語音助理側錄用戶使用者語音爭議不斷，Google宣布立即暫停以人工分析用戶語音的計畫，並且刪除之前語音助理因意外被啟動所留存的語音資料，現在用戶可以自行選擇啟動語音與音訊活動（Voice & Audio Activity，VAA）選項與否，來同意Google以人工分析裝置儲存的語音片段，改進語音辨識結果。

由於上個月Apple、Google和Amazon接連被爆利用約聘人員或是員工，在使用者未知的情況下，側聽語音助理的錄音，以提升語音辨識的準確度。由於輿論的壓力，三家公司也都承諾暫時停止人工分析，並讓用戶自己決定是否加入語音辨識改善計畫。

而現在Google進一步公告，他們正在更新裝置的設定，將會以明顯的標示提醒用戶，當啟動VAA選項的時候，可能有人工審核者會聽到他們的語音片段。啟動語音助理中的VAA選項，會允許Google儲存使用者的聲音以及其他音訊，裝置會紀錄Ok Google指令或是點擊麥克風圖標幾秒鐘前的聲音。

新的語音助理隱私政策，讓現有的使用者可以在設定中查看VAA偏好選擇，Google強調，在使用者重新確認VAA選項開啟之前，他們不會讓人工審核來自該使用者的音訊。

當用戶開啟VAA功能，語音助理會儲存音訊資料，並用來改善辨識用戶聲音的精確度，Google也能使用語音的小樣本，改善語言以及口音的辨識能能力，而對於那些選擇加入VAA計畫的用戶，Google將會自動刪除數月前與帳戶關聯的語音資料。

另外，為了增加人工轉錄的隱私保護，Google在這過程採取更多預防措施，包括音訊片段不會與任何帳戶關聯，審核人員也只會聽到一小部分的查詢音訊，約為使用者音訊片段的0.2％，而且這些音訊都會是來自有開啟VAA選項的用戶。

過去裝置會紀錄意外啟動語音助理的聲音，像是聽起來像是Hey Google的聲音，以提高裝置啟動的正確率，但Google提到，他們現在會立即刪除意外啟動語音助理的音訊，並且排除以人工審核的方式，而是另尋途徑調整語音助理對Hey Google提示的敏感度。

歐盟法院周二針對法國政府和Google的「被遺忘的權利」官司做出判決，Google僅需在歐盟會員國內，應使用者要求移除連結，不需擴大推行到全球搜尋引擎上。

2014年歐盟通過「被遺忘的權利」（the right to be forgotten），意指歐盟網路使用者有權要求Google，將過往不利於他的新聞報導網頁連結，從Google搜尋索引中移除，以免不斷被重現於世人面前。2015年5月法國資料保護主管機關CNIL通知Google這項權利，應擴及Google全球網域的搜尋引擎，但遭Google拒絕。

隔年3月控方CNIL以做出對Google罰款10萬歐元的決定，並請求歐盟法院解釋法令，被遺忘的權利是否需擴大於Google搜尋引擎所有版本，或只限於歐盟會員國，還是只限於新聞主角的相關母國。

在周二的判決中，歐盟法院認為，這些不利資訊的網頁連結透過Google搜尋引擎上被全球用戶搜尋到，對新聞主角有影響。但是其他地區國家並不見得會透過拿掉連結來處理。法院也不認為「被遺忘的權利」是絕對權利，而必須視不同國情實施，此外，保護個人資訊、隱私權，也必須和網路用戶的資訊自由保持平衡。因此歐盟法院認為，Google沒有在全球所有版本的搜尋引擎上執行移除連結的義務，但是根據歐盟法律，Google執行移除連結的義務，應擴及所有28個歐盟會員國。

Google對此判決表示歡迎，該公司發出聲明指出，從2014年起Google即致力於在歐洲實作被遺忘的權利，且在民眾知的權利和隱私權之間確保平衡，很高興歐盟法院看法與Google一致。

Amazon 周二和微軟、Salesforce、百度等30多家廠商共同宣佈AI語音相容計畫（Voice Interoperability Initiative），讓不同廠商的語音服務在同一台裝置上互通，並使語音產品可支援以多種喚醒關鍵詞啟動。只是相容的並不包含Google、蘋果的AI語音助理。

超過30家廠商參加這項計畫，包括Amazon、微軟、百度、騰訊、Salesforce、BMW、Spotify、智慧家庭產品商如Sony音訊事業群、Sonos、Harman、ecobee、Logitech、Bose，以及電信商如Orange、Verizon、Free、SFR等。此外還有晶片廠商如英特爾、MediaTek、高通、NXP、Amlogic。ODM業者如台灣創介科技（InnoMedia）、中國的通力電子（Tonly）、SGW Global及系統整合業者等。

Amazon執行長Jeff Bezos指出，多重同時喚醒關鍵詞能提供客戶最大選擇彈性，讓客戶選擇最適合特定互動模式的語音服務。

這項合作有四大重點任務。首先是發展能彼此互通、確保用戶安全與隱私的語音服務。其次是打造同時支援多種、同時喚醒關鍵詞的聲控裝置。他們也將發表可將多種語音服務整合在單一台產品上的技術，以加速語音學習及對話式AI研究發展，提升語音服務的品質及相容性。

透過這項相容合作，Alexa未來將能和微軟Cortana 、Salesforce的Einstein、或百度的小度、Orange的Djingo互通或在同一台裝置上使用多種語音助理。

為達成彼此互通，Amazon、BMW、微軟、Salesforce、Sony、Spotify、百度、騰訊等公司不論開發聲控產品、語音服務或各自的語言助理，都將循相似的技術開發作法。而在推動多重同時喚醒關鍵詞上，Alexa及搭載Alexa Voice Service (AVS)的裝置已支援這類技術，但這牽涉較高開發成本及較大的記憶體要求，不是所有服務都支援，上述晶片廠商、ODM及系統整合商，則會改採更便宜的硬體產品及解決方案。所有業者也會和學界合作以加速機器學習及喚醒詞技術，例如能在低功率裝置上支援喚醒詞加密的演算法，或能確保語音紀錄安全傳送的API。

這批合作的業者名單顯然缺了蘋果、Google、臉書、三星及阿里巴巴。這些業者都有打造自有軟、硬生態體系的實力，其中又以Google最強大。Google積極打造Google Nest智慧家庭品牌系列，而且也悄悄從某些地區開始將語音搜尋換成了AI語音助理Assistant。今年初起，搭載Google Assistant已經高達10億台。同時間，搭載Alexa的裝置則為1億台。

資安業者Proofpoint本周指出，某個國家級駭客集團持續鎖定美國的公用事業服務供應商，展開魚叉式網釣攻擊，藉機在受害者系統上植入LookBack惡意程式，從今年4月迄今，已有至少17個供應商遭到攻擊。

Proofpoint是在7月注意到該駭客集團的行動，當時駭客鎖定3家美國公用事業供應商展開魚叉式網釣攻擊，假冒為美國工程許可委員會，向這些供應商的員工寄送網釣郵件，宣稱受害者企業未通過檢驗，並附上一個含有惡意巨集的Word檔，開啟後便會執行LookBack。

LookBack是個遠端存取木馬程式，亦具備一個用來與由駭客掌控的命令暨控制（C&C）伺服器交流的代理機制，它可用來檢視流程、系統、檔案資料，還能刪除檔案、執行命令、拍攝螢幕畫面，也能移動或點擊滑鼠，可重新啟動電腦，亦能自我銷毀。

本周Proofpoint進一步指出，同一個駭客集團於今年8月再度發動新一波攻勢，目標同樣是美國的公用事業供應商，但這次在網釣郵件中偽裝成全球能源認證機構，邀請受害者參加認證考試，一樣附上了含有惡意巨集的Word檔案，執行後所安裝的亦為LookBack。

