知道什么人可以信任

　　最阴险的安全攻击形式要算是社会工程学（Social Engineering）了。它可以利用人际关系的某些技巧和方法，通过交谈、假冒等手段，从合法用户套取用户系统资料或管理权限，也可以诱使合法用户打开一些伪造的钓鱼邮件或网站，从而骗取其资料或钱财等。例如,某个外部的个人可以打电话冒称是一个IT部门的业务代表，也可伪装为一个雇员粉墨登场。

　　而且一些新的社会工程技术也不断出现，这就要求终端用户在收到电话或陌生人的来访时，需要保持高度的警惕。

　　关注个人设备的安全风险

　　随着智能电话、MP3播放器等微型设备的普及，许多雇员可能会将这些个人设备带到工作中。企业应当告诉或要求员工，不要将其插入到计算机中，更不能将公司的资料复制到这些设备中。

　　个人设备可能构成一种风险，而在丢失机密数据之前，许多用户并没有认识到这一点。使用这种设备将违背公司关于数据传输的安全策略。一个普通用户可能会将iPod当作一个音乐播放器，而对于一个IT人员来说，这是一种能够不当地拷贝公司信息的可移动存储设备。

　　拥有整体安全观

　　有一些用户并不理解下载应用程序的后果，有的用户不理解公司为什么禁止从拥有免费Wi-Fi的位置连接网络。这自然说明企业安全文化的建设不够深入，以至于用户缺乏整体的安全观念。要让其知道，使用一些自动化的工具确实有帮助作用，但对于用户来说知道某些策略背后的原因也很重要。

　　为了让员工获得更为广泛的安全知识，一些公司已经设置了安全方面的在线教程。公司还应当鼓励用户向IT专业人员请教安全问题的非常好的方法，如怎样进行口令控制和保障新设备的安全等。终端用户理解某条策略的原因将有助于确保其不违反规定和损害数据。

　　我们可以这样表达所讨论的几个方面，即：安全第一我做起，口令安全很关键。信任他人需谨慎，公司秘密不外传。个人设备有风险，拥有整体安全观。