根據外媒報導，Ikea即將於2月2日在歐洲的商店推出智慧窗簾Smartshades，目前其他地區上市的時間尚未確定，該智慧窗簾能夠與現有的智慧燈具TRÅDFRI系列商品連接，也就是說，該智慧窗簾將能夠支援蘋果的HomeKit平臺、AWS的Alexa和Google Assistant，透過USB充電電池組供電，實現能夠透過智慧型手機和語音助理控制的功能。Ikea在一年前開始布局加入智慧家居市場，在去年推出了智慧燈具TRÅDFRI系列商品，今年則是要推出智慧窗簾。

該智慧窗簾有兩種款式：KADRILJ 和 FYRTUR，分為透明和不透明的窗簾，售價約99歐元至155歐元，以智慧窗簾的售價而言，Ikea的智慧窗簾售價相對平價，官網商品的介紹影片中，展示了智慧窗簾的使用方式，裝上電池後，用戶可以透過無線的遙控裝置與窗簾完成配對，配對完成後即可用遙控裝置操控窗簾，此外，還能透過App預設自動放下和收起窗簾的時間。

Google近日宣布在過去一年，Google語音助理Assistant的活躍使用者成長了4倍，在1月底之前，Google預計語音助理將會登上10億臺裝置中，並整理了去年語音助理變得更有幫助的技能，包含學會新語言、預定車票和電影票、打電話到餐廳預約、新增8種聲音、增加例行公事的功能等。

Google語音助理在2016初次亮相時，只能在Google自家的智慧音響Home和手機Pixel裝置中使用，現在Google則預計語音助理將於今年1月底前，登上10億臺設備，包含智慧音響、智慧顯示器、手機、耳機等裝置。

Google語音助理在過去一年，從支援8種語言、14個國家，擴展到30種語言、80個國家，此外，語音助理也能聽懂多種語言，用戶能夠對語音助理同時說多種語言，在自然語言對話方面，語音助理也變得更加聰明，去年夏天Google於語音助理系統中，加入連續對話的技術，讓語音助理能夠了解更複雜的請求，也就是說，用戶能夠同時詢問語音助理多個問題，像是「今天紐約和奧斯汀的天氣如何」的問題。

除此之外，藉由AI技術的進展，Google也為語音助理創造了多種不同的聲音，根據傳達訊息的內容，調整音調、語速和停頓點等，讓語音助理的聲音聽起來更加自然，現在在美國提供8種聲音，包含英國和澳洲腔腔調的聲音。

資安的威脅近年正衝擊工業控制系統（ICS）所屬的OT領域，不僅是數位化轉型時所需面對的網路威脅，工控系統暴露在網際網路的問題，也都成為2019要正視的焦點。在2018年8月，台積電遭遇的資安威脅事件，更是敲響了高科技製造業的警鐘，僅僅因為新機臺上線時疏於防範，導致惡意軟體感染造成生產線停擺3天，讓全臺民眾都關注到產線資安問題的影響。

這起重大事故，突顯出管理結構面的問題，像是產線機臺設備、主控電腦與網路設備等，並未掌握在IT部門管控範圍，且工業領域存在很多老舊Windows電腦未更新。更關鍵的是，由於網際網路與IT通用系統架構的盛行與普及，以及工業控制系統面臨數位轉型的應用需求，雖帶來管理維運的便利，但也打破了原本的封閉性，讓IT世界的網路威脅，成為工控領域同樣要面對的挑戰。

不僅如此，還有多起鎖定工業控制網路的重大攻擊事件。像是在2017年發生的攻擊當中，就曾針對施耐德電機（Schneider Electric）的Triconex製程安全系統（SIS），造成中東的一家石油工廠因系統保護機制被觸發，致使生產流程中斷。事後，負責調查的資安公司直指與俄羅斯官方組織有關，而這也突顯國家級駭客帶來的危機。

由於OT領域的資安問題，不只是影響各產業的自動化生產線，也危及國家關鍵基礎設施，如油、水、電廠等，一旦遭破壞，將使運作中斷，影響劇烈。

SCADA的資安漏洞揭露數量，在2018年已經開始大幅增加

從工控系統相關漏洞揭露的趨勢來看，安全的問題確實備受各界關注，因為2018年漏洞數量已經大幅增加。

例如，美國國土安全部旗下工業控制系統緊急應變小組（ICS-CERT），不僅是在2015年就提出7大防護策略，同時也持續發出相關安全公告，提供漏洞與漏洞利用的即時資訊。

在2018年8月，趨勢科技旗下Zero Day Initiative（ZDI）漏洞懸賞計畫也來臺揭露全球資安漏洞新趨勢，當中提到，工業控制系統中的資料採集與監控系統SCADA（Supervisory Control And Data Acquisition）的漏洞數量持續飆升。

ZDI表示，隨著物聯網的應用，工控安全受到關注的比例也因此提高。不過，ZDI也認為，參與漏洞懸賞計畫的供應商，可以先知道問題進而修補，能避免形成大規模損害。

根據該組織的2018年中報告指出，2018年上半年發現的SCADA漏洞達202個，是2017年上半年的兩倍，當中以研華WebAccess軟體最多，其他包括台達工業自動化與Omron。

而在下半年，ZDI研究人員公開揭露的漏洞更多，透過他們的公開揭露漏洞頁面，我們可以看出，Wecon也被發現大量漏洞，ABB、Crestron、Fuji Electric、LAquis與Omron的漏洞數量也不少，其他還有像是施耐德電機、INVT等。而此漏洞激增現象，也突顯工控安全在2019年將持續為關注焦點。

工控設備暴露於網際網路的問題，且無驗證機制保護，需及早因應

再從另一個面向來看，關於工業控制與環境控制設備本身，沒有身分驗證機制，或使用預設密碼的狀況，也相當普遍，若直接或間接暴露在網際網路上，等於根本沒有防護可言。對此，在2017年2月，行政院國家資通安全會報技術服務中心曾經發出公告提醒。

事實上，網際網路具有高危險性，這樣的問題不可忽視。在卡巴斯基實驗室發布的「2018 上半年工業自動化系統威脅現況」研究報告中，關於主要威脅來源的統計，以網際網路最高（27.3%），可攜式媒體次之（8.4%），電子郵件社交工程第三（3.8%），其中，來自網際網路的攻擊比去年同期增加7%。