Proofpoint表示，駭客集團並未因之前的攻擊曝光而受挫，還不斷地改善他們在網釣攻擊上的策略、技巧與程序，也彰顯出駭客對美國關鍵基礎設備供應商的持續關注。

不過，Proofpoint目前只能確定相關攻擊背後有國家的支撐，卻無法辨識其身分，主要原因為其攻擊手法及工具，與已知的先進持續攻擊（ATP）組織都不同。

走過20個年頭的阿里巴巴集團今天在杭州舉辦第10屆的雲棲技術大會，阿里巴巴集團CTO兼阿里雲智能總裁張建鋒在開場演講中，重磅發布了阿里巴巴第一款自行研發的AI推論晶片含光800，也正式推出了採用含光800晶片的雲端AI服務，可供企業直接租用。

阿里巴巴去年成立了達摩院半導體晶片公司平頭哥，先前已推出了RISC-V架構晶片玄鐵910，以及SoC單晶片平臺無劍，這次發表的含光則是一款神經網絡晶片NPU（Neural Processor Unit）。

阿里巴巴集團解釋，平頭哥產品命名多取自神兵寶劍。「含光」是上古三大神劍之一，含而不露，光而不耀，要用來比喻含光晶片可提供無形卻強勁的算力。

張建鋒表示，含光800是全球最高效能的AI推論晶片，在效能上，以業界慣用的ResNet-50測試，含光800單晶片效能最高可以達78,563IPS（Images per second），等於每秒可以處理7萬8千多張圖片，若用功耗比來看，則可提供500IPS/W。

阿里巴巴內部應用已經開始採用含光800晶片，主要用在支援阿里巴巴集團旗下電商平臺，例如產品搜尋、自動翻譯、個人化產品推薦、廣告以及智慧客戶服務等需強大算力的功能，試圖用來改善消費者的購物體驗。

張建鋒以阿里巴巴電商平臺淘寶的購物圖片搜索App「拍立淘」為例，他提到，拍立淘的圖片庫每天會增加10億張圖片，過去，需要耗費1小時，才能對每天新增的這10億張圖片進行識別與分類，作為使用者個人化的搜尋和推薦服務之用。改用含光800晶片後，AI系統只要5分鐘就可完成一樣的事情。

阿里巴巴也秀出含光晶片與業界主流AI晶片，甚至列出與GPU產品的比較，也宣稱，含光的推論性能遠高於業界產品，不過，阿里巴巴沒有揭露是與哪些廠牌的哪幾款產品比較。

含光800與業界主流AI晶片的效能比較表

另一個例子是杭州主城區的交通監視影片分析，阿里巴巴宣稱，過去需要40張GPU卡，可提供300ms延遲的回應速度，改用含光 NPU晶片後，只需4張專用卡，回應速度也快了一倍，只需要150ms。

緊接著上周的iOS 13，加入多項功能及安全修補程式的iOS 13.1及首個iPadOS也在周二（9月24日），較預定時間提前一周釋出。

iOS 13出現多項功能瑕疵，包括某些app開不了或閃退、耗電等問題，連美國國防部上周都發出提醒要使用者暫緩更新。iOS 13.1修正了這些問題，還加入iOS 13預定加入卻來不及加入的新功能，包括捷徑自動化、Apple Maps共享預定到達時間（ETA）、聲音共享及企業資料隔離等，還修正能讓外人繞過螢幕鎖定保護，偷看通訊錄的安全漏洞。此外，iOS 13.1還修正了幾個前一版有問題的表情符號（像是花枝、章魚、算盤及蚊子）等。

iPadOS則是第一個為iPad設計的作業系統。它以iOS相同基礎架構打造，並增加為較大螢幕及效能適用的功能及直覺設計，包括更適合多工作業、支援iCloud Drive進行資料夾共享、外接USB隨身碟、SD卡及和Apple Pen更整合等。iPadOS也和iOS 13一樣，加入暗黑模式及Sign In with App的隱私簽入工具。

iPadOS適用產品包括iPad Air 2、iPad Pro、第5代iPad及iPad mini 4以後的裝置。

不論是iOS 13.1或iPadOS，用戶開啟「設定」app，找到「一般」、「軟體更新」即可下載安裝。

就在蘋果釋出iOS 13.1及iPadOS同時，蘋果也發出安全公告，iOS 13及iPadOS中一項臭蟲，可讓第三方鍵盤app取得裝置存取權，進而竊取重要或隱私資訊。蘋果之後才會釋出更新程式予以修補。

蘋果指出，iOS上第三方鍵盤外掛可以是完全獨立無法存取外部服務，也可能要求「完整存取權」以便連網提供其他功能。該公司發現到iOS 13和iPadOS上的臭蟲，即可能導致鍵盤外掛取得完整存取權，即使用戶沒有許可。這意謂著裝置上的資訊，可能外流到網路上。

本臭蟲並不影響蘋果內建鍵盤，也不影響其他第三方獨立鍵盤程式。iOS 13.1來不及修補，蘋果表示很快會釋出軟體更新。

不過，如果你的iPhone、iPad或iPod Touch沒有安裝第三方鍵盤就不用擔心。不清楚自己有沒有安裝第三方鍵盤的用戶，可以開啟「設定」app、找到「一般」下的「鍵盤」檢視。

資安業者Sophos本周警告，駭客鎖定Instagram（IG）用戶展開網釣攻擊，傳送假冒為IG的侵權警告通知信件，實則為了騙取IG用戶的登入憑證。

研究人員表示，許多人都會在IG上張貼圖片或影像等各式內容，難免會在不經意中侵犯著作權，於是駭客便趁機展開攻擊，透過電子郵件傳送偽裝成IG的侵權警告通知，威脅將在24小時內關閉使用者的IG帳號，除非使用者提出異議。

因此郵件中就列出了一個「著作權異議格式」（Copyright Objection Form）的連結，使用者點選該連結之後，就會被導向一個假冒的IG網頁，以讓使用者提出上訴。

就像傳統的行動裝置網釣活動一樣，這個IG網釣網頁的網址列上的確寫著「https://instagram.copyrightinfor........」，後面則因為行動裝置的螢幕尺寸限制而未能完整顯示，因此使用者也看不見它所使用的頂級網域名稱為奇怪的.cf。只要一按下上訴（Appeal）鍵，便會要求使用者輸入IG帳號與密碼，用戶憑證即會被傳送到駭客所控制的伺服器。

Sophos指出，IG憑證對駭客的價值在於登入後能夠揭露更多與使用者有關的資訊，還可以詐騙使用者的親友，因此，假設IG用戶被駭了，那麼其親友也會曝露在安全風險中。

事實上，IG在發現用戶所張貼的內容侵犯著作權時，並不會先行警告用戶，而是逕自將內容移除，之後才會通知使用者，且會在郵件提供檢舉報告的內容，以及所侵權內容的所有權人身分。

研究人員也提出了幾項建議供使用者參考，以免落入網釣陷阱。例如在Sophos所取得的網釣信件中，有許多拼字或文法上的錯誤；在網址太長而無法一次檢視時，多花一些力氣查看完整的網址；使用密碼管理工具可避免在陌生的網域上輸入憑證；以及千萬不要透過電子郵件的連結輸入憑證。

微軟準備在今年10月公開預覽xCloud遊戲串流服務，即日起已開放有興趣的玩家登記。

xCloud允許遊戲玩家透過雲端執行Xbox遊戲，玩家不但不需下載遊戲，也不必配備Xbox，只要利用Android裝置及相容於Xbox的無線藍牙控制器就行。

測試xCloud服務的硬體需求，為支援Android 6.0或以上的手機與平板電腦，以及支援藍牙4.0且相容於Xbox的遊戲控制器，無線下載頻寬為10Mbps。

不過，xCloud預覽服務初期只支援美國、英國與南韓市場。微軟表示，他們會根據預覽意見來改善該服務，可能要好幾年才能部署至所有市場。

除了微軟之外，Google也正在打造遊戲串流服務Stadia，亦準備把遊戲機等級的遊戲，透過雲端傳送到Chrome/Android裝置及電視上，計畫今年就會在美國、加拿大、英國或其它歐洲國家推出。

