久性的。当您体验过后,只需要关闭计算机并移除 Ubuntu LiveCD,您下次启动计算机时,就又回到 Windows了,而且您的所有应用程序,设置和资料都将原封不动。除了具有开源软件在整体上的安全优势之外,Ubuntu 还拥有一个免费易用的更新工具,用以避免您的操作系统和很多其他软件变得过时和不安全。
------------------------------------------------------------------------------------------
<<防火墙 up 延伸阅读>>
保持更新免费软件和自由开源软件
专有软件 通常在您安装更新之前要求检验自身是合法购买的。例如,如果您正在使用盗版的Microsoft Windows,它将不能自动更新,从而导致您和您的信息极度容易受损害。如果没有一个有效授权,您就将自己和他人置于危险之中。依赖盗版软件也会带来非技术性的风险。越来越多国家的当局已经开始查证各组织机构对其所使用的每一款软件都拥有合法授权。警察会以“盗版软件”为由没收计算机并且关闭这些组织机构。一些国家的当局由于政治原因要干预某些组织机构的工作时,这个理由就很容易被滥用。幸好,您并不需要购买昂贵的软件来保护自己免遭这种手段。
我们强烈推荐您尝试使用免费软件或自由开源软件来替代您正在使用的专有软件,特别是那些未经授权的专有软件。免费软件和自由开源软件通常是由免费发布和更新它们的志愿者与非营利组织所编写的。特别是自由开源软件,它们被普遍认为比专有软件更加安全。因为它们的开发过程是透明的,允许不同的专家组来检查它们的源代码,这些专家可以识别出问题所在,并提供解决方法。
许多自由开源软件看上去和用起来都与被它们替代的私有软件极为相似。同时,您也可以把它们跟专有软件包括Windows操作系统一起使用,这都没有任何问题。即使您的同事继续使用某个特定程序的商业版本,您也可以跟他们轻松地交换文件和共享信息。特别值得一提的是,您可以考虑用 Firefox, Thunderbird 和 OpenOffice 来分别代替 Internet explorer, Outlook / Outlook Express 和 Microsoft Office。
其实,您甚至可以彻底抛弃 Microsoft Windows 操作系统,转而尝试使用一个更为安全的自由开源软件:GNU/Linux。想要知道您是否已经准备好进行转变,最好的方法就是尝试一下。您可以下载一个 Ubuntu Linux 的 LiveCD 版本,把它刻录成CD或DVD,放进您的计算机然后重启。当它完成加载时,您的计算机将开始运行GNU/Linux,您可以视情况再作决定。请别担心,这些都不是永久性的。当您体验过后,只需要关闭计算机并移除 Ubuntu LiveCD,您下次启动计算机时,就又回到 Windows了,而且您的所有应用程序,设置和资料都将原封不动。除了具有开源软件在整体上的安全优势之外,Ubuntu 还拥有一个免费易用的更新工具,用以避免您的操作系统和很多其他软件变得过时和不安全。
------------------------------------------------------------------------------------------
<<防火墙 up 延伸阅读>>
防火墙软件
防火墙是计算机上接触来自互联网的数据的第一个程序,它同时也是处理外流信息的最后一个程序。它就像一个安全卫士,在大楼门前站岗,决定着谁进谁出。防火墙会接收、检查所有输入和输出的数据,并决定是否让其通过。抵御不受信任的互联网连接与和本地网络连接,对您而言当然是至关重要的,因为这些连接都可能为黑客和病毒大开方便之门。但实际上,监查从您的计算机往外输出的连接也同样重要。
一款好的防火墙允许您为计算机上的每个程序设置访问许可。当其中一个程序试图与外界连接时,除非您的防火墙识别并校验出该连接已经得到了您的通行许可,否则,防火墙就会阻止连接并向您发出通知。这就有效防止恶意软件散播病毒或邀请黑客闯进您的计算机。在这一点上,防火墙既提供了第二道防线,也提供一个早期预警系统,让您知道您的计算机安全正受到威胁。
防火墙软件
Microsoft Windows的近期版本包含了一个自动开启的内置防火墙。不幸的是,Windows 防火墙在各方面的作用都很有限,特别是它不对输出连接进行检查,还有点不太好用。不过,有一款名为Comodo防火墙的优秀的免费软件能更好地保护您的计算机安全。
............................................
上手指南:查看Comodo防火墙 指南并开始使用
............................................
阻止不受信任的网络连接
..................................................................................
Assani: 那么,你现在希望我安装反病毒、反间谍和防火墙软件吗?我的计算机能应付得过来?
Muhindo: 当然了。实际上,如果您想在现今的互联网上保持安全,这三个工具只是最基本的。它们可以同时工作,所以把它们全部装上应该不会引起任何问题。但要记住,不要同时运行两个反病毒软件或两个防火墙。
..................................................................................
----------------------------------------------------------------------------------
<<间谍软件 up 保持更新您的软件>>
一款好的防火墙允许您为计算机上的每个程序设置访问许可。当其中一个程序试图与外界连接时,除非您的防火墙识别并校验出该连接已经得到了您的通行许可,否则,防火墙就会阻止连接并向您发出通知。这就有效防止恶意软件散播病毒或邀请黑客闯进您的计算机。在这一点上,防火墙既提供了第二道防线,也提供一个早期预警系统,让您知道您的计算机安全正受到威胁。
防火墙软件
Microsoft Windows的近期版本包含了一个自动开启的内置防火墙。不幸的是,Windows 防火墙在各方面的作用都很有限,特别是它不对输出连接进行检查,还有点不太好用。不过,有一款名为Comodo防火墙的优秀的免费软件能更好地保护您的计算机安全。
............................................
