金融業導入零信任架構指引出爐！　強化內網、設四分級階段指標

金管會今天發布金融業導入零信任架構參考指引，將以風險導向分四階段，擇高風險場域先行，建立資安防護框架。由於資安防護分為內網和外網，推動零信任架構就是永不信任，即是假設駭客進入內網，金融機構也得以檢視關鍵資源保護，也能有相當等級的防護阻擋，未來會定期調查導入計畫進程，後續會評估納入自律規範。

金管會針對38家本國銀行、壽產險40家，證券19家等金融機構在上半年調查資安調查。提出零信任架構指引，建議機構採風險導向，擇高風險場域為優先導入零信任架構之標的。

舉例相關場域，包含非屬傳統資安防護邊界範圍內的遠距辦公及雲端存取；具備特權或高權限者，如重要系統主機及資料庫等之維運管理、應用系統中的帳號管理員或可接觸大量機敏資料之使用者等；以及因應供應鏈攻擊趨勢，對委外廠商或跨機構協作之存取管理。

金管會參考美國網路安全暨基礎設施安全局(CISA)發布零信任成熟度模型 2.04，依身分識別、設備、網路、應用程式與工作負載、資料等五支柱。

並依據台灣金融業屬性和既有資安防護能量進行調適，導入零信任架構四階段，分別為靜態指標、動態指標、即時指標、整合指標等四階段，以完整存取路徑(身分、設備、網路、應用程式、資料)，由外而內縮小攻擊表面並增進防禦縱深、由內而外擴大防護表面，參考分級指標分階段導入資安管控措施。

分級指標中第一級為靜態指標，著重在既有資安防護機制優化整合，包含雙因子身分鑑別、設備識別、網路區隔與流量加密由關鍵資源存取路徑強化防護縱深。

第二級融入動態指標，主要參採零信任「永不信任、持續驗證」概念，將資源存取時的動態屬性增納為授權審核條件，可針對異常樣態動態撤銷、限縮存取授權或即時告警。

第三級以即時指標為主，建議整合資安監控機制，於安全資訊與事件管理平台(SIEM)收容及整合資源存取相關事件日誌，對入侵指標(IOC)或攻擊行為樣態(如Mitre ATT&CK TTP)等進行即時的偵測、判斷與應處。

第四級為最佳化的整合指標，建立可依資安政策快速調適之一致性且自動化之管理機制，確保安全性及合規性。

金管會表示，未來將定期調查導入規劃及進 程，與各同業公會、周 邊單位共同依據對各金 融業別屬性、規模及業 務風險等，衡量實際資 安防護需求及執行可達 性，適時納入資安規範， 提升整體資安防禦水準。