德國資安業者SySS GmbH近日公布了富士通（Fujitsu）高階無線鍵盤滑鼠組Wireless Keyboard Set LX901的鍵擊注入（Keystroke Injection）安全漏洞，將允許駭客自遠端向系統安裝惡意程式進而掌控電腦。

Wireless Keyboard Set LX901是專為桌上型電腦設計的無線鍵盤及滑鼠組合，採用了128AES加密傳輸，屬於高階配件，售價超過200美元。

SySS的安全研究人員Matthias Deeg解釋，富士通的無線鍵盤只能透過基於AES（進階加密標準，Advanced Encryption Standard）的資料封包來傳遞鍵擊，而電腦上的USB接收器則是由Cypress基於2.4 GHz頻段所開發的CYRF6936。

問題來自於此一USB接收器不僅可處理以正確AES金鑰所加密的鍵盤封包，也能處理符合Cypress參考設計中所規範、具備特定封包格式的非加密資料封包。由於2.4 GHz頻段可支援最遠30英尺的無線傳輸範圍，意謂著駭客只要位於9米內，就有機會從遠端向系統注入惡意程式，進而掌控受害者電腦。

假設受害者的螢幕是鎖住的，還可搭配SySS在2016年於Wireless Keyboard Set LX901上所發現的另一個重播（replay）漏洞，先行紀錄並重播螢幕密碼，再自遠端傳送惡意封包。

研究人員在網路上購買了同樣整合CYRF6936晶片的無線模組，只花了32美元便成功示範了攻擊行動。

SySS是在去年10月知會富士通，在富士通的要求下陸續提供了漏洞資料、概念性驗證攻擊影片與概念性攻擊程式的原始碼，但迄今並未收到修補通知。此外，當SySS在2016年向富士通提報重播漏洞時，富士通僅說該漏洞並不容易被開採，而且該公司產品的賣點是方便而非安全，因此並不打算修補，才使得SySS迄今還能利用此一漏洞。

聊天協作平臺Slack宣布推出企業加密新工具Enterprise Key Management（EKM），這些密鑰是由AWS KMS服務管理。Slack的首席資安長Geoff Belknap表示，Slack平臺原本都已經有針對資料進行加密處理，這次推出的EKM工具則是為安全性添加額外一層保護機制，讓企業用戶可以在Slack上安全地分享對話、資料和檔案，尤其是受到安全監管的產業，像是金融服務業、醫療保健和政府機關等高度監管的企業。

Slack指出，該工具特別之處在於能夠允許用戶可以控制或撤銷自家的金鑰，管理員也可以在不影響團隊工作的情況下，針對性地選擇取消存取權限，而不需要取消整個產品的存取權限，用戶還能透過AWS KMS服務中的詳細活動日誌，查看數據被存取的時間和地點。

英特爾與Cray宣佈贏得美國能源部一紙5億美元的合約，將打造全球第一座Exascale等級的超級電腦。

這座系統是由能源部下的阿貢國家實驗室（Argonne National Lab，ANL）開發名為Aurora的專案，將用於先進科學研究與發現。英特爾團隊預計2021年完成並交付最新的Aurora超級電腦。

Aurora專案於2015年啟動，當時也是由英特爾與下包商Cray合作打造，2017年美國ANL將Aurora計畫擴大為打造出全球第一個Exascale運算系統。目前中國、美國、日本等國家正競相開發全球第一個Exascale等級的超級電腦。

ANL指出，Aurora效能高達1 exaflop/s，每秒可執行1 quintillion（10的18次方，百萬兆次）次浮點運算，也就是1000 petaflop。它同時具備傳統高效能運算（HPC）及人工智慧（AI）的處理能力，可協助研究人員從事極大資料量的宇宙模擬、氣候預測、尋找預測藥物反應的新方法，以及發現建立有機太陽能電池更有效的材料等科學研究。

Aurora超級電腦的底層是英特爾專為整合AI與HPC的海量運算融合系統打造的技術，包括未來世代的Intel Xeon Scalable處理器、Xe運算架構、未來世代的Intel Optane DC 持續性記憶體（Persistent Memory）及Intel One API軟體。硬體方面，Aurora將使用Cray代號為Shasta的次世代超級電腦系統，它包含200多個機櫃，並具備Cray的Slingshot高效能可擴充互連技術、以及為英特爾架構最佳化的Shasta軟體堆疊。

ANL擁有多台全球頂尖超級電腦系統，包括10 petaflops的IBM Blue/Gene Q系統打造的Mira、以及11.69 petaflops的Theta，後者也是由Intel/Cray團隊打造。

2019臺灣資安大會今日（3/19）正式登場，而首日一早擔任大會Keynote講者之一的思科資安事業群總工程師Sunil Amin，也以現今企業資安威脅面臨的挑戰做開場，會中他不只分享最新全球資安長對資安趨勢的最新觀察，更點出雲端、多雲時代，企業所面對的網路威脅挑戰和規模複雜性，企業得要改變舊有網路威脅應對方式，不僅要綜觀全局，甚至更要採用新一代網路防護架構，才能確保企業與雲端網路的安全。

Sunil Amin在會中指出，近年來，駭客攻擊手法有越來越複雜的趨勢，且攻擊方式持續進化，讓企業防不勝防，他舉例，兩年前出現的Petya 勒索軟體新變種 Nyetya，其滲透力與感染力更勝WannaCry，造成全球企業慘重災情;再者，也有基於政治意圖發動針對網路設備感染的惡意程式VPNFilter，來打擊敵對國家或組織陣營，另外也有不以竊取資料，而是以劫持電腦運算資源，來幫駭客挖幣的惡意採礦程式的出現，將企業設備都變成駭客的挖礦工具。

即使是常見網路釣魚郵件，至今也都仍是駭客很常用的網路攻擊手法，暗中伺機竊取許多企業內部機敏資料，從中獲取不法利益。

不僅如此，尤其是現在許多企業都上雲，企業網路架構的改變，也帶來新的威脅。他表示，隨著企業上雲逐漸成為全球趨勢，現代的許多大型企業網路，都是採用基於分散式的網路架構，來逐步取代傳統集中式的網路架構，使得原先只要集中一點加強網路攻擊對策，即可做到有效的安全防護，現在，雲端企業變成是去中心化，要多點防護，不只是總公司，甚至也得加強對於企業使用的雲端網路，以及分公司網路邊緣強化安全防護，這也造成企業IT資安防護上的挑戰。

Sunil Amin也直言，面對雲端、多雲新威脅，企業得要採用新一代資安防護架構，他也以自家產品為例，他們將現代資安架構分成3層，其中最底層是全方位威脅情報（Comprehensive Threat Intelligence），用以偵測、分析與防護企業已知或新興網路安全威脅，中間層則是全面執行層（Enforcement Everywhere），經由企業內部蒐集來自網路、設備端點、雲端及應用程式可能產生的威脅情資，或是經由與技術合作夥伴或第3方單位取得各種威脅情資，持續反饋。