2018年10月，根據國內資安服務業者安碁資訊的研究，臺灣暴露在網際網路的工控設備有5千多個，其中包括攸關民生的發電廠，安碁也因此向政府通報，而在他們12月提出的完整報告中，更是揭露最新調查結果，表示暴露於外的設備已高達10,546個。

從該報告中的工控協議統計來看，採用Siemens S7專有通訊協定數量最多，達4,230個，其次為Modbus公開協定、Ethernet/IP公開協定。安碁表示，這些工控協議多存在固有的設計瑕疵，例如缺乏認證、授權或加密，無法阻擋像是未授權指令和重放攻擊等一般攻擊，因此需要特別注意。

而且，為便於維運管理，許多工控設備提供網頁管理介面、SSH、Telnet等服務，但他們發現，有1,500個西門子、施耐德電機、Rockwell Automation的PLC控制器管理介面，直接暴露於網際網路，且存在使用預設密碼的問題。

整體而言，有高達5成的工控設備啟用網站服務，採用未加密的HTTP 傳輸，也有許多設備使用弱密碼或預設密碼，有心人士只要網路上取得設備操作手冊就可得知，更麻煩的是，許多設備的預設密碼是寫入韌體之中，用戶無法修改。此外，新版OWASP十大網站安全風險，也普遍存在於工業控制網路中。而在啟用遠端連線的設備中，使用未加密Telnet連線，要比使用加密的SSH數量略多。因此，臺灣企業需及早改善這部分，採用最小權限原則來減少攻擊面。

綜觀上述這些OT領域所面臨風險，還要注意的部分是，近年臺灣政府為協助產業轉型，智慧製造也是重點發展的議題，還有全球關注的工業物聯網（Industrial Internet of Things，IIOT）等議題，也因此，相關的資安環節需要更加重視。

在2019年影響臺灣組織或企業的法遵議題，包括：在2019年1月1日正式實施的「資通安全管理法」；2018年6月美國加州議會通過的「加州隱私法」，預計在2020年7月實施，而這項法案可能會影響到美國「聯邦隱私法」制定；以及2018年9月通過，預計2020年1月1日實施的「物聯網（IoT）裝置資訊隱私法案」（SB-327 Information Privacy: Connected Devices）。

此外，在2018年1月13日正式生效的歐盟第二次支付服務指令（Second Payment Services Directive，PSD2），強調金融銀行業者要開放API給第三方服務業者或外部人員，使其可以存取資料，其中，PSD2的監理技術標準（Regulatory Technical Standards，RTS）預計要在2019年9月才會推出。

資安法影響政府和關鍵基礎設施，金融監管要強化資安管理力道

行政院資安處處長簡宏偉表示，除了關鍵基礎設施業者外，包括政府及相關法人單位等，都將從2019年1月1日起，適用「資通安全管理法」，在第一年的施行階段，仍將以輔導為主，希望能鼓勵適法機關落實相關的法遵要求。

他也說，關鍵基礎設施的部份必須要經過指定程序後，才能確認哪些是關鍵基礎設施業者，資安處預計1月開始執行相關的指定程序，邀請政府部門、民間社群與業者及相關學者，共同指定哪些對象是臺灣的關鍵基礎設施，預計在6月底前完成指定程序，並於7月1日開始適用「資通安全管理法」的規定。

簡宏偉指出，資安法通過後，第一個影響的就是A、B、C級的政府機關，必須要有4人、2人和1人的專責資安人力，解套方式就是透過IT向上集中，讓真正面對風險、有資源的部會，承擔多一點資安責任。「目前政府規畫的A、B級機關過多，有調整的必要。」他說。

資誠智能風險執行董事張晉瑞表示，臺灣金融業於今年3月起，都必須簽署資訊安全整體執行情形聲明書，揭露應加強事件以及改善計畫，這個監管作為也會強化金融業強化資安的力道。

GDPR力道不減，美國推加州隱私法擴大個資保護範圍

國際法遵部份，GDPR影響力未見削減，2018年有一些GDPR裁罰案例出爐，罰金看似不高，並不是歐盟裁罰企業的力道縮手，而是受罰業者都有善盡個資保護之責，所以，歐盟只針對防護不足之處裁罰而已。因應GDPR，企業和組織要從隱私工程的技術面逐步提升，進一步理解如何應用技術落實法條規範，適法難度也逐步增強。

KPMG資訊科技諮詢服務執行副總經理謝昀澤表示，為了對抗歐盟推出的GDPR，美國加州議會在2018年6月通過「加州隱私法」，預計2020年7月實施，該項法案也擴大個資認定的範圍，例如，加州隱私法就把家庭使用電力和自來水的資料視為個資。

「加州隱私法」也允許民眾有權檢視業者所蒐集的個資、蒐集這些資料的目的，以及分享的對象，也能要求刪除這些資料或拒絕分享，倘若業者處理不當，就可能面臨來自消費者的訴訟。

謝昀澤說，臺灣許多高科技業者都是美國品牌業者供應鏈的一環，號稱輕量版GDPR的「加州隱私法」於2020年7月正式實施，基於供應鏈業者要求，將成為臺灣高科技業者新一波的法遵要求。

加州隱私法規範相當嚴格，引發臉書、Google、IBM、微軟與其他業者的關切，他們共同透過遊說團體推動新版的「聯邦隱私法案」，避免嚴格的「加州隱私法」成為其他各州的參考典範。

身為科技重鎮的加州，也在2018年9月，由加州議會通過全美國第一個物聯網（IoT）法案，就是針對物聯網裝置的資訊隱私法案（Information Privacy: Connected Devices），預計在2020年1月1日生效。謝昀澤表示，製造商必須為物聯網裝置提供合理的安全功能，包括從外網登入的連網裝置，如果採用預設密碼登入，密碼都必須是獨一且不可能重複外，也必須提醒首次登入的使用者，必須變更自己的密碼。他認為，這個法案會影響臺灣許多物聯網相關產業以及物聯網設備安全，因此，相關業者在2019年都不可忽略該法的影響力。

