09/23~10/06重點新聞

• 美國國土安全部祭出75萬美元獎金攜手新創，要用區塊鏈來做身分驗證與管理

美國國土安全部（DHS）的科學與科技政策局（S&T）在一個小型商業創新獎的計畫上，祭出75萬美元的獎金，最後將合約與獎金給了一家區塊鏈新創公司Digital Bazaar。DHS預計要跟Digital Bazaar一起研究出身分驗證及管理的區塊鏈實作。

這家位在維吉妮亞州的黑堡（Blacksburg）小鎮的Digital Bazaar，會幫忙國土安全企業（HSE）設計出一個彈性的軟體架構，可以符合目標需求的分散式帳本、數位身分驗證以及數位錢包，來做各種身分管理跟線上獲取的各種實作案例。這個研究與開發的計畫，會由國土安全高級研究計畫局旗下的網路安全部來管理。

「區塊鏈有潛力可以顛覆我們管理線上的身分驗證與存取的方式。」網路安全部主任Douglas Maughan說。同時，他也指出，這樣的研發計畫，可以推動區塊鏈的可能性向真實世界邁進。

這項計畫案，被稱為「區塊鏈身分驗證與管理」計畫，Digital Bazaar會用他們目前的平臺來發展一個標準的數位身分驗證。一旦完成，這個商品會被當做一個帳本即服務（Ledger As A Service，LaaS）。然後，Digital Bazaar會幫忙部署該平臺至多個國土安全部門的實驗計劃上，來驗證系統的可行性。

除此之外，美國證券交易委員會（SEC）最近則開始打擊不實ICO，控告兩家ICO業者（REcoin Group Foundation及Diamond Reserve Club）與其創辦人違反美國證券法的反詐騙及註冊規定。

• 中國建設銀行用區塊鏈加速銀行保險商品的流程，最快第三季要正式啟用

中國四大銀行之一的中國建設銀行（簡稱建行），旗下在香港的全資子公司建行（亞洲）宣布，將IBM的區塊鏈技術應用在銀行保險業務（Bancassurance）上。目標是串接銀行保險的流程，要用更快的服務速度、透明度，來強化客戶體驗以及服務品質，而且最快在第三季就要開始使用。

Bancassurance是指在銀行與保險公司建立合作關係，讓銀行員向客戶及通過不同的銀行管道，來銷售保險公司產品。一般來說，過程中通常會出現資訊不同步或不完整的問題。而建行（亞洲）跟IBM合作，用Hyperledger的Fabric 1.0建造一個平臺，建行（亞洲）所有參與區塊鏈網絡的單位，都能夠即時查看條款跟數據，優化整個保險覆核的過程，整個業務流程的時間也能大幅縮短。

「藉著這個區塊鏈應用方案的問世，我們可把相關的經驗帶給其他保險業的合作夥伴，更進一步的優化公司整體的銀行保險業務。」建行（亞洲）的副行長郭志鵬說道。該平臺目前還在測試階段，預計第三季要正式啟用。

• 反其道而行！日本放准加密貨幣執照，更考慮在東京奧運前發行J-Coin

CC by 2.0_東京証券取引所

有別於中國與南韓直接禁止首次貨幣發行（Initial Coin Offering，ICO），以及各國開始衡量加密貨幣的發展實，日本卻反其道而行。日本金融廳（Financial Services Agency，FSA）在最近釋出11張加密貨幣的經營執照，還表示並不打算阻止ICO活動。日本修改了境內的支付服務法案（Payment Services Act），讓加密貨幣在今年4月1日正式成為日本市場的合法交易工具，且不同於其他國家的封鎖政策，FSA針對加密貨幣的交易制定了營運規則，並開放業者申請，近期出爐的即是首批可合法於日本經營加密貨幣交易的11家業者。

不僅如此，根據外媒Cointelegraph報導，日本銀行更考慮發行加密貨幣J-Coin，甚至已經獲得金融監管機構的支持，打算在2020年東京奧運會之前完成、發行，成為現金貨幣的另外一種選擇。報導也指出，J-Coin將和日圓以1比1的比例兌換。目前，日本政府也未對該計畫的細節、基礎建設等事進行回應，只不過日本近年來對加密貨幣的大力支持，也可能增加了其他國家在加密貨幣上的興趣與研發速度。

• ICO頻踢鐵板：遭南韓封殺，瑞士也展開調查

在中國於今年9月初明文禁止首次貨幣發行（Initial Coin Offering，ICO）活動之後，南韓也在9月29日宣布禁止所有形式的加密貨幣融資行為，同一天瑞士也採取行動針對ICO程序展開調查。

南韓金融服務委員會指出，ICO的市場過熱，再加上投機及詐騙盛行，擔心擴大對投資人的危害，決定禁止所有形式的ICO活動。事實上，迄今南韓政府已發現逾10起利用ICO活動進行詐騙的案件，逮捕超過20名嫌犯，並有多名已遭起訴。目前並不確定南韓是否會跟上中國的步伐，進一步擴大對加密貨幣的管控，因為除了ICO詐騙之外，南韓同樣也發現不少利用加密貨幣來洗錢的違法情事。

瑞士金融市場監督管理局（Financial Market Supervisory Authority，FINMA）也在同一天宣布將針對ICO的詐騙行為展開調查。FINMA主要調查的方向在於ICO的程序是否違反當地的法令，以及當發現有人想要鑽當地金融市場法律漏洞時就會啟動執法程序。此外，瑞士也傳出正在調查境內十多起銷售偽造加密貨幣的犯罪事件。

• 中國信託搶頭香打造貿易融資平臺，目前邁入實作驗證階段

圖片來源/中國信託

在臺灣方面，中國信託（簡稱中信）目前也試著將區塊鏈技術大規模應用在貿易融資的過程中。傳統的貿易融資，銀行與貿易參與方都需要郵寄貿易單據的紙本正本（保險單、提單等），但是這樣的流程，耗時又耗資本，人工作業也增加了失誤的風險與可能性。中信在今年9月中舉辦的世界資訊科技大會上，展示他們在區塊鏈項目的幾項成果，其中包括了區塊鏈貿易融資，他們利用運用全球最大區塊鏈聯盟R3的分散式帳本技術， 打造一個貿易融資的區塊鏈平臺。

在平臺上，供應鏈的進、出口方、海運公司、往來銀行等都能共同進行電子貿易單據的驗證，因為區塊鏈的不可竄改特性，讓單據得以取得信任，又能即時傳輸。目前該項計畫正在中信區塊鏈實驗室進行內部實驗，貿易融資的貸放效率確實能夠大幅度的提升，讓法人客戶可以更快獲得融資資金。目前正在招募實驗的合作夥伴中，希望可以開始進行更大規模的實作驗證。

金融科技近期新聞

公平交易委員會(簡稱公平會)對高通(Qualcomm)市場壟斷及不公平競爭進行調查，週三宣佈高通因違反公僤競爭的事實，處以新台幣243億元罰鍰，約7.7億美元，創下公平會歷來裁罰案件最高金額紀錄。高通則對調查結果及罰款不滿，表示將上訴。

公平會是2015年主動立案調查，有鑑於台灣在手機製造的供應鏈上完整，涵蓋晶片、手機代工、品牌，調查國內外20多家業者，包括手機業者(含品牌及代工業者)、晶片供應商、通訊設備業者，參考產業研究機構、主管機關，並與其他國家競爭主管機關交流。