最後再經由最上層的管理及反應層（Managent. Response），他表，利用最上層Open API可以串接起從威脅偵測、調查、修復整個資安部署到安全政策執行的完整過程，並且還得針對企業上雲或多雲環境，加入連續性信賴驗證（Continuous Trust Verification）機制，將使用者裝置、應用等整合各種安全政策與感知，才能確保資安。

Sunil Amin也首次揭露了思科今年3月最新一分CISCO Benchmark Study資安長調查報告，一共調查了全球3,200家企業資訊長。該分報告顯示，將近8成受訪資安長認為在使用多廠商資安產品（multi-vendor environment）情況下，反而造成他們在威脅監控與反應協同分工上，面臨一大考驗。另在網路威脅的預警反應上，次數也從2017年的55.6%，縮短到今年的50.7%。

2019臺灣資安大會正式在今天(3/19)展開，去年副總統陳建仁到場致詞，今年總統蔡英文親自蒞臨致詞，並表示未來政府會繼續投入完備資安基礎環境、強化中央及地方聯防體驗，提昇國內資安產業能量及培育資安人才。

在資安大會的一開始，iThome總編輯暨臺灣資安大會主席吳其勳表示，今年是臺灣資安大會成立的第五年，從一開始千人規模的會議，到如今來自20多個國家，超過8000人報名參加的盛況，特別是今年邀請到總統到場，給予國內資安產業鼓勵，今年資安大會也擴大為資安週，這一週在台北國際會議中心及台北世貿中心，將有20個活動、超過十軌的議程，並有超過250場演講，探討資安的各個面向，還有超過80家全球資安品牌，展示最新資安防禦技術，成為亞洲地區受注目的資安會議。相信未來持續凝聚力量，大家持續合作，面對資安威脅就能反應更快、更好，建構更美好、安全的未來。

首次蒞臨的總統蔡英文首先恭喜資安大會規模一年比一年盛大，從2014年到現在吸引了美國、加拿大、德國、以色列近三十國家，超過2800家企業、450位資安長、資訊長參與，更舉辦Asia Cyber Channel Summit，吸引許多南向資安買家前來臺灣，採購臺灣自主研發的產品、設備及服務，和各國也建立起友好的關係。

她提到臺灣資安大會的另一項意義，是集結了各界的力量和資安產業夥伴共同合作，一起面對國際資安議題的挑戰，這幾年「資安就是國安」是政府推動施政的重點，由於數位化的趨勢，民眾在生活上仰賴網路科技，例如行動支付的使用，不過，這也同樣吸引了駭客攻擊、網路詐騙、散佈假消息，不僅造成社會資安的危害，甚至可能影響臺灣的民主發展及國家安全。

落實「資安即國安」的精神，蔡英文說明這幾年政府在資安上的實際作為，如行政院推動了「國家資通安全發展方案」四大策略，完備資安基礎環境，建構中央及地方的聯防體系，提昇資安產業自主能量和培育優質的資安人才。在關鍵基礎設施防護上，立法延宕多年終於通過上路實施的「資通安全管理法」，讓資訊安全防護有了法源的依據且更嚴密，對能源、水資源、通訊傳播、銀行等八大關鍵基礎設施的提供者，必須向政府提報資安維護計畫，發生資安事件時也必須通報中央主管機關。

她指出未來會持續強化各縣市的區域資安聯防及服務整合，讓中央和地方充分合作提昇資安防護能量，同時也會加強資安人才的培育及研發能量，積極協助資安產業輸出至國際，讓更多人能夠看到臺灣在資安上的貢獻。同時也期許資訊安全不能孤軍奮戰，在政府和民間努力下，臺灣在資安攻防戰場上將有更強的防護力。

總統隨後前往參觀由33家國內資安廠商展出的臺灣資安館，今年是第二屆臺灣資安館展出，總統到場參觀給予國內資安產業鼓勵，她參觀了安碁資訊、奧義智慧、中華資安國際、精品科技、戴夫寇爾、網擎資訊等11家業者展出資安技術及產品服務。 在導覽後步出資安館，蔡英文表示，臺灣資安大會是大家努力的成果，現在國際上討論資安議題，都一定要從臺灣作連結，是國內相關產業這幾年的努力。

在接下來的這一周，臺灣資安大會將舉行多達十軌同步議程，近250場的資安專題演演，涵蓋資安防後觀念、物聯網安全、金融安全、工業安全、AI安全、駭客威脅、假新聞、GDPR、5G、軟體開發等不同層面、領域的資訊安全議題。參加的國際知名資安專家如密碼學大師之一的Bruce Schneier、亞馬遜全球漏洞獎勵計畫兼亞馬遜日本資安長陳浩維、IBM資安長Koos Lodewijkx等。

Google今年一月宣佈將在4月2日關閉消費版Google+帳號及粉絲頁。對許多人來說，工作或生活上的重要記錄會從此消失。不過網頁備份計畫Internet Archive和名為Archive Team的組織本周宣佈已經出手把公開的Google+內容備份下來。

Internet Archive是以保存並開放存取所有知識為使命的數位資料庫，它最為人所知的是Wayback Machine網頁歸檔服務，但這個計畫其實也保存文字、影像、音訊、軟體及其他格式的資訊。Archive Team則是一群由歸檔專業、程式開發人員、作者及倡議人士所組成，以拯救數位文物為宗旨的非正式組織，保留組織倒閉、合併或純粹刪除而消失的資料。他們在桌機或伺服器叢集上虛擬機器執行名為Warrior的grabber scripts來進行資料歸檔，曾參與拯救過包括Mozilla Addons、Tindeck及巴西ISP – UOL論壇的專案。

Archive Team於去年12底就得知Google+要關閉，便與Google相關團隊於今年一月起展開合作規劃，著手下載Google+的資料。目前已完成下載超過360TB的資料，儲存於Internet Archive網站上，透過GitHub專頁公開。

不過Archive Team也指出，由於資源有限，備份網頁的計畫仍有限制。只有現行在Google+上的公開內容才會被蒐集。不公開的或之前已刪除的內容，就會被刪除。本計畫也可能不會歸檔完整的貼文留言。雖然Google+每篇貼文允許高達500則留言回應，但在靜態HTML網頁只會顯示一小部份。本計畫不確定Google 是否會保留完整留言串，但過去經驗是不會。影片和相片都只會以較低解析度保存。此外， 本計畫進度也可能因為其他不可抗力因素而有所延宕。

但因為Internet Archive現行經費來自募款，估計1TB資料需要2,000美元，本計畫也公開尋求捐款。

不想讓Internet Archive備份自己Google+的資料的人，也可以要求刪除。使用者也可以自行到Google+網頁刪除自己的Google+帳號。

蘋果於本周發表了新一代的iPad mini與iPad Air，這兩款iPad產品皆已許久未更新，例如上一代的iPad mini 4是在2015年9月問世，iPad Air 2則是在2014年10月發表。全新的iPad mini及iPad Air都採用與iPhone XS/XR一致的A12 Bionic晶片，也都支援Apple Pencil，iPad mini的螢幕大小維持在7.9吋，iPad Air則從9.7吋增加到10.5吋。