PSD2要求銀行提供Open API給外部存取

開放銀行的風潮已經是全球金融業不可迴避的議題，歐盟第二次支付服務指令（PSD2）便強制要求銀行必須提供Open API，讓外部的第三方機構或是人員可以存取銀行內部的資料。

在開放之餘，歐盟更制定嚴格的安全規範─PSD2監理技術標準（RTS）草案，規定更嚴格的資安機制，例如通訊傳輸全加密、強顧客授權（SCA），甚至強制要求採用雙裝置驗證或雙App授權等資安措施，就是為了避免第三方可以存取銀行內部資料後，反而造成銀行內部資料外洩的風險。

目前PSD2的影響深遠，預計超過4千個歐洲的金融服務業者，都會受到衝擊，在RTS正式推出前，相關的供應商必須在3月先公開他們要使用的第三方互動的方法，並且提供測試環境或沙箱，可以彼此交互檢測安全性。

臺灣BSI營運長謝君豪表示，國際化浪潮下，每一個企業組織必須要有能夠鑒別新業務該遵守哪些當地法律的能力，才跟得上趨勢。

美國知名零售商Kroger最近宣布與微軟合作，利用微軟雲端平臺Azure和IoT感測器，開發一套智能系統，其中包含導入了數位貨架系統EDGE（Enhanced Display for Grocery Environment），實現零售即服務（RaaS）的目標，利用高度個人化客戶體驗，創造全新的客戶體驗，並增加店家的生產力，目前首波於俄亥俄州門羅和華盛頓州雷德蒙德兩家商店試行，預計今年會持續擴張該計畫。

數位貨架系統利用數位顯示板顛覆傳統紙張標籤方式，數位顯示版能夠顯示商品的價格、優惠活動、營養和飲食資訊，透過微軟Azure的AI技術，數位貨架系統EDGE與Kroger的App連接，為客戶打造獨特的引導式消費體驗，協助客戶快速地找到商品，透過手機App掃描條碼後，即可加入購物清單，除此之外，數位貨架還會利用影片分析，根據客戶資料統計，呈現個人化的優惠和廣告，來提升商店收入。（來源：Kroger）

對商店的員工而言，數位貨架系統能夠提供指引，讓員工能夠快速找到商品，提升取貨的效率，另外，也能協助員工識別和解決商品缺貨的問題，確保消費者能夠在貨架上找到商品。

2019年剛來，GitHub就送上一份大禮給開發者。GitHub執行長Nat Friedman在官方部落格宣布重大產品更新消息，該平臺現在推出無限量的免費私人儲存庫。

此次釋出的優惠，主要是針對使用GitHub Free版本的開發者，現在也可以建立私人儲存庫。在使用上的限制，每一儲存庫最多可允許3名開發者一同協作。至於原有免費的公開儲存庫服務，維持不變，亦不限制專案協作者的數量。

同步發布的產品線更新，還有GitHub企業版（GitHub Enterprise）。現在此企業版服務，一次整合了GitHub企業雲（原稱GitHub Business Cloud）還有GitHub企業伺服器（原稱GitHub Enterprise），利用GitHub Connect，企業內部開發者可以更自由地在雲端、本地自架環境間，切換工作環境。

比照GitHub其他競爭對手，Atlassian旗下程式碼代管服務Bitbucket，也提供免費使用者建立私人儲存庫，而且還能容納5人一同協作。不過現在GitHub開放使用者免費建置私有儲存庫的策略，勢必也會對其他競爭手帶來相當壓力。

由於開源顯示卡驅動程式Nouveau，多次遭到回報存在臭蟲，在去年8月時，又遭回報造成Chrome/Chromium瀏覽器的分頁籤與網址欄出現異常的黑色矩形色塊，因此官方決定直接在Chromium 71將其列入黑名單，Nouveau使用者將預設不啟用GPU加速。

Nouveau是一個為Nvidia顯示卡撰寫的開源驅動程式，支援系統晶片Nvidia Tegra系列，該驅動程式由一群獨立工程師透過逆向工程技術，還原Nvidia專有的Linux驅動程式，所創建的開放原始碼專案。Google開發人員認為Nouveau太不穩定，於去年的時候在論壇裡提到，多年來他們收到許多有關於Nouveau驅動程式的臭蟲回報，因此才會有Nouveau不夠穩定的結論，不完全是因為這次臭蟲回報。

這個在去年8月回報，編號為876523的Chromium臭蟲描述，在使用作業系統Ubuntu的情況下，Chrome分頁籤與網址欄會被多個黑色矩形，部分或是全部覆蓋，這些黑色矩形也會在出現在瀏覽器的其他位置，錯誤發生時多伴隨著CPU使用率上升，系統溫度越來越高，監控系統顯示Chrome大量占用記憶體和CPU，甚至有時候會造成電腦失去回應。

臭蟲回報討論串下面有不少使用者也回報了相同的問題，而這個錯誤出現於WebGL使用GPU加速的時機，他們猜測臭蟲主要發生原因為使用過時的Mesa建置版本。有使用者指出，有其他應用程式也遭遇到類似的問題，而Mesa 18.2.0已經修正，因此使用Mesa 18.2或是18.3-dev版本或許可以解決這個現象。

Google開發人員回應，他們沒有多餘的資源在Linux上測試每種GPU驅動程式的組合，更不用說調查和修復驅動程式中的錯誤，並且表示Ubuntu LTS上預設的驅動程式存在嚴重的問題，要求非技術背景的使用者更新驅動程式，這不可能成為使用Chrome的先決條件。

不過，Chromium將Nouveau列入黑名單的決定，打擊了開源Nvidia Linux驅動程式，因為這代表使用開源Nvidia驅動程式的Chromium使用者，都預設無法使用由GPU加速的WebGL技術。Nouveau開發者對此表達了強烈的不滿，認為因為GPU不適用部分舊版本，就要把Nouveau設為黑名單，太過強硬且破壞信任關係，他認為Chromium開發者對Nouveau專案存在敵意。

根據Nouveau社群Ilia Mirkin的說法，他們並不知道，在當前版本Mesa上的網頁瀏覽器使用Nouveau會遭遇到問題，他提議可以在Chromium執行時，偽造OpenGL字串GL_VENDOR 以欺騙Chromium。Ilia Mirkin認為，現在看來沒有任何轉圜的餘地，Nouveau專案等於已經被判了死刑。

