臉書為建構更具吸引力以及個性的人工智慧聊天機器人，使用新的資料集、演算法及模型，改進聊天機器人普遍存在的一致性、特殊性和同理心等5大弱點，經臉書改進的對話機器人，現在除了會在回應中表現喜好之外，還能自然地在回應中加入額外的知識，提升對話品質。

臉書提到，對話研究是建構下一代智慧代理人很關鍵的部分，雖然現在聊天機器人可以在單個領域的對話，表現得很好，但是還遠無法跟人類進行跨多主題的開放領域對話。臉書想讓智慧代理人執行播放歌曲或是預定等任務時，還可以跟人類自然地就日常生活交談，以提升使用體驗，但要在對話中產生連貫且引人入勝的回應並不容易，人工智慧需要學習細微的對話技巧，包括語言理解和推理能力。

為此臉書針對目前5個人工智慧聊天機器人常見的弱點進行強化，包括一致性、特殊性、同理心、知識性和多模式理解。臉書表示，聊天機器人的對話普遍缺乏前後一致性，前面對話說自己有養兩隻貓，但是後面問他貓的名字時，可能又會說自己沒有養貓，為此臉書與紐約大學合作，開發自然語言推理（Natural Language Inference，NLI）技術，並創建對話NLI資料集。

對話NLI資料集會將對話中的兩個語句當作前提和假設，並標記前提和假設的關係，是相關、矛盾還是中性的，模型使用對話NLI資料集訓練後，經過3個測試資料集的實驗，證實有效降低聊天機器人3倍的對話矛盾。

聊天機器人傾向回應保守且安全的句子，像是我不知道，而經過實驗，人們更偏好特別的回答，臉書透過控制多個對話屬性，調整機器人回應的特殊性。當人類問聊天機器人的職業時，臉書新模型所產生的答案，不只回答自己是建築工人，還會進一步描述具體細節，回答自己正建造骨董屋和翻新房屋。

臉書也與華盛頓大學合作，開始研究讓聊天機器人更具同情心，這能夠解決因為人工智慧無法正確感受人類的情緒，而做出不洽當的回應，現在當人類提到自己工作升遷時，聊天機器人可以先給予祝賀，而不是反問人類為什麼能夠獲得升遷。

另外，人類談話的時候，通常能夠自然地將知識融入到對話中，但這點對於開放領域聊天機器人還難以辦到。臉書解決這個問題的想法，是在模型中採用更直接的知識記憶機制，收集基於維基百科知識的對話資料集，並使用新的模型基礎架構擷取與使用這些知識，改進對話模型展示知識的能力。

而在許多時機，對話會參雜圖片，因此聊天機器人不只需要理解對話，還要能理解圖像，臉書則努力使得聊天機器人對圖片的回應更具人性，而非只是給出傳統的圖說。臉書收集了人類圖像評論資料集，並建構名為TransResNet的檢索架構，將圖像、個性以及圖說資訊投影到同一個空間，以產生綜合的結果，臉書提到，在部分案例，新模型所產生的圖片註解，已經接近人類的表現，而比起一般的圖說，約有50％的人更喜歡新的圖片評論。

微型部落格推特（Twitter）本周公開承認該系統含有兩個臭蟲，可能無視於使用者的隱私設定而分享用戶資訊或利用不被許可的資訊來遞送廣告。

根據Twitter的說明，從去年5月起，假如用戶在一個行動應用程式上點選或觀看一則廣告，隨後還與該程式互動，就算未經用戶允許，Twitter可能會與測量及廣告合作夥伴分享用戶的特定資訊，例如國碼。

另一個臭蟲則是出現在Twitter企圖提供關聯性廣告的程序中，自去年9月起，就算未經用戶允許，Twitter依然會根據用戶的裝置資訊來遞送廣告。不過，Twitter強調這些資訊並未包含電子郵件帳號或密碼。

這兩個臭蟲皆讓Twitter用戶的隱私設定未能依照應有的方式運作，而不當分享或利用了用戶資訊。Twitter已於8月5日修補了臭蟲，正在調查受影響的用戶規模，詳細的數字尚未出爐。

台灣大哥大擴大雲端服務陣容，和數位通、VMware合作推出「運算雲Plus」，結合VMware的虛擬化技術，鎖定企業上雲、混合雲市場。

台灣大哥大早在2011年便布局發展IaaS服務，採用VMware、Citrix的虛擬化技術，看好企業使用雲端服務已漸漸成為趨勢，特別是不少企業採用VMware虛擬化技術，對虛擬機器搬上雲端的需要，台灣大哥大和二類電信業者數位通及VMware聯手推出「運算雲Plus」，強調私有雲、公有雲無縫接軌，建構彈性資源運用的混合雲特色。今年估計將有超過40家企業採用。

台灣大哥大總經理林之晨表示，雲端服務已是企業未來的主流趨勢，台灣大哥大擁有符合PCI DSS標準及Tier 3等級的資料中心，和數位通及在企業虛擬化市佔8成的VMware合作推出運算雲Plus，今天的合作只是台灣大哥大針對企業混合雲需求的一小部份，未來還會推出雲伺服器、雲儲存、雲資料庫及彈性的Web engine等服務。

在2017年獲得VMware認證的數位通國際董事長吳振生表示，全球雲端市場每年成長50到60%，市場被幾家大型的國際性公有雲端服務商掌握，但這些大型的雲端服務商沒有落地，如銀行、半導體公司等大型企業很難信賴，將核心系統放到公有雲，大型雲端服務商僅符合國外規範，未必符合國內規範，數位通服務的優勢之一便是落地，符合國內規範，經過VMware認證，通過ISO 27001/27011、ISO 27017/27018等安全認證。

儘管企業上雲已是趨勢，也是企業競爭力差異的一部份，但VMware總經理陳學智指出，企業上雲所關注的問題之一，為是不是企業能夠熟悉、信任的環境，VMware是唯一從私有雲到公有雲，建立在相同基礎架構上，和AWS、Azure、Google Cloud三大公有雲建置基礎架構，同樣也建置在數位通、台灣大哥大的資料中心，提供最新的私有雲架構。另外，企業上雲的過程中，需要瞭解資料中心、網路的合作夥伴。台灣大哥大、數位通、VMware三方合作能夠滿足企業上雲的需求。

台灣大哥大和數位通合作的運算雲Plus，在台灣大哥大的雲端資料中部署數位通去年所推出的GWStack一體機，以台灣大哥大的電信線路連接運算雲Plus及企業的私有雲環境，達到公有雲的彈性、私有雲的自主管理，達成混合雲的彈性、安全特色。

運算雲Plus強調從企業的私有雲到公有雲環境都採用VMware一致的基礎架構，在VM的移轉和備援上都採用VMware的技術，包含了VMware運算、儲存、網路的虛擬化技術，如vSphere、vSAN、NSX，在企業的私有雲、公有雲乃至混合雲的彈性運用及管理上具有高度的相容性，也是該服務的一大賣點。

台灣大哥大以企業運算資源不足為例，當企業的運算資源不足，可以將網頁伺服器透過vMotion搬到運算雲Plus，再透過NSX將VPN專線接到雲端，就能將工作負載轉移到公有雲。在災難備援的應用上，透過vCAv將資料備份到運算雲Plus，建立起災難備援的機制。

目前運算雲Plus提供IaaS服務，虛擬機分為單機型和資源型，並提供快照還原功能，在網路服務方面，包含防火牆、VPN、負載平衡、DHCP及NAT。資料備份則有BackupaaS備份服務，以及DRaaS災備服務，其他服務還有7x24的雲端監控及技術支援，可建立和企業內網環境相同的專線入雲等。

