IBM完成紅帽併購案後，去年秋季在國外發布並在臺以非正式方式向媒體揭露了全新雲原生軟體產品組合Cloud Paks，以容器化技術將軟體整合為多組解決方案。今天（3/18），IBM在線上舉辦的記者會，正式介紹了這個以套餐形式設計的雲端軟體產品組合，並在今年要在臺力推該組合的6大產品線。

臺灣IBM雲端運算暨認知軟體事業群總經理許仲言提到，2020年IBM雲端運算暨認知軟體平臺部門的發展策略，將持續利用混合多重雲方式，為企業進行數位轉型。他進一步提到，IBM與紅帽（Red Hat）合併完成後，這2個部門之間在各產品線上，都有非常密切的配合，目的就是要提供企業客戶更加彈性的解決方案。

許仲言強調，IBM今年重要策略宗旨是，以認知型企業（Cognitive Enterprise）混合多雲平臺為核心，提供IBM Cloud Paks、Red Hat、IBM Cloud的解決方案。在IBM完成紅帽併購案後，IBM將既有的軟體平臺與紅帽產品線進行整合，推出6個Cloud Paks，涵蓋了企業客戶端到端的整個數位轉型過程，所需要的產品線與服務。他更提到，在數位轉型過程中，企業面臨混合多重雲是必然的趨勢。

IBM Cloud Paks包括的6大產品線，分為應用程式開發解決方案Cloud Pak for Applications、自動化資料分析解決方案Cloud Pak for Data、整合套件組Cloud Pak for Integration、流程自動組Cloud Pak for Automation、混合雲管理解決方案Cloud Pak for Multicloud Management，這前5項都在去年秋季已在國外發布，許仲言提到，新增的第6個資安解決方案Cloud Pak for Security，是IBM去年第四季的最新發布。

IBM將在臺力堆Cloud Paks六大產品線

許仲言舉例，企業如果想把架構打造成敏捷性架構，可以利用Cloud Pak for Applications，將應用程式端打造成容器化架構或敏捷化的架構。此外，過去兩三年，許多企業想做人工智慧，但是在資料清洗與資料治理面臨很大的困難度，加上資料科學家在市場的需求大於供給，共有兩大問題。

他提到，IBM設立Cloud Pak for Data平臺的目的，是要把過往從資料蒐集、資料清洗整理，甚至後續資料分析到機器學習、深度學習的一連串工作流，都能在該平臺做到。許仲言進一步補充，在該平臺更強化了Auto for AI，讓企業在演算法設定或演算法模型的管理，或是在模型參數的設定，也就是特徵工程上的設定，可以用相對少量的資料與資料科學家，來進行AI的應用。

再來是Cloud Pak for Integration，許仲言解釋，該產品線可提供企業從前端的數位通路到中臺、後端的ESB（Enterprise Service Bus，企業服務匯流排），利用一條龍方式串連應用程式與資料。而Cloud Pak for Automation，則是把IBM的流程工具整合在一起，提供企業從半自動化、自動化到智能化的服務。

此外，許仲言提到，現在客戶的環境，不論是傳統IT或是上到混合雲的部分，IBM研究大部分客戶，幾乎是採用了2到3個以上不同的叢集（cluster）。針對不同的叢集，企業如何以單一的儀表板進行管理、維護，甚至是預警，對此，IBM提出了Cloud Pak for Multicloud Management的解決方案。

在資安解決方案Cloud Pak for Security的部分。他則提到，國內許多企業不是用IBM的資安解決方案，所以IBM提供的是聯合搜尋的方式，不管企業是用哪家資安業者的產品，IBM能讓客戶在資料不上雲的情況下，第一時間發現資安上的漏洞。

許仲言提到，IBM Cloud Paks是一個以容器化為底層的中介軟體，可以部署不同異質平臺上，包括AWS、微軟Azure、Google Cloud平臺、IBM Cloud等公有雲與私有雲上。此外，所有的Cloud Pak更提供客戶替換機制，他舉例，比如在整合套件組Cloud Pak for Integration，客戶若原本是IBM MQ大量的使用者，但當系統架構改變時，可能MQ數量變少，可以透過IBM替換機制，讓MQ替換成API Connect。

臺灣多家大型金融機構開始上雲、擁抱容器

臺灣IBM全球資訊科技服務事業部總經理李正屹則表示，混合雲以及開源是該部門發展主要兩大方向。他指出，73％的IBM企業顧客仍對重要應用系統上雲有所疑慮，54％的企業高階主管缺乏上雲策略，而在多雲管理方面，甚至只有41％的顧客具備多雲管理的方法。他建議企業雲端導入過程，可分為四階段，規畫、遷移、建置到上線後的管理。

臺灣已有不少大型企業展開上雲的計畫，李正屹也透露了4個企業上雲作法。例如，某家大型創新民營銀行將以容器打造新核心系統架構，也委外規畫相關建置，及上線後的管理機制。另有一家大型集團醫學中心則建置了新一代醫院核心系統的雲端平臺，不過，因為內部IT人員缺乏相關技能，於是將人員訓練委外，要用3年時間培訓人員的雲端管理技能，也找來廠商強化該院基礎架構相關的基礎機制。去年一家大型創新民營銀行使用了IBM的雲端基礎架構轉型諮詢服務，來訂定了架構轉型技術。另有一家大型民營金控銀行則計畫將Power主機上的核心關鍵應用搬上雲端平臺，目前則正在洽談中。

除了上雲，容器技術也開始獲得臺灣大企業採用，李正屹舉例，去年一家大型公股國際銀行已經建置了OpenShift容器雲，另有一家大型民營金控銀行則用OpenShift來開發新系統，不過，上線前忽然發現沒有真正完整測試上線的計畫，因此委外進行了上線前的風險評估和優化。還有一家傳統公股銀行也有意導入容器平臺，不過，他提到，要將既有應用搬上容器架構，跟傳統基礎架構的搬遷思維不同，所以，這家銀行去年先用IBM LinuxONE平臺來進行測試驗證。文⊙李靜宜

武漢肺炎全球大流行的現狀直接衝擊了企業的營運表現，不少企業早已訂定了一套營運持續計畫（BCP），或因應疫情，緊急訂定，不過，Gartner CIO研究及顧問副總裁李貴權最近一場研討會中提醒，企業訂定BCP得留意許多細節，例如不同因應情境的時間單位不一樣。

李貴權建議，BCP應加入時間的概念，即時反應以小時為單位、復原措施則可以天數衡量、另外還要有以周或月為單位的長期應對策略，並在事件發生後的不同時間內，執行對應的措施；「企業應該認知到，整體反應時間不斷縮短。」比如過去核心系統中斷，還能容忍以天為單位的修復時間，但現在就算趕在幾個小時內修復，也可能不被業務單位所接受。

尤其

另外，訂定BCP的同時，也要一併考量到觸發應變措施的條件，以及負責執行者，來減少應變過程中的不確定性，以及因不確定性而導致的決策緩慢，「才不會錯過最佳執行計畫的時機。」同時，設定明確的觸發條件也更易於與員工溝通。李貴權舉例，比如設定1位員工病毒檢測陽性，就觸發對應的計畫。

營運持續計畫（BCP）是企業風險管理的一環，但他坦言：「但令人沮喪的事實是，許多企業並無意識到風險管理的重要性。」Gartner觀察，部分企業的風險管理業務沒有指定負責人、負責人經驗也不足，也並非因自身業務需求去評估風險，反而是受到外部法規所驅動，甚至沒有訂定系統性的營運持續計畫；再者，絕大多數利益相關者缺乏相關意識，就算有計畫，也未展開壓力測試和相關演習。

對於企業被動、缺乏組織性的風險管理現況，李貴權建議，企業應根據自身所屬行業、地理位置等面向進行風險評估，訂定出適合自己的營運持續計畫，比如根據B2B或B2C的業務類型、容易發生地震或颱風的地理位置屬性不同，對業務的影響也不同，需要確實評估與分析；接著，應先擬定大方向的復原策略、再進一步訂定細節，若預設的情境真實發生，就須確實執行計畫，若沒發生，也應定期安排演習，並持續透過測試來改進流程。

Gartner對CIO的長期IT建議

面對武漢肺炎疫情，許多企業要在短期內維運遠距工作的IT環境，比如確保員工能連線到公司並維持工作效率、確保遠距辦公的資訊安全，或實踐IT維運的A、B分組機制等。不過李貴權也表示：「CIO除了基本的IT支持，應向更多長期的IT維運面向來進行探索。」

比如說，企業面對疫情，可能會走向數位化業務與數位生態系，或是改為採用RPA等自動化技術，甚至因疫情長期對供應鏈的衝擊，可能因供應鏈轉移、流動到其他地區，引發企業併購等重新配置的狀況。面對企業在疫情中可能發展出的新商業模式、工作流程、或客戶的新需求，「IT系統是否有足夠的彈性來因應？這是CIO可以趁這一波疫情思考的問題。」李貴權表示。

Gartner的一篇報告中也舉例，部分企業製造業已經根據疫情需求來調整產品類型。比如日本電子產品製造商夏普（Sharp），將其中一家工廠改為製作口罩；而中國富士康，也將其部分因疫情而需求低迷的傳統產品，改為生產需求更高的產品，如防護裝備等。這都是快速因應新商業模式而做出改變的案例。

因此，李貴權也建議，企業可以藉著疫情來加速數位轉型，比如導入敏捷開發流程，來改變企業內部文化與工作方式，「之前一直沒機會做的，現在是一個好機會，將一些新的工作方式、新的思維方式進行實踐，來提升整個團隊、企業的能力，幫助企業在危機中勝出。」

CIO除了縮減IT預算，還能用IT加值業務

在IT預算上，多數CIO為了因應疫情對企業造成的衝擊，已經規劃縮減IT預算來降低企業整體營運成本。不過，李貴權指出，企業IT成本通常占整體企業的2～10%，就算消減IT預算，對企業的效果有限，因此，CIO也可以思考如何進行成本優化、甚至價值優化，來更有效的提升業務流程的效率與價值。