Amazon近日針對旗下員工與眷屬提供了Amazon Care虛擬診所服務，只要下載Amazon Care程式，就能透過文字及視訊與醫生或護士交流，也能要求註冊護士（Registered Nurse，RN）到府服務。

Amazon Care主要提供緊急事件的護理需求，預防保健諮詢，生殖健康、出差或旅行健康，也負責回答有關健康及藥物的各種問題。

當文字或影像交流無法解決問題的時候，Amazon Care還會派遣註冊護士到家中、Amazon園區的保健室或其它地方，與員工進行面對面的評估與治療，包括採集檢體、執行現場測試、接種疫苗或其它身體上的檢查等。

令人好奇的是，Amazon Care與Amazon、摩根大通集團及巴菲特Berkshire Hathaway所合資成立的Haven健康照護公司並無關聯，也未與Amazon所收購的PillPack線上藥局合作，卻是由Amazon的福委會所主導，與華盛頓州的Oasis Medical Group合作提供醫療諮詢服務。

Amazon Care初期將率先服務西雅圖地區的員工與眷屬，之後會陸續擴大至其它城市的辦公室，但並沒有打算開放外界使用。

這是大型企業所設計的員工福利之一，為的是減少員工看醫生所花費的交通或等待時間，除了Amazon之外，蘋果也在去年2月成立了專替員工看病的AC Wellness健康診所。

Kik Interactive於本周宣布，將關閉曾經在美國風靡一時的即時傳訊程式Kik，裁撤上百名員工，只留下19名員工，企圖以最精簡的人力，全力衝刺新闢的Kin加密貨幣市場。

現身於2010年的Kik為一允許用戶匿名的行動傳訊程式，主要市場為美國，它在2015年獲得騰訊1,500萬美元的注資，在2016年曾有多達3億的註冊用戶，且當中有4成為青少年。然而，隨著全球行動傳訊程式與社交媒體的蓬勃發展，Kik程式的人氣快速下滑，使得該公司在2017年轉向新興的區塊鏈技術，發行1兆個Kin加密貨幣，並透過首次代幣發行（ICO）對外募資1億美元。

然而，美國證券交易委員會（SEC）在今年6月提出訴訟，宣稱Kik的ICO活動並未向SEC註冊，屬於違法行為，要求美國法院頒布永久禁令並處以罰款。

SEC指出，長年虧損的Kik因為知道資金會在2017年用罄，才在2017年發行Kin以募資1億美元，當中來自美國投資人的金額超過5,500萬美元；未向主管機關報備的ICO活動，剝奪了投資人得知合法授權訊息的權利，阻撓投資人作出明確的決策。

然而，Kik執行長Ted Livingston本周表示，在與SEC斡旋了18個月之後，他們的選擇只有承認Kin為證券，或者是上法庭辯論此事，但把Kin視為證券將扼殺所有加密貨幣的可用性，也會替這個產業創下危險的先例，因此他們選擇了後者。

只是，在法庭上的長期抗戰可能會消耗Kik的資源，與其選擇出售手上所持有的Kin，他們決定重新整頓內部資源以減少開支，包括關閉Kik程式，裁撤上百名員工，只留下19名員工，未來將只專注如何把Kin用戶變成Kin買家。

Livingston說，不管Kik的命運如何，Kin都會存活，因為它是在一個開放的分散式架構上運作，已有數十個程式與數百萬用戶在使用Kin。現代的加密貨幣通常以投機需求作為它們的商業模式，但Kik的目標卻是創造實際需求，以激勵人們購買及使用的加密貨幣。

根據Livingston的說法，目前每月約有200萬使用者在賺取Kin，有60萬使用者以Kin消費，就算關閉Kik會影響上述數字，但他相信Kin生態體系的持續成長，很快就會補足這個缺口。

Livingston是在9月24日宣布相關決定，儘管Kin在24小時內的價格只下滑了1.3%，每個Kin的價格為0.00000881美元，但已遠低於今年6月的0.00002491美元。

臉書AI研究院首席科學家、同時被譽為卷積神經網路之父的Yann LeCun，去年更獲得素有電腦界諾貝爾獎之稱的圖靈獎（Turing Award）殊榮，終於在睽違兩年後，今天再度來臺，在匯聚全球頂尖人才的全球影像處理會議（ICIP大會）上，發表自監督學習（Self-supervised Learning，SSL）在深度學習領域的發展，不僅能用來預測文字片段，也已經初步應用在影片未來動態的預測，比如自駕車先預測周遭車輛的行駛軌跡，再決定接下來的行駛方向。

Yann LeCun認為，自監督學習能突破現有深度學習方法的侷限。比如說，最廣泛使用的監督式學習（supervised learning），是由人給定標記好的資料，讓機器學習正確答案並作為推論根據。但是，這種學習方法是立基於人的標記，不僅資料標記過程需要花費大量時間與資源，機器也只能根據已標記的特徵來學習，完成指定的任務，如語音轉文字、分類圖像、物件辨識等。

又比如強化學習（Reinforced Learning），是透過獎勵與懲罰的機制，讓機器在虛擬情境中不斷試錯（trial and error），累積經驗來學習。這種學習方式雖然在競技比賽裡表現良好、甚至能勝過人類，但學習效率極低。舉例來說，人類在15分鐘內能領略的任一款Atari遊戲，機器卻平均要花83小時才能學會，在臉書研發的虛擬圍棋遊戲ELF OpenGo中，更要用2000個GPU訓練14天，更別提要訓練200年才學得會的星海爭霸遊戲（StarCraft）。

而且，強化學習並不能永遠在虛擬場景訓練，一旦進到真實世界，所有試錯的過程將會帶來高成本的代價。比如說，在自駕車了解前面是懸崖要轉彎之前，可能需要先掉下去幾百次，且不同於虛擬世界可以無間斷的循環訓練，在真實世界中花費的訓練時間只會更長；更何況，人類學習過程只需極少數「試錯」的過程，比如在看到前方的懸崖之後，常識就會使我們轉彎。

對此，Yann LeCun認為，自監督學習能解決這個問題。比起強化學習是從試錯的經驗中學習，自監督學習是建構一個龐大的神經網絡，透過預測來認識世界。換句話說，自監督學習所訓練的模型，能藉由觀察過去、當下所有的訓練資料，來預測下一刻會發生的事情，因此，在預測到車子將會摔落懸崖時，就能提前轉彎來避免。「就像人類是不斷透過已知的部分來預測未知，看到一半的人臉會自動在腦海補足另一半畫面，所以自監督學習是更接近人類學習行為的方法。」

影片、聲音等高維度連續資料的預測仍為自監督學習的挑戰

要更詳細的解釋自監督學習之前，Yann LeCun先舉例解釋人類的學習行為。如果在一個5個月大的小嬰兒面前，展示一輛漂浮在空中的玩具車，從零開始學習的嬰兒只會覺得，這就是這個世界運行的方式；然而，如果在一個兩歲的孩童面前這麼做，孩子將會很驚訝，因為他已經透過長期的觀察，在腦海裡形成一套常識，雖然他孩無法理解「地心引力」這個名詞，卻知道玩具車不該漂浮在空中。

小嬰兒隨著年齡會經歷不同階段的學習。

也就是說，「人類大部分是透過觀察來學習，少部分才是靠互動交流。」而自監督式學習，也是透過觀察，從現有訓練資料中的任何部份來學習，去預測未知的部份，而且學習過程中並不仰賴人類給定的標籤。Yann LeCun表示，不管是從過去的資料預測現在或未來、從近期的資料預測未來或過去、或從同一時間下的其他資料預測缺失的部份等，都能運用自監督學習來完成。

