从消费端兴起智能型手机、平板计算机应用型态，近年来正逐渐被带入日常工作中，尤其来自高级管理层的需求强劲，才得以打破以往的限制，加速推动员工自带设备（Bring Your Own Device，BYOD）应用趋势。然而，目前移动载具主流平台以Android与iOS为首，而既有IT基础架构的端点系统则是Windows、Mac OS与Linux为主，该如何确保新兴应用模式的可管理性与存取安全性，成为BYOD时代下备受关注的议题。

就应用的角度来看，Citrix表示：若公司开放员工携带私人设备，日常工作得以采用顺手的系统接口与操作模式，方便性自然提高，只是如此一来，即代表允许私人设备存取内部信息系统，数据也可能存放在设备中，即使离开公司也可以处理工作事项。但设备一旦离开公司内网就无法运用安全控管政策把关，可能因此违反公司资安政策或法规遵循。在IT控管与员工方便性互斥下，企业对于BYOD的应用难免有所顾忌。

防范数据外泄为移动化核心需求

Sophos表示：关注BYOD相关议题的企业确实不少，实际因应的作为却不多见。尽管市场上已陆续出现从不同技术领域提出可协助控管的解决方案，像是因应iOS、Android系统平台而生、或由防病毒软件厂商增添的MDM（Mobile Device Management）机制，只是许多企业实测后仍旧认为解决方案不符合预期。BYOD方案的询问度高，甚至主动要求测试建置，但真正编列预算执行计划的客户确实不多。

很多企业思维较趋保守，希望在生产力提升的同时，又能够全面掌握应用安全，例如类似桌面端控管，掌握员工在LINE、Facebook等手机通讯App上聊天的内容，即使技术上可达成，合法与否却仍待商榷。现阶段BYOD或移动化应用的阻力并非在IT技术面，而是整体安全思维导致控管政策没有跟上科技应用的脚步，才导致出现保守观望的态度。

除非类似保险业，本来就有补助员工自行采购笔记本电脑的政策，让业务人员方便向客户解说保单内容，并且开放移动设备透过VPN介接至公司内部网络，如今若要进一步开放不同移动载具应用，门坎自然较低。然而，”公司对于员工私人设备应该控管到多细微的程度”仍是无可避免的争议，最后评估的结果往往是决定暂时先开放设备使用，至于安全性则由控管数据端访问权限来把关，毕竟无论终端应用如何变化，企业端最核心的思维皆是以防止机敏数据外泄为主。

安全容器隔离 限制机敏数据存取

近年来因应移动化应用需求，为iOS、Android等新兴操作系统专属研发的MDM解决方案，实作方式大致分为安全容器（Container）与轻量化（Lite-way）机制。安全容器的作法是在手机上切割一块独立的区域，要浏览网页、收发邮件等行为，皆要登入至此区域才能执行，同时也具备更细部控管政策的能力；另一种轻量化的方式，主要是呼叫手机内建功能，以进行强制启动或关闭，好处是耗电较低、部署方便，价格也可被接受，只是资安较严谨的企业会认为数据保护机制不够完善。

“现阶段较务实的控管手段，则是在手机为私人设备状况下，仅开放连接公司邮件系统，至少藉此确认邮件不致被改用私人信箱转发，且附件档案只能被特定App存取，不得被附加到LINE等私人用的实时通讯App，来达到区隔的目的。”詹鸿基说。

一般谈到移动设备安全控管，往往会提出MDM解决方案，但并非所有IT应用环境皆适合导入，常见像是BYOD多属私人设备，公司要全权控管可能会引起反弹。而公司欲控管的目的在于员工会利用移动设备存取内部IT信息系统，例如最常见的网页登入存取与收发电子邮件，仅透过移动载具本身内建功能连接难以管控，因此首先即可利用Sandbox机制，如同安全容器概念，将私人用的App与公司的App分离，让两者数据彼此间无法沟通。

为了避免IT建置控管机制后让移动化应用丧失便利性，要建立可链接邮件系统与Web登入信息系统的App，往往还需要单一登录（Single sign-on）机制来协助，才不致个别App都必须输入账号与密码，还可藉此搭配身分验证管控，不论在公司内部或外部皆可存取，才能达到安全控管与方便性兼顾。

内部信息系统 朝向App化发展

在独立的安全容器中建置内部连网行为所需的App，可说是目前移动管理应用主要发展方向。林皇兴观察，如同早期从Client-Server架构逐渐转向以网页浏览为基础的Web化，未来可预期将进一步推动IT信息系统朝向M化发展。在移动应用环境下，即使Web操控接口设计得再友善，对于输入数据、浏览图表等操作行为而言，仍会受到屏幕尺寸大小限制。因此信息系统的M化，也就是同时提供App存取操控，以及建立Enterprise Store，让企业端自行发布内部软件，将逐渐成为移动化应用下不可或缺的一环。

像是基于Android与iOS平台技术发展的Good Technology以及MobileIron，皆结合借助企业端应用系统厂商之力，协助App化应用落实。MobileIron资深地区销售经理陈威纶说明，近来提供AppConnect Program，主要即偕同第三方App建立生态链，例如IBM Notes、Novell Filr、Box等，协助iOS与Android系统中运行的App，可在不影响使用者操作体验下达到安全与管控。

Good Technology则是提供一个平台，让企业得以基于此平台开发App，不需额外开发身分认证、单一登录、加密等基本机制。林皇兴说明，企业内部自行撰写开发App程序时，大多没有建立数据加密保存机制，一旦员工离职或设备遗失，都可能导致数据外泄。此时即可藉由平台提供的App Wrapping封装工具进行隔离，让数据只能在此容器中运行，不需再学习API整合开发，撰写好的App经封装后就可直接派送。

“然而若企业内部重要的核心系统，无法任意变更也难以转化为App方式存取，加上移动化应用控管范畴也涵盖笔记本电脑时，解决方案就必须进一步提供支持传统Windows运行环境。”潘先国举例，像是最常见以Word档案主要流通格式，在移动载具上没有针对开启Word格式而开发出专属的App应用下，即可利用”应用程序虚拟化”机制，让移动载具拥有执行传统Windows版本应用程序的能力，藉此利用远程资源来运算执行，不仅不致消耗过多载具实体资源，操作接口亦不需额外学习，以协助既有IT基础架构立即可发挥移动化之便，提高工作生产力。