首先，在IT成本降低方面，CIO可能採取的作法，包括停辦一些培訓、供應商活動，或降低顧問的支出，也可能對員工進行交叉培訓，讓每位員工獲得更多技能，來減少員工數的增長；其他作法，還包括推遲大型IT項目的建置，或是減少員工獎金的發放，來直接降低IT預算。

不過，CIO也能進一步思考，如何透過IT來提升業務流程的效率與生產力，幫企業降低整體業務的預算支出。比如投資遠距工作、協作工具、安全工具，或是評估業務上雲的可能，來實際增加業務效率，並降低業務本身執行的成本。甚至，CIO還能藉此釐清業務對IT的需求。最後一步，則是直接透過IT來賦予業務新價值，達到價值的優化。

對此，李貴權也提醒，CIO要制定預算縮減計畫時，也要根據可能發生的場景來訂定多種方案，比如以預算縮減比例為指標，在需要縮減不同比例的預算時，採取對應的措施，隨著情況不同而調整。

CIO面對武漢肺炎疫情衝擊，可能需要縮減IT預算，但除了預算的直接縮減，用IT來提升業務效率與生產力，進而減少業務的預算支出，也是一種解方。

新光人壽數位服務發展部資深協理廖晨旭今（18日）揭露自家業務員防詐欺作法，今年初正式啟動AI關聯網路分析（SNA）調查平臺，以過去10年累積的時序性資料，來訓練AI模型，再透過專家知識和大數據分析結果，設定警示分數、篩選出可疑的業務員。目前，新光人壽已利用這個工具，找出數十件個案，相關單位也正深入調查中。

防不勝防，拍板導入新方法來抓內賊

新光人壽對新技術並不陌生，自2013年以來，陸續研發了AI理賠風險的好人和壞人模型、核保風險模型、保障資產計算引擎等。但這樣還不夠，廖晨旭指出，新光人壽近幾年偶有業務員侵占保費或詐保，不僅損害商譽，也影響業務運作，「光是單一個案，就會造成上千萬元損失。」

不過，要找出詐保業務員，仍有許多挑戰，比如不知道該從哪位業務員調查、查案時間動輒數個月，也不知道嫌疑業務員是否有共犯，或有其他受害者。特別的是，稽核單位往往是接到客訴後，才啟動調查，無法在出現異常的當下，先發制人。

為解決這個問題，廖晨旭團隊也在過去兩年，評估市面上的工具；後來，他相中能找出個體間微妙關係的關聯網路分析技術，能點出人與人、事和物的關係，並在去年中，導入SAS關聯網路分析AI平臺，來打造業務員防詐欺模型。

利用10年資料訓練模型，一張圖告訴你詐欺關鍵

為訓練模型，雙方首先梳理了新光人壽過去10年的資料，包括在職和已離職的業務員資料、客戶資料、保單、電子郵件、電話等，總量約40GB。廖晨旭也解釋，會將時間拉長至10年，是因為許多詐保案件，都是經過數年才爆發，而「這段時間內的時序性資料，可反映出詐保的特徵。」

在訓練模型的同時，團隊也訂定了系統警示風險分數；除了參考廠商提供的國外保險公司的異常值，新光人壽也利用內部專家知識，來設定閾值。另一方面，團隊也透過隨機森林、梯度提升等機器學習模型，來加強系統預測能力。
就緒之後，系統一旦偵測到可疑特徵，就會根據風險分數高低，產生警示儀表板。此外，儀表板中還包括了警示評分卡，詳列了可疑的行為，並按照風險高低來排序（如下圖）。

另一方面，系統也會呈現可疑業務員的關聯網路圖。廖晨旭表示，有別於正常業務員的煙火狀網路圖，可疑業務員的關聯網路圖有如蜘蛛網，「關聯點非常多，」而查核人員可從這些點中，找出相關的人、事、物，再進行深度分析。「對我們的幫助非常大，」他說。

1天內找出可疑手法，另也揪出詐欺新手法

在實際應用上，新光人壽團隊也利用這個系統，在1天內就找出業務員的阻絕式詐欺手法。所謂阻絕式手法，是指利用假保單等方式，來阻絕保戶與壽險公司的聯繫，比如填寫假手機號碼、Email或聯絡地址等。

而就內部疑似詐保的蛛網關聯網路圖來看，圖中節點包含了帳卡號、地址、電話號碼、要保人、保單、Email和業務員等資訊，其中，同樣地址和電話的點，可連結到7位不同姓氏的要保人。也就是說，這7人共用一組電話和地址，「可推測是其中6人的地址和電話遭竄改，團隊也能進一步調查，是否其他保戶權益受損，還是是業務員的共犯行為。」他強調，過往在尋找時，需耗費1至2個月，但現在只需要1天。

另一方面，在執行專案的過程中，廖晨旭和團隊也發現新的詐欺手法。他指出，業務員詐欺樣態少量多樣，重複性低，而且有經驗的業務員，會用不同方式來規避已知的警示規則。

比如，為避免公司地址一再出現，業務員會稍微修改地址。不過，這個做法，一樣可透過關聯網路分析，從中找出關聯。

這套系統自今年1月正式上線至今，已找出數十名可疑業務員，新光人壽業務品質控管團隊，也正調查這些個案。廖晨旭指出，這套系統的部署，也呼應了金管會保險局在去年12月時，公告的新保險業務員挪用侵占內控規定，要求保險業者，在今年具備相應的管理措施。

接下來，新光人壽團隊希望將過去開發的AI理賠風險評分模型，整合關聯網路分析調查，多一道程序來把關理賠是否正當。此外，團隊也打算整合核保風險評分模型，利用關聯網路分析，來調查新戶是否有不當企圖。文◎王若樸

走進桃園市消防局的決策室，螢幕上儀表板清楚顯示著，歷年救護案件的熱點區域、消防分隊的人力資源分布。火災，是人人最不願見到的意外，然而天有不測風雲，一旦發生了，就是一場分秒必爭的戰役。為贏在起跑點，「我們建立一套系統，來精準優化人力調度機制，在第一時間調派隊員和資源，來跟時間賽跑，」桃園市政府資訊科技局局長陳崗熒認真地說。

去年，他帶領資科局同仁，聯手消防局數據分析的團隊，共同打造了緊急救護案件熱點與人力調度系統。雙方爬梳了過去三年來，消防局所累積的33萬份電子案件救護紀錄表；這份紀錄表，從接到119通報電話開始記載，包括了事發地點、時間、事由，以及後續傷者送醫時，醫護人員填寫的重點。

接著，團隊利用自然語言處理（NLP）來分析這些歷史紀錄，結合地理圖資，從中歸納出案件熱點區域。同時，團隊也梳理每位消防隊員的工作紀錄，像是排班表、出勤量、救護執照等級，來量化每位隊員的工作量與能力。

最後，所有資訊都呈現在系統儀表板上，供決策者依案件熱點的地理位置和隊員工作量，來調整眼下的資源分配，打好進階人力調度的基礎。

「我們不只要用這個方法，加速出任務的時間，更要兼顧每位隊員，來適當分派任務、避免過勞。」經過幾個月測試，這套系統於今年初正式上線，負責盤點桃園市消防局近50個分隊的工作狀態，更節省了不少投資成本。接下來，市府還要精進這套系統，來達到自動化派案建議。

升格一級機關，導入AutoML數據分析平臺推動AI DIY

消防局的人力調度優化，只是資科局計畫的其中一步。2年前，原本隸屬於研考會的資訊中心，整合了各局處資訊人員，升格為一級機關桃園市資科局，掌管了4科3室，職員人數更翻了一倍。而陳崗熒，就是升格後的第一任局長。

任職兩年多的他坦言，資科局的出現，不僅是組織上的大調整，在業務上，更得改變過去一對一的作風，要以市府的角度，來衡量每件事。其中一個挑戰，就是要解決各局處的共同需求。

「這幾年，AI大數據分析興起，許多局處都希望執行大數據分析專案。」但陳崗熒指出，同樣是數據分析，資科局若滿足每個需求、撥經費給各局處來使用，就會造成重複建置的浪費。

因此，去年中，他拍板斥資導入具AutoML功能的數據分析平臺，結合公務雲簽入機制，供各局處職員使用，不需各自再建一套平臺。這套數據分析工具，可自動進行資料前處理、特徵工程、演算法與模型選取，以及後續的模型訓練、優化和部署等。桃園市消防局的人力調度系統，就是其中一例。

考量到各局處職員的數據分析背景，陳崗熒當初在篩選工具時，就特別尋找門檻低、操作容易，且能以拖拉方式完成基本模型開發的平臺。他所選中的工具，能視覺化模型產出結果，並以自然語言生成（NLG）產生文字說明，來解釋輸入值與模型輸出的關係。因此，即便使用者不具專業背景，也能理解AI模型的因果關係，再來調整。

搭配教育訓練和獎勵機制，鼓勵全員動手分析

桃園市政府資訊科技局局長陳崗熒指出，開發程式前，要先學習解決問題，才能找出方法、設計流程，再轉化為程式。攝影／洪政偉

除了挑選容易上手的工具，陳崗熒還規畫了配套措施，舉辦了數十場教育訓練和工作坊，來鼓勵各局處職員使用。此外，資科局也頒布獎勵機制，只要市府職員以政府資料和該平臺，來打造AI數據分析應用，並參加國內外公開評比或投稿獲選，就可獲得政府獎勵。

在陳崗熒眼中，職員自己動手做AI，還有另一個好處。以數據分析出身的他指出，過往，資訊部門接到各局處數據研究的需求時，雙方常因認知不同產生誤解，特別是在資料前處理階段，「業務單位給的資料，IT單位或委外廠商往往無法使用。」

但現在，業務單位親自操作平臺，就能理解資料預處理所需的格式、種類和條件，自然更了解數據分析的原理。「未來，就算需要進階分析，與委外廠商談判時，也不會被牽著鼻子走，」他說。

目前，除了消防局，桃園市政府農業局也打算利用這個平臺，來強化畜牧管理。不只如此，桃園捷運也想以這個工具，來分析轉乘業務；而資科局本身，更計畫以此來分析智慧城市的核心──桃園市市民卡App，來優化體驗。