Yann LeCun也進一步以蛋糕，來比喻上述提到的三種學習方法，所能預測的資料量。其中，以強化學習能預測的資料最少，是基於獎勵才能做出少量正確的預測，就像蛋糕上的櫻桃；而監督式學習的預測資料量，是取決於人類提供的標記資料，一個樣本能回饋10-10,000 bits不等的訊息，像是蛋糕的表層；但是自監督式學習，則是給多少資料，就有多少資料能觀察，一個樣本能產生上百萬bits的預測回饋，就像整個蛋糕本身，這是其他學習方法所不能及的。

此外，在應用方面，自監督式學習目前在自然語言處理（NLP）的應用頗有成效。比如去年Google對外開源了用於自然語言預訓練的新技術BERT（Bidirectional Encoder Representations from Transformers），能在一個挖空15%內容的句子中，預測字彙並填空；其他相關的應用，還包括Word2vec、FastText、Cloze-Driven Auto-Encoder等文本內容處理模型。

除了NLP，圖像的填空是更具挑戰性的任務，但現在也已經能夠過拼圖與著色問題的解法來預測。因為自監督式學習適合用來預測具有離散分布（discrete distribution）特性的資料，所以在著色的部分，就能運用離散分布的方式，將顏色量化為較少數量的顏色種類，再挑選出可能代表該位置的顏色來著色；而拼圖問題則是能用基本的分類問題解法，先對資料的特徵進行訓練，再進行預測。

但是，自監督學習在影片或聲音識別的領域卻不如預期。這是因為動態的影像與聲音資料，都是屬於高維度的連續性（High-dimensional Continuous）資料，很難參數化（parametrize）其可能的離散分布，在這個情況下，就時常預測出含有多種可能性的結果。對此，Yann LeCun提出一個架構，要建構出世界模擬器（world simulator）模型，來預測現實環境將會因為每個決策產生什麼改變，再客觀的去衡量哪一種決策更有利。

對於自監督學習在影片預測的成效，Yann LeCun也提出一個研究案例。在一段高速公路的車流影片中，針對其中一輛車的行進路線進行測試，來檢視自監督學習模型，是否能藉由預測自駕車周遭車輛的行駛軌跡，來估算接下來的行駛方向與速度，測試過程中也保留原始的車輛，另外模擬出一輛不存在的自駕車，來對比兩輛車的行進路線差異。而這個模型也證實了動態影像預測的可行性。

黃色的是原本車輛，藍色的是虛擬自駕車。

對於AI的發展，Yann LeCun認為，現今的深度學習方法，雖然能帶給人類新科技的應用，如自駕車、醫療影像分析、語言翻譯、聊天機器人等，卻無法創造出「真正的」人工智慧，也就是具備常識、聰明、敏捷且靈活的機器人。不過他也認為，「儘管機器學習系統仍有侷限，但自監督學習可能是個解方，甚至在未來建構出擁有人類常識的機器人（Human Level Intelligence）。」而接近人類學習行為的自監督學習方法，就是實現這個理想的第一步。

Cloudflare推出了可以從用戶角度量測網站效能的工具Browser Insights，幫助開發者了解網頁變慢的地方、時機以及原因。

網頁的效能會影響用戶轉換的效率，而要著手改善網頁的效能，必須對網頁進行必要的測量，了解效能瓶頸的細節。Cloudflare舉例，當一家電子商務網站發現有許多流量來自秘魯，但是其轉換的效率比起北美的使用者還要低很多，而開發者猜測可能原因，是載入結帳的頁面所需要的時間比較長，導致使用者在結帳的過程，因不耐煩而最終沒有完成付款。

不過，驗證效能問題的原因是個難題，通常的做法無非是查看伺服器的日誌，或是觀察瀏覽器載入頁面執行緩慢的情況，但Cloudflare提到，僅查看伺服器端的資料，無法獲得網頁瀏覽器載入所有必要腳本，執行並且繪製頁面的時間，而這段卻是影響最終用戶體驗的關鍵。

而僅從少量的電腦或是終端量測網頁效能，則無法完整表現整體的使用者情況，且會忽略使用者的多樣性，而Browser Insights工具中的計時器，則能實際捕捉用戶瀏覽器載入網頁需要的時間。

而Cloudflare推出的Browser Insights工具，講求能夠偵測使用者端的實際情況，開發者能夠抓到請求等級的指標，像是用戶端收到第一個位元組的時間（Time to first byte，TTFB）、DNS回應時間以及TCP連接時間，另外，還能擷取頁面載入時間、解析HTML和執行JavaScript所花費的時間等頁面等級指標。Browser Insights會為每個HTML頁面加入一小段JavaScript追蹤程式碼，使用標準效能API來收集計時資料。

用戶在Cloudflare的服務儀表板上點選速度，就能查看Browser Insights工具所收集的資料，除了可以查看網頁效能的指標外，也能深入了解影響這些效能指標的各種因素，儀表板會以世界地圖展示各區域的指標表現。

接下來Cloudflare計畫為Browser Insights加入更多的指標和維度，並且能夠對子資源進行分析，提供瀑布圖來凸顯速度較慢的資源，並且讓開發者以A/B測試，掌握潛在影響流量效能的配置，並且在低於用戶預先定義的閾值時發出警報。

阿里巴巴CEO張勇在正式接棒董事局主席後，在杭州雲棲大會第一天，首度揭露了阿里巴巴的未來新戰略。

張勇表示，三年前，馬雲在舞臺上，宣布了阿里巴巴的「五新」戰略：新零售、新金融、新製造、新技術、新能源。但過了三年，已經走向百新、萬新，像是新物流、新農業、新建築、新傳媒、新公益、新娛樂、新健康、新城市等。

「各行各業都開始走向數位化與智能化，全面邁入數位經濟時代。」張勇提到，越來越多使用者消費行為的數位化，企業現在都可以蒐集，分析了。這創造了更多新的服務，進而真正帶動了更多新的消費，「這將是中國全面走向消費經濟、體驗經濟的巨大推動力。」

鎖定這波全面數位化的基礎架構需求，張勇在雲棲大會揭露了阿里巴巴的戰略是提供一套「商業的作業系統」(Business Operation System,可用來推動商業的底層系統之意），整合雲端AI與資料科技、金融服務、物流與供應鏈管理，來提供顧客行銷、品牌經營、銷售與分銷、數位行銷、智慧製造、通路管理、產品創新等類型的服務。

張勇表示，阿里巴巴將重新定義阿里雲，不在只是單純提供公有雲服務的平臺業者，也考慮要成為一朵從雲端、用戶端或邊緣裝置間即時互動的智聯網。尤其要整合雲端運算和大數據技術，「阿里巴巴雲計算大數據平臺，是核心引擎。而行動化的能力，也是未來在開發各種平臺，讓雲和端高度結合的載體。」 張勇更強調：「大數據與算力（Compute），各別是數位經濟時代的石油與引擎。」未來，產生大數據的場景會越趨多元，會造成大數據的量會是幾何級數的增加，如何處理好這些大數據？就必須有幾何級數強大的算力。因為，高效率也將成為數位經濟時代的核心能力。

瞄準數位化升級四大關鍵技術

阿里巴巴集團CTO兼阿里雲智能總裁張建鋒，則在第一天開場演講中，除了重磅發布阿里巴巴第一款自行研發的AI推論晶片含光800，也列出了數位化升級的四大關鍵技術，包括雲化基礎設施、大數據、智聯網、行動協同，這也將是阿里雲的發展目標。

