3月18日這天，台灣世曦工程顧問（以下稱台灣世曦）第一次演練居家辦公，才第一天就遇到了不小的考驗，單是要讓設計人員在家，也能夠同樣順暢完成遠端3D模型繪圖作業，就讓資訊團隊傷透腦筋，尤其，繪圖作業，講究的是滑鼠精準度，一旦操作稍有延遲，就會影響繪圖精確性，甚至缺乏高速網路與快速資料存取架構，使用者在家連打開圖都會有問題。對於台灣世曦IT來說，這是居家辦公必須克服的挑戰，甚至進一步還要做到線上多人協同繪圖作業。

就在3月14日這天，在WTO宣布全球疫情大流行的兩天後，台灣世曦馬上採用分區辦公方式來防疫，但同時間也正在緊鑼密鼓準備幾日後的居家辦公的演練計畫，因為台灣世曦的高層相當清楚，一旦疫情大爆發，嚴重甚至要封城的時候，居家辦公就是最後手段，所以早在農曆春節收假前的最後一天，他們就決定居家辦公演練的計畫。

為了讓員工更容易熟悉居家辦公，台灣世曦IT有提供一份居家辦公的操作指引，就放在該公司首頁防疫專區裡，讓員工可以快速參考，裡面羅列出一些居家辦公的參考事項，並依據演練結果來同步更新調整。圖片來源／台灣世曦

遠端存取數百MB的3D圖檔，連在家開啟都有難度

台灣世曦公司的員工，以設計人員為主，光是臺北總部大樓一千名員工當中，設計人員就占了三分之二。但在開始規畫居家辦公時，台灣世曦資訊團隊馬上就面臨了一大挑戰，就是需要建立超大檔案遠端資料存取的環境，來滿足設計人員在遠端繪圖作業的需求。

台灣世曦資訊系統部副理張智欽就表示，設計工程師每一個完成的3D模型圖檔都是很大的檔案，單是一個工程圖檔，就要數百MB大小，有時候，模型檔案之間更互相關聯，例如放在一個3D模型裡面就有十多萬個檔案，而在工作儲存區裡，現在已累計上億筆這樣的設計圖檔，合計超過上百TB，也因為這些檔案很大，只是要將圖檔資料下載到使用者端，對於網路都會造成沉重負擔，更不用說，想要在使用者家裡打開都有難度。

因為3D模型繪製對於硬體性能要求很高，張智欽表示，至少需要接近工作站，才能處理得來，但改為居家上班後，員工家裡很難有這個環境，就算將應用程式安裝到電腦裡，連應用開啟可能都是問題。

為了解決這個難題，台灣世曦IT團隊的作法，就是透過遠端桌面軟體工具，讓員工連回自己的電腦桌面來操作。張智欽說明，採用這種連線方式的好處，一來，就是它的操作習慣較接近辦公室作業，無論取檔案，或操作這些應用程式，就像在辦公室一樣，有助於降低使用門檻。二來，所有資料都留在企業內部，只透過網路傳遞畫面到使用者家裡電腦來呈現，所有存取都還是在公司電腦上完成，透過原有的端點稽核同樣能管控得到，來降低資料外流的風險。

在決定資料存取方式以後，接下來，還要解決連線人數遇到爆量的問題。張智欽提到說，該公司原先已有導入虛擬桌面架構（VDI），透過虛擬機來支撐這些遠端桌面的使用，但僅能容納最多100位使用者同時上線，如果是平時要用還好，一旦遇到疫情惡化，得增加比現在多十倍的連線量時，現有的硬體架構就會撐不住，勢必得要準備其他備案。最後採用了Splashtop這套雲端遠端連線工具，「簡便、立即可行的方法，就是我們的優先選擇。」他說。

張智欽也指出，在選擇連線工具時，不但要考量到能迅速部署，對於既有辦公環境跟資安影響，也要盡可能降到最低，就連操作介面也要優先選用有繁體中文的工具版本，來讓員工迅速上手。

目前該公司是採用雙軌並行的方式，讓員工能夠使用Splashtop工具連進公司自己桌面來作業，現今已有約百名員工使用，當有需要大規模在家辦公時，IT人員就會增加連線數，來支撐這些員工在家辦公所需。至於有些特定專業應用軟體，則可使用本地端部署的VDI虛擬桌面來執行，同時也當作備援，以便在雲端連線出現問題時，還可以透過VDI接手暫時提供原有連線服務。為了避免網路頻寬擁擠，他們還重新調整基礎網路環境架構，例如將公司對外網路連線速度加大，還獨立出一條1G頻寬以上的線路 ，提供給員工遠端連線使用。

這種遠端連線方式雖然方便，但還是有它的不足，尤其是在繪圖作業的時候，操作容易會有延遲的情形，這是因為員工每一個操作滑鼠動作，都會透過網路回傳到公司電腦上再轉成指令來執行，使用者再依據電腦上回傳畫面來執行操作，因為往返需要時間與運算處理，反應就沒辦法很即時，張智欽坦言，如果只是一般文書處理還好，一旦用於需要高精準度的3D繪圖時，反應差個半秒鐘，就很容易影響到繪圖的精確性，「這也是為何用遠端桌面操作繪圖，仍無法取代在辦公室作業的原因，」他也說，要達到像在辦公室作業那樣，除非是透過VPN連線方式，讓員工把應用程式跟檔案拿回家，才有可能很即時，但同樣面臨到軟體部署的授權、員工網路環境，以及缺乏足夠硬體等問題。

除了單人電腦作業，還有另一組專案團隊正在測試以居家多人協同繪圖，共同完成3D模型編輯作業，並以Zoom來進行線上討論、畫面分享。

不過，就算所有員工居家辦公，在該公司裡還是會預留一組IT人力在公司，不受到14天居家管理的限制，以便於必要時可以回到公司處理。儘管，台灣世曦早在十年前設計機房時，就有建立遠端維運的機制，讓員工可以在家遠端作業，不需要大老遠跑回公司維運，但還是有例外情況，如設備故障，或電源排插壞掉等，就得有人進機房，他也強調，在目前資訊架構下，除非是全公有雲環境，否則機房裡一些需要實體接觸的操作，還是少不了。

台灣世曦於3月先後做完二次演練，第一次在家上班演練是3月18日，先是以各部門資訊聯絡窗口約30人為對象，接下來，一周後再進行第二次演練，這次人數則提高到100人，測試項目也不少，像是開啟視訊會議、取得遠端資源、遠端桌面、即時通訊等，若員工演練遇到問題，IT人員也可透過遠端連線反向連到員工電腦，來協助處理操作或硬體問題。雖然，這家公司近4成員工都有遠距辦公經驗，但剩下6成員工，都是沒有在家辦公的新手，這些員工對於科技的接受度並不高，突然要他們改變原有作業習慣，難免會碰上反彈與阻力。而張智欽的解決方法，就是加強員工教育訓練，透過定期舉辦線上、線下課程，讓這些員工逐漸熟悉這樣的工作環境。還有一份居家辦公的操作指引，就放在該公司首頁防疫專區裡，讓員工可以快速參考，裡面也簡單羅列出一些居家辦公的參考事項，包括適用對象、網路操作環境、連網設備、系統環境等等。並依據演練結果來同步更新調整。

在完成演練以後，張智欽也考慮日後讓員工可以彈性選擇在家上班，而不單單只是模擬演練，並期望藉由平常上班方式的改變，讓這些員工可以更熟悉居家辦公模式，IT也能從員工獲得更多反饋，進而找到許多還未改善的問題。

「我們的辦公室已經一片空蕩蕩，見不到幾個人了。」KPMG安侯建業資訊長陳秋正打趣地說，該公司3月中旬才剛完成居家辦公演練，接著就直接進入實戰，讓員工可以真的在家工作。截至目前，這家事務所已有三分之一的員工，大約800多人已經開始居家辦公，甚至資訊部門也做好準備，將視疫情變化，隨時可讓全員在家辦公。

但是，要做到所有員工都能居家辦公，而且使用起來，就像在辦公室那樣，對於KPMG資訊部門來說，也不是件容易的事，尤其，KPMG在臺灣員工超過2,500人，其中光是經常外勤的審計人員就占超過四分之三，這些人平時都必須到不同企業客戶的辦公室協助帳務處理，甚至有的分公司地點並不在臺灣，一旦改在家辦公後，無法直接跟客戶面對面溝通，如何完成查帳作業，也成為該公司IT一大考驗。