基本上，新一代的iPad Air 3與iPad mini 5除了螢幕尺寸與解析度稍有不同之外，兩者的規格幾乎是一致的，可說iPad mini 5就是iPad Air 3的縮小版。10.5吋的iPad Air 3解析度為264 ppi，7.9吋的iPad mini 5則是326 ppi。

它們都採用A12 Bionic chip、神經引擎與嵌入式的M12協同處理器，搭載iOS 12作業系統，具備最大光圈為f2.4的800萬畫素相機及700萬畫素的FaceTime相機，也都支援eSIM與Touch ID。

不管是Wi-Fi版或Wi-Fi+行動網路的iPad Air 3，都有64GB及256GB兩種儲存容量可供選擇，Wi-Fi版的售價分別為499美元（臺灣蘋果官網售價為16,900元新臺幣）與649美元（21,900元新臺幣），Wi-Fi+行動網路的售價則是629美元（21,400元新臺幣）與779美元（26,400元新臺幣）。

iPad mini 5同樣也供應64GB及256GB兩種儲存容量，Wi-Fi版售價為399美元（12,900元新臺幣）及549美元（17,900元新臺幣），Wi-Fi+行動網路的售價則是529美元（17,400元新臺幣）與679美元（22,400元新臺幣）。至於必須額外購買的Apple Pencil則是99美元（3,090元新臺幣）。

新一代的iPad mini與iPad Air即日起開放預購，計畫於下周上架，臺灣的蘋果官網雖然已列出了新產品的介紹與售價，但尚未揭露開賣日期。

由Linux基金會主持，JS基金會以及Node.js基金會正式合併成立OpenJS基金會，此將有助於加速JavaScript和生態系中關鍵專案的發展。OpenJS基金會的目的，是提供一個維護專案的中立組織，並投資對生態系發展有助益的活動，進而促進整個JavaScript和網頁生態系的健康發展。

由於JavaScript的互聯特質，因此生態系範圍涵蓋了廣泛的專案，OpenJS基金會由31個開源JavaScript專案組成，包括Appium、Dojo、jQuery、Node.js和webpack等。OpenJS基金會由30家企業支援，包括GoDaddy、Google、IBM、Joyent、PayPal和微軟等。

Linux基金會提到，雖然JS基金會和Node.js基金會獨立存在多年，但由於JavaScript生態系統息息相關，因此兩個組織的合作越來越密切，也在2018年共同舉辦了Node+JS Interactive大型聯合技術會議。基金會合併的工作，早從六個月前就開始，從收集共識到現在治理結構確立，社群已經可以開始在OpenJS基金會下運作。

還記得MySpace嗎？那個曾在2006年引領風騷、一度超越Google成為美國最多人造訪的社交網站，最近又再度成為新聞焦點，只不過，這次是因為有MySpace用戶抱怨，MySpace搞丟了使用者在2003年到2015年間所上傳的音樂。

當初的MySpace提供許多個人化服務，包括部落格、社團、照片、音樂及影片，使用者可將自己的內容上傳到MySpace，以直接於網站上聽音樂或看影片。

不過，MySpace在去年進行伺服器遷移，不慎遺失了使用者在3年以前上傳的所有照片、影片及音樂檔案，而且無法再取得。

曾協助創立Kickstarter眾籌網站的Andy Baio指出，MySpace等於是弄丟了從2003年創立到2015年之間的所有音樂檔案，估計應超過5,000萬首。同時他也懷疑這只是因為MySpace並不想費力遷移及代管5,000萬首的舊音樂，並不是什麼意外。

根據MySpace支援網站的描述，用戶所上傳的FLV（Flash Video）檔案都無法再播放，因為該站已將播放器更新至HTML5，也沒有辦法讓用戶播放或下載這些影片，還建議用戶永遠都該記得要備份。

此外，MySpace也坦承，在遷移至新版網站的時候，只保留了照片及友人資訊，其它沒有看到的內容就是消失了，也無法再取回。

MySpace從2005年到2009年都名列全球最大的社交網站，但之後即被臉書取代，去年1月，它在全球網站的流量排行已跌到4,153名。此外，MySpace上的音樂或影片消失一事其實是發生在去年，當時有用戶透過Reddit揭發了此事，但並未引起大眾的注意，一直到本周有另一名MySpace用戶再度提起才受到矚目。

2016及2017年屢次發動大規模分散式阻斷服務（DDoS）攻擊的Mirai殭屍網路病毒，在消失匿跡一段時間後被研究人員發現捲土重來，而且這次目標是企業級的物聯網裝置，包括企業級投影機、智慧電視和Zyxel、Dlink及Netgear的多款路由器。

Mirai以發動超大規模DDoS攻擊聞名，2016年及2017年利用數十萬台網路攝影機、家用路由器、網路儲存裝置，癱瘓了DNS供應商Dyn、ISP OVH及知名資安部落格Krebs on Security。

安全公司Palo Alto Networks的Unit 42於今年初發現11隻新Mirai變種。和先前版本不同之處，這些變種不是在消費型物聯網裝置上發現，其中一隻攻擊WePresent WiPG-1000無線投影系統的WePresent WiPG-1000 Command Injection漏洞，另一隻則攻擊LG Supersign TV智慧電視的CVE-2018-17173。這二款都是商務型連網設備。這顯示駭客可能將目標轉向企業網路，藉以取得更大頻寬建立殭屍網路，方便日後發動DDoS攻擊。

這已不是Mirai首度攻擊企業網路。去年九月，Mirai也攻擊了Apache Struts及SonicaWall網路設備漏洞，前者也導致美國第三大消費者信用管理公司Equifax伺服器的重大資料外洩。

但這次新一批Mirai變種有多種攻擊程式，分別攻擊不同裝置的漏洞，包括合勤Zyxel P660HN-T 路由器（Zyxel P660HN Remote Command Execution）、D-Link DIR-645、DIR-815 路由器（DLink diagnostic.php Command Execution）；DLink DCS-930L網路攝影機（DLink DCS-930L Remote Command Execution）；Netgear DGN2200 N300 Wireless ADSL2+ Modem Routers（CVE-2016-1555）；Netgear WG102, WG103, WN604, WNDAP350, WNDAP360, WNAP320（CVE-2017-6077, CVE-2017-6334）；及Netgear Prosafe WC9500、WC7600、WC7520 Wireless Controllers（Netgear Prosafe Remote Command Execution）等。所幸研究人員尚未觀察到已有發生攻擊的跡象。