從小地方精進市民卡App，奠下智慧城市基礎

資科局成立之初，就將智慧城市、桃園市市民卡App視為兩大發展目標。上線5年的市民卡App，可說是桃園市智慧城市的基本核心，舉凡交通票證、政府規費和停車繳費、身分認證簽到退等，抑或是借還書、小額零錢包、福利智慧雲、衛生局和開放資料查詢，都包辦在內。至今年1月底，線上線下的市民卡發行量達153萬張，等於近7成桃園人都在使用。

市民卡App的宗旨，是要民眾一機在手，就能解決城市生活大小事。但是，正因為想提供包羅萬象的服務，App串接了太多系統，高負載導致執行速度慢、使用者體驗不佳，「下載量和滿意度並不高。」

面對這個挑戰，資科局團隊多方討論，首先調整了預載和卸載機制，透過分類不同程度的操作，來載入相應的資訊，並在使用者離開後，卸載資料，保持輕量狀態。再來，App上一些資訊，也改以連結方式呈現，降低系統負擔。

此外，「我們也從使用者角度來設計，當App載入時，會特別顯示『正在載入』的畫面，或是『現在網路連線不佳，請稍後』等字樣，讓使用者知道App的狀態。」陳崗熒坦言，這些看似簡單的作法，卻是多次討論才得出的解法。再加上其他優化手段，市民卡App的滿意度，近日也有所提升。

打基礎拼三大新功能，App還要結合區塊鏈推動循環經濟

這些改變雖然微小，卻扮演著關鍵角色。「因為，只有解決系統舊有問題，才能建置新服務！」他透露，今年，桃園市市民卡App有三大重頭戲要登場，也就是聚合支付、區塊鏈紅利點數，以及特約商店集章等三項新功能。

首先，聚合支付整合了臺灣Pay、LINE Pay和街口支付，以及目前正要介接的悠遊卡。這些支付管道納入市民卡App後，使用者可透過單一入口，來快速付款。

再來，則是特約商店集章平臺。一般來說，店家為吸引回頭客，通常會建立專屬平臺，讓顧客消費一次、集一次章，集滿特定數量，即可獲得優惠，藉此來鼓勵回頭消費。但店家數量一多，民眾集章意願就會降低，店家也需付出委外成本；因此，資科局統一建置了特惠店集章平臺，只要簽署特約商店，即可加入；民眾也可透過單一入口，來收集這些店家的電子章，換取優惠。

不只如此，資科局還可針對店家，「提供來客消費數據，甚至是電子支付報表等加值服務，」陳崗熒說。

有了吸引回頭消費的方法後，最後一塊拼圖，就是紅利點數平臺。它的用意，是要鼓勵市民參與市政府各局處的活動，比如文化局藝文活動、健康運動活動等，參加民眾可獲得紅利點數，至已簽約的便利超商兌換、消費。

這個做法，可化解過去辦活動時，市府局處需預備的獎勵品項和數量等種種考量。至於紅利點數的運作機制，則圍繞在去年底成立的市民卡營運中心。首先，欲舉辦活動的市府局處，可至營運中心購買點數，再發放給參與活動的市民，市民再透過超商兌換點數，點數再轉換為金額。

這一連串的點數流動，都會記錄於工研院開發的以太坊區塊鏈平臺。由於區塊鏈分散式帳本的特性，對資科局來說，不需另設點數管理中心來管帳；再者，點數交易的流程細節，會自動記載於各個節點上，像是何時取得點數、何時消費、面額等，清楚記錄。

陳崗熒指出，「紅利點數機制可導入人流，集章平臺可吸引再次消費，聚合支付則能優化交易流程，環環相扣可推動循環經濟。」這些功能，也將陸續測試、試運行，最快今年上半年可問世；在擴增市民卡App服務的同時，也加深了智慧城市的發展力道。

軟硬兼施，強化資安防護力與AI教育紮根

話鋒一轉，陳崗熒指出，桃園市連續多年入選ICF智慧城市世界評比前七名，去年更獲得第一名殊榮。就在上個月，資科局更與ICF專家商議，共同成立智慧城市應用服務平臺，集結臺灣廠商，提供智慧城市解決方案，再透過ICF專家，來媒合海外使用者需求。

然而，頂著第一名光環，桃園市政府也招來不少資安攻擊。過去，市府雖有委外廠商，來阻擋、屏蔽惡意攻擊，「但是，這種方法治標不治本，對方換個IP就會再攻擊。」

於是，經過多次溝通、排除內部職員疑慮，陳崗熒與法務部調查局簽約，藉助司法調查權，來追溯惡意攻擊來源，並在下次攻擊前，就先阻擋可疑攻擊者、排除後患，強化市府資安體質。

除了資安，資科局另一個強化重點，就是近年興起的AI。陳崗熒放眼AI紮根教育，他指出，學校雖能提供正規程式課程，但「在寫程式前，要先學會解決問題，才能找出方法、設計流程，再將流程轉化為程式。」

為此，資科局鎖定桃園市全境小學，自去前開始推動城市程式培力計畫，以資料科學和設計思維為主軸，透過教具輔助和情境活動，來建立國小生的運算思維。這個目的，是要強化學生問題解決能力，將複雜問題拆解為可解問題，並將解法流程化、模組化。

資科局指出，至今，城市程式培力計畫已於國小舉辦數十場活動，後來更延伸至大專院校，包括相關的運算思維師資培育。對桃園市來說，這項計畫不只將AI教育往下紮根，也奠基了未來智慧城市所需的AI人才基礎，持續延伸接軌國際的軟實力。

CIO小檔案

陳崗熒

桃園市政府資訊科技局局長

學歷：中央大學太空所博士畢業

經歷：完成學業後，往業界發展，至佳碼科技擔任研發經理。後來再踏入學界，擔任華梵大學電子系助理教授。之後，他進入公部門，擔任亞洲矽谷計畫專案辦公室主任；2018年3月時，接手桃園市政府資訊科技局局長，負責推動智慧城市、AI、區塊鏈和物聯網等專案。

機關檔案

桃園市政府

● 地址：桃園市桃園區縣府路1號

● 成立時間：2014年12月25日

● 主要業務：各項市政業務

● 員工數：1萬4,626人

● 資訊部門職稱：資訊科技局

● 資訊部門主管姓名：陳崗熒

● 資訊部門人數：53人

● 資訊部門分工：下設4科3室，包括規畫發展科、智慧城市科、系統整合科、設備網路科、秘書室、人事室、會計室

IT大事紀

● 2015年：桃園市市民卡便民及管理系統上線；Open Data共通性介面暨匯流平臺上線，完成桃園市政府公務雲建置

● 2016年：建置行動公務雲端應用系統、地理空間資訊系統（GIS）應用決策分析平臺，推出差勤整合系統

● 2017年：建置整合式陳情列管系統、桃園市政府福利智慧雲系統，導入網頁版公文製作系統，以及AI智慧機器人市民諮詢服務

● 2018年：建置桃園網路e指通暨創新e化便利超商整合服務系統、虛擬實境共通平臺、智慧運籌暨大數據分析平臺

● 2019年：推動城市程式培力及教具共享服務計畫、建置資料探勘數據分析平臺

● 2020年：啟動智慧城市應用服務平臺

想要自造一門語言，我們必須先定義該門語言的文法，這看來很難，特別是被一堆專有名詞卡住，而相關的文件解釋往往又抽象，有如天上浮雲。

實際上，開發者若曾自訂數學公式、撰寫過規則表示式，可能早就定義過一門語言了。

文法用來產生字串

在先前專欄〈打造玩具語言〉中談到，Brainfuck的實現是認識自造語言不錯的起點，不過，能簡單地實現Brainfuck，原因就在於：Brainfuck的文法已經告訴開發者了，開發者只要根據文法規則實現剖析、求值。

如果開發者想自行定義語言的文法規則呢？雖然不理會文法定義，以土炮、有洞就補洞的方式，也有可能實現一門玩具語言。然而，若想打造一門具實用性的語言，文法會是最難的部份。

文法到底是什麼呢？

語言說穿了就是字串，文法就是產生字串的規則。讓我們來思考一個特例：使用某隨機演算公式來產生的隨機數字有沒有意義呢？雖然乍看毫無意義可言，實際上，隨機演算公式就是隨機數字的文法，只是隨機演算公式試圖讓人們無法解讀其文法規則罷了。

若從這個角度來看，文法是個數學公式，隨機演算公式產生的隨機數字，就是一門語言。

更進一步地來思考，數學公式也是一門語言。例如，一條(4+5)*3這類四則運算，可以從個位數四則運算的文法來產生。對於學習過四則運算的人而言，即使從未正式地寫出四則運算的文法規則，由於心中都曉得四則運算的規則，當他們看到一條四則運算公式時，也就能依規則來剖析與計算。

開發者可以試著寫出個位數四則運算的文法，然而，這對初次嘗試的人來說，並不容易。一方面，可能是因為太熟悉四則運算（人們常因過於熟悉而不知道是怎麼辦到的），另一方面，是因為四則運算的文法，是屬於上下文無關文法（Context-free Grammar），而關於這類文法構成的語言，可以形成巢狀，相對來說，文法規則其實比較複雜。

規則表示式與文法

開發者多半接觸過規則表示式，也知道它實際上是門語言，一個規則表示式可以由字面字元、詮讀字元、量詞等文法產生。

例如，^09\d{8}$是套用^、\d等文法規則而產生的規則表示式，如果是熟悉規則表示式文法的開發者，他們的腦海中可以剖析^09\d{8}$，然後知道這個規則表示式的意義。

那麼，若使用^09\d{8}$，我們可以比對出哪些字串呢？像是：0970399398、0918332423……，也就是，比對09開頭後接八個整數後結尾的所有字串。然而，從另一個角度來看，我們也可以說：^09\d{8}$有能力產生0970399398等字串。既然這樣的文法能用來產生字串，能以^09\d{8}$來產生0970399398這類的字串，那麼，^09\d{8}$是這類字串的文法嗎？

