什么是OPSEC,为什么需要它?

[ware_item id=33][/ware_item]

OPSEC是安全通信的重要组成部分


确保通信安全是最困难的挑战之一。无论您是在谈论商业秘密,与律师进行交流还是交换私人信息,对机密信息进行保密都是非常重要的.

加密被认为是解决我们所有隐私问题的最终解决方案,即通过强大的,不可加热的数学方法阻止所有不需要的间谍。但是,您还需要良好的运营安全性(OPSEC),从整体上保护您的通信以及您自己,防止其落入错误之手。.

加密对于私人通信是必需的

借助经过公共审核和专业实施的加密技术,您不再需要信任公司或法院来保护您的个人信息-仅由您自己掌握.

OPSEC确保安全

可悲的是,加密并不是一个神奇的开关,您只需翻转一下即可保护自己.

拥有出色的OPSEC意味着考虑您在尝试保护谁免受信息攻击,与谁进行通信以及对手可能具有的功能。例如,如果您要保护自己免受有组织犯罪或民族国家的侵害,则与保护自己免受缠扰者的需求相比,您需要的是完全不同的OPSEC.

重要的是要评估如何破坏安全设置,并权衡是否值得承担或避免风险.

密码管理器可以使用复杂且安全的密码,但是出色的OPSEC要求您在使用安全密码器时不要坐在安全摄像机的下方.

OPSEC的过程, 如美国军方所述,包括五个步骤。 ExpressVPN可能每天都将五个安全步骤应用于我们所有人的通信中:数字聊天.

识别OPSEC威胁

1.确定关键信息

您要隐藏什么?在进行数字对话的情况下,大部分内容和元数据将为您提供帮助。内容是对话本身,而元数据描述与该信息有关的信息。元数据包括您与之交谈的对象,对话的时间,持续时间和频率.

隐藏邮件的内容很容易,但是隐藏元数据仍然很困难。诸如Signal之类的应用程序承诺不会保留任何元数据,但是可以肯定的是,您可能必须运行自己的OTR服务器(这不是一件小事,并且有其自身的独特风险).

分析OPSEC威胁

2.威胁分析

这包括您要向谁隐藏信息的人。如果您只是向缠扰者或邻居隐瞒信息,则评估的风险和脆弱性与面对强大的民族国家的情况大不相同。通过想象你是谁来思考威胁 绝对不想要 掌握您的详细信息。也许是工作竞争对手或腐败的政府官员.

OPSEC脆弱性

3.漏洞分析

到目前为止,第三步是OPSEC意识中最困难的部分,因为您的漏洞可能无穷无尽。您必须能够信任您的设备,操作系统,应用程序以及已安装的任何程序。后门可能会让情报机构访问您的数据,草率的编程可能会在您不知情的情况下泄漏信息.

通讯链中或与您的聊天伙伴之间也可能存在漏洞。这很难评估,因为您可能不知道自己与它们之间正在运行什么系统.

您的聊天伙伴可能没有相同的动机来保持信息的私密性。也许他们在一个国家当局的镇压程度较低。也许他们只是不像您那样在乎隐私.

重要的是,将交流对象的OPSEC纳入自己的OPSEC模型中,即使这很困难且存在不确定性。有许多缓解漏洞的方法,例如,您可以仅通过披露有关您自己的严格必要信息来与伴侣保持距离.

不幸的是,最具挑战性和麻烦性的弱点通常位于技术无法实现的范围之外。攻击者可能亲自威胁您放弃密码,或以胁迫的方式巧妙地胁迫您.

OPSEC风险评估

4.风险评估

您的漏洞列表可能很长。但是,并非所有威胁都是同等重要的。实际上,有些可能根本不相关.

在此步骤中,将步骤2与步骤3结合起来,确定威胁并评估它们如何利用您的漏洞.

威胁可能包括老练的黑客或与您共享房屋的人。每个问题都需要以不同的方式解决。例如,写在一张纸上的密码被黑客发现的风险非常低,但是被窥探室友发现的风险很高。.

将不必要的威胁从列表中剔除,然后将其余标记为高,中或低风险.

适当的OPSEC措施

5.采取适当的OPSEC措施

在最后一步,计划您的行动。首先应对最高威胁,然后再降低风险。有些将不可避免,但可以将其最小化.

OPSEC是迈向安全通信的重要一步

结合使用加密和OPSEC 为了更好的安全性. 量身定制适合您当前情况的回复。 OPSEC措施可能侧重于采用更强大的加密,但也可能侧重于完全避免使用技术.

根据OPSEC的分析,将手机留在家中并使用公共交通工具去几十公里外的邮政信箱可能比通过Tor网络通过PGP加密电子邮件发送文档更好的策略。.

什么是OPSEC,为什么需要它?
admin Author
Sorry! The Author has not filled his profile.