金管會日前開放金融業者上雲，雲端業者也已嗅到商機展開動作。台灣大哥大表示，目前正和幾家金融業者洽談，瞭解金融業者上雲的需求，並研究金管會提出的條件，可望在年底針對金融業者推出專屬的雲端服務。

視撰寫的應用程式或程式庫的需求而定，我們對於型態的繼承，或者是物件判斷的型態，實作上，可以簡單，也可以朝更通用的方向，而這中間尺寸的拿捏依據，也在於開發者對JavaScript（JS）引擎的內部特性實作，有多少認識

繼承標準API？

若單就繼承的實現而言，現今的JS開發者應該都知道，目前有兩種基本的機制，也就是實作原型鏈，或是透過ES6類別語法，而且，確實有不少繼承上的需求，使用原型鏈或類別語法都可以實現；然而，若對象是標準API就要注意──如果你想要繼承標準API，我不建議使用原型鏈，因為特殊行為不會被繼承。

以陣列為例，以原型鏈實作方式來繼承Array，雖然可以繼承Array.prototype本身定義的方法，instanceof判斷子型態實例時，也會被認為是Array的實例，然而陣列的特殊行為，length特性並不會隨著元素增減自行維護，將length設為比元素更少的值，也不會令元素被拋棄。

另一個例子是Error，早期JS程式庫之所以少見實現Error子型態，理由之一，是原型鏈繼承Error時，拋出自訂的Error子型態實例，JS引擎並不會有自動記錄堆疊追蹤的行為，這就造成了除錯時的麻煩。

在《Effective JavaScript》的〈條款40〉指出的「避免繼承標準類別」，其實，是指避免自行以原型鏈方式來實作繼承的意思。這是因為，標準API有一些特殊行為，是由JS引擎根據內部特性標示的值來決定。

例如，]被標示為'Array'的物件，length與元素之間才會有相互影響的行為，被標示為'Error'的物件，才會在拋出後自動記錄堆疊追蹤。

在ES5或早期版本，沒有標準方式，可以控制JS引擎中物件的內部特性；然而，ES6的類別語法在繼承標準API時，子類別實例會擁有標準API特殊行為，例如，Array子物件的length與元素之間，會相互影響；Error子物件被拋出後，會自動記錄堆疊追蹤，因此，ES6類別語法並不純粹是語法蜜糖，若要繼承標準API，同時需要內建的特殊行為，務必使用類別語法來實現。

它是哪種型態？

對於動態定型語言，基本上，建議針對行為而不是型態來撰寫程式。對於JS，要檢測API的版本或功能性時，也建議使用特性偵測（Feature detection）而不是判斷型態；然而，在某些場合，確實需要檢測型態，根據檢查對象的不同，以及需求的簡單或複雜，採用的方式也不盡相同。

面對基本型態、函式、undefined時，許多場合會使用typeof；面對其他物件時，常見使用instanceof，不過，在沒有進一步的定義下，instanceof其實是判斷原型鏈上是否有指定的原型，因此，若類陣列物件的原型被設為Array.prototype，instanceof也會認為該物件是Array實例；至於原型上的constructor特性，預設指向建構式，我們常見到作為型態檢測的依據，且constructor可以修改，事實上，使用原型鏈實現繼承時，我們也建議設定constructor指向子建構式的作法。

從ES6開始，開發者可以進一步控制instanceof的行為，透過在類別使用Symbol.hasInstance定義靜態方法，能夠決定物件使用instanceof判斷時，是否被視為此類別的實例。

因為，使用類別語法定義時，在類別上，會有預設的Symbol.hasInstance，行為預設為原型鏈查找，以符合instanceof傳統的行為。

所以，開發者可以結合typeof、Symbol.hasInstance、instanceof，來寫個更嚴格的_instanceof函式。例如，Babel轉換程式碼時，_instanceof函式就結合了三者（https://bit.ly/2YoyQJw）。

同時，ECMAScript規範要求Object.prototype.toString呼叫後，必須傳回'[object class]'格式的字串，而且，對於內建標準型態，Object實例會傳回'[object Object]'、陣列會傳回'[object Array]'、函式會傳回'[object Function]'等。因為基於對標準的支持，現今有不少程式庫也會使用這個，來作為型態判斷的依據。

在ES6以後，我們可以在類別的原型上，定義Symbol.toStringTag特性，而它的字串值，決定了Object.prototype.toString呼叫時，'[object class]'格式中class的實際字串。

使用類別語法定義時，類別的原型不會自動定義Symbol.toStringTag，若是採用Object.prototype.toString的結果，來作為型態判斷依據，此時，我們必須記得定義Symbol.toStringTag。

你的陣列不是陣列？

按照以上的說明，在ES5的環境中，想要判定某個物件是不是陣列，該使用哪個方式呢？typeof顯然不行，因為除了函式之外，其他物件都會傳回'object'，若物件的原型被設為Array.prototype，instanceof也就破功了。

開發者應該使用的是，ES5特別針對陣列而設計的Array.isArray函式，而且，只有在JS引擎內部，]被標示為'Array'的物件，Array.isArray才會傳回true。

在ES6之後，若是使用類別語法繼承而來的Array子類別實例，Array.isArray也會判斷為true，這表示類別語法繼承時，子類別物件的]會標示為'Array'。

在ES5剛釋出的那個年代，若想修補Array.isArray該怎麼做呢？Object.prototype.toString傳回的字串中，class的部份其實是根據，因為沒有標準方式，可以干涉JS引擎實作中物件的，只有陣列實例的才會是'Array'，因此，修補的方式可以是：

Array.isArray = function(arg) {
return Object.prototype.toString.call(arg) === '[object Array]';
};

必須注意的是，真正的Array.isArray看的是，不是Object.prototype.toString的結果，因而這只是個近似的修補方式；進一步地，雖然ES6可以定義Symbol.toStringTag，然而，將它的值設為'Array'，並不會令原生的Array.isArray在判斷時傳回true。

基於以上原因，如果要繼承陣列，我們就必須使用類別語法。這麼做還有個好處：如果SubArray繼承Array，filter、map等原本會傳回陣列實例的方法繼承下來之後，會傳回SubArray實例，也就是說，instanceof SubArray會是true。這是因為Array的相關方法，會使用Symbol.species協定傳回的建構式來建立實例。

釐清需求與實作

如果開發者是第一次接觸這些細節，也許會覺得不用考慮到這種程度吧！然而，如果應用程式或程式庫的開發中，有著繼承標準API或判斷型態的需求，就必須掌握細節；而對於繼承標準API，目前最好的選擇，就是使用類別語法，避免使用原型鏈來實現。

若是型態判斷，情況就更是複雜許多，因為不單要考量應用程式或程式庫打算採取哪個方式，若相依於第三方程式庫或工具，也必須確認它們採用了哪種型態判斷方式，此時，我們才能儘量採取一致的方式，並且選擇正確的方式來實作。

因擔心客戶成為主要的競爭對手，聯邦快遞FedEx繼今年6月宣布不再提供Amazon於美國境內的空運服務之後，本周再度宣布與Amazon於美國市場的陸運合約，在本月底到期之後亦不再續約。

FedEx先是在今年6月發表了聲明，主要是向投資人說明與Amazon之間的關係，當時FedEx宣稱這是項策略性的決定，不再與Amazon續約美國境內的航空貨運服務。

本周FedEx則進一步宣布，當與Amazon於美國的陸運服務在本月到期後，將不再續約。不過，雙方合約的終止僅限美國市場，尚未影響FedEx與Amazon的國際貨運合作協議。