是的！如果將「09開頭後接八個整數後結尾的所有字串」看成是語言，^09\d{8}$就是這門語言的文法，因此，「一條規則表示式就是一門語言的文法」。

類似地，我們如果把電子郵件位址看成是一門語言，此時，想定義出一條規則表示式來比對電子郵件位址，其實，這就是在定義電子郵件位址這門語言的文法。

同時，一門語言的文法不用是唯一的，例如，對於使用^09\d{8}$而能夠涵蓋的語言，我們也可以使用^09[0-9]{8}$等其他寫法來產生字串。

然而，在定義文法時，若要以字串對應回文法之際，不能有兩種以上的對應方式，若發生這種情況，定義的文法就成了曖昧文法（Ambiguous Grammar）。

例如，對於ab字串來說，規則表示式(ab)*(a|b)*可以對應至(ab)*，也可以對應至(a|b)*，這時，就會有個疑問：到底是哪個比對出來的呢？就語言來說，就是一句話會有多種解讀方式。

一般而言，可以透過規則表示式來描述的語言，是正規語言（Regular language）。簡單來說，正規語言是可以被有限狀態機，或者是不需使用到記憶體的自動機辨識的語言，因此，語言不能有階層、巢狀之類的關係，同時，任意數量的對稱括號，無法使用規則表示式描述。

像是四則運算式中會出現任意數量的括號，因此，它就不是正規語言，我們無法使用規則表示式來描述，至於圖靈等價語言、HTML等，也都不是規則語言。

所以，規則表示式只用來處理循序的文字，無法用於剖析一份程式碼，或是HTML網頁，原因就在於，像是程式碼或HTML網頁這類語言，其實，是屬於上下文無關文法（Context-free Grammar）描述的範疇。

所謂的「上下文無關」，是指文法規則中，左邊都只有一個符號，因此，我們可以隨意套用文法規則中的任一條，來產生一個符合文法的字串，不會有上下文關係。

例如，面對個位數四則運算的文法，我們如果以BNF（Backus-Naur Form）的形式來書寫，其內容 敘述會是：

<expr> ::= <expr> <op> <expr>
<expr> ::= "("<expr> ")"<expr> ::= "0" | "1" | "2" | "3" | "4" | "5" | "6" | "7" | "8" | "9"<op> ::= "+" | "-" | "×" | "÷"

上述的<expr>可以衍生出<expr> <op> <expr>，接著衍生出2 <op> <expr>，然後2 + <expr>，最後是2 + 3，這種衍生過程都是先消除最左邊符號的方式，稱作左衍生（leftmost derivation）。

相對地，衍生過程若是先消除最右邊的符號，則稱為右衍生，如果試著將衍生過程畫出來，會是個樹狀結構。從這點來看，文法也是個資料結構，描述了語言的結構關係。

不過，以上的四則運算文法是曖昧的，因為沒有定義優先權和結合律的規則。對於1+2×3+4來說，衍生過程形成的樹狀結構不會是唯一，結果就是在缺乏優先權和結合性的規則下，這個算式的運算結果會有不同的解讀方式。

如果你想要進一步知道四則運算式的優先權和結合律規則，此時，可以參考〈Language〉。

名詞是溝通經驗的橋樑

正規語言、曖昧文法、上下文無關文法、左衍生、右衍生……，一定要有這麼多名詞嗎？是的，而且，這些都是屬於形式語言（Formal language）的範疇，若想打造一門具實用性的語言，要知道的名詞還會更多。

務實地面對這些名詞會是必要的，因為這些名詞背後代表的，是前人的經驗，某些程度上，這些名詞也有點像是設計模式的概念，可用來作為溝通經驗的橋樑。

然而，釐清名詞不會是個簡單的任務，特別是這些名詞使用了正式的數學定義來描述，更常令人感到抽象難解。若是開發者曾經被這些名詞困擾過，不妨可以試著從規則表示式、四則運算著手，透過這類可能早以熟悉的運算來重新思考一下，或許會有不同的啟發。

多媒體標準制定組織Khronos發布了Vulkan光線追蹤（Ray Tracing）臨時擴展，而這是第一個開放、跨供應商與跨平臺的光線追蹤加速框架。開發者社群可在最終規格確定之前，提供回饋幫助官方進行調整。

Vulkan是一個開放免版稅的的高效能繪圖API，可跨平臺取用GPU資源，現在已經於許多熱門的遊戲引擎、遊戲以及應用程式中支援。Vulkan在2015年的遊戲開發者大會中發表，要提供與Direct3D和OpenGL類似的功能，與兩者不同的是，Vulkan是一個底層API，可以良好地使用多個CPU核心，更擅於處理平行任務。Vulkan支援非常廣泛的平臺，包括各式個人電腦、行動裝置以及嵌入式作業系統。

Khronos現在發布的Vulkan光線追蹤臨時擴展，可以滿足桌面電腦，對即時與離線光線追蹤的需求。光線追蹤是一種圖像渲染技術，可以真實地模擬光線與場景幾何圖形、材質與光源互動的情況，以產生逼真的場景渲染圖。這項技術被廣泛的應用在電影以及藝術作品中，隨著硬體運算能力的提升，這項技術也逐漸在即時應用程式和遊戲中實作。

Vulkan光線追蹤擴充將光線追蹤框架無縫地整合進Vulkan API，開發者現在可於多媒體應用中，靈活地合併使用光柵化（Rasterization）與光線追蹤來渲染畫面。Vulkan光線追蹤擴充經特別設計，使其運算無關硬體，因此可用在現有GPU和光線追蹤專用核心上，進行光線追蹤加速運算。Khronos的Vulkan光線追蹤任務小組負責人Daniel Koch提到，開發人員對於跨平臺光線追蹤加速API有很高的需求，而現在推出的Vulkan光線追蹤擴充則能滿足這些需求。

Vulkan光線追蹤的整體基礎架構，與市面上現存的專有光線追蹤API相似，但Vulkan光線追蹤框架有更多新的功能與實作彈性，開發者可簡單地進行移植。新框架由一系列Vulkan、標準移植中介表示語言SPIR-V（Standard Portable Intermediate Representation）與GLSL擴充組成，並非所有擴充都是必要元件，部分擴充為可選項目。

而Khronos也在Vulkan光線追蹤擴充中，增加對微軟開源HLSL編譯器的支援，讓開發者可做最少的修正，就能使用微軟定義的語法，在HLSL中編寫Vulkan光線追蹤SPIR-V著色器相關程式碼。官方提到，當所有相關的元件都更新到上游，包含光線追蹤擴充的Vulkan SDK就會釋出。

美國資安業者FireEye本周公布了勒索軟體調查報告，指出在2017年到2019年的勒索軟體攻擊活動中，有76%發生在周末或下班時間，企圖讓受駭組織來不及因應。

根據FireEye的研究，勒索軟體攻擊都是先透過RDP、網釣或是偷渡式下載（Drive-by Download）滲透目標企業，再伺機植入勒索軟體。

其中，藉由遠端桌面協定（Remote Desktop Protocol，RDP）的攻擊中，有些是暴力破解RDP憑證，有些則是在黑市購買RDP憑證，而這也是駭客最常使用的入侵手法之一。

在駭客成功入侵目標企業之後，真正部署勒索軟體的時間從0到299天都有，但有高達75%都是在3天之後才部署勒索軟體；而在部署勒索軟體的時間點上，有49%選在上班前或下班後，有27%選在周末，只有24%是在上班時間展開攻擊，代表總計有76%的攻擊行動，是出現在非上班時間。

研究人員認為，有些駭客很可能是故意在下班後、周末或假日部署勒索軟體，那時受害組織可能來還來不及反應，能夠最大化攻擊行動的效果。有些時候駭客還會依據使用者的行為來決定部署時機，例如在2019年的幾次行動中，駭客建立了Active Directory群組政策物件，根據使用者的登入或登出，來決定勒索軟體的執行時間。

由於駭客的首次入侵到真正部署勒索軟體之間，含有時間差，使得企業若能偵測到初步的入侵行動，也許就能成功防範後續的勒索軟體；FireEye也建議企業應該要教育員工小心網釣郵件及惡意網站；且在面對攻擊行動的緊急回應計畫中，納入下班時間。

微軟持續改進新版Windows終端機，現在Windows終端機上的應用程式不只可以接受滑鼠輸入，還能隨意的分割頁籤，快速創建出終端窗格副本。另外，微軟也提到，他們會在5月發布1.0版本。

新版Windows終端機是微軟在去年Build開發者大會上，推出的全新開源高效能終端應用程式，可用來執行命令提示字元、PowerShell以及WSL（Windows Subsystem for Linux）等。新版Windows終端機特別之處在於其豐富的操作介面，不只提供多頁籤功能，還使用GPU加速的DirectWrite文字渲染引擎，可以顯示多元的文字和符號，Windows終端機以配置文件來設定環境，用戶可在不同分頁，套用不同的顏色、主題、背景模糊等設定。

在最新的Windows終端機版本0.10中，WSL應用程式以及使用虛擬終端（Virtual Terminal，VT）的Windows應用程式，現在開始支援滑鼠輸入，這代表像是tmux或是Midnight Commander這類應用程式，可以辨識用戶在終端機視窗中點擊的項目。當應用程式處於滑鼠模式，用戶可按下鍵盤的Shift並以滑鼠進行選擇，以防作為VT輸入送出。

另外，現在用戶也可以在一個頁籤中，以焦點窗格的配置檔案創建新窗格。用戶可以在快捷鍵綁定splitPane命令列表中，增加"splitMode": "duplicate"以添加這項功能，就能使用快捷鍵快速地創建出窗格副本。

微軟提到，目前他們正在進行必要的臭蟲修復，並預計要在5月正式發布第一個主要版本，並緊接著在6月的時候，釋出第一個主要版本的更新版，以維持每月發布的節奏。

由於武漢肺炎導致許多人必須在家上班的影響，Google周三宣布，暫緩為Chrome及ChromeOS加新功能以維持軟體穩定性。

Google Chrome開發小組指出，基於「工作時程調整」，Google決定暫停釋出未來新版本Chrome及ChromeOS，因為他們的目的，是確保讓所有仰賴它們的用戶維持運作穩定、安全和順暢。Google將以釋出安全更新版為優先工作，都屬於Chrome 80的安全更新。

Google原本預定本周二釋出的Chrome 81，也取消釋出，這個新版本預計將加入AR點擊測試（hit testing）、WebNFC及現代化外觀的表格元素。Google也在周三宣布於穩定通道（stable channel），釋出Windows、Mac及Linux版Chrome 80.0.3987.149。

