美國聯邦大陪審團於本周起訴曾在Google與Uber任職的 Anthony Scott Levandowski ，指控Levandowski盜取商業機密。

現年39歲的Levandowski是在2009年至2016年1月間，於Google的自駕車專案擔任工程師，離職前Levandowski負責帶領LiDAR團隊，該專案一直到2016年底，才獨立成為Alphabet的自駕車子公司Waymo。

根據起訴書的描述，Levandowski在離職的前幾個月，開始自Google下載與LiDAR及自駕車技術相關的工程、製造與商業文件，包含電路板原理圖、安裝及測試LiDAR的指南，還有內部的追蹤文件；在他取得這些文件的同時，還參與了其它兩家Google自駕車競爭對手Tyto LiDAR及280 Systems（Otto）的營運。

Levandowski在2016年離開Google之後，立即創立了Otto，而Uber則在2016年的8月買下Otto，Levandowski隨之加入了Uber。

Waymo則是在2017年控告Uber及Levandowski竊取商業機密，指控Levandowski盜走Google自駕車的機密文件並協助Uber開發相關技術。Uber最後開除了Levandowski，並傳出與Waymo達成和解。

美國檢察官David Anderson表示，每個人都有權換工作，卻沒有權利在換工作的時候中飽私囊，竊盜並非創新。

Levandowski被指控了33項與竊取商業機密有關的罪名，若被定罪每項罪名最高將面臨10年的有期徒刑與25萬美元的罰款，另再加上賠償金額。

調查顯示，在高階智慧型手機銷售減速、消費者持有手機時間拉長等因素拖累下，第二季全球賣出的智慧型手機僅3.68億支，較去年同期下跌1.7%。

研究機構Gartner分析師Anshul Gupta指出，上季高階智慧型手機需求減緩甚於中低階機種。為刺激消費者換機欲望，手機廠商把許多原本高階手機才有的多個前、後鏡頭、邊框更窄、高蓄電量電池，都加到較便宜的機種上。

前五大業者中，三星在多季連續下滑後，藉中階機種銷售亮眼激勵首見成長。華為5月間面臨美國祭出禁令在海外市場遭遇重創，但大中華區因強勢行銷及品牌定位讓華為創下成長31%的史上最佳成績，全球市佔由去年的13.3%再擴大為15.8%，拉近和三星（20.4%）的差距。三星和華為分別成長3.8%和16.5%，兩者囊括全球超過三分之一市場。

反觀蘋果則因中國市場銷售不振，加上新機功能改進不足以吸引消費者換機，上季再次衰退。Gartner估計iPhone出貨較去年同期下滑14%。根據蘋果7月公佈的上季財報，雖然蘋果不再公佈iPhone出貨量，但iPhone營收大減12%，也使得iPhone營收佔比首度小於一半。

在全球區域市場方面，中國因手機業者一舉出清4G手機，巴西則因景氣復甦，分別增長0.5%及1.3%，是全球前五大市場中唯二有成長的區域。

Gartner預估，2019年智慧型手機市場仍然欲振乏力，全年僅賣出15億支。

本月初IDC也公佈其全球智慧型手機市場報告，顯示比去年同期下滑了2.3%，華為則出貨量成長8.3%。不過和Gartner 不同，IDC認為全球衰退原因出在美國和中國市場嚴重下滑。

卡巴基斯實驗室（Kaspersky Lab）本周指出，該公司的研究人員在Google Play上的CamScanner程式發現了惡意程式，且CamScanner的全球下載次數超過1億次。Google在收到該實驗室的通知之後已將CamScanner下架。

CamScanner為一文件掃描程式，只要拍下文件就能利用光學字元辨識技術將照片變成文字，還能存成PDF檔以便分享，號稱在全球200多個國家有1億個用戶，也曾被時代周刊列為手機上最好用的50個程式之一，主要營收來源包括廣告及程式內功能購買。

然而，卡巴斯基發現，CamScanner最近更新的幾個版本，都含有名為Trojan-Dropper.AndroidOS.Necro.n的惡意模組，該模組是藏匿在CamScanner的一個廣告函式庫中，猜測是來自於與CamScanner合作的不良廣告主。

Trojan-Dropper.AndroidOS.Necro.n是個木馬下載器，它能解壓縮與執行其它的惡意模組，例如用來展示侵入式廣告，或替用戶註冊付費訂閱服務。

研究人員指出，從CamScanner的案例中可看出，就算是來自官方的程式市集、擁有良好的聲譽，甚至是有數百萬筆的正面評價，只要透過更新，一個原本合法的程式在一夜之間就能變成惡意程式。

值得注意的是，CamScanner在不同Android裝置上的版本別不一，許多版本可能含有該木馬下載器，卡巴斯基則建議使用者應安裝可靠的防毒程式來保護裝置的安全。

Google Maps是許多人必備的導航工具，它提供走路、開車或搭乘大眾運輸系統的路線指南，而Google在本周宣布，即將更新的Google Maps將整合共乘與單車的導航功能，讓使用者能夠更方便地完成第一哩路或最後一哩路。

例如當使用者要從家中出發到朋友家時，可能離車站有段距離，那麼就能透過Google Maps選擇共乘服務，或者是在交通尖峰時段時趕上班，也許騎腳踏車到車站是最好的選擇。

未來當Google Maps用戶輸入目的地查詢時，只要點選路線，再選擇「運輸」（Transit）標籤，就會看到結合共乘及單車的路徑。

假設選擇的是共乘，Google Maps會秀出預測的車資、等待的時間、是否塞車，以及公車或火車離開的時間，亦允許使用者選擇喜愛的共乘服務供應商。若選擇的是單車，則可看到替單車量身打造的路線。不過是哪一種，Google Maps都會提供整段路程的估計時間與預計到達時間。

此一新功能預計在未來幾周，部署至全球30個國家的Android與iOS平台上，之後亦會擴大至其它市場。

0822-0828一定要看的資安新聞

＃金融安全

俄羅斯駭客組織攻擊全球30國銀行掠財，臺灣為亞洲首要目標

圖片來源／Group-IB

安全公司Group-IB偵測到名為Silence的俄羅斯駭客組織，近年對全球超過30國銀行發動攻擊以竊取財產，而臺灣是這個組織在亞洲攻擊最頻繁的目標。

根據該公司分析，Silence曾在近期的一個月內，發出17萬封偵察式電子郵件，其中亞洲有8萬封，而臺灣以2.1萬封居榜首，其次是馬來西亞（1.6萬封）及南韓（8,800封）。值得注意的是，一旦驗證為有效電子郵件信箱後，駭客就開始發送附有攻擊程式的惡意郵件，接著以其工具滲透受害銀行的內部網路及橫向移動，如果金融機構安全防護技術未能偵測到，最後駭客得以控制信用卡處理中心、並以Atmosphere木馬或名為xfs-disp.exe的程式控制提款機在特定時間吐鈔，並由外部車手取款。更多內容