研究人員也發現Mirai從代管在哥倫比亞的一個受駭網站下載惡意程式。他們也在這批Mirai變種發現到用於暴力破解連網裝置的預設帳密。

研究人員表示，這些趨勢也提醒企業必須注意公司網路上的IoT裝置，須變更預設密碼，並確保隨時更新修補程式。若有裝置無法修補程式，或許考慮最好從公司網路上移除。

今年舉辦第五屆的「臺灣資安大會」，在3月20日（三）第二天大會議程上午9點30分則由Fortinet資安長Philip Quade打頭陣，主要是從我們日常生活中的各種關鍵基礎設施的安全性談起。不管是政府或企業，現在都已經是高度依賴各種數位化工具，不管是數位國家或者是數位商業模式，都必須高度仰賴實體的關鍵基礎設施所提供的各種服務。當越多人關注或依賴的服務，就是駭客鎖定攻擊的對象，這些關鍵基礎設施服務業者在面對這樣的挑戰時，因為不知道該從哪裡開始，所以也不知道該從哪裡結束；再加上，沒有任何單一個人或組織，可以解決這樣的問題，也使得，數位國家的致命弱點就是關鍵的基礎設施。而最新的則是，亞太地區已經成為關鍵基礎設施風險的溫床，唯有具備足夠的自保能力，才能夠面對來敵對國家對我們帶來的威脅。

不只是關鍵基礎設施的安全值得關注，當越來越多特定產業，例如醫療、製造業，以及關鍵基礎設施服務提供者等，也開始面臨傳統OT系統開始對外連網，除了帶來網路的便利，也同時帶來網路時代的資安風險。因此，中華資安國際副總經理游峯鵬則呼籲企業應該要更加關注IT與OT的安全性。

除了關鍵基礎設施以及OT環境所面臨的企業資安風險外，有更多企業必須將關注意從對外防護的角度，轉變成對內關注，就如何精品科技資訊安全部資安顧問陳柏榆所言，「只要有心，人人都可以是駭客」，像是，研發團隊利用IDE（整合開發環境）特殊工具和燒錄軟體，就可以把重要的公司機敏資料藏在工業開發板中，加上這樣的技術並不難學習的情況下，企業必須要更能精準掌握內賊（Insider）還是外部駭客（Hacker）入侵所帶來的損失。

企業營運除了各種法遵的要求外，資訊安全治理的落實程度，已經成為新型態評估企業社會責任的重要指標之一，曜祥網技技術經理黃士滄呼籲，企業可以透過資料的即時彙整與自動化的管理機制，進而在資安與人力成本中取得平衡。

不只如此，除了法遵要求外，企業如何在資安投資成效的ROI評估過程中，可以獲得最佳性價比，中芯數據技術長吳耿宏則觀察到，許多資安產品往往只能在企業遭到駭客入侵許久時間後，不小心才發現，原來早就被駭客入侵了，但這個企業被入侵到駭客被發現過程中，如何讓資安產品發揮「早期發現、早期預警」的成效，將是企業未來評估各種資安產品時的重要關鍵。

上述臺灣資安大會Keynote也會在iThome臉書粉絲專業直播，直播網址：https://www.facebook.com/ithomeonline/videos/805567933148341/

除此之外，「大話資安x臺灣資安大會」也集結許多資安專家的訪談，從各種觀點來看現代企業面臨的風險與威脅。

在3月20日（三）下午1點30分，「大話資安x臺灣資安大會」特別節目將播出 Fortinet資安長Philip Quade的現場訪談，也會同時分享曜祥網際協理郭姿良和精品科技總經理黃文昌對於現在企業面臨資安威脅趨勢的觀察。直播網址：https://www.facebook.com/ithomeonline/videos/1083016115217730/

前一天精采的Keynote沒聽到沒關係，「大話資安x臺灣資安大會」在3月20日（三）下午2點半，也集結包括：資安神人Bruce Schneier、思科總工程師Sunil Amin、Polyswarm首席資安長Ben Schmidt以及趨勢科技全球核心技術部資深協理張裕敏的訪談分享，直播網址：https://www.facebook.com/ithomeonline/videos/378346816084776/

到3月20日（三）下午3點30分，則有包括：卡巴斯基實驗室威脅研究副總裁蒂莫爾•比亞庫耶夫、Opswat創辦人兼執行長Benny Czarny、中芯數據技術長吳耿宏以及中華資安國際資深資安架構規劃師王信富等人精采的訪談分享，直播網址：https://www.facebook.com/ithomeonline/videos/375894103246327/

Google為了讓App和遊戲圖標更適合Google Play商店中各種使用者介面布局、外形以及裝置，使整體看起來更加整齊一致，開始分階段要求Android開發者更新圖標。

從4月開始，開發者就能開始將新規格的圖標上傳到Google Play控制臺，並在系統中確認圖標是否符合新規範，與此同時，Google Play商店仍然接受開發者上傳原始規格圖標。

在5月1日之後，所有新上傳的圖標都必須要符合新規範，但是在Google Play商店中現有的原始圖標，可以繼續使用，而開發者已經更新的圖標，Google Play商店則會顯示新的圖標。Google要求所有的開發者更新的工作，需要在6月24日前完成，否則不符新規的舊圖標會以Legacy模式顯示。Legacy模式將原始圖標按比例縮小75％，套疊在新的格式形狀上。

新的圖標規格大小仍然維持512 x 512的尺寸，但是不再允許透明背景，Android和Chrome作業系統上的Google Play，會為圖標添加圓角以及陰影效果，圓角半徑限制為20%的圖標大小，以確保在不同大小呈獻一致性，而電視、穿戴裝置以及車載系統上的Google Play則不會有任何改變，Google也提醒開發者，這項要求，不會影響Android的APK啟動器圖標。

紐西蘭基督城的努爾清真寺（Masjid Al Noor）及林伍德清真寺（Linwood Mosque）在3月15日遭到恐怖份子的掃射攻擊，造成逾100人傷亡的慘劇，其中一名澳洲籍槍手Brenton Tarrant甚至透過臉書進行現場直播，也讓臉書、YouTube與其它社交網站平台，開始大規模移除並封鎖這個在網路上四處流竄的兇殘影片。

臉書表示在收到警方通知後幾分鐘就移除影片，根據統計，該影片在直播時的觀看次數不到200次，在臉書移除之前的觀看次數則約有4,000次。臉書也移除了可能是隸屬於槍手的臉書及Instagram帳號。

此外，臉書也在所移除的影片上建立了指紋，用以自動偵測及封鎖上傳到臉書及Instagram的類似影片。在案件發生之後的前24小時，總計在全球移除了150萬則影片，當中有超過120萬則是在上傳前就被封鎖。

至於YouTube雖然沒有公布移除數量，但卻向媒體透露了該站針對此事所作的特殊因應。YouTube產品長Neal Mohan在接受華盛頓郵報採訪時表示，他們在慘劇發生時立即號召各部門主管共同作戰，企圖辨識並移除成千上萬的槍擊影片，包括那些已被重新包裝過的影片，然而，當一組影片被移除時，下一秒就會出現另一組。

這使得YouTube決定祭出非常手段。他們關閉了多項搜尋功能，包括避免使用者搜尋「最新上傳影片」，還暫時取消了人工審核機制，只仰賴AI系統的運作以加速影片的移除。