第一項關鍵技術是可靠易用的雲。張建鋒表示，雲是數位經濟的基礎建設，規模效應會越來越大，將為企業帶來穩定、便捷和低成本。他更建議企業，要把「上雲視為一號位（第一順位）的戰略決策」。

第二項是全局智能的大數據。他提到，數據要整合全通路，才產生價值。整個過程包括從數據彙整蒐集、清洗篩選、分類儲存、認知挖掘到智慧應用。，張建鋒指出，就連政府機關如浙江省政府的上雲，也打通了42個廳局、92個部門的資料，整合了共172億筆數據，來提供900萬筆數據的調用。

第三則是雲端一體的智聯網，「一切設備都要線上化、即時化。」張建鋒以橫店東磁為例，他們透過生產加工設備的數據監控，提升了30%的企業管理效率。

最後一項是，隨時隨地的行動協同，來改造企業營運管理流程。張建鋒指出，行動化已經從消費領域進入了生產領域。以東方希望為例，採用App來開發企業辦公資訊化需求，開發了47個小Apps，取代過去的大型應用系統開發，讓開發費用大幅降低為原本的百分之一。

阿里雲是Gartner今年全球公有雲魔力象限（Magic Quadrant）所列的6大公有雲業者之一，僅次於AWS、Azure和GCP，2018年在亞太市占更高達近2成。阿里雲要整合雲端運算和大數據，甚至是邊緣裝置的作法，類似其他競爭對手如Azure、AWS過去2年，大力瞄準雲端與智慧邊緣整合的策略，但阿里巴巴沒有進一步揭露在邊緣運算的布局細節。

在2013年2月，美國前總統歐巴馬一道行政命令，催生了一個影響美國聯邦政府各部門的新安全框架。

這個安全框架就是2014年2月正式發布的NIST網路安全框架（Cybersecurity Framework，CSF），不到一年，美國3成組織開始參考，2017年，美國聯邦政府甚至要求下屬機關都要採用，不只有關鍵基礎設施而已，甚至極力建議美國企業導入，連中小企業都能用。根據Gartner估算，到了2020年，半數美國企業都會採用。

而且不只美國，連英國、義大利、以色列、日本等國都有政府機關或大型企業引進。例如在日本，NTT、NEC和Hitachi等40家日本大型企業合組的關鍵基礎設施跨產業聯盟，早在2015年，就決定採用這套框架，作為各產業的共通資安語言和共識基礎，以強化跨產業的資安交流和協同防護。也有科技業者，如Cisco，開始在自家產品中套用這套框架的設計。

這個框架從網路安全風險生命周期各階段，識別、保護、偵測、回應到復原，設計了一套資安工作檢核表架構，去年大改版增加到了5大類108個控制項，增加了新興資安議題，如供應鏈網路安全、弱點察覺等，可以讓企業或組織來評估自己的資安成熟度，甚至作為改善和強化的參考方向。

要持續改善資安，得先知道自己做得好不好，才能集中資源，聚焦在不足之處，也才能重新安排資安防禦措施的優先順序。NIST網路安全框架就提供了一整套，從風險管理角度來設計的評估架構和清單。

美國國家標準技術研究所（NIST）設計這個框架時，也參考了許多常見的IT治理標準與資安標準，例如常見的ISO/IEC 27001，或是CIS CSC、NIST SP 800-53 Rev. 4，另外還參考了近年OT領域常見的ISA 62443-2-1、ISA 62443-3-3，與企業IT資訊治理框架COBIT 5。不過，看似包山包海，但CSF卻是一份主打容易上手，連中小企業都能用的網路安全框架，甚至有一位大城市的資安長，靠他自己一個人，就設計出了一個用來評估市政機構資安成熟度的表單。他就是美國奧勒岡州波特蘭市資安長Christopher Paidhrin。

Christopher Paidhrin在一個Excel表中，設計出了一份完整的NIST網路安全框架規畫工具，受到不少資安專家關注和推薦，甚至有廠商，如弱點管理軟體廠商Tenable就推薦大家直接使用這個Excel檔，來評估自我資安成熟度。

勤業眾信風險諮詢公司總經理萬幼筠曾問過這位資安長，為何用Excel設計？對方回答，因為他只靠自己一個人來做這件事。這更反映出，CFS不一定要大企業、大團隊才能實施。

採取和ISO 27001類似的風險管理精神，但又不用像這些標準那樣，得經過第三方驗證，企業單靠自己就能實施CSF，萬幼筠更以「內功」來比喻CSF的架構。

內功練好了，學起各種招式都能得心應手，也能發揮更大的威力，甚至不管對手、駭客如何出招，都能有一套因應對策。這也正是CFS的價值。

 相關報導  NIST網路安全框架當紅

雖然資訊安全談了很多年，但還是有很多企業，處於頭痛醫頭、腳痛醫腳的狀況，不論是導入資安管理標準與指引，建立資安事件應變小組，或是採購各式資安解決方案，都成為這幾年企業防護關注的焦點。

但最大問題在於，多數企業在網路安全管理面向上，往往還是欠缺整體通盤的考量，不過，這個由美國國家標準與技術研究所（NIST），所提出的網路安全框架，近年已被看做是企業提升企業資安防禦水平的新利器。不僅是因為其框架中所畫分的5大功能，包括識別、保護、偵測、回應與復原，將網路安全風險管理的生命週期涵蓋，更大的原因，是在此框架的規畫與實施方面，提供了結構相當清晰的策略，且相對容易實施，對於還未有完善資安規畫的企業而言，可以帶來明顯的幫助。

而且，這個網路安全框架還有一個優勢，就是提供應用彈性，可適用於不同領域的組織或企業，並具備資安成熟度的概念，能便於建立評估的基準，進一步提升資安防禦水準。

新版本已將供應鏈管理納入範圍，未來將會成為更通用的工具

關於這個NIST網路安全框架，大家也可直稱NIST Cybersecurity Framework，或是CSF，但它到底為何會受到高度重視？對於多數國內企業而言，可能都對它還是感到陌生。

這是一個由美國國家標準技術研究所（NIST），所提出的網路安全框架，原本是美國政府為改善關鍵基礎設施的資安需求而起，但也強調它不限於政府單位採用，對於企業而言，其實也是強化資安的優化工具。在2017年，美國政府更是要求聯邦政府機關，都要導入這個框架。

值得注意的是，不只美國聯邦政府使用這項框架，來管理網路安全風險。在今年開始舉行的Cybersec 101系列研討會上，勤業眾信風險諮詢公司總經理萬幼筠更是指出，這個框架其實還帶動了全球針對關鍵基礎設施，在立法保護上的潮流，包括歐洲、加拿大、巴西，以及韓國、日本、中國、澳洲、新加坡、馬來西亞、泰國與印度等亞洲各國，臺灣也不例外。

對於企業而言，更重要的是，2018年NIST網路安全框架新推出1.1版，由於新涵蓋了資訊供應鏈安全風險管理，這影響到提供美國聯邦政府的供應商。

對於供應鏈安全風險管理的納入，萬幼筠更是認為，這個NIST網路安全框架，在國際上會越來越變成通用實作的項目，也就是大家都要依循。而且，開發、採購階段均能適用此框架。

事實上，像是Cisco等科技大廠，不僅將CSF概念套用於自家的解決方案，在今年初，於臺北舉行的Cisco Connect TPE大會上，該公司系統工程經理Michael Lin也建議，要檢視企業資安的整體現況，並找出需要優先需要改善的面向來規畫，NIST網路安全框架就是不錯的工具。

對於NIST網路安全框架的發展，萬幼筠特別提醒一件事，其實該框架處處都在提醒企業，資安沒有百分百安全這件事，重點是可以把組織的資安韌性（Resilience）提高，業務可以快速復原，並有相關配套，像是NIST也將保險Cyber Insurance視為重要一環。