＃容器管理平臺安全　＃K8s

受HTTP/2漏洞波及，Kubernetes釋出安全更新

Netflix、Google及CERT/CC在日前揭露了攸關HTTP/2實現的8個安全漏洞，本周容器管理專案Kubernetes指出，用來打造Kubernetes的Go語言，受到其中兩個漏洞的波及，導致所有版本都受到相關漏洞的影響，可能造成服務阻斷。隨著Go已經釋出1.12.9與1.11.13版本，來修補這兩個漏洞，而K8s則是基於Go的修補釋出1.15.3、1.14.6與1.13.10版。因此，K8s用戶應儘快升級到最新版本。更多內容

＃筆電內建軟體安全　＃聯想

聯想電腦預裝管理軟體暗藏可被駭客接管系統的漏洞

在聯想筆電中的Lenovo Solution Centre（LSC）裝置管理軟體，是產品預載的測試和故障排除工具，但最近被安全廠商Pentest Partners揭露有一重大漏洞，而且官方可能已經終止支援。

該軟體是聯想自2011年開始，就預安裝在所有聯想筆電、平板等裝置中，表示聯想產品存在風險可能高達8年之久。簡單來說，這項漏洞來自判別式存取控制表（Discretionary Access Control List，DACL）覆寫，即電腦中高權限的行程，無差別覆寫掉低權限用戶可控制的檔案權限。駭客將可利用其排程作業執行權限升級攻擊。研究人員呼籲聯想用戶電腦及早移除LSC，而聯想則已呼籲用戶升級到Lenovo Diagnostics。更多內容

＃主機委外安全　＃Hostinger

網站代管業者Hostinger遭到駭客入侵，危及1,400萬名客戶

圖片來源／擷取自Hositnger

以價格平民為主打的網站代管業者Hostinger，25日在官方部落格上發布資安公告，表示在上周察覺遭到駭客入侵，駭客可能存取1,400萬名客戶的資訊，包括客戶的使用者名稱、電子郵件帳號與雜湊密碼，為了以防萬一，他們已重設所有客戶的密碼。根據Hostinger的說明，他們是在8月23日收到警告，指出有一臺伺服器被第三方擅自存取，該伺服器存放了一個認證Token，可進一步存取該站系統的RESTful API Server，而此一API資料庫，則能夠用來查詢客戶與其帳號的細節。目前該公司正在調查外洩原因與進行內部稽核。更多內容

＃帳密安全

Google Chrome可能內建通知密碼外洩的功能

隨著密碼外洩情形日漸嚴重，Google Chrome團隊在今年推出Chrome外掛Password Checkup後，計畫將這類能在用戶登入網路服務時，主動檢驗密碼是否外洩的通知功能，直接內建於新版Chrome。

近日BleepingComputer發現，這個名為「密碼保護」（password protection）的功能，將出現在Chrome的密碼管理員中，提供開啟與關閉的選項。而針對企業用戶，Google則會提供名為Password Leak Detection Enabled的政策，可供管理員開啟、關閉這項密碼保護功能。目前這項功能還在開發中，但可在Chrome 78 Canary版的指令中找到相關選項。更多內容

＃漏洞獎勵計畫　＃瀏覽器隱私工具

Chromium-based Edge上市前最後預覽版釋出，微軟提供最高3萬美元請大家抓蟲

微軟即將推出基於Chromium瀏覽器核心架構的Edge瀏覽器，近期他們釋出針對首個官方Beta版，包含Windows 7、8/8.1、10及macOS版本，同時宣布將擴大Edge瀏覽器的漏洞獎勵計畫，並提供最高3萬美元的獎勵。

在此Beta版上，提供了今年宣布的Edge隱私工具，包含Basic、Balanced 到Strict 3種層次的上網隱私保護，目前它還是實驗功能，但在Beta版已可開啟。其他商用功能方面，包括整合Bing AI及Microsoft Graph個人化能力的企業搜尋功能Microsoft Search、支援舊網頁的IE模式，以及可過濾不安全網站的Windows Defender Application Guard等。更多內容

＃APT攻擊　＃間諜行動　＃生醫產業

FireEye：中國駭客集團相準癌症研究中心，盜取新藥配方製程

內文：資安業者FireEye在最新的資安報告《Beyond Compliance: Cyber Threats and Healthcare》中指出，中國的網路間諜行動鎖定了醫藥研究人員，雖然無法具體評估中國駭客的破壞規模，但可能已經對該產業產生了影響。目前他們已經發現有多個中國駭客集團，鎖定醫療照護產業的研究展開APT攻擊，且對癌症相關研究特別感興趣，這符合了中國因癌症致死的案例愈來愈多的現象。他們並推測，這可能與中國所提出的中國製造2025政策有關，該政策計畫讓中國在2025年邁入製造強國之列，而鎖定醫療研究與資料的間諜行動，將讓中國比西方國家的競爭對手更快推出新藥。更多內容

＃資料外洩

香港立場新聞員工遺失筆電，包含兩萬筆贊助資料，已通報私隱署

圖片來源／擷取自立場新聞粉絲專頁

於2014年成立，總部位於香港的非牟利網上媒體「立場新聞」，在本月24日於粉絲專頁上發布訊息，該公司負責處理會員和贊助資訊的員工，在22日遺失包含相關資料的筆電。從影響範圍來看，目前他們已經公布初步資料外洩範圍，共23,967項贊助交易記錄，包括贊助人姓名、贊助金額、電子郵件這三項資料，其中16,472項記錄包含贊助人地址、37項有銀行戶口號碼、16項有電話號碼，而這些資料不包括信用卡資訊。該公司總編輯鍾沛權並表示，他需要為此事件負上最大責任，因為過去兩個月的贊助會員人數暴增，使負責同事需長期在家加班處理，而他沒有及時在IT和人手上給予足夠支援。目前，立場新聞已向香港個人私隱專員公署通報，並會盡快個別通知受影響贊助會員。更多內容

＃HITCON　＃臺灣資安社群

臺灣駭客年會社群場8月底熱鬧登場

圖片來源／HITCON

全臺最具含量的純技術資安研討會「臺灣駭客年會社群場」（HITCON Community 2019），在23、24日連續兩天於中央研究院人文社會科學館舉辦，不僅吸引對資安有興趣的研究人員和學生，也有來自香港、日本亞洲各國的海外參加者。本屆HITCON CMT總召邱柏森表示，這次大會以「Trust in the Untrusted World」為主題，再次強調信任的議題須重新檢視，現場並包含多項議程與各類行活動，讓所有參加的人，都能夠透過這些不同單元，來接觸各式不同的資安有關的技術，他並表示，像是今年結合OPass通關的活動，有不少人反映遊戲相當有趣。更多內容

＃臺灣漏洞通報現況

2019年HITCON ZeroDay漏洞通報現況，弱密碼問題通報數量增

對於臺灣漏洞通報現況，自2015年底開始設立的HITCON ZeroDay，每隔一段時間就會公布國內的通報趨勢，近日HITCON常務理事翁浩正指出，今年1月至今，SQL Injection漏洞仍以31％佔最多，XSS漏洞以16%居次，不過翁浩正特別強調了弱密碼問題，是今年新的焦點，他表示有6%漏洞是在通報預設密碼沒有修改，或是使用的密碼很簡單。