根據公平會的說明，高通在CDMA、WCDMA、LTE等行動通訊標準的基頻晶片上具有市場獨占地位，但拒絕授權晶片競爭同業並要求訂定限制條款、以不簽署授權契約則不提供晶片、與特定事業簽署排他性的獨家交易折讓條款等等，已損害基頻晶片市場的公平競爭，以違反公平交易法第9條第1款規定，處234億元罰鍰。

公平會調查發現高通利用種種手段限制其他業者的公平競爭，包括以必要專利(SEP)是否授權，要求晶片競爭同業須提供晶片價格、銷售對象、數量等資訊的契約行為，與手機業者間未經授權則不供給晶片的契約條款，或是與相關業者間的排他性獨家交易條款等。除了祭出天價罰金外，公平會也要求高通在收到處分書2個月內和相關業者基於誠信、善意原則重新修訂契約內容。

考量違法行為長達7年，違法期間向國內企業收取的授權金逾4000億元，加上國內業者向高通採購基頻晶片總金額達300億美元，以及產品、服務銷售所獲台幣1億元，因此裁罰台幣234億元，創下公平會裁罰金額新紀錄。

對於公平會祭出的重罰，高通在周四發出聲明，表示不認同公平會的決議，將在收到處分書後向法院請求中止公平會的要求並提出上訴，也會就罰鍰計算方式提出上訴。

高通近來飽受各國政府反壟斷調查所苦，2015年高通因濫用壟斷地位，遭中國政府裁罰60億人民幣，2016年底韓國公平會也以高通濫用行動通訊市場的壟斷地位，以不合理的授權、晶片供應等方式限制公平競爭，對高通裁罰1兆韓圜，當時折合台幣約278億元，今年初美國FTC也控告高通以專利授權打壓競爭對手，蘋果也以超收授權金、要求配合作偽證，與高通對簿公堂。

加州監理站（Department of Motor Vehicles，DMV）周三（10/11）宣布，已修改無人駕駛測試及公用自駕車的規章，將允許未配置駕駛的自駕車上路測試，即日起開放15天的公共評論期，截止日為10月25日。

加州為高科技重鎮矽谷的所在地，對於新科技的規定亦特別受到矚目，當地在2014年就釋出自駕車的測試規則，迄今已有42家業者取得測試許可。

然而，過去在加州道路上的自駕車測試都必須配有駕駛，以於緊急時接手，最新的規定將允許完全沒有駕駛的自駕車上路，也要求這些自駕車都必須達到美國汽車工程師協會（Society of Automotive Engineers，SAE）針對自駕車所制定的Level 4與Level 5等級。

Level 4與Level 5的自駕車皆已具備高度或完全的自駕能力，可全方位地自主操控車輛，當中的Level 4大部份皆有自駕模式，Level 5則為全面自駕模式，屬於自駕計程車的標準。

在蒐集公眾的意見之後，DMV即會將完整的規定上交以進行審核，新規定可望於明年中正式上線。

微軟與臉書（Facebook）甫於今年9月攜手發表了「開放神經網路交換」（Open Neural Network Exchange，ONNX）格式，以建立深度學習模型的移轉標準，本周二（10/10）微軟則宣布包括英特爾、AMD、ARM、IBM、華為與高通（Qualcomm）皆已加入該陣營。

ONNX為一開源專案，目的在於建立標準以讓不同框架上的深度學習模型能夠移轉，除了臉書的Caffe2及Cognitive皆已支援ONNX模型之外，微軟也在周二釋出的Cognitive Toolkit更新版中新增對ONNX的支援，並宣布旗下深度學習加速平台Project Brainwave亦將支援ONNX，同時期待廣納其他框架。

Project Brainwave是微軟於今年8月發表的專案，可用來加速即時人工智慧。微軟副總裁Eric Boyd表示，支援ONNX的Brainwave專案將可協助客戶移植其他不同框架上的模型，也可讓微軟專注於該專案的最佳化，而非把力氣浪費在模型的轉換上。

資安業者Carbon Black本周公布有關暗網中勒索軟體經濟規模的研究報告，指出今年在暗網中的勒索軟體銷售金額為623萬美元，是去年25萬美元的25倍。

勒索軟體已是今日最大的資安威脅之一，許多受害者選擇支付贖金更讓駭客食髓知味，使得勒索軟體在暗網中大受歡迎。

根據Carbon Black的調查，約有逾6300個暗網市集提供勒索軟體，勒索軟體品項超過4.5萬個，DIY的勒索軟體價格從0.5美元到3000美元不等，中間價格為10.5美元，此外，今年勒索軟體的銷售金額已達到623萬美元，去年同期則只有24.9萬美元，足足是去年的25倍，有些賣家光是銷售勒索軟體一年就可賺進10萬美元，至於促進暗網勒索軟體經濟成長的因素則是匿名網路與新興的比特幣。

FBI估計去年駭客藉由勒索軟體總計帶來了10億美元的收入，從勒索軟體的銷售量來看，今年恐怕遠遠超過此一數字。

Carbon Black安全策略長Rick McElroy認為，勒索軟體不應再只被視為與綁架資料相關的小型犯罪活動，它已發展成一個基於雲端、且著眼於銷毀及獲利的黑市經濟，跟企業家一樣，駭客也會避免架構上的巨大投資，因而建立了雲端模式的高獲利經濟。

針對遠銀被駭遭盜轉6000萬美元一案，金管會基於金融機構主管機關的身份對遠東商銀進行調查，發現遠銀在內部控管上有明顯的疏失，導致駭客有機可趁。

國內媒體報導，金管會主委顧立雄指出遠銀遭駭盜款案發生後，金管會已派人員赴遠銀調查，瞭解發生原因，顧立雄透露初步來看，遠銀並沒有落實SOP標準處理程序，顯示有內控上有明顯的疏失。

對於遠銀未落實SOP，金管會週四解釋，遠銀對內部的資訊系統管理雖有設立SOP處理原則，包括系統主機、應用系統的帳號授權等，但這次調查發現遠銀沒有落實標準處理程序。例如在權限管理上，遠銀沒有符合最小授權原則，而是給予最高權限。在資安的管理上，多會要求最小授權原則，即工作上超出業務的範圍應該需要取得額外的授權，但遠銀給一般的管理者最高授權，導致駭客輕易取得最高授權。

另外，基於孟加拉央行等SWIFT盜轉案件頻傳，金管會去年9月已要求國內各家銀行加強SWIFT安全措施，要求SWIFT系統必需與銀行內部其他系統作好實體的隔離，但金管會調查發現，遠銀的SWIFT伺服器並沒有落實實體隔離，可能基於作業方便與其他的電腦連結，雖然負責個人電文放行的工作站有隔離，但因主機沒有做好實體隔離，成為駭客入侵的管道。

金管會去年即發文要求各家銀行加強SWIFT系統安全，並納入今年金檢的項目，但據瞭解，遠銀尚未排到接受檢查，故而這次未能及時檢查出遠銀未做好實體隔離，加上遠銀內部對權限沒有落實最小原則，使得駭客得以有機可趁，以SWIFT交易盜轉6000萬美元。

至於駭客入侵遠銀的SWIFT系統，以偽造交易盜轉鉅額金錢，遠銀為何沒有人工稽核每項SWIFT交易，金管會解釋這是基於銀行如果作好SWIFT系統實體隔離，交易均由系統自動處理完成，因此沒有人工再次稽核的程序。

金管會表示，經過調查遠銀在內控上有兩項主要的缺失，包括資訊系統的權限管理不夠嚴謹，以及SWIFT系統未落實實體的安全隔離。此外，若銀行業者做好內控，應該還有許多機制能夠避免這次事件的發生。