其實FedEx已經把Amazon視為潛在競爭對手。在FedEx提交給美國證券交易委員會的10-K年報中，即明白指出Amazon正在自行發展及導入自家的運送能力，也透過獨立的承包商負責運輸，也許可以視為FedEx的競爭對手。

根據FedEx的訪查，Amazon已經投入大量的資金以建立出貨中心、飛機及車輛網路，如同FedEx在許多國際間的競爭對手，都是由政府控制或補助的業者，它們相對擁有龐大的資源、更低的成本，也不太需要賺錢，比FedEx更有營運優勢。

假設Amazon進一步發展及擴張其自家的運輸能力，將會降低FedEx的營收，也會對FedEx的財務及經營狀況造成負面影響。

為了安撫投資人，FedEx也公開揭露其實Amazon對該公司的營收貢獻有限，在2018年只占了FedEx總營收的1.3%，同時FedEx也強調，將會持續服務日益擴大的電子商務領域客戶

開發人員在Chrome 78的Canary版本發現一項新功能，可強迫那些未提供深色模式（Dark Mode）的網頁，通通以深色模式呈現。

Chrome版本從73起，先是支援了macOS的深色模式，於Chrome 74支援Windows的深色模式，只要作業系統設定了深色模式，Chrome就可自動切換成深色模式，讓使用者在低光的環境下，也能舒適地使用瀏覽器。

Chrome 76則進一步支援所造訪網站的深色模式，當所造訪的網站具備深色模式時，它即會依照作業系統的設定而切換至深色模式。

還在測試中的Chrome 78，則提供了一項名為「Force Dark Mode for Web Contents」的新功能，使用者一旦將它啟用，就能強迫任何未支援深色模式的網頁變成深色模式，且同時支援Mac、Windows、Linux、Chrome OS與Android等平台。

由於該功能仍在測試中，尚不確定它是否會出現在正式版本中，Chrome 78穩定版預計於今年10月22日問世。

各大醫療院所中，過去二十多年來，習慣用「病安文化」作為與病人的溝通語言，最關鍵的要素就是「通報機制」，包括藥品、醫材，以及院內感染等。

衛生福利部資訊處處長龐一鳴表示，醫院負責推動資安的單位是資訊處，但也只是扮演溝通橋樑的角色，必須和業務單位、醫管會一起合作，共同推動資安才行。

所以，如果要讓醫院內的醫師與各單位職工都對資安有共識，必須用他們習慣的語言，例如：以病安文化作為共同溝通的基礎。

只要醫院從業人員形塑出「資安即病安」的共識，他認為，後續不論是推動醫院加入衛福部成立的H-ISAC（資訊資安分享與分析平臺），或將參與H-ISAC作為醫院評鑑的加分項目，推動難度會大幅度縮減。

衛生福利部資訊處處長龐一鳴表示，列為CI的64家醫院，年底前都要加入H-ISAC，也會成為醫院評鑑加分項目。（攝影／洪政偉）

政府鼓勵64家CI醫院，在今年底前加入H-ISAC

用聽得懂的語言溝通，溝通才不會無功而返。就醫院推動資安的角度而言，龐一鳴認為，「人」是最大的挑戰，因為各科別的醫生都有其專業，最好方式就是從醫院高層著手，例如，針對管理階層的院長來進行要求，或者是從資通安全管理法來規範，要求名列關鍵基礎設施（CI）的醫院，都須設立資安長。透過這種由上而下的溝通，都可讓資安重要性先立下基礎。

他也認為，當許多醫院接下來的目標，都是推動「智慧醫療」時，若能跟醫院同仁溝通觀念，也可以形成共識。舉例來說，若院方缺乏良好資安防護，作為智慧醫療基礎時，一旦遇到資安事故，容易因根基不穩而垮臺。

許多醫院目前也面臨資安困境，龐一鳴表示，有下列狀況：首先，是資安人力不足，醫院也有大小不一、分科精細、人員組成多樣化的情形；在醫療儀器的部分，也面臨種類繁多、設置分散且管理制度不一致；此外，醫療程序往往優先於資安考量，醫療儀器與資訊系統的可用性，也優於機密性。在法規部分，資安法只規範公立醫院及關鍵基礎設施醫院。最後，則是基層診所缺乏資安概念。

龐一鳴指出，打造跨醫院做資安情資分享與分析的H-ISAC，可以改善既有資安困境。目前CI醫院有64家，非CI醫院有四百多家，小診所有二萬家，而針對醫院釐清IT與OT系統並作風險盤點的工作，預計年底完成。

事實上，衛福部H-ISAC在2018年6月完成，有42家列為CI的醫院加入，預計2019年底前，64家列為CI的醫院，將會全數加入H-ISAC；至於作為醫院緊急通報應變的H-CERT平臺，也計畫在年底完成；作為二線SOC資安維運平臺，則在明年底完成。「但重點是，要鼓勵有更多的醫院加入並成為會員。」龐一鳴說，這也會成為醫院評鑑的加分項目。

 相關報導  打造國家級資安情報力

臺灣有三個重要的科學園區，都由科技部各個科學園區管理局負責，而在資通安全管理法中，沿用國土安全辦公室的關鍵基礎設施類別，將科學園區列為主要的關鍵基礎設施服務業者，依法需打造資訊資安分享與分析中心（ISAC）。

科技部資訊處處長薛大勇指出，臺灣各個科學園區有許多全球重要的關鍵產業業者，一旦爆發重大資安事件，可能影響國家經濟發展。

因此，科技部雖然只將科技園區管理局列為關鍵基礎設施服務提供者（CI），但該局打造的SP-ISAC，相較於其他關鍵基礎設施業者的不同，就是吸納大量企業加入。「光是2019年第一季，加入SP-ISAC的業者就超過九百間。」他說。

科技部資訊處處長薛大勇表示，將科技園區管理局列為關鍵基礎設施服務提供者（CI），可保護園區廠商的資安，降低對業者帶來的損害。　（攝影／洪政偉）

分享攻擊情資有成，吸引園區業者主動要求加入

薛大勇表示，行政院針對八大關鍵基礎設施業者，要求成立ISAC（資訊資安分享與分析中心），彼此資安能聯防，交換情資並掌握最新的攻擊手法。

其中，因為科學園區有許多民間企業，但這些業者當中，有些公司並不重視資安，寧可將大筆資金投資在研發項目，卻不投資在資安項目。因此，這些民間企業若加入SP-ISAC成為會員，即可享受到八大關鍵基礎設施業者打造的ISAC聯防，獲得互相通知、分享最新的資安攻擊手法，藉此保護園區廠商資訊安全，降低損害。

他坦言，SP-ISAC面對加入會員的廠商時，因為這些業者都不在資安法的管轄範圍，因此，並無法產生強制的約束力，相對而言，許多園區廠商的主管機關是經濟部，除非有爆發重大資安事件，才可能藉由主管機關的力量，要求做相關的行政檢查外，實際上，科學園區管理局對相關業者毫無強制力。

雖說科技部對於園區廠商沒有任何的約束力，但是，因為SP-ISAC努力主動分享攻擊情資有成，反而吸引多數園區業者主動要求加入。

目前，園區管理局都會針對監測負責範圍的油、水、電、交通、電壓，其他還有包括不斷電系統、備油和通關系統等，因此，要在園區設廠，都須符合設管條例程序規定，才能進駐園區，薛大勇指出，只要業者能進駐園區，皆可加入SP-ISAC。其中，竹科、中科和南科共進駐679家業者，與科學管理園區共用系統，後來開放周邊業者加入SP-ISAC，到今年四月底已突破九百家，推出的教育訓練課程供不應求，2018年只有6場，2019年增加為12場。

