转,中国权利在行动 | 非暴力抗争培训课程,简单的个人信息安全模型,活动家数字安全手册

非暴力抗争培训课程

活动家数字安全手册

简单的个人信息安全模型

前  言
 
信息安全绝对不是单指某一件事,现代信息安全的边界随着现代信息技术的扩展与延伸而延长。与此同时,入侵者与入侵手段也在增长,这使得安全防护无法仅仅依靠“木桶短板”模型找出最薄弱点进行加固就能保证安全。

那么,我们就需要用一种系统的、全方位的模型去构思与安全有关的整个系统,并能够根据不同场景,动态的调整相应策略,才能有效应对不同的挑战。在这一节教材中,会围绕以下三个问题,力求全景式描述个人面对信息安全的整体状况,介绍与安全有关的各方面要素,以及要素之间的相互关系,为后面的知识建立一个基础。
1、什么需要保护?
2、 需要保护的内容,在使用者与互联网之间的流通需要经过哪些环节?各环节有什么不同的特性?
3、 谁是“敌人”?
 https://i.imgur.com/LqufEsy.jpg
网络与电脑安全防范模型图https://i2.wp.com/www.chinarightsia.org/wp-content/uploads/2015/03/1.jpg?resize=793%2C539

一、什么需要保护?

 
要保证信息安全,首先应该明确哪些内容需要保护。这里根据不同的特性,我们把需要保护的内容分为账户、文件、信息流、用户行为习惯四种,以下分别介绍。
(一)各种账户
随着网络条件的改善,如果说将数据存储于网络(而不是本地硬盘),是一种数据存储更便利、更可靠的选择,那么,对于分享及协同作业来说,网络存储就是一种必然的选择。
在这种情况下,给用户行为带来的变化是:过去人们关注的是“我的文件存在C盘还是 D盘 的什么目录下?” 现在变成“我的文件存储在什么网站?用户名和密码是什么?” 这样一种由数据存储位置的转移带来的操作行为的变化,也使得账户(包括用户名和密码),这个开启人们各种信息之门的钥匙成为更加重要的、不可或缺的、也需要认真保护的财产。
账户,既包括电脑本身的账户,也包括网络各种应用账户,比如:
1、电子邮件;
2、 货币类:贝宝、支付宝等;
3、 社交类:推特、脸书等;
4、 各种在线类应用及工具;
5、 购买域名主机空间的账户等。
(二)文件
虽然所有文件都可以存储在网络上,这样,保护好账户的安全,也就保护了文件的安全。但现实中,可能因为网速的原因,可能因为操作习惯的原因,也可能一些工作(比如图形编辑、视频编辑等)需要,或必须将大量的文件存储在本地硬盘。那么,这里说的文件安全,主要就是指存储在电脑上的,用户自己编辑或接收到的各种类型的文件。
这些文件可以分为如下几类:
1、文字编辑类:一般是扩展名为 DOC、PDF、PPT、TXT 的各类文本文件;
2、数据类,一般是扩展名为 XLS 的 Excel 表格文件,扩展名为 CSV 的文本表格等;
3、照片图片类,一般是扩展名为: JPG、PNG、GIF 的文件;
4、另外,如果安装过一些管理类软件,并往里面输入了数据,或者是在本地电脑建立过数据库,比如 MySQL 、MSSQL 等,它们虽然不是把数据保存在某一个文件中,但软件本身存储了用户的数据,因此,也是需要保护的一种文件类型。
(三)信息流
账户与文件是相对有形的信息,还有一种相对无形的信息流,比如用户通过文字、语音或视频与他人的交流,也可能被非法截获,这类实时信息同样能够泄露有价值的信息,因此在相应的操作中也需要进行安全防范。
(四)用户行为
除以上三类外,还有一种看上去与安全无关的用户浏览行为,会暴露用户网络及现实的个人信息,比如经常访问的网站、作息时间、社交关系、购物习惯等等。这些看似琐碎的信息,如果对其进行整体的关联分析,往往能透露出重要的信息。如果有心者检测到这些信息后,可以根据用户的行为习惯,做出不利于用户的安排与设计。因此,用户行为数据也变得越来越重要。
以上是在考虑信息安全的时候,首先需要明确的,也就是我们需要保护的内容。
接下来介绍这些需要保护的内容,在从用户与互联网传输的过程中,会有哪些环节涉及到安全问题。
 