用遠距線上交換資料查帳，更以IP位址嚴格查驗客戶身分

由於KPMG安侯建業每天有9成員工都在外工作，幾乎人手一臺筆電、手機，為了讓這些員工能夠很快連回公司查找資訊或存取服務，該公司很早就打造具有行動力的辦公室，不僅所有筆電內建VPN連線功能，員工透過VPN連線就能遠端工作，在通訊方面，也採用行動MVPN，提供手機做為員工聯絡的行動分機，或是也能使用如微軟Teams等工具來與顧客進行視訊討論。後來，更導入行動化應用，至今推出近30款App都已裝在員工手機裡，讓他們可以迅速找到自己想要的資訊。

但是當換成居家辦公的時候，由於工作型態的改變，員工無法外出，原有的行動力就受到了限制，KPMG安侯建業原本的業務模式得有新的作法。

如中國武漢疫情大爆發，造成臺灣許多審計人員無法到疫區查帳時，金管會也准許改用視訊、掃描文件和傳真方式，來替代無法直接到現場查帳的情況。但是許多會計公司最擔心的問題是，以前是審計人員當面確認取得所需帳務查核資料，現在改為遠端確認時，怎麼確保中間傳送資料的人是本人，就變得非常重要。

陳秋正也以自家的作法為例，為了要取得客戶手上的帳務資料，他們在疫情期間，使用了一套FileEX檔案交換系統，來做為企業客戶查帳資料交換平臺，這是資訊團隊在去年底開發，並在今年1月推出上線的一個檔案交換服務，讓會計人員不用出門，就可以透過這個平臺，直接跟客戶交換資料，來進行後續查帳作業。他說，剛好遇到這次疫情，也加速這套系統採用速度，至今已有數百家企業用它來傳送帳務資料。

他表示，這套系統還採用強度更高的身分驗證機制，使用者須經過嚴格認證，才能將資料上傳到這個平臺，包括加入驗證IP位址，確保是該客戶專屬，其次，承辦人員的帳號皆須經過雙方認可後才啟用，還要搭配一次性密碼（OTP）來執行二次驗證，待確認身分是本人以後，才能允許將檔案上傳，再由會計人員將其下載，來進行作業。

而這套系統本身也提供Log記錄、版本控管，方便人員後續版本追蹤與內容判斷。他指出，如果採用一般E-Mail來傳遞，不僅會限制檔案大小，也很難追蹤，例如，一到忙季，會計人員可能要負責20個客戶，每個客戶傳10個檔案，檔案一多時，就很難管理，透過這套系統，就可解決這個問題。

另一個居家辦公產生的問題則是發生在員工家裡網路。陳秋正也提到說，以往員工拜訪企業用戶使用對方提供網路，較不會有網路不穩的情況，但現在，因為上班地點是在自己家，每一個員工家中網路環境都不一樣，就容易會有各種網路問題接連出現，如Wi-Fi訊號不穩、4G網路容易斷線等，這是IT一大挑戰，「因為我們很難確保所有員工家的網路，都是穩定的。」他直言。

為了改善這個問題，該公司資訊團隊目前也有提供一個居家辦公問答FAQ，員工遇到家裡Wi-Fi網路不穩時，就可先依上面步驟依序排除問題，例如先改用有線來試，如果同樣不行，就與電信公司聯繫協助處理，或是可以改用手機4G開分享給自己筆電來用。

早在今年1月底，中國武漢封城之後，KPMG安侯建業內部就馬上召開緊急應變會議來研擬對策，當時公司高層就定調要朝向居家辦公來規畫，依照疫情發展，讓員工可以在家遠端辦公，陳秋正也是該小組的核心成員之一，負責統籌相關防疫IT規畫與執行。

但在員工在家演練前一個月，IT部門就已經提前展開了在家上班的沙盤推演。陳秋正先是將IT團隊依工作性質分成A、B兩組，當A組在家上班，B組就在公司留守，兩組輪流在家上班，並經過三回合、近一個月的模擬演練。

在演練期間，他更要求，每位員工須確認所有在辦公室的維運作業，都能在家完成。這些工作內容盤點出來就超過100項，不只開發、維運，就連從員工到職建帳號、離職刪帳號、更改權限、報修程序、資安檢核等都要考慮到，得逐一確認這些工作都能完成，「因為IT先要遠端維運，員工才能夠在遠端工作，」他說，只有先透過事前演練，才能夠讓IT維運人員逐漸習慣在家工作，就連資訊軟硬體設備，也要能調整支援遠端維運的需求。

除了要能遠端維運，資訊部門同樣也要自己扮演使用者，親自測試所有工作流程都能遠端作業，如果發現不能在家完成的工作時，則要試著找出可行的替代方案。例如該公司的採購流程，從以前到現在都採傳統人工紙上作業，沒有完全電子化，陳秋正表示，這也讓採購人員在家作業時，馬上就會遇到問題。所以，他們想到臨時的作法是，讓員工在家先印出採購單簽名並掃描後，再透過E-Mail方式傳遞來完成簽核流程，才順利跑完整個流程。

在疫情增加期間，KPMG安侯建業資訊團隊也開發一支健康打卡App，讓員工每天可以用手機記錄自身的健康狀態與工作地點，只要一有員工打卡出現發燒等資訊，馬上就會推播訊息到主管手機，可以快速掌握2,500名員工，每天工作與健康狀態。圖片來源／KPMG安侯建業

另外，他們在這次演練也發現到以前比較沒有考慮到需要電子化的環節，印刷流程就是其中一項。

針對這些少數未e化的流程，先提供一些應急方式，暫時讓員工在家也能完成作業，同時也正開發一個萬用電子表單，能直接套用紙本表單的格式。

該所審計部門大約1,800名員工，3月初也加入在家演練行列，協助IT部門做壓力測試，同樣歷經2回合共兩天測試，他們除了定期監看連線人數，也會請員工來回上傳、下載檔案，來查看頻寬變化情形來做動態調整。陳秋正表示，曾經單日測量到連線數最高達1,400人，而在一般家用100Mb寬頻網路環境下，員工平均下載一個30MB檔案約10秒完成，上載則在20秒內完成。

再者，他還會讓每個部門員工模擬實際工作情境，包括小組成員開會以及與客戶視訊溝通等。在完成顧問部和稅務部演練之後，接下來，陳秋正表示，目前該公司已有三分之一的顧問與稅務人員，加上半數後勤單位都已經陸續居家辦公，甚至不只人事、櫃臺人員在家，更有超過一半以上的IT人員已改用遠端維運，至於審計人員，目前則採機動方式配合執行。

他們意外發現很多工作在家就能完成，比如軟體開發，只要事先訂好工作進度，並定期回報，員工就不用進到辦公室，這些經驗都可作為未來工作分配的參考，等到疫情過去，考慮將居家辦公變成一種常態。

國際資安組織SANS免費提供了一套居家辦公的資安意識培訓工具包Work from Home Deployment Kit，可以用來快速訓練企業、員工或者小孩，確保網路安全下，在家上班或在家學習。這些訓練的內容大多也提供中文，學習起來，也較容易許多。

在這個工具包裡，主要提供各種免費SANS公共資源和培訓工具，可分別對應企業組織、員工個人，與家庭成員，來提供適合的培訓作法和步驟，像是在企業用居家辦公資安訓練工具包裡，就有提供一分教材包的PDF使用手冊，除了英文，也有簡中版本，SANS並將資安意識的培訓重點，放在社交工程、未採用強密碼、以及未定期系統更新這三個風險上，來加強企業、員工對於這類風險的資安意識培訓，針對每一個風險，也同時有提供中文解說影片，幫助他們加深印象，加強學習效果，就連家中各自網路環境使用差異也都要考慮進來，來確保家中Wi-Fi連線安全，或是避免小孩或訪客任意使用員工自己的筆電上網。

SANS還從自己原本提供的一個2天資安意識訓練課程MGT433，整理出一套免費下載的資安數位教材，這些課程內容，裡面還有各種資安事件的範例教材，例如郵件詐欺、惡意程式，還提供人員資安風險相關簡報檔、資安標準或框架參考資料，例如NIST CSF參考資料 ，以及各種社交工程手法和教材、CEO防詐騙、社群媒體詐騙、簡訊詐騙等手法等。

另針對員工個人，SANS也提出居家安全五口訣，來幫助員工能安全在家上班，分別是自己防護、網路控管、密碼管理、保持更新、隨時備份。透過這五口訣，讓員工在家能夠保持警惕，提醒自己不要犯了以上的錯誤，居家安全才有保障。最後，在家庭成員的資安意識養成上，SANS也透過兩部時事影片和網路廣播，可以用來快速訓練家長，如何教導小孩遠離上網風險。

