臺灣證券交易所 文刊中心

＜English version＞

近年來，全球金融業面臨的資安威脅日益嚴峻，尤其在新冠疫情加速數位轉型的過程中，資安風險進一步加劇。台灣位處於複雜的地緣政治環境，隨著數位經濟的快速發展，資安問題已成為各界高度關注的焦點。金融監督管理委員會也多次強調金融機構資安的重要性，並積極推動相關規範，旨在確保金融體系的穩定與安全。

隨著數位化浪潮的推進，台灣金融業的資安挑戰愈加顯著。疫情催生了非面對面業務模式，導致金融機構的業務運作發生根本性變革，居家辦公與異地協作成為常態，資安防護策略亦必須隨之調整。過去兩年，全球金融資安環境經歷了多次重大變化，諸如 SWIFT 跨國電匯系統遭盜轉、ATM 遭盜領、金融機構遭遇 DDoS 攻擊等事件頻發，顯示金融機構仍是攻擊者的首要目標。

此外，台灣在資安防護方面面臨的挑戰也不容小覷。根據報導，台灣每月平均遭遇高達三千萬次的網路攻擊，這一數字凸顯出網路防護與管理的迫切性。尤其在疫情爆發後，遠端工作、雲服務與物聯網等新興科技的廣泛應用，進一步擴大了網路風險的暴露範圍，令台灣的資安問題成為企業與民眾共同關注的焦點。

在此情況下，證券業的資安問題顯得尤為關鍵。隨著數位金融和網路交易的快速發展，證券業的資訊安全已成為市場穩定與投資者信任的基石。資安事件的頻發讓市場對健全資安防護的需求愈加強烈，證券業亟需強化防禦能力，以保障客戶資料、交易安全及業務穩定。

為全面了解台灣證券業的資安現況並揭示潛在風險，本公司委由資誠智能風險管理諮詢有限公司辦理綜合性資安總體檢評估。本次評估涵蓋證券商的組織管理、運營流程及技術防護層面，並通過問卷調查與資安曝險評估等方法，從多角度深入分析各證券商的資安防護能力。評估結果將揭示證券業在資安防護方面的強項與薄弱環節，並提供具體建議，協助證券業提升防禦能力、強化市場韌性，最終保障投資人資產安全，增強整體市場的防禦能力。

本次資安總體檢從多角度深入了解證券商的資訊安全現況，不僅涵蓋組織管理層面，也延伸至技術層面的細節分析，透過問卷調查與資安曝險評估平台，分別評估資安管理與資安防護水平，以掌握證券商的資安控管能力。具體執行方式可分為以下兩大環節：

(一)   問卷評估

此部分係針對組織資安管理、流程面向之執行方法以及控制措施，透過證券商填寫問卷自評，並進行過濾、歸納的方式進行全盤瞭解。問卷設計基於產業資訊安全國際標準、臺灣證券商業近期更新法令法規及海外證券及期貨業相關法規，例如：ISO27001、NIST CSF、資通系統安全防護基準自律規範、網路安全防護自律規範、金融資安行動方案2.0及Guidelines for Reducing and Mitigating Hacking Risks Associated with Internet Trading等，問卷共設七大構面，內容涵蓋以下領域：

1. 資安組織與人力配置：瞭解組織目前之人力分配、資源規劃及資訊安全體系運作之有效性，包括：社交工程演練、ISO27001資訊安全管理系統標準、資訊人員教育訓練、設置資安相關組織並定期召開會議及新進人員資通安全教育訓練等。 

2. 營運持續管理：瞭解組織針對營運持續機制之有效性，包括：通報機制及恢復策略、營運持續計畫制定、故障復原程序測試、核心資訊系統備援中心及ISO22301營運持續管理制度等。 

3. 個人資料防護：瞭解組織目前個人資料保護施行情形，包括：法令法規遵循、規範流程及檔案保護機制、個人資料蒐集、處理、利用之流程、個人資料外洩應變措施、USB 存取控管、對外傳輸過濾機制及控管措施及到期個人資料之管控及刪除程序等。 