雖然有不少用戶支持這樣的作法，但也有人表達失望。一名用戶表示Chrome 80有多項和視訊會議相關的瑕疵，反而不利遠距工作的人。另一名開發人員則說這麼一凍結，也讓他們本周跑在Chrome 81的產品也被耽擱下來。

重點新聞(0313～0319)

艾倫AI研究院     武漢肺炎    開放資料    Kaggle挑戰賽 

AI2聯手微軟、白宮和美國國衛院，開源釋出武漢肺炎研究資料集

由微軟共同創辦人成立的艾倫AI研究院（AI2）聯手微軟研究院、白宮科技辦公室（OSTP）、美國國衛院（NIH）的國家醫學圖書館，以及其他組織，共同釋出武漢肺炎開放研究資料集COVID-19 Open Research Dataset（簡稱CORD-19），內含2萬9千多篇新型冠狀病毒相關研究論文，其中1萬3千多篇為全文可瀏覽。AI2表示，這是機器可讀的最大型新冠病毒語料庫，而釋出資料集的用意，是希望全球研究員可藉自然語言處理（NLP）技術和AI，從中找出新洞察，來對抗疫情。

該資料集收錄同儕審核、正式刊登的論文，以及在bioRxiv、medRxiv等檔案收藏服務中的文章，且每周更新一次。此外，資料分析平臺Kaggle也舉辦了CORD-19挑戰賽，已根據WHO新冠病毒研究藍圖和美國國科院研究主題，列出幾項關鍵問題，作為挑戰任務，每項任務的獎金為1,000美元。Kaggle希望藉此鼓勵開發者，找出對抗疫情的關鍵資訊。（詳全文）

  BERT     自然語言    模型評比  

哪款BERT比較優？BERTLang網站告訴你

義大利博科尼大學團隊日前發表BERT Lang Street網站和研究論文，要來幫開發者評比各種BERT語言模型和多重語言模型mBERT的效能。自2年前Google發表雙向編碼自然語言模型BERT以來，大幅改善自然語言理解能力寫下了自然語言處理（NLP）里程碑。之後，Google也利用104種語言的語料庫，訓練出多重語言模型mBERT，作為通用的語言理解模型。不過，現階段針對mBERT和各語言BERT模型的評比，幾乎沒有明確的比較。

於是，博科尼大學團隊架設了BERTLang網站，來提供每個模型的架構和領域表現等評比。目前，團隊已針對18種語言、29項任務，測試了30個特定語言的BERT模型，也得到了177種測試結果。其中，在所有29項任務中，特定語言的BERT模型表現皆比mBERT要好。這些結果，都已公布於網站供開發者查詢。（詳全文）

  Google     深度學習    行銷  

目標打開DNN黑盒子！Google開源JAX函式庫Neural Tangents

Google日前釋出JAX軟體函式庫Neural Tangents，要來解開深度學習黑盒子。團隊指出，近來深度學習網路（DNN）在自然語言、對話代理等任務表現大幅進步，有人會懷疑，為何DNN參數過度設置，卻善於歸納？其中一個關鍵是，DNN的寬度增加時，模型表現就越規律、越容易理解。

不過，要無限增加DNN寬度，仍有些挑戰，像是需要深厚的數學知識，且要對每個架構分別設計。為此，Google開源Neural Tangents，開發者可輕鬆定義、訓練和評估寬度無限（Infinite）的DNN；進一步來說，無限寬DNN是指，由架構決定內核函數的高斯過程（GP），而Neural Tangents可提供卷積、池化、殘差連接、非線性特性等組件，讓使用者建立類神經網路。Google實驗發現，有別於常規訓練，實驗模型的學習動力在封閉形式下，可完全控制，開發者更可藉此理解模型行為。（詳全文）

  Google    立體物件辨識       行動裝置  

行動裝置也可即時辨識3D物件！Google釋出辨識模型工作流程Objectron

Google物件辨識模型工作流程MediaPipe增加新的辨識流程Objectron，可即時在行動裝置上辨識3D物件。Google表示，目前成熟的影像辨識技術多半是2D物件辨識，也就是從畫面中，以邊界框（Bounding box）框出2D物件。但如果延伸到3D，就能了解物件的大小、位置和方向，更可運用至機器人、自駕車、圖片檢索和AR等領域。

不過，要從平面影像辨識3D物件仍然有挑戰，比如缺乏訓練資料或多樣性等。為此，Google利用AR來建立3D資料集，並利用自家機器學習工作流程框架MediaPipe，來開發Objectron模型。Objectron可在畫面中，以3D邊界框框出常見的立體物件，並估算其大小、姿態。其中，為提高工作流程效率，系統每隔幾幀才會執行推論。Google也先釋出針對鞋類和椅子的Objectron辨識模型，未來要將辨識類別擴大至更多物件。（詳全文）

  Google    量子運算     機器學習函式庫  

整合量子運算和機器學習，量子機器學習函式庫TensorFlow Quantum正式開源

Google聯手滑鐵盧大學、X公司和福斯集團，共同釋出量子機器學習開源函式庫TensorFlow Quantum（TFQ）。該函式庫是TensorFlow的擴充，可結合量子運算和機器學習。

TFQ底層整合了TensorFlow和雜訊中等規模量子（NISQ）演算法框架Cirq，其中，TFQ的關鍵功能在於可同時訓練、執行許多量子電路，這是因為，TensorFlow能在電腦叢集中平行化運算，也能在多核心電腦上模擬較大的量子電路。Google指出，未來目標是要讓TFQ能透過Cirq，在真正的量子處理器上執行量子電路，比如Google內部正在開發的Sycamore量子系統。（詳全文）

臺鐵管理局   軌道扣件     影像辨識  

夜間人工巡軌有新方法，臺鐵改導入AI自動揪出脫落的軌道扣件

臺鐵管理局聯手交通部運輸研究所，共同開發出軌道扣件缺失辨識系統，透過攝影機和深度學習軟體，來自動辨識鐵軌上的扣件安裝情況，輔助人工巡視作業。

目前，臺鐵軌道扣件巡檢仍採夜間人工目視，但因目視角度和巡檢車車速問題，難以快速進行。於是，臺鐵與交通部運研所合作，選定特定鐵軌區間，來收集訓練影像資料。之後，團隊再以Yolo v3來訓練深度學習模型，來檢查軌道扣件是否脫落。此外，團隊也用GoPro，於夜間巡檢車時速30公里時，錄製70公里的軌道扣件影像，驗證模型辨識準確率為86.7％。雙方指出，未來還要進一步改善模型，最終要達到無人巡檢。另一方面，團隊也開發雲端功能，可透過Google地圖來定位扣件脫落之處，方便進行維修。（詳全文）

Pixel 4   動作感知     Google  

解密Pixel 4動作感知關鍵！記錄數百萬次手勢建立雷達解讀ML模型

Google日前揭露自家最新Pixel 4系列手機的Motion Sense技術，該技術讓用戶不需觸碰手機，就能隔空以手勢來控制音樂播放或靜音來電。這是因為，Motion Sense採用Soli短程雷達感測器和特別設計的機器學習演算法，來解讀Soli訊號。

在手機頂端內建Soli天線，可處理時序性訊號，再輸入至Soli機器學習模型，來分類手勢。為訓練這套模型，團隊找來數千名志願者，記錄數百萬個手勢，並配對側錄的雷達訊號，來訓練模型。Google用TensorFlow訓練模型，同時也克服手機低電量的挑戰，發展特殊的訊號處理技術，來解決聲音震動對Soli系統的影響，使其能與周圍的通話元件共存。（詳全文）

模糊測試     基準測試      FuzzBench  

把關模糊器品質，Google開源釋出基準測試服務FuzzBench

Google日前開源釋出模糊測試器（Fuzzer）的基準測試服務FuzzBench，要來提供用戶嚴謹的模糊測試，降低採用障礙。模糊測試是一種抓臭蟲技術，透過自動或半自動產生另一個程式的亂資料，來測試程式可能出現的異常狀況。Google內部就用了不少模糊測試器如libFuzzer和AFL等，也揪出了數以萬計的臭蟲。

雖然目前有許多模糊器的研究，但仍難以評估模糊器是否能實際派上用場。因此，Google的OSS-Fuzz團隊建立了FuzzBench，用戶只需不到50行程式碼，就能整合Fuzzer和FuzzBench，可進行24小時的實驗。之後，FuzzBench會根據實驗資料，深入分析並產生報告，來比較不同Fuzzer的效能，包括統計測試，讓用戶了解Fuzzer之間的效能差異。（詳全文）

圖片來源／TensorFlow、Sam's Club、微軟

 AI趨勢近期新聞 

1. Alphabet生醫研究子公司Verily正打造武漢肺炎分類工具

2. Nvidia研究團隊用AI教機器人拿物品給人類

3. 加州大學柏克萊分校發現新方法，可改善大型Transformer的訓練和推論

4. Amazon自家無人商店科技上市開賣

資料來源：iThome整理，2020年3月

0314～0320

 國泰金控   蝦皮購物   信貸產品 
國泰金控攜手蝦皮購物推新型態信貸商品，引用非傳統金融數據建立賣家信評模型
網購商城情勢快速變動，充滿強烈短期資金的缺口，部分賣家臨時需周轉的銀彈需求，卻不一定能即時貸到足夠額度，這是網路賣家的痛點，也是過往傳統金融業容易忽略的一環。瞄準電商賣家借貸需求市場，國泰金控數位數據暨科技發展中心（DDT）與旗下國泰世華銀行攜手蝦皮購物合作，推出新型態信貸商品「蝦米貸」。

國泰金控指出，無論是白手起家或是信用小白的蝦皮賣家，其本身商戶資訊與過往交易記錄等非傳統金融數據，將帶入獨有的信用評分模型，試算後將提供賣家相對應的可貸額度，申貸額度最高可達新臺幣300萬元，最快5分鐘內便可核貸，並立即撥款至與蝦皮連動的帳戶。

蝦皮購物策略暨數據分析總監梁日威表示，蝦米貸的目標是讓更多中小型賣家在電商市場中站穩腳步、拓展規模，帶動整體賣家數量與質量的增長。而國泰金控則想藉此來建立電信、旅遊、居住與電商等產業的策略合作夥伴關係。

