咳咳，怎么会写起这个话题呢？起因是某个小伙伴发给了我知乎的链接让我提提神。

本来是想给写到总结里，结果一口气就写了 2000 来字，已经不适合在总结里出现啦，所以就单独拎出来好了！

事先声明，俺呀，不是什么大牛，也不是安全圈的业内人士，更不是密码学专家。我只是来科普下科普下…… 当然了是原创的科普。

另外，本篇文章是应对 "审计" 的哟…… 社会工程学等等不在此列。

一。网络审计是什么？

这里我指的是 " 上网行为管理审计 "。在某些企业、学校里，会在网关部署一个设备（当然也有可能是旁路），所有进出网关的东西都会被记录下来。简而言之就是，理论上你看了什么网页，听了什么歌，下了什么电影都是可以在审计工具里看到的。

当然审计的程度是不同的，有的可能不会部署这类工具，有的可能会对某些端口进行屏蔽（比如屏蔽 BT 端口来禁止下载），有的可能会特殊关照某些端口（比如 HTTP 的 80）。

防范之心不可无。

当然你可以说，我们处在运营商这一个大的 "公司" 之中，无论怎么防范都是没用的。对待这种言论，我只想说，滚犊子！人活着早晚得死，那就现在死了呗。防范是有针对性的，你在公司里主要的防范对象是公司领导，关电信 CEO 什么事？况且，互联网的存在使得匿名真正成为了可能。

有人可能会问，有这么坏的公司 / 学校吗？就引用鲁迅老人家的那句话：我向来不惮以最坏的恶意揣测中国人。

二。如何防范网络审计

想要避开网络审计工具，那就要从多个方面来避免，这还是要借鉴编程随想的《如何保护隐私》系列和《如何隐藏你的踪迹，避免跨省追捕》系列。此两系类博文堪称经典，隐匿 / 匿名必看！看了他那两个系类博文，就可以直接 × 了我这个了。

拿着和国家机器隐匿的办法来对付区区一个公司显然大材小用。尽管不同人对匿名有不同的需求，但是这种意识应该得到提高、加强。

对待网络审计工具，首先是无法避免要通过网关了，所以只能在通信手段上进行保护。相信现代密码学，相信科学。

1. 网络层面的防范：

毫无疑问你的所有数据都得有一个网关一样的设备转发出去，这是无法避免的。也就是说，所有明文传输的东西都会被记录下来。想当然的那么就不明文传输，直接密文传输就好了。

那么应对措施就来了：

(1).VPN 工具

我们可以使用 VPN 协议来创建加密隧道，所有的数据都会在这个隧道里传播，网关只能知道你的 VPN 服务器的 IP 和你在使用 VPN，却比较难解密你的 VPN 通信。当然，推荐使用 OpenVPN 这种可以防止中间人攻击的证书体系 VPN，当然 L2TP+IPSec 也可以做到一定程度的防护，PPTP 还是免了吧。

(2). 加密代理

除了 VPN 这种加密隧道之外，还可以使用代理工具，比如非常著名的加密 socks5 代理 Shadowsocks。当然要注意选择一个比较健壮的加密算法，比如说 aes256cfb 而不是 RC4——尽管我们有理由怀疑，一个公司的网络审计有那么多时间和计算能力来破解 RC4 吗？

(3). 加密的通信协议

加密的通信协议，而且是公认的加密协议。时刻记住，尽可能使用加密连接，而且是使用了强大的加密算法和健壮的安全体系的强加密。越是公开的加密算法，它的健壮性也就越强，封闭的算法反而越弱，这是密码学的违反常识的理论之一。常见的安全的加密协议有，VPN 中的 OpenVPN,L2TP+IPSec, Shadowsocks，HTTPS，POP3S,IMAPS,SMTPS 等，SSH 和基于 SSH 的 SFTP ,SCP 等。

最常见的莫过于 HTTPS 了，你看这篇博文的时候， 右上角是不是绿色的小锁头？你打开淘宝的时候，是不是也是小锁头？甚至某些还会显示 Certificate Transparency

我可没钱…… 不过需要注意的是，即使访问了 https 网站，审计工具也依旧能够知道你访问了某个网站，因为在 DNS 查询，密钥协商交换证书的时候是一定会泄漏域名的；但是网络审计工具无法得知你具体看了某个文章以及其内容。想要避免此种泄漏，那么最好的方式是使用 shadowsocks，或者 VPN + 远程 DNS 解析（DNSCrypt 也行），这样审计工具就只能看到你和代理服务器的加密通信了。

此网络层面的防范乃是比较全能的办法。可是也别天真的以为，用了 VPN 就不会泄露你的 IP，开了全局模式就不会泄露 IP——有一种东西叫 Flash 和 WebRTC 的，这就是隐匿的内容了。

2. 软件层面的防范

编程随想把这部分分成了 "操作系统的防范"、"个人软件的防范"、"通讯工具的防范"，我觉得在应对公司的审计工具有点大材小用。

(1).IM 软件：

即时通信工具，比如说 QQ，飞信等这是存在国家级监控的，小小公司应该管不到。但是 QQ 客户端是否加密传输聊天记录、加密程度、是否可以防范中间人至今还是未知数。

我们可以使用 Skype、Google 环聊等工具。请注意是国际版 Skype 哟，绝对的加密安全和保障。

(2).CA 证书：

CA 证书对于整个 HTTPS 的安全体系有多么重要，不了解的人可能完全无法理解。为此，我大家伙可以同样去看看编程随想的系列博文：《扫盲 HTTPS 和 SSL/TLS 协议》