目前該案已交由警方，在資安公司的協助下進行調查，對於駭客如何駭入遠銀，金管會以警方調查中不便對外說明。

GitHub於本周三（10/11），在Universe開發者大會上發布一系列開源程式管理功能，分別是相依關係圖（Dependency Graph）、安全性警告（Security Alerts）、新聞提要（News Feed），以及探索（Explore），加強程式碼的安全性與可發現性。

GitHub上線至今10年，使用GitHub進行開發的用戶與日俱增，且在GitHub平臺上的開源專案也達上百萬個，而開發者開發的軟體，可能至少與GitHub上的一個專案具有相依關係。

為此，GitHub推出了相依關係圖和安全性警告功能，協助開發者管理軟體和專案間複雜的相依關係，並加強程式碼的安全性。

其中，相依關係圖功能可以讓開發者能一目了然自己的程式碼與其他開源專案間的相依關係。根據GitHub官方部落格，目前此功能支援Ruby和JavaScript，未來將支援Python。

（圖片來源／GitHub）

另外，GitHub表示，相依關係圖功能未來將能追蹤相依的專案與程式碼是否有漏洞，而安全性警告功能則會在發現漏洞時，寄送通知給開發者。不過，GitHub稍晚才會推出安全性警告功能。

在可發現性方面，GitHub則提供開發者新聞提要和探索功能，協助開發者能夠從現有的2千5百多萬個儲存區（Repository）中，找出自己有興趣的專案。

（圖片來源／GitHub）

其中，新聞提要功能將根據開發者在GitHub上關注的對象、儲存區，以及GitHub熱門的內容，來推薦開發者可能有興趣的開源專案。而探索功能則提供開發者開源專案資訊，或是如機器學習、遊戲開發等其他資源。另外，探索功能也有依Android、CSS、Node.js等不同的程式語言來分類，以便開發者搜尋自己有興趣的開源專案。

（圖片來源／GitHub）

除此之外，GitHub也發布GitHub Enterprise的專業支援（Premium Support），以及即將推出的社群論壇（Community Forum）、市集（Marketplace）試驗計畫和團隊討論工具。

在10月3日遠東銀行通報資安事件爆發之後，微軟是第一批進駐參與緊急處理的軟體廠商之一，儘管囿於保密協定無法透露處理細節，不過，臺灣微軟資訊安全暨風險管理經理林宏嘉表示，這次遠東銀行資安事件帶來的最大啟示是，「現今資安已經沒有前線、後線之分，不能因為應用程式位居牆後，就不進行強化」，許多企業過去認為封閉、安全的環境，反而被忽略，成為駭客攻擊的弱點。

微軟原先就已經有團隊常駐於遠東銀行。而在10月3日遠東銀行通報資安事件爆發的初期，微軟隨即開始進駐給予協助。他表示，趨勢科技、微軟之外，亦有其他廠商合力協助遠東銀行，在會議結束之後，各廠商也隨即進行作業。

而林宏嘉表示，微軟團隊第一時間所做的事情，除了檢查遠東銀行所建置的微軟環境中是否有異常外，也分析是否存在新攻擊手法，「我們也有檢查是否存在零時差漏洞，不過並沒有發現有這樣的漏洞存在。」除了檢查漏洞外，「我們投注更多時間進行強化」，林宏嘉表示，微軟的多數產品，像是Windows作業系統、AD Server、SQL Server各自都有一套標準的強化流程，「無論企業是否遭受攻擊，都會使用最高標準進行檢驗。」他舉例，例如針對AD服務，微軟就會對系統架構、權限、使用者稽核管理機制、事件紀錄進行查核。

林宏嘉也表示，現今攻擊手法越來越複雜，往往是綜合多種手法、管道及行為模式，「不容易將事件收斂成單一成因」，如果要檢查各種可能性，會將分析作業時間拉得過長，「不能只投入心力找病因，卻忽略要止血。」根據他觀察，現今許多攻擊事件的發生地點，已經不再只鎖定前端應用程式。像是APT攻擊、指向性攻擊，「這類客製化的攻擊，只鎖定特定的企業、組織」，而駭客也會利用一些企業認為不太重要的資訊，作為攻擊入口。例如，取得員工姓名、電子郵件，建立企業內每個員工專屬個人檔案，以及勾勒出每個員工的使用行為，開始進行攻擊。

也因此，林宏嘉建議，企業應該要開始投注心力，檢視過去那些被視為安全的環境，例如，內網環境或是被防火牆所保護的應用程式。他舉例，像是利用內網連線的人資、請假系統，相比允許外部存取的應用程式，「兩者的資安防護強度是否一致？」他說。

林宏嘉表示，允許外部使用者連線的系統，企業可能願意投資許多成本強化，像是入侵防禦系統（IPS）、網頁應用程式防火牆（WAF）、防毒牆，確保不會遭受攻擊，「駭客想發動攻擊，至少要突破6至7道關卡」，但是部署在內網環境的應用程式，只要碰上使用習慣不佳的內部員工，就可能成為駭客瞄準的攻擊弱點，「但是企業未必願意投注相仿的資源，保障內網環境的安全。」

也因此，林宏嘉認為，企業在資安防禦上可以引入多層次防護，建立多層防線，提高駭客發動攻擊的難度。他舉例，像是中世紀歐洲城堡的設計，除了外層的護城河外，內城牆區也有多層防護，「它的設計邏輯便是假定城牆被攻陷後，如何利用多層防護，延長外部敵人入侵所需要的時間。」文⊙王立恒

Google本月初才宣佈Google Home新增Home Mini作為Home家族最新成員，都還未正式開賣，但Google周四表示將移除Home Mini可能導致暗中錄音侵犯用戶隱私的觸控功能。
 
此事來自網路媒體Android Police創辦人Artem Russakovskii的發現。本月初才發表、預計10月18日才出貨的Google Home Mini和Home一樣，是在使用者聲控指令「Ok Google」下，才會啟動語音助理Google Assistant，但Russakovskii發現Home Mini竟然在完全沒有聲控指令下，暗中啟動聽取功能，將他一天詳細行為都錄製下來並傳送到Google伺服器，而且可以在我的活動（My Activity）網頁中檢視。經過查證後，Google證實少數Google Hom Mini的上方觸控機制出現行為異常，Google Assistant不需經過聲控，只要長按觸控面板即可啟動。
 
針對在發表會當天拿到Home Mini的使用者，Google首先於本周三釋出新版韌體將這項功能關閉。不過周四 Google Home支援網頁再度更新，表示該公司決定永久移除Google Home Mini上方觸控功能，以避免任何疑慮，使消費者能安心使用Mini。
 
最新版韌體預計在10月15日全部部署完成。而在10月4日到7日之間因為長按Mini產生的事件紀錄，Google也會從「我的活動」網頁上將之移除。還未拿到貨的預購用戶將不會受影響。
 
拿掉觸控功能後，未來使用者就只能透過「OK Google」或「Hey Google」才能啟動Home Mini的Google Assistant來播放音樂、提醒或報時。
 
售價49美元的Google Home Mini將設定為主打Amazon Echo Dot。

兩年前，臺南市登革熱疫情大爆發，從入夏到年底，累積超過2萬多名確診病例，更造成112人死亡，儘管後來疫情逐漸獲得了控制，但隔年4～5月，又有重新復甦跡象，有了之前的慘痛經驗，臺南市政府不敢稍有大意，不只成立登革熱防治中心，更借助大數據分析來防疫，即時掌握疫情分布，甚至在還沒有疫情爆發前，就早一步進行風險管控，找對關鍵疫區，提前展開防疫，成功將登革熱完全根除。

