因應疫情帶動的異地與居家辦公模式，以及資料與服務雲端化、使用者行動化和存取設備多元化的趨勢，傳統基於信任邊界的網路模型已難以滿足新型態的工作需求。國際間包含美國、歐盟等都將零信任網路資安防護環境的發展視為網路安全戰略重點。金管會於 2022 年 12 月發布的「金融資安行動方案 2.0」，將「鼓勵零信任網路部署、強化連線驗證與授權管控」列為推動重點之一，希望能鼓勵金融機構導入零信任網路機制，並搭配網路及資源存取的細緻權限管控，更有效應對後疫情時期及數位轉型的資安防護需求。

金融業面臨的資安挑戰

零信任架構導入策略與實作建議

現行銀行、保險、證券等業別多已於高風險應用場域具有一定基礎之資安防護，如採用高強度密碼或雙因子身分驗證、定期更新設備作業系統及防毒軟體、區分不同網段、定期進行應用程式安全檢測及資料加密儲存等。金融機構可以既有資安管理機制為基礎，參考零信任架構概念，分階段進行補強及優化。

零信任架構在實務上不可能一步到位，因此金融機構在導入實務仍可依既有資訊與資安環境、資安防護水準、資源及人力、業務風險、相關解決方案成熟度等因素調整，與既有資安防護並存進行，以關鍵保護標的為核心，盤點資源存取路徑（身分、設備、網路、應用程式、資料），由外而內縮小攻擊面並增進防禦深度、由內而外擴大防護面。 

• 風險導向，以高風險場域優先採行

初期導入可將規模設定在可控範圍、減少影響面並獲致實質補強效益為原則，建議以高風險、低衝擊之場域為優先，並針對風險進行適當評估，確認導入的優先順序及範圍。

• 循序漸進，選擇基礎原則先行

美國 NIST、CISA 及國家資通安全研究院雖有各自訂定之導入框架、原則或標準，但考量實務可行性，建議依高風險場域之 5 大存取路徑，評估既有資安防護的完備度，並依傳統、初始、進階及最佳等四階段導入相關控制措施。

• 資安管控措施分級指標

1. 第一級為靜態指標，著重在既有資安防護機制之優化及整合，包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料加密及外洩防護等，由關鍵資源存取路徑強化防護縱深。
2. 第二級融入動態指標，將資源存取時的動態屬性（如時間、地點、設備合規狀態等）增納為授權審核條件，可針對異常樣態動態撤銷、限縮存取授權或即時告警。
3. 第三級以即時指標為主，建議整合資安監控機制，於安全資訊與事件管理平台（SIEM）收容及整合資源存取相關事件日誌，對入侵指標（IOC）或攻擊行為樣態（如 Mitre ATT&CK TTP）等進行即時的偵測、判斷與應處。
4. 第四級為最佳化的整合指標，建立可依資安政策快速調適之一致性且自動化之管理機制，確保安全性及合規性。

更多參考指引內容，請見 金管會

金融零信任 5 大資源存取途徑

零信任架構下的金融資安解決方案

與亞利安攜手的資安效益