移動設備逐漸模糊了工作和個人生活之間的界限。然而，如果員工不知道攻擊者是如何瞄準移動設備以及利用移動通信松散的性質來感染其設備的話，他們在移動設備上同時保存企業和個人數據將給企業帶來巨大風險。企業應該將改善用戶行為作為緩解戰略的一部分，這是是至關重要的，并且會對緩解日益嚴重的威脅的全面成功有著很大的推動作用。本技術文章介紹了應該如何改變用戶行為以及阻止惡意移動應用進入員工設備的方法。

根據最新的IDG全球移動性調查顯示，70%的受訪員工會使用個人擁有的智能手機或者平板電腦來訪問企業網絡。個人移動設備用于工作目的只會繼續增長，并且，移動設備帶來的生產力優勢值得企業付出努力來確保它們不會危及數據安全。基于移動設備的多樣性，企業更有效的做法是教育用戶、管理和追蹤對網絡資源的訪問，而不是試圖控制每臺設備。

很多用戶將BYOD政策作為逃避網絡安全限制的契機。他們不明白攻擊者正越來越多地瞄準移動用戶，試圖從中尋找放松警惕的人來發動攻擊。攻擊者通常利用常見攻擊技術(例如垃圾郵件和網絡釣魚)來瞄準移動環境，誘騙用戶提供機密信息，下載惡意應用程序。用戶必須了解這一點，并知道如何避免淪為受害者。

現有的安全意識培訓往往圍繞臺式機用戶。這種培訓必須進行更新，畢竟員工使用移動設備和使用臺式機存在顯著的區別，同時，培訓還應該介紹下載移動應用帶來的巨大風險。例如，移動用戶通常會下載專有應用來訪問內容和執行特定任務;他們使用搜索引擎和瀏覽器的頻率遠遠低于臺式機用戶。此外，很多移動用戶不知道如何配置其設備的內置安全性和隱私設置以及關閉定位追蹤等功能。

移動設備安全培訓還必須強調，用戶只能從可信任來源下載應用，并避免那些要求過多權限的應用。同時，員工也應該停止這樣的習慣，即在安裝過程中不假思索地點擊“繼續”按鈕。用戶應該查看應用評級和閱讀相關評論，標記出應該被避免的應用。此外，用戶還應該確定應用描述中是否包含加密個人數據等安全控制。用戶絕不要安裝任何試圖模仿其它知名應用或供應商的應用。

當用戶使用移動設備在網上沖浪時，攻擊者們有很多機會來誘騙移動用戶，因為在移動設備上，他們更難以驗證網站的網址。用戶習慣于重定向到為移動設備優化的頁面，很多網址鏈接都被縮短了，隱藏了真正的目的地。用戶也無法確認電子郵件中鏈接的真正網址。使用移動設備進行網上沖浪的這些問題意味著用戶必須更加審慎從事，特別是當網站要求提供個人信息或者提示他們下載應用時。

雖然移動設備可能會引入更多非正式的通信和工作方法，但企業的安全政策和紀律措施不能松懈。如果沒有合理執行移動政策，用戶會很快放棄最佳做法。移動設備管理系統的部署應該要求通行碼和加密，并允許遠程擦除丟失的設備，這可以幫助避免用戶粗心的行為，同時為IT提供可視性，讓他們知道哪些應用在訪問企業數據。

攻擊移動用戶的新技術還會不斷涌現，這意味著企業應該定期更新培訓。如果企業不關注用戶體驗或者安全培訓不能反映出移動用戶面臨的不同威脅和攻擊媒介的話，移動安全政策將不會有什么效果。為了保障員工日常工作生活的安全性，企業在允許新員工使用移動設備訪問網絡資源前，應該對他們進行培訓。確保他們能夠識別感染的跡象、電池壽命縮短和處理性能降低以及應用程序凍結等常見問題。同時，對違反政策的用戶，應限制其某些活動或服務，來表明企業對安全性的重視。

如果企業不安排針對移動設備使用的培訓，這只會讓用戶及其設備成為網絡防御中最大的漏洞。面對不斷增加的移動設備，提高其安全態勢是保護企業資產的最有效的方式。