對於弱密碼的問題，或許一些人已經知道帳密填充攻擊，或是撞庫攻擊。他也再次說明，現在很多駭客都在蒐集各種已經外洩的密碼，來嘗試登入各個網站，很多企業買了一些解決方案、網站或設備，可是從來沒有改過密碼，導致會被用這種方式來攻擊。因此，弱密碼將是企業不可忽視的問題。更多內容
 

更多資安動態
●Google、微軟、英特爾、IBM 等合組機密運算聯盟，推動TEE技術及標準
●Cloudflare推出DDoS攻擊防護服務Magic Transit
●萬事達卡在德國與及比利時的部分用戶資料外洩
●LINE Bank揭露將導入總部五大資安資源，並強調資料會落地臺灣機房
●你所不知道的電信詐騙！臺灣民眾要注意那些手法專家告訴你
●物聯網上雲要注意安全組態的配置是否得宜，趨勢科技呼籲開發人員應做好相關控管
●網釣問題是電商詐欺管理的最大挑戰，新一代3DS 2.0驗證成未來焦點
 

玉山金控科技長暨臺灣人工智慧學校執行長陳昇瑋今（28日）揭露了玉山金控運用AI的新進展，範圍包括了銀行風險控管、金融商品推銷、投顧服務，以及內部流程自動化，不只精準度高於傳統人工作業，也節省不少人力成本。

玉山金控近來積極發展金融科技，對AI也大力擁抱，不只去年找來中研院大數據和AI專家陳昇瑋擔任科技長，也陸續與交大、臺大簽署產學合作計畫，來發展AI金融應用，特別是風險控管、金融商品推薦、客戶消費預測等。

陳昇瑋表示，玉山金控內部目前有近百項AI專案在進行，而實際應用的層面，涵蓋了對外的風險控管、商品行銷、投顧推薦，還包括內部的作業流程精進。在銀行風險控管方面，當銀行面對法人和個人申請新金融業務時，必須考量客戶的倒帳風險。過去，玉山銀行皆以人工方式查閱申請戶資料，再用統計模型來推估未來1至3年內的償還風險，人工推估準確度約為8成。

「後來，我們全面導入機器學習，」利用各種技術（比如自然語言處理，NLP）來查閱、分析申請戶的相關歷史資料，再來自動評估申請戶未來1至3年的償還風險，「AI準確度高達95%。」

再來則是金融商品的精準行銷。陳昇瑋表示，一直以來，金融機構在推銷商品時，多以人工根據傳統分類（比如年收入、年齡、職業類別等基本資料）來挑選合適的潛在客戶，再來打電話推銷。「但是，通常100通電話只有20通願意聽，真正會購買的不到5通。」

玉山金控也應用AI來解決這個問題，透過AI分析潛在客戶資料、挑選對特定金融商品感興趣的人選，再透過人工打電話來推銷。目前AI選客的命中率，比人工高出3至5倍，「有些案例的精準度甚至高出10至20倍，」陳昇瑋說。

另外一項對外的應用案例，則是投資顧問服務。就玉山金控來說，其投顧服務是每周從2,000多檔股票中，選出5支股票來推薦客戶。「一般來說，分析師推薦5支，通常會中1支。」近來，玉山金控漸漸導入AI，目前準確率則是「選5支中2支。」

在對內的AI應用上，玉山金控則用來精進作業流程，比如支票確認與防洗錢機制。在支票確認方面，玉山銀行每年所收的支票高達1,000多萬張，「可說是全臺最多，」再加上支票大多是手寫，像是名字、金額等，為避免看錯，玉山銀行就配置了2至3人來審查支票。但如此的人事成本過高，後來玉山銀行導入深度學習技術，用來辨識支票內容，目前已全面採用。

而反洗錢則是全球金融業投資最多心力的領域。陳昇瑋舉例，以匯豐銀行來說，就分派25%的職員來執行法遵和洗錢防制作業，花旗銀行則配置6至8萬人來執行，占了全公司的三分之一，「人事成本相當高。」

在國內，臺灣金管會也針對反洗錢，公布了超過50種的疑似洗錢或資恐交易態樣，給金融業者作為參考。不過，在陳昇瑋看來，用這些特徵來打造警示模型，就有如傳統規則式的專家系統，不僅準確度不高，「警報還會響不停。」他也進一步解釋，傳統專家系統目標就是把人類的知識轉換為規則，交給電腦學習，但在專家寫下規則的當下，同時簡化了原本的知識，發生伯藍尼悖論，導致誤差產生。

而玉山銀行採用深度學習，利用各式資料來訓練模型，讓模型不需要人為干預，就能自行找出洗錢特徵。「在實際效用上，提升了3到5倍的準確度，」陳昇瑋說。文◎王若樸

Google近日宣布，即將於2020年的9月1日關閉甫於兩年前發表的Google Hire人才招募服務。

Google Hire可與Gmail、Google行事曆或其它G Suite應用整合，讓人力資源部主管能夠一次察看所有參與面試之同事的時間表，所有面試人員也能透過Google Sheets追蹤這些候選人，或利用Google Hangouts或Gmail與他們聯繫。

Google表示，這是個很困難的決定，Hire一直很成功，只是想把資源應用在Google Cloud的其它產品上，很感謝客戶過去的支持。

在明年9月1日之前，Google會繼續維護Hire服務，但不會再增加新功能，也會在下個月終止部份尚未正式發表的實驗性功能，當客戶的合約到期之後，可以選擇終止服務，也能申請免費將合約延長到9月1日為止。在此一期限之前，Google亦將提供免費的資料輸出服務予所有Hire客戶。

其實Google Hire最早的開發始於Bebop，這是由VMware共同創辦人暨執行長Diane Greene所創立的新公司，而Google在2015年以3.8億美元買下了Bebop，也在同年11月延攬Greene擔任Google雲端部門的負責人。
不過，Greene也已於今年1月離開了Google。

VMware將在明年2月底啟用新的合作夥伴計畫Partner Connect，來取代用了9年的現有模式Partner Network模式。VMware全球夥伴計畫資深總監Rich Steeves表示，現有模式太過複雜，新模式將採用單一套框架，取代過去多套夥伴計畫框架的作法，也將全球適用，預定明年2月29日正式上路。

VMware過去的Partner Network模式，至少分為經銷、服務、技術類型，其下各有不同的合作夥伴計畫，合作夥伴得一一取得不同計畫的合約。在新的Partner Connect計畫中，經銷商只需簽一次合約，就能銷售所有的VMware產品和服務。

另外，新的夥伴計畫分級也改變了，過去多數經銷計畫分三級（Professional、Enterprise和Premier），而技術聯盟夥伴分為兩級（Access和Elite），但是新模式下，全面分為三個等級，Partner、Advanced Partner和Principal Partner。第一級Partner的要求以產品能力為主，第二則增加了銷售和供貨績效的能力要求，第三級則要進一步再取得Master Services Competencies（MSC）的認證。另外，Partner Connect還引進了共同銷售模式（Co-Selling），開放給Principal Partner等級的合作夥伴，可以讓合作夥伴有更大的主導權。