武漢肺炎延燒全球，迫使許多企業員工都要居家辦公，這樣的全球規模員工返家潮，就算是大型跨國企業，也很少有面對這種超大規模的居家辦公使用需求，網通巨頭思科也不例外，為了要讓全球7.7萬名員工也能在家辦公，同樣採用不少緩解作法，來分散全球VPN連線流量，避免因為人太多連不上。

思科總部位於加州聖荷西，至今於全球已設有近500個營運據點辦公室，分布於亞洲、歐美等94個國家及地區，來服務全球員工。

由於受疫情衝擊，思科各地員工自今年2月起，部分改居家辦公，尤其，辦公地點是在亞洲地區的員工最先受影響，例如思科在中國、香港當地員工，早從2月起就已實施在家辦公，但這時候的災情尚未延延燒到歐美各地，直到3月初，歐美疫情大爆發，包括美國、澳洲、義大利、加拿大、比利時、波蘭等地也跟進強制員工在家辦公。就在WHO宣布全球疫情進入大流行後，緊接著，不到一周內，思科全球總部也於當月17日發布員工強制居家辦公的全球性政策。

思科臺灣總經理陳志惟就表示，從這項政策發布以來，思科全球7.7萬名員工就已改為在家辦公，光是該公司在亞洲員工就有數千到萬人之多，他也以臺灣為例，雖然疫情可控，但思科在臺灣的數百位員工同樣採居家上班至今，只有極少數情況，員工仍須進公司，比如客戶來訪等。

思科居家辦公的IT基本四框架

負責掌管企業IT服務與銷售體驗的思科全球IT副總裁Bailey Szeto近日在一場線上會議上，也透露更多作法，並提出一套居家辦公的基本四框架，包括四層作法，分別是VPN連線能力、建立溝通協作工具、關鍵應用遠端存取，以及考慮複雜的應用場景。

首先，在VPN存取方面，他指出，隨著疫情在全球迅速蔓延，各地區對於在家辦公的需求也有所不同，因此，思科在各地IT團隊也採取不同IT策略應對，例如亞洲剛出現疫情時，為了支撐中國、日本大量員工在家辦公，思科亞太IT團隊先是擴大VPN承載容量與覆蓋範圍， 包括增加網路頻寬、IP位址等，讓自家員工能很快回家上班，接下來，歐美、中東與非洲等地團隊，也加強其在VPN使用彈性與加入更多網路資源。

然而，由於員工居住地方分散各地，一旦同個區域同時連線人數太多時，其他人要使用，也只能等待。

為了改善這樣的情況，思科IT團隊除了透過全球13座VPN網路流量管理中心，來加強VPN連線管理，還在VPN網路加入智慧負載平衡功能，來動態調度這些網路資源來應對，讓IT團隊不需要預測接下來哪一個地方，因疫情需要加大頻寬和增加VPN連線，而是可以根據需求自動調整，一旦VPN流量快要滿載時，就會自動將它導向到另一個人數較少的VPN連線入口，來達到分散VPN流量的效果，如此一來，使用者也較不會因某個地區突然出現大量連線，而無法使用。

再者，Bailey Szeto也表示，過去基於資安考量，思科員工使用VPN預設都須經過公司內網才能存取所需應用，目的是為了確保這些連線裝置的安全無虞，但是為了因應大量使用人潮，他們現在也採用分割穿隧（Split Tunneling ）技術，讓一些已通過安全認證的雲端應用，如Office 365及 Salesforce等，不一定需要透過公司內網，員工直接可透過網際網路來進行存取，藉此來降低VPN流量的消耗。

有了基本遠端連線能力之後，接下來，也要確保所有員工都能正常作業。尤其，思科對內有多達1千個App與應用服務，IT部門也得跟不同部門討論，針對受影響的業務流程找出有效解決方式，比如在財務流程加入遠端結帳功能，或修改招聘系統來協助人資招攬新員工，還有與上下游供應鏈配合等等。

客服中心則是Bailey Szeto也提到另一個例子。他表示，因為這些客服人員工作地方，除了配備有大量電腦、電話交換機等硬設備，並且按照特定規則，讓來電者的電話能自動轉接到正確的接線人員來協助，一旦改為居家辦公，事前如何要建立一套遠端通訊機制，讓這些員工在家依然可以繼續工作，而不會接錯電話，這些事前準備工作，也需花費不少時間。

在溝通協作方面，該公司原本就有一套企業視訊協作及溝通平臺WebEx，讓全球各據點業務人員都能使用它來與企業用戶、經銷商夥伴進行遠距溝通聯繫，疫情期間，這個平臺也成為思科所有員工在家辦公主要的溝通工具，或是用它追蹤每日工作與專案進度。單是思科內部使用就占了該服務總流量約1成。但更常情況，WebEx還得應付來自其他企業的大量使用者所需。由於全球開始出現大量居家上班潮，該平臺使用需求近期大量湧入，導致頻寬擁擠，「這是我們當初始料未及，也導致WebEx服務資源面臨不足。」思科臺灣技術長馮志良坦言，這也成了IT團隊得要解決的另一個問題。

他表示，除了加大網路頻寬和擴充資料中心資源，思科IT團隊還透過既有全球20多座自有網路資料中心，以及還有與其他生態系夥伴的合作來提供，並且也採用MPLS專線，搭配軟體定義廣域網路（SD-WAN）技術，來維持網路傳輸效能，確保WebEx視訊的品質。

思科全球IT團隊規模多達3千人，平時分散在全球各地，支援24小時不中斷的IT服務，但當大量員工在家辦公遇到各種事件問題時，就算IT人力再多也應付不來，因此，在疫情期間，思科IT團隊針對簡單問題事件，也提供自助式服務，讓員工可以使用如Webex Teams等工具，從過往問答資料裡來搜尋所需的答案，而不用等待， IT人員則可以專注於處理可能造成營運中斷的重大突發事件。改在家工作後，不同地區的IT團隊，也透過該工具來進行協同合作。

這家公司先前還設立一個流行大流感規畫委員會（Pandemic Influenza Global Planning Committee ），這個委員會是一個跨部門團隊的常設組織，就是為了防範流行疫情帶來的業務衝擊所成立，以便在疫情爆發時能迅速擬訂抗疫對策、溝通策略，以及對於員工防疫進行宣導等。陳志惟說明，當疫情發生時，思科全球各地區主要負責人皆須向該委員會定期匯報，該委員會也會結合人事、法務，以及工作場所資源部門 ，以及EHS安全等部門， 共同解決當前迫切的問題。同時也會定期向員工發送各地疫情即時資訊、CDC官方建議以及公司最新政策等。

Bailey Szeto也歸納這段在家上班期間學到的經驗，提出企業在家辦公可以參考以下的四大原則，首先是，當一家企業決定在家辦公時，仍須定義關鍵例外狀況。例如機房硬體設備發生故障，IT人員就需要進到資料中心來更換硬體，企業必須找出這些例外情況與關鍵人員名單，以便在發生例外，仍可通過預先控制，將損害降到最低。

思科的作法，除了要求所有IT人員進入機房前皆需穿戴全身防護衣，避免在裡面受到感染，同時也會將這些人進行分組，成為A、B兩組，並且彼此分開執行任務，一旦其中一組有人染疫，還有另一組人可以接手處理問題。

其次，則是通過IT團隊建立單一訊息來源管道， 避免傳遞不實疫情資訊，而間接地影響公司防疫成效，思科IT部門還推出一個在家上班FAQ網頁，讓員工可以迅速來取得各種在家工作資訊，包含VPN使用教學、郵件安全管理、防疫注意事項等，就連思科CEO都有用。

Bailey Szeto提到第三個原則是建立定期溝通機制，例如透過召開會議，讓公司管理階層能夠掌握目前疫情現況。最後，則是保持員工互動交流，例如定期舉行線上活動，讓員工透過視訊聚會、聊天、或一起運動。

臺北市政府很早就展開居家辦公的規畫，是所有政府機關中最早完成演練。要讓全部員工在家上班，有件事得先解決，那就是要能夠遠距開會，尤其全市府員工高達7萬多人，分散在北市144個機關局處，這些機關員工回家後，以後需要開會討論事項時，如何召開會議，進行個人對個人、或多人參與開會、小組討論，甚至是跨局處、單位對單位、單位對廠商開會，都要能視訊溝通，這也成為臺北市資訊局得先面對的IT考驗。

