Skip to content

第 3 章 威胁模型入门

本章导读:如果你只从这本书里带走一个观念,请带走这一个——世界上没有"绝对安全",只有"针对特定威胁的足够安全"。 一把普通的挂锁挡不住专业开锁匠,但足以让顺手牵羊的小偷放弃。保护隐私安全也是一样:你不需要,也不可能防住所有人;你需要做的是想清楚"我主要想防谁",然后投入相称的精力。这种思维方式叫威胁建模(Threat Modeling),它是全书的方法论地基。


🟢 基础:先问自己一句——"我要防谁?"

绝大多数人的安全焦虑,来自把所有威胁混为一谈。你会担心"黑客",但"黑客"可能是:

  • 一个群发诈骗短信的骗子;
  • 一个想偷你支付密码的木马作者;
  • 一个平台背后的算法,正默默记录你每一次点击;
  • 一个分手后想窥探你手机的前任。

他们完全不同,对策也完全不同。本书把威胁主体归纳为五大类,请记住这张表——后面每一章的防护措施,都是在应对其中某一类或几类:

五类威胁主体

类型他们想要什么典型手段对你最大的伤害全书主要对应章节
① 诈骗与犯罪分子你的钱、你的身份钓鱼、木马、冒充、社会工程财产损失、被冒名借贷第 4、5、13、15、18 章
② 商业公司(过度收集者)你的画像、你的注意力App 过度授权、SDK 采集、画像推荐隐私侵蚀、精准诱导、信息茧房第 6、7、9、12 章
③ 平台与服务商数据资产、合规边界内的二次利用集中存储、跨产品打通、数据分析数据泄露、被锁定、权利难行使第 2、8、14、16 章
④ 熟人与关系人控制你、监视你窥探设备、共享账号、亲密关系施压人身安全、精神伤害、隐私暴露第 6、8、17 章
⑤ 物理接触者你设备里的数据、你的财物偷窥、偷拍、捡拾遗失设备、肩窥设备失控、即时损失第 12、18 章

关键洞察:这五类对手的能力动机差异巨大。诈骗分子人数最多、影响面最广,但单兵技术能力往往不高;商业公司技术能力强大,但受法律和声誉约束;关系人的威胁高度个人化,法律难以介入。搞清你面对的是哪一类,才能选对防护手段。

一个普通人的优先级建议

如果你不知道从哪开始,本书给你一个默认优先级(从高到低):

  1. 先防 ① 诈骗与犯罪分子——因为他们直接造成财产损失,且手段在不断升级(AI 换脸、精准话术)。这是普通人最迫切的。
  2. 再防 ④ 熟人窥探——如果你处于不稳定的关系中,这甚至比诈骗更紧急。
  3. 持续削减 ② 商业公司的过度采集——这是长期工程,降低你的"画像精度"。
  4. 警惕 ③ 平台的集中风险——通过分散账号、定期自查、行使法定权利来对冲。
  5. 养成 ⑤ 物理世界的基本习惯——随手锁屏、撕快递单、不乱丢设备。

这个优先级不是绝对的,你可以根据自己的情况调整。但先防住能直接伤害你的,再去优化那些缓慢侵蚀的,是一个普遍合理的原则。


🟡 进阶:资产—威胁—脆弱性三角

威胁建模有一个经典的思维框架:风险 = 威胁 × 脆弱性 × 资产价值。要评估你的风险,先盘清这三样东西。

第一步:盘点你的"资产"

"资产"不仅是钱。对一个现代公民,需要保护的资产至少包括:

  • 金融资产:银行卡余额、支付账户、信贷额度、投资账户。
  • 身份资产:身份证号、手机号、各类账号、实名认证体系下的身份信用。
  • 隐私资产:通讯记录、位置轨迹、健康信息、家庭关系、私人影像。
  • 数字资产:邮箱(找回一切账号的钥匙)、云盘文件、社交账号(声誉)、密码库。
  • 无形资产:社会声誉、信用记录、人身与人身关系安全。

一个有用的练习:拿出一张纸,把你"如果被泄露/盗用,会让你睡不着觉"的东西列出来,按"损失严重程度"排序。这份清单就是你的核心资产表,本书每一章的防护,最终都是为了守住它。