SP-ISAC在2017年12月由南科試營運，2018年12月推廣到中科和竹科；諮詢服務在2018年有兩百多次，但2019年第一季有150次以上。薛大勇指出，科技部在7月完成CERT平臺建置，2020年底完成二線SOC平臺建置，未來，將規畫會員付費，以點數鼓勵匿名回饋情資，針對付費會員提供網域監測服務。

 相關報導  打造國家級資安情報力

金管會大力推動F-ISAC，從2017年成立迄今，希望透過提供更多金融資安情資及良好會員滿意度，讓F-ISAC持續進化。今年四月底，有358個會員加入，包括銀行、證券和保險業（產險、壽險和保經代）、期貨、投信顧等業者。

金管會資訊處處長蔡福隆表示，F-ISAC不只提供情資，2018年還針對ATM及SWIFT提供教育訓練，並主動提供重大國外金融犯罪情資，而會員對於F-ISAC的滿意度如何？評價高達4.4分（滿分為5分）。

金管會資訊處處長蔡福隆指出，金融檢查將不會以F-ISAC的情資作為依據，也會退出F-ISAC運作，成為純監督者。（攝影／洪政偉）

F-ISAC要持續整合F-CERT與F-SOC功能

蔡福隆表示，今年底要完成F-CERT的建置，會整合在現有F-ISAC平臺中。他表示，金融業原本就有通報應變通報管道，資安事件也是循既有的通報管道，銀行通報到主管機關，再通報到F-ISAC。

不過，銀行爆發資安事件通常是自己找人處理，因家醜不外揚，而F-CERT扮演第二線的通報應變，偏重鑑識角色及技術支援，和會員要建立夥伴關係，「只有銀行第一線資安人員無法處理時，如資安鑑識，F-CERT才會出馬支援。」他說。

至於F-SOC，則與F-ISAC、F-CERT環環相扣，分析各個金融機構資安警訊，並提供其他單位參考，如F-ISAC的情資，加上F-SOC做關聯式分析等。今年下半，財金公司要做F-SOC研究案，會確定收哪些協定、資料如何關連分析，以及如何從錯誤中學習等內容。

F-ISAC在今年，除了提供好情資，避免爆發更大宗的資安事件，以及好的服務，也開設威脅獵捕等教育訓練課程，提升會員能力，並且鎖定DDoS演練。

蔡福隆表示，目前F-ISAC的成立，有來自政府的預算，預計在2021年，F-ISAC將會開始收費。未來F-ISAC也會提供更多更符合金融業者切身所需的資安情報，更貼切金融單位的需求，例如：ATM、資安人才、資安監控、協助提供金融資安實驗場域、提供攻防演練等等，以滿足會員所需。當然，也會進行國際交流，提供更先進的資安情資，例如，今年三月，F-ISAC加入美國FS-ISAC會員，從專人處理情資的過程，提升F-ISAC能力。

資安是吃力不討好的苦差事，沒人能做到百分之百防護，因此，F-ISAC要做好，往往要不計成本、盡力做，才可能達到目標。不過，F-ISAC和會員之間須營造出信任感，會員要能主動貢獻情資，這樣的生態才會朝向正面發展。

因此，蔡福隆表示，在金管會主委顧立雄大力支持下，也和所有金融業者取得共識，未來金融檢查，都不會拿會員在F-ISAC匿名分享的情資作為金融檢查的依據。他說：「唯有要打造金融業與F-ISAC的信任機制，F-ISAC才能夠長久經營下去。」

 相關報導  打造國家級資安情報力

在八大關鍵基礎設施服務的提供者中，交通部管轄的陸、海、空運業者種類多元、數量龐大，要如何打造一套資訊資安分享與分析中心（T-ISAC），降低相關業者所面臨的資安風險，是交通部的一大挑戰。

交通部科技顧問室參事兼管理資訊中心主任王穆衡表示，在資通安全管理法頒布後，各種交通運輸業者成為關鍵基礎設施服務提供者之一，也讓許多特定非公務機關開始意識到，要扮演好關鍵的關鍵基礎設施服務業者之一，必須要時時提高警覺。他也以高鐵公司為例，高速行駛的交通服務，原本就需要主動針對自然災害和各種資訊情報做判斷，以確保服務品質的穩定提供。

交通部科技顧問室參事兼管理資訊中心主任王穆衡表示，打造廣納各種國內外資安威脅情資的T-ISAC，相關業者也必須真正落實各自的資訊資產盤點，以及風險評估。（攝影／洪政偉）

資訊資產盤點與風險評鑑是重要的資安情報分享

王穆衡也說，許多交通運輸業者的系統，都是專屬或封閉的交通運輸的工控系統，要打造一個可以廣納各種國內外資安威脅情資的T-ISAC，同時，相關業者也必須真正落實各自的資訊資產盤點，以及風險評估。

交通部除了收集各種攻擊手法、攻擊標的、資安弱點、入侵攻擊情報、歷史事故，以及資訊系統與工業控制系統的國、內外資安威脅情資外，也納入高鐵和臺鐵等業者的資訊盤點，以及風險評估結果。

他說，藉由這些情資分享，已經針對交通領域提供了超過60則以上的資安情資，同時，可以為其他交通領域的關鍵基礎設施場域維護人員，提供更多有用資訊，以便做到必要的資安預防措施。

事實上，交通部在2017年提出T-ISAC專案，到2018年4月正式維運，過程中，除了T-ISAC外，還要求相關的運輸服務業者做風險評鑑，以及資訊資產盤點，今年更加強平臺的資安規畫、資安檢測及防護機制，最終希望可以為交通領域的資安資訊分享與資安聯防，建立堅實的基礎。

不過，這些來自於高鐵、臺鐵提供的資訊資產盤點、風險評鑑資訊，相關業者雖然知道其重要性，當下也都有防護措施，但他也提醒，這類工控系統或封閉系統的風險被盤點出來後，就應該要回到各自組織內部去解決這個問題。

換言之，這些不論是人力、設備或者是SOP產生的風險議題，對於其他業者而言，都是可以參考的警訊，而像是客運業者提供給客戶使用的App，多是經由委外開發而來的，如果業者可以事先提供相關的App委外開發的經驗分享，也能夠藉此協助其他業者降低不必要的資安風險。

 相關報導  打造國家級資安情報力

國家通訊傳播委員會（簡稱通傳會，NCC）是臺灣第一類、第二類電信服務業者主管機關，在資安議題還不是這麼熱門時，需要因應業務型態打造網路維運中心（NOC），以確保網路正常運作，一旦發生任何障礙通報，都必須要能夠在第一時間掌握。因此，通訊傳播委員會技術管理處處長羅金賢表示，確保電信網路的穩定與安全，則是通傳會最重要的任務。

為了落實「資安即國安」的政策方針，包括國家安全會議資通安全辦公室、行政院資安處，以及通訊傳播委員會，共同打造資安鐵三角，一起推動資安工作，確保數位國家安全，並同時帶動資安產業發展、培育資安人才。

羅金賢表示，因通傳會是網路電信業者的主管機關，身為資安鐵三角的任務之一，就是規畫並打造國家通訊暨網際安全中心（NCCSC），建立固網、行動網路、衛星、海纜、有線電視業者CATV及DNS監控系統，即時掌握網路運作狀態，縮短障礙排除的應變時間。

