咳咳，怎么会写起这个话题呢？起因是某个小伙伴发给了我知乎的链接让我提提神。

本来是想给写到总结里，结果一口气就写了2000来字，已经不适合在总结里出现啦，所以就单独拎出来好了！

事先声明，俺呀，不是什么大牛，也不是安全圈的业内人士，更不是密码学专家。我只是来科普下科普下……当然了是原创的科普。

另外，本篇文章是应对"审计"的哟……社会工程学等等不在此列。

一。网络审计是什么？

这里我指的是"上网行为管理审计"。在某些企业、学校里，会在网关部署一个设备（当然也有可能是旁路），所有进出网关的东西都会被记录下来。简而言之就是，理论上你看了什么网页，听了什么歌，下了什么电影都是可以在审计工具里看到的。

当然审计的程度是不同的，有的可能不会部署这类工具，有的可能会对某些端口进行屏蔽（比如屏蔽BT端口来禁止下载），有的可能会特殊关照某些端口（比如HTTP的80）。

防范之心不可无。

当然你可以说，我们处在运营商这一个大的"公司"之中，无论怎么防范都是没用的。对待这种言论，我只想说，滚犊子！人活着早晚得死，那就现在死了呗。防范是有针对性的，你在公司里主要的防范对象是公司领导，关电信CEO什么事？况且，互联网的存在使得匿名真正成为了可能。

有人可能会问，有这么坏的公司/学校吗？就引用鲁迅老人家的那句话：我向来不惮以最坏的恶意揣测中国人。

二。如何防范网络审计

想要避开网络审计工具，那就要从多个方面来避免，这还是要借鉴编程随想的《如何保护隐私》系列和《如何隐藏你的踪迹，避免跨省追捕》系列。此两系类博文堪称经典，隐匿/匿名必看！看了他那两个系类博文，就可以直接×了我这个了。

拿着和国家机器隐匿的办法来对付区区一个公司显然大材小用。尽管不同人对匿名有不同的需求，但是这种意识应该得到提高、加强。

对待网络审计工具，首先是无法避免要通过网关了，所以只能在通信手段上进行保护。相信现代密码学，相信科学。

1.网络层面的防范：

毫无疑问你的所有数据都得有一个网关一样的设备转发出去，这是无法避免的。也就是说，所有明文传输的东西都会被记录下来。想当然的那么就不明文传输，直接密文传输就好了。

那么应对措施就来了：

(1).VPN工具

我们可以使用VPN协议来创建加密隧道，所有的数据都会在这个隧道里传播，网关只能知道你的VPN服务器的IP和你在使用VPN，却比较难解密你的VPN通信。当然，推荐使用OpenVPN这种可以防止中间人攻击的证书体系VPN，当然L2TP+IPSec也可以做到一定程度的防护，PPTP还是免了吧。

(2).加密代理

除了VPN这种加密隧道之外，还可以使用代理工具，比如非常著名的加密socks5代理Shadowsocks。当然要注意选择一个比较健壮的加密算法，比如说aes256cfb而不是RC4——尽管我们有理由怀疑，一个公司的网络审计有那么多时间和计算能力来破解RC4吗？

(3).加密的通信协议

加密的通信协议，而且是公认的加密协议。时刻记住，尽可能使用加密连接，而且是使用了强大的加密算法和健壮的安全体系的强加密。越是公开的加密算法，它的健壮性也就越强，封闭的算法反而越弱，这是密码学的违反常识的理论之一。常见的安全的加密协议有，VPN中的OpenVPN,L2TP+IPSec, Shadowsocks，HTTPS，POP3S,IMAPS,SMTPS等，SSH和基于SSH的SFTP ,SCP等。

最常见的莫过于HTTPS了，你看这篇博文的时候， 右上角是不是绿色的小锁头？你打开淘宝的时候，是不是也是小锁头？甚至某些还会显示Certificate Transparency

我可没钱……不过需要注意的是，即使访问了https网站，审计工具也依旧能够知道你访问了某个网站，因为在DNS查询，密钥协商交换证书的时候是一定会泄漏域名的；但是网络审计工具无法得知你具体看了某个文章以及其内容。想要避免此种泄漏，那么最好的方式是使用shadowsocks，或者VPN+远程DNS解析（DNSCrypt也行），这样审计工具就只能看到你和代理服务器的加密通信了。

此网络层面的防范乃是比较全能的办法。可是也别天真的以为，用了VPN就不会泄露你的IP，开了全局模式就不会泄露IP——有一种东西叫Flash和WebRTC的，这就是隐匿的内容了。

2.软件层面的防范

编程随想把这部分分成了"操作系统的防范"、"个人软件的防范"、"通讯工具的防范"，我觉得在应对公司的审计工具有点大材小用。

(1).IM软件：

即时通信工具，比如说QQ，飞信等这是存在国家级监控的，小小公司应该管不到。但是QQ客户端是否加密传输聊天记录、加密程度、是否可以防范中间人至今还是未知数。

我们可以使用Skype、Google环聊等工具。请注意是国际版Skype哟，绝对的加密安全和保障。

(2).CA证书：

CA证书对于整个HTTPS的安全体系有多么重要，不了解的人可能完全无法理解。为此，我大家伙可以同样去看看编程随想的系列博文：《扫盲 HTTPS 和 SSL/TLS 协议》