去年11月發生的2018 iPad Pro彎曲門事件，蘋果本周再次說明承認有些許彎曲，但表示在正常使用情況下是察覺不到的。

去年MacRumors論壇首先有數名用戶反映他們的11或12.9 吋的2018 iPad Pro出現機體彎曲現象，有人只是放在背包周末度了一個假就出問題，有人是用了一陣子後變彎，還有人說產品剛拆封拿出來就是這樣。12月蘋果才向The Verge證實的確少數情況下會發生上述問題。

The Verge報導，發生彎曲的以LTE機種較多，是發生在天線嵌入機殼中間將之分成兩半的部位。但少數回報的是Wi-Fi機種。

周一蘋果再次說明，新（11吋、12.9吋的第3代）iPad Pro採用精準的鋁製一體成形機殼，具有輕量、堅固且耐用的特性。蘋果不厭其煩描述其機殼繁複的製程，還有嚴格的檢測以確保新iPad Pro比前代更高的平直度。iPad Pro要求任何一面的平直度偏差不得超過400微米，比4 張紙還要薄。iPad Pro新加的直角設計和對分式天線，可能造成機殼平直度上有些許偏差，僅能從特定角度看到但正常使用下察覺不到出來。

蘋果表示，這微小的偏差並不會影響機殼強度或產品功能且在正常使用下長時間也不會變化。

這是繼2016年iPhone 6 Plus彎曲門事件之後再次發生較大宗的產品彎曲現象，只是情況並不如前次普遍。

如果消費者相信手上的iPad Pro有彎曲現象，按照蘋果的退換貨政策，可在產品購買14 天內退貨或換貨。此外蘋果也提供一年保固服務針對產品及製造瑕疵免費維修。

HTC周一在CES 2019前夕宣佈和Mozilla及AWS合作，將VR版瀏覽器Firefox Reality及開發雲端服務Amazon Sumerian整合到HTC Vive頭戴式裝置中，希望吸引企業或開發商能加入開發VR內容及app。

Firefox Reality是 Mozilla去年秋天宣佈專為跑在虛擬實境（VR）或擴充實境（AR）裝置中開發的Firefox瀏覽器。它採用新開發的量子引擎（Quantum Engine），具備順暢與快速效能。此外因為在VR、AR裝置上很難以文字輸入，因此Firefox Reality支援語音搜尋，也優先列出VR或AR遊戲或內容。此外它還提供私密瀏覽（Private Browsing）模式，不會儲存使用者所造訪的網頁、Cookie、搜尋或暫存檔案。在最新宣佈中，Firefox Reality將成為VIVE的預設瀏覽器。

Firefox Reality其實另外也支援Oculus VR及Google Daydream的VR頭戴式裝置。

Amazon Sumerian則是一項AWS代管服務，提供整合式開發環境 (IDE)、編輯器、資產庫、主機和 API，方便開發人員和企業開發、執行在VR/AR裝置、行動裝置及Web瀏覽器的3D、VR、AR app及內容。Amazon Sumerian是以Web GL2為技術底層，開發人員可以利用Amazon Sumerian console直接在瀏覽器中設計、開發、部署場景並且發佈出去。

HTC另外還和Fidelity Investments合作，後者開發了一個VR資料視覺化工具，在CES 會場上展示如何在Firefox瀏覽器環境下進行投資管理，並和家中成員或理專協同與互動。

不讓蘋果專美於前，消費者電子製造商Withings在本周發表了可追蹤使用者活動與睡眠的Withings Move智慧錶，以及可根據需求紀錄心電圖（Electrocardiogram，ECG），允許人們隨時監測心血管健康，並檢測諸如心房顫動（AFib）等心臟疾病的Withings Move ECG智慧錶。相關裝置都即將在本周展開的CES國際消費電子展上露面。

Withings Move屬於基本款的健身智慧錶，它能夠自動追蹤並紀錄使用者每天的走路、跑步、游泳或睡眠等行為，防水深度為50米，電池壽命最高為18個月。Withings Move所搭配的Health Mate程式相容於Android及iOS平台，也能連結逾100款的第三方健身程式。

Withings Move售價為69.95美元（約2,200元新台幣），即日起開放預購，預計於今年2月出貨。

至於Withings Move ECG則是向蘋果Apple Watch 4叫陣的產品，除了基本的活動與睡眠偵測之外，它還能夠紀錄心電圖以協助檢測心房顫動（AFib），AFib屬於最常見的心律不整情況，可導致疲勞、呼吸急促與心臟衰竭，或者造成中風，根據美國疾病預防控制中心（CDC）的估計，美國大約有600萬人口擁有AFib，約佔美國人口數的1/5，卻經常被忽略。

Withings表示，Withings Move ECG不但能夠提供醫療級的測量，還是個優雅的裝置，每天的佩戴得以捕捉與紀錄心血管事件，以降底心臟病的風險。

相較於Apple Watch 4的要價高達399美元，Withings Move ECG的售價只有129.95美元（約4,040元新台幣），然而，有別於Apple Watch 4可隨時於背景偵測使用者的心率，Withings Move ECG則需由使用者主動執行紀錄能力。

Withings Move ECG的電池壽命為12個月，同樣有50米的防水功能。該產品正在接受美國食品暨藥品監督管理局（FDA）的檢驗，預計於明年第二季上市。

2008年成立於法國的Withings是個專門開發連網消費者電子裝置的業者，旗下產品包括智慧電子秤、可追蹤血壓及睡眠的健康裝置及智慧手錶等，曾於2016年被Nokia併購，但Nokia在今年又把它賣回給Withings的共同創辦人Éric Carreel，讓Withings重新成為一獨立公司。

【CES 2019拉斯維加斯現場直擊】每年CES大會向來是3C電子消費產品的天下，就連處理器龍頭英特爾，每年都會在這裡推出或展示新的桌上型或筆電處理器，不過今年很不一樣，英特爾罕見大動作揭露了下一代基於Ice Lake微架構的10奈米Xeon伺服器處理器的產品藍圖，要來搶攻企業資料中心市場。雖然這款Xeon處理器，要等到2020年才推出，但英特爾也首度公開展示這款全新Xeon處理器的強大處理效能，可以直接在單臺Ice Lake伺服器上，利用ML模型實現更複雜3D動物模型模擬的效果。