國家通訊傳播委員會技術管理處處長羅金賢表示，通傳會（NCC）扮演資安鐵三角一環。（攝影／洪政偉）

即時掌握電信網路運作，有效排除各種電信網路障礙

除了有效掌握各種網路電信的運作與障礙排除，羅金賢表示，通傳會更陸續打造資通安全分享與分析平臺C-ISAC、資安緊急應變中心C-CERT，以及二線資安維運中心C-SOC，透過建置資安事件分析通報分享系統，做到即時通報處理資安事件，並提升資安聯防效益。

在電信網路業者發生資安事件時，羅金賢表示，不論是一般使用者、伺服器或是傳輸的資安事件，甚至是障礙排除，例如：電力中斷、水災或是路由不當設定等疏失，都可透過NOC通報。

至於打造SOC（資安監控中心）是第一、二類電信業者都需要，尤其是第一類電信業者都要有SOC，做到自動化偵測與被動防護；在網路上還有布建誘捕系統（Honeynet），作為情資來源。

若要找尋攻擊來源，可以透過C-ISAC通報，知道攻擊IP位址來源、網段是屬於哪一家業者；C-CERT負責通報應變，將資安事件分成一到四級，並進行通報進度的監控。

羅金賢表示，C-ISAC主要傳遞資安情資的格式採用STIX，分成五大類情資，包括：資安訊息情資（ANA）、資安預警情資（EWA）、網頁攻擊情資（DEF）、入侵攻擊情資（INT）及回饋情資（FBI），每一類情資都依照重要性，分成低、中、高等級。

為了強化電信業者的資安防禦能力，通傳會也必須落實對電信業者機房的資安稽核，其他像是：電信一級、二級關鍵基礎設施防護演練、資安通報應變自動化物聯網安全標準導入及檢測等，羅金賢認為，都是該會提升資安防護能力並推動聯防時的重要任務。

其中，羅金賢特別指出，通傳會為了執行物聯網IoT終端設備、無線網路Wi-Fi、數位機上盒等設備的資安檢測，也打造了IoT資安檢測實驗室，希望用來研究各種產品的資安漏洞、作為示範攻擊的案例外，也能針對可疑的資安風險提出解決方案，並做到協助廠商開發符合資安設計的各種物聯網產品。

 相關報導  打造國家級資安情報力

經濟部管理的業務型態包山包海、種類繁多，政府為了強化對於關鍵基礎設施業者的資安管理，藉由依序打造各種相關的資安平臺，納管相關的關鍵基礎設施業者。

經濟部資訊中心主任馬正維表示，八大關鍵基礎設施業者中，經濟部同時肩負政府機關水利署提供的水資源關鍵基礎設施的管理，以及包括油、水、電等民間能源業者的管理。

由於我國政府揭櫫「資安即國安」的政策方針，加上資通安全管理法已經於今年一月一日正式實施，主管機關就可以善用資安法對於關鍵基礎設施服務提供者（CI）的規範，要求相關業者。

根據「第五期國家資通安全發展方案」（2017年～2020年），該部也擬定「經濟部關鍵基礎設施安全維護計畫」。馬正維說，為了強化能源及水資源關鍵資訊基礎設施的安全，便建置開發經濟部資安資訊分享與分析平臺（簡稱E-ISAC），並透過國家資安情資分享中心（N-ISAC）與其他領域ISAC進行串接，建立跨領域的資安聯防機制，並為關鍵資訊基礎建設的整體資安防護奠定基礎，提升能源與水資源領域關鍵基礎設施領域的資通安全。

2018年經濟部完成E-ISAC的建置後，便透過情資蒐集、分享與分析機制，與下屬機關完成情資交換，例如，向下和能源局PE-ISAC、水利署W-ISAC、國營事業中油、台電、臺水等ISAC介接外，也向上與N-ISAC介接。

以2019年1、2月為例，E-ISAC共發布38篇資安情資，包含來自國內外資安組織、N-ISAC、其他下屬ISAC之資安情資；他們亦分享20篇資安情資給下屬ISAC，並上傳3篇資安情資給 N-ISAC。該期間E-ISAC會員瀏覽資安情資，合計 442人次，已發揮情資交流分享效益。

「經濟部做事都要想到產業發展，」馬正維笑說，油、水、電的OT（營運技術）與IT是分開的，但多數臺灣資訊服務業者對OT並不了解。因此，便由經濟部出面說服油、水、電等相關業者，開OT測試場域（Test Bed），提供臺灣資服業者練功。

經濟部資訊中心主任馬正維指出，政府協調業者提供測試場域，強化臺灣資安業者實力。（攝影／洪政偉）

經濟部出面，要求油水電業者開放測試場域

為了讓相關的油水電業者對提供測試場域安心，他指出，經濟部也定下開放原則，包括：不影響油水電場既有的運作；資安業者不直接連至油水電場的工控設備；以及，臺灣資安業者對於收到各種測試資料都不外傳。

馬正維表示，在提供測試場域時，經濟部也堅持要由臺灣資安業者主導，透過與外國業者合作的方式，學習國外的作業方式，希望可以提升臺灣資安業者對OT系統的了解與掌握度。

由於能源及水資源領域的廠區維運人員，過去較少接觸資訊與資安相關技術與管理議題，且在OT環境下，多關注可用性與人身安全，並不了解OT安全的重要性，因此，馬正維認為，要如何提升廠商人員的資安意識是一大挑戰。

2020年預計建置二線SOC，但目前能源與水資源領域的業者，都是經由OT的入侵偵測系統設備的鏡射埠（mirror port），將資料匯出，但仍有安全性考量，因此，在無法取得資料的情況下，二線SOC如何有效運作仍是考驗。

 相關報導  打造國家級資安情報力

政府為了建構綿密的資安情資交換系統，鎖定八大關鍵基礎設施服務提供者的主管機關，以及六大直轄市政府，打造可蒐集、分析各種資安情資的ISAC平臺，ISAC之間，也將由國家級N-ISAC交換與分享情資。而透過如此完善的情資體系，將為臺灣提供更強而有力的資安防護

IBM的X-Force Red團隊實現了最新的軍艦攻擊，透過寄送具有網路攻擊能力的客製化單板電腦裝置，到目標企業或是特定人士辦公室，以主動或是被動的攻擊手法，監聽企業內部網路的資訊。X-Force Red團隊提到，經過他們的實驗，這個軍艦攻擊（Warshipping）的想法完全可行，駭客可成功對目標系統建立持久網路連接，並獲得完全存取權限。

在2005年美國企業TJX曾遭受一種稱為戰爭駕駛（Wardriving）的手法攻擊 ，駭客駕駛裝載無線裝置的車輛，在TJX店面停車場附近不停地徘徊，藉此滲透TJX企業網路，而最終數百萬TJX顧客資料被偷，TJX因此付出20億美元的財務損失代價。不過戰爭駕駛有其限制，特別是一輛車在同一街區穿梭數百次，難免令人懷疑，但X-Force Red團隊現在改良了戰爭駕駛攻擊，實現稱作軍艦攻擊的手法。

軍艦攻擊使用一次性、低成本的單板電腦，讓駭客得以身處遠方，卻能近距離的進行網路攻擊。技術上來說，所謂的軍艦是由單板電腦構成，這種裝置具有網路連線能力，並可以使用基本的手機電池電力運作，由於整體裝置體積不大，可以輕易地被藏在包裝盒底部或是絨毛布偶裡，製作成本低廉的特性，讓駭客可以一次寄送多個軍艦給攻擊目標，提高攻擊的成功率。X-Force Red團隊表示，他們自製的軍艦裝置成本約在100美元上下。