「登革熱疫情的控制，時間很關鍵」，臺南市登革熱防治中心資訊組組長吳坤憲表示，病媒蚊的防疫工作就是在搶時間速度。一隻斑蚊蚊子，從孑孓變成可以叮咬人的成蚊，只須7天，所以只要政府的防疫動作一慢，疫情馬上會迅速蔓延開來，可是偏偏以前政府蒐集疫情情報的速度都太慢，「如果想知道現在疫情擴散的情況，最少得等上7天。」他表示。

吳坤憲指出，這是因為過去調查疫情的方式，得由全市37區衛生所人員，先將家戶病媒蚊調查資料取得後，再以傳真或E-mail的方式，回傳到防治中心來彙整並製作成報表，這段資料往返和作業時間，通常需要1週，所以防疫人員要是想知道，現在登革熱疫情持續蔓延的情況，最快也要7天之後才知道，若等到這時才反應，政府的防疫動作就會太慢，以致於過去一直沒有辦法很有效的控制住疫情爆發。

為了能夠縮短防疫應變時間，吳坤憲表示，衛生局在去年8月建立了一個登革熱地理資訊平臺，改採自動化的方式作業，將原來分散到各區所的登革熱調查資料，統一集中匯整到同一平臺來進行追蹤管理，以減少資料來回時間，讓資料的取得更即時。他表示，衛生所人員只須將當天調查的資料匯入系統，防疫人員就能夠馬上看到，「以前是每周才看一次，現在是可以隨時監看」，吳坤憲表示，只要一收到資料，防治中心的電腦螢幕上，就可以即時顯示各區病媒蚊調查分布情況，讓防疫人員掌握疫情的速度變更快，可以立即針對有擴散疫情的重點區域，來加強孳清工作，防疫反應不再慢半拍。

衛生局打造的這套登革熱地理資訊平臺，不只蒐集了家戶病媒蚊調查的資料，也匯整了所有與登革熱疫情相關的資料，包括了個案病例、疫情調查、孳生源列管、病媒蚊管理，誘卵桶、噴藥，以及民眾與醫院通報等資料。

吳坤憲表示，這些資料蒐集起來後，也會用於資料分析，並以視覺化地圖方式來呈現，像是在地圖上能依疫情嚴重高低而以不同顏色來區分，還可以依時間，來動態顯示各區域疫情變化及分布狀況，例如，可以依不同時間的病媒蚊指數高低，來查看各個疫區噴藥後的實際效果，也可以依據疫情擴散的範圍，來及早派員進行噴藥動作。

臺南市衛生局在去年8月建立了一個登革熱地理資訊平臺，並透過大數據來分析大量疫情資料，成功幫助防疫人員預測可能有擴散疫情的重點區域，來加強孳清工作，讓防疫不再慢半拍。（圖片來源／臺南市登革熱防治中心）

用大數據找出潛藏的病媒蚊孳生源頭，及早一步清除

即使是沒病例出現時，平時的風險管控也很重要，必須要針對可能孳生病媒蚊的風險區進行追蹤列管，只要一有潛在風險，就可以馬上動員派人去做孳清，甚至在防疫登革熱的過程中，防治中心還找來了成功大學研究團隊合作，借助大數據來分析誘卵桶的卵粒資料，幫助防疫人員可以更快找到潛藏的病媒蚊孳生的源頭，以控制產卵的孳生源。

不只有會叮人的病媒蚊才危險，蚊子的卵也是個隱性的風險，代表之後可能會爆發的潛在疫區，所以平時臺南市防疫人員也會預先到各區里放置誘卵筒，讓蚊子可以在上面產卵，並定期進行清除的動作。

吳坤憲表示，目前全市共設有將近3,000個誘卵筒，平均每周可以取得4～5萬顆蚊子卵粒，這些蒐集到的誘卵筒卵粒資料，經過大數據的分析，也成功的幫助防疫人員，預測接下來可能是潛在高危險疫區的分布熱點，搶在登革熱疫情延燒之前，就先一步找到關鍵疫區，加強防疫工作，阻止疫情擴散開來。

2015年臺南市登革熱確定病例數曾高達22,761例，到去年已經大幅減少到只剩下8例，吳坤憲表示，今年臺南的雨量和氣溫變化，其實和2015年疫情大爆發時的環境很接近，如果在一開始4、5月疫情剛出現時，沒有很快的控制住，9月疫情很有可能就會大爆發，但後來靠著結合科技防疫的方式，最後才可以有效控制住疫情。

不只是利用大數據防疫，防治中心接下來還要結合更聰明的智慧捕蚊燈，來蒐集蚊媒資料，並透過大數據來分析蚊子的特性，來了解不同環境下蚊子的行為差異，以找出可以提高防疫功效的更好作法。（攝影／洪政偉）

利用智慧捕蚊燈蒐集資料，幫助掌握蚊子習性

不只是利用大數據防疫，吳坤憲表示，接下來還要結合更聰明的智慧捕蚊燈，來蒐集蚊媒資料，透過大數據來分析蚊子的特性，來了解不同環境下蚊子的行為差異，以找出可以提高防疫功效的更好作法。

這個智慧捕蚊燈，外型近似市面上的吸入式捕蚊燈，不過內建有光度或影像辨識感測器，也有具備連網的功能，只要每抓到一隻蚊子，就會即時的將蚊子的資料回傳到後端的大數據分析平臺來分析。

目前這個智慧捕蚊燈可以蒐集的資料，包括了放置地點附近的蚊子數量、出沒次數，以及時間分布等，另外也能夠利用影像辨識的方式，來分辨出蚊子的種類，例如屬於的是埃及斑蚊，或是小黑蚊等。

吳坤憲表示，這個智慧捕蚊燈因為是可以即時的蒐集蚊子資料，比起過去的誘捕筒，需要每周才取得一次資料，收到資料的速度變更快，可以馬上進行分析，而且除了可以放在戶外，也能夠在室內來放置，可以進一步讓防疫走進到居家環境。而透過這些蚊子資料的蒐集和分析，也能夠反應出不同地區可能潛在的病媒蚊風險。吳坤憲表示，今年9月先在30家店家展開小規模的測試，之後也計畫在臺南5大觀光商圈部署200個以上的智慧捕蚊燈。

剛入秋的這一周，吹起了臺灣金融圈另一次資安風暴。

在10月3日這一天，遠東國際商業銀行（簡稱遠銀）的國際匯款系統SWIFT（環球銀行間金融電訊網路）發生了交易系統異常，駭客盜轉了18億元匯款到海外三國，遠東銀行在3天後的傍晚對外公開，立刻震驚了全臺。

遠銀在10月3日上午，從資安設備上偵測到網路異常行為，隨後發現有系統毀損，確認遭到駭客攻擊而植入病毒程式，當時清查後發現，只有PC和Windows伺服器受到影響，其餘主要交易系統，如存、匯、網銀、ATM及信用卡等皆正常運作，分行服務都運作如常。因此，遠銀剛開始以為是只是一起單純的病毒入侵事件，也先向金管會通報遭駭客植入病毒。

第一時間遠銀先在總行成立緊急應變小組，由遠銀總經理親自主持，並在資訊處成立戰情指揮中心，由遠銀O&T副總經理與資訊處處長擔任現場指揮，還成立了攻防小組及設備復原小組。另外，遠銀也找來多家資安業者，如趨勢、微軟等組成團隊盤查系統，以確認影響範圍，後來找出並刪除病毒及後門程式，尤其還發現了過去沒有出現過的病毒。