不像一般3D動物模型，是由設計師利用3D繪圖軟體來設計動物的形體輪廓與肌肉線條，英特爾今天（1/7）在CES產品發布會上展示一段3D獅子模型模擬影片，影片中這隻獅子的身體，不論是骨架，或是每塊肌肉的紋理，甚至是高速跑動時的肌力變化呈現，都是由機器學習演算法模擬出來的效果，靠的是在一臺Ice Lake伺服器上直接跑ML模型來進行推論，進而透過軟體模擬重建3D獅子動態移動的樣子，甚至比人類設計師做得更逼真，就像是真的野生的獅子那樣。藉此來反映出這代處理器的強大效能。這也是英特爾第一次公開展示10奈米Xeon的性能，不過目前，這款Xeon 還在前期測試階段，最快2020年才推出。

因為10奈米Xeon推出沒那麼快，所以英特爾也特別強化現有14奈米CPU產品的布局，宣布另一款採用14奈米的Cascade Lake架構的Xeon處理器即日起正式出貨。目前已有不少企業採用這款新處理器，如阿里巴巴，不只用來支撐爆量零售交易需求，還用它建立一套3D運動員追蹤系統，來分析運動員的練習表現，提供運動員新的訓練數據與分析的作法，明年東京奧運也將採用這套系統。Cascade Lake預計將在今年上半全面上市。

除了10奈米Xeon晶片，英特爾還有另一款10奈米行動處理器將提前在2019年底推出，這款新筆電處理器，不僅具備AI運算處理能力，也採用11代Gen繪圖運算，以及內建最新802.11ax 的Wi-Fi連網能力。另外還有兩款同樣是10奈米製程的全新CPU產品亮相，分別是主打輕薄設計的混合型CPU產品Lakefield，以及最新一款5G專用單晶片 Snow Ridge。Lakefield處理器將在2019年正式投產。Snow Ridge則將於下半年開始上市。

英特爾還進一步擴大第9代桌上型Core產品線，包括i5、i7、i9等，至於筆電用的第9代行動處理器，也將在今年Q2推出。

在加速AI創新上，不讓AWS的機器學習推論專用晶片Inferentia專美與前，英特爾今天正式推出第一個Nervana神經網路推論專用晶片NNP-I，這款AI推論晶片的規格雖然還未公布，但英特爾資料中心事業群執行副總裁Navin Shenoy也透露，未來透過這款專用推論晶片，可以提高每瓦CPU效能，能夠讓企業以更低成本，來執行推論的運算工作，來降低企業大量部署的推論成本。

英特爾不只自行開發，甚至還找來臉書共同合作打造這款AI推論晶片，並可以安裝在各種推論設備或裝置上，像是可用於電腦視覺影像識別、圖像分類推論應用等。預計該晶片將在今年Q2正式推出。此外，英特爾今年稍晚還有一款代號為「Spring Crest」的神經網路訓練專用處理器將發布。

就在上周蘋果罕見調降2018年最後三個月的財報預測後，另一家科技龍頭廠商三星周一也示警，受記憶體晶片需求疲軟及手機市場競爭激烈，該公司第4季的營業利益將大跌29%，跌破華爾街分析師的眼鏡。

根據三星預估，上季公司年營收將近59兆韓圜（562億美元），較去年同期衰退11%。其中營業利益為近10.8兆韓圜（約96.7億美元），更是年減29%，遠低於華爾街預期的13.2兆韓圜。

CNBC報導，為了「釐清投資人疑慮」，三星解釋，衰退主因在於全球記憶體業需求不振導致上季記憶體晶片出貨衰退、以及價格大幅調降之故。此外，已近成長停滯的全球智慧型手機市場競爭轉趨激烈，加上行銷費用增加，進一步侵蝕三星獲利。

三星並未說明細節，不過在智慧型手機業務上顯然和蘋果一樣受到中國廠商的競爭。受到華為及小米在中高階、低階市場的競爭，去年第三季，三星雖仍維持手機龍頭寶座，但卻是比去年同期下跌13.4%，也是前五大廠中下滑最劇者。同期華為、小米出貨量卻呈現兩位數增長。華為也在去年第二季擠下蘋果成為全球第二大智慧型手機業者。

三星預期在本月稍晚公佈公司去年第4季財報。

蘋果和三星雙雙在中國跌跤。按照蘋果執行長庫克（Tim Cook）的說法，中國景氣趨緩和中美貿易關係惡化是造成iPhone在中國銷售衰退的主因。相較之下，三星早在2017年就跌出前十大，去年第3季在中國更只賣出70萬支手機，市佔率僅0.7%。

美國國家反情報與安全中心（National Counterintelligence and Security Center，NCSC）在本周一（1/7）發表了「了解風險，提高防禦」（Know the Risk, Raise Your Shield）專案，釋出了各種影片、手冊、傳單及海報等，以協助境內企業了解並抵抗來自境外的國家級網路攻擊。

NCSC為美國國家情報總監辦公室（Office of the Director of National Intelligence）的中心，為美國反間諜及安全專業的主要來源。

NCSC主任William Evanina表示，美國企業一向是國家級駭客的目標，這些駭客經常入侵企業網路，竊取私有資料，還滲透企業的供應鏈，這類具備侵略性的持久攻擊，讓美國付出經濟優勢、工作機會及數千億美元的成本，這使得NCSC決定提供各種防禦資訊，以防範相關威脅。

NCSC還舉例說明了今年以來美國企業遭到攻擊的案例，例如去年3月指控9名伊朗人展開大規模駭客行動，以竊取美國企業及逾144所美國大學的研究成果；或是去年3月FBI發現由俄羅斯政府主導的駭客行動正在偵測美國的能源部網路；去年9月美國指控北韓駭客針對全球展開WannaCry 2.0攻擊；以及在上個月起訴了竊取美國企業機密的中國駭客。

因此，美國特別以影片、海報或手冊來提醒私人企業應小心防範類似的攻擊行動，從企業的供應鏈攻擊、魚叉式網釣攻擊到社交媒體騙局等，也要求企業員工在出差至海外時，應注意隨身電子裝置的安全。

