《风险建模基础》引入了一个实用框架来理解和评估隐私风险,为您提供识别数字交互中潜在漏洞的工具。

威胁建模

在隐私之旅的起点，如何在安全、隐私与易用性之间取得平衡就是最棘手的难题之一。凡事皆有取舍：越安全的方案往往越麻烦或限制性越强。许多人发现，他们听到被推荐的工具太难上手，正是因为这种取舍。

如果你一心只想使用「最安全」的工具，就得为此牺牲大量易用性。但即便如此，也不存在绝对安全——只有「更高」安全，而非「完全」安全。因此，威胁模型 至关重要。

什么是威胁模型？

威胁模型是一张列出最可能威胁你安全与隐私的清单。既然不可能防御所有攻击（者），就应聚焦最可能发生的威胁。在计算机安全领域，威胁指的是可能破坏你隐私与安全努力的事件。

专注于与你相关的威胁可以缩小思考范围，帮助你挑选合适的工具来完成任务。

制定你的威胁模型

要确定哪些事物可能受到威胁，以及需要防范谁，你应回答以下五个问题：

1. 我要保护什么？
2. 我要防范谁？
3. 我有多大概率需要保护它？
4. 如果失败，后果有多严重？
5. 我愿意付出多大代价来避免潜在后果？

• 资产（Asset）：你重视并想要保护的东西。数字安全语境中通常是信息，例如：
  • 邮件、联系人、即时消息、位置信息、文件
  • 设备本身也可能是资产
• 行动：列一张清单——你持有的数据、存放位置、谁可访问，以及已有的防护措施。
  

我想保护什么？

在数字安全语境中，“资产”是指你珍视并希望保护的内容，通常为信息类型。例如：电子邮件、联系人列表、即时消息、位置信息和文件都属于资产。你的设备本身也可能是资产。

请列一张清单，说明你保管的数据、存放位置、谁能访问，以及阻止他人访问的措施。

我要防范谁？

要回答此问题，先确定谁可能把你或你的信息当作目标。任何威胁你资产的人或实体都称为对手（adversary）。潜在对手示例：

• 你的上司
• 前伴侣
• 商业竞争者
• 政府机构
• 公共网络中的黑客

写下可能觊觎你资产的个人、政府机关或企业。根据对手的性质，完成威胁模型后，或许应当销毁这份名单。

我有多大概率需要保护它？

风险（risk）是某个威胁实际发生的可能性，它与对手的能力密切相关。虽然你的手机运营商有能力访问全部数据，但他们公开泄露你隐私来损害你名誉的风险却很低。

区分“可能发生的事”和“发生概率”至关重要。例：建筑物可能坍塌，但在多地震的旧金山概率远高于斯德哥尔摩。

风险评估既个人化又主观：有些人无法容忍哪怕极低概率的威胁；也有人即便风险极高仍无所谓。

写下你打算认真对待的威胁，以及因概率低、危害小或难以应对而暂时忽略的威胁。

如果我失败了，后果会有多严重？

攻击者可以通过多种方式获取您的数据。例如，攻击者可以在您的私人通信通过网络传输时读取它们，或者删除或破坏您的数据。 

对手的动机千差万别，策略也各不相同。试图阻止一段展现警察暴力的视频传播的政府，可能仅仅满足于删除或降低该视频的可访问性。相比之下，政治对手可能希望获取机密内容，并在你不知情的情况下发布这些内容。 

安全规划需要了解如果对手成功获取您的一项资产，后果会有多严重。要确定这一点，您应该考虑对手的能力。例如，您的移动电话提供商可以访问您的所有通话记录。开放Wi-Fi网络上的黑客可以访问您的未加密通信。您的政府可能拥有更强大的能力。

写下你的对手可能想用你的私人数据做什么。

为避免后果，我愿付出多大代价？

没有万全的安全方案。每个人的优先级、顾虑和资源不同。风险评估帮助你在便利、成本与隐私之间取得平衡。 

例如，与定期通过电子邮件向女儿发送有趣的猫咪视频的母亲相比，代表国家安全案件客户的律师可能愿意付出更多努力来保护有关该案件的通信，例如使用加密电子邮件。

写下你有哪些可用的选项来减轻你面临的特定威胁。并注明你是否面临任何财务、技术或社会限制。

实战练习：保护你的财物

上述问题同样适用于线上线下多种场景。以下以家庭财物安全为例：

问题 | 示例思路

你想保护什么？| 珠宝、电子设备、重要文件、照片等

你要防范谁？| 入室盗贼、室友、访客

发生概率多大？| 社区盗窃史？室友/访客可信度？对手能力？潜在风险？

失败后果多严重？| 是否有不可替代之物？有无时间/金钱去补偿？保险是否覆盖？

你愿付出多大代价？| 购买保险柜？更换高档门锁？去银行租保险箱？

只有回答完这些问题，你才能决定采取哪些措施：

• 若财物贵重但被盗概率低，则不必投入过多成本
• 若被盗概率高，则应选择顶级锁具并考虑安装安防系统
  

制定安全计划

安全计划可帮助你理解自身独有的威胁，并评估资产、对手及其能力，以及每项风险的可能性。

延伸阅读

• EFF Surveillance Self Defense: Su plan de seguridad

想提升线上隐私与安全的读者，可参考我们汇总的常见目标与威胁清单，以获取灵感并了解推荐依据。

进一步阅读

• 常见目标与威胁：为提升在线隐私与安全，我们整理了访客常见威胁与目标，示范上述方法在不同情境下的应用。《共同目标和威胁》
• EFF《监控自卫指南：制定你的安全计划》（Surveillance Self-Defense: Your Security Plan）

2025 年 12 月 13 日 - 2022 年 12 月 12 日 |乔纳·阿拉贡 (81,13%)、丹尼尔·格雷 (1,89%)、凯·特贝、d4rklynk

隐私指南是一个非营利性、社交驱动的网站,提供信息以保护您的数据的安全和隐私。

我们不会通过推荐某些产品来赚钱,也不会使用联盟链接。

知识共享许可证 2019-2025 隐私指南和贡献者。隐私声明。

原文英文: https://www.privacyguides.org/en/basics/threat-modeling/