第二步:识别脆弱性

脆弱性(Vulnerability)是"可能被利用的弱点"。常见的几类:

  • 弱密码与密码复用(第 5 章):一个泄露,全线崩溃。
  • 过度授权的 App(第 6、7 章):权限开太多,等于不上锁。
  • ** outdated 的系统和软件**(第 6、10 章):已知漏洞不补。
  • 可预测的行为(第 15 章):容易被社会工程精准命中。
  • 物理疏忽(第 12、18 章):设备无锁屏、随手乱丢信息载体。

第三步:代入威胁,计算风险

把资产、脆弱性、威胁主体三者交叉,你就能算出"真正需要担心的风险"。举例:

  • 资产 = 支付账户里的钱(价值高)
  • 脆弱性 = 支付密码与某泄露网站的密码相同(脆弱性高)
  • 威胁 = ① 诈骗分子已买到那份泄露数据(威胁存在)
  • 风险极高,必须立即改密码(第 5、13、18 章会告诉你怎么做)

反过来:

  • 资产 = 某个几乎不用的小论坛账号(价值低)
  • 脆弱性 = 弱密码(脆弱性高)
  • 威胁 = ① 诈骗分子(存在)
  • 风险较低,可以排在后面处理,或干脆注销账号。

这就是威胁建模的价值:它让你把有限精力,投到风险最高的地方,而不是在低价值资产上过度焦虑。


🟡 进阶:威胁建模四步法(家用版)

专业的威胁建模很复杂,但普通人可以用一个简化四步法,对任何一项防护决策做出判断。本书建议你把这四步变成习惯:

  1. 我要保护什么?(资产)——具体到"哪个账号""哪笔钱""哪类信息"。
  2. 我要防谁?(威胁主体)——回到五类,挑出最可能针对这项资产的那一类。
  3. 如果失守,后果多严重?(影响)——是损失几百块,还是被冒名背上几十万债务?
  4. 我愿意为此付出多大代价防护?(成本—收益)——花两小时配一次 2FA 换取支付账户安全,值得;花一整天研究冷钱包只为一百块零钱,不值。

决策原则:防护的代价,应当与资产的损失后果相称。 这也是本书为什么用三级标注的原因——不是所有事都值得人人做到极致。


🔴 深度:对手能力、成本博弈与纵深防御

如果你愿意深入一层,威胁建模的本质是成本博弈:安全不是"让攻击变得不可能",而是"让攻击的成本,高于攻击者愿意付出的代价"。

对手的能力—动机矩阵

评估一个威胁主体,要看两个维度:

  • 能力(Capability):技术、资源、时间。
  • 动机(Motivation):为什么要针对你。

诈骗分子:动机强、能力中——他们想赚钱,会批量使用工具,但通常不会针对某个普通人长期定向攻击(除非你被识别为高价值目标)。 商业公司:能力极强、动机中——它们有能力深度分析你,但受合规和声誉约束,不会直接对你"犯罪"。 专业定向攻击者:能力极强、动机针对特定目标——如果你不是高价值目标(高官、名人、掌握核心机密者),普通人遇到这类对手的概率很低。

本书的诚实声明:本书的全部内容,针对的是前两类及物理/关系类对手。面对国家级、有充足资源的定向攻击者,普通人的防护手段有效性有限——这不是劝你放弃,而是让你建立合理预期:作为普通公民,你不需要,也无法对抗那种量级的对手;你要防住的是绝大多数真实会发生的日常威胁。这一点请客观接受。

纵深防御(Defense in Depth)

正因为没有单一手段能挡住所有威胁,安全工程提倡纵深防御——用多层相互独立的防线,让攻击者每一层都要付出成本:

  • 第 1 层:习惯(不点陌生链接、不轻信来电)——挡住大多数批量攻击;
  • 第 2 层:认证(强密码 + 2FA)——挡住撞库和密码泄露;
  • 第 3 层:权限最小化(App 只给必要权限)——限制单点失守的波及范围;
  • 第 4 层:监测与响应(定期查征信、看登录记录)——把损失尽早发现;
  • 第 5 层:应急与恢复(冻结、报案、备份)——失守后止损复原。

本书 18 章的内容,基本都可以归入这五层中的某一层。理解了纵深防御,你就能明白:为什么即便你"觉得某个设置麻烦",它仍然值得做——因为它增加了一层独立的成本。


本书三级标注口径(全书统一)