19歲的漏洞獵人Florian Kunushevci上周揭露了Android版的Skype含有一安全漏洞，當駭客於目標手機上接了Skype電話之後，就能在未經認證的情況下，存取手機上的任何資訊。

根據Kunushevci所展示的影片(下)，他可用另一台手機撥Skype電話予目標手機，以目標手機接起電話之後，就能檢視那些需要指紋、人臉辨識或是輸入密碼才能存取的內容，包括所有的照片、文件夾、通訊錄，還能存取手機瀏覽器。

Kunushevci認為這是Skype的漏洞，而非Android漏洞，應該是程式設計上的問題，且存在於各種Android版的Skype上。

Kunushevci已於去年10月知會微軟，微軟則在12月23日更新了Skype，解決了該漏洞。

專門收購零時差漏洞與攻擊程式的Zerodium本周一（1/7）抬高了收購攻擊程式的價碼，例如將iOS遠端越獄攻擊程式的收購價從150萬美元提高到200萬美元，也把WhatsApp、Message或SMS/MMS的遠端程式攻擊價格從50萬提高到100萬美元。

Zerodium除了以高價收購零時差攻擊程式之外，也將收購而來的工具賣給全球政府。Zerodium創辦人Chaouki Bekrar在接受Motherboard採訪時表示，傳訊程式有時為目標對象所使用的唯一通訊方式，然而它們的端對端加密機制卻讓政府客戶難以竊聽，若能自遠端破壞這些程式而不影響裝置的運作，既是更好的策略也更具效益。

除了上述之外，Zerodium也加碼了其它攻擊程式，例如把Chrome及Safari等行動瀏覽器之遠端程式攻擊收購價格從20萬美元提高到50萬美元，不論是Android或iOS的本地端權限擴充攻擊程式價碼則從10萬提高到20萬美元，可繞過Android/iOS的密碼或Touch ID之攻擊程式的價格亦從1.5萬美元增加到10萬美元。

Zerodium亦抬高桌面及伺服器的攻擊程式價格，涵蓋Windows、Chrome、Apache/MS IIS、Outlook、PHP/OpenSSL、MS Exchange Server及VMWare ESXi VM等。

安全研究人員在發現高風險的零時差漏洞並找出攻擊之道之後，可把必要的技術細節提交給Zerodium，若Zerodium對此感到興趣就會送出預報價（pre-offer），研究人員再提交完整的技術細節及攻擊程式之後，經由Zerodium評估及正式報價之後，就會在彼此達到共識的一周內撥款。

Chrome所使用的開源JavaScrip引擎V8，使用了新的垃圾回收器（Garbage Collector）Orinoco，除了具一般垃圾回收器的功能外，Orinoco還有平行（Parallel）、並行（Concurrent），且具漸增（Incremental）回退功能，能大幅降低應用程式延遲問題。

一般垃圾收集器的基本任務，會辨識物件存活，一旦物件過期，垃圾收集器便著手回收，並重新使用物件占用的記憶體，進階的功能還會對記憶體進行壓縮或是去碎片化。這些工作可以依序執行，或是任意交錯進行。

V8中會把記憶體堆積分為新生世代（Generation）與年老世代，新生世代又分為托兒所（Nursery）與中間（Intermediate）兩個子代。物件分配最先進到托兒所，當在第一次的垃圾收集中存活下來，仍然被算作新生世代，但會從托兒所移往中間世代，並於下一次垃圾收集存活，被移往老年世代。在V8中有兩種垃圾回收器，主要垃圾回收器從整個堆積（Heap）中收集垃圾，而次要垃圾回收器則收集新生世代的垃圾。

官方提到，目前衡量垃圾回收花費的時間，是主執行緒在執行垃圾收集時所暫停的時間。Orinoco是一個垃圾收集專案的代號，V8團隊為其垃圾收集器，新增一系列垃圾收集最佳化演算法，以釋放主執行緒，避免Chrome發生明顯的停頓。新的垃圾收集器主要使用三種技術，包含平行、漸增以及並行。

垃圾收集器的平行執行，是讓主執行緒以及幫手執行緒分擔差不多的垃圾收集工作，雖然主執行緒仍需要暫停執行JavaScrip，但是總暫停時間會是，原本暫停時間除以參與工作的執行緒數，當然會有一些同步的成本，但是分攤下來暫停的時間仍然會比原本短得多，官方提到，平行執行是三種技術實現最簡單的一種。

漸增技術是讓主執行緒間歇性的執行少量的垃圾回收工作，讓主執行緒一次進行一部分的工作，這樣主執行緒就不再需要完全停下來進行垃圾回收，官方提到，這個比平行執行還更加困難，因為JavaScript要在每個漸增工作區段執行，這代表記憶體堆積的狀態已經改變，可能使先前的漸增工作完全無效。雖然這個方法不會減少主執行緒花費在垃圾收集的時間，但是卻能有效解決主執行緒延遲。

第三個也是最困難的技術是並行執行，是當主執行緒在持續執行JavaScript時，讓幫手執行緒在背景進行垃圾收集。官方解釋，之所以這是最困難的技術，因為JavaScript堆積上的所有內容，現在隨時都可能會變更，導致之前完成的工作失效，且主執行緒和幫手執行緒存在讀寫競爭。不過，好處是主執行緒可以無後顧之憂的自由執行JavaScrip。

現在V8的主要垃圾收集器，當堆積接近動態計算限制的時候，便會啟動並行標記任務，在主行緒執行JavaScript的時候，每個幫手執行緒對分配的物件，進行追蹤並完成標記，最後主執行緒才會開始暫停，重新掃描一次Root確保存活的物件都被上了標記，並與數個幫手執行緒開始進行平行壓縮以及更新指標，而這個過程主行緒仍然可以再穿插執行JavaScript。

而負責進行新生世代垃圾收集工作的次要垃圾收集器，現在也能夠平行收集垃圾，並跨幫手執行緒地分散作業，對被分派到且歷經第一次垃圾收集存活的物件，執行搬移（Evacuate）集中的工作。

新的垃圾回收器大幅改善了Chrome暫停時間、延遲與頁面載入緩慢的問題，讓動畫、頁面滾動和使用者互動更加順暢，具平行執行功能的次要垃圾收集器，能夠減少20%到50%主執行緒進行新生世代垃圾回收的時間成本，而且並行執行標記與清掃記憶體，可以減少WebGL遊戲暫停時間達50％。官方提到，他們的工作還沒結束，Chrome中的渲染器Blink還有一個垃圾回收器Oilpan，他們要將Orinoco的技術移植過去。