X-Force Red團隊提到，駭客可以將這個裝置調校為低功耗的裝置，並使用物聯網數據機，在軍艦寄送到目標的過程，維持和軍艦的通訊，他們在命令和控制伺服器上放置特定檔案，軍艦上線時便會檢查該檔案，決定保持開機或是進入休眠狀態。軍艦會透過掃描周圍Wi-Fi熱點取得GPS位置，並將座標送回命令和控制伺服器，當遠端得知裝置到達目標，便能開始下一步的攻擊行動。

軍艦可以執行的工作非常多，X-Force Red團隊讓軍艦竊聽受害者網路中的資料封包，將擷取到的雜湊（Hash）傳輸至後端伺服器，以破解無線網路共享金鑰取得Wi-Fi連線權限，另一方面，讓軍艦裝置建立一個流氓Wi-Fi訊號，誘騙目標使用這個Wi-Fi，以擷取用戶帳號密碼等真實憑證，以更進一步獲取企業系統的存取權限，接下來便能使用漏洞破壞系統，建立永久的存取點。

透過軍艦攻擊，X-Force Red團隊得以成功攻擊企業，竊取員工敏感資料，也能取得用戶的憑證。實際實作證明，軍艦攻擊能攻陷目標網路，並取得系統完全的存取權限，X-Force Red團隊提到，這項攻擊能夠成功的重點，在於企業疏於對員工包裹的控制，特別是網路購物節等促銷活動，企業員工會訂購大量物品送至辦公室，而這讓駭客有機可乘。

要防範軍艦攻擊有幾項重點，X-Force Red團隊提到，企業應該要以控制訪客的方法，來控制寄送到企業包裹，並設置包裹政策，不鼓勵員工在公司簽收個人包裹，企業也可以考慮在收發室設置掃描裝置。在無線網路安全上，讓裝置只連線到受信任的無線網路，並且避免在企業環境中，使用預共享的金鑰，而X-Force Red團隊特別強調，無線網路強度不屬於安全控制的方法之一，減弱Wi-Fi訊號無法有效避免軍艦攻擊。

打擊網路犯罪需全球合作，臺執法單位加入No More Ransom計畫

自2016年7月設立的No More Ransom平臺，最近剛滿3週年，至今加入合作的全球執法機關，已增至39國，臺灣今年也出現其中，這讓我們關注到此計畫的新進展。該平臺提供超過100種勒索軟體的解密。目前已幫助超過20萬名勒索軟體受害者，網站也支援正體中文介面。

為了打擊網路犯罪，這項專案計畫的合作夥伴，不只是歐洲多國執法機關，還有韓國、哥倫比亞、香港、澳洲等。而臺灣電腦網路危機處理暨協調中心（TWCERT/CC），在去年5月就成為計畫夥伴，開始協助平臺的正體中文網頁翻譯。臺灣內政部警政署刑事警察局，也在今年4月加入這項計畫。

遭遇勒索軟體的受害者，若要查詢是否已有解密工具，在前往該專案網站時，可選擇正體中文的語系，接著在「解碼警長」的頁面上依指示操作，像是上傳受感染的檔案，或是輸入任何在勒索訊息中所看到的電子郵件、網站網址、洋蔥網路網址或比特幣網址。在民眾查詢之後，一旦平臺辨識出目前已有解鎖工具，可解決用戶的問題，就會提供下載連結。更多內容

智慧掛鉤新創靠AI分析用電預測設備老化，讓聯電、日月光和中華電信都買單

攝影／王若樸

一家臺灣智慧電表新創，靠著5公分大小的智慧掛鉤來追蹤設備用電，讓泰國7-11都買單，現在進一步結合深度學習技術，還可以用來偵測設備老化問題。展綠科技花了1年累積不同產業第一線的用電資訊，結合專業人員知識（比如特殊設備的用電異常值）打造深度學習模型，根據不同設備和用電型態，發展出了3種AI預防性維護能力，例如偵測設備老化、用電異常偵測和用電趨勢偵測，甚至有半導體業者用來檢測不正常停機。不只聯電、日月光、東元電機買單，連中華電信、遠傳都用來監測基地臺設備。

「智慧掛鉤的最大優勢，就是可大量部署於每個電器，像是電燈、飲水機、工廠機具或實驗設備等。」展綠科技執行長吳仁作解釋，智慧掛鉤高約5公分，就像扣環一樣，只要扣在電器的電線上，就能靠電磁感應測得當下的用電資訊，比如電流、溫度等。還可以透過藍芽傳輸來串接Gateway，再透過NB-IoT、Sub-1G或WiFi將資料傳輸至雲端平臺，來進行用電安全和節電分析。吳仁作解釋：「一天一人至少可安裝200個。」不需像一般數位電表得重新拉線、佈線。

這款智慧掛勾最小可測得千分之一安培，最大可測得3千安培，不只工廠大型設備用電都能監控，還可追蹤吹風機、電燈、電視、飲水機、實驗設備等電器。而臺科大就用智慧掛鉤來追蹤236間實驗室和100臺飲水機的用電，不像一般智慧電表只用於管理總表（比如樓層總表或整棟大樓總表）。不過，智慧掛鉤連同安裝和軟體費用，一批50個要價30萬元，平均一個6千元。

展綠科技成員來自無線通訊和電力控制領域的工程師，過去經常得用複雜的工具，才能檢測出工廠各種設備的用電，這促使他們思考，「要是不用這些工具，是否也行得通？」這偶然的發想，竟催生了智慧掛鉤。更多內容

HPE產品銷售模式大改變，訂閱月費仍有低消規定

HPE在自家年度大會Discover宣布了新的產品銷售策略，從2022年起，旗下所有產品將以訂閱、服務的形式提供。最近HPE也首度在臺解釋新銷售模式的改變。

HPE早在10年前，就曾推出了訂閱服務的前身制度，也就是可按用量計價的GreenLake類別的解決方案，來提供企業就地部署的IT即服務（IT as a Service）。這也將成為所有HPE產品，包含軟體、硬體和服務，未來全面可支援的計價模式之一。

HPE現有5種GreenLake服務，包含了運算、資料庫、私有雲、儲存和虛擬化，來鎖定沒有機房，或缺乏IT人力建置基礎架構的企業。

HPE技術服務事業處總經理劉士毅表示，新的銷售方式是一種消費模型（Consumption Model）的計價方式，不同於其他業者和HPE自身的租賃模式，新模式不是分期攤銷服務總費用，而是依使用量計費（pay by use），HPE除了提供產品本身，還包括了監控技術和維運服務。

採用GreenLake解決方案的用戶，要先提出每月的產品基本用量，及預估的擴充用量，在合約期間內，每月付一筆承諾用量的費用，而HPE會評估緩衝用量，先在企業內部署擴充用量所需的產品，當企業一超過基本用量時，可立即使有額外的設備，並按實際使用到的額外用量來追加當月費用。

劉士毅指出，GreenLake可以供企業減少過度投資的設備成本，也可避免設備資源不足要追加時，IT擴充從開標、採購到裝機，所需花費的部署時間。

不過，劉士毅補充，既有銷售模式仍會存在。HPE會繼續提供軟硬體整合的產品，還有以軟體為主的授權模式，企業用戶可依需求選擇。更多內容

臺灣資安新創獲淡馬錫旗下基金B輪投資

攝影／洪政偉

奧義智慧營運迄今滿2年，在經歷新加坡淡馬錫旗下的Pavilion基金詳細的盡職調查（Due Diligence，簡稱 D.D.）過程後，獲得565萬美金的B輪創投資金；原本合作的創投業者華威創投CID集團，於A輪投資250萬美元的創投資金。

奧義智慧共同創辦人兼執行長邱銘彰表示，該公司兩輪創投資金約為新臺幣2.5億元，透過這樣的資金挹注，也協助公司可以快速發展，有助於奧義智慧成功進軍東南亞市場，並且已經在日本正式成立子公司服務客戶。更多內容