經銷商或ISV可以透過不同的路徑來取得Principal Partner的資格。VMware設計了7種途徑，例如以資料中心虛擬化、雲端管理自動化、VMC on AWS、雲端供應商、現代化應用聖、網路安全、數位工作空間等，各有不同的銷售、技術和能力驗證，但走其中任一條路徑，都將可取得所有VMware產品的銷售權。

開放給經銷夥伴具備銷售所有產品的資格，這意味著，VMware想要鼓勵經銷商成為一個可以涵蓋全產品（Full Stack）能力的合作夥伴，但對經銷商來說，得強化自己在所有類型產品的能力，不過，對企業來說，日後要分辨不同經銷商的的擅長，得更加注意其過去導入經驗和取得的產品驗證能力才行。

專門提供網路安全軟體及服務的Imperva在本周坦承，該公司雲端防火牆產品Cloud Web Application Firewall（Cloud WAF）客戶的資料外洩，波及部份客戶的電子郵件帳號、加盬的雜湊密碼、API金鑰，甚至是客戶所提供的SSL憑證，已採取必要措施以免災情擴大。

Cloud WAF的前身為Imperva在2015年買下的Incapsula，它是個雲端防火牆服務，主要可對抗任何已知或未知的威脅，它允許客戶自訂規則，也提供機器人控制、帳號接管保護、後門保護與雙因素身分認證等。

Imperva表示，他們是在今年8月20日於第三方的通知下才得知此一資料外洩事件，該意外影響了在2017年9月15日以前擁有Cloud WAF帳號的客戶，外洩的資料包含客戶的電子郵件帳號與加盬的雜湊密碼，也有部份客戶的API金鑰及所提供的SSL憑證外洩。

目前Imperva正在追查這批資料是如何外洩的，因此並未回應媒體的詢問，例如是否因配置錯誤所造成，或是遭到駭客入侵，也有媒體好奇如果只有影響2017年9月15日以前註冊的客戶，是否意味著該外洩事件是在兩年前就發生。

不過Imperva目前的首要之務就是降低風險，包括強制輪替Cloud WAF產品的密碼，也通知受影響的客戶，要求他們變更帳號密碼、導入單一簽入、啟用雙因素認證、上傳新的SSL憑證，以及重置API金鑰等。

「工業4.0真正的價值不是自動化，」這位20年來在中國提供紡織產業鏈一條龍服務的紡織集團第二代接班人，錦祥紡織總經理陳志軒相當清楚，紡織業未來變革的方向不是自動化，「我現在想用數據來管理人和設備。」他強調。

要推動一家具有30年歷史、且已經建立起完整紡織供應鏈的集團企業走向智慧製造，無疑是個大工程。這家紡織大廠，就是成立於蘇州的臺商企業錦祥紡織，從1989年建立至今，其上下游產業橫跨紡紗、染整、成衣到設計端的時裝公司，主要瞄準中高價位的針織服飾，替品牌時裝企業代工。

陳志軒早在10年就大力擁抱工業3.0，在傳統大量仰賴人工作業的紡織產線上採用自動化設備，「設備革新帶來的自動化，過去以縮短時間為主，現在則是減少人力。」

像是錦祥紡織2013年在蘇州成衣廠，導入了8臺全成型橫編機與其編程系統APEX3。這套創新設備可以自動織出一件毛衣成品，不用像過去得分別織出4片布再人工縫合成一件衣服，3個流程可以精簡到一個步驟。

就像3D列印一樣，只要提供了設計檔就可以自動印出產品，全成型橫編機只要輸入特殊專屬的CAD設計檔，也能自動織出一件衣服，因此，也常稱為「3D針織」技術。3D針織設備簡化了流程，人手自然精簡，更重要的是生產效率的改變，由於製程變更短，可以讓成衣業擁有快速反應市場需求的能力。比如，遇到服裝產品大賣，要緊急追加訂單，只要紗線庫存足夠，機臺就能快速加工生產。

而3D針織的軟體設計系統APEX3，不僅可以設計，甚至能提供3D模擬設計圖的功能，直接模擬出樣衣，減少實際打樣檢查品質的時間。像錦祥就正在進行紗線數位化，將紗線外觀掃描成影像，進而模擬出實際使用該紗線來織造衣服的樣貌，讓客戶能透過3D模擬系統更直觀地挑選紗線種類，而對於成衣廠來說，也不需再大量庫存每一種實體紗線，只需備妥常用的就足夠了。

但是，做到了製程變革還不夠，陳志軒的企圖不止於此。「產業電腦化越深，就越數據化，但最重要的下一步是數據整合。」他強調：「工業4.0不是比快，而是整合數據後，可以靠數據即時管理每一間工廠最新的狀態。」

所以，近幾年，錦祥積極展開了各項數據整合工作，從累積超過15年資料的ERP、命令機臺織造的編織程式檔案、機臺感應器蒐集的大數據等，甚至連實體原物料如布料、紗線，或是紙本文件都進行數位化，再整合到資料庫中。陳志軒表示，數據的價值在未來才會體現，所以，錦祥盡量蒐集數據，不預先設限數據的應用。

用即時數據管理工廠，來實現智慧製造

陳志軒認為，邁向工業4.0，大數據的蒐集是基礎，但更重要的是，如何用數據來加值服務。比如說，現今製造業多用ERP來管理生產資源，包括材料、成本、庫存、訂單、採購等，儘管長期下來累積了龐大的數據資料，卻往往只用來產製每月報表，無法發揮更大價值。

於是，陳志軒以累積15年的ERP資料為基礎，擬定了一套智慧製造藍圖，目標是靠數據即時管理工廠的人員、設備與生產狀況。

為此，錦祥去年12月在蘇州成衣廠導入了島精機製作所的PLM系統，甚至說服業者同意開放系統對外API，再由錦祥IT團隊自行修改ERP系統來串接兩者，要讓ERP的生產工單能自動連結到PLM進行生產任務分配，也要事先預估每張工單的編織時間，再自動派工到各個機臺來生產，來減少人工介入。

陳志軒表示，將ERP串接PLM來分配生產任務，是錦祥智慧化的第一步，即將進入上線階段。接下來，則要從成衣段擴大到前端紡紗、染整段以及到後端的水洗整燙等環節，納入更多數據來提升產程效能。「目標是從業務下單的那一刻，就開始啟動智慧製造。」

比如說，當一張工單輸入ERP後要自動化派工，除了考量各工單的織造時間，也要納入各個機臺的特性資料，來決定適合織造的款式，甚至還要評估後續水洗整燙的時間，才能更精確地分配織造任務。

錦祥也計畫要串連上游資訊來提升跨工段的製造效率，比如自動核對倉庫的原料庫存，若有不足則及時通知採購人員進貨；接著，又根據需進貨的布料製程，來通知紗線廠備料，也通知染整廠染布，包括要用幾號色、數量多少，以及原料何時抵達染整廠等資訊，讓染整廠也能進行染色排程。

甚至，陳志軒表示，系統將會逐漸取代人來管理產線，像是紡織成衣業中，仍有許多無法以機械取代、按件計酬的縫合工作，目前還得仰賴人來派工，但是，陳志軒思考，只要每個作業員的座位都設置螢幕，上班時透過指紋辨識打卡，就能靠系統來自動分配縫合任務，並在下班時直接顯示每個人的工作成效與當日薪資，對工廠來說，也能即時管理人力成本與產能。

