• 2024.07.19 . 魏喬怡、戴瑞瑤/台北報導

    拚資安防護 金管會發零信任架構參考指引

    為拉高金融機構資安防禦力,金管會18日發布「金融業導入零信任架構參考指引」,金管會資訊服務處處長林裕泰指出,過去金融機構雖做到各「點」的資安防護,但各家著重部分不同,金管會發出指引「整隊、統一標準」後,可助金融機構資安防護更為全面。

    林裕泰表示,此指引比照美規啟動「永不信任,持續驗證」的機制,針對以往金融業未部署重兵的「內網」,強化防護、偵察與攔阻。過去國銀就發生過駭客從國銀海外分行入侵銀行內網、遠端遙控台灣ATM盜領走數千萬元的案例,內網是金融資安防禦最脆弱的一環,若建立好「零信任架構」的話,當內網遭駭客滲透、內部可適當偵測攔阻,保護關鍵資源。

    金管會上半年調查金融業零信任架構狀況,包括38家銀行、40家保險公司、19家券商、3家投信、1家期貨,各家分很多等級在推動,只是重點不見得一致,有此指引即可分階段進行,由外而內縮小可能被攻擊的面,並增進防禦縱深、由內而外擴大防護面,參考分級指標分階段導入資安管控措施,有能力者也可一步到位。

    林裕泰說,指引是參考美國網際安全暨基礎設施安全局(CISA)零信任成熟度模型,並依據國內金融業屬性及既有資安防護能量進行調適,分四階段分級指標,並點出六大高風險場域,可讓金融機構從二方向對齊,一是從「點」連成「線」,去盤點資源存取途徑,包括身分、設備、網路、應用程試、資料;二是場域上各金融機構重視可能不同,可自行檢視要優先強化的部分,以風險導向來講,就有六大高風險場域,包括遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商、跨機構協作」。

    四級包括一是「靜態指標」,著重既有資安防護機制的優化及整合,包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料加密及外洩防護等;二是融入「動態指標」,參採零信任概念,針對異常樣態動態撤銷、限縮存取授權或即時告警。

    三是即時指標為主,建議整合資安監控機制,對入侵指標或攻擊行為等進行即時偵測、判斷與應處;四是最佳化的整合指標,建立可依資安政策快速調適的管理機制,確保安全性及合規性。