昨天，朋友給我打電話說，他們單位的電腦無法連上互聯網了，而管理員這幾天又出差在外。筆者到了他們單位之后，發現其硬件和網絡均沒有問題，于是根據現象用排除法查找問題，最后確定并排除ARP病毒所致的網絡故障。在排除過程中，筆者發現其終端用戶網絡安全意識不強，且沒有相應的防護措施。因此導致這次故障的發生是遲早的事情。

毋庸置疑，終端用戶需要做到的安全方面不一而足。幾乎每一家公司都有大量的安全文件和策略，基本而言，都是要告訴雇員在下載時要當心，要注意防止釣魚欺詐和口令泄露等。不過，長篇累讀的教程效果未必很好。有時，向員工提供幾條簡短的安全提示或許能達到更好的效益。在此我們僅列示幾個易被忽視的方面。

確保口令安全

最受歡迎的口令是那種最容易記憶的東西。不幸的是，這些口令是最不安全的。一般情況下，口令應當至少有八個字符，而且要包含一些特殊字符并對口令經常改變，這種改變不應當是簡單的調整。例如，如果目前的口令是“mypassword”，修改之后，不應當是“OKmypassword1”等類似的字符。

對有些用戶來說，由于擔心忘記口令，它們可能需要記下來，否則就容易出問題。用戶應當與IT管理人員討論是否可以實施一個可以安全地存儲口令的程序，而且只需要一個密碼就可以解開加密的文件。

保持公司信息的私密性

數據是公司運營的寶貴財產，而發布私有信息有可能是一種主要的安全損害。許多用戶不僅不知道有哪些行為可為企業造成風險，如不清楚所發出的電子郵件或扔下的紙條會損害企業安全。

有時，公司的數據有可能被當作電子郵件附件發送出去。例如，一位銷售代表有可能將新的合同保險單發給一個客戶，卻未認識到這種消息保存著敏感數據。公司雇員應當仔細檢查發往公司外部的數據，看是否包含私密信息。

要知道敏感信息并不僅僅是數字格式存在，而且還出現于打印文檔中。企業的每個部門應當設立一個碎紙機，為破壞一些敏感信息提供保障。

知道什么人可以信任

最陰險的安全攻擊形式要算是社會工程學（Social Engineering）了。它可以利用人際關系的某些技巧和方法，通過交談、假冒等手段，從合法用戶套取用戶系統資料或管理權限，也可以誘使合法用戶打開一些偽造的釣魚郵件或網站，從而騙取其資料或錢財等。例如,某個外部的個人可以打電話冒稱是一個IT部門的業務代表，也可偽裝為一個雇員粉墨登場。

而且一些新的社會工程技術也不斷出現，這就要求終端用戶在收到電話或陌生人的來訪時，需要保持高度的警惕。

關注個人設備的安全風險

隨著智能電話、MP3播放器等微型設備的普及，許多雇員可能會將這些個人設備帶到工作中。企業應當告訴或要求員工，不要將其插入到計算機中，更不能將公司的資料復制到這些設備中。

個人設備可能構成一種風險，而在丟失機密數據之前，許多用戶并沒有認識到這一點。使用這種設備將違背公司關于數據傳輸的安全策略。一個普通用戶可能會將iPod當作一個音樂播放器，而對于一個IT人員來說，這是一種能夠不當地拷貝公司信息的可移動存儲設備。

擁有整體安全觀

有一些用戶并不理解下載應用程序的后果，有的用戶不理解公司為什么禁止從擁有免費Wi-Fi的位置連接網絡。這自然說明企業安全文化的建設不夠深入，以至于用戶缺乏整體的安全觀念。要讓其知道，使用一些自動化的工具確實有幫助作用，但對于用戶來說知道某些策略背后的原因也很重要。

為了讓員工獲得更為廣泛的安全知識，一些公司已經設置了安全方面的在線教程。公司還應當鼓勵用戶向IT專業人員請教安全問題的最佳方法，如怎樣進行口令控制和保障新設備的安全等。終端用戶理解某條策略的原因將有助于確保其不違反規定和損害數據。

我們可以這樣表達所討論的幾個方面，即：安全第一我做起，口令安全很關鍵。信任他人需謹慎，公司秘密不外傳。個人設備有風險，擁有整體安全觀。