ERP的資料是過去式，從每月的庫存量、銷售額等報表，只能看見一個月前的問題，而且還得仰賴人來分析。例如工廠要預投資一項商品，需要靠人查閱過去人氣商品與周轉率等。「現今是人工分析，但真正的智慧化，應該由系統自動推薦或評估。」未來，陳志軒希望，系統不只是被動使用ERP的資料，而是能主動提供決策建議，例如，採購人員採購原料之前，系統能快速綜合各類資訊，提供最佳的購入價格與數量，再由人做最後決策。

培養人才來擴大產品數據庫，目標要提供媒合平臺的服務

工業4.0不是比快，而是整合數據後，可以靠數據即時管理每一間工廠最新的狀態。─── 錦祥紡織總經理 陳志軒　(攝影／洪政偉)

光在內部串連ERP與PLM、整合數據資料，錦祥紡織就已經走的比大多紡織製造業更前面。然而，陳志軒想得更遠，他觀察到，購入APEX3系統與全成型橫編機這套設備後，除了能達到部份織品的自動化生產，另一個優勢，則是在於全成形機臺生產的每一款服飾，其編織程式與機臺織造過程設定的生產參數，都能被完整紀錄與保留。

換句話說，這種以數據驅動織造的方式，只要傳輸數據到鄰近各國市場的打樣中心，就可以就近生產服飾，滿足客戶交貨時間越來越短的需求，也就是將一間大工廠，拆解成像便利商店一樣的零售服務，來實現衛星工廠的概念，「只需要10臺機器、100坪的空間，就可以變成一間快速打樣中心，就近服務當地。」這也是陳志軒計畫做到的事。

不過，要用全自動3D針織技術來帶動新商業模式的發展，在世界各地成立打樣工廠，需要足夠的編程人才以及可供販售的全成形商品。他坦言：「設備投資很貴，嘗試多年後，我也不願意再投入。」反而是他看到市場上缺乏人才，決定直接投資人才。因此，陳志軒3年前投入編程人才的培育，他先在2016年回到臺灣，展開與實踐大學服裝設計學系的合作，且成立意創坊作為人才培育基地，要讓學生能有場域實習，進而精進技能。

陳志軒不只培育人才，甚至計畫打造一個設計中心提供設備，目前正在選址，受訓過的設計系學生畢業後，不一定得進入工廠就業，也能利用這個設計中心的資源，來設計、打樣服飾，甚至自行發展自己的獨立品牌。

也就是說，設計中心一方面提供年輕設計師創業機會，另一方面，錦祥也藉此展開了衛星工廠的布局。為了擴大3D針織商品的市場，陳志軒要建立一個設計師作品的資料庫，不只供設計師們上架展示成果，也開放給全球品牌商、相關業者參考，進而發展成一個時尚服飾產業圈的網路拍賣商場，設計者和生產者（代工廠或品牌商），都可以自行交易，甚至在未來，連消費者都可能可以直接對設計師下單，再由衛星工廠代為生產。目前，這個平臺還在與紡織業拓展會合作建置中，距離實際上線還有一段路要走。

陳志軒表示，平臺上線後會先供錦祥訪織合作的全球品牌商免費使用，這些品牌企業可以在平臺上購買設計款式、編程程式碼，或是直接下單訂購衣服，也能在此尋找代工廠商。「就像拍賣網站一樣，發展成一個真正的商業模式。」無論設計師、品牌企業、中上游成衣製造廠商都可以在平臺中建立帳號，成為平臺使用者，「錦祥將成為媒合買家、賣家、代工廠商的平臺。」

產品的資料量增加之後，才能帶動更多品牌企業與上游廠商來使用，「就像淘寶，淘寶裡的品項不夠多，沒有人會用。」陳志軒一邊從人才著手，資料庫從數十、數百筆資料慢慢累積，另一邊，則要自家代工的國際品牌著手，將各方資源拉進平臺，來擴散平臺影響力與使用流量，進而連結起上下游的企業。此時，平臺帶來的商機，就是讓錦祥從代工製造業，轉向服務業發展。

短期來看，為了人才培育、耗資幾千萬的設備費好像打了水漂，但新的商業模式若能成功，陳志軒評估：「成本回收速度會比代工製造來得更快，甚至還能帶來其它效益。」例如，隨著設計資料庫的全球客戶增加，設計中心也能隨之擴大設點到全世界，讓客戶下單後能更快速取得樣衣，真正達成衛星工廠的目標。

用紡織供應鏈來預測流行趨勢，來加值產品的設計

此外，衛星工廠結合設計資料庫的商業模式，也有賴錦祥本身上下游供應鏈的支持。比如說，紡織業是必須不斷預測未來需求的產業，當下最流行的服飾早在半年前就要下單製作，甚至得在1、2年前就要開始構思，等到服飾換季上架，其他業者才要跟進就已經來不及。

不過，由於錦祥能提供業者，從挑選原料、製作樣衣到下單生產的一條龍的服務，因此，透過訂單資料來預測流行趨勢時，會比其它紡織業者更有優勢。也就是說，當客戶在挑選原料、決定樣衣款式與數量時，錦祥就開始蒐集數據，等到客戶在各地試水溫、統計完全球網點的訂購資料後，會正式向錦祥下單，此時，錦祥就能掌握該品牌業者下一季要推出的新品，甚至綜合多家業者資訊，來推測下一季的流行元素。

雖然，這些數據局限於錦祥客戶的訂單，不能代表整個服裝市場的動向，但錦祥為許多知名國際品牌代工，如Zara、ESCADA、Max Mara、Massimo Dutti、Uniqlo等，還是有其代表性。有了這些數據，不僅能提前通知紡紗廠與染整廠備料，也能藉此讓自家的設計師預測流行趨勢，來設計出新款服飾並推銷客戶訂購，以掌握市場先機。

陳志軒身為數位轉型的幕後推手，也知其不易，所以選擇從成衣段來著手，一邊奠定自動化、資訊化的基礎，一邊發掘數據的價值來應用，逐步實現智慧化；另一方面，他也以多年產業鏈累積的龐大資源作為基礎，積極嘗試新的商業模式，要讓紡織製造業也有發展成服務業的可能。「嘗試新模式，也要同時改革原有工廠，就像衛星更新時，總控制的中央端也要越來越強大。」陳志軒這條不一樣的紡織業數位轉型之路才走了一半，接下來，還有更大的藍圖要實現。

  CEO小檔案  

錦祥紡織總經理陳志軒

學歷：美國科羅拉多大學市場行銷碩士

經歷：臺商企業錦祥紡織的第二代，1999年進入錦祥紡織，2000年轉赴針織服飾代工企業Fenix International東京公司工作，直到2002才返回錦祥，其後累積近20年經歷，包括2007年創立子公司雅斯時裝、2013成立賀軒時裝、2016回到臺灣成立意創坊。