像微軟原本在遠東銀行就有常駐人力，除了檢查遠銀的微軟環境是否異常外，如針對AD服務，微軟就會對系統架構、權限、使用者稽核管理機制、事件紀錄進行查核。微軟團隊也嘗試尋找是否有新的攻擊手法，「尤其會檢查是否出現了零時差漏洞，不過，沒有發現有這樣的漏洞存在。」臺灣微軟資訊安全暨風險管理經理林宏嘉表示。

但是，過了10月4日中秋假期隔天，10月5日，遠銀在SWIFT系統修復後對帳時，卻發現了7筆偽冒交易，遠銀才驚覺是SWIFT銀行與銀行間跨國轉帳系統遭駭客攻擊。

駭客入侵SWIFT系統來操控轉帳，盜轉鉅額款項，並分批匯往不同海外銀行，總計金額高達6,010.4萬美元，當中分別有5,700萬美元匯往柬埔寨，210萬4千美元轉至斯里蘭卡，另外的100萬美元則匯往美國的銀行帳戶。遠銀當日晚間也隨即至刑事局偵九隊報案，並向國際刑警組織及SWIFT Alliance請求協助調查，也將遭駭電腦封存，交由刑事局協助鑑識，以釐清駭客入侵手法及途徑，並同時再次通報金管會。

在10月6日，也就是星期五晚上6點57分，遠銀在公司官網發布重大訊息公告，說明因發生「電腦病毒事件」，而影響部份SWIFT系統匯款交易，其他臨櫃的存匯、轉帳、ATM等交易系統則未受影響，不過並未說明駭客是透過何種攻擊手法入侵，只強調目前已透過跨行合作的通匯銀行向受匯銀行持續追回款項。

金管會也於同日發布新聞稿證實，遠銀SWIFT系統疑似遭駭客入侵，發生盜轉資金的情形，金管會也同步清查全臺其他銀行，確認受駭銀行只有遠銀一家，其他銀行並未回報類似的受駭情形，SWIFT系統均屬正常。

而斯里蘭卡警方依臺灣刑事局提供情資，在錫蘭銀行逮捕1名試圖取款的斯里蘭卡籍男性，疑似是遠銀盜領案的成員之一，並在辦公住處查扣405萬盧比（約2萬6,400美元），懷疑是已遭提領的遠銀贓款，後來逮捕到的另一名嫌犯，發現是該國國營瓦斯公司會長Shalila Moonesinghe，有1百多萬美元竊自遠銀的匯款，匯入了他的私人戶頭。

駭客攻擊手法初步曝光：熟諳遠銀內部，先刪除防毒軟體程序

由於目前案件由刑事局偵九隊負責偵辦，相關的惡意程式分析也交由刑事局研發科負責相關的分析。例如，目前已經發現了3支後門程式，以及2支病毒程式，目前由刑事警察局及資安公司協助分析中。不過，相關的案情尚未完全明朗前，我們也透過一些不具名資安專家的分析，提供一些可以持續關注的案情焦點。

首先，不具名的資安專家指出，遠銀SWIFT系統遭駭事件和先前國外爆發的案例一樣，入侵的駭客都非常了解該入侵銀行的作業模式，所有就有機會透過各種水坑式攻擊等方式，進入遠東銀行的內部網路。

再者，不具名資安專家表示，駭客進入遠銀內部網路後，第一件事情就是設法刪除遠銀使用防毒軟體的部分程序的執行檔，初步判斷砍掉7個防毒程序後，再透過執行一個勒索軟體，加密部分電腦中的檔案。

第三步，該名資安專家表示，接下來就是散佈相關的惡意程式。據了解，主要是透過啟動排程功能「schatasks」進行刪除的程序，並且利用「cmd」命令提示字元，登入像是C槽內的網路帳密。從先前刑事局透露發現的幾支惡意程式，目前觀察到主要是用來登入特定的IP位址、並在特定的路徑中，創建啟動勒索軟體的時間。

從刑事局先前透露的資訊也可以發現，刑事局發現的惡意程式功能包括散布、加密及遠端遙控功能，在感染遠銀內部電腦後，也會蒐集相關情資進行回報，並且加密部分電腦的檔案資料。刑事局指出，因部分電腦檔案遭加密，導制警方無法更進一步追蹤惡意程式的入侵途徑，甚至於，連後續的帳款轉帳的金額和流向也因為是加密檔案，只能透過國際SWIFT聯盟取得相關的資料。

刑事局也表示，追查過程中也發現，駭客透過美國和荷蘭等國的中繼站，隱匿蹤跡，也加深追查難度，目前刑事局第一時間分析出惡意程式的特徵，但是，要真正查出駭客如何入侵遠銀的SWIFT系統，才是真正有助於釐清案情的方法。

資安專家研判，因為要了解SWIFT國際匯款系統是需要對於該產業以及相關系統流程非常嫻熟且專精，即便是國際駭客組織「人才濟濟」，要隨便就找到可以如此深入了解SWIFT系統的專家，也並非容易的事情。

不過，可以從先前爆發的多起銀行SWIFT系統來了解駭客入侵手法，趨勢科技全球核心事業部資深協理張裕敏則在去年HITCON舉辦的一場金融資安科技研討會中，便針對SWIFT網路攻擊作了技術分析。

在會中，張裕敏針對多起銀行SWIFT系統遭到入侵事件進行彙整分析五個共通點，首先，受駭銀行內部網路都被駭客占領；其次，駭客也入侵並掌握SWIFT國際匯款交易系統的伺服器；第三，駭客可以透過網路，遠端連上SWIFT伺服器；第四，入侵的駭客對於SWIFT Message Type以及對SWIFT系統的Alliance Access軟體也十分熟悉；最後，在孟加拉央行遭駭及越南國際先鋒銀行遭駭的事件中，都發現惡意程式內的英文有拼錯的跡象。

趨勢科技全球核心事業部資深協理張裕敏去年在一場演講中，分析了SWIFT駭客入侵有4種可能管道。

從提升交易安全性和強化資安確保SWIFT安全

張裕敏也從兩個面向提供預防之道，從各國銀行的建議，主要都偏重在強化交易系統認證安全性，不論是SWIFT國際匯款交易需要進行指紋辨識確認，或者是在2016年5月，建議SWIFT交易應該引進雙因素認證，甚至是採用USB傳遞交易資訊等，目的都是為了提高交易的安全性。

從資安強化作為來看，張裕敏認為，也可以從五個層次來進行。首先，應該要落實應用程式的控管（Application Control）；再者，也必須做到檔案整合性測試和系統整合性測試（Integrations Check）；第三點，包括所有的連線控管、帳密管控以及特權帳號管理等，都必須進行嚴密的存取控制（Access Control）；第四點，落實稽核記錄以及監控（Auditing Log and Record）是確保所有環節都有落實的管理之道。

最後一點，也是張裕敏最深切的提醒就是，所有資安或者是操作人員都必須要有足夠的警覺性，所有不應該出現任何警示的地方，就算指出現一次的警示，都必須進行追查，確認不是可疑資安事件的引爆點。他指出，唯有「在不疑處有疑」，才有可能做到制敵機先或者是提前預警的效果。