為此，早在3月規畫居家上班之初，臺北市資訊局局長呂新科就要求，居家辦公的演練，須完成包含視訊會議、雲端協作及線上公務三個層面部署，其中，建立以視訊為主的橫向溝通聯繫機制，就是為了解決員工無法見面而須改用線上開會討論溝通的問題。

為了讓各局處都能線上參與開會，資訊部門先是盤點網路頻寬、設備、軟體授權及公務系統現況，並多次跨局處視訊會議演練、系統調校，資訊人員也同時協助各單位視訊窗口設定帳號，並在3月7、8日兩天和人事處、研考會合作，模擬居家辦公的視訊演練。

更進一步來講，這些員工回到家後，必須要能夠利用視訊會議平臺開會、進行任務指派和討論，同時也能遠端處理公務，能透過網路VPN的方式連到市府的內網繼續辦公，來簽辦公文或進行其他公務處理。並在顧及居家辦公安全的情況下，也得將使用者的電腦裝置納入資安管控。

但這種遠距開會型式，也將使得以後線上會議的型式更加複雜，且多樣。為了讓這些員工能逐步熟悉這種溝通方式，資訊局採由上而下方式推廣，先完成跨機關進行視訊會議連線，並開始在日常的單位對單位、單位對廠商會議，慢慢改以視訊會議進行聯繫。甚至，為了要測試各種不同開會情境，他們還會先以辦公室對辦公室、個人對辦公室、個人對個人等視訊會議形式，來進行模擬測試，以確保上百個局處間跨部門的橫向溝通可以暢通。

再者，在VPN連線方面，考量到居家辦公不需要所有員工同時上線，臺北市政府採用的作法，是將VPN同時上線人數擴充提升至1,000人。另外，雲端協作方面，則以電子郵件、內部雲端檔案櫃，搭配Line作為公務聯絡使用。

臺北市政府4月初已啟用彈性上班機制，先將 5,000多名市府員工分流，減少通勤相互感染的風險，同一時間，也擴大居家上班的演練規模到所有144個機關局處，甚至目標要趕在4月第一周，就要完成所有居家辦公與異地演練，做好居家辦公的準備。

清明連假，多處景點人潮洶湧的影片，讓許多企業繃緊神經，150萬人次旅遊族群有高風險，不只政府強烈呼籲自主健康管理，多家金控、保險業、高科技業乾脆要求出遊者在家上班，深怕當年SARS疫情連假崩盤困境再現。居家辦公成了企業抗疫的必備新手段

清明連假才開始，墾丁大街人潮洶湧，不少人沒戴口罩，冷漠地看著大聲疾呼保持社交距離的警察，這段景點影片讓各界繃緊了神經！

連假前，政府就公布了保持社交距離建議，假期中更發出兩波警告簡訊，提醒11處景點的遊客保持距離或戴口罩。但是，大家還是很擔心，醫界絡繹出聲告警。因為當年的SARS疫情崩盤，就發生在連假過後，鄰近的日本也是在櫻花季過後，而疫情大爆發。

收假前夕，4月5日晚上，多家金控紛紛展開調查，富邦金控、國泰金控更緊急宣布，到過熱門景點的員工，隔天不能進辦公室，改為居家辦公，富邦金控受影響的員工約1,100人，國泰金則有1,200人。

6日一早7點多，中央流行疫情指揮中心突然宣布，記者會改到早上，透露出不尋常的氣氛。指揮官陳時中在記者會中提出了6大要求，第一個就是建議企業要有彈性上班和異地上班的規畫，而且他強烈建議，那些去過人潮擁擠處的員工，要進行自主健康管理，甚至有相關症狀的人，不能上班、上學。

根據中央流行疫情指揮中心發言人莊人祥揭露的數據，在發布警告簡訊的11處景點中，用手機訊號推估，待了超過15分鐘的遊客高達150萬人次，這群人就是最好要採取自主健康管理的高風險者。

儘管可能不少人是多次進出而重複計算，但這個龐大的高風險族群，讓更多企業採取行動！

光是壽險公會統計，臺灣17家壽險業者，累計就有2,400人被要求要居家辦公兩周。科技業、服務業也都有企業採取行動，如鴻海、HTC、台灣大哥大、亞太電信、統一集團、東森集團、雄獅旅遊、永慶房屋、中華航空等，都決定讓部分員工居家辦公7到14天不等。

突如其來的居家辦公考驗，不少大型企業早就嚴陣以待，根據我們1、2月進行的今年CIO大調查，373家臺灣大型企業中，高達6成企業平時已有一套遠端工作機制，可以應急，只是規模或幅度，可能得因應最新情況調整或擴充。

不少企業則是在疫情發生之初，決定開始導入居家辦公，政府機關、學校也在2月底、3月初就陸續展開演練。居家辦公最大的挑戰是變動的風險，尤其對IT經費向來不足的中小企業，臨時轉變上班模式，光是尋找工具和輔助系統，就是一大課題。

這正是我們這期封面故事要探討的課題，因為居家辦公不只是一個可有可無的選項，現在開始成了企業必備的新能力，甚至開始有企業考慮，疫情過後，將這套居家辦公作法，變成了日常的例行上班型態之一，讓員工有更多選擇。

搶先一步展開抗疫的臺灣，過去兩個月，守出了漂亮一仗。即使全球上百個地區或城市紛紛進入封城、居家令的警戒，臺灣仍是全球少數正常上班、上課的國家。但是，疫情的風險依舊，甚至帶來新的考驗，善用IT實現居家辦公，成了企業抗疫的新關鍵能力之一。

 相關報導 【對抗疫情！企業必備新能力】居家辦公

近來火紅的視訊會議軟體Zoom因傳出隱私、安全與誇大加密等級等負面消息，而日益受到各國政府的關注，除了台灣的行政院與教育部，已下令公務機關及各級學校不得使用Zoom之外，美國參議院、德國外交部，以及澳洲國防軍，也都宣布了禁用Zoom的政策。

根據報導，德國外交部在本周通知員工，為了保持該部門IT系統的安全，禁止他們在公家裝置上使用Zoom。不過，有鑑於該部門有許多國際合作夥伴使用Zoom，無法完全禁用Zoom，於是通融他們在個人裝置上，以Zoom進行公事上的交流。

至於澳洲也禁止國防人員使用Zoom來進行視訊會議，該國擔心的是有外國敵人會透過Zoom的安全漏洞，來發動攻擊或進行滲透。當地媒體The Australian，引用澳洲國防部旗下戰爭學院講師Elizabeth Buchanan的看法指出，澳洲人在沒有充份調查這些網路平台的惡意程式潛力之前，便已快速地轉移到網路平台，在這些平台上進行戰略或機密的討論，將給敵人帶來攻擊的機會。

而美國的參議院也在本周，要求所有的議員不要使用Zoom。

Zoom在短短的幾個月內，就成為全球最熱門的視訊會議軟體，在各種缺點被公開之後，Zoom創辦人暨執行長袁征除了出面公開道歉之外，也承諾將在未來90天凍結新功能的開發，全力改善該平台的安全及隱私，已宣布將成立資安/隱私顧問委員會，同時延攬曾任Yahoo及臉書安全長的Alex Stamos，擔任Zoom的外部顧問。

除了政府機關之外，Elon Musk旗下的SpaceX與特斯拉（Tesla），以及Google等企業也都禁用了Zoom。

也許Zoom只是樹大招風，才惹得各個安全研究人員、媒體或組織詳細地檢視該平台，同時外界亦擔心，Zoom的熱門程度，將讓它成為全球駭客的頭號攻擊目標，因而紛紛祭出預防措施。

安全廠商VPNPro發現，下載人次超過1億的免費VPN軟體SuperVPN有漏洞，可以輕易攔截用戶流量以竊取機密，由於漏洞持續存在，本周已被Google從Play Store移除。

SuperVPN是由中國公民Jingrong Zheng，在新加坡成立的SuperSoftTech的產品。SuperVPN在Google Play Store下載人次超過1.05億，超過領導廠商NordVPN及ExpressVPN。

VPNPro團隊去年發現，SuperVPN用戶端軟體存在中間人攻擊（man-in-the-middle，MiTM）漏洞。在一次測試中，他們先是發現SuperVPN連向多台主機，有些連線是未加密的HTTP連線。雖然SuperVNP將連線內容予以加密，但其解密金鑰卻寫死（hardcoded）在App中。研究人員以之解密後，進一步發現SuperVPN伺服器敏感資訊、憑證及VPN伺服器驗證的EAP（Extensible Authentication Protocol）憑證。取得這些資訊後，研究人員就可以用假伺服器IP等資料，代換掉真正的SuperVPN伺服器資料。