  公司檔案  

錦祥紡織

● 網址： www.yarnscolors.com

● 成立時間：1989年

● 員工人數：800人

  公司大事記  

● 1989年：成立蘇州錦祥毛紡針織有限公司

● 1990年：成立蘇州錦祥染整廠，主要進行絞紗染色、散毛染色

● 1992~1993年：成立蘇州錦祥精紡廠

● 1994年：成立蘇州錦祥紡織染整Yarns & Colors

● 2001年：全套ERP系統建置完成並順利上線

● 2004年：成立意大利海外辦事處Yarns & Colors SRL

● 2005年：成立蘇州高景科技，主要為紗線染色及成衣特殊後整工廠

● 2007年：成立蘇州雅斯時裝，主要為服裝設計開發及生產的針織工廠

● 2013年：成立賀軒時裝，主打全成形橫編機紡織工廠

● 2016年：在臺北實踐大學成立設計中心

● 2018年：成立臺中工廠開發中心

微軟周三宣佈，將FAT衍生出來的exFAT檔案格式專利，開源出來成為Linux核心的一部份。

微軟的檔案格式專利過去經常是Linux社群的痛。它的FAT（File Allocation Table）是許多應用程式預設的檔案系統格式，也為微軟賺進不少專利財。微軟也曾在2012年控告Motorola手機侵權使用其檔案格式FAT，成功使敗訴的Motorola手機在德國遭到禁售。exFAT是微軟在2006年以FAT為基礎開發出來，專門用於Windows、SD卡和USB快閃磁碟的檔案儲存格式。

微軟Azure首席架構師，也是Linux基金會董事成員的John Gossman表示，exFAT是全球數千萬台筆電、相機甚至汽車上資料存取的關鍵，微軟認為有必要讓Linux 社群放心將exFAT加入Linux核心中，因此決定將exFAT的技術規格開源出來，以促進相容實作的開發。此外，微軟也支持Open Invention Network的Linux系統定義（Linux System Definition）未來也會修改以加入exFAT規格，成為Linux核心的一部份。其定義一旦被接受，未來OIN 三千多家成員及授權者也將能獲得專利保障。也就是說，未來開源陣營不用擔心因為exFAT格式問題被告了。

這也是微軟近年擁抱開源的最新一次行動。去年10月微軟加入OIN社群，將超過6萬項專利以免權利金方式授權給OIN的成員使用，讓Linux及其他開源專案的開發者免受侵權官司訴訟。今年年中起，Windows 10 Insiders版本也開始內建Windows Subsystem for Linux（WSL），以便在Windows 10上能夠原生執行Linux。

全球企業為了提升企業營運效率，邁向數位轉型之路，有不少開始導入機器人流程自動化（Robotic Process Automation），這個簡稱為RPA的應用，這兩年來，正逐漸受到臺灣企業關注，國內也有顧問公司積極推動，甚至臺灣已有企業開始應用。最近，首間RPA軟體業者開始進駐臺灣，顯然看好國內企業對於RPA應用的需求與後市。

關於RPA，國外企業導入的狀況已經相當顯著，就是看重RPA可將不值得花人力的作業流程改為自動化，不僅加速企業競爭力，並在妥善的設定下能減少人為錯誤發生。

嚴格來說，RPA並不是一種新的技術，這種模擬人類在電腦上辦公的作業流程，能幫助做到不同系統之間的操作，像是將資料輸入到ERP系統的動作，以及各式訂單輸入、資料比對、報表製作等，雖然RPA並非萬能，但可以較容易的方式為企業帶來幫助。而近年來，臺灣企業也不只在關注RPA的應用，因為，已有一些企業開始導入。

根據研究調查機構Gartner在今年6月公布的調查報告指出，RPA軟體是2018全球企業軟體市場中成長最快的一項，RPA軟體產業的收入在2018年度成長了63.1%。同時，他們也預估在2019年，RPA軟體產業收入將達到13億美元。換句話說，企業對於RPA軟體應用的需求增加。

而在目前的RPA軟體市場上，全球知名大廠包括了UiPath、Automation Anywhere、Blue Prism、NICE、Pegasystems、Kofax與NTT-AT等。

特別的是，今年Automation Anywhere開始積極切入亞洲市場。在8月27日的一場RPA企業應用分享會上，我們注意到Automation Anywhere在臺灣現在也有原廠支援。對此，該公司資深產品技術顧問蔡君浩表示，Automation Anywhere大中華區的運作從今年1月開始，臺灣則是在今年4月開始籌備，直到8月正式設立臺灣區辦公室。

蔡君浩表示，過去在臺推動RPA時，最常被遇到的問題是，客戶詢問原廠在臺灣有沒有支援的團隊。隨者RPA原廠開始在臺成立據點，將讓應用的企業客戶能獲得更好的支援。

同時，他也說明了目前Automation Anywhere在大中華區的團隊配置，不是只有銷售業務人員，還包含了客戶服務團隊、售後、專案導入，與技術工程師，並且都是中文的服務，不像過去原廠的支援團隊都在國外，要以外文與國外工程師聯繫。其實，去年我們就曾聽聞UiPath要來臺設點，不過後續沒有更多消息。

微軟周三恢復了因賽門鐵克防毒軟體不支援SHA-2簽章，而暫停的Windows7及Server 2008 R2更新。

上周微軟釋出的KB4512506/KB4512486安全更新，在下載到安裝了賽門鐵克端點防護（Endpoint Protection）或諾頓防毒軟體的Windows7及Server 2008 R2電腦上時，更新版本會遭到防毒軟體的封鎖或刪除，導致Windows電腦無法運作或無法啟動，原因是這些防毒軟體無法辨識微軟以SHA-2憑證簽發的更新檔案，而把它誤判為惡意程式。微軟也於上周緊急撤下更新版。

現在問題已經解決，微軟也解除了更新封鎖。賽門鐵克表示，已經完成對KB4512506/KB4512486的評估，所有版本的賽門鐵克端點防護，也不會再對其發生偵測誤判，用戶可以安心下載。不過為了確保用戶端軟體，能蒐集微軟簽發檔案的SHA-2資訊，賽門鐵克也建議用戶從MySymantec及賽門鐵克技術支援網站，分別下載SEP 14.2 RU1 MP1 （14.2.4814.1101）及SEP 14.2 RU1（14.2.3357.1000）/ SEP 14.2 MP1 （14.2.1057.0103）更新。

資安業者Avast本周宣布，他們已與法國警方及美國聯邦調查局（FBI）合作，從85萬臺PC上移除了Retadup惡意蠕蟲。

Avast是在今年3月發現Retadup的蹤跡，它鎖定Windows平臺發動攻擊，主要的受害者位於拉丁美洲，Retadup除了能夠長駐於受害電腦之外，也能自行散布，還能安裝其它的惡意程式，大多數為加密貨幣採礦程式，也曾發現Stop勒索軟體與密碼盜取程式Arkei。

根據統計，在感染Retadup的85萬臺電腦中，有52.7%為Windows 7，18.5%為Windows 8.1，17.6%為Windows 10，7.4%是Windows 8，Windows XP也占了3.5%。

