这里有很多关于加密特定文件的建议，但没有关于全盘加密的真正建议。如果您不使用全盘加密，那么如果攻击者可以访问您的计算机，您的数据就很容易受到攻击。您用于与数据交互的大多数程序（包括操作系统）都会创建临时文件等，这些文件会将您的数据碎片留在硬盘驱动器的未加密区域中，攻击者可以将其恢复。如果您完全认为攻击者可能对您的计算机具有物理访问权限，那么您必须使用全盘加密。最简单的方法是在 Windows 上使用 TrueCrypt。如果您使用备用安装程序，Ubuntu Linux 将允许您进行全盘加密。这本教程不适用于最新版本的 Ubuntu，但足以让您入门。

备份到远程位置会使事情变得棘手。您绝对必须在所有数据接触网络或第三方服务之前对其进行加密。Carbonite、Backblaze、Dropbox 等网站提供加密，但仍保留您的密钥副本，以便您可以从 Web 界面恢复数据，并且不能被信任以完全保护您的数据。我建议将所有数据存储在加密卷中（同样，Truecrypt 是一个不错的选择），然后一次备份整个卷。

总而言之，工作流程如下所示：

1. 使用 Truecrypt(Windows) 或 LVM(Linux) 完全加密您的计算机
2. 在您现在完全加密的计算机上，使用 Truecrypt 创建一个本地加密卷来存储需要备份的数据。
3. 做工作
4. 卸载/关闭加密卷，使密钥不再在内存中，然后将完全加密的本地卷推送到远程站点。
5. 完成后关闭机器。不要使用挂起，因为它会使加密密钥驻留在内存中。

如果您异常偏执，那么您使用的计算机不应该访问互联网。要备份您想要将加密的本地卷刻录到 CD 的数据，请将其移动到另一台可以访问 Internet 的安全计算机，然后从那里进行备份。

此外，上述所有步骤都假设您使用良好、强密码/密码短语进行所有加密。它们都应该不同，并且都包含字母（大写和小写）、数字和符号，以使它们难以猜测。

Truecrypt是您可以探索的一种选择。Truecrypt 客户端可用于 Linux/Windows/Mac。

就个人而言，我有一个 TC 容器，它作为驱动器映射到我的 Windows 机器上。对于备份，我将它备份在远程 linux 机器上（通过 rsync），它非常适合我的个人需求。

只要您有一个非常好的（长）密码短语，就很难强行使用它。

对于您的现场工作，物理安全应该是您的第一道防线。如果人们无法实际访问您的计算机，他们就无法破解它。另一方面，如果有人可以从物理上窃取您的计算机，那么他们可能会花很长时间来尝试破解它。

至于你在场外发送的内容，永远不要将所有数据发送到一个地方。一种方法是让您的备份设备成为具有七 (7) 个磁盘的RAID 2实施。由于从这种类型的 RAID 2 阵列获取数据的唯一方法是至少物理拥有六 (6) 个磁盘，因此请确保没有单个站点或个人可以访问超过一个七个备份磁盘。

一旦你有了这种物理安全性，然后继续使用任何类型的加密让你最舒服。

编辑：如果您在这台计算机上安装并启用网卡，则大大增加了数据的潜在古老性。造成这种情况的原因很多，但至少包括：

1) 网卡驱动在发送和接收数据包时需要在内存中读写数据。

2）不管数据在磁盘上是否加密，在内存中必须是未加密的才能被处理或显示。

如果，当您的敏感数据未加密地存在于内存中时，网络数据包正在同时从内存中发送和接收；如何保证内存彼此完全隔离？换句话说，例如缓冲区溢出之类的事情永远不会发生？

这是推荐的文件：

尽可能避免将敏感的客户数据存储在具有 Internet 连接的计算机上。

有关与网络连接相关的风险的技术讨论，请参阅此SANS 研究所报告。

如果您是 Ubuntu 用户，您可以在安装期间轻松选择加密您的主目录，这将确保您存储在目录中的所有数据在写入磁盘之前$HOME始终使用eCryptfs加密。

至于备份您的数据，如果您想要备份明文文件，您只需$HOME在登录系统时进行备份。另一方面，如果要备份加密数据，则需要备份$HOME/.Private.

存储密钥的副本也非常重要，您可以通过运行ecryptfs-unwrap-passphrase.