這是因為，安全強化還有一些不是技術能力不及的問題，還要考量到預算，做到最適化的資安。他強調，NIST所聚焦的就一件事，就是要不斷評估找到關鍵風險，強化資安韌性。

而他也認為，NIST網路安全框架，將會成為一個通用語言的工具，可以橫向自我解釋的工具，有助於提升組織或企業的資安防禦水準。

CSF是基於風險為基礎的架構，優勢在於具有靈活彈性且容易切入

不過，對於企業而言，市面上各種不同的資安框架或標準，讓企業有所選擇參考，但也可能無所適從。例如，國內企業較熟悉的資安認證標準ISO 27001，近年興起的MITRE ATT&CK框架，以及澳洲政府提出的ACSC Essential Eight。

因此，企業該如何看待這些資安框架與標準？NIST網路安全框架又有什麼特殊之處？BSI英國標準協會臺灣分公司客戶經理花俊傑表示，每個標準都有擅長的地方，以及適合使用的組織與情境。

以ISO 27001而言，它是目前國際公認的資訊安全管理體系，能夠讓組織建立完整的管理制度，並且從風險的角度來實施所需的控制措施。

而NIST CSF也是以風險為基礎，但它的優勢在於靈活彈性且易於實施。若是企業現有環境人力資源不足，或是對ISO標準認知還不夠，也許NIST CSF是一個相對較為容易切入的作法。

即便已經導入像是ISO 27001的組織，也能藉此框架的控制類別，與成熟度評估的方式，進一步強化網路安全。

至於近年興起的MITRE ATT&CK框架，主要提供了結構化的方式來解讀攻擊手法和行為，藉此強化企業防禦評估；而ACSC Essential Eight是透過八項最有效的安全控制措施，來緩解網路攻擊事件的發生。一個針對入侵流程，一個聚焦系統安全，相較之下，NIST CSF並不是著重特定領域或單點的作法，因此兩者並不衝突。

成熟度評估是持續落實網路安全的關鍵之一，中小企業也能適用

此外，過去企業可能難以評估自身資安做的好或不好，而在NIST網路安全框架設計中，所包含的成熟度概念相當重要，而這也是近年資安發展的一大趨勢，像是上述的ACSC Essential Eight，也具有成熟度的設計。

當資安工作以成熟度來展現時，將可利於盤點資安現況，規畫資安目標，並讓企業能有一個基準，可以比較自己在各個項目的作法，進而從風險、成本與業務特性來考量，找出需優先改善的面向，同時，要逐年自我檢視才能不斷精進，做到資安防禦水準的提升。

而且，NIST的文件內容都是公開的，當中也已說明，這是不論企業規模大小都可適用的工具，儘管美國所指的小企業與臺灣的小企業，人數規模可能還是有些落差，但從現實案例來看，也是有熟悉組織業務與安全的人，可以一個人來完成檢核表的評估作業。無論如何，這都將是臺灣企業值得參考的工具。

以風險為基礎的NIST Cybersecurity Framework 1.1版中，可協助企業與組織建立通盤的網路安全管理策略。當中包含5大構面，並有23個類別與108個子類別（圖中括號部分），同時將搭配描繪資安防禦現況與目標，以及成熟度的概念，以找出優先強化的順序。資訊來源：NIST，iThome整理，2019年9月

 相關報導  NIST網路安全框架當紅

對許多企業而言，擔心資安防護不知從何著手，或是推動多年難以評估成效，近年來，NIST網路安全框架（Cybersecurity Framework，CSF）的應用，正成為企業關注的焦點，最大原因是，它能夠快速幫助企業找到方向，並具有靈活彈性、易於實施的特性，為企業在規畫與執行網路安全時，能有一個容易遵循的方式。

為了能夠建立通用的網路安全架構，其實，美國國家標準與技術研究所（NIST）做了不少的努力，像是在這個核心框架中，是以風險為基礎來設計，與ISO 27001精神相同，並是基於現有標準、指引與最佳實務作法而成，是一個通用且易於單位實施的架構，進而幫助組織與企業，都能依據自身環境彈性使用，更好地管理與降低網路安全風險。

基本上，CSF是由三個需要持續的要素組成，分別是：

● 框架核心（Framework Core）

● 框架層級（Framework Tiers）

● 框架輪廓（Framework Profiles）

或許，框架的概念對於許多人來說，可能還是有點抽象，因此這次我們先從第一個要素「框架核心」中，內容條列結構較清晰的資安工作檢核表談起，幫助大家能夠更好去理解，再來一步步說明如何使用。

CSF框架核心就是資安工作檢核表

關於NIST網路安全框架，主要包含5大功能面向，提供一個網路安全生命週期的管理策略。在此資安工作檢核表中，5大功能下具有23個類別與108個子類別，方便企業或組織能夠依循這些項目，評估各子類別可採行的安全措施與行動，並提供了許多參考資訊，可以對應到國際共通的標準與指引。同時，NIST也提供了Excel檔案格式的內容，方便組織或企業可以直接下載使用。圖片來源／NIST

框架核心具有5大功能，檢核表細分為108個控制措施

首先，CSF基於其核心所展現的資安工作檢核表，就是實用的工具。為了便於使用，NIST已經提供了一份Excel檔案格式的表格。簡單來說，在表格的最上方一列，是核心框架的組成要素與結構，包括功能、類別、子類別與參考資訊；而在表格最左側一欄，則是列出了框架核心的5大功能，分別是：識別（Identify）、保護（Protect）、偵測（Detect）、回應（Respond）與復原（Recover）。

基本上，這裡呈現的5大核心功能就是重點，定義了企業建構網路安全防護時，所需要重視的5大構面，讓企業在管理安全風險時，能夠對應到事前、事中與事後的環節，提供網路安全生命週期的管理策略。

在這CSF的5大功能之下，目前的1.1版總共定義出23個類別，以及108個子類別。基本上，主要類別是較為明確的管理方向，而更細分出的子類別項目，是企業可採行的安全措施與活動。

例如，在第一個「識別」的功能之下，包含了6個類別，分別是資產管理、企業環境、治理、風險評估、風險管理策略與供應鏈風險管理。

而類別之下的子類別內容，就是可供企業逐一檢視自身防禦的控制措施，如此簡易的表列工具，可讓企業執行網路安全防護的工作時，更容易聚焦。例如，第一個項目是，組織內的實體設備和系統列入清單，第二個是，組織內的軟體平臺和應用程式列入清單，接下去還包括資料流量的管理、資訊系統編目列管、資源調度的優先順序，以及與供應商之間的資安任務等，這些項目也等於是較為明確的內容。

換言之，在此檢核表之下，企業就能作為落實網路安全的參考與依據，而且不論企業規模大小都能適用。

建立網路安全計畫，企業需考量業務、風險與資源來決定優先級別

關於組織、企業在框架輪廓的描繪上，NIST提供了簡單的說明，可以依據本身的業務營運要求，從優先級別、風險評鑑之差異分析，以及所需要的資源，來決定安全現況改善的實施順序，讓企業每次強化都能夠最大化地提升網路安全防護水準。圖片來源／NIST

可對應到國際共通的標準與指引，並且是IT與OT環境都能適用

特別的是，在檢核別的最右側一欄，CSF還列出了各子類別的參考資訊。對於企業而言，這不僅是讓使用框架的人，能夠方便將CSF的子類別，對應到不同重要標準之下的控制措施，或是參考資料，另一方面，這其實也顯示出，CSF與其他資安架構的互通性。

關於這些參考資訊的內容，主要包括5大標準與引指，例如，ISO/IEC 27001：2013、CIS CSC、NIST SP 800-53 Rev. 4，以及ISA 62443-2-1：2009、ISA 62443-3-3：2013，還有COBIT 5。

