Skip to main content
Surveillance
Self-Defense

制定安全计划

最后更新: October 27, 2023

This page was translated from English. The English version may be more up-to-date.

想要时时刻刻保护你的所有数据,既不切实际,又耗费精力。不过,不用担心!安全自有一套流程,通过深思熟虑的规划,你可以制定出最适合自己的计划。安全不仅仅是你使用的工具或下载的软件。首先,你要了解自己面临哪些具体的威胁以及如何应对这些威胁。

在计算机安全中,威胁是指可能使你保护数据的努力付之东流的潜在事件。想应对你所面临的威胁,就要确定你需要保护什么以及谁会构成威胁。这就是安全规划过程,通常称为威胁建模

本指南将解释如何为数字信息制定安全计划,以及如何确定最适合你的解决方案。

安全计划是什么样的?比方说,你想确保自己的房屋和财产安全。以下是你可能会问到的几个问题,其中的资产对手等关键词我们后面也会遇到:

我家里有哪些值得保护的东西?

  • 资产可能包括:珠宝、电子产品、财务文件、护照或照片

谁会对它们构成威胁?

  • 对手可能包括:小偷、室友或客人

它们有多么需要保护?

  • 邻居有没有入室盗窃的历史?室友/客人有多可信?对手有什么能力?应该考虑哪些风险?

如果保护失败,后果有多严重?

  • 家里有无可替代的东西吗?我有时间或金钱来替换这些东西吗?我有没有为家中财物失窃购买保险?如果这些威胁发生,我生活中有没有其他人会受到安全威胁?

为了避免这些后果,我愿意承受多大的麻烦?

  • 我愿意买一个保险箱来存放敏感文件吗?我买得起质量好的锁吗?我有没有时间在当地银行开一个保险箱,将贵重物品存进去?

我有帮手吗?

  • 和我生活在一起的人中,有没有人可以帮我一起保护我所关心的东西?有没有邻居更了解我们的社区和我们可以使用的资源?

既然问了自己这些问题,就表示你准备好考虑采取哪些措施了。如果你的物品很值钱,但被撬锁的可能性很低,那就不用买太贵的锁。但是,如果被撬锁的可能性很高,就需要购买市场上最好的锁,还要考虑加装一个安全系统。

你可能已经开始感觉到,这些问题并没有明确的答案。你要根据自己看重什么和某种威胁发生的可能性做出判断。这就是这件事的精髓所在:在衡量威胁影响的严重程度、威胁发生的可能性以及确定重点保护对象的基础上,做出明智的决定。

如何制定自己的安全计划?从何入手? anchor link

制定安全计划时,请回答以下六个问题:

  1. 我要保护什么?
  2. 谁会对它们构成威胁?
  3. 如果保护失败,后果有多严重?
  4. 它们有多么需要保护?
  5. 为了避免这些可能的后果,我愿意承受多大的麻烦?
  6. 我有帮手吗?

现在我们来逐个解答这些问题。

我要保护什么? anchor link

资产是指你珍视并希望保护的东西。就数字安全而言,资产通常是某种信息。例如,也许是电子邮件、联系人列表、私信、位置或其他文件。设备本身也可能是资产。

列出你的资产清单:你保存的数据、保存在哪里、谁可以访问这些数据、如何阻止他人访问这些数据。

谁会对它们构成威胁? anchor link

要回答这个问题,重要的是要确定谁可能会攻击你或你的信息。对你的资产构成威胁的个人或实体就是对手 可能的对手包括你的老板、执法部门、你的前合作伙伴、你的商业竞争对手、政府或公共网络上的黑客。甚至可能包括你原本信任的人,他们对自己的安全计划疏忽大意有可能殃及你的资产。

将潜在或已知对手或那些可能想掌握你资产的人列出一份名单。名单上可能有个人、政府机构或公司。根据你的对手是谁,也许你完成安全规划后要销毁这份名单。

如果保护失败,后果有多严重? anchor link

对手可以通过多种方式获取你的数据。例如,对手可能向你的电子邮箱发送恶意链接,你点击了这种链接他们就能入侵你的电脑。或者更简单,你的私信被截图,然后用来对付你。

对手的动机千差万别,战术也是如此。有的可能走高科技路线,而有的则更像是骗局,在获取你的信任之后欺骗你。

做安全规划时要了解如果对手成功入侵你的某项资产,会造成多么严重的后果。为此,你应该考虑对手的能力。例如,你的移动通信供应商可以访问你的所有通话记录。政府可能拥有更强的能力。

写下对手可能想用你的私人数据做什么。

它们有多么需要保护? anchor link

风险是针对特定资产的特定威胁实际发生的可能性。它与能力密切相关。例如,虽然你的移动通信供应商有能力访问你的所有数据,但他们将你的私人数据发布到网上以损害你的声誉的风险很低。

我们要区分可能发生的事情和这件事可能发生的概率。例如,你住的大楼可能会倒塌,但在旧金山(地震频发)发生这种情况的风险要比在斯德哥尔摩(地震不频发)大得多。

评估风险不仅与个人情况息息相关,而且是一个主观的过程。许多人认为某些威胁无论发生的可能性有多大,都是不可接受的,因为只要存在这个威胁(无论可能性有多大)就令人不寒而栗。而有时候,即使是高风险人们也无所谓,因为他们认为这个威胁根本不算什么。

写下你要认真对待哪些威胁,哪些威胁可能太罕见或太无害(或太难对付)而不必担心。

为了避免这些可能的后果,我愿意承受多大的麻烦? anchor link

不存在完美的安全方案。每个人的重点保护对象、担心的问题或获取资源的途径都不同。通过风险评估,你可以权衡便利性、成本和隐私,为自己规划合适的策略。

例如,比起经常发送有趣猫咪视频的家人,在国家安全案件中代表客户的律师可能会采取更多措施来保护与案件有关的通信,如使用加密电子邮件。

写下你可以用哪些方式来减轻自己独有的威胁。注意是否有任何经济限制、技术限制或社会限制。

我有帮手吗? anchor link

正如我们在本指南中多次指出的,数字隐私和安全是一项团队运动,有人帮忙是最好的。这不仅是因为人多力量大,还因为你的隐私和安全与你生活中的其他人息息相关。如果一个威胁影响到你,也可能影响到他们,反之亦然。

考虑谁可以信任。例如,考虑某个人有没有可能是内部威胁,也就是在你信任的网络中有个人可能以某种方式威胁你的安全。但是,不要因为害怕内部威胁而不与他人接触。相反,你可以将其作为指引来敦促自己仔细规划,同时确保圈子里的其他人也认真对待自己的安全问题。

和可能与你有同样担忧的人聊一聊。就如何守望相助以及用哪些信息可以相互托付达成共识。

安全规划常做常新

请记住,安全计划要与时俱进。因此,有必要经常回顾安全计划。

根据自己的独特情况制定自己的安全计划。然后在日历上标记一个未来的日子。提醒自己重新审视该计划,确定它是否仍然适合你的情况。