也就是說，這個漏洞可讓駭客藉由設立惡意網站，導引用戶流量，進而看到掌握使用者的通訊內容，或是加入惡意程式。

VPNPro一直試圖聯絡SuperVPN公司，但皆無法取得連繫。今年2月他們將研究發現，分享給漏洞揭露平台HackerOne。HackerOne允許公布下載人次超過1億的軟體漏洞。3月19日SuperVPN官方終於證實有此項漏洞，但最新版仍未修補，表示會在下一版修補完成。Google遂在本周三，將之從Play Store上移除。

研究人員指出，從SuperVPN在Play Store上架迄今，就有大大小小的漏洞，唯一不確定的是，這是無心造成還是有意留下的漏洞。因此安全廠商呼籲，用戶手機中如果已安裝該App，最好立刻刪除。

Google為了讓視障人士可以更順利的在Android裝置上輸入文字，因此在Android中整合了新的語音回饋（TalkBack）點字鍵盤，這是一個虛擬點字鍵盤，可以讓視障人士在社交媒體或是電子郵件應用程式中，快速便捷地輸入文字。

Google提到，雖然目前多數的手機以及電腦都有支援物理點字鍵盤，讓視障人士可以輸入文字，但是每次要在手機上輸入文字內容前，都要先連接外部裝置，這個過程耗時繁瑣。為了解決這個問題，Google與點字開發者合作，開發了TalkBack點字鍵盤，這個新虛擬鍵盤的使用方式，會讓過去使用點字輸入的人感到熟悉。

TalkBack點字鍵盤使用標準的6鍵布局，每個鍵代表點字中六點的其中一個，當使用者點按盲文點時，便能輸入各種字母和符號，像是點1的時候，便是輸入字母A，一起按下點1和點2，就能夠輸入字母B。

使用者可以在任何平常可輸入文字的地方使用TalkBack鍵盤，執行刪除字母與單字、下一行或是提交文字，也能在國際鍵盤間切換。點字鍵盤可以在配置中的輔助功能啟用，當使用者啟用鍵盤之後，會有一個教學引導使用者練習開始使用新鍵盤。目前這個TalkBack鍵盤已經在所有5.0或更高版本的Android設備上推出，支援一級和二級點字，最初僅提供英文支援。

由阿里巴巴集團貢獻的Dragonfly專案，已經離開雲端原生運算基金會（Cloud Native Computing Foundation，CNCF）的沙盒階段，進入了孵化器階段。Dragonfly專案是一個專用於Kubernetes的雲端原生映像檔和檔案發布系統，目前專案的維護者來自阿里巴巴、eBay、美圖、VMware以及蝦皮等20多家企業。

在2015年的時候，阿里雲創建Dragonfly專案，目的是要改善Kubernetes中映像檔和檔案發布系統的使用者體驗，讓用戶可以專注於開發應用程式，而不用花額外的心力管理基礎架構，Dragonfly為阿里巴巴容器平臺中的骨幹技術，每年支援數十億次的應用程式交付。Dragonfly在2018年的時候被CNCF沙盒接收，並被中國移動、滴滴和螞蟻金服等企業採用。

Dragonfly由三個主要元件組成，來解決雲端原生的檔案發布問題，三個主要元件分別是超級節點、dfget以及dfdaemon；超級節點為主要在同儕網路中，調度以及控制所有發布程序的重要角色，而dfget則為一個同儕代理，用來下載檔案片段，另外，dfdaemon則為一個代理伺服器，能夠攔截從容器引擎到dfget的映像檔下載請求。

透過P2P映像檔和檔案發布協定，Dragonfly能有效減輕映像檔註冊表和網路的負載，以提升使用者體驗，由於P2P技術可以充分利用每個同儕的頻寬資源提升下載速率，能節省大量的跨IDC頻寬以及昂貴的跨境頻寬。

Dragonfly也提供使用者主機層級的速度限制，由於wget或是curl等檔案下載與續傳工具，僅能限制當前下載任務的速度，而Dragonfly則提供對整個主機的速度限制功能；其支援各種容器技術，用戶可以依需求選用來發布映像檔，另外，Dragonfly提供CDN機制，可以避免重複的遠端下載行為。

Dragonfly與其他許多的CNCF專案整合，包括Prometheus、containerd、Kubernetes以及Helm，最新版本Dragonfly 1.0，已經用程式語言Go全部重寫，使其提高在雲端情境中，可發揮靈活與可擴展性，在GitHub中獲4,600顆星，專案發起人Sheng Liang認為，隨著全球的企業與組織，開始將工作負載搬遷到雲端上，則Dragonfly的採用率將會上升。

由WhatsApp創辦人Brian Acton資助的知名加密通訊軟體Signal，在官方網站發文希望大家抵制危害用戶隱私的EARN IT法案，Signal提到，一旦EARN IT法案通過，則所有美國境內通訊軟體可能皆無法提供端對端加密功能，而這將會對言論自由以及用戶安全性產生巨大的衝擊。

講究安全隱私的Signal或是其他加密通訊軟體，皆有可能因為EARN IT法案而被迫移除端對端加密功能。美國在1996年制定的《通訊規範法案》，其第230條保護網際網路服務供應商，無需為第三方使用者的言行負法律責任，但是現在美國國會幾位議員提出了EARN IT法案，將會讓原本《通訊規範法案》第230條的保護成為政府談判籌碼，EARN IT法案要求企業必須遵守委員會制定的最佳實踐，才能夠獲得《通訊規範法案》第230條的保護，這個最佳實踐，可能不會允許企業使用端對端加密技術。

而不遵守最佳實踐的企業，或將失去第230條的保護，Signal表示，大型科技公司可能之後要對用戶的事件負責，承擔處理數百起訴訟案的財務負擔，而像是Signal這類小型非營利組織，就不可能繼續在美國境內營運，不少科技公司和組織可能會被迫搬遷到其他國家，新創企業可能會選擇其他國家開始創業。

Signal認為，要企業撤銷使用端對端技術，可能對國家安全造成危險，Signal不只是受到美國軍方推薦使用的通訊軟體，許多參議員、國會工作人員，甚至歐盟委員會也有很多議員在使用，端對端加密技術可保護全球通訊的安全性與保密性。

電子前線基金會（Electronic Frontier Foundation，EFF）對此也表示，EARN IT法案將會破壞美國法律對網際網路言論的保護，同時還破壞了軟體工具的安全性，是個反言論、反安全、反創新且不必要的法案。

EARN IT法案的內容，是要創建一個全國線上兒童性剝削預防委員會，該委員會將會為線上平臺制定最佳實踐，用來預防與減少對兒童的性剝削。EFF表示，最佳實踐不會僅是建議，而是會成為法律要求，要是平臺不遵守這些最佳實踐，則會失去言論自由的保護傘。

由於美國的司法部長William Barr就是知名反對端對端加密的人士，過去多次發表應該強制加密通訊服務，向執法部門提供後門的相關言論，因此外界也認為，EARN IT法案將會讓William Barr有權要求企業強制交出後門，而這將會讓企業面臨兩難，在企業利益和用戶安全性之間做出選擇。

Signal提到，一旦這個法案通過，將會使全球各國的公民安全受到威脅，在目前仍然來得及的時候，Signal呼籲美國公民可以施壓選區內民選官員，表達反對EARN IT法案的意見。

武疫肺炎在全球各地陸續爆發，使得許多國家政府下令民眾居家隔離，民生必需品無法直接出門採買，民眾只好透過線上購物來取得所需，這樣的情況也使得購物網站被駭客盯上，鎖定下手截取交易內容和金融卡資料。資安業者RiskIQ指出，他們從1月下旬，發現新的側錄線上交易攻擊手法，已有19個中小企業網站受害。由於這些公司行號不若之前被攻擊的中大型企業，他們的網站很可能相關防護措施不足，而難以察覺這種攻擊的跡象。

從這波攻擊行動所採用的手法和特徵來看，因側錄交易資料的過程中，會於網站植入iframe，RiskIQ便將駭客使用的側錄工具（Skimmer）命名為MakeFrame。這項攻擊工具擁有3種主要功能，分別是存放側錄工具程式碼、從其他被駭網站載入側錄工具，以及把偷得的資料外洩給駭客。至於攻擊者的身分為何，該公司則根據MakeFrame的特性來判斷，認為是Magecart的第7組駭客所為。