遠東銀行遭駭盜轉事件中，刑事局已經發現了5支駭客留下的惡意程式，其中2支是加密勒索木馬，另外3支是用來入侵和滅跡的惡意程式。

早在10月6日記者會中，金管會就曾提醒臺灣金融業者，要注意RANSOM_HERMS.A加密勒索木馬。iThome進一步取得了這5支惡意程式的檔名和特徵，可供企業趕快清查內部電腦系統，是否已遭駭客鎖定，暗中也植入了這些惡意程式，只是還未發動攻擊。

就是因為遠銀在10月3日上午，從資安設備上偵測到網路異常行為，隨後也發現有系統毀損，找來資安專家，發現是這支加密勒索軟體導致SWIFT系統當機，但這其實是駭客故佈疑陣，用來隱藏他們暗中入侵SWIFT盜轉匯款的拖延戰術。

目前5支惡意程式，除了bitsran.exe和RSW72CE是加密勒索木馬之外，另外三支的檔名分別是msmpeng.exe（偵測到BKDR_KLIPOD.ZTEJ-A病毒）、splwow32.exe（偵測到 BKDR_KLIPOD.ZTEJ-B病毒）和FileTokenBroker.dll（TROJ_BINLODR.ZTEJ-A），最後一個從檔名來看，就疑似是用來偽造SWIFT密文用的病毒，不過，這還有待刑事局分析。這幾支惡意程式目前已知的功能，可以進行散布、加密及遠端遙控，並在感染遠銀內部電腦後，也會蒐集相關情資進行回報，並且加密部分電腦的檔案資料。

另外刑事局也已經掌握了2個駭客用來遠端遙控惡意程式的惡意程式中繼站IP，分別是94.23.148.41和167.114.32.112，這也是企業要趕快列入防火牆阻擋清單的IP，另外也要清查ㄧ下Log記錄，是否過去一段時間內有出現這2個IP的活動記錄，若有，那就得提高警覺了。

遠東銀行遭駭事件5支惡意程式特徵

Google、IBM及紅帽等多家業者於本周四（10/12）藉由GitHub共同發表了Grafeas開放原始碼專案，這是一個軟體運算元件的元資料API，可用來稽核及管理軟體的供應鏈，包含時興的微服務與容器應用。

當初Google打造Grafeas的用意是將它當成容器安全API，它可追蹤與執行軟體開發政策，不論是建置工具、稽核工具或是合規工具都能利用Grafeas API來儲存、查詢與檢索軟體元件的元資料。

根據Grafeas專案網站的說明，它可儲存、查詢與檢索軟體的元資料，不管這些軟體的存放處或類型，或者它們是在就地部署、私有雲與公共雲的環境中；它也能隨著供應鏈的擴充而增加元資料，並分析不同開發周期的元資料；另也嵌入了元資料的讀寫存取控制能力。

Google還額外發表了Kubernetes政策引擎Kritis，以用來制定更安全的軟體供應鏈政策。已採用Grafeas與Kritis的加拿大電商平台供應商Shopify安全工程師Jonathan Pulsifer表示，該公司每天遞交逾6000個版本，並維護33萬個容器映像檔，把這兩項工具整合到Kubernetes供應鏈之後，現在他們得以自動化地儲存每個內容映像檔的漏洞及版本資訊，並嚴格執行該公司對Kubernetes叢集的政策。

Google指出，軟體供應鏈的安全管理對許多組織來說都是令人卻步的任務，特別是在五花八門的語言、工具、開源碼軟體、去中心化、混合雲端部署及微服務架構交錯使用的現代，它們產生了不同格式、源自不同供應商，以及儲存於各處的大量元資料，若缺乏統一的元資料輪廓或真相的中心來源，資訊長將很難管理這些軟體供應鏈。

目前參與此一專案的業者涵蓋了Google、IBM、紅帽、JFrog、Black Duck、Twistlock、Aqua Security與CoreOS，其中，IBM將於IBM Cloud的容器服務中整合Grafeas與Kritis，紅帽也打算在OpenShift中提供Grafeas，Google亦預期明年初將有更多的業者加入Grafeas專案。

向來在雲端上較勁的微軟及Amazon Web Service (AWS) 竟然也合作了。兩家公司周四宣佈名為Gluon的深度學習函式庫，可讓各種開發人員開發、訓練機器學習模型，及部署到雲端、前端裝置及app上。 

開發人員要打造神經網路要集結三項元件，包括大量的訓練用資料、模型及演算法。由於資料十分龐大，模型及演算法又複雜，因此訓練一個模型需要花費數天到數周的時間。深度學習引擎像是Apache MXNet、微軟的Cognitive Toolkit及Google TensorFlow已經走向最佳化以加速訓練時程。然而上述引擎需要開發人員一開始以複雜、冘長的程式碼來定義模型及演算法，定義好後就很難變動。其他學習工具比較容易使用，但缺點是降低速度，拉長訓練時間。 

Gluton就結合了這些方法的優點，具備簡單易懂的編程介面，讓開發人員可以快速建立神經網路原型及實驗，其訓練方法對底層引擎速度的影響也降到最小。利用Gluon介面，開發人員使用Python API和一些內建的神經網路元件即可快速打造機器學習模型，又能動態調整其大小及型態。此外，它還整合了訓練演算法及神經網路模型，使開發人員可分階段執行模型訓練，未來除錯、升級較容易，神經網路也能重新使用。 

Amazon AI副總裁Swami Sivasubramanian指出，今天神經網路的建立和訓練除了十分費時費工，也有相當難度，Gluton正是為了解決這個問題而生，有了它，開發神經網路和訓練模型，就和開發app一樣簡單。 

Gluton介面目前支援Apache MXNet 0.11，即將推出的新版也將支援Microsoft Cognitive Toolkit (CNTK)。目前AWS和微軟已經出版了Gluon的參考規格，以便其他深度學習引擎可與之整合。相關文件也出版於Apache網站。

思科（Cisco）旗下的資安團隊Talos近日在調查一起假冒美國證券交易委員會（SEC）進行魚叉式網釣攻擊的駭客行動時發現，駭客利用了微軟Windows中的動態資料交換（Dynamic Data Exchange，DDE）協定來散布惡意程式。

根據微軟文件，Windows提供許多方法來轉移不同應用程式的資料，DDE即是其中一種，它是一組訊息及準則，可在共享資料的程式間傳遞訊息，並藉由共享記憶體交換資料。

率先揭露DDE同樣可應用在微軟Excel與Word程式的是安全顧問業者SensePost，SensePost發現透過Word的功能變數（Field）設定即可嵌入DDE，而且會在文件開啟時自動執行。使用者可於DDE中輸入簡單的指令以指引匯入資料的路徑，但駭客卻用來它開啟命令提示並執行惡意程式。

根據Talos的調查，駭客寄出了假冒為SEC的郵件予攻擊目標，該郵件含有一個Word附加檔案，開啟後會跳出一個提醒視窗，詢問是否要開啟該文件所連結的其他檔案(下圖，來源：Talos)，假設使用者同意了，那麼即會執行駭客所撰寫的惡意程式。

在這波攻擊中，駭客於使用者系統上植入的是DNSMessenger惡意程式，這是一個遠端存取木馬，可利用DNS查詢以執行惡意的PowerShell指令。

值得注意的是，另一資安業者Nviso在這幾天已發現許多利用DDE功能植入惡意程式的文件樣本，突顯出濫用DDE的手法正在興起。

南韓媒體The Bell本周引述消息來源報導，蘋果正與LG Display合作以開發可折疊的OLED螢幕，可望於2020年量產，無獨有偶地，本周美國專利暨商標辦公室（USPTO）也公布了蘋果所申請的折疊螢幕技術專利。