4. 網路安全防護：瞭解組織資訊安全防護及控制措施，包括：實體環境、管理流程、硬體設備及防火牆、物聯網相關防護機制、網路連線安全及電腦稽核日誌管理、帳號權限控管機制等。

5. 委外供應商管理：瞭解組織對於第三方服務提供商之管理機制，包括：供應商評選、遠端連線管理程序規範、委外人員帳號監督與控管、合約簽屬及稽核機制等。 

6. 程式變更管理：瞭解組織對於程式變更之管控措施，包括：程式環境設置、 系統開發文件留存、程式碼安全性測試、行動應用程式偽 冒偵測機制、行動應用裝置破解偵測機制、系統開發維護 流程及相關變更機制等。 

7. 身分驗證管理：瞭解組織對網路下單系統之身分驗證管控措施，包括帳號 登入認證機制、帳號鎖定機制、驗證資料保護、交易活動 驗證及帳戶保護機制等。

(二)   資安曝險評估

證券商雖已制定完善的資安政策及程序，但實際的技術實施和配置可能依然存在漏洞，透過資安曝險，從攻擊者的視角，客觀呈現無法透過問卷揭露的技術漏洞及風險。資安曝險評估主要從外部角度，透過非入侵的方式，且不影響證券商提供服務的前提下，檢視的公開資訊和數位足跡，以瞭解外在的資安曝險，並進行評級與分析，協助證券商辨識並管理網路安全風險，從而加強防禦。該評估涵蓋資安防護實務常用之五大檢測類型，如網路服務、網站、電子郵件、帳號密碼與雲端安全，超過一百個檢測項目，以評估證券商資安防護程度。

1. 網路服務（ExternalService）

證券商提供的公開網路服務，如資料交換或遠端連線，若管理不善，易成為駭客入侵管道。本項主要蒐集下列資訊進行風險評估：

(1) 遠端控制：檢查是否存在對外公開的遠端控制服務，並評估該服務是否有入侵的風險。

(2) 資料庫：確認是否有對外公開的資料庫服務，並檢查該資料庫是否存在已知漏洞。

(3) 應用服務：枚舉所有對外的應用服務，確認其攻擊表面所存在之弱點。

(4) 黑名單：通過暗網情資檢查，了解自身是否因防護疏失而被列為惡意攻擊跳板的黑名單。

2. 網站（Web Application）

證券商對外網站是駭客檢視資安狀態的重要目標，若資安控管鬆散，駭客將視為低成本入侵目標，進一步研究入侵途徑。本項測試主要蒐集下列資訊進行風險評估：

(1) 網頁伺服器：確認網頁伺服器所有未設置或安全等級不足的安全性設置，並檢視該伺服器版本是否存在已知漏洞。 

(2) 網頁應用：檢測不安全的標頭設定，避免使用者在與網站互動過程中洩漏敏感資訊，並降低被偽冒請求的風險。 

(3) 憑證：檢測憑證加密套件的安全性強度，確認網站是否使用到有漏洞之加密套件。 

(4) 網域：列舉與證券商相關的網域，檢查是否存在可能對其造成影響的惡意網域。

3. 電子郵件（Email）

員工每天都需要透過電子郵件服務與外界互動，管理好證券商的郵件曝險，可有效事先降低駭客事件發生。本項測試主要蒐集下列資訊進行風險評估：

(1) 郵件服務：檢測公司是否有對外公開之郵件伺服器，避免該伺服因安全設置不完善造成資安破口。 

(2) DMARC：檢測公司網域之 DMARC 設定是否完善。SPF 需搭配 DMARC 設置，能進一步強化收信方電子郵件閘道處理假 冒電子郵件之能力。 

(3) SPF：檢測公司網域之 SPF 設定是否完善。SPF 設定主要確認， 郵件是否確實由公司所授權的伺服器發送，避免駭客假冒 公司網域，發送釣魚信件給員工或客戶。