Magecart是以側錄線上交易資料而惡名昭彰的駭客組織，之前售票網站TicketMaster、英國航空遭駭事件，都是這個組織所為。依據攻擊的目標和方式特性，RiskIQ歸納出Magecart旗下有多個攻擊小組。目前為止，RiskIQ總共發現了12個小組，其中這次發動攻擊的第7組，大約是在2018年被首度發現，該組駭客原先的攻擊目標，是針對中大型的電商平臺，其中曾被揭露的重大攻擊事件，像是美國廚房用品製造商OXO，先後於2017年和2018年二度遭受該組駭客攻擊。

不過，這次出現的攻擊，對象屬性與過往有所不同，RiskIQ指出，這次受害的購物商城，大多是中小企業所有，而且這些公司行號不若OXO有所名氣，這也意味駭客試圖更為低調，想要避免被資安人員揭穿。這種意圖也從駭客側錄工具的程式碼裡發現，RiskIQ指出，攻擊者運用了多種層次的混淆手法，企圖掩蓋MakeFrame的側錄腳本。根據該公司的偵測，疫情爆發的這段期間，Magecart發動攻擊的頻率增加了20%，因此他們認為，這種鎖定線上購物的側錄攻擊，也相當值得各界加以提高警覺。

微軟揭露近期針對Kubernetes叢集的新型態挖礦攻擊，其惡意容器在2小時內，就感染了數十個Kubernetes叢集，微軟提供使用者數項避免被攻擊的建議，包括不要在網際網路上暴露Kubernetes儀表板，並且只給與儀表板服務帳號必要的權限等。

雲端容器調度工具Kubernetes已經成為標準，被企業大量的使用，而容器化環境的加密貨幣挖礦攻擊也並不少見，通常這些惡意挖礦活動，會在有漏洞的容器中悄悄的運作。而微軟提到，他們最近發現的這個挖礦攻擊，特別之處在於其規模龐大，惡意容器僅在2個小時內，就被部署到數十個Kubernetes叢集上。

這個容器來自於公開儲存庫中的映像檔kannix/monero-miner，這個映像檔執行熱門的開源加密貨幣Monero礦工XMRig。從遙測資料顯示，這個容器是以Kubernetes部署控制器kube-control部署，配置文件設定每個叢集會執行10個Pod副本（Replicas）。

此外，這個惡意攻擊在部署挖礦容器的同時，也會列舉包括Kubernetes秘密資訊等叢集資源，這將會使連接字串、密碼和其他秘密資訊暴露，使其能進行橫向移動。微軟提到，這個攻擊有趣的地方在於，其活動身份使用system:serviceaccount:kube-system:kubernetes-dashboard，而這是儀表板的服務帳號，代表惡意容器由Kubernetes儀表板部署，同樣的，資源列舉也是由儀表板服務帳號啟動。

惡意攻擊者有三種方式可以使用Kubernetes儀表板，第一種是攻擊者掃描暴露在網際網路上的儀表板，並加以利用，第二種則是攻擊者有辦法存取叢集裡其中一個容器，並使用叢集內部網路存取儀表板，而這個行為是Kubernetes預設配置，第三種方法，是攻擊者利用雲端和叢集憑證合法瀏覽儀表板。

由於微軟Azure安全中心所掃描到受攻擊的叢集，其儀表板都暴露在網際網路上，因此微軟認為，這次的攻擊是使用暴露在網際網路的公開儀表板作為媒介，因此微軟建議叢集管理者，不要把Kubernetes儀表板暴露在網際網路上，因為這同時也代表著，向外暴露其管理介面。微軟也建議，叢集最好應用RBAC（Role-Based Access Control），使用以角色為基礎的存取控制，將能有效限制儀表板服務帳號的權限，使其無法部署新容器。

當叢集使用儀表板，管理者應該僅授與儀表板服務帳戶必要的權限，像是當儀表板僅用於監控，就僅給予get權限就好。另外，管理者應僅允許叢集使用受信任的映像檔，從受信任的註冊表中，部署受信任的容器。

Google發表了自由通用聲音分離資料集（Free Universal Sound Separation，FUSS），以促進社群在於聲音分離的研究。FUSS的目的是要來支援聲音分離模型的研究，讓研究人員利用模型，從包含多個聲音來源的錄音中，分離出各種聲音。

Google提到，過去要從錄音中分離這種不同的聲源，其分離工作著重在從混合錄音中，分離出少量聲音類型，像是從錄音中分離出語音與非語音，或是分出錄音中兩位說話者的語音，而在分離之前，還需要預先知道錄音中存在聲音的數量。

而Google所創建的FUSS資料集，是要來解決更加普遍通用的問題，希望可以將錄音中，隨意數量的聲音彼此分開，Google表示，這個領域訓練模型，有一個主要的障礙，是即便擁有了高品質的錄音，也無法簡單地以基準真相標註這些聲音；而這也就出現了以高品質模擬來克服此一限制的方法，但要達到良好的效果，使用者需要使用逼真的房間模擬器，編排各種元素以取得真實、多音源以及多重等級的基準真相聲音。

FUSS則具備了這些特性，其運用了freesound.org上CC授權的音訊剪輯，共取得約23小時的錄音，其中包含了12,377種可用於混音的聲音，Google利用自家開發的模擬器，處理這些音訊剪輯，共創建了2萬個用於訓練的混音，1千個驗證用混音和1千個評估用混音。

Google採用Tensorflow開發自家的房間模擬器，研究人員可利用此模擬器，產生具聲源以及麥克風位置資訊的錄音，其所產生出來的音訊媲美昂貴的房間模擬器。Google也釋出了遮罩分離基準模型，即便錄音中存在2到4個聲音來源，該模型也能維持良好的效能。Google這次釋出的內容，包含各種聲音的FUSS資料集、音訊樣本的聲音組成編碼，還有基準模型，未來可能也會釋出模擬器程式碼。

在去年底遭到勒索軟體入侵的倫敦外匯交易公司Travelex，近日傳出已支付價值約230萬美元的比特幣予駭客，以換得解密金鑰，讓系統回復正常運作。

Travelex為全球最大的外匯交易公司，在27個國家設立了1,500個服務中心。根據外電報導，當時駭客是以勒索軟體Sodinokibi攻擊了Travelex，同時也備份了系統上5GB的個人檔案，包含生日、社會安全碼與金融卡資訊等，向Travelex勒索300萬美元。此一攻擊讓Travelex的全球服務停擺了超過兩周。

當Travelex服務於1月17日恢復正常運作時，外界即開始揣測Travelex應該已支付了贖金。本周華爾街日報則引述消息來源，指出Travelex最終支付了價值230萬美元的比特幣。

專門提供勒索軟體受害者諮詢服務的Coveware在去年第四季的調查顯示，Sodinokibi是該季最受駭客青睞的勒索軟體，市占率為29.4%，居次的則是Ryuk的21.5%，三、四名則為Phobos的10.7%與Dharma的9.3%，該季受害者平均支付的贖金為84,116美元，為上一季41,179美元的兩倍。

值得注意的是，Sodinokibi與Ryuk駭客進一步瞄準大型企業展開攻擊，企圖創造更大的利潤，向受害者勒索的金額高達7位數美元。

根據趨勢科技的分析，在2019年4月現身的Sodinokibi，主要是開採甲骨文WebLogic Server上的CVE-2019-2725漏洞，或是藉由惡意垃圾郵件及遠端桌面協定來滲透企業網路，呼籲企業應提高警覺。

來自加拿大的智慧鎖製造商Tapplock，因宣稱自家的智慧鎖不論是在實體或數位上都非常安全，而且牢不可破，卻相繼被多名安全研究人員發現其同名智慧鎖很容易就被破解，由於Tapplock也在美國市場銷售，使得美國聯邦交易委員會（FTC）對此展開調查，本周宣布已與Tapplock達成和解，Tapplock承諾將改善裝置的安全性。

Tapplock是一家2016年才成立的加拿大新創，主要開發支援指紋辨識的連網智慧鎖，亦有搭配的行動程式，以儲存使用者名稱、電子郵件位址、個人檔案照片與智慧鎖的精確位置，並宣稱最多可存放500組指紋。

Tapplock品牌的智慧鎖除了標榜可隨身攜帶之外，也號稱既堅固又安全，且「堅不可摧」（unbreakable），然而，FTC的調查卻顯示，該公司的產品充斥著不少安全漏洞，包括硬體與軟體。