其實YouTube也具備了可建立影片指紋的Hash技術，但Mohan說，相關技術也許可以辨識類似或只有一半長度的影片，卻拿那些已被剪裁成2、3秒的影片沒輒。

此外，也有不少媒體拒絕於新聞中採用槍手所拍攝的畫面，或者不願寫出槍手的名字，以避免使用者以此為關鍵字來搜尋網路上的相關影片。

前內政部警政署資訊室主任、現任金融機構顧問的蘇清偉，在2019臺灣資安大會座談中，分享一年來警政資安的人才培育與防護工作。他表示，警政單位以四個面向保護資訊安全，分別是成立警政資安團隊、培育資安人才、建立區域聯防體系與警政資安自主，目的要讓警政單位具備即時防護資安事件的能力，更要朝資安自主目標邁進。

在人才培育方面，為因應資通安全管理法的通過，以及資安即國安的政策趨勢，警政署整合內部資源成立資安團隊，共培訓18名分散各警局的資安人才，蘇清偉更以18銅人自稱，讓他們輔助網路犯罪偵查、處理與研析資安事件。重大資安事件的研析，包括勒索病毒WannaCry及Petya的防範、Fireball惡意程式的防護、無線網路WPA2加密協議的漏洞處置、國內使用連網DVR的資安問題預警等。

除了以國內外重大資安事件作為研析題材，防患於未然，警政署也舉辦資安研討會與國際交流、鼓勵培訓人員取得相關技術證照，將技術實際應用於各種資安威脅；此外，警政署也鼓勵團隊參加內外部比賽，包括2018台灣IBM科技論壇-駭客奪旗攻防賽、台灣雲端安全聯盟-資安攻防電競賽等，以比賽刺激創新思考。

蘇清偉表示，在專業人才的培育之外，也要對各機關建立區域聯防機制。警政署使用開源安全維運平臺OSSIM，每日派送偵測規則至各警察機關網路，針對威脅來進行告警，事件發生之後可以監控處理情形與結果。而根據統計資料，警局以一般木馬程式為最大宗的攻擊類型。

OSSIM平臺也可進行弱點掃描，由團隊成員執行，歸納出五大常見弱點，包括未關閉HTTP methods、使用有漏洞之網頁程式版本、Windows伺服器有未修補的漏洞、使用有漏洞之OpenSSL版本與未保護可能有機密資訊的備份檔，如.old、.bak等。

在發現資安攻擊事件後，更重要的是分析原因。蘇清偉表示，因為外勤單位常因辦案所需收取民眾提供資料，可能因民眾使用隨身碟而中毒；或瀏覽與偵辦案件相關網站（如網路援交、色情訊息等）而觸發偵測事件；又或者資訊系統遭外部攻擊、防火牆設定域名不當等。而警政署也將不定期分享防護內容，讓行政院各部會也能受惠。

在落實警政資安自主的部分，由團隊成員執行警察機關內部資安健診、網站滲透測試，並開發警政端點更新檢測軟體，目的將政府組態基準（GCB）設定至局內個人電腦，讓各機關的資通訊終端設備有一致性的安全設定（如：密碼長度、更新期限等）。而警政端點GCB系統，可查詢各電腦作業系統更新狀態、檢測瀏覽器設定狀況，是否有不合乎GCB規範的情形。

蘇清偉表示，四個面向中最重要的還是人才培育，「沒有人沒辦法做事情，也要有場域讓他們提升技能。」18個人散布在各警政單位中，以各自的專業解決各類型資安問題，未來更要走向資安自主，利用防護軟體蒐集資料、建立資料庫加以分析，或開發程式將資料加值運用。

小型企業普遍缺乏資源，面臨當今不得不做資安的嚴峻情勢，負責IT的員工可能就要臨危受命，承接相關的工作，成為一個「資安人」。然而，此時企業的資訊安全，可能必須從零開始打造，能夠因應的預算卻極度有限的情況下，要如何架構起企業的資訊安全呢？博格（Borg）企業資安讀書會創辦人X1在3月19日舉辦的臺灣資安大會中，特別針對需要執行的層面，介紹實用的免費開源工具，指引IT人員踏入資安防護的領域。

X1指出，開源或是免費的工具，與商用產品之間最大的差異，就是「壞了要自己修」。因此，想要導入這些工具來解決資安問題，首先，IT人員必須花時間研究如何使用與部署，而日後軟體更新時，也要自己留意開源工具與其他元件的相容性問題。此外，由於不像商業產品已經將常見應用系統的資料正規化，也沒有背後提供技術服務的團隊，因此，各種設備的事件記錄，勢必也要自己處理、分析。雖然許多開源工具沒有軟體授權的費用，然而IT人員要建構以這類軟體架設的資安防護網，必須要有自己耗費精力深入研究的心理準備。

對於可能剛接觸資安，就要在經費與相關資源極為有限的情況下，築起企業的資訊安全防護，想要知道如何著手的與會者可說是相當多，X1這場議程不只坐無虛席，旁邊走道都站滿了人，後來就連講臺前方也踴入許多聽眾席地而坐。（攝影／周峻佑）

誠如前述開源工具存在上述應用的門檻，但X1表示，其實小型企業所要因應的資安問題，許多免費的開源工具就能做到。因此，找出企業需要解決的難題，並尋求能符合自身需求的軟體，便可在極低的預算之下解決難題。

從攻擊階段歸納企業資安需求

在企業中常見的資安需求，X1指出，可以從攻擊的事前預防、事中偵測，以及事後因應等3大階段來看－－從事前的預防措施而言，IT人員首要任務，就是必須盤點網路環境中應該列管的資產，再者，則是網際網路的出入口管制，以及企業的雲端服務整合等。而企業對外提供的服務又有那些，還有公司的伺服器狀態，是否出現異常登入的情形？

一般來說，企業所需因應的攻擊，包含網站可能會面臨分散式阻斷服務（DDoS）攻擊，或是端點電腦遭到入侵，需要留下跡證的情況。再者，IT人員也可能會懷疑，網站是否成為內部環境被入侵的破口。

更進一步，則是有關事件發生之後，資安事件的通報和處理，還有就是尚未收集的應用程式與資料庫事件記錄，日後要怎麼補救等等。

盤點仍是資安的首要任務

不過，在建置資安防護的架構時，還是應該從事前和事中開始著手，而這個部分的落實，企業能夠及早接收有相警示通知，相對的投資效益也比較高。X1指出，第一件事還是要界定需要管理和防禦的範圍，因此他提供的第一套實用工具，便是網管軟體OCS Inventory，IT人員透過這套軟體，進而了解所列管的電腦有多少、執行的作業系統種類，以及搭配的硬體等資訊。

在設備的盤點之外，網路情形的清查也同樣重要，X1推薦The Dude，企業內部網路設備只要有啟用SNMP協定，就能列入管理，並且可自動產生網路拓撲圖。

有了端點裝置和網路環境的盤查結果後，X1說，接下來要歸納資產的重要程度，像是與公司營運相關度極高的設施，其重要性也就較高，他認為企業可以參考新竹市稅務局在2009年制訂的範例Excel表單，藉此權衡每項資產的重要程度。X1舉例，像是含有個資的資料，一旦外洩企業所面臨的罰款極高，因此對於企業而言，也是要謹慎保護的資產。