其中的ISO/IEC 27001，是常見資訊安全管理標準；CIS CSC是非營利組織網路安全中心（CIS），發展出的資安防護架構CIS Critical Security Controls（CSC），或稱為CIS Controls；SP 800-53則是由NIST提出，針對聯邦資訊系統的安全性和隱私權規範。

同時，還有近年OT安全領域常提到的ISA 62443，它是國際自動化協會（International Society of Automation，ISA）提出，針對工業自動化和控制系統網路安全的標準。

基本上，這些都是與整體網路安全有關的資安架構，不僅如此，當中也包含了COBIT 5，這是國際電腦稽核協會（ISACA）所提出的企業IT資訊治理框架。特別的是，從這些參考資訊的內容來看，也可看出這個網路安全框架在IT、OT環境都適用的特性。

透過框架輪廓與實施層級，可評估資安防護現況與成熟度

在這個框架核心的檢核表之外，還有兩個重要的概念，也是執行上的關鍵，那就是一開始提到的CSF組成要素──框架輪廓與實施層級。

簡單來說，框架輪廓就是一種組織側寫，一種現況的描述。主要將依據組織與企業本身的業務營運，以及風險容忍度，還有資源成本，來建立適合企業本身環境的網路安全活動計畫。

而要盤點的項目，就是根據前面提到的108項子類別，各別依照這個組織輪廓，來了解自己的網路安全現況，並與設定的下一個目標理想狀況相比較，來找出防禦強化上的優先順序。

而實施層級方面，則是可以幫助組織評估執行的程度。基本上，NIST也為了此框架，定義了4個實施層級（Tier），來代表各項子類別的落實程度，第一層是部份實施，第二層為察覺風險，第三層為重複評估，第四層為完全適應。

簡單來說，透過實施層級，企業就可以大概知道現有的資安現況與樣貌。因此，企業可以針對108項子類別去檢視與落實，瞭解自己是部分完成，還是已經實施，更進一步，或是已經能重複進行，甚至可以做到最佳化。

雖然，實施層級越高，一般也就表示CSF標準的實現越完整。不過，最好要能設定與自身業務營運相符合的目標，而這也顯示出此框架所提供的彈性。

不過，其實NIST也有提醒，這個實施層級不一定代表成熟度等級。因此，關鍵原則在於，要從企業自身的角度來評估，根據任務、監管要求與風險偏好，來確定現在實踐的網路安全風險管理，是否與業務活動可以充分整合。

有助於評估總體資安實施成效，易於找出企業優先補強之處

對於NIST網路安全框架這樣的議題，國內也有一些資安相關專家，已經在關注這個網路安全框架，並呼籲大家重視。例如，在今年9月開始舉行的Cybersec 101系列研討會上，勤業眾信風險諮詢公司總經理萬幼筠表示，其架構包含了組織、策略管理，以及類似ISO 27001的框架，而他更是強調，此框架所談的就是成熟度的布建，他並以內功來比喻CSF的架構。

基本上，這是一個以風險為導向、持續運作的管理架構。論及NIST網路安全框架的內涵時，針對核心功能所包含的產業標準、指引與最佳實作部分，萬幼筠指出產業知識、分顯分析的重要性。例如，以一臺Unix作業系統而言，在不同環境下的風險分析，應該要有差別，像是用在電力分配分布的電腦，還是放在路邊讓人查詢的Kiosk。

他並強調，這個框架其實與產業別、資訊供應鏈，並且關係到規畫到採購，以及預算成本考量。

而從實施層級方面來看，萬幼筠也更明確指出，這裡講的完全就是風險管理流程，要管理風險，建立風險，以及考量風險。

關於CSF框架對於企業的幫助，BSI英國標準協會臺灣分公司客戶經理花俊傑，也進一步解釋該框架的應用優勢。例如，若是企業不知道如何進行網路安全防護，就可以從這五個主要的功能來做，參照其中的子類別要求來評估，幫助企業建立基礎。而且，這裡隱含了成熟度的概念在其中。

在落實資安防禦上，一般企業往往可能不知從何做起？或是不知道做得好還是不好？花俊傑表示，透過使用CSF，將可以看出組織現有的資安現況，之後，就能依照組織特性，考量風險與企業現有的資源，再訂出目標，決定日後要採取補強的策略。

對於評估現有和目標的框架輪廓，花俊傑指出其重要性，並舉例說明，像是現有網路的設備管控不足，或是系統身分驗證機制比較薄弱，企業將可透過評估現有的輪廓與目標的輪廓，進行差異分析，來決定要做哪些實質的資安管控作法，以降低風險。

已有規畫工具可為企業參考，持續執行將是一大關鍵

在這個NIST網路安全框架的使用上，NIST還有提供了7個建議步驟，讓組織能持續落實。簡單來說，這7個步驟就是從優先級別與範圍、業務流程目標確認，到建立現況輪廓、風險評估、建立目標輪廓，再從優先級別與差異來分析與決定，並實施行動計畫。

換言之，根據這些步驟，企業或組織就能依據業務特性，一步一步來建立新的網路安全計畫，不論是盤點安全現況輪廓，以及自訂想要達成的目標輪廓，以及做到持續強化與改善。

值得一提的是，對於這個檢核表的規畫方式，其實NIST也提供了簡單的說明，以便將組織資安防禦落實的現況，以及目標進行比較，並了解兩者之間的差距。例如，可以建立優先級別（Priority）、風險差異（Gap）、估計成本（Budget），以及每年活動（Activities）的欄位。

當然，對於企業而言，如果能有實際的參考範例，會更理想。因此，我們看到一些資安專家與資安業者，都分享了一張圖表，是由美國奧勒岡州波特蘭市的資安長Christopher Paidhrin所製作，而這個規畫工具，其實也是他實際在市府實施框架時所使用。

簡單而言，在這個圖表中，前面三欄的項目，與NIST提供的Excel表格一致，就是功能、類別與子類別，接下來的一些重點，就是建立了風險等級評估、預算、成熟度，以及年度行動計畫的欄位。

其中，在風險等級評估方面，這裡搭配了CIS CSC的指引，來確認風險優先級別；在預算方面則分成了3欄，可便於規畫未來3個年度的估計成本；而成熟度的欄位可依定義的層級數量而定；至於年度計畫與初步行動的欄位，可以制定3年以上的進度，並以每欄就是一季的方式來展現。因此，以這樣的檢核表內容而言，其實也就能看出評估時，所要考量的重點。

整體而言，這套NIST 網路安全框架的執行，不僅能夠幫助建立新的網路安全計畫，或是為現有計畫帶來改進與幫助，同時，企業也要注意，要能有自我評估的方法，做到持續性的檢視，並不是做完一次就能一勞永逸的工作。

最後要提醒的是，行動計劃的實施並不是結束。對於安全計畫的有效性，花俊傑提醒，持續的概念相當重要，才能讓企業維持健康的狀態，而且，一旦目標達成之後會變成現況，因此又會有下階段的目標。如此一來，透過持續與改進，將能拉高企業資安防禦水準。

 相關報導  NIST網路安全框架當紅

關於NIST網路安全框架的資訊和文件，雖然都是免費公開在網路上，檢核表的內容也提供Excel檔案格式版本，放在NIST官方網站上即可下載，但對於一般企業而言，如果能有範例能夠參考，會更具體。

其中，一份由美國奧勒岡州波特蘭市的資安長Christopher Paidhrin所製作的圖表，受到一些資安專家與資安業者的關注，他們並分享了這張圖表。例如，勤業眾信風險諮詢公司總經理萬幼筠表示，他曾經聯繫過該圖表作者，並詢問為何使用Excel表來製作，對方回應，因為他只有一個人力來做這件事，而弱點管理軟體廠商Tenable也在官網上，分享了這個資訊。