上手指南:查看Comodo防火墙 指南并开始使用
............................................
阻止不受信任的网络连接
- 用于从事敏感工作的电脑应该仅安装必要的程序,且要确保您是从信誉良好的来源获得这些程序的。卸载您不使用的任何软件。
- 当您不使用计算机的时候,断开互联网连接。夜里要彻底关闭计算机。
- 不要与任何人分享您的 Windows 密码。
- 如果您启用了任何“Windows服务”,当您不再使用的时候应该禁用它们。详情请参看延伸阅读部分。
- 确保您办公室网络下的每台计算机都安装有防火墙。
- 您应该考虑额外安装一个防火墙来保护整个办公室的本地网络。许多商用的宽带网关里都包含一个易于使用的防火墙,打开它可以让您的网络更加安全。如果您不知从何入手,您可以向帮您架设网络的人寻求帮助。
..................................................................................
Assani: 那么,你现在希望我安装反病毒、反间谍和防火墙软件吗?我的计算机能应付得过来?
Muhindo: 当然了。实际上,如果您想在现今的互联网上保持安全,这三个工具只是最基本的。它们可以同时工作,所以把它们全部装上应该不会引起任何问题。但要记住,不要同时运行两个反病毒软件或两个防火墙。
..................................................................................
----------------------------------------------------------------------------------
<<间谍软件 up 保持更新您的软件>>
间谍软件
间谍软件是恶意软件的一种,它能跟踪您在计算机和在互联网上所进行的操作,并把相关信息发送给不应该接触到这些信息的人。这些程序能记录您在键盘上输入的文字、您鼠标的动作、您访问过的页面、运行过的程序以及其他操作。因此它们会暗中破坏您计算机的安全,泄露您的秘密信息、您的活动以及您的联系人。计算机感染上间谍软件跟感染病毒差不多,因此以上许多建议在您抵御这第二种恶意软件时也同样有用。由于恶意网页是导致感染间谍软件的主要源头,您应该格外注意您所访问的网站,并确保您的浏览器设置是安全的。
..................................................................................
Assani: 我觉得这听起来像是间谍电影呢。我的计算机真的“感染了间谍软件”吗?
Muhindo: 不管您信不信,这种情况真的很普遍。即使您没有被从网上下载的程序感染到,也很可能被某个浏览过的网页感染了。如果您使用 Windows 和 Internet Explorer 就更可能被感染了。如果您从没有对计算机进行过间谍软件扫描,我敢打赌您将因为发现很多间谍软件已被安装到计算机里而感到惊讶。
..................................................................................
反间谍软件
您可以使用反间谍软件来保护您的计算机免受此类威胁。Spybot 就是其中一款软件。它能很好地识别和移除某些被反病毒软件所忽略的恶意软件。跟反病毒软件一样,更新Spybot的恶意软件定义库,以及定期进行扫描也是至关重要的。
......................................
上手指南:查看Spybot 指南并开始使用
......................................
预防感染间谍软件
..................................................................................
Assani: 我听说“Java控件”和“ActiveX控件”可能会很危险,但我完全不知道它们是什么。
Salima: 它们只是同类事物的不同例子而已,都是浏览器在您阅读网页时一并下载回来的小程序。网页设计师使用他们来创建复杂的网站,但它们也可以散布病毒和间谍软件。您不需要太担心它们实际上是怎样运作的,您只要安装和正确运行NoScript就可以了。
..................................................................................
----------------------------------------------------------------------------------
<< 病毒程序 up 防火墙>>
..................................................................................
Assani: 我觉得这听起来像是间谍电影呢。我的计算机真的“感染了间谍软件”吗?
Muhindo: 不管您信不信,这种情况真的很普遍。即使您没有被从网上下载的程序感染到,也很可能被某个浏览过的网页感染了。如果您使用 Windows 和 Internet Explorer 就更可能被感染了。如果您从没有对计算机进行过间谍软件扫描,我敢打赌您将因为发现很多间谍软件已被安装到计算机里而感到惊讶。
..................................................................................
反间谍软件
您可以使用反间谍软件来保护您的计算机免受此类威胁。Spybot 就是其中一款软件。它能很好地识别和移除某些被反病毒软件所忽略的恶意软件。跟反病毒软件一样,更新Spybot的恶意软件定义库,以及定期进行扫描也是至关重要的。
......................................
上手指南:查看Spybot 指南并开始使用
......................................
预防感染间谍软件
- 在浏览网站时保持警觉。留意自动弹出的浏览器窗口,仔细阅读而不要直接点击是或确定。假如遇到疑惑,您应该点击右上角的X按钮来关闭弹出窗口,而不要点击取消。这有助于防止网页欺骗您在计算机上安装恶意软件。
- 禁止浏览器自动运行内嵌在网页中的潜在危险程序,以提高浏览器的安全性。如果您在使用 Mozilla Firefox,您可以按照 Firefox 指南的第四部分里的说明来安装 NoScript 扩展。
..................................................................................
Assani: 我听说“Java控件”和“ActiveX控件”可能会很危险,但我完全不知道它们是什么。
Salima: 它们只是同类事物的不同例子而已,都是浏览器在您阅读网页时一并下载回来的小程序。网页设计师使用他们来创建复杂的网站,但它们也可以散布病毒和间谍软件。您不需要太担心它们实际上是怎样运作的,您只要安装和正确运行NoScript就可以了。
..................................................................................
----------------------------------------------------------------------------------
<< 病毒程序 up 防火墙>>
订阅:
博文 (Atom)