另外，企業對外部網路開放的連接埠，情況是否也在掌控之中？在這個部分，X1選用了知名的網路偵測軟體Nmap，他說自己在使用時，會讓Nmap每個月排程定期掃描，然後將這個月檢測結果與ACL表格比對，便能得知是否出現不當使用的情況。

而對於伺服器狀態的掌握，X1特別推薦Zabbix，理由是唯一能做叢集式管理的免費解決方案。只是要留意的是，要從Windows事件記錄ID監控是否出現異常登入的情形，並非所有的開機事件ID都是使用者登入的行為，因此要特別小心，以免太多記錄與警示通知，造成自己麻木而失去原來監控的用意。若是自動化防範機器人暴力破解網頁應用程式或是遠端登入的現象，也可以選用Fail2ban（支援Linux作業系統）和Wail2ban（支援Windows作業系統）。

若要防範網站遭受分散式阻斷服務攻擊，X1認為，Imperva Incapsula和Cloudflare等雲端服務，就是資安人員的好朋友，假如資料存放在企業內部，可採用Nginx建置網頁應用程式防火牆。

要是企業無法購置防火牆，X1表示也有免費的可選，像是Endian UTM能夠支援企業環境常見的AD與LDAP。

最後X1提醒一件事，一旦遇到攻擊，企業應該要先保留證據，再恢復電腦到正常狀態，而非馬上重灌。因此，他建議採用Helix數位鑑識包，進行採證。而在運用這些免費工具時，X1也鼓勵IT人員，可以與TDOHacker、UCCU，或是博格企業資安讀書會等社群交流，進而改善自己的做法。

政府如何帶頭促進資安產業發展，是臺灣各界關注的一大焦點。在19日到21日舉行的2019「臺灣資安大會」，今年特別安排了一系列資安產業發展的主題論壇，包括資安產業標準發展、資安新創交流，與臺灣資安國際拓銷，並分別於大會中的臺灣資安館現場接連三天召開。

今日（19日），首先進行的資安產品標準論壇中，全面揭露了政府在物聯網資安產業標準發展，以及檢測認驗證制度上的實際作為。

事實上，在去年6月，經濟部與NCC已經共同發布了物聯網設備資安驗證標章制度，並先從網路攝影機切入，制定出相關資安規範與檢測制度。今日，經濟部工業局電子資訊組組長林俊秀公布了最新現況，國內現在有5家測試實驗室通過TAF認可，並已邀集16家安防業界廠商，參與資安檢測的輔導。

對於物聯網資安產業標準的制訂，他們也預期將逐年增修，例如，在影像監控系統資安標準方面，去年不僅是發布第2版網路攝影機（IP CAM）的資安標準，也釋出了第1版的影像錄影機資安標準，以及網路儲存裝置的資安標準，並且還有智慧巴士車載資通訊系統資安標準（車載機、智慧站牌）。林俊秀表示，今年預計將會再新增兩項物聯網標準。他並強調，需建構一個物聯網資安生態體系，才能一併推動資安檢測的產業。

幫助臺灣電子網通產品提升資安品質

關於網路攝影機的資安問題，近年我們已經不時聽聞，包括像是殭屍惡意程式駭入數十萬支網路攝影機，更值得關注的是，前幾年還發生美國FTC控告臺灣網通大廠的網路監視器、攝影機等產品，具有嚴重的安全性漏洞。

談到網路攝影機的資安事件，林俊秀也特別指出，像是2016年殭屍網路Mirai，臺灣名列被攻擊國家第8名，最近還有蘋果Mac電腦上發現有Fruitfly惡意程式，會自動開啟Webcam遠端竊錄截圖的狀況，以及民眾購買網路攝影機觀看家中情況，反被駭客入侵並偷窺隱私等。

對此，林俊秀一開始也點出了產業議題與挑戰的三大面向，包括新興資安事件頻傳、物聯網資安拉警報，以及資通產品國際輸出受阻。在此局勢之下，物聯網設備資安產業標準與檢測認驗證，就成為了政府看重的一大焦點。

畢竟，臺灣常是駭客攻擊熱點，但也造就我們成為資安實測場域，而且，臺灣製造生產的網路攝影機，其實占了全球產品比重達30%，若能透過標準、制度來帶動資安水準，也將進一步強化我國產品在國際上的競爭力。

到底，臺灣在物聯網設備資安產業上，政府在推動策略與作法又是如何？林俊秀進一步解釋，他們主要分成三階段來進行，分別是規畫期、推廣期與成熟期。其中，推廣期的重要目標，首先就是要推動國內物聯網資安測試實驗室成立，以完備認驗證制度，同時也會輔導製造商產品取得認證，進而推動國內公部門、場域導入使用。未來，更希望的是，能夠推動產業標準逐步成為國家標準，並促成國際標準相互認證。

就現況而言，關於物聯網資安測試實驗室的成立，以及輔導製造商產品取得認證，都已經有不小的進展。林俊秀指出，為建構物聯網資安檢測生態體系，目標是至2020年度至少有9家通過全國認證基金會（TAF）認可，而去年就已經有4家通過，包括電信技術中心、安華聯網、台灣電子檢驗中心與勤業眾信，在今年2月，行動檢測成為第五家通過。

在製造商取得認證方面，去年底奇偶科技的兩款網路攝影機獲頒物聯網資安標章合格產品證書，型號分別是GV-BX2700-FD、GV-MD8710-FD。而政府為進一步推動這項資安標準，因此也計畫輔導製造商產品取得認證，主要透過安防協會與資安服務團輔導，以幫助取得資安標準認證，進而提升本土產品資安水準，目前也已輔導了20件影像監控系統，共16家業者，預計在上半年就會有新一波認證產品。

當然，更值得關注的是，若是未來中央部會或地方政府，將影像監控系統資安標準，納入採購規範及共同供應契約，所創造出來的需求也勢必讓資安檢測生態體系變得完備。而且，後續也將公告出通過資安標準認證的產品，作為一般民眾採購時的參考，進一步提升民眾消費認知。

至於最後的目標，林俊秀也表示，就是要打造臺灣物聯網資安檢測驗證機制，推動產業標準逐步成為國家標準，促成國際標準相互認證。

經濟部工業局電子資訊組組長林俊秀強調，檢測要有生態系才能永續經營，舉例來說，先要有認證實驗室，再由實驗室驗證產品，並透過產業的公協會來發證，之後，再推動政府部門採購這些有證照的產品，透過整個生態系來推動資安檢測的產業。而最後的目標，就是把產業標準變成國家。

對於新的物聯網資安標章，與過去有何不同？國家通訊傳播委員會基礎設施事務處處長羅金賢也做出說明。為保障聯網裝置的資通安全，行政院資安處藉「行政院資安產業發展計畫」已責請NCC與經濟部相互合作，研訂物聯網設備資安標準，而過去設備產品的安全認證，是經濟部與NCC各自有一個標章，現在則將推動兩者整合。