4. 帳號密碼（Credential）

隨著社群網站與雲端服務普及，員工常將內部帳密用於外部服務。一旦外部資料外洩，駭客易藉此滲透或進行社交工程攻擊。本項測試主要蒐集下列資訊進行風險評估：

(1) 帳號密碼外洩：將公司帳號與知名資料庫進行比對。 

(2) 外部服務帳號：檢測公司網域是否已註冊於常用之外部服務，有可能是駭 客作為社交工程之攻擊準備，先使用公司網域註冊該等外 部服務。 

(3) 暗網情資比對：檢測公司網域是否於暗網中被提及，代表公司可能已有被 開採之漏洞、或機敏資料已被駭客於暗網中分享。

5. 雲端安全（Cloud Security）

(1) 公開的雲端儲存：檢測受評機構是否有公開對外的雲端儲存體，目前排名前 幾的資料外洩事件中，大多數的外洩管道即是透過公開的 雲端儲存體，因此如何妥善管理雲端儲存體，避免成為機 密資訊外洩的管道，為雲端資安管理的重要課題之一。 

(2) 公開的公共程式庫：檢測受評機構是否有公開對外的公共程式庫，公共程式庫中可能會存在組織內重要服務之程式碼、帳號密碼與歷史編輯紀錄，這些資訊都有機會被駭客進一步利用尋找漏洞，並伺機攻擊標的。

(三)   技術檢測項目及分數含意

1. 問卷評估結果計算方式

(1) 將各證券商自行評估之問卷評估結果區分為四個等級，並有其對應之分數，分別為完全符合(5分)、部分符合(3分)、不符合(1分)及不適用。各構面經計算後，取其平均數(數字皆四捨五入)，即可得出各構面之評分。評分可對應至五個等級，分別為:高、中高、中、中低及低。在七大構面評估中，取最低等級即為該證券商之問卷評估等級。

(2) 針對問卷所涵蓋的七大構面，運用離散方法，透過計算平均數及標準差進行分析，以比較各證券商在七大構面管控程度的離散程度，進而掌握各證券商與同業之間的管控差異情形。

2. 資安曝險評估風險評等方式

通過系統性歸納外部資安權威單位，例如：MITRE所提出的ATT&CK資安框架、以及美國國家基礎建設諮詢委員會（National Infrastructure Advisory Council；NIAC）公開的通用漏洞評分系統(Common Vulnerability Scoring System；CVSS），取得透過外部蒐集而來之資訊，便可針對其弱點進行評估，並依據評估結果，揭露其相對應之風險等級。風險等級會依據即時風險情資及外在環境因素進行考量，因此會因時點不同而導致風險等級產生變化，將造成不同時機點之評級亦可能產生不同結果。各風險等級由高至低分為 A、B、C、D、F，5 大級別，說明如下：

表一：資安曝險評估風險等級說明

評級	A	B	C	D	E
對外資訊揭露	極度有限的資訊揭露	少數揭露的資訊可能被利用於攻擊	具有可被利用於攻擊的資訊	具有明顯可被利用於攻擊的資訊	大量明顯可被利用於攻擊的資訊
駭客攻擊動機	幾乎不會引起攻擊動機	低機率引發攻擊動機	有可能引發攻擊動機	高機率引發攻擊動機	極高機率引發攻擊動機
攻擊成功機率	攻擊很難成功	攻擊成功機率低	攻擊有可能會成功	攻擊通常會成功	極高機率會攻擊成功

評級越高代表證券商暴露及弱點越少，亦即證券商資訊安全的防禦力越完整及穩固，反之，評級越低代表駭客可利用資訊及完整執行攻擊鏈的可能性越高。最終資安曝險風險等級評分方式，將依上述五大技術檢測項目所取得之各風險等級中最低者，為該證券商資安曝險評估之風險等級。

3. 資安現況控管程度評估方式

為全面評估各證券商資安控管現況，本次彙整歸納問卷評估結果與資安曝險評估風險結果，並透過矩陣圖之方式，縱軸代表問卷評估等級，橫軸則為資安曝險風險等級，依不同資訊安全現況控管程度進行呈現，可直觀瞭解證券業整體資訊安全強度分布。根據矩陣圖對證券商的資安控管程度按顏色劃分為三個等級：