 中國信託銀行   ATM  
中信銀推出新一代ATM，明年將逐步更換新機

中國信託銀行3月12日宣布，將於近期推出新一代版本ATM服務，擁有升級觸碰螢幕、即時查詢餘額與熱門優惠券等功能，目前已先在南港中國信託金融園區供內部員工試用， 5月再開放一般民眾試用，待評估後可望在2021年起逐步全面更換新機。目前，中信銀行在全臺鋪設超過6,200臺ATM。

中信銀新一代ATM主打19吋直立式多點觸碰螢幕，可如操作手機般滑動點選，亦較舊款15吋螢幕大，任何交易操作中可同時查詢餘額，例如輸入交易金額的同時可查詢帳戶，避免餘額不足等新功能。

新一代ATM由中信銀ATM經營團隊與客戶體驗設計團隊聯手，特別找來大予創意設計介面，並由臺灣廠商國眾電腦生產ATM設備。中信銀行表示，他們舉辦了數十場使用者訪談與易用性測試，針對不同年齡層與ATM使用習慣的客戶，歸納重要使用痛點。比如，不熟悉操作流程而發生中斷、重複輸入、無法調整錯誤的情況，或是不清楚ATM集點規則及贈品內容等，來重新設計整體流程、提升交易效率，讓客戶使用體驗更為流暢。

 點數經濟   Google Play Points  
Google在臺推出Play商店點數獎勵計畫
為強化Google Play商店生態發展，Google在3月10日於臺灣推出Google Play Points獎勵計畫，消費者只要在商店上購買應用程式、書籍、遊戲、電影，都可以獲得點數。這項點數回饋計畫已在日本、韓國、美國推出，臺灣是第4個推出Play Point的市場，香港也於同日同步推出，獎勵計畫的點數由Google提供，只適用於臺灣地區，無法在其他市場使用。

Google將在近期陸續開放這項功能，Google Play用戶只要年滿13歲，綁定任何形式的支付工具，就能加入。Google臺灣總經理林雅芳表示，點數經濟在零售市場已相當普遍，Google未來希望透過這項點數獎勵計畫，帶動行動內容市場發展。（更多內容）

 勞埃德銀行   Google Cloud   數位轉型 
又一家銀行為了數位轉型上雲，英國勞埃德銀行壓寶Google Cloud

勞埃德銀行集團（Lloyds Banking Group）3月10日宣布與Google Cloud簽訂了為期5年的交易協議，這是這家英國銀行30億英鎊數位化轉型戰略的一部分。勞埃德銀行表示，這項合作將把Google Cloud服務增加到集團的技術組合中，進而加速部署更加智能的技術，提供更多個人化的顧客體驗。（詳全文）

 勤業眾信   保險業   IFRS 17 
雖然臺灣2025年才實施IFRS 17，勤業眾信建議保險業現在就要全面評估現有系統
勤業眾信聯合會計師事務所3月12日發布《2020保險產業趨勢展望》報告，指出接軌國際財務報導準則第17號（IFRS 17）、國際保險資本標準（ICS）等國際監管變革挑戰時，保險業者應掌握監管變革、商品創新和善用數位科技3大原則。勤業眾信指出，臺灣目前計畫在國際IFRS 17生效日後3年，也就是2025年實施IFRS 17，但考量到平行測試時程、實際進行規畫及系統建置等複雜的導入時程，建議保險公司加快導入作業。勤業眾信建議，保險公司應藉此機會全面性評估現有系統與經營績效，減緩保險公司經營管理的挑戰。

勤業眾信更提到，近期正值導入IFRS 17時期，且顧客對即時數位服務的需求增加。加上，未來將有更多保險公司會運用物聯網的即時感測資訊，來協助設計新商品或減輕理賠負擔，所以將衍生出網路風險及大量資料處理的問題。因此，保險公司更應該正視核心系統的運作效率。勤業眾信建議，保險業者應該從一開始就將網路安全納入新系統、新應用程式和新產品的開發，而雲端不再只是資料與應用程式的儲存空間，更有助於打造全新核心系統，所以應將雲端技術列為IT投資的優先項目。

 逐筆交易   台新證券 
搶攻逐筆交易新制商機，台新證推網銀帳戶快速開戶和新版下單App

台新證券推出證券線上進階開戶服務，顧客完成開立台新網路銀行帳戶或是Richart數位銀行帳戶後，即可到台新證券官網線上申請開立證券帳戶，可免臨櫃或視訊即能完成身分驗證，完成驗證後的當日就能收到以電子郵件寄送的電子密碼函，節省過往需費時2～3天等待紙本密碼函的時間，而且最快開戶隔天即可進行證券下單交易。

不只優化線上證券開戶流程，因應3月23日即將上路的逐筆交易制度，台新證券也將與三竹資訊合作，在近期內推出行動版「證期權閃電下單」服務，僅需簡單的2個步驟就能快速下單。

 合掌村   百年民宿管理   區塊鏈 
世界遺產合掌村力求經營轉型，導入區塊鏈系統管理百年民宿

擁有眾多百年老屋、獨特的人字形屋頂的白川鄉合掌村，每年累積逾170萬旅人造訪，然而龐大的訂房需求成為居民負擔。合掌村過往預約訂房，主要以電話、傳真為主，搭配紙本記錄，因此常發生超賣、重複訂房、旅人無通知取消、未按預定日期入住，甚至無法清楚掌握空房等情形，耗費大量人力，且不少海外旅人更因電話、傳真形式訂房困難而選擇投宿他處，流失客源。

近年合掌村推動內部轉型，力求民宿管理系統化、電子化，以此減少村落內部人力耗損。近期，負責品牌經營的合掌控股公司與奧丁丁集團合作，導入區塊鏈旅宿管理系統OwlNest。目前，OwlNest將先導入幾間村內的知名熱門民宿，未來更將進一步擴大到合掌村內部各類民宿。

圖片來源：中國信託銀行、勞埃德銀行集團、台新證券、奧丁丁集團；攝影／洪政偉
責任編輯／李靜宜

 金融科技近期新聞 
1.  逐筆交易制度即將上路，證交所預計3月22日進行最後一次全市場會測
2.  悠遊卡電子支付3月底全面上線，暫時限於Android手機可用
資料來源：iThome整理，2020年3月。

由於近來在家上班的人太多，為了滿足更多用戶，微軟周四宣布將縮減部份功能，以避免整體服務斷線或不穩。

根據MSPowerUser報導，微軟透過Office 365Admin訊息中心宣布，為了提供全球Microsoft 365用戶最大支援，並滿足空前的流量成長和需求，微軟將暫時調整（縮減）特定非必要功能。微軟說，此一調整應該不會大幅影響使用經驗。

微軟預計的調整包括，檢查線上狀態頻率降低，顯示對方正在打字的時間間隔拉長，以及影像通話解析度等等。微軟說一旦情況有新的進展，也會再更新措施。

武漢肺炎在全球大爆發，許多企業員工被要求在家上班或是居家隔離，學校也啟動遠距教學，導致遠端協同平台用量爆增。微軟Microsoft 365企業副總裁Jared Spataro一個星期前說，單單該公司在家工作的第一個周末，Microsoft Teams上的通訊流量成長了50%，會議流量增加37%，企業客戶以Teams進行的會議、通話及協同流量，也都激增。

雖然微軟表示將強化基礎架構，不過一如其他視訊和遠端協同平台，Teams也傳出連線不穩問題。本周再傳歐美伺服器連線以及登入服務異常，用戶反映無法傳送訊息，有人抱怨訊息遲了數小時，時間持續至少2小時。微軟解釋，問題出在某項服務發生執行時間過久逾時所致。

事實上，根據DownDectector的數據，台北時間18日下午7:00到19日清晨，再次有眾多Teams用戶反映連線不穩、完全卡住、無法分享螢幕及傳送訊息等問題。

但微軟並不是唯一承受極大流量而出狀況的。Zoom和思科WebEx自昨天到今天凌晨，也都出現了大量客戶抱怨。

蘋果於本周發表了新一代的MacBook Air與iPad Pro，且縱使武漢肺炎疫情重創中國供應鏈，新產品即日起就可透過蘋果美國官網訂購，預計下周舖貨到蘋果門市。不過目前蘋果已全面關閉大中華區以外的蘋果門市，這些門市預計至少休息到3月27日。

相較於2019年的MacBook Air，新款MacBook Air提供2倍CPU效能，繪圖效能增加80%，最陽春的版本，其儲存空間也從128GB提高到256GB，並把售價調降100美元，現在買入門款MacBook Air的價格只要999美元（新台幣31,900元），學生購買更只要899美元。

2020年MacBook Air採用13吋螢幕與macOS Catalina作業系統，主要規格包括配備第十代的Intel Core處理器，與Intel Iris Plus Graphics，內建8GB記憶體，配備了原本應用在16吋MacBook Pro上的剪刀腳鍵盤Magic Keyboard，基本儲存空間為256GB，嵌入Apple T2安全晶片，可支援6K外接螢幕，瀏覽網路的電池續航力為11小時，重約1.29公斤。

它有兩種基本規格，一是配備1.1GH雙核心Core i3處理器與256GB儲存空間，售價為999美元。二是配備1.1GHz四核心Core i5處理器與512GB儲存空間，售價為1,299美元（新台幣41,900元）。

本周蘋果也更新了11吋與12.9吋的iPad Pro，相較於2018年問世的第三代iPad Pro，第四代產品搭載了A12Z仿生晶片，內建超廣角相機、錄音室等級的麥克風，以及光達（LiDAR）感測器，打算把iPad Pro打造為全球最好的擴增實境（AR）裝置。

此外，蘋果還藉由PadOS 13.4讓iPad Pro支援觸控式軌跡板，還有全新的游標使用經驗，提供使用者更多與iPad Pro互動的方式。

新的A12Z仿生晶片配備了8核心的GPU與8核心CPU，並強化了散熱架構，讓新一代iPad Pro效能大增，號稱可擊敗大多數的筆電效能；新版iPad Pro還搭載了1,200萬畫素的廣角鏡頭與1,000萬畫素的超廣角鏡頭、錄音室品質的麥克風。