蘋果在去年8月提出了電子裝置的螢幕技術專利申請，根據申請書的專利敘述，相關技術將讓裝置擁有可彎曲的螢幕，並讓裝置得以折疊。

三星電子早就在2013年的CES展上展示了可彎曲螢幕（下圖，來源：Samsung），也計畫開發可摺疊螢幕，但相關手機的上市計畫從2015年一直延宕至今，上個月三星行動部門總裁Dongjin Koh則對外證實將在明年推出採用可摺疊螢幕的Galaxy Note手機。

不過，Koh坦承還有些問題尚待解決，但未透露細節。

三星為蘋果iPhone X的獨家OLED螢幕供應商，也幾乎獨佔了行動OLED市場，市場分析認為，為了不讓三星繼續坐大，蘋果持續與LG保持密切的合作關係，儘管選擇與LG合作開發可折疊的OLED螢幕，但看在加速產品上市的份上，亦不排除採用三星摺疊螢幕的可能性。

Google於本周四（10/12）宣布Grow with Google（與Google一起成長）計畫，並在未來5年，將提供10億美元給非營利組織，來提升美國人的科技技能，以利美國人找工作或加強企業營運。此外，Grow with Google計畫也將貢獻Google員工（Googler）的100萬個小時給非營利組織，提供技術培訓支援。

Google認為網路應該要能讓每個人都可以成為開發者、企業家或創作者。為了縮短人們與現代科技技術的鴻溝，Google提出了Grow with Google計畫，並貢獻金錢與時間，來提升美國國人的科技技術水準。

而Grow with Google計畫將免費提供在美國的民眾工具以及培訓，來協助他們獲得技能，並找到工作。同時，Google也發布線上中心google.com/grow，提供求職者、教師、當地企業老闆以及開發者，能夠取得培訓和專業證照，如G Suite認證。

此外，Google計畫將在Coursera平臺上發布IT支援課程，並將提供完成課程的學員IT支援專業證書（IT Support Professional Certificate）。

另外，Google也與學習平臺Udacity合作，正在推動免費培訓計畫Google開發者獎學金挑戰（Google Developer Scholarship Challenge），將提供有志於打造網頁和Android應用的開發者5萬個獎學金機會。

為了提振臺灣的經濟發展，搭配臺灣在科技產業的優勢，行政院科技會報透過二、三十場產官學的會議，凝聚產業共識，在2016年11月正式推出2017年～2025年為期8年的「數位國家、創新經濟發展方案」（簡稱DIGI+方案）。

後續，除了原有的DIGI+方案外，行政院又針對基礎建設部分，包括軌道、水環境、綠能、城鄉、數位及食品安全等八大建設計畫，推出「前瞻基礎建設計畫」，預計從2017年～2021年，優先以特別預算方式編列4千2百億元。「前瞻基礎建設條例」也於今年7月5日在立法會臨時會三讀通過，並於今年7月7日由總統正式公布施行。

不論是DIGI+方案或者是前瞻基礎建設中的數位建設，都是因應電腦化、網路化、雲端化和智慧化的發展趨勢所推出的國家數位經濟發展方案，目的希望可以達到數位4.0的願景。

行政院科技會報執行秘書郭耀煌表示，前瞻數位建設正是DIGI+基礎建設的部分，從軟體角度思考與數位相關的基礎建設，才能達到數位4.0的願景。（攝影／洪政偉）

前瞻計畫中的數位建設，也是DIGI+方案的一環

DIGI+是臺灣重要的數位經濟發展的基石，但在前瞻基礎建設中也有所謂的數位建設，許多人無法區分兩者的差異。在前瞻基礎建設計畫中的數位建設，就是以編列特別預算的方式，將原本在DIGI+方案中與基礎設施有關的部份「優先做、擴大做」，例如寬頻網路基礎設施等，藉此為臺灣奠定良好的基礎。其他應用相關的部份，仍維持用年度科技預算編列的方式來處理。在前瞻基礎建設計畫中，剛好有適當的預算和計畫名目，可以將各種基礎建設與數位建設相關的項目，改以特別預算的方式優先處理，這也有助於奠定未來臺灣邁向數位經濟的數位環境基礎。

DIGI+其實是前瞻基礎建設計畫中「數位建設」的上位計畫，換句話說，數位建設可視為DIGI+的一環，而DIGI+更大的目的是為了因應數位經濟發展，找回臺灣經濟發展動能。以預算來看，DIGI+從2017年～2020年總預算編列1,139億元，其中40％，約461億元，已經編列在前瞻計畫的數位建設預算中，以網路安全、寬頻建設、內容建設、智慧城鄉和人才建設作為主要推動主軸。

在規畫之初，DIGI+先訂定7個行動計畫，希望建立一套架構來推動。這7個行動計畫中，包括數位創新基礎環境、研發先進數位科技、培育跨域數位人才以及營造友善法治環境，都是DIGI+的基礎工程；而另外的數位經濟躍升行動方案、網路社會數位政府行動計畫以及智慧城鄉區域創新行動計畫則是DIGI+的應用主軸。

若進一步分析DIGI+方案不同行動計畫中，各計畫都包含了前瞻基礎建設的「數位建設」預算，只是比重不同。DIGI+中的數位創新基礎環境行動計畫，預算達94.8億元，其中84％已編列在數位建設的預算範圍；另外一個囊括數位預算占比較高的則是培育跨域數位人才，總預算109.6億元，其中數位建設預算占比達82％；最後一個數位預算占比在整個計畫過半的就是智慧城鄉區域創新行動計畫，總預算達199.9億元，數位建設占55％。

數位建設是依據DIGI+方案架構規畫，目的是為了完善發展「數位國家、創新經濟」所需要的基礎環境，跳脫傳統硬體思維，將網路安全、數位文創、智慧城鄉、智慧學習以及科研設施等面向都視為基礎建設；更著眼投資未來，從人工智慧（AI）、虛擬實境（VR）、擴增實境（AR）、智慧機器人及物聯網等前瞻應用奠基，進而邁向數位4.0超寬頻網路社會的願景。

提供穩定寬頻環境並調適法規

在數位創新基礎環境的行動計畫中，郭耀煌指出，關於基礎環境的建設，主要是偏重寬頻網路、無線網路以及資料中心建置這幾個面向。

在加速寬頻雲端基礎建設，除了在2017年完成4G第三波釋照外，更希望可以在2020年前，臺灣有9成以上的家戶寬頻連網速度，都可以超過Gbps（Gb）級的寬頻連網速度。有足夠的頻寬，才有助於未來包括物聯網、虛擬實境（VR）、擴增實境（AR）以及行動支付等應用情境。。

至於無線網路上網主要是希望在公共場域也能提供穩定的無線網路，最明顯的例子除了原先政府機關提供的iTaiwan無線網路服務外，就是在大眾運輸系統，例如高鐵，在今年就會提供穩定足夠頻寬的無線網路服務，包括上網頻寬5Mbps以上，以及提供4G上網服務。此外，在DIGI+的方案中，也同時要做到普及偏鄉高速寬頻環境，和保障弱勢家庭寬頻上網的基本權利。

在DIGI+方案發展架構中，營造友善法治環境也是鞏固數位國家重要配套措施，今年3月送交立法院的產業創新條例部分條文修正草案，4月送交立法院審議的資安管理法草案，5月送交立法院的金融科技創新實驗條例草案等等，都是為了因應數位科技進步、應用環境變遷所做的法規調適。

