零信任指引 金融業6場域先行

金管會資訊服務處長林裕泰舉例，如果駭客透過釣魚郵件侵入到內部設備，內網資安防護可在其流竄時，完成偵測與攔阻。

金管會表示，零信任架構不可能一次到位，考量資安防護有一定的量能，如雙因子身分驗證、健康設備檢查及網段隔離，金融機構可在既有的基礎上，以零信任的思維繼續深化。

金管會所發佈的參考指引，建議金融機構可擇高風險場域作爲優先導入零信任架構的標的，金管會舉例6大場域，如遠距辦公，使用者及設備位於傳統資安防護邊境外；雲端設備位於傳統資安防護邊境外；系統維運管理，如主機設備及系統管理包含作業系統、資料庫的特權帳號。

應用系統管理如帳號管理員或高權限者帳號，可接觸大量個資或機敏資料使用者；服務供應商如委外廠商的遠端維運管理；跨機構協作，如重要應用系統外部使用者。但金管會強調並不限制前述場域，金融業可適當評估。

零信任架構導入策略，區分4階段分級指標盤點高風險場域。第一級爲靜態指標，除既有的雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料及外泄防護，由關鍵資源存取路徑強化防護縱深。

第二級爲動態指標，是零信任「永不信任、持續驗證」的概念，將資源存取時的動態屬性如時間、地點、設備合規狀態納爲授權審覈條件，可針對異常樣態動態撤銷、限縮存取授權或即時警告。

第三級是即時指標，建議整合資安監控機制，於安全資訊與事件管理平臺收容及整合資源存取相關事件，對入侵指標或攻擊行爲樣態，等進行即時的偵測、判斷與應處。第四級爲最佳化的整合指標，建立可依資安政策快速調適至一致性且自動化的管理機制，確保安全性及合規性。

金管會表示會定期調查金融機構導入及進程，與各公會、周邊單位共同依據對金融屬性、規模及業務風險，衡量實際資安防護需求及執行可達性。金管會上半年已完成所有銀行、保險及證券19家調查。