關於分工的權責規畫，羅金賢也具體說明，NCC主要負責的是電信、射頻介面，其餘由資通設備由經濟部負責。所謂的電信、射頻介面，是指電信終端設備，定義上為與公眾電信網路連接的第一個元件。他舉例，像是在無線方面，手機與行動基地臺連接，手機就是由NCC管，或是介接的第一個元件，像是筆電產品過往會看到兩個標章，一個是筆電應施檢驗標章，一個無線模組的認證標章，而筆電裡面的無線模組，是跟網路介接的第一個元件，這部分就是歸NCC管。而未來，將推動整合兩者成為一個共同物聯網資安標章。

關於物聯網設備資安檢測，以往設備產品的安全認證，需要取得經濟部與NCC各自的標章，未來將有共同的物聯網資安標章，國家通訊傳播委員會基礎設施事務處處長羅金賢也指出，在分工規畫上，NCC主要負責電信、射頻介面。

「醫院有多少院長記得去年資安法剛上路？」衛生福利部資訊處處長龐一鳴今（3/19）揭露醫療資安政策的挑戰，他指出，臺灣雖然在去年端出資通安全管理法（即資安法），政府也已推行醫院評鑑制度，來把關醫療環境與設備安全、風險分析和應變的能力，「但這些還不夠，」龐一鳴表示，今年要強化醫療業的資安聯防機制，以關鍵基礎設施為本，透過嚴格把關醫療儀器（OT），來達到更嚴格的資安要求，而第一波就瞄準臺灣64家CI醫院（意指提供關鍵基礎設施的醫院）為主。

他指出，近幾年來隨著科技發展，醫療業也不斷進化，從網路掛號系統、門急診系統的出現，再到電子病歷、雲端藥歷，甚至是醫療AI，前景看似美好，卻也隱藏資安隱憂，比如先前英國國民健保（NHS）遭受惡意木馬軟體攻擊、新加坡醫療系統遭駭、導致百萬人個資外洩等。

龐一鳴提到，美國一份資安事件報告顯示，有四分之一的資安事件就發生於醫療產業。不只如此，衛生福利部關鍵基礎設施資安工作推動專案辦公室主任范仲玫更進一步表示，隨著更多醫療e化儀器和設備的出現，資安風險也跟著提高，正如國際知名的美國急救醫學研究所（ECRI）所發布的年度醫療技術危害，2014年至2017年時都還聚焦於電子病歷問題，今年卻直指醫療系統遠端遭駭將是一大危害，在在顯示e化儀器是醫療資安不可忽視的課題。

為了強化醫療資安，也為了配合行政院2017年至2020年的「國家資通安全發展方案」，衛福部計畫從從原本就在施行的「醫療評鑑制度」和去年開始執行的「聯防機制」下手。醫療評鑑制度的目標，是要確保病人權益與醫療服務品質，其評鑑基準，涵蓋了醫院環境與設備的安全性、醫院風險分析與緊急災害應變的能力。

其中一項評鑑指標，就是ISO 27001資訊安全管理系統（ISMS）認證。范仲玫表示，自去年資安法上路後，這項ISO認證就成為醫院不得不做的資安檢驗，必須按照PDCA（規畫、執行、檢查、改善）來循環管理。雖然ISO 27001今年才開始成為醫院必做課題，但其實自2009年起，就已有醫院為了保護電子病歷，而開始導入ISO 27001。另一方面，針對醫院病歷資料和資安的法律規範，除了醫院要自行辦理各自保護法的稽核，衛福部也將辦理去年上路的資安法稽核事宜。

另一項衛福部今年要大力推行的醫療資安計畫，就是聯防機制。該機制鎖定擁有連網關鍵基礎設施（也就是中斷或停頓會影響醫療核心業務或病人安全）的醫院，來進行OT風險評鑑，也就是醫療儀器風險管理。為方便管理數量龐雜的OT，衛福部自去年開始，先將這些關鍵OT進行分類，像是生理監視與系統、麻醉機、呼吸機、數位X光攝影系統、CT和MRI掃描儀、心電圖儀器等17類，同時也畫定OT範圍，讓醫院可以進行OT盤點、排定OT資安檢驗的優先順序，比如現階段以連網且需將資料上傳至HIS、NIS或RIS為範圍，之後再擴大到較早e化且檢查量高的儀器設備。

聯防機制的另一個重點，還包括建立資安訊息分享（ISAC）、緊急應變處理（CERT）和聯合監控（SOC）機制。衛福部去年已完成這些機制的建置。龐一鳴表示，聯防機制的意義，就是希望將OT資產盤點與風險評估輔助系統所產生的資訊，送至情資和弱點資料庫來進行分析，之後再將這些醫療設備的資安情報，輸入至「資安聯防系統」，集結H-ISAC、H-CERT和H-SOC進行深入分析，再回饋給CI醫院。

他指出，聯防機制的「分母越大，情資也就越大。」雖然衛福部希望所有醫療院所都能加入，但首波重點會從國內64家CI醫院開始。范仲玫提到，目前CI醫院中，已有42家加入H-ISAC機制，並完成IT資產資訊的安全防護，但就OT資產資訊安全防護部分，她坦言，目前還無法確認CI醫院的執行情形，而這也是衛福部今年的目標，除了與其餘22家CI醫院討論加入聯防機制，還要落實醫院對OT的盤點與風險評估。文◎王若樸

「資安很重要，不只是技術問題，還是涉及企業組織關鍵的一環。」這是臺灣科技大學資訊管理系特聘教授吳宗成，在今天 （3/19）於2019臺灣資安大會演講的開場白。

吳宗成認為，董事會與企業高階主管，都應該要具備同樣的資安思維，這樣與與第一線員工溝通時，彼此之間才會有完整的對話，才能真正解決資安問題。

要建立資安思維，他建議，得先了解何謂「系統」與「資安」。系統有五大要件，包括資料、軟體、硬體、人員與程序。「人員與程序，在資安上最容易忽略。」吳宗成提到，許多資安問題，其實是發生在人員與程序這兩要件，從這兩項執行資安的防備，是這五大要件中，較為容易的切入點。

舉例來說，在人員上，像是系統發展者、系統管理者、端末使用者等企業人員，都得有資安的心態。或像程序面，不管是正常程序（front-end）、例外程序（back-end），也都得有一套資安規範要遵循。

董事會得了解，系統一般又分為三大類型，分別是資料導向（data-oriented）、服務導向（service-oriented）以及混合式（hybrid）。吳宗成解釋，以資料導向的系統，是以資料為核心主體，由人員遵循程序，執行軟體驅動硬體，對資料做存取。

而服務導向的系統，則是以人員為核心主體，將儲存在不同硬體，以及散落在各地的資料，透過軟體分析，經由授權的程序，提供人員服務，這樣的系統就是所謂的大數據分析，他說。