系統重大瑕疵害用戶卡片遭盜刷，日本7Pay確定下架

日本7-Eleven開發的電子支付App 7 Pay在7月上市後二天，隨即傳出遭駭導致近千名用戶信用卡被盜刷。7-Eleven母公司7&i宣布將在9月30日關閉7pay。

對於7pay這次離譜的表現，外界普遍認為該公司可能為了市場競爭，急於將服務推出上線，卻導致基本的安全機制設計都疏忽。但這不僅造成了實質損失，引起軒然大波，並讓消費者對他們失去信心，對於全球支付業者而言，更應引以為戒。更多內容

傳統衛星定位不夠精準，工研院展示戶外公分級定位技術

攝影／蘇文彬

經常使用汽車導航的開車族對衛星定位一定不陌生，但衛星定位不夠精準造成困擾也時有所聞，像是定位在河中，或因誤差過大而錯過了重要的路口等等。

「一般衛星定位誤差可能達數公尺，如果搭配的圖資也不夠精確，就可能產生誤差，只有公分等級的定位技術，結合同樣高精準的圖資，才能解決這個問題」，工研院資通所技術副組長曾銘健表示。此外，傳統的衛星定位也容易受到室內例如隧道，或是高架橋等地形限制而無法定位。

工研院在近日舉行的ITRI TechDay上展示了自行研發的公分等級定位技術。曾銘健指出，一般衛星定位技術是利用電碼觀測（Code Phase Measurement），誤差可能在5到20公尺之間，技術改良可以小於1公尺，未來技術將朝向載波相位觀測（Carrier Phase Measurement）發展，以接收器接收衛星定位系統估算的載波數轉換為距離來進行定位，又分為單頻、單星系、多頻、多星系等不同接收方式，定位誤差縮小在1到10公分。

而載波相位觀測還包含RTK（Real Time Kinematic）即時動態定位、PPP(Precise Point Positioning)精密單點定位，兩者的最大差別在於後者不需要地面參考點。「更精準的衛星定位技術，不論是自駕車、無人機、無人船都需要，若結合陀螺儀等感測器數據，讓無人載具能夠更安全的運行」。未來，戶外的公分級定位技術可被應用在農耕機、建築、監控、地震、火山、海嘯或物流等等。更多內容

玉山銀行攜手臺大成立AI研發中心

繼去年底與交大合作後，玉山銀行近期攜手臺大成立「玉山-臺大AI暨金融科技研發中心」，要借重學研界的研發能量，深化AI在金融科技場景的應用。為此，臺大在校內成立研發基地，玉山則提供研究經費和業界資源，包括多年來累積的各類金融資料，以及智能金融處的研究人員。

玉山金控科技長陳昇瑋表示，一般產學合作通常是業界交付解決不了的問題給學研界，業界介入程度較低，因此，從研發到技術落地也會耗費較久的時間；但玉山自己已經有智能金融處的研發團隊，原先就針對100多個不同的金融科技命題做研究，此次合作更是直接選定不同領域專長的教授，配合教授專業進一步挑選命題，能加速技術的落地應用。更多內容

Nvidia修補Windows GPU重大漏洞

八月初Nvidia修補了旗下GPU顯示器驅動程式的5個安全漏洞，相關的漏洞可能造成本地端程式執行、服務阻斷或擴充權限，涉及GeForce、Quadro、NVS及Tesla等型號的產品。

這些漏洞包括CVE‑2019‑5683、CVE‑2019‑5684、CVE‑2019‑5685、CVE‑2019‑5686與CVE‑2019‑5687。當中最嚴重的是CVE‑2019‑5683，此一漏洞存在於使用者模式的影像驅動程式追蹤記錄器元件，當駭客存取系統並建立一個硬連結時，韌體將無法偵測此一硬連結攻擊，可造成程式執行、服務阻斷或權限擴充等後果。風險等級為8.8。更多內容

IBM被控「砍了再找」 裁員刻意鎖定高齡員工

英國媒體The Register報導，IBM遭前員工控告為了加速組織換血，在最近幾年內採取歧視性作法大量裁減5到10萬人，意在裁減資深員工後改招聘新人。

本案起於IBM前員工Jonathan Langley因被裁員，向德州奧斯汀地方法院控告前東家歧視高齡員工。59歲的Langley時任IBM PureApplication部門的業務主管，在2017年初遭IBM裁員，隨後想在內部另尋新職，卻被以HR會刁難、需要高層主管同意，以及公司有外部招聘要求的理由而被拒絕。被裁員的Langley後來取得多項內部文件證明，IBM是有系統性裁減高齡員工同時招募「千禧世代」（18到35歲）、資淺專業人士（early professional）、 資淺新進員工（early professional hires）來降低公司的平均年齡。更多內容

舉發思科賣問題軟體給政府，揭弊者獲賠百萬美元

媒體ZDNet報導，網通設備大廠思科因為從2008年到2013年間，銷售有安全漏洞的軟體產品給美國政府遭外包商舉發，今年八月同意賠償美國政府860萬美元達成和解，而舉發者也因吹哨者保護條款，連帶獲賠160萬美元。

本案起於思科在2008年到2013年之間，向美國多個州政府銷售名為影像監控管理員（Video Surveillance Manager，VSM）的瑕疵軟體。這個套件軟體源自思科2007年收購的Broadware，思科藉此取得監控攝影機及儲存錄製影片等技術。2008年10月，思科外包商NetDesign位於丹麥的員工James Glenn發現思科VMS套件有多項漏洞，可能讓駭客未授權存取影像資料、遠端關閉攝影機，甚至存取中央伺服器。Glenn隨後向思科通報此事，但思科並未著手修補，也未向政府主動揭露漏洞，之後更持續對外銷售這些有漏洞的軟體產品。

Glenn隨後舉發此事，包括美國聯邦政府、哥倫比亞特區及包括加州、紐約州等16個州政府，於2011年控告思科違反美國聯邦防制不實陳述法（False Claims Act）及州法並要求賠償。此外，本案也允許Glenn對思科提出「公益代位訴訟」（qui tam action），這類訴訟旨在鼓勵內部人士檢舉告發。更多內容

AWS開源關聯式與NoSQL資料庫的通用查詢語言

圖片來源／AWS

AWS推出與SQL相容的查詢語言PartiQL，只要資料庫查詢引擎提供PartiQL支援，使用者就能以PartiQL單一查詢關聯式資料庫的結構化資料，以及開放資料格式中的巢狀資料或是半結構化資料，甚至還能用來查詢NoSQL或是文件資料庫中無固定結構（Schema-less）的資料。

用戶可以使用PartiQL來查詢關聯式資料庫，像是在Redshift實作交易或是資料分析等應用，或對於Amazon S3資料湖泊的開放資料格式，同樣能使用PartiQL對巢狀資料與半結構化資料例如Amazon Ion格式進行查詢，另外，PartiQL也可用於文件資料庫等NoSQL資料庫，查詢無固定結構的資料。更多內容

Google在Apigee API管理平臺新增了API安全報告功能測試版，除了讓企業可以確保API服務符合安全法規之外，還能透過分析用戶行為，即時保護用戶敏感資料，而當API發生安全事件時，也能快速地診斷問題發生位置。

不少企業使用API作為連接關鍵應用程式的標準，營運團隊需要隨時監控並維護API服務的運作狀況，避免在內部或是外部遭到濫用，而現在Apigee API管理平臺加入的安全報告功能，其主要具有3項核心功能，包括安全法遵、資料保護以及診斷功能。