官方特別提到，雖然開發人員在撰寫JavaScript程式的時候，不需要考慮垃圾收集，但是了解內部運作將有幫助提升記憶體使用，有效應用良好的程式開發範式。

Linux之父Linus Torvalds發布Linux 5.0預覽版，這次更新有一半是驅動程式，特別支援了AMD FreeSync和Nvidia RTX Turing技術，另外，也解決部分之前修補Spectre和Meltdown漏洞所帶來效能下降。

Linus Torvalds提到，版本號改變並沒有特別的原因，也沒有特別專為這個版本釋出的功能。在兩星期前還在版本號4.21，而今直接變成了5.0，原因不為什麼，純粹是他認為版本號太多，他開玩笑的說，如過真要個理由，那就是他的手指和腳趾數完了。他說，大家可以尋找屬於自己的理由。

就像往常一樣，本次更新也有許多改變，這次的更新約有一半是驅動程式，不少與GPU驅動程式更新有關，支援包括AMD顯示器的適應性同步技術FreeSync，還有針對即時光線追蹤的Nvidia RTX技術。另一項圖形顯示相關的更新，則是Terminus5終端現支援顯示大字體，這項更新雖然看似不特別，但卻是可以讓使用者在如4K螢幕的HiDPI顯示器上，輕鬆閱讀終端機字體的更新。

這次更新還有部分的工作，是有助於提升作業系統效能的，特別是要解決之前為了要緩解Spectre和Meltdown漏洞，所帶來降低效能的副作用，還有Google的Retpoline修補，所造成的網路效能下降。

Linus Torvalds表示，這個的合併窗口（Merge Windows）雖然沒有特別大，不過，Linux每次的版本更新都很豐富，即便是較小的合併窗口也不是真的很小。根據這次的統計資料，除了約有50％是驅動程式，20%是基礎架構更新，工具占10％，剩下的20％則是檔案、網路以及文件系統等更新。

對於臺灣企業和組織而言，要落實資安的第一步，經常是藉由取得相關的資安認證，例如，ISO 27001是全臺灣最普遍的資安認證之一。因此，每次相關認證有更新版本時，除了標準本身持續演進、納入最新趨勢外，更重要的是，透過標準更新，也帶動企業或組織在作法上的再進步。

臺灣BSI營運長謝君豪表示，透過國際標準及指引可提升企業在資安治理的綜效，這也是，企業組織參照各種國際標準作為自我提升的主因，接下來更重要的是，透過資安治理成熟度模型，讓以前的「做到」達到「做更好」的標準。

他也說，2018年影響資安與IT發展的幾個國際標準，包括：3月發布的BS 31111:2018 Cyber risk and resilience，主要是針對政府部門及高階管理階層制定的標準；另外，就是在4月，美國國家標準與技術研究所（NIST）公布的NIST Cybersecurity Framework（網路安全框架）1.1版，國際標準組織（ISO）在9月，針對IT服務管理推出更新版本ISO 20000-1:2018，以及在11月英國政府推出的新版標準PAS 201:2018，實施對象是英國銀行業界與金融科技新創業者。

英美資安標準也成全球關注重點

謝君豪表示，許多資安標準導入或是制度推動，高層的支持是必要的關鍵因素，而英國政府推出的BS 31111:2018，就是希望為企業組織提供好的實踐框架，及由上而下支持的網路安全機制。

要落實資訊安全，整個組織，尤其是公司管理階層，包括董事會及高階主管等，都必須能夠一起證明，投入的網路安全措施是有效的、具有彈性的，以及成熟的，必須共同承擔所要面臨的資安風險才行。他也說，BS 31111:2018需要導入成熟度模型並進行評鑑。

而美國NIST推出的Cybersecurity Framework 1.1版，針對美國民營企業如何評估並提高預防、偵測與回應網路攻擊能力，謝君豪表示，這個標準已經受到日本、以色列及其他國家的政府採用，影響力擴及全球。基本上，這個標準有22個類別，以及98個控制措施，本身也囊括ISO 27001、COBIT、NIST SP 800-5、以及ANSI / ISA-62443等資安技術標準的指引。

新版ISO 20000透過相同方法論，整合ISO 27001

先前，臺灣有許多企業同時取得ISO 20000及ISO 27001兩個標準認證，但前者強調IT系統服務的可用性，往往與後者強調的機密性有部分衝突，因此，許多取得認證的企業，都希望透過同樣的方法論，將不同標準整合在一起。

ISO 20000是一套強調資訊治理和服務水準的規範，本身分成敘述規畫和建置IT管理系統規定的ISO 20000-1:2011，以及說明服務管理最佳實務的ISO 20000-2:2012，其中，ISO 20000-1距離上一次更版，已經是7年前。

新版ISO 20000-1:2018，正式整合了品質管理標準ISO 9000、資訊安全管理標準ISO 27001、營運持續管理標準ISO 22301，以及環境管理標準ISO 14001等，可減少引進不同標準時，所額外耗費的工作量與重工問題。

KPMG資訊科技諮詢服務執行副總經理謝昀澤表示，此次更版的特色，就是確保IT服務提供的水準，當中除了傳統強調的服務可用性及服務持續性外，更直接加入資訊安全管理的內容，同時強化「需求管理」，透過不同的管理方式，例如：DevOps或是敏捷管理等方式，簡化資訊服務管理。

謝君豪指出，所有IT系統提供相關服務的同時，必須面對資訊安全議題，新版便直接納入相關資安管理規範，要在C（機密性）、I（完整性）、A（可用性），取得平衡。也就是說，除了強化資訊服務的可用性，也必須要降低IT服務遭到非預期中斷的頻率與衝擊。

至於PAS 201:2018是2018年底，由英國政府針對英國銀行與金融科技公司推出的標準，當中規定協助改善英國1,600間金融科技新創公司與銀行互動的指導方針，而這也成為英國財政部針對金融科技產業的戰略方針之一。