混合式系統，則是如資料即服務（DaaS）、資訊即服務（IaaS）。此外，現在的系統的架構，大多是虛實整合，且在萬物聯網的時代，都透過雲端連結在一起。

建置資安生態系統，保護創造的利潤

有了系統的概念，接下來，企業董事會與企業高階主管就可以來了解什麼是資安（Informtion security），最初的定義是保護資訊與資訊系統，之後才出現了Cybersecurity 一詞，將保護電腦與電腦系統，擴大到網路上所採取的方法。

吳宗成表示，從2000年開始，大家談得是無線網路安全，包括3G的資安、雲端安全、行動安全。2010年到2015年，在談普及計算安全，包括4G資安、物聯網安全、隱私與個資保護、智財保護與數位鑑識。而從2015年2020年，要步入的是人工智慧安全與5G資安。

「什麼都是跟資安有關，最後會抓不住它的邊，所以一定要找出它的範圍，而這範圍就是資安生態系統（Cybersecurity Ecosystem）。」吳宗成強調，資安生態系統最核心的是資料的安全，接下來是ICT安全，再來是Cybersecurity。

而建置資安生態系統最大的兩項要件，就是先前提到的人員與程序。企業要經營資安，不只要投入對資料、軟體與硬體的保護，還得投入程序的保護，以及人員的資安教育。

吳宗成也指出，資安生態系統的價值定位，「建構系統的目標，就是要創造最大利潤，但是建構資安的目標，不是創造利潤，而是保護創造的利潤，維護資料、資訊與服務價值性，讓損失降到最少。」這是投入資安工作的人員，要有的心態，因為在資安的世界裡，少輸就是贏家，他說。

決策、管理與操作層級，都是資安生態系統重要環節

然而，要如何建立資安生態系統？吳宗成建議，首先，一間企業包括決策層級（董事會成員、資安長）、管理層級到操作層級，都是資安生態系統的環節之一。他提到，決策層級在面對資安，不是給人、給錢就結束，而是要先了解資安，才能推動維護他們所創造出來的利潤。管理層級，則強調在人才的應用。操作層級，則是強調程序的遵循。

不同層級的利害關係人，在這資安生態系各自扮演不同角色，並有安全、成本、效能三種不同的因素互相衝撞，不同層級的人，要考量的因素也不相同，所以也需要找到平衡點，經過互相妥協才能建構出資安生態系統。

「資安是看不見的戰爭。」吳宗成認為，決策層級得思考資安部署的範圍有多大？而投入資安的必要成本，更包括了軟硬體、程序與人員，還有在企業內部推廣資安教育與訓練。

許多企業決策者常問資安的投資報酬率有多少，但吳宗成認為，對於大多數的企業來說，「資安是無法量化的間接價值」，例如企業形象與信任度。企業長期以來形塑的信任度與賺取的利潤，可能會在一次的資安事件就足以消失。

如何落實資安三道防線，善用三類資安人

吳宗成也指出，資安有三道防線，第一道防線是技術問題，就需交由技術人員解決，通常他們可以解決70％～80％的資安問題。第二道防線是管理，可以解決20％～30％的資安問題。最後的第三道防線，則是透過企業內部的法令規範，訂定員工的責任歸屬問題，這樣的作法，是要去規範員工未能善盡責任的資安問題，以及遏止尚未發生的潛在資安問題。

而談到資安的責任與信任，吳宗成提到，不同層級關注的部分也會不一樣。例如，決策層級關注的重點是成本，操作層級的關注點是安全。但不管是哪個層級，在遇上資安事件前，都得遵循規範，而有所作為。而為了確保是否落實作為，就得透過內部控管加上外部稽核。在發生資安事件後，則是要處理碰上的風險與衝擊分析。

他更認為要善用資安人，例如在資安技術議題，就得善用技術型、應用型的資安人，前者是具備攻擊及防禦能力的資安技術專家，後者則是能善用既有的資安技術能量，強化與建構安全的應用場景，或是降低應用領域會面臨到的資安風險。而在資安非技術議題，則要善用應用型、政治型資安人才，吳宗成解釋，政治型資安人才能夠預知未來資安風險，引領政府、企業制定資安政策與戰略部署。這兩類型人才的協作，主要是能加強政策與法令的遵循性，以及異值參與角色之間的調和性。

進入第五年的臺灣資安大會，超過8000人報名，參加者來自20多國，2800家企業、450位資安長、資訊長與會，蔡英文總統更親自站台支持國內資安產業，超過80家全球資安品牌，展示最新資安防禦技術，這也是亞洲地區最受注目的資安會議，臺灣資安館更有33家國產資安業者大秀實力

Google對外開源了Sandboxed API專案，Sandboxed API能夠自動為C/C++函式庫產生沙盒，在熱門軟體函式庫產生可重用且安全的功能實作，以保護剩餘軟體基礎設施。Google還創建核心沙盒子專案Sandbox2，提供低階沙盒原語，可以單獨使用於隔離任意Linux程序。

由於許多軟體處理外部產生的資料，像是將用戶的圖片轉檔，或甚至執行使用者產生的程式碼，過程通常存在不少的風險，而且Google提到，當處理這些外部資料的函式庫太過複雜時，就有機會出現特定類型的安全漏洞，像是記憶體破壞臭蟲或是解析邏輯相關的問題。

因此開發者為了預防問題發生，會使用沙盒技術來隔離這些軟體，以確保解析外部資料的程式碼，只能存取必要的資源，即便在最糟的情況下，駭客取得遠端攻擊控制權時，沙盒技術還是能包住他們，保護其他軟體基礎設施。沙盒除了需要能有效抵禦攻擊保護作業系統外，還必須要易於開發人員使用，然而某些沙盒解決方案，卻要求使用者花時間為每個專案重新定義安全邊界。

為此Google發表了簡單好用的Sandboxed API專案，講求沙盒化一次就能重複使用。Sandboxed API是針對C語言撰寫的軟體函式庫實作，以高階觀點來說，Sandboxed API把沙箱化的函式庫，以及其呼叫者（Caller）分為兩個獨立的作業系統程序，主機二進位檔案以及沙盒。實際上函式庫呼叫則是由主機端API物件編組（Marshalling），並透過中介程序傳送至沙盒，在沙盒中由RPC stub解編並轉送呼叫到原始函式庫。

API物件以及RPC stub都由Sandboxed API專案本身提供，前者由介面產生器自動產生，使用者只需要提供沙盒策略，允許低層函式庫進行一系列系統呼叫，並同時準備好供存取和使用的資源。以Sandboxed API沙盒化的函式庫，將可以簡單地被重複使用在其他專案中。

在Google中，不少團隊已經大量使用Sandboxed API和Sandbox2，由於目前只支援Linux，Google正在研究Unix的系統如FreeBSD、OpenBSD和macOS支援的可能性。而Google提到，Windows的移植是更大的工程，需要完成更多基礎工作。

他們也在思考新的沙盒技術，由於隨著硬體虛擬化普及，把程式碼限制在沙盒虛擬機器，開啟了更多應用的可能性。另外，Google在設法改善建置系統，由於Sandboxed API現在正在使用Bazel建置所有內容包含相依檔案，而CMake顯然是更為友善的選項，因此更換建置系統為Google的優先工作之一。