在進一步分析Retadup之後，Avast的研究人員在它的C&C通訊協定上看到一個設計漏洞，若能接管其C&C伺服器，便可將受害者電腦上的Retadup移除。

Avast表示，一般而言，只要掌控了C&C伺服器，就能遞送一個可殺掉惡意程式的腳本程式到受害者電腦上，然而他們所發現的設計漏洞，完全無需於受害者電腦上執行任何程式，就能移除Retadup。

調查這些C&C伺服器的落腳之處時，顯示多數座落在法國，有些則在美國，於是Avast通知了法國警方與FBI，他們接管了駭客所設置的C&C伺服器，把它們置換成消毒伺服器，以讓受害電腦上的Retadup自我銷毀，一舉成功清除了85萬臺PC上的惡意程式。

Amazon Echo、Google Assistant與蘋果Siri，近日相繼傳出未經用戶允許側錄使用者的語音請求，本周蘋果公開向用戶道歉，並宣布將改善Siri的隱私保護，包括除非使用者主動加入，否則不會再保留用戶與Siri的互動語音，而且語音的審核不再外包，將由蘋果團隊親自操刀。

不管是Amazon、Google或蘋果，都聲稱側錄使用者與智慧語音助理的對話，是為了改善這些語音助理的準確及可靠性，蘋果將此一Siri品質評估程序稱為評分（grading），利用使用者與Siri之間互動的語音檔與轉錄的文字檔，來了解Siri的回應能力，例如使用者是否真的要喚醒Siri？Siri真的聽清楚使用者的指示嗎？以及Siri的回應是否恰當等，且只有不到0.2%的語音紀錄被拿來進行分析。

在受到外界的質疑之後，蘋果立即暫停了上述的評估程序，並針對相關程序與政策展開全面性的檢討，本周蘋果承認該公司並未達到自己在隱私上所設定的理想，因而向用戶道歉，且制定了新政策，預計將隨著今年秋天的軟體更新而上線。

新政策包括預設值將不再保留使用者與Siri之間的語音紀錄，除非使用者主動加入（opt in），但仍會利用由語音紀錄所轉錄的文字複本，來改善Siri的能力，也會由蘋果員工親自審核這些語音紀錄，並會刪除所有因誤觸Siri而不小心錄到的語音檔。

就算保留了文字複本或使用者主動加入的語音檔，蘋果也是透過由數字及字母組成的隨機識別碼來辨識裝置，以在處理資料時追蹤這些資料，而非使用Apple ID或電話號碼，也會在6個月之後撤銷該識別碼與裝置資料的關聯。

根據外電報導，不只是蘋果，Amazon與Google在遭到外界的批評之後，也正著手改善相關政策，包括暫停語音紀錄的人工審核，或是開始提供使用者主動加入的選項。

香港示威衝突日益升溫，香港政府傳擬要求ISP封鎖Telegram等網路通訊服務。周三香港ISP協會出面反對。

香港反送中行動引發的大規模示威及警民衝突愈演越烈，本周星島日報報導港府正在考慮啟動《緊急情況規例條例》實施緊急措施，包括管制媒體刊物內容、或透過下達行政命令，要求ISP封鎖特定網路應用，如Telegram、連登等。

香港網際網路服務供應商聯盟（Hong Kong Internet Service Providers Alliance, HKISPA）周三發出緊急聲明指出，現代網際網路包括複雜技術如VPN、雲端和加密等，要有效封鎖任何服務幾乎不可能，除非是將香港網際網路全部鎖在監控性的防火牆之後。HKISPA警告，限制手段無法遏止意志堅決的用戶，他們會透過VPN等管道持續存取服務，迫使當局持續升高限制，因此任何再微小的限制可能最後擴大走向類似中國的長城防火牆，但這等於啟動香港開放網路的末日，造成國際網路公司對香港立即且永久縮減投資。

香港ISP協會指出，香港網際網路經濟的命脈繫於開放性。香港是亞洲光纖網路的最大核心節點，是區域內最大網路流量交換據點，也是國際和當地公司所設立上百家的資料中心所在地，傳輸中國大陸80%以上的網路流量。一旦以行政命令施加限制，將摧毁香港作為電信網路核心的地位，後者也是其扮演國際金融中心的關鍵要素。

香港ISP協會重申管制網路應用程式有其技術及財務限制，而使港府管制網路的企圖無法完全落實，要求港府下限制令前，應先諮詢ISP以及香港社會的意見。

通訊軟體大量被用於香港民眾集結行動，也成為當局下手的跡象。加密傳訊服務Telegram在6月間遭到DDoS攻擊並影響全球用戶，大多數的攻擊IP來自中國。上周香港抗議團隊也驚訝地發現，Telegram某項設計可能讓用戶手機號碼流入公開群組，不論他們是否有設定隱私權限，擔心被官方用來追查戶身份。

Google在本周緊急釋出了支援Windows、Mac與Linux的76.0.3809.132，以修補3個Chrome的安全漏洞，目前Google依然限制用戶存取這3個漏洞的細節，準備等到大多數使用者都更新之後才公布，不過，根據網路安全中心（Center for Internet Security，CIS）的警告，當中的一個漏洞將允許駭客執行任意程式。

此一漏洞編號為CVE-2019-5869，存在於Chrome所使用的Blink瀏覽器引擎中，它是個釋放後使用（use-after-free）漏洞，若駭客將使用者導至一個特製的網頁，就能開採該漏洞並執行任意程式，也能繞過安全限制或造成服務阻斷情況。

此一漏洞是由奇虎360的兩名安全研究人員所提報，獲得Google所頒發的5,500美元的抓漏獎勵。

幸好目前尚未傳出任何已開採該漏洞的報告。至於Chrome用戶則會在幾天或幾周後，取得自動部署的更新，或是手動檢查Chrome的更新版本。

就在華盛頓郵報於8月28日揭露Amazon旗下的Ring智慧保全公司與美國400個執法機關合作，而招來可能危害民眾的隱私與自由的爭議之後，Amazon同一天就證實了此事，且確實的合作數量是405個。

Amazon是在2018年初以超過12億美元的價格買下了Ring，Ring提供可錄製影像的Doorbell智慧門鈴或警報器等裝置，並打造了Neighbors程式，以讓Ring用戶能夠收到即時的犯罪或安全警告，也能與鄰里互通安全訊息。

Ring表示，他們除了替使用者開發Neighbors程式之外，也替警方打造了Neighbors Portal工具，以讓執法機構能夠在Neighbors程式中張貼有關安全及犯罪事件的通知，也能以警察的身分在Neighbors的公共布告欄上發言，迄今已有405個執法機構使用了Neighbors Portal。

儘管每每有執法機構加入Neighbors時，Ring都會透過Neighbors程式、社交網站或當地媒體宣布，但不少用戶希望有更完善的資訊，於是Ring建立了Active Law Enforcement Map地圖，可直接透過地圖檢視參與Neighbors的執法機構。

此外，Ring也提供警方另一個Video Request工具，以透過Ring向用戶要求可協助警方辦案的影片。Ring強調，此一請求只能透過Ring提出，警方無法存取用戶的裝置，也不知用戶的帳號資訊，亦無法得知裝置安裝的確實地址，同時用戶也可自行決定是否願意提供有限範圍及時間的影片予警方。