安全報告功能提供營運團隊更全面的API服務分析能力，讓管理員能夠確保企業提供的每個API，皆符合安全政策以及法遵要求，管理員能檢查代理之間的流量，或是配置安全和擴充套件政策並監控虛擬主機連接埠的HTTPS和非HTTPS流量。

另外，API安全報告還能讓管理者快速掌握API鏈中，發生安全事件的位置，並診斷其事件發生的原因，透過檢測流量模式中的異常狀況，區分安全和不安全流量，鎖定受影響的應用程式和目標，以大幅降低事件平均檢測時間。API安全報告功能提供API用戶的行為分析報告，助企業保護敏感資料，還能用來監控組織正在存取和輸出敏感資訊的人，並使用模式分析辨識可疑行為。

Check Point的安全研究人員Eyal Itkin在本周舉行的黑帽大會（Black Hat）上踢爆，他們在去年10月曾向微軟提交一個遠端桌面協定（Remote Desktop Protocol，RDP）漏洞，但當時微軟不以為意，一直到微軟察覺該漏洞危及Hyper-V，才申請了CVE-ID漏洞編號並於今年7月修補。

RDP為微軟所開發的私有協議，可讓使用者或IT人員連結遠端電腦，除了Windows用戶之外，Linux與macOS用戶也使用了許多開源的RDP客戶端。

RDP的用法通常是利用客戶端程式來連結安裝於遠端電腦上的RDP伺服器，以便存取及控制遠端電腦，也提供壓縮的影片串流及剪貼簿分享等功能，而Itkin則在微軟的RDP客戶端程式（mstsc.exe）的剪貼簿分享功能上，發現了許多漏洞，其中之一是允許使用者把一組檔案複製到另一台電腦上，等於是允許RDP伺服器把任意檔案存放到客戶端電腦上，例如將惡意的腳本程式置放客戶端的啟動（Startup）文件夾中，只要重新啟動就會執行，而讓駭客掌控客戶端電腦。

Itkin在去年10月就向微軟提報了該漏洞，微軟在同年的12月回應，承認此一路徑跨越（Path Traversal）漏洞雖然是有效的，但並未符合微軟的維修門檻，因此不會申請漏洞編號，也不打算修補。

於是（https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp...）Itkin在今年2月發表了有關此一RDP漏洞的文章，引來了許多迴響，其中之一是有開發人員詢問該漏洞是否會波及基於同樣協定的Hyper-V，（https://research.checkpoint.com/reverse-rdp-the-hyper-v-connection/）而讓Itkin展開進一步的研究。

Hyper-V為微軟所研發的虛擬化技術，它既被應用在Azure雲端上，也是Windows 10上的虛擬化產品，它具備圖像使用者介面，以讓使用者能夠管理本地端或遠端的虛擬機器。

Hyper-V中有一個增強工作階段（Enhanced Sessions）模式，啟用後可重新定向本地端的裝置與資源，還具備了剪貼簿同步功能。Itkin發現它此一同步功能的設定介面與RDP一模一樣，而且可用同樣的腳本程式開採，但這卻是一個因RDP漏洞而起的Hyper-V guest-to-host虛擬機器逃逸漏洞（Hyper-V guest-to-host VM escape）。

這意味著對於仰賴其它軟體函式庫的Hyper-V管理員而言，它繼承了所使用的函式庫的所有安全漏洞。

Itkin再向微軟提報了此一發現，這一次微軟慎重其事地於7月修補了此一編號為CVE-2019-0887的安全漏洞。

微軟還特別把此一事件當成研究案例，包括感謝Itkin的協助，且除了作業系統的修補之外，未來也將更重視系統安全漏洞對雲端環境的影響。

一如上個月媒體報導，通訊晶片大廠博通（Broadcom）周四宣佈以107億美元現金，收購賽門鐵克（Symantec）的企業安全業務以強化軟體業務，而賽門鐵克仍然保有消費性安全產品，包括身分防護服務LifeLock及諾頓（Norton）防毒軟體。

本收購案已獲得雙方公司董事會通過，還需經過美國、歐盟、日本主管機關核准，預計在今年年底前完成。而在收購後，博通將擁有賽門鐵克品牌，並將之整合到該公司產品中。

彭博社及路透社7月初分別報導博通收購賽門鐵克的消息，但隨後又傳出賽門鐵克嫌出價太低而一度協商破裂。

博通過去曾企圖收購高通但宣告失敗，不過這家網通晶片廠商去年成功以189億美元收購組合國際（CA），今年再下重金買下軟體公司。賽門鐵克企業安全產品涵蓋端點安全、Web安全服務、雲端安全及資料外洩防護。利用博通現有通路銷售該公司產品，有助於多元化產品組合並帶進新營收。

博通執行長Hock Tan表示，「賽門鐵克的企業安全業務是業界領導者，發展出某些全球最強大的防護解決方案，協助企業確保從端點到雲端的資料。他也預計將關鍵基礎架構軟體銷售給全球2000大客戶。

賽門鐵克臨時執行長Rick Hill指出，這樁收購案將使其公司聚焦消費網路安全業務Norton及身份防竊訂閱方案 LifeLock。

CNBC報導，美國啟動對華為出售關鍵零組件的禁令直接衝擊博通，迫使其調降6月營收預測。博通執行長Tan指出，加碼軟體有助於平穩公司業務，賽門鐵克產品也可和之前收購的Brocade及CA，創造交叉銷售的機會。

賽門鐵克企業安全業務2019會計年營收達23億元。博通則估計2019年會計年度營收為225億美元。消息公佈後，賽門鐵克盤後股價上揚逾5%，博通則上漲1%。

Uber在8月8日公布該公司今年第二季財報，儘管營收成長14%，達到31.66億美元，但因營運虧損再加上公司上市後的股票獎酬，讓Uber該季虧損了52.36億美元。

如果不計算39億美元的股票獎酬支出，Uber第二季依舊虧損13.36億美元，比上一季虧損的10.12億美元增加了32%。財報公布後，Uber當天的盤後股價下滑了6.21%，為40.30美元。

在今年5月10日，以45美元發行價登上紐約股市的Uber，在這幾個月以來的股價從未回到45美元的水準。

Uber執行長Dara Khosrowshahi向CNBC透露，2019年是Uber的投資高峰年，預期2020與2021年的虧損會縮小，而且他認為Uber最終會走向損益平衡及獲利。

其實不只是Uber，該公司在共乘領域的競爭對手Lyft，也才在本周發布了第二季財報，Lyft該季創下8.67億美元的營收，成長72%，但同樣也虧損了1.97億美元。看來共乘業者還在大規模燒錢中，很難在短期內損益平衡或達到獲利。

用iPhone量心率的用戶要注意了。App Store上一個誘使用戶量測心率卻藉此騙取89美元的詐騙app，在被蘋果移除半年後，再度出現在App Store上。

9to5Mac報導，這個名為Pulse HeartBeat的app去年11月被蘋果移除，但最近又在巴西出現，它甚至還在推特打廣告吸引無辜受害者。

Pulse HeartBeat是以具有Touch ID的iPhone用戶為目標。當使用者下載並開啟時，它會要求使用者食指按著Home鍵以「量測心率」，此時它會調暗iPhone畫面亮度以遮掩真正的螢幕畫面。事實上，畫面上正出現iPhone對程式內購買（in-app purchase）重覆性收費要求用戶認證的對話框。如果用戶Home鍵之前曾註冊Touch ID的指紋，則按Home鍵的動作會完成購買，並支付一年巴西幣340元，約當89美元的訂閱費。

不過蘋果似乎已採取動作，因而這款app已未出現在App Store上。