金融監督管理委員會(以下稱金管會)近期發布「金融業導入零信任架構參考指引」,鼓勵金融業深化資安防護。此指引基於「金融資安行動方案 2.0」及國際零信任網路安全策略,旨在提升資安防護水平。金管會建議金融機構應優先導入零信任架構於高風險場域,如遠距辦公、雲端存取、權限管理及供應鏈管理,並根據風險進行適當評估。
在零信任架構的導入策略上,金管會參考美國網際安全暨基礎設施安全局(CISA)零信任成熟度模型,並依據我國金融業屬性及既有資安防護能量進行調適,區分四階段分級指標,建議盤點高風險場域之完整存取路徑(身分、設備、網路、應用程式、資料),由外而內縮小攻擊表面並增進防禦縱深、由內而外擴大防護表面,參考分級指標分階段導入資安管控措施:
第一級:靜態指標
著重在既有資安防護機制之優化及整合,包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料加密及外洩防護等,由關鍵資源存取路徑強化防護縱深。
第二級:動態指標
主要參採零信任「永不信任、持續驗證」概念,將資源存取時的動態屬性(如時間、地點、設備合規狀態等)增納為授權審核條件,可針對異常樣態動態撤銷、限縮存取授權或即時告警。
第三級:即時指標
建議整合資安監控機制,於安全資訊與事件管理平台(SIEM)收容及整合資源存取相關事件日誌,對入侵指標(IOC)或攻擊行為樣態(如 Mitre ATT&CK TTP)等進行即時的偵測、判斷與應處。
第四級:最佳化的整合指標
建立可依資安政策快速調適之一致性且自動化之管理機制,確保安全性及合規性。
金管會後續亦將定期調查各金融機構之導入規劃及進程,與相關單位共同依據對各金融業別屬性、規模及業務風險等,衡量實際資安防護需求及執行可達性,適時納入資安規範,提升整體資安防禦水準。
了解更多指引內容與說明,請見 金管會網站
亞利安助力金融業強化安全防線
亞利安科技深耕資安領域已逾 15 年,熟悉金融產業需求,協助金融機構評估高風險場域,在既有的基礎上,以零信任思維強化資安防護;並能依客戶業務特性與合規需求,確保資安措施落實到位,提升整體資安防禦水準,幫助金融機構在數位轉型過程中建立強大而靈活的零信任架構。
如有相關需求,歡迎進一步與我們聯絡!