• 「表現優良」(綠色)：表示已建立完善的資安控管，能有效降低資安風險。
• 「可接受」(黃色)：表示資安控管尚可，但仍存在部分改善空間。
• 「待加強」(紅色)：表示資安控管存在顯著缺失，面臨較高的資安風險。
• 「排除資安曝險（灰色）」：表示該證券商未在台灣證券市場設立官方網站，或雖設有官方網站但網域不屬於該證券商(如由金控或銀行代管)，因此不進行檢測，未產生資安曝險評估結果。

(一)問卷評估結果

1. 依據問卷分析結果，綜合七大構面的評估顯示，整體證券業中，有76%的證券商在資安控管程度上已達到中等級以上的標準。另有24%的證券商在資安控管程度上屬於尚可等級，倘需進一步提升證券業整體資安控管水準，需針對此等級之證券商進行改善強化。

2. 根據問卷七大構面(資安組織與人力配置、持續營運管理、個人資料保護防護、網路與系統防護、供應商管理、程式變更管理及身分驗證管理) 的統計分析結果，整體證券商在管控程度上表現相對一致，各證券商在七大構面中並無特別突出或落後的項目。

(二)資安曝險評估結果

1. 依據資安曝險評估結果，整體證券商中，A級風險的證券商數量佔比為10%，B級風險的證券商數量佔比為35%，C級風險的證券商數量佔比最高達55%，顯示大部分證券商已具備一定程度的資安防護水準。

2. 在五大曝險構面中，風險主要集中於網站與電子郵件兩大構面。其中網站相關風險佔整體79%，電子郵件相關風險則佔19%，顯示證券商應優先聚焦於加強網站與電子郵件構面的資安防護，以降低潛在風險。另證券商現行檢測工具對上述兩大風險面向時可能存在不足，建議避免長期依賴單一檢測工具，應採取多元的檢測方式進行評估，確保能有效防範各類資安威脅。

3. 在五大曝險構面檢測結果之風險項目，高風險項目佔整體風險的6%，中風險項目佔整體風險的56%，低風險項目佔整體風險的38%。雖高風險項目已有一定程度的掌握度，但仍有改善空間，而大多數的潛在風險集中於中低風險，需持續強化防護措施以全面降低曝險。

(三)綜合評估結果

資安現況控管程度綜合考量問卷評估結果與資安曝險風險評估，並以資安控管程度矩陣圖呈現，共劃分為四個區塊：「綠（表現優良）」、「黃色（可接受）」、「紅色（待加強）」及「灰色（排除資安曝險）」。其中，綠色區塊的證券商佔總數的21%；黃色區塊的證券商數量佔49%；紅色區塊的證券商數量佔5%；灰色區塊的證券商數量佔25%。

針對評估結果為「紅色(待加強)」及「灰色（無官網，排除資安曝險）」但問卷評估結果等級為「尚可」的證券商，佔總數的9%，可規劃個別化的專項提醒與輔導，以協助渠等證券商提升資安防護等級。

資安現況控管程度矩陣圖直觀呈現證券業資訊安全強度的整體分布，未來的資安監理規劃中，可優先聚焦高風險領域，持續強化證券市場的整體資安防護能力。

本次資安總體檢報告顯示，證券業在資訊安全方面已具備一定的防護基礎。然而，在網站與電子郵件等高風險領域的資安防護仍然面臨挑戰，對證券商的營運帶來潛在的風險。

總體而言，強化證券業的資安防護不僅是維護市場穩定的重要措施，更是提升整體市場韌性的一環。透過持續的資安改進與策略調整，證券業能夠有效降低資安風險，保護投資人利益，並促進證券市場的長期穩定與健康發展。

展望未來，隨著科技的快速發展，證券業將面臨更加複雜的資安挑戰。人工智慧、雲端運算、區塊鏈等新技術的應用將為證券業帶來新的機遇，但也將帶來新的安全風險。因此，證券業應積極探索新的資安技術，加強對新興技術的風險評估，以確保在不斷變化的環境中保持競爭力。