安全翻墙指南
随着近期中国 GFW 防火墙逐渐收紧,各大机场陆续受到影响,以及部分省份“墙中之墙”的建立,国内网友如何安全翻墙上网正在变得愈发重要。加之近期有不少人因为翻墙而被“喝茶”,我们决定制作一份安全翻墙指南,为大家提供一些参考。
本指南将根据不同用户画像(如普通用户,键政用户,行动者)和使用场景,提供相应的安全上网风险点与安全措施建议。
基础篇:必须知道的安全常识
无论您是哪类用户,以下是保障安全上网最基础的几点:
- 设备选择
目前绝大多数新出厂的国产安卓手机都被要求内置反诈中心或带有类似监控功能的服务,这会极大增加您翻墙行为被发现的概率,甚至可能无法安装翻墙工具。因此建议使用一台iPhone 或 Google Pixel专门进行翻墙使用。
避免使用国产输入法:如百度、讯飞、搜狗等输入法,它们基本都会回传你的日常使用数据。有条件的话请使用谷歌 Gboard 或苹果自带的输入法。
避免使用国产浏览器和生态软件:例如 UC 浏览器、QQ 浏览器、360 浏览器、360 安全管家等。请使用 Chrome、Firefox、Safari 等国际主流浏览器。
避免使用国内邮箱和手机号注册境外软件:由于国内的手机和邮箱可以直接检测和拦截境外APP的登录验证码,请使用 Protonmail、Gmail、Outlook 等国外邮箱,并考虑使用接码平台生成的虚拟号码进行注册,尤其是Telegram和X。
- VPN 与网络环境
谨慎选择翻墙工具:认准在境外应用商店上架的知名工具,如 Shadowrocket (小火箭)、Clash 等。绝对不要从国内安卓/苹果应用市场下载任何所谓的“VPN”或“加速器”。
尽可能避免使用国内支付方式购买:使用国内支付方式(如支付宝、微信支付)购买 VPN 服务会留下明确的数字痕跡。如果没有境外手机卡,可以考虑使用加密货币或者充值卡等方式进行支付。
避免在公共或受监控的网络下翻墙:校园网、公司网络通常都部署有行为管理/记录设备。此前已经有高校明确宣传,校园网会检测到翻墙行为。虽然不一定真的能解密你的流量内容,但可以轻易记录下“谁在什么时间连接了可疑的境外服务器”。
3,明确概念
我们需要明白的是,任何的防范行为都只是在降低被暴露的风险,而非实现“完全隐蔽”,匿名并不等于隐身——与其执念“让警察完全不知道你是谁”,不如把目标放在降低“别人能不能认出你和账号是同一个人”。
通过我们过去几年的观察,真正容易暴露的,反而往往是用户的行为特征(同步在所有社交媒体分享自己的生活,和墙内软件相同的头像/网名/说话语气、设备指纹、网络支付、固定的上线时间节奏等等)。
介于绝大多数翻墙用户在最开始并不会意识到需要刻意隐瞒身份,因此通过社会工程学来识别你是谁,远比通过其他科技手段要简单的多。
用户场景与安全建议
一:普通冲浪用户
这类用户翻墙的主要目的是浏览信息、观看视频、查阅资料,不涉及敏感政治内容的发布和讨论。
风险点: 个人隐私泄露(浏览记录、账号信息被追踪) ;身份被动关联(墙内墙外身份被联系起来);遭遇网络钓鱼和诈骗。
安全措施建议:
- 隔离浏览环境:尽可能使用一部专门用于翻墙的手机;或在电脑上使用一个独立的浏览器(如 Firefox),并为其创建一个专用的配置文件。 在此环境下,不要登录任何与您真实身份相关的账号(如国内社交账号、淘宝、工作微信等)。
- 最小化权限和追踪: 默认拒绝网站或 APP 的相册、通讯录、定位、麦克风、摄像头、蓝牙、通知等所有不必要的权限。 在浏览器设置中关闭第三方 Cookie 和跨站跟踪,禁止网页自动下载文件。
- 独立账号体系: *能不注册的软件就不注册。 如必须注册,请使用独立的海外邮箱(如 Gmail,Protonmail)和唯一的强密码。建议让密码管理器生成后再自己手动添加几个字符,并开启两步验证(2FA),这一点至关重要。
- 防范网络钓鱼:
对收到的“账号异常”、“中奖/补贴”等信息保持警惕,不要直接点击链接。有些钓鱼邮箱会伪装成官方邮箱或者你的好友邮箱,在查看邮件时,一定要确认好来源。
警惕 X (Twitter) 等平台上陌生人的私信,尤其是涉及金钱或色情的内容(比如,永远不要相信会有美女想要主动找你裸聊)。
- 定期清理痕迹: 尽可能做到每周清理一次浏览器历史记录、Cookie、缓存和下载目录。
如果你实在腾不出精力,至少做到三件事可以保护自己的安全:专用设备或者浏览器不登录、权限一律最小化,不点不明链接、关闭同步并且账号身份独立。做到这三点,即可大幅降低暴露风险。
二:参与线上讨论的用户(键政爱好者、内容创作者)
这类用户除了浏览,还会在海外平台发言、参与政治讨论或发布内容。风险等级会远高于普通用户。
风险点:
身份被社会工程学方法识破。
线上言论被追踪并与现实身份关联。