因為DIGI+是一個為期9年的長期計畫，面臨跨部會、跨中央和地方、跨產學研的溝通協調，但面對數位科技的發展趨勢，與基礎設施有關的就透過數位建設進行，其餘應用面的計畫則編列在年度科技預算。口述⊙郭耀煌、整理⊙黃彥棻

去年6月，防毒大廠Symantec併購了Blue Coat，過了一年後，現在他們的網頁安全閘道產品線，則以原本Blue Coat旗下的硬體設備為主力，除此之外，Symantec也提供了虛擬設備與雲端服務型式的解決方案，能保護在公司內部與出差的員工上網安全。

就硬體設備而言，Symantec同時提供兩條產品線，繼續提供ProxySG與Advanced Security Gateway（ASG）設備。這兩個系列的產品，硬體的規格的組成，可說是幾乎相同，差異在於ASG多了防毒內容過濾功能。由於ASG系列設備的功能較ProxySG來得豐富，因此廠商提供我們測試的是ASG S400-20。

在ASG系列機種的組成上，大致依據規格高低，區分為S200、S400，以及S500等3個系列。在規格的配置最明顯的差異，在於設備提供的網路介面，入門的S200只有GbE規格的網路介面，而S400則能選購擴充10GbE網路卡，至於高階的S500，設備上就有這種10GbE的RJ-45網路埠可用。

從硬體規格來看，ASG S400-20具有24GB記憶體，以及3臺1TB容量的SAS硬碟，最多可適用於5千人規模的環境。與其他同類型設備有所不同的是，它的作業系統軟體磁區，獨立於儲存事件記錄的SAS硬碟之外，是由兩個8GB固態硬碟組成，可互為備援使用。因此在重置系統設定時，ASG S400-20記錄的事件資訊，不致一併遭到抹除。

從網路介面的部分來看，ASG S400-20只有4個GbE埠可用，不過，它的擴充性不錯，ASG S400-20能額外增加2個10GbE埠，以及4個GbE埠，企業可因應內部網路環境，選擇這些擴充的連接埠要採用RJ-45或是光纖介面。

從我們這次取得的建議售價來看，ASG S400-20含1,000個使用者首年度軟體授權價格為560萬元（未稅），總價僅次於Citrix NetScaler MPX 14020 SWG的580萬元。以每個使用者平均成本而言，第1年就要5,600元，比起每位使用者單價次之的Forcepoint V10000 G4（2,775元），高出一倍之多，從這個角度來看，保護每個使用者的費用，比其他設備明顯多出不少。

不過，這款ASG S400-20的防護功能，有其獨到之處。對於網頁內容過濾的部分，從第一線的防毒引擎，即提供豐富選項，調整其中設定亦相當容易，此外，ASG S400-20提供了Cylance進階分析的機制，評估網站帶來的風險等級，對於識別為高風險的部分，則是能交由選購的沙箱掃描，在這種多層防護的架構下，保護企業的上網安全。

此外，ASG S400-20也能與Symantec的端點防毒連結，形成聯合防禦的效果，在沙箱發現到的惡意攻擊，ASG S400-20可提供相關情資，促使端點電腦能夠及早阻擋相關的惡意攻擊。

在ASG S400-20的儀表板中，系統以已檢測過的檔案與網站，以及其中所發現的威脅，做為相關指標，藉此呈現目前企業上網的安全態勢。

備有多層網頁內容檢測措施

從管理介面上來看，ASG S400-20大致上可區分為儀表板、Proxy流量監控與設定、網頁內容分析，以及沙箱檢測等4大項目，有別於其他網頁安全閘道的政策設定方式，ASG S400-20特別強調其中的分析能力，由此可見一班。

以惡意軟體的偵測來看，我們手上的ASG S400-20，總共提供了3種廠牌的防毒引擎可選，分別是Kaspersky、McAfee，以及Sophos等。基於原廠提供的建議售價，我們只能啟動其中的一種防毒引擎，若要為了強化過濾的能力，同時啟用2種，則需加價購買。

一般來說，網頁安全閘道內建的防毒引擎，多半只有功能啟用與否的選項，但在ASG S400-20中，則是能依據設備執行的成效，設定掃描檔案大小的上限，或是禁止使用者傳送含有密碼加密的壓縮檔案等措施。

在防毒引擎之外，ASG S400-20也針對新興的未知威脅，內建由Cylance提供的靜態分析功能，同時，能整合ASG S400-20的威脅評等機制，以及可額外選購的沙箱功能，依據管理者指定的風險程度，ASG S400-20便會自動執行攔載，或是交由沙箱執行掃描。

附帶一提的是，在ASG S400-20的風險指數，從低至高總共有10個等級，因此，管理者透過這樣的區隔，就能很快解讀企業的網路安全態勢。

實際用WannaCry病毒樣本來測試時，ASG S400-20的管理平臺也偵測到受感染電腦的惡意軟體對外連線，並成功攔截。

提供以阻擋惡意威脅為主的整體情勢呈現

雖然，ASG S400-20的管理平臺儀表板，偏重對於偵測到的威脅事件的呈現，這包含的部分，主要在於網頁安全閘道已封鎖的檔案與網頁數量，以及各防護功能與政策的執行情形概觀等資訊。不過，若是想要檢視更為詳細的上網情勢，管理者還是可以切換到Proxy項目檢視。

在這個分頁中，我們不只能看到依據流量、應用程式、威脅風險事件的統計圖表，也能依據這些資訊，調整ASG S400-20的政策。

其中，針對加密流量的檢測政策，我們就可從這裡進行調整，指定對於某些使用者、網站，以及時間點等條件，執行解密，或是一律不分析，直接放行。

例如，企業可針對員工瀏覽Facebook網站的連線，設定解密，但對於可能會牽涉到個人隱私的金融網站，就採取排除的政策。

Symantec ASG S400-20特色總覽

在管理平臺中，ASG S400-20提供的功能，依據代理伺服器、流量內容分析，以及選購的沙箱，分成3大選單。管理者能針對特定使用者群組，從上述的項目中，調整並檢視相關的政策、報表。

以威脅等級分布呈現網路威脅情勢

在ASG S400-20的儀表板中，內建10個風險等級，以及觸發的時間點與次數，加以歸納企業上網安全的態勢，管理者也能在下方列表檢視指定時間內，各種危險等級事件發生的頻率。

具備可匯入檔案特徵碼的黑白名單

針對惡意軟體的過濾，ASG S400-20提供了黑白名單機制，透過這個頁面，管理者可匯入SHA1特徵碼，一次加入需封鎖或是排除的名單，此外，這裡也能查詢指定的特徵碼。

內建3種防毒引擎供選用

針對惡意威脅的偵測，ASG S400-20總共提供了3種防毒引擎可選，分別是Kaspersky、McAfee及Sophos，這些引擎能檢查機制略有不同，例如圖中的Kaspersky引擎，多了間諜軟體與廣告軟體的分析能力。

 產品資訊 

Symantec ASG S400-20

●原廠：Symantec(02)8726-2000

●建議售價：含第1年防毒引擎與網頁過濾功能，1,000個使用者軟體授權與設備共560萬元（未稅）

●硬體規格：32GB記憶體、3個1TB容量的SAS硬碟

●網路介面：4個GbE埠，另可增加光纖介面

●系統總吞吐量：廠商未提供

●使用者人數承載上限：5,000人

●硬體保固：1年

●選購功能：第2套防毒引擎、進階報表、沙箱

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】