隨著網路應用越來越多，要記住自己的身分、密碼，是每個使用者都在面對的困境。多年來，以密碼為身分驗證的方式，也衍生出密碼管理的問題，不僅是易於暴力破解的弱密碼，同一組帳密用在多個網站平臺的問題更是嚴重，今年已有多家資安公司指出，自動化的帳號密碼填充攻擊（俗稱撞庫）手法，就是使用大量外流的電子郵件與密碼來嘗試入侵。

今年，刑事警察局偵查第九大隊也曾偵破一起網路銀行盜轉集團案，是犯罪分子利用不法取得的個資，用來猜出用戶Google帳戶密碼，並找出個資與金融往來資料與密碼，再致電銀行客服變更聯絡電話，以便之後進行網路銀行盜轉。當然，這其實也突顯出，個資、帳密外洩與身份識別上的種種問題。

不僅如此，針對帳號密碼而來的網路釣魚威脅，多年來也不曾停歇，用戶密碼遭竊問題層出不窮。在趨勢科技最近公布的2019攻擊趨勢，也指出釣魚惡意網域將再創高峰，因為該公司今年已經阻擋2億多筆網路釣魚相關的連結網址，較2017年成長3倍，並預測2019年將更嚴重。而且，網路釣魚手法上也變得更多元，除了使用傳統郵件管道，也有入侵網路紅人的社群帳號等方式，騙取粉絲前往已植入惡意程式的網站。

值得注意的是，隨著兩階段驗證逐步被民眾接受，傳送驗證碼的方式也變得多樣，不過近年常用的簡訊OTP的機制，其實也存在中間人攻擊，且依然受到網路釣魚的威脅，對此，美國國家標準技術研究院（NIST）在2016年的數位身分認證指南中，已經建議企業不要再透過電信系統的簡訊與語音的方式，執行二階段驗證。

透過生物辨識與安全模組，讓網路服務的線上身分識別更進步

由於傳統密碼的安全性還不夠完善，與用戶記憶上的問題，也讓我們近年不時聽聞應徹底拋棄密碼的聲浪，而採用新世代身分識別。

從發展多年的生物辨識技術來看，不只是人臉辨識技術大爆發，近年在智慧型手機的應用也蓬勃發展，而在AI演算法、感測元件、硬體的不斷進步之下，指紋、人臉與虹膜辨識已經隨處可見，為用戶帶來簡化操作的便利性，而且，現在的指紋辨識技術，也已經演進到實作於手機螢幕層，而人臉辨識也朝向活體偵測發展。

同時，對於線上服務身分識別，其驗證方式與架構也在進步，近年FIDO聯盟與其他供應商合作打造公開標準，不只是單純結合生物辨識，或是USB、藍牙、NFC的實體金鑰，整個架構也是從設計一開始就將安全納入考量。例如，基於公私鑰配對的非對稱加密體系，密鑰會保留在設備上，沒有伺服器端共享機密可竊取，同時，協議中不存在第三方，進行生物識別時，資料憑證不離開終端設備，而且，服務或帳戶之間沒有可連接性。

更重要的是，今年冒出頭的FIDO 2身分驗證標準，是重要進展。其中的W3C的網路驗證Web Authentication（WebAuthn），以及客戶端至驗證器協定Client to Authenticator Protocol（CTAP），這兩項核心規格在2018年正式底定，並成為W3C聯盟、ITU國際電信聯盟等國際標準制定機構的正式標準，也意謂著全新的身分認證時代正式來臨。

簡單來說，WebAuthn定義的標準化Web API，可建立於瀏覽器或相關網路平臺架構；CTAP則允許電腦、手機搭配WebAuthn或是實體金鑰，作為桌面應用程式，或是網路服務的身分驗證器。此外，FIDO認證還將搭配行動端認證器的硬體安全模組，如TPM、SE、TEE等機制，做到驗證金鑰的存放與保護。

2019年將有網路服務商與金融業，在臺提供基於FIDO的驗證

關於線上身份識別FIDO認證的最大特色，就是裝置端的身分識別，以及線上身分識別的相互結合，並採非對稱公鑰私鑰來提供安全的保障。因此，不只是單純的讓生物識別取代密碼輸入，整體架構也是在一開始就將安全納入考量。（圖片來源／FIDO聯盟）

而新的身分認證標準，將在2019年正式開始部署。其實，臺灣今年已有企業願意採用FIDO標準來提升服務品質與體驗，據了解，國內已有一家銀行與證券業的公司正在導入。

在國際間，微軟、Google、Facebook也是該聯盟主要成員，並有一些網路服務供應商的腳步更是積極，像是Yahoo Japan在9月通過UAF與FIDO2認證，而Line身分驗證伺服器，也在2018年底通過UAF、U2F與FIDO2認證，並宣布成為全球第一個FIDO通用伺服器認證的服務供應商，預計要在2019施行此機制，提供用戶可以有更方便、更安全的使用體驗。

無論如何，網釣攻擊、帳密外洩事件持續在2018年造成極大危害，2019年情勢預估也將更嚴峻，而新世代線上身分識別正在起步，預計將有更多業者採用。對於使用線上服務的用戶而言，少了手動輸入密碼的步驟，不僅減少密碼被竊取的機會，也能避免用戶遭到釣魚網站的攻擊。

Sony熱門的抗噪耳機去年5月支援Google語音助理，近日則是在CES 2019大會上，宣布即將新增支援Amazon的語音助理Alexa，預計於一月底前在superb WH-1000XM3抗噪耳機上開始支援，藉由呼叫語音助理Alexa，用戶將能夠用語音控制播放音樂、更改曲目，甚至還能控制智慧家居設備，以及搜尋資訊、聽新聞等，不只是新推出的耳機系列能夠使用Alexa，就連舊版的WH-1000XM2和WI-1000X型號都有支援，透過Sony耳機連接App的更新後，用戶就能開始用Sony抗噪耳機呼叫Alexa。

近來許多家電商都鎖定智慧家電的市場，當然Sony也不例外，目前Sony現有的電視和音響等產品，多半都已支援Google語音助理和Alexa，讓用戶不再需要用手動控制家電，可以用語音的方式來控制，這次在抗噪耳機中支援語音助理Alexa，Sony北美地區總裁兼CEO Mike Fasulo表示，透過Alexa，用戶將能更輕鬆地找到音樂，讓用戶花更少時間搜尋音樂。