数字安全培训·基础篇(完结篇)你的安全计划
试图在任何时候都不让任何人知道您的所有数据是不切实际的,也是令人疲惫的。但是,不要害怕!安全是一个过程,通过周密的计划,你可以制定一个适合自己的计划。安全性不仅仅是您使用的工具或下载的软件。首先要了解您所面临的独特威胁以及如何应对这些威胁。
在计算机安全方面,威胁是一种可能会破坏您保护数据的潜在事件。 您可以通过确定需要保护的内容以及需要保护的人来应对您面临的威胁。 这是安全计划的过程,通常称为“威胁建模”。
本指南将教您如何制定数字信息的安全计划,以及如何确定最适合您的解决方案。
安全计划是什么样的? 假设您希望保持房屋和财产的安全。 您可能会问以下几个问题:
我家里面有什么值得保护的东西?
- 资产可能包括:珠宝,电子产品,财务文件,护照或照片
我想从谁那里保护它?
- 对手可能包括:窃贼,室友或客人
我需要保护它的可能性有多大?
- 我的邻居有盗窃史吗? 我的室友/客人有多值得信赖? 我的对手有什么能力? 我应该考虑哪些风险?
如果我失败,后果会有多糟糕?
- 我家里有什么东西是我不能换的吗? 我有时间或金钱来取代这些东西吗? 我是否有保险,涵盖从我家偷来的货物?
愿意花多少钱来防止这些后果?
- 我愿意为敏感文件购买保险箱吗? 我可以买得起高质量的锁吗? 我是否有时间在当地银行开一个保险箱并将贵重物品放在那里?
一旦你问了自己这些问题,你就能评估该采取什么措施。如果你的财产很有价值,但是闯入的可能性很低,那么你可能不想在一把锁上投资太多的钱。但是,如果破门而入的可能性很高,你会想得到市场上最好的锁,并考虑增加一个安全系统。
制定安全计划将有助于您了解自己独有的威胁,评估您的资产、对手和对手的能力,以及面临风险的可能性。
我如何制定自己的安全计划?我从哪里开始
安全规划有助于您确定您重视的事物可能会发生什么,并确定需要保护它们的人。在制定安全计划时,请回答以下五个问题:
- 我想保护什么?
- 我想从谁那里保护它?
- 如果我失败,后果会有多糟糕?
- 我需要保护它的可能性有多大?
- 我愿意花多少钱来防止潜在的后果?
让我们仔细看看这些问题。
我想保护什么
“资产”是您重视并希望保护的东西。 在数字安全的背景下,资产通常是某种信息。 例如,您的电子邮件,联系人列表,即时消息,位置和文件都是可能的资产。 您的设备也可能是资产。
列出您的资产:您保存的数据,保存在哪里,有权访问的数据以及阻止他人访问的数据。
我想从谁那里保护它?
要回答这个问题,重要的是要确定谁可能想要针对你或你的信息。 对您的资产构成威胁的个人或实体是“对手”。潜在对手的例子包括您的老板,您的前合作伙伴,您的商业竞争,您的政府或公共网络上的黑客。
列出你的对手,或者那些想要得到你财产的人。你的名单可能包括个人、政府机构或公司。
根据您的对手是谁,在某些情况下,这个列表可能是您在完成安全计划后希望销毁的东西。
如果我失败了,后果会有多严重?
攻击者可以通过多种方式访问您的数据。 例如,攻击者可以在通过网络时读取您的私人通信,也可以删除或损坏您的数据。
对手的动机和战术大相径庭。 试图阻止视频传播的政府可能会满足于简单地删除或减少该视频的可用性。 相反,政治对手可能希望获取秘密内容并在您不知情的情况下发布该内容。
安全计划包括了解如果对手成功地获得对您的资产的访问,那么后果会有多糟糕。要确定这一点,您应该考虑对手的能力。例如,您的移动电话提供商可以访问您的所有电话记录。在开放Wi-Fi网络上的黑客可以访问您的未加密通信。你们的政府可能有更强的能力。
写下你的对手可能想对你的私人数据做什么。
我需要保护它的可能性有多大?
风险是对特定资产的特定威胁实际发生的可能性。它与能力密切相关。虽然你的手机供应商有能力访问你的所有数据,但他们把你的私人数据发布到网上损害你声誉的风险很低。
区分可能发生的事情和可能发生的概率很重要。例如,你的建筑有倒塌的危险,但发生这种情况的风险在旧金山(地震很常见)要比在斯德哥尔摩(地震不常见)大得多。
评估风险既是一个个人的过程,也是一个主观的过程。许多人认为某些威胁无论其发生的可能性有多大都是不可接受的,因为仅仅存在这种威胁在任何可能性下都不值得付出代价。在其他情况下,人们忽视高风险,因为他们不认为威胁是一个问题。
写下哪些威胁是你要认真对待的,哪些威胁可能太罕见或太无害(或太难对付)而不值得担心。
我愿意花多少钱来防止潜在的后果?
没有完美的安全选项。并不是每个人都有相同的优先级、关注点或获取资源的途径。您的风险评估将允许您为自己制定正确的策略,平衡便利性、成本和隐私。
例如,在国家安全案件中,代表客户的律师可能会比经常给女儿发搞笑猫咪视频的母亲更愿意花更多时间保护与该案件有关的通信,比如使用加密的电子邮件。
写下你有哪些选择可以帮助你减轻你独特的威胁。请注意您是否有任何财务限制、技术限制或社会限制。
安全计划作为常规练习
请记住,您的安全计划可能会随着您的情况变化而变化。 因此,经常重新审视您的安全计划是一种很好的做法。
根据您自己独特的情况创建您自己的安全计划。然后在日历上标出未来的日期。这将促使你重新审视你的计划,并确认它是否仍然适用于你的情况。
翻译自:https://ssd.eff.org/en/module/your-security-plan
- 原文作者:码中春秋
- 原文链接:https://blog.taielab.com/2019-03-05/your-security-plan.html
- 版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议进行许可,非商业转载请注明出处(作者,原文链接),商业转载请联系作者获得授权。