今年Ring曾在臉書上刊登一則影片廣告，此一由Ring Doorbell所拍下的影片是一位行跡可疑的女子，Ring希望居住在影片拍攝附近的人們，可以協助辨識並向警方報案，因而引起了合法性的爭議。

Ring認為，該公司是在保障用戶隱私的前提下，來保護鄰里的安全，讓用戶與警方聯手將能讓社區更安全。

然而，有許多法律專家及隱私擁護者抱持著不同的觀點，他們認為Ring想要隨處監控的野心及與警方如此密切的合作，不免令人擔心此事終將威脅人民自由，把居民變成線人，也可能傷及無辜。

日本經濟新聞（The Nikkei）本周引述消息來源報導，Google正積極地把Pixel手機的生產線從中國移到越南，預計今年之前就會將部份Pixel 3A手機的生產轉移到越南。

先前彭博社即曾報導，為了擔心受到中美貿易戰的關稅衝擊，Google已準備將要輸美的伺服器主機板生產，從中國移到臺灣，並將Nest恆溫控制器的製造，從中國移到臺灣及馬來西亞。

而日本經濟新聞亦說，Google想把大多數輸美的硬體生產線移出中國，從Pixel到Google Home聲控喇叭，除了將Pixel生產移至越南之外，Google Home的新產線可能設在泰國。

不過，Google依然會保留位於中國的製造基地，主要原因是中國本身就是個難以棄守的龐大市場，此外，Google也打算在中國進行新產品的研發與生產。

除了Google之外，任天堂、HP與Dell也都正把生產線移到中國以外的其它東南亞國家，像是臺灣、越南、泰國或菲律賓等。

關鍵基礎設施（CI）的資訊安全，已經成為許多國家開始重視的議題，而在臺灣當局發展資訊安全的體系時，強化這些設施的資安防護，被列為其中的重要項目，但究竟那些是我國定義的關鍵基礎設施，又要留意那些事項，許多公部門和有關單位卻可能不甚清楚。在8月28日舉行的數位政府高峰會上，行政院資通安全處處長簡宏偉彙整了他們在關鍵基礎設施的領域，推動資安監控通報機制的進展，並解釋如何定義和評估關鍵基礎設施。

我國資安法對於關鍵基礎設施的8大類型，許多人想要了解其中定義的範圍，例如，金融單位是否包含電子商務平臺。不過，簡宏偉也藉此機會指出，所謂的關鍵基礎設施，涵蓋層面其實相當廣泛，不光是與民生相關的能源和資源，凡屬受到損害之後，會動搖民眾信心，或是損害政府聲譽的，就算是這種類型的設施。

廣義的關鍵基礎設施包括文化資產

在資安法實行之後，是否電子商務平臺是關鍵基礎設施裡，所定義的金融單位，簡宏偉說，他們遇到許多人會有這個疑問，因此，他特別提到在推動的過程中，政府如何界定什麼是關鍵基礎設施。

首先，簡宏偉提到，在識別這些設施的程序裡，他們先歸納出主要和次領域，然後再找出領域之中的服務，最終才識別出關鍵基礎設施與其中的關鍵資訊基礎設施（Critical Information Infrastructure，CII），並進行列管。

簡宏偉表示，在我國資安法裡的關鍵基礎設施（CI）和關鍵資訊基礎設施（Critical Information Infrastructure，CII），兩者之間的關係，他們採用歐盟的定義，也就是關鍵資訊基礎設施依附於關鍵基礎設施之上。

而這些關鍵基礎設施的重要性，簡宏偉指出，他們會依據功能的重要性，以及失效會帶來的直接影響，還有對於波及民心士氣的程度，進行評量。

在功能的重要性裡，他列出了9大類型功能，包含了與政府機關運作相關、重要資通訊系統、維生與運輸機能、金融、疫病、治安與救災、國家重要象徵與資產、重要產業，以及國防等項目。

而在設施失效的影響層面，除了能夠統計的設施價值、影響人數，以及經濟損失之外，還有其他無形的部分，像是國際形象受損、政府的聲譽與民眾信心受到打擊，也都是在評估的範圍之中。

政府在評估關鍵基礎設施的重要程度，主要依據圖中3種層面，分別是功能重要與否、設施無法正常運作會帶來的影響，以及可能會產生的後續效應，像是打擊國際形象，或是民眾可能會對政府失去信心等。

值得留意的是，目前在我國的資安管理法裡所定義的關鍵基礎設施，一共有8種領域，但是簡宏偉指出，其實廣義的關鍵基礎設施，並非局限於會直接影響社會整體運作的油、水、電等資源的供應設施，而是只要會影響民心士氣者，都屬於這種設施的範圍，需要加以管理。他舉出美國將自由女神像列為關鍵基礎設施的例子，其理由就是該國的重要精神象徵，一旦遭受攻擊，就會嚴重打擊民心。

因此，所謂的關鍵基礎設施，其實還包含了文化資產。只是我國資安法施行的初期，優先針對民生有直接關聯的部分，進行列管。

關鍵基礎設施是國家資安聯防重要環節

簡宏偉表示，縱觀已經施行資安管理法的國家，包含了美國、日本、中國、新加坡，以及馬來西亞等國，雖然他們制訂的規範嚴格程度不一，但是其中的共通點，就是特別針對關鍵基礎設施的防護訂立相關要求，並且界定涵蓋的類型和範圍。以美國和日本而言，他們分別歸納出16項與13項關鍵基礎設施。

在我國的資安發展策略中，強化關鍵資訊基礎設施的防護，是聯防體系裡重要的一環。

從我國的資安聯防架構來看，由上而下是國家、各領域、各單位的3層式架構。而各領域以下的部分，又分為公部門與關鍵基礎設施兩種，進而做到層層回報與緊急應變的目的。

由於這些設施的正常運作，能夠維持國家和社會整體的穩定，一旦面臨攻擊而出現異常，便會導致人心惶惶。簡宏偉也舉出美國核電廠為例，該國去年發現多間電廠都被植入惡意程式，有些潛伏超過一年；而伊朗核電廠曾因受到網路攻擊而造成爆炸，因此相關的資安防護變得極為重要。

而簡宏偉也舉出在國內發現的案例，近2年裡，他們找到多間公私立大學將鍋爐的控制系統連上網際網路，因為僅是倚賴轉接器連接，根本連帳號密碼這種防護措施也沒有，換言之，攻擊者只要在網路上掃描到鍋爐的網路位置，就能進行控制。由於這種設備也有許多農田水利會使用，因此資通處也通報這些單位，並且要求提供設備的廠商進行處理。

再者，關鍵基礎設施的資訊安全，也在政府的預算要配置相當比例，有所呼應。簡宏偉說，原先在資安法推動的過程中，他們打算只針對科技計畫的部分，要求編列一定比例的資安預算。但有政委指出，現在政府規畫建立智慧城市，即使是造橋鋪路，也會有資安的需求，特別是當中控制系統的操作科技（OT），相關防護普遍較為薄弱，最終資安法因此變成全面性要求所有的標案，必須編列一定的資安預算。由此可見關鍵基礎設施所影響的層面，可說是極為廣泛。