二、不同安全环节的划分

 
如前面图形所示,信息从用户到互联网之间,要经过文件、应用软件、操作系统、电脑硬件、局域网络、GFW 等不同环节的连接与传递。在不同的环节,有不同的安全特性,也有不同的防护要点,以下分别介绍。
(一)网络环节
用户数据离开用户电脑后要经过不同的路径才能到达互联网,但这些路径对于大多数用户是不可见的。也为了简单表述,我们把离开用户电脑到互联网的中间环节全部称为网络环节,不同的网络环节可以归结为以下五个部分:
1、 GFW,防火长城;
2、 公有网络,包括:中国电信,中国联通,中国移动,中国铁通;
3、 私有网络,包括:公司网络、单位网络、网吧等;
4、 开放网络,包括:旅馆、咖啡屋、书店、候机/候车等公共 WIFI 网络;
5、 家庭网络,包括:家庭连接网络的各种设备。
上面列表中 3、4、5 是人们登录网络的一般方式,然后 3、4、5会接入2 ; 然后 2会接入1 ,最后通过 1 接入国际互联网。
在网络连接过程中,不同环节会有不同的监听者:在私有网络和开放网络,网络管理员有可能监听;在家庭网络,因为直接连接公有网络,网络运营商有可能监听;在公有网络,可能会有来至政府的要求,也可能有运营商为自己的利益而监听;GFW 也是政府监听的环节。
来自网络环节的监控一般情况下用户是不可见的,也是无法干预的,所以用户可以使用的安全措施也相对简单。
(二)硬件设备
指直接与硬件有关的安全问题。包括电脑、平板、智能手机、移动存储设备、家中无线路由器等的安全问题。涉及硬件的风险,比如使用装有 USB键盘记录器的电脑造成的泄密;电脑维修过程中的泄密;丢失、被盗以及淘汰的电脑转让、出售导致的信息泄露;移动存储设备泄密等。
硬件设备的安全泄露往往与用户在现实中接触的人有关,比如电脑维修工,购买、偷窃或抢劫你电脑的人。
(三)操作系统
操作系统安全是电脑所有功能的基础环境,安全问题主要来自系统没有及时修补的漏洞或被恶意软件破坏而造成的信息丢失或破坏。
(四)应用软件
应用软件是直接依附于操作系统,是电脑实现各种功能的提供者。应用软件包括:浏览器、 MSOffice、图形处理软件、一些工具软件(如压缩软件、视频播放器等)。应用软件的安全直接影响到操作系统的安全。
操作系统与应用软件的风险来源相同,包括以下几方面:
1、 安装盗版操作系统时携带的恶意软件;
2、 使用移动存储设备时染上了病毒;
3.、安装一些不良程序时带人恶意软件或病毒;
4、 在浏览恶意网站时下载了恶意软件或病毒;
5.、下载了邮件附件中的恶意软件或病毒。
以上介绍了信息流通各个环节的不同特性。那下面介绍这些环节中,有什么样的入侵者;他们会从什么位置、以什么手法入侵。
 
三、谁是“敌人”?

 
潜在的敌人来自多方面,他们有不同的目的和不同的信息窃取方法。只有对侵入者有充分的了解,才能更好的设计有针对性的防范措施。
(一)政府有关部门或个人
头号入侵者可能来自政府部门。政府的第一使命应该是为公民服务,但时常他们中有些人会做出超越法定权限,侵害公民权利的行为,信息窃取是其行为之一。因此,公民应该有防范政府非法窃取个人信息的意识和准备。
许多信息显示,政府可以通过 GFW 获取信息;政府有专门部门,比如国家安全局,公安系统的网警等,通过专门渠道获取用户信息;还有一些隐蔽的政府部门也介入信息的监控;政府还可以通过网络运营商,网吧、旅馆等公共场所进行信息监控。
(二)网络运营商
网络运营商主要指联通、移动、铁通等公司,他们管理着基础的 “公有网络”。网络运营商一方面会执行政府的监管指令,另一方面他们可以从窃取信息中获得私利。比如他们会在管理的设备中注入一些收集用户信息或添加广告的代码,这些谋私利的行为也会增添用户信息的风险。
(三)网络管理员
网络管理员指维护公司、机构、单位或网吧设备的网络管理员。他们窃取信息的动机也许是个人兴趣,也许是受其雇佣者或政府管理部门的安排。他们借助一些专门的软件,可以随时或定时截取用户屏幕,观察用户行为。
在前面的“网络与电脑安全防范模型图”中,他们的作用主要发生在“私有网络 “。
(四)恶意黑客
指在互联网上以技术窃取信息的人。他们中有些人的目的就是破坏网络秩序,也有些人的目的是刺探政治或商业信息。这其中有些是个人行为,有一些组织行为,有些是政府支持的项目。他们一般会通过互联网寻找、发现系统漏洞或软件Bug窃取用户信息。
(五)小毛贼
指直接以偷窃信息谋利的新型小偷。他们可能会在一些人口密集的公共场所临时搭建免费Wifi ,当戒备心不强的用户使用时,他们可以获取使用者的私密信息,目的是窃取用户的网上财产或更多的有价信息,在前面的“网络与电脑安全防范模型图”中,他们的作用发生在”开放网络“。
(六)维修工
指从用户送去维修的电脑中窃取信息的人。典型的例子是:一个用户电脑出现故障送去维修,维修者顺便浏览用户电脑中的个人信息。他们这样做也许仅仅是猎奇心理,当发现足够有趣或有价值的信息时,也许会下载到本地或直接发布于网络。如果把电脑交给这样的维修工,无疑是非常危险的。
(七)潜在对手
潜在对手分为两种,一种是熟悉你的人,因为竞争或报复的目的,窃取你的信息。这类人因为熟悉你,所以有机会从你的硬件或软件下手;还有一种可能是你的商业竞争对手或敌对者,他们对你的个人信息不是很熟悉(或者知道一些),他们不一定能接触到你的电脑,但他们可以根据你的部分信息,通过网络或寻找黑客帮助窃取你的信息。
(八)恶意软件制作及运营者
国内有很多恶意软件的制作及运营者,他们会以不良的方式推广软件,并以不良的方式赢取利润,从而直接或间接的破坏用户系统的安全性。
以上基本包含了一个用户所面对的影响信息安全的各方面的因素。
8
分享 2019-04-03