在這張圖表上，其實，我們可以看出規畫工具的考量要點。像是在功能、類別與子類別之後，可以建立風險等級、預算、成熟度，以及年度行動計畫的項目欄位，讓企業或組織可以從風險分析、預算，找出優先強化的面向，並依照自身的安全現況，訂出想要達成的目標輪廓，同時更要藉由框架來持續評估其安全成熟度。而且，該份Excel格式的規畫工具，在不同工作表中，其實也列出相關資訊方便參考。

關於NIST網路安全框架的規畫工具，美國奧勒岡州波特蘭市的資安長Christopher Paidhrin所製作的一份圖表，相當具有參考價值。這是基於NIST所提供的檢核表格所設計，前面三欄就是原本表格內容的功能、類別與子類別，圖表不僅描繪出他在實際規畫使用的樣貌，同時也加上說明性的泡泡框，有助於他人瞭解表格內含意。因此，企業可參考其架構，調整為適合自身評估執行的計畫。圖片來源／Christopher Paidhrin、Tenable

 相關報導  NIST網路安全框架當紅

面對企業進行整體資安架構盤點的議題，即便本身沒有專屬的安全團隊，仍有一些通用準則可以遵循。例如，美國國家標準與技術研究所（NIST）提出的網路安全框架，也就是Cybersecurity Framework（CSF），就是當今值得企業參考的資安架構。

但是，在採用CSF的過程中，企業可要注意一些關鍵與細節，才能讓框架的實施運作，可順利且更好的發揮效用。

落實企業安全計畫需從上而下，針對存在風險決定優先強化順序

基本上，CSF框架涵蓋了資安的5大面向，包括識別、保護、偵測、回應與復原，對於企業而言，可供建立網路安全生命週期的風險管理。

特別的是，在2018年的NIST CSF 1.1版後，不僅是將5大功能，從22類別與98項子類別，擴增到23類與108項。在此當中，新版特別針對供應鏈安全、身份識別與驗證，以及自我評估資安風險的內容，進行強化，因此，更能貼近目前實務面的需求，並成為不限組織規模大小和業務型態，所有企業對於網路安全強化都能通用的架構。

為了方便組織採用，NIST已經提供使用CSF的7個步驟，幫助打造與實施所需的管控措施。讓組織或企業可以依據其安全現況，進行風險評鑑，然後自訂出想要達成的目標輪廓，評估出優先強化的順序以實施計畫，並藉由框架來持續評估其安全成熟度。

但要注意的是，許多資安標準導入或是制度推動，都有一項關鍵要素，那就是要獲得公司上層的支持。因此，NIST也建議，組織應透過由上而下來貫徹與落實資安政策，並且持續地進行。

企業該如何做？從組織運作方式來看，可採用由上而下的方式，從最高的管理層（Executive Level）、業務層（Business/Process Level），以及實施層（Implementation/Operations Level），經過這三個階層的互相合作，來落實這項整體安全的計畫。

以管理層為例，簡單來說，不僅是要關注組織所面臨的威脅，也要決定因應的措施與優先順序，因此要與業務層確認任務的優先順序、風險偏好與預算。

接下來，業務層將依照管理層的決定，進行現況盤點的輪廓側寫，並回報管理層與目標輪廓的差距，再往下交由實施層來擬定行動計畫。之後，上報實施結果，以供下一階段計畫評估。

值得注意的是，目前國內也有一些業者在談CSF，BSI英國標準協會就是一例。對於導入時的注意事項，他們的臺灣分公司客戶經理花俊傑給出3個建議：首先，CSF已經提供完整的文件和實施步驟，對於想要建置導入的組織而言，了解框架內容是第一步，同時也需要有管理階層的支持；其次，要從整個組織管理階層與本身業務結合，基於風險管理的角度，從資源與風險找出強化優先順序；最後，他提醒，這是要持續檢視的作法，不是做過一次就結束，周而復始進行才能維持一定的健康狀態。

此外，他也用日常身體健康檢查來比喻，資源越多檢查作法越細緻，資源少也還是能做到一個適當的檢視。

成熟度如何評估是關鍵，外部驗證是進一步的作法

在使用NIST網路網路安全框架時，往往可能還會面對成熟度評估的問題。除了CSF本身的實施層級，花俊傑也指出評估時可考量的3個元素，分別是風險管理流程、整合的風險管理計畫，以及外部參與等來進行評估。

如果企業還想提升評估的有效性，在自評方式之外，尋求外部第三方協助是進一步的作法。這樣的作法，如同企業管理一般也有內稽、外稽之別。

在NIST網路安全框架提出後，近年也已經發展出驗證方案，透過獨立第三方單位來協助實際評估，以進一步加強企業管控風險。而驗證方案的出現，這其實顯示出一件事，這個框架也開始被視為一項資安上的指標。

目前，BSI在2018年3月開始推出NIST CSF認證，HITRUST也在2018年5月提供相關評估方案，不過，兩者驗證方式不同。對於企業取得相關認證的現況，花俊傑表示，例如，包含美國、加拿大的企業，與臺灣鄰近的香港，也有雲端服務業者取得BSI的CSF證書。

對於評估作業可能遇到的難題，花俊傑也特別分享一些他們的經驗，供國內企業參考。舉例來說，對於NIST網路安全框架，BSI將成熟度分為5個等級，並有1到15的分數級別，每3分為一級，讓5個等級可以有更細的畫分，更容易瞭解下一成熟度的目標。

他舉例，以CSF識別功能的資產管理類別而言，如果組織沒有定義資產盤點的實施做法與計畫，評分上就會落在第一級的「無正式方法」；若組織對於資產盤點已有自定的規範程序和方法，並能依照規範要求執行，評分時就會達到第二級的「被動」；更進一步來看，如果組織在資安盤點上，已從風險角度涵蓋所有日常作業，並有量測的KPI指標，相關人員皆有足夠的培訓技能來自我管理，就能達到第三級的「主動」。

特別的是，如果還要達成第四級的「改善」和第五級的「最佳化」，他也具體指出，企業需要的是建置自動化的監督與量測系統，投入更多資源，並且考量從各種來源的不同輸入資訊，進而決定有效地管理風險和改善作業。

另外，關於BSI的CSF證書，他也表示，企業必須先取得ISO 27001認證，因為它是所有企業通泛適用的基礎，對已導入的企業而言，可透過CSF對網路安全的面向提升，朝更好的成熟度邁進。

NIST網路安全框架的源起

圖片來源／NIST

由美國國家標準技術研究所（NIST）提出的網路安全框架（Cybersecurity Framework，CSF），原是美國政府為改善關鍵基礎設施資安防護的需求而產生。

面對近年重大網路安全事件的威脅，在2013年2月，美國總統歐巴馬發布了第13636號行政命令（EO），下令NIST與利益相關方合作，根據現有的標準、指引與最佳實務作法，訂立一套可供相關單位採用的資安框架，能夠藉此強化網路安全。接著，NIST也在同年7月，推出該框架的草案，並於2014年2月發布1.0正式版本。

後續，在2017年5月，美國總統川普簽署新的行政命令，更是要求所有美國190個聯邦機構，依循Cybersecurity Framework框架。而NIST也在蒐集已採用企業與單位的意見回饋後，於2018年4月發布此框架的1.1版。

雖然，這個網路安全框架一開始要求的實施對象是政府單位，但其實也不限於政府單位採用，而且它也受到受到全球多國組織與企業的認可，不只是影響多國在關鍵基礎建設的網路安全法規面，同時也成為企業強化自身網路環境安全，相當值得參考的工具。

 相關報導  NIST網路安全框架當紅

強化資安防禦，企業如何打造一套整體管理作法？NIST提出的Cybersecurity Framework越來越火紅，易於實施的5大框架內容，便於衡量的資安成熟度概念，而且不分企業規模大小都適用，不只是美國政府下令聯邦機關導入，在國際上也獲得美歐亞多國政府參考，企業也相繼導入。