臺灣證券交易所 文刊中心

＜English version＞

隨著證券市場全面數位化，雖然帶來更便利的服務，卻也衍生出諸多挑戰，其中資通安全已成為證券商於數位化趨勢下面臨的首要課題。近年來，網路攻擊手法層出不窮，資料外洩事件頻傳，惡意軟體、勒索病毒與系統漏洞攻擊時有所聞。面對如此嚴峻的環境，證券商勢須不斷強化自身防護能力。然而，如何有效掌握企業資安防護能力以因應風險，資安健診的需求遂應運而生。透過資安健診，可全面檢視證券商之內部系統、流程與防護措施，進而發掘潛在風險，並提出具體改善建議。本文主要說明證券商辦理資安健診現況及未來規畫，並簡介公務機關與金融、保險業資安健診檢視項目之差異，期盼資安健診的服務能有效提升證券市場之整體資安防護能力。

自109年起，證券商依據建立證券商資通安全檢查機制之「分級防護應辦事項」辦理資安健診，現行項目多參考公務機關的資安健診規範，藉由整合各項資訊安全檢視服務，深入評估系統、流程及防護機制，找出弱點並提出改善建議，強化資訊系統防護能力。

公務機關之資安健診規範，係根據「資通安全責任等級分級辦法》規定，C級以上之公務機關須辦理資通安全健診，檢視項目包括網路架構、安全設備、使用者端及伺服器端活動、目錄伺服器設定、防火牆連線設定等，簡要說明如下：

一、網路架構檢視：對受測機構的網路架構圖進行弱點檢視，包括設計邏輯是否合理、主機位置是否適當、防護措施是否足夠等。

二、有線網際網路惡意活動檢視：

(一)封包監聽與分析

於網路適當位置部署側錄設備，觀察是否有異常連線或DNS查詢，並比對是否連至已知惡意IP或中繼站（Command and Control, C&C）等有符合惡意網路行為的特徵 。

(二)網路設備紀錄檔分析

檢視防火牆、入侵偵測系統等設備紀錄，確認是否有異常連線。

三、使用者端惡意活動電腦檢視

(一)使用者端電腦惡意程式或檔案檢視

掃描個人電腦是否有惡意程式、駭客工具或異常帳號與群組。

(二)使用者端電腦更新情形檢視

檢查作業系統及常用應用程式是否為最新版，是否已停止支援，防毒軟體安裝與更新情況等。

四、伺服器主機惡意活動檢視

(一)伺服器主機惡意程式或檔案檢視

針對伺服器主機進行是否存在惡意程式或檔案檢視，檢視項目包含活動中與潛藏惡意程式、駭客工具程式及異常帳號與群組。

(二)伺服器主機更新檢視

內容與使用者端檢視類似，重點在於作業系統、應用程式的版本與更新情況、防毒軟體正常運作及是否使用不當軟體。

五、目錄伺服器設定檢視

檢視目錄伺服器中，AD(Active Directory)伺服器組態設定，依行政院國家資 通安全會報技術服務中心所公布之「政府組態基準」為主。若無AD伺服器，可以其他目錄伺服器(如LDAP)或以個別使用者端電腦檢視方式完成「密碼設定原則」與「帳號鎖定原則」安全設定檢視。

六、防火牆連線設定檢視

檢視防火牆之連線設定規則(如外網對內網、內網對外網、內網 對內網)是否有安全性弱點，確認來源與目的 IP 與通訊埠連通之適當性 (包含設置「Permit All/Any」與「Deny All/Any」等防火牆檢測規則確認)。

以上為政府機關所訂之資安健診內容，受測機構可藉由資安健診服務，來獲取資安改善建議，以提升政府網路與資訊系統安全防護能力。

主管機關考量金融、保險及證券資安防護一致性，爰責成證交所邀集財團法人中華民國證券櫃檯買賣中心及中華民國證券商業同業公會，參考金融業之「金融機構辦理電腦系統資訊安全評估辦法」及保險業之「保險業電腦系統資訊安全評估作業原則」規定，共同研訂具一致性標準及適合證券商業務特性之資通安全健診辦法。

證交所經檢視金融、保險資安健診相關作法，係對組織內部電腦系統依其重要性區分三類並依其分類明定評估週期，各類別大致定義如下：

第一類：可由外部 Internet 直接連線之網際網路應用系統或是對營運有重大影響之系統。

第二類：存放大量客戶資料之系統（如檔案伺服器、資料倉儲、客服及行銷等系統），或是直接/間接提供客戶服務之系統。

第三類：非核心資訊系統與未接觸客戶資訊或服務且對營運無影響之系統或設備。

各類別系統因其重要性不同故有相對辦理頻率，如第一類每一年辦理一次、第二類每三年辦理一次，第三類為每五年辦理一次，如單一系統發生重大資訊安全事件，應於三個月內重新完成資訊安全評估作業。

惟金融、保險兩者健診方式與公務機關略有不同，金融保險業多依業界相關規範設計檢測項目，從金融科技運用與法規管理層面修訂所屬業別之資安健診內容，簡要說明如下：

一、資訊架構之檢視

著重網路架構之單點故障最大衝擊與風險承擔能力，及對於持續營運所採取相關措施之妥適性，F-ISAC情資之運用。

二、網路活動檢視

對於特定網路攻擊態樣及網路活動與異常行為監控，如惡意IP連線等且針對特定態樣之網路異常連線或異常網域名稱解析伺服器(Domain Name System Server , DNS Server)查詢，並比對是否為已知惡意 IP、中繼站或有符合網路惡意行為的特徵。

三、對網路設備、伺服器、終端設備及物聯網設備等設備檢測

對受測單位內部之網路設備、伺服器、終端設備及物聯網等設備辦理弱點掃描與修補作業。另檢測系統帳號登入密碼複雜度與外部連接密碼（如檔案傳輸（File Transfer Protocol, FTP）連線、資料庫連線等）之儲存保護機