为了让不同读者各取所需,本书每一章都按三级标注。这三级的准确定义如下,请你据此判断每一项建议是否适合自己:

🟢 基础(大众必读)

  • 对象:所有人,包括零基础读者和家中老人。
  • 特征:零门槛、零成本、几分钟内可完成。
  • 目标:挡住最常见、影响面最大、单次损失可能很高的威胁(尤其诈骗与账号被盗)。
  • 建议:无条件执行。如果你只能做一件事,做 🟢 级。

🟡 进阶(实操配置)

  • 对象:愿意花一点时间动手、能看懂基本设置界面的读者。
  • 特征:需要进入系统设置、安装工具或改变使用习惯,通常几十分钟到一两小时。
  • 目标:应对有明确动机和中等能力的对手,显著降低画像精度和泄露面。
  • 建议:优先围绕你的核心资产(见资产清单)执行。

🔴 深度(原理与对抗)

  • 对象:有一定技术基础的读者、安全爱好者、从业者。
  • 特征:涉及底层原理、高级配置或专业工具,需要理解"为什么这么做"。
  • 目标:应对较高能力对手,或满足对隐私的极致追求。
  • 建议:按需选做,不必勉强。普通人做到 🟢 + 部分 🟡 已足够应对绝大多数真实风险。

再次强调:🟢 没做,直接做 🔴 是本末倒置。先把基础打满,再谈进阶。 这也是为什么本书把"防诈骗、强密码、开 2FA、关多余权限"这些看似老生常谈的内容放在最前面反复强调——因为它们覆盖了 90% 以上的真实伤害。


个人风险自评表

读完本章,请用下表给自己打分,确定本书的阅读与执行优先级。每项符合记 1 分:

维度自评项记分
暴露面我经常点击或下载来源不明的链接、文件
暴露面我有多个重要账号使用相同或相似密码
暴露面我从未或很久没检查过手机 App 的权限
资产价值我的支付账户/银行卡有较大余额或信用额度
资产价值我有重要的实名认证账号(涉及信用、金融)
关系风险我处于不稳定的关系,或有人可能对我有恶意
家庭风险家中有老人或儿童使用智能设备
历史风险我曾收到过疑似诈骗来电/短信,或数据疑似泄露

得分解读:

  • 0–2 分:基础风险较低,重点关注 🟢 级内容,做好日常习惯即可。
  • 3–5 分:中等风险,建议完整执行 🟢 + 针对"暴露面"和"资产价值"项做 🟡 级配置。
  • 6 分及以上:风险较高,建议系统执行 🟢 + 🟡,并针对特定高分项学习对应的 🔴 级内容;尤其重视第 15 章(诈骗)和第 18 章(应急)。

本章检查清单

  • [ ] 我能说出五类威胁主体及其主要区别
  • [ ] 我列出了自己的核心资产清单(最怕泄露/被盗的东西)
  • [ ] 我理解"风险 = 威胁 × 脆弱性 × 资产价值",知道该优先防什么
  • [ ] 我掌握了威胁建模四步法,能对任何防护决策做出判断
  • [ ] 我理解纵深防御,知道为什么要做"看似麻烦的多层防护"
  • [ ] 我明白 🟢🟡🔴 三级的准确定义,知道自己该做到哪一级
  • [ ] 我做了风险自评表,确定了本书的执行优先级

延伸阅读

  • 本章是后续所有章节的方法论基础。建议结合**第 1 章(法律框架)**理解"权利"与"防护"的关系。
  • 想深入威胁建模方法论,可了解 STRIDE(微软提出,从伪造、篡改、否认、信息泄露、拒绝服务、权限提升六个维度分析)与 LINDDUN(面向隐私的威胁建模)等方法。本书不展开,但核心思想一致:先想清楚要防谁、防什么,再决定怎么防。

⚠️ 本章对各类对手能力的描述为一般性概括,旨在帮助读者建立防护优先级,不构成对任何特定主体的定性评价。


⬅ 上一章 第 2 章 你的数字画像 | ➡ 下一章 第 4 章 手机号与账号

本书仅作防御科普,不构成法律建议。部分设置可能影响 App 正常功能,请自行评估。