19 个评论

在中国,用正版比用盗版更危险!
这篇文章是从英文翻译来的,原本是针对全世界所有的活动家。
抗爭防身手冊
https://www.tahr.org.tw/content/1687
这是陆战手册了XD
非暴力抗争只对文明政府有效。甘地、吴山和曼德拉能活着,刘晓波肝癌了。
BE4 已停用 ? 回复 RandomID
对中共来说,你就算非暴力都要给你扣上暴力的帽子,六四期间不就是有国安人员装成学生去袭击解放军,为开枪镇压制造仇恨。太阳花式的运动只能对付马英九这种君子,对付不了中共屠夫。
对,应当普及乍药,3D打印武器,城市战。
BE4 已停用 ? 回复 RandomID
直接让反贼参军好了
参哪国的军好呢?共国的要抵抗洗脑轰炸容易精神分裂,米国的因为共谍渗透,不但参米军审查加重,退伍回共国同时上黑名单。
就我个人看法,非暴力抗争对付极权或者威权都有用,而有用没用我想主要看的不是极权或者威权,而是一个国家的政治文明程度,如果对付一个不开化古代政权估计就是被诛九族的命运了,民众也不吃这套,军人也很难就此因此倒戈,中国,朝鲜,红色高棉,以及戈氏改革前的苏联都是这种情况


而中共这种政体框架虽然是现代式的打着为国民服务的旗号,但是还是封建味满满,并且国民的认知程度也比不上几百年前乃至明治维新时期的日本,传统的非暴力抗争对待中共差不多就跟开错药了差不多。
对付中共这种政权无非就两种办法,一种是平时伺机蛰伏,等到政权经济崩溃才开始逐渐民间团体,二种就是在境内外组建武装,但是问题来了,由于中国的体量巨大,并且周边国家也不想惹这麻烦,操作系数极高,仔细想想有这么好搞的话老蒋早就反攻大陆成功了(当年境内外存在反共武装组织,然后都是被清洗掉),
后者在现在几乎是不可能的事,而前者虽然不知道得等到什么时候,但是又是可能性最大的一种垮台方式
看你发言我觉得真是中二味满满
你当现代武装斗争是打即时战略呢?连个小论坛都无法壮大还指望传播炸药3d打印武器这种东西。。。。那些玩爆炸不要命的也就底层人员会干,而那些底层人员懂翻墙上网的也不多,这就涉及到平台宣传和受众面的问题。
做小众产品广告岂不是比这玩意简单多了,然而真正干成功的也不多,更何况你说的这些还是涉及政治敏感的产品


很多时候一旦涉及政治就容易特殊化,以为一传播就一呼百应,实际上换个词,比如说把相应的东西套成商品的概念,传播手段和社会背景也考虑在内就知道这套理念多扯淡了
请中二味满满的匿名用户给底层人员出个主意,在等死与偷渡之外有什么选择。
你根本没搞清楚我说的意思,我不是说反对他们抵抗,而是纯粹是想表达要推广一个产品根本就不是你说想推广就能推广的
即便是我认为等死也好偷渡也好,把这种理念传播出去也不是易事,接触的人极其有限,因此我现在做的只能是教别人翻墙
肝癌?那些不知名的“刘晓波们”的死法千奇百怪的,刘晓波之所以能活到17年靠的是国际知名度,而那些不知名的有被棍棒打死的,有被自杀的,总之就是不得善终,对比一下那些威权国家真是天差地别
范松忠 黑名单 回复 RandomID
对,应当普及乍药,3D打印武器,城市战。

這倒是,一定能下載到手槍什麼的,但就算不3D,哪怕射箭在城市裡也能放倒共匪,又不是時時刻刻穿防彈衣。
谁是敌人?
GFW。
>>在中国,用正版比用盗版更危险!


??
>>对中共来说,你就算非暴力都要给你扣上暴力的帽子,六四期间不就是有国安人员装成学生去袭击解放军,为开枪...


馬英九不是君子,只是TW不是他一個人的,他不能亂來

要发言请先登录注册

要发言请先登录注册