拚資安防護 金管會發零信任架構參考指引

為拉高金融機構資安防禦力，金管會18日發布「金融業導入零信任架構參考指引」，金管會資訊服務處處長林裕泰指出，過去金融機構雖做到各「點」的資安防護，但各家著重部分不同，金管會發出指引「整隊、統一標準」後，可助金融機構資安防護更為全面。

林裕泰表示，此指引比照美規啟動「永不信任，持續驗證」的機制，針對以往金融業未部署重兵的「內網」，強化防護、偵察與攔阻。過去國銀就發生過駭客從國銀海外分行入侵銀行內網、遠端遙控台灣ATM盜領走數千萬元的案例，內網是金融資安防禦最脆弱的一環，若建立好「零信任架構」的話，當內網遭駭客滲透、內部可適當偵測攔阻，保護關鍵資源。

金管會上半年調查金融業零信任架構狀況，包括38家銀行、40家保險公司、19家券商、3家投信、1家期貨，各家分很多等級在推動，只是重點不見得一致，有此指引即可分階段進行，由外而內縮小可能被攻擊的面，並增進防禦縱深、由內而外擴大防護面，參考分級指標分階段導入資安管控措施，有能力者也可一步到位。

林裕泰說，指引是參考美國網際安全暨基礎設施安全局（CISA）零信任成熟度模型，並依據國內金融業屬性及既有資安防護能量進行調適，分四階段分級指標，並點出六大高風險場域，可讓金融機構從二方向對齊，一是從「點」連成「線」，去盤點資源存取途徑，包括身分、設備、網路、應用程試、資料；二是場域上各金融機構重視可能不同，可自行檢視要優先強化的部分，以風險導向來講，就有六大高風險場域，包括遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商、跨機構協作」。

四級包括一是「靜態指標」，著重既有資安防護機制的優化及整合，包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料加密及外洩防護等；二是融入「動態指標」，參採零信任概念，針對異常樣態動態撤銷、限縮存取授權或即時告警。

三是即時指標為主，建議整合資安監控機制，對入侵指標或攻擊行為等進行即時偵測、判斷與應處；四是最佳化的整合指標，建立可依資安政策快速調適的管理機制，確保安全性及合規性。