数字足迹(设备指纹、IP 地址、行为模式)被用于身份定位。
安全措施建议:
- 建立完全独立的数字身份:
物理隔离:一定要使用独立安全的设备(手机、电脑),与您的国内身份和设备完全分开。
身份隔离:使用独立的昵称、头像、邮箱和手机号。这套身份信息不应与您在国内使用的任何信息有任何关联。
网络隔离:【特别提醒】安装了国内 APP 的设备和安全上网的设备尽量不要使用同一个 Wi-Fi 网络,以防在网络层面被动识别。
- 切断所有关联渠道: 关闭所有历史记录、书签、密码的云同步功能。 绝不与主力设备共享剪贴板、云盘、输入法或截图目录。
- 内容创作去特征化:
文本:控制自己惯用的口头禅、标点符号频率和句式节奏。复杂内容建议先离线完成,进行改写后再发布。
图片/视频:发布前务必检查并清除元数据。有效的办法是将图片/视频保存后进行裁剪,这样就会生成新的图片/视频元数据,避免通过原始图片/视频的元数据被跟踪。
在发布自己拍摄的图片/视频时,避免出现任何可能暴露自己地理位置、生活环境或个人样貌的细节。
关于自己的信息一定要打码,而且一定要是全码,例如你的快递信息,有些人只把自己的收货地址和手机号 姓名隐藏了,但是你的快递单号,和快递单子上的时间都没有隐藏,导致通过单号就可以直接定位到你,又或者是打了一半的马赛克,这样通过时间节点比对依然可以找到你。
音频:如必须参与语音对话,请使用变声器,以防声纹被收集和比对。
- 行为模式去特征化: 随机化你的上线时段与发帖间隔,避免形成与你现实生活作息同步的稳定规律。
- 强化账号安全: 尽可能做到“一号一密一邮箱”原则,为所有账号启用两步验证。 禁用所有第三方一键登录功能。
由于想要参与政治讨论的网友,其暴露风险远比只想浏览的网友大的多,任何生活细节都可能成为暴露的线索。因此,安全思路要从减少痕迹提升到切断网络与现实身份的关联。
三:高风险活动用户(想要参与海外活动的行动者)
如果你已经是骨灰级的翻墙老手、甚至还打算在海外从事实质性的反共活动,那么则需要要把自己放在“最高风险位”来思考,因为任何一次大意和失误都可能导致你的身份泄露并陷入风险。
风险点: 成为被重点关注,寻找和分析的目标。
任何一次失误都可能导致身份彻底暴露,并带来严重后果。
团队协作中的安全短板可能导致整个团队被牵连。
安全措施建议:
- 进行威胁建模: 作为行动者,应当冷静评估:什么级别的警力可能在关注你?他们拥有什么资源?你能承受的最坏情况是什么?如果暴露,你是否有应急预案(如万一自己被捕后的策略,提前留好个人信息,以及是否愿意被国际声援等)。
- 更高的物理与网络隔离:
三重隔离:除了国内手机和日常翻墙设备,还应有一台专门用于敏感活动的设备,做到专机专用。
物理隔绝:在进行高度敏感的音视频会议时,强烈建议将所有安装了国内 APP 的手机放入法拉第袋(或完全断电封存),以防麦克风、摄像头被动监控。
自建 VPN:如果你已经到达这个级别和程度,就尽量不要依赖商用 VPN,学习并搭建自己的专属翻墙通道。
- 强化设备与数据安全:
对所有设备进行全盘加密,并设置强锁屏密码。
重要资料进行异地加密备份,并设定“到期销毁/轮换”策略。
保持系统和软件为最新版本,减少常驻高权限软件和开机自启项。
- 团队协作安全准则:
知情最小化:团队成员之间坚持“完成任务所需要知道的最小信息”原则。
流程标准化:约定固定的设备、时间窗口、内容模板和发布流程。采用“谁产出谁上传”的单向工作流,避免多人频繁登录导致账号画像错乱。
双人复核:建立内容上线前的双人复核流程,并约定可靠的二次核验暗号与紧急联络通道。
- 零信任原则:
对所有外来链接和文件保持“零信任”态度。不点击短链接,不运行来路不明的脚本,不直接打开压缩包或 Office 宏文件。
确需传输文件,应先在本地加密打包,密码通过另一安全信道发送。
目前市面上常用的文档类型,Google都是支持在线预览的,可以把文件放到Google上预览查看,如果无法预览的 就需要深入检查这个文件是否是正常文件了,并且像office这类文档 一定不能使用 WPS,电脑是也不一定不能安装WPS,尽可能都由在线预览查看,避免在本地直接打开。
- 应急响应预案:
一旦出现可疑私信、异常登录、设备异常发热/耗电等情况,立即停更并断开网络。
使用干净的设备更改所有相关密码,提升验证强度,并全面审查第三方应用授权。
必要时,在备份数据后重装系统或更换设备,并向可能受影响的人发布风险提示。
最后
除技术层面以上,另一层更大风险依然是‘社会工程学’层面的个人信息暴露,比如被人钓鱼,把自己参与的事情在国内社交媒体中与朋友宣扬,这种行为,跟投案自首差不多。
总之,不要让一次随手的复制粘贴、一次错误的登录或一次无意的交谈,把你长期积累的安全冗余全部清零。