內建128GB的11吋iPad Pro售價為799美元（25,900元新台幣），同樣儲存容量的12.9吋iPad Pro售價為999美元（32,900元新台幣），由於iPad Pro已被蘋果視為新一代的電腦，因此蘋果也替iPad Pro設計了可與之搭配的Magic Keyboard（巧控鍵盤，如上圖），不過該鍵盤要到今年5月才會上市。

蘋果的美國官網已開放使用者購買新一代的MacBook Air與iPad Pro，但目前台灣蘋果官網只有相關產品的介紹與售價，尚未開放銷售。

武漢肺炎疫情蔓延全球，一旦醫療機構網路停擺可能危及防疫工作。有勒索軟體組織承諾，在這段期間內暫時不對醫療院所等相關機構發動攻擊。

BleepingComputer報導，幾家「主流」的勒索軟體，像是Maze和DoppelPaymer表態在疫情大爆發期間，他們不會向醫療院所網路發動攻擊。

Maze背後的組織表示，他們將暫停對各類醫療機構進行所有活動，直到COVID-19疫情趨於穩定。

另一支勒索軟體DoppelPaymer的駭客則說，他們向來就不攻擊公立醫院或照顧機構，並不只是現在，他們也從不碰911消防單位，如果有也是不小心或是這些單位的網路設定錯誤所致。一旦這些機構中招，他們也會免費提供解密。這陣子如果有醫療機構不小心被加密了，駭客說可以電子郵件或Tor網頁聯絡他們，來尋求協助。

但是他們也碰過一般企業裝可憐想騙取免費解密，因此駭客解密前會再三確認受害者的「真實身份」。對於賺很大的藥商，駭客則表明不會手下留情。

其他勒索軟體如Ryuk、Sodinokibi/REvil、PwndLocker和Ako，則沒有回應媒體的要求。

醫療機構若在此時被加密檔案或無法存取網路，將重創當地的防疫行動。本周陸續傳出捷克一家武漢肺炎檢疫單位遭病毒入侵，以及美國衛生暨公共服務部被駭客發動分散式阻斷攻擊。任意惡意程式對這些機構發動攻擊，即使沒有實際損害，也可能影響醫療人員的士氣。

繼Google宣布要替美國打造武漢肺炎（COVID-19）資訊網站之後，臉書也在周三（3/18）發表了武漢肺炎資訊中心（Coronavirus (COVID-19) Information Center），它將出現在臉書首頁動態消息（News Feed）的最上方，提供各種有關疫情的官方資訊。

根據臉書的說明，武漢肺炎資訊中心將是一個疫情資訊的集中地，它將提供來自各國衛生當局或諸如世界衛生組織等官方機構的即時資訊，也會張貼各種可防範疫情的有用文章及影片，使用者也可追蹤該中心，以隨時了解疫情狀況或消息。此外，美國用戶還可看到當地社群所提供的各種協助。

臉書已陸續於全球市場部署武漢肺炎資訊中心，24小時內會先在美國、義大利、英國、法國、德國及西班牙市場上線，之後亦會擴展至其它國家。

就在世界衛生組織（WHO）及各國衛生當局，都呼籲人們保持「社交疏離」以降低武漢肺炎的傳染，同時各大科技業者也鼓勵員工盡可能在家上班之際，美國第二大有線電視供應商暨電信業者Charter Communications，卻不准員工在家上班，使得一名工程師憤而離職。

科技媒體TechCrunch指出，有許多Charter員工向該報投訴，就算公司內部已出現武漢肺炎的確診案例，也有多起疑似案例，但Charter依然要求員工照常到辦公室上班，有違WHO的建議，甚至有一名工程師Nick Wheeler因此離職。

上周Charter公布了一項內部政策，指出在全美的9.5萬名員工中，有85%專門替用戶提供重要的產品服務，雖然某些後端或管理功能可以遠端執行，但在辦公室比較有效率。

Charter認為，該公司已遵照WHO的建議，包括不再讓員工出差，高層也都有防範疫情擴散的概念，也要求疑似染病或要照顧家人的員工請病假，並已作好了可支援遠端工作的各種準備，但現在仍希望員工照常到公司上班。

根據外電報導，這名離職的員工為Nick Wheeler，職位為後端工程師。Wheeler在上周五（3/13）發了一封信件，給該公司的資深副總裁與數百名工程師，指出他們完全可以在家工作，公司要求他們進辦公室不僅是無意義的，對社會也不負責任。

而Charter也回應了Wheeler，說他可以選擇到公司上班，也可以請病假，但並不能在家上班。這使得Wheeler遞出了辭呈，不但在周末就被接受了，而且立即生效。

其實不只是Google、蘋果、微軟或Twitter等科技業者鼓勵員工在家上班，諸如AT&T及Verizon等電信業者也允許員工在家上班。

AWS現在讓用戶可以在機器學習服務Amazon SageMaker以及運算服務Amazon EC2中，以Amazon Elastic Inference服務運用PyTorch模型進行預測，而由於Elastic Inference可讓用戶附加適當的GPU運算資源，不只能夠用GPU加速預測工作，付出的成本也低於使用獨立GPU執行個體。

PyTorch是臉書在2018年底釋出的深度學習框架，由於其採用動態運算圖（Dynamic Computational Graph），因此可讓開發者簡單地運用指令式程式設計方法，以Python開發深度學習模型，AWS提到，使用PyTorch這類框架開發深度學習應用程式，預測階段可占全部運算資源的90％。

要為執行預測工作，選擇適當的執行個體規格並不簡單，因為深度學習模型需要不同數量的GPU、CPU和記憶體資源。使用獨立GPU執行個體通常過於浪費，雖然速度很快，但因為獨立GPU執行個體通常為模型訓練工作設計，而大多數預測工作通常都只會是單一輸入，即便是尖峰負載也不會用上所有GPU容量，因此可能會造成資源浪費。

Amazon Elastic Inference可讓用戶在SageMaker和EC2執行個體，附上適當的GPU資源來加速預測工作。因此用戶可以選擇應用程式需要的CPU和記憶體規格的執行個體，並且額外附加適當的GPU容量，以更有效的方式使用資源，並且降低預測成本。Amazon Elastic Inference服務之前只支援TensorFlow和Apache MXNet框架，而現在還額外多支援PyTorch。

要把PyTorch用在Elastic Inference中，必須要把模型先轉換成TorchScript格式。TorchScript是可將PyTorch程式碼轉換成序列化與最佳化模型的方法，AWS表示，因為PyTorch使用動態運算圖大幅簡化模型開發的過程，但是這種方法同時也增加模型部署的困難，在生產環境中，模型以靜態圖（Static Graph）表示較佳，不只使模型可以在非Python環境中使用，而且還可以最佳化其效能和記憶體使用量。

TorchScript便可編譯PyTorch模型，使其以非Python的方式表示，能在各種環境中執行，TorchScript也會對模型進行即時（Just-In-Time）圖最佳化，使編譯過的模型比起原本的PyTorch模型效能還要好。

AWS比較附加Elastic Inference、獨立GPU與純CPU三類型執行個體的延遲與成本。CPU執行個體效能較差，預測延遲最長。獨立GPU執行個體的預測效能則最好，速度約是CPU執行個體的7倍。而有使用Elastic Inference的CPU執行個體，因為獲得GPU的加速，雖然預測速度仍然比獨立GPU執行個體慢，但是比純CPU執行個體快了近3倍。

而在成本上，純CPU執行個體的每次預測成本最高，AWS解釋，雖然CPU執行個體每小時的成本最低，但因為每次預測的時間較長，反使得單次成本較高，而每次預測價格最低的則是Elastic Inference，還可靈活地分離主機實體和推理加速硬體，組合出最適合應用程式的運算資源。

紐約證券交易所（New York Stock Exchange，NYSE）的母公司Intercontinental Exchange在周三（3/18）宣布，自下周一（3/23）起將暫時關閉各個NYSE的交易大廳，全面進入電子交易模式，以應對正在蔓延的武漢肺炎疫情。

準備關閉的包括位於紐約的NYSE交易大廳與NYSE美國期權交易大廳，以及位於舊金山的NYSE Arca期權交易大廳，下周一開盤時就將全面進入電子交易模式。

Intercontinental Exchange表示，NYSE交易中心有能力全面採用電子交易模式，服務所有的客戶，同時堅信市場應該保持開放，就算關閉了交易大廳，所有的NYSE市場在正常交易時間，都將持續運作。

NYSE是在2007年初正式啟用電子交易功能，且絕大多數的交易早就透過電子形式進行。

儘管Intercontinental Exchange只是避重就輕地宣稱，此舉是為了保護員工與大廳的民眾，但外電報導，該行動有部份原因是兩名在NYSE交易大廳工作的員工，被診斷出罹患武漢肺炎，不過這兩名員工本周並未進入交易大廳。

至於未來何時重新開放NYSE交易大廳，則將視疫情的發展狀況而定。

端點防護發展至今，許多防毒廠商都在端點防護平臺（EPP）之外，提供了端點偵測與回應（EDR）的模組。但也有廠商並非將EDR視為獨立產品，而是納為端點防毒產品套餐的進階功能，像是BitDefender 就提供含有這種模組的GravityZone Ultra，讓企業能夠同時取得防毒和EDR的保護能力。

針對端點電腦的威脅偵測與回應，這組套件提供的功能，包括了事件記錄、威脅分析，以及比對IoC特徵。以事件調查而言，該系統採用黑名單及網路隔離，除了圖像化的分析功能與黑名單封鎖機制，若是資安人員想要運用沙箱檢測來分析檔案是否被植入惡意軟體，這裡提供雲端沙箱做為模擬觸發的環境。

GravityZone Ultra近期的改版，也持續強化威脅的偵測，可防禦網路攻擊、異常行為，以及無檔案攻擊等面向。舉例來說，面對基於網路流量的攻擊行為，GravityZone Ultra能藉由多種面向來加以偵測，進而在攻擊發生之前封鎖。

而在異常行為的偵測上，GravityZone Ultra不只能搭配BitDefender定義的入侵指標，也整合了MITRE ATT&CK攻擊框架的知識庫，能自動標記需要特別留意的現象。