如果公司在各位预装的系统上植入了自签名的CA证书，那么毫无疑问所有HTTPS都存在被劫持的风险。

如图，被签发了伪证书的GitHub

说到CA，就得提到臭名昭著的CNNIC Root和12306的SRCA根证书。那么大的铁道部买不起一个证书？我只能再次引用并改编鲁迅老人家的那句话：我向来不惮以最坏的恶意揣测党国。

(3).邮件的防范

目前QQ邮箱是默认开启https的，如果在QQ面板直接打开邮箱，是https的web页面，这样审计工具只能知道你访问了QQ邮箱，却没办法知道你的邮件内容。

如果使用邮件客户端，那么可以设置相应的SSL连接。

比如QQ邮箱的帮助里是这样的：

(4).客户端监控软件：

有些变态公司可能会在员工的电脑中安装监控工具，好似当初绿坝，有些甚至可能是驱动级监控工具。最简单的办法就是重装系统——怕啥BIOS密码，大部分电脑都可以在启动的时候按F8、ESC之类按键选择启动设备。哪怕不能选择，你都看这篇文章了，难道不会拆机箱抠电池么~顺手重建MBR来防范MBR病毒吧……好像现在都是GPT了耶。

可能重装系统会被发现或者引起怀疑，那么也有一个替代的办法，使用一些Linux发行版的LiveCD，制作成启动U盘，随插随用。当然这就有点技术门槛了，大部分人还是不太能适应各种Linux发行版吧！

对待不截屏的监控软件，也可以使用虚拟机隔离之。

(5.)浏览器的防范：

大概不会有公司会无聊到给员工的电脑装上自己开发的“监控浏览器”吧，但是依旧要注意一点，电脑被收走了，浏览器的历史记录不也就"公之于众"了吗？

Chrome有隐身模式。

3.硬件层面的防范：

电脑又被收走了，那平时下的小黄片不就被发现了吗？

没关系，只要我们做好了预防措施，那么就可以让监管人员欲哭无泪。

我们可以用BitLocker（Windows 7就自带了哦）、GnuPG、VeraCrypt（或许大家还记得TrueCrypt）这类工具加密文件、乃至于整个分区，而且保证是让NSA都欲哭无泪的加密。

GPG和VC的简要使用方法可以参考《加密技术的科普以及GnuPG和VeraCrypt教程》

或许有人要抬杠了，领导说不给他密码，就给我开除让我喝西北风，我没办法啊就给了密码。这再次印证了一个安全圈的俗话：越是安全的系统，最大的弱点往往就越在于人。

对待这种胁迫，我们可以使用VeraCrypt的隐藏卷，或者干脆死无对证——销毁数据。千万别天真的以为清空回收站、任何格式化（低级格式化、快速格式化、完全格式化）可以保护你的数据不被恢复，请使用粉碎工具或者完全物理销毁掉你的存储设备。

关于TrueCrypt更多更牛逼的介绍以及使用技巧等方法，我就不瞎说了，参考随想的牛逼哄哄的《TrueCrypt——文件加密的法宝》

以及《扫盲 VeraCrypt——跨平台的 TrueCrypt 替代品》

4.物理层面的防范：

老板就在你身后呢，你就别看小黄片了；身后就亮着一个摄像头呢，就悠着点……这种物理层面的防范，只能靠各位自己了……

三。话外：

密码学

要不是密码学的发展，哪能给一个普通人和国家机器、哪怕是全世界的人斗争的可能？

在信息时代之前，就几乎已经注定了个人几乎无法匹敌政府，个人往往在任何一个方面都是非常渺小的……

举个例子，一个人能造什么武器？顶多是把枪，而政府却能制造出飞机坦克甚至是核武器。

不光是"武器"，其它领域（比如交通工具）也差不多。在信息时代之前，个人吖那个渺小。

信息时代之后，其实大部分领域也并没有什么变化。你现在能造出来坦克？能玩的出来高铁？别逗了。

但是密码学是个例外。

多亏了当初PGP创始人Philip Zimmermann的抗争，他抵着被无数爱国者们骂成卖国贼的心理压力、抵着被FBI抓走坐牢的压力，义无反顾的发布了PGP——当然，靠着宪法修正案第一条他出口了一本书，书里的内容就是PGP的源代码。（二战以来，密码学一直被大部分国家认作军事机密，所以是禁止出口的。大家晓得图灵不）

如今，随意一个人都可以在网上下载到一些非常优秀的加密工具，稍微学习几分钟，就可以进行高高高高高强度加密。而政府方面即使用上超级计算机，也只好干瞪眼。

当然了这无法解密是说，在有意义的时间内无法解密，比如说一百年一千年。

在密码学上，俺们屁民，是和政府们平起平坐的。

再说一句，别以为保密的加密算法就是牛逼的……反而是越开放的加密算法越健壮。

隐私权

有没有这种意识，隐私权就是基本人权，是不可以被侵犯的。如果隐私是非法的，那也就非法之徒才能够有隐私。

四。抽风

最后，我的新规则是，编辑结束发表之前，贴上当前的壁纸，耶。