例如有研究人員發現，Tapplock的API允許駭客繞過其帳號認證機制，而得以入侵使用者的帳號，取得使用者的個人資料。此外，Tapplock還未加密介於智慧鎖與手機之間的藍牙通訊，讓駭客能夠輕易地鎖住或解鎖智慧鎖。第三個漏洞則是當Tapplock用戶授權其他用戶使用智慧鎖之後，無法撤回授權。更扯的是，其實根本不必使用上述手法來破解Tapplock智慧鎖，研究人員只要花幾秒鐘來鬆開背後的面板，就能打開某些智慧鎖。

FTC認為，Tapplock智慧鎖並未採取必要的安全檢測，也不如該公司所宣稱的那麼安全，等於是欺騙了消費者。

在遭到FTC質疑之後，雙方在本周達成和解。Tapplock雖未接受FTC的指控，但承諾將會實施全面的安全專案，並同意接受兩年一次的第三方資安評估。

實名制口罩推動至今，儘管政府已開放網路預購口罩，在四大超商領取口罩，但街頭的藥局仍然能見到不少民眾排隊購買口罩。為疏解民眾排隊購買口罩的不便，臺北市政府和行政院衛福部聯手推出「實名制口罩自動販賣系統」，讓民眾除了藥局和網路外，也能在販賣機購買口罩。

目前臺北市政府與中央合作試辦的口罩自動販賣系統，結合健保署、北市資訊局及新創業者業安科技，整合了健保署的API介接口罩實名制資料庫，民眾在自動販賣機購買口罩時，插入健保卡就能完成實名驗證，並確定是否在兩周內在其他地點(藥局戓網路)購買過口罩，若確定沒有購買過口罩，就能在販賣機購買口罩，販售的口罩包括成人和兒童口罩。

不過，現在僅在北市信義區的健康服務中心(信義路5段15號)設置3臺實名制口罩販賣機，這些販賣機都是以既有的販賣機改裝而來，搭配外掛模組，以4G網路連接到健保署的資料庫，若未來疫情和緩，販賣機可以改為銷售其他需要實名制才能銷售的商品，例如煙酒商品。

民眾只要插入健保卡，後端連至健保署的資料庫，就會顯示購買者的姓名，以及是否具備購買口罩的資格。北市信義區健康服務中心設置的3臺口罩販賣機，自不同類型販賣機改裝而成：

需注意的是，實名制口罩販賣機並非24小時銷售，平日(周一至周五)開放時間為早上8點半到晚上6點半，例假日則是早上8點半到中午12點。販賣機僅支援無現金支付，民眾可以Apple Pay、Google Pay、Line Pay、街口支付4種行動支付，或使用悠遊卡、icash購買，但不接受一卡通。

現場實際測試，插入健保卡後，販賣機即確認購買者的身分，若符合購買資格，再選擇購買的口罩類別(大人或兒童)，以手機掃描販賣機螢幕上的QR Code，就能完成支付，取出口罩，操作時間約1至2分鐘。

衛福部長暨中央流情疫情指揮中心指揮官陳時中表示，這幾日的國內疫情看似趨緩，來自境外的案例漸漸緩下來，臺灣在邊境的疫情控制上顯現出效果，和國外每百萬人200多人確診相比，臺灣每百萬人確診為16人相對較少。鑑於國外疫情的發展，仍不能放鬆下來，民眾仍要保持一定的社交距離、戴口罩、勤洗手。

他提到，國內口罩供應，從每天僅有幾百萬，到昨天達到1600萬片，除了讓民眾能買到口罩，也要讓能以多元管道、容易買到口罩。

3臺實名制口罩販賣機若機內口罩已售完，將由健康服務中心櫃臺人員補充口罩，每天共配給900份成人口罩、20份兒童口罩，當天口罩配額售完即止。臺北市長柯文哲表示，實名制口罩販賣機的口罩配額數量、擴點期程，將視第一階段成果，未來在中央政府指導下，配合政策調整，北市希望未來能在12個行政區都能設置販賣機。

蘋果和Google在4月10日共同宣布合作，將用藍芽技術，來打造一套可用來追蹤武漢肺炎接觸史的匿名追蹤技術，來對抗病毒的散播，5月先釋出API讓政府機構開發搭配的系統，後續會直接內建到iPhone和Android兩大手機OS中，讓全球數十億個裝置都能支援。
根據雙方公布的框架和技術文件初版，這項接觸史追蹤技術是利用了現成的藍芽Beacon廣播定位技術，這是用來偵測鄰近藍芽裝置的技術，再搭配匿名的隱私保護設計而成。

基本運作原理是，假設有一名使用者A的手機系統內，每天都會用手機專用金鑰，產生一個單日追蹤金鑰，每一天都不一樣，並且會在手機上啟用一個接觸史追蹤服務，每隔10～20分鐘（依電量而定），自動搜尋附近手機的藍芽訊號，使用者B在附近，就會回傳一個滾動式接觸指標（Rolling Proximity Identifier），給提出請求的使用者A的手機。滾動式接觸指標每15分鐘換新，因此，無法用來持續追蹤同一支手機。

這個滾動式接觸指標是利用了使用者B手機的單日追蹤金鑰來加密，所以，使用者A無法直接看到當中的資料。同樣的，使用者A的手機也會發送用自己的金鑰所加密的滾動式接觸指標，給其他來查詢的手機。

每一個人的手機都會記錄，接觸過的手機的滾動式接觸指標，可能保存了30天、60天不一定。政府機關在獲得確診病患同意下，可以將病患最近14天中，每一天的單日追蹤金鑰，提供給所有人的手機比對。

一般民眾的手機，可以利用確診病患這14天的金鑰，在自己手機上比對那些接觸過而蒐集到的滾動式接觸指標，就可以得知，自己在何時接觸過這位確診病患。但也只能知道是否近接觸過，而無法得知更詳細的資料，如明確距離、地點、身分等。

第一步：確診病患同意下，將自己過去14天單日追蹤金鑰給主管機關

第二步：民眾定期下載主管機關提供的確診病患追蹤金鑰，可以比對自己是否接觸過確診病患，但只能得知日期，無法得知對方身分。若有接觸史，也會收到如何因應的通知。

這個滾動式接觸指標是利用使用者B的單日追蹤金鑰來加密處理，而不是明碼資料，只有當使用者A取得使用者B提供的追蹤金鑰，才能解開，但沒有明確的身分資料，就可以用來保護確診病患的隱私，另外，就算這個滾動式接觸指標遭有心人士蒐集，使用者只要沒有外洩自己的單日追蹤金鑰，也不會遭其他人或機構追蹤自己的行蹤，因為滾動式接觸指標中，只有是否接觸過的資訊和匿名識別用的金鑰機制，而沒有清楚的地理位置定位資料。

只要有越多病患同意，將自己發病期間的單日追蹤金鑰，提供給其他人比對，就能讓其他沒有確診的民眾，更清楚地判斷自己是否接觸到確診病患的情況。

蘋果和Google也承諾，這些確診病患分享的單日追蹤金鑰，只會保留14天，而且這套藍芽接觸史追蹤，只會提供給COVID-19流行病防疫的授權公共衛生機構使用。目前，已經揭露了初步的追蹤技術框架API，藍芽技術規格書和隱私加密規格書。

行政院正式禁止公務機關用視訊會議軟體Zoom

繼4月6日晚間中華電信宣布停止原本的Zoom服務方案銷售後，政府現在也公開表示，將要求機關單位禁用。行政院資通安全處7號中午正式公告說明，指出各機關若因業務需求召開視訊會議，不應使用具有資通安全疑慮的產品，例如Zoom。

根據資通安全處的說明，臺灣已在2019年正式實施資通安全管理法，對於各公務機關及特定非公務機關而言，應依規定落實資通安全應辦事項，並應以國內產品及共同供應契約所列品項為優先。

由於武漢肺炎疫情（COVID-19）的持續發展，視訊會議需求大增，資通安全處指出，為了避免業務運作停擺，各機關在實施異地辦公或分區辦公時，可搭配視訊會議系統來溝通協作，但是，視訊軟體使用規範必須遵守。因此，他們表示，4月7日已經通函給各公務機關及特定非公務機關，說明不應使用Zoom這類具有資安疑慮的產品。他們也建議，在資安風險評估下，可使用如Google、微軟、Cisco的免費軟體。

行政院4月7日發函各機關單位後，教育部也在同日緊急發表後續處置說明，指出將轉知各級學校全面禁用Zoom，同時也將全面移除教育雲「線上教學便利包」中的Zoom相關使用說明。更多內容