至於無檔案攻擊的防禦，這套系統則是針對透過任何命令轉譯器的攻擊行為，例如近期時有所聞的PowerShell無檔案攻擊，增加額外偵測的功能，以便在執行之前封鎖。

值得一提的是，對於Windows端點電腦是否存在含有風險的設置，原廠在GravityZone Ultra套餐中，納入Endpoint Risk Analytics（ERA）模組，以供資安人員快速判讀端點電腦是否安全。這項模組針對3種面向，進行解析，分別是網頁瀏覽器安全、網路設置，以及作業系統安全基準等。

以網路設置的部分而言，該模組會檢查是否存在沒有設置密碼的使用者帳號，或者電腦是否連接網域等，以求端點電腦能符合資安政策的要求配置。而在ERA裡，也針對Office巨集的設定，以及上網應用程式存放憑證等，判斷電腦是否存在風險。

產品資訊

BitDefender GravityZone Ultra

●代理商：力悅資訊
●建議售價：廠商未提供
●端點系統需求：Windows 7~10、Windows Server 2008 R2~2019、macOS 10.9.5~10.15、Linux
●端點系統需求：1.86GHz處理器核心、1GB記憶體、1.5GB儲存空間

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】

資安攻擊不斷，除了從內部以典範的做法來改善網路安全外，透過滲透測試，或是更進階的紅隊演練，來降低漏洞的風險，做到及早發現與及早修補，也是很常見的預防措施。而對我國政府而言，多年以來，都在執行網路攻防演練，檢視機關對外系統的防護與應變，去年政府資安有哪些問題？2月中旬，政府公布2019年度網路攻防演練報告，對於非公務機關而言，這些資安風險也值得借鏡，來提醒自己該注意的相關層面。

關於這項演練，我國公部門每年依行政院資通安全處（以下簡稱資安處）指示，選定執行範圍進行，特別的是，原本只是要求每年執行一個月，自2017年開始，改為全年度演練，包括：三個月的初期規畫、長達半年多滲透測試，以及資安稽核技術檢測。

新的年度攻防演練報告中，有那些安全問題值得關注？基本上，可分為五大重點，首先是發現的弱點類型現況，而在重點發現事項方面，我們從四個層面來檢視，首先是共通套件管理的兩大難題，其次是安全觀念不正確，最後是不當的密碼設定與重導設計。

近年機關前兩大弱點類型是無效的存取控管及身分認證

對於演練過程所觀察到的對外系統弱點現況，我們也詢問實際執行的單位，也就是行政院國家資通安全會報技術服務中心（以下簡稱技服中心），請他們協助說明。該單位科長詹益璋指出，從弱點類型來看，過去幾年，跨網站腳本攻擊（XSS），與不安全的組態設定，一直攻防演練時最常見的弱點類型。到了2019年，有了明顯不同的變化，上述問題呈現大幅減少的趨勢，在所有弱點類型中，排名下降到第三名與第四名，他認為，或許是近年機關常被攻擊，以及採用WAF比例提高有關。

相對地，攻擊記錄筆數最高比例的類型，是無效的存取控管，以及無效的身分認證，排名分別升至第一名與第二名。例如，發現測試用帳號可登入系統後臺，以及帳號與密碼相同，或是權限檢查失敗時的網站重導過程有缺陷等問題。

2019年政府機關網路攻防演練弱點類型現況

資料來源：行政院國家資通安全會報技術服務中心，iThome整理，2020年3月

需注意集中使用相同套件或委外廠商的風險

在2019的攻防演練報告中，有幾個資安處以往已經談到，但較少浮上檯面的特殊議題。例如，多個組織使用相同軟體套件或委外廠商，以及未即時更新網站使用的軟體套件，所產生的受攻擊面，值得注意，而這也突顯了供應鏈安全相關風險。

以相同套件或委外廠商的問題而言，技服中心副組長陳育得指出，由於多半單一委外廠商會承接到，多個縣市系統開發委外案，因此，這些系統大多用同套產品，再針對不同機關修改，這樣的作法其實常見，但有風險要注意，就是容易有共同開發模式或帳號密碼的狀況。

舉例來說，技服中心先是在某一網站發現，透過修改特定參數，就可開啟編輯模式，控制網站公告的狀態，顯然，缺乏在各個流程點，都做到登入權限的檢查。後續，他們更是發現，共有不同機關的18個系統，都受相同手法影響；另一個案例在於後臺管理不當，他們從受測方後臺發現一組系統帳密，經與其他其他網站的教學手冊比對後，推測是廠商通用的系統密碼。接下來，他們搜尋該廠商所開發的網站，成功利用同一組帳號密碼登入到6個網站，並取得管理者權限。

該如何解決？他們認為，必須要建立機制以掌握關連性，不能只以單一個案方式處理。最簡單的原則，就是應瞭解內部使用相同套件的系統，納入定期追蹤的範圍，一旦發現該套件弱點，也要建立情資分享管道，此外，應要求委外廠商使用的密碼有足夠的安全性。而在往年報告中，其實也曾提到像是共通系統安全維護、機關網站全權委外管理，以及內部情資共享不足等議題。

對於多個組織使用相同套件或委外廠商的風險，技服中心指出，例如，發現有機關網站在登入權限檢查不確實，系統可被他人修改特定參數以開啟編輯模式，而另外引發關注的議題是，這樣的手法，可以套用在不同機關的18個系統上。（圖片來源：行政院國家資通安全會報技術服務中心）

對於第三方套件出現弱點的修補，系統盤點時缺乏關連

另一個關切焦點，也是套件安全管理方面，問題主要是網站使用的套件未即時更新，將導致系統可被攻擊與入侵。陳育得表示，現今系統多包含第三方套件，以加快開發速度，然而，當第三方套件出現弱點時，很容易在單位平日的盤點期間遭忽略。舉例來說，像是攻防演練過程中，他們就發現了有ueditor套件、PHP套件弱點未修補的情形，並實際確認弱點可被攻擊。

對此，陳育得指出，即使組織平時有團隊蒐集資安情資，像是看到某一套件，有新的弱點、CVE漏洞被揭露，但是，大家不一定知道與目前使用的系統有關，因為機關內部盤點的清冊，往往只註明買了何種的系統。譬如，總務處財產系統，或廠商產品名稱，管理者無法從清冊中，了解產品所用的第三方的開源程式碼套件，而且，廠商也不見得有能力主動通知，讓組織能立即處理。

因此，技服中心建議，若開發期間已知使用第三方套件，應將套件名稱與版本，加到該系統的備註資訊，或建立大型第三方套件清單，並做到盤點清冊的關聯，讓弱點揭露時，可以更主動、及時的處理。

有機關為演練而自欺欺人，資安不應淪為表面功夫

在安全觀念的議題方面，技服中心有一項重要發現，令人感到訝異，竟有機關的阻擋作法，只是為了攻防演練而設。

詹益璋表示，這樣的案例相當特殊，因此他們特別提出來，呼籲各單位應阻擋惡意語法與真正的攻擊。

他解釋，由於演練並非真正的攻擊，因此他們攻擊成功會留下特定的字串，幫助機關區分真實資安事件與演練，然而，可能是因為演練有計分機制，部分單位想在演練上取得較好的成績，因此他們遇過幾個案例，只針對演練所律定的字串做阻擋，但實際發動XSS攻擊，用戶端仍無法抵禦。

密碼強度問題與轉導設計瑕疵的狀況仍然不少

在攻防演練的其他項目方面，這次年度報告也列出一些近年常見，但往年沒有提及的弱點案例。這些發現主要聚焦的面向，包括：通行碼強度檢查機制未落實，以及不當的重導（Redirect）設計。

例如，仍有機關人員會使用自身的電子郵件當成密碼，以此應付強式密碼的規定，但使用者應培養基本的安全觀念，對於管理者而言，仍可從登入機制建立判斷式來解決。

關於帳號與密碼強度的安全問題，他們在攻防演練時發現，仍有機關人員會使用自身的電子郵件當成密碼。對於這種基本的資安問題，陳育得表示，使用者以此方式雖達成密碼複雜度的需求，但方法錯誤，反而更讓自己更容易暴露，而且，公務人員常需要將自己的電子郵件信箱公布在網路上當成聯絡窗口，這等於是自己將密碼洩漏在網路上。在他們的攻擊記錄中，發現不少這樣的問題，輕者讓有心人士取得一般同仁權限，重者揭露內部往來信件或者取得系統權限。（圖片來源：行政院國家資通安全會報技術服務中心）

而在網站重導過程存在缺陷方面，有些開發設計是將所有的功能，寫到同一個回應的封包，然而，攻擊者將可透過修改封包、標頭等方式，進而存取未經授權的功能。

在網頁安全的改善建議上，技服中心指出，所有功能頁面應要有權限控管，並依使用者或管理者來檢查存取權限，同時，應防範被攻擊者竄改，進而繞過檢查機制，包括檢查應於伺服器端進行，並避免將未授權的功能頁面併入檢查結果中回傳。

對於網站重導過程存在缺陷方面，具體而言，例如像是網站回傳HTTP狀態碼302跳轉時，攻擊者若是改成HTTP狀態碼200，就可以讓該頁面繼續執行，陳育得說明，一般情況下，如此只是單純重導，應該只有一行的程式碼，封包很小，如果封包較大的話，顯示當中可能有多餘的資料在裡面，他們發現幾個案例在重導過程失效後，就可以進入後臺管理介面操作的狀況。
另一個他們發現的案例是權限控管不當，有機關網頁內容僅供內部資源使用，外部使用者理應無權檢視該頁面內容，因為系統會檢查帳號密碼，或是以IP位址來源檢查是否為內部使用者。但是，由於IP位址來源檢查可以被偽造，像是在一些封包加入特定的標頭，就會導致原先禁止存取的頁面，可以被瀏覽。（圖片來源：行政院國家資通安全會報技術服務中心）

儘管資安沒有百分百安全，但無論如何，演練報告列出的也只是一部分，且相當瑣碎，多數可能是已知問題，還有系統重大更版意外產生弱點，而各單位還有內部資源分配的問題需要面對，要避免相同問題再發生仍不易，一次滲透測試雖無法窮舉出所有的可能性，但持續落實將更顯重要，而這次揭露的特殊案例，更是提醒我們，大家都在努力提升資安防護水準，但千萬不應抱持應付表面的心態。