如果公司在各位预装的系统上植入了自签名的 CA 证书，那么毫无疑问所有 HTTPS 都存在被劫持的风险。

如图，被签发了伪证书的 GitHub

说到 CA，就得提到臭名昭著的 CNNIC Root 和 12306 的 SRCA 根证书。那么大的铁道部买不起一个证书？我只能再次引用并改编鲁迅老人家的那句话：我向来不惮以最坏的恶意揣测党国。

(3). 邮件的防范

目前 QQ 邮箱是默认开启 https 的，如果在 QQ 面板直接打开邮箱，是 https 的 web 页面，这样审计工具只能知道你访问了 QQ 邮箱，却没办法知道你的邮件内容。

如果使用邮件客户端，那么可以设置相应的 SSL 连接。

比如 QQ 邮箱的帮助里是这样的：

(4). 客户端监控软件：

有些变态公司可能会在员工的电脑中安装监控工具，好似当初绿坝，有些甚至可能是驱动级监控工具。最简单的办法就是重装系统——怕啥 BIOS 密码，大部分电脑都可以在启动的时候按 F8、ESC 之类按键选择启动设备。哪怕不能选择，你都看这篇文章了，难道不会拆机箱抠电池么~ 顺手重建 MBR 来防范 MBR 病毒吧…… 好像现在都是 GPT 了耶。

可能重装系统会被发现或者引起怀疑，那么也有一个替代的办法，使用一些 Linux 发行版的 LiveCD，制作成启动 U 盘，随插随用。当然这就有点技术门槛了，大部分人还是不太能适应各种 Linux 发行版吧！

对待不截屏的监控软件，也可以使用虚拟机隔离之。

(5.) 浏览器的防范：

大概不会有公司会无聊到给员工的电脑装上自己开发的 “监控浏览器” 吧，但是依旧要注意一点，电脑被收走了，浏览器的历史记录不也就 "公之于众" 了吗？

Chrome 有隐身模式。

3. 硬件层面的防范：

电脑又被收走了，那平时下的小黄片不就被发现了吗？

没关系，只要我们做好了预防措施，那么就可以让监管人员欲哭无泪。

我们可以用 BitLocker（Windows 7 就自带了哦）、GnuPG、VeraCrypt（或许大家还记得 TrueCrypt）这类工具加密文件、乃至于整个分区，而且保证是让 NSA 都欲哭无泪的加密。

GPG 和 VC 的简要使用方法可以参考《加密技术的科普以及 GnuPG 和 VeraCrypt 教程》

或许有人要抬杠了，领导说不给他密码，就给我开除让我喝西北风，我没办法啊就给了密码。这再次印证了一个安全圈的俗话：越是安全的系统，最大的弱点往往就越在于人。

对待这种胁迫，我们可以使用 VeraCrypt 的隐藏卷，或者干脆死无对证——销毁数据。千万别天真的以为清空回收站、任何格式化（低级格式化、快速格式化、完全格式化）可以保护你的数据不被恢复，请使用粉碎工具或者完全物理销毁掉你的存储设备。

关于 TrueCrypt 更多更牛逼的介绍以及使用技巧等方法，我就不瞎说了，参考随想的牛逼哄哄的《TrueCrypt——文件加密的法宝》

以及《扫盲 VeraCrypt——跨平台的 TrueCrypt 替代品》

4. 物理层面的防范：

老板就在你身后呢，你就别看小黄片了；身后就亮着一个摄像头呢，就悠着点…… 这种物理层面的防范，只能靠各位自己了……

三。话外：

密码学

要不是密码学的发展，哪能给一个普通人和国家机器、哪怕是全世界的人斗争的可能？

在信息时代之前，就几乎已经注定了个人几乎无法匹敌政府，个人往往在任何一个方面都是非常渺小的……

举个例子，一个人能造什么武器？顶多是把枪，而政府却能制造出飞机坦克甚至是核武器。

不光是 "武器"，其它领域（比如交通工具）也差不多。在信息时代之前，个人吖那个渺小。

信息时代之后，其实大部分领域也并没有什么变化。你现在能造出来坦克？能玩的出来高铁？别逗了。

但是密码学是个例外。

多亏了当初 PGP 创始人 Philip Zimmermann 的抗争，他抵着被无数爱国者们骂成卖国贼的心理压力、抵着被 FBI 抓走坐牢的压力，义无反顾的发布了 PGP——当然，靠着宪法修正案第一条他出口了一本书，书里的内容就是 PGP 的源代码。（二战以来，密码学一直被大部分国家认作军事机密，所以是禁止出口的。大家晓得图灵不）

如今，随意一个人都可以在网上下载到一些非常优秀的加密工具，稍微学习几分钟，就可以进行高高高高高强度加密。而政府方面即使用上超级计算机，也只好干瞪眼。

当然了这无法解密是说，在有意义的时间内无法解密，比如说一百年一千年。

在密码学上，俺们屁民，是和政府们平起平坐的。

再说一句，别以为保密的加密算法就是牛逼的…… 反而是越开放的加密算法越健壮。

隐私权

有没有这种意识，隐私权就是基本人权，是不可以被侵犯的。如果隐私是非法的，那也就非法之徒才能够有隐私。

四。抽风

最后，我的新规则是，编辑结束发表之前，贴上当前的壁纸，耶。