移动设备逐渐模糊了工作和个人生活之间的界限。然而，如果员工不知道攻击者是如何瞄准移动设备以及利用移动通信松散的性质来感染其设备的话，他们在移动设备上同时保存企业和个人数据将给企业带来巨大风险。企业应该将改善用户行为作为缓解战略的一部分，这是是至关重要的，并且会对缓解日益严重的威胁的全面成功有着很大的推动作用。本技术文章介绍了应该如何改变用户行为以及阻止恶意移动应用进入员工设备的方法。

根据最新的IDG全球移动性调查显示，70%的受访员工会使用个人拥有的智能手机或者平板电脑来访问企业网络。个人移动设备用于工作目的只会继续增长，并且，移动设备带来的生产力优势值得企业付出努力来确保它们不会危及数据安全。基于移动设备的多样性，企业更有效的做法是教育用户、管理和追踪对网络资源的访问，而不是试图控制每台设备。

很多用户将BYOD政策作为逃避网络安全限制的契机。他们不明白攻击者正越来越多地瞄准移动用户，试图从中寻找放松警惕的人来发动攻击。攻击者通常利用常见攻击技术（例如垃圾邮件和网络钓鱼）来瞄准移动环境，诱骗用户提供机密信息，下载恶意应用程序。用户必须了解这一点，并知道如何避免沦为受害者。

现有的安全意识培训往往围绕台式机用户。这种培训必须进行更新，毕竟员工使用移动设备和使用台式机存在显著的区别，同时，培训还应该介绍下载移动应用带来的巨大风险。例如，移动用户通常会下载专有应用来访问内容和执行特定任务；他们使用搜索引擎和浏览器的频率远远低于台式机用户。此外，很多移动用户不知道如何配置其设备的内置安全性和隐私设置以及关闭定位追踪等功能。

移动设备安全培训还必须强调，用户只能从可信任来源下载应用，并避免那些要求过多权限的应用。同时，员工也应该停止这样的习惯，即在安装过程中不假思索地点击“继续”按钮。用户应该查看应用评级和阅读相关评论，标记出应该被避免的应用。此外，用户还应该确定应用描述中是否包含加密个人数据等安全控制。用户绝不要安装任何试图模仿其它知名应用或供应商的应用。

当用户使用移动设备在网上冲浪时，攻击者们有很多机会来诱骗移动用户，因为在移动设备上，他们更难以验证网站的网址。用户习惯于重定向到为移动设备优化的页面，很多网址链接都被缩短了，隐藏了真正的目的地。用户也无法确认电子邮件中链接的真正网址。使用移动设备进行网上冲浪的这些问题意味着用户必须更加审慎从事，特别是当网站要求提供个人信息或者提示他们下载应用时。

虽然移动设备可能会引入更多非正式的通信和工作方法，但企业的安全政策和纪律措施不能松懈。如果没有合理执行移动政策，用户会很快放弃最佳做法。移动设备管理系统的部署应该要求通行码和加密，并允许远程擦除丢失的设备，这可以帮助避免用户粗心的行为，同时为IT提供可视性，让他们知道哪些应用在访问企业数据。

攻击移动用户的新技术还会不断涌现，这意味着企业应该定期更新培训。如果企业不关注用户体验或者安全培训不能反映出移动用户面临的不同威胁和攻击媒介的话，移动安全政策将不会有什么效果。为了保障员工日常工作生活的安全性，企业在允许新员工使用移动设备访问网络资源前，应该对他们进行培训。确保他们能够识别感染的迹象、电池寿命缩短和处理性能降低以及应用程序冻结等常见问题。同时，对违反政策的用户，应限制其某些活动或服务，来表明企业对安全性的重视。

如果企业不安排针对移动设备使用的培训，这只会让用户及其设备成为网络防御中最大的漏洞。面对不断增加的移动设备，提高其安全态势是保护企业资产的最有效的方式。