支付安全聚焦新3-DS驗證與代碼化技術，Visa公布未來三年金融機構與商家導入時程

Visa公布近三年臺灣支付安全發展藍圖，其中有兩大支付安全焦點值得關注，首先是代碼化技術的推動，將朝向企業商家推進，其次是新一代的3-DS驗證系統，已經正式在臺推動，Visa並提出具體時程，讓相關業者都提前做好準備。

以代碼化技術而言，它在2014年成為支付產業標準組織EMVCo的正式標準，該技術將信用卡的16位數號碼，置換為另一組16位字串，最主要的目的，就是為了降低資料價值，讓實際的信用卡號碼只會使用在一開始的請求過程中，之後的存放與傳送過程，其實都是使用另一組代碼。

目前，這樣的安全技術早已應用在Apple Pay、Google Pay，與Samsung Pay中，讓用戶在這些行動支付所綁定的信用卡，更有保障性。然而，隨著行動支付更普遍，Visa也期望將代碼化技術擴及更多應用環節，尤其是資料存於商家的面向。

在第一階段，今年10月1日前，他們預計要讓商家導入應用程式內交易代碼化，讓消費者在商家App內，可用上述採代碼化技術的支付工具付款。換言之，商家App即可呼叫Apple Pay、Google Pay等應用。更多內容

德國、美國與澳洲都部份封鎖Zoom的使用

視訊會議軟體Zoom因傳出隱私、安全與誇大加密等級等負面消息，而日益受到各國政府的關注，除了台灣的行政院與教育部，已下令公務機關及各級學校不得使用Zoom之外，美國參議院、德國外交部，以及澳洲國防軍，也都宣布了禁用Zoom的政策。更多內容

Zoom稱用256位元AES加密金鑰，遭爆僅一半

圖片來源／The Citizen Lab

因在家工作風潮而大紅的視訊會議軟體Zoom，在安全白皮書中宣稱自己採用256位元的AES加密標準演算法於應用程式層，來加密所有呈現的內容。然而，加拿大多倫多大學市民實驗室（Citizen Lab）的研究人員實際測試卻發現，在基於電子密碼本（Electronic CodeBook，ECB）模式的Zoom會議中，所有參與者都使用單一AES-128金鑰，來加解密視訊與音訊，業者向來不建議採用ECB模式，因為它在加密過程中會保留明文。更多內容

Zoom為軟體漏洞道歉，承諾改善安全及隱私缺失

武漢肺炎（COVID-19）導致線上視訊應用需求大增，捧紅了在2011年創立的視訊會議平臺Zoom，使用人數更達上億人，但有關Zoom的隱私與安全問題，也如雨後春筍般地不斷出現，引起各界的質疑聲浪。最近，Zoom創辦人暨執行長袁征也親上火線，在官網上坦承，暴增的用戶與各式的使用情景，超越了Zoom原本的規畫，他承諾將凍結新功能的開發，優先解決平臺的安全及隱私問題。更多內容

Zoom宣布資安強化計畫，找臉書前安全長擔任外部顧問

為了強化產品安全以及資安措施，Zoom宣布聘請前臉書安全長Alex Stamos擔任外部資安顧問，並找來VMWare、Netflix、Uber等多家公司的CISO，擔任Zoom資安長會議及顧問委員會成員。更多內容

協助對抗疫情，Google發表人潮流動報告

圖片來源／Google

近期Google宣布，為了協助政府機關或研究單位對抗武漢肺炎疫情，他們將開始發表基於Google Maps的《武漢肺炎人潮流動報告》（COVID-19 Community Mobility Reports），以檢視人潮的流動狀態。

該報告主要蒐集了啟用「定位紀錄」（Location History）的Google Maps用戶的足跡，提供人們在不同地方的匿名移動趨勢，包括零售及娛樂場所、雜貨及藥局、公園、大眾運輸設施、工作地點及住家等。更多內容

臉書也有人潮地圖，準備號召全球用戶回報肺炎症狀

圖片來源／臉書

全球最大社交平臺臉書宣布，將提供3種人潮流動的地圖，也將開始號召全球用戶回報武漢肺炎（COVID-19）症狀，以協助研究人員了解並預測疫情。更多內容

蘋果捐贈2千萬個口罩，投入醫療面罩生產行列

蘋果執行長Tim Cook宣布捐贈2千萬個口罩予各國政府，同時正在著手生產醫療面罩，以供醫療工作人員使用，預計每一周可以生產100萬個醫療面罩。蘋果結合了公司內部的設計、工程、包裝團隊，以及外部的多家供應商，來共同設計及生產全新的醫療面罩，該醫療面罩一盒有100個，不到兩分鐘就能組裝完成，而且可根據頭部尺寸調整。更多內容

IBM新CEO上任，揭示混合雲、AI為策略目標

圖片來源／IBM

接任Ginni Rometty的IBM新任執行長Arvind Krishna走馬上任，發表員工公開信，宣示以混合雲、AI為公司策略目標，並視力推Red Hat、Kubernetes及容器為贏得架構戰的重點。更多內容

擠下Firefox，新版Edge成為全球市占第二的瀏覽器

也許是微軟開始替Windows 10用戶升級到Chromium版Edge之舉奏效，市調服務NetMarketShare發布的最新瀏覽器市場調查資料顯示，基於Chromium的Microsoft Edge瀏覽器在今年3月的市占率已達到了7.59%，些微領先Firefox的7.19%。更多內容

BGP劫持事件再現，臉書、谷歌CDN被導向俄羅斯

全球主要CDN（Content Delivery Network）發生BGP劫持（BGP hijacking）事件，包括Google、Amazon、Cloudflare、GoDaddy、臉書及Line等，都被導向俄羅斯一家ISP網站。

BGP流量監控業者BGPmon.net於美西時間4月1日晚上7點26分，偵測到這起BGP劫持事件，歷時約5分鐘，當時原應屬於臉書的CDN，其路由器網路前綴（prefix）很不尋常地由編號AS12389的自治系統（Autonomous System）宣告。根據偵測，受影響的CDN前綴全球超過8千個。這個自治系統隷屬於俄羅斯ISP Rostelecom，意謂著這些CDN的流量被導向了俄羅斯。這是過去三年來，第三次發生大規模流量被誤導的事件。更多內容

Slack現在可以站內撥打微軟Teams視訊通話了

圖片來源／Slack

協同軟體平臺Slack推出名為「Microsoft Teams Calls」的功能，讓Slack用戶可啟動Microsoft Teams視訊通話。

新功能目前還是Beta版，用戶按下Microsoft Teams Calls功能，即可在原為文字協同的Slack環境下，啟動Teams視訊會議，但並不能讓Slack用戶加入Teams會議。ZDNet報導，這是經由Microsoft 365/Office 365的API，來呼叫Teams視訊會議而成。更多內容

Skype開放視訊會議功能，與會者沒有帳號也能用連結參加

武漢肺炎（COVID-19）疫情，讓全球對視訊會議平臺的需求大幅增溫，為了簡化使用流程，Skype推出了新功能，允許使用者不需擁有帳號、不必登入，也不用下載軟體，就能透過連結參與Skype視訊會議。更多內容

居家辦公帶動3月筆電購買潮

隨著多數企業、學校因應武漢肺炎疫情，開始啟動居家辦公、上課等遠端作業，IDC市場分析師林璿瑞最新觀察，臺灣PC、平板等個人運算裝置的市場需求也出現了顯著成長。不論在實體通路上，如燦坤統計，筆電與平板的銷量比去年同期上升了2成，詢問度更是多4成，線上電商通路更是銷量大增，如PChome披露，三月整體筆電銷量較去年同期成長了35%。更多內容

因應疫情，Chrome 80暫緩跨網域cookies政策

圖片來源／Google

考量到武漢肺炎疫情造成的衝擊，Google暫停要求網站開發商或企業實施SameSite cookies標籤的政策。Google從Chrome 80起，為了維護用戶隱私和安全，要針對網站開發商或企業實施SameSite cookies標籤政策。在此政策下，所有cookies都必須標明SameSite值，SameSite=Lax的cookie將僅限同一網域使用。更多內容

Google推出智慧家庭邊緣運算SDK

圖片來源／Google

谷歌發布Local Home SDK 1.0，這是一個互聯裝置的開發工具包，可以整合到Google Assistant應用中。Local Home SDK讓Google Assistant裝置可以執行JavaScript本地履行應用程式，代替雲端後端執行一些日常工作，而由於資料只在區域網路傳輸，因此延遲也短得多，即使沒有網路連線，裝置仍然可以使用。本地履行擴展了智慧家庭Action，並以區域網路路由命令到裝置上，而且當本地路徑失效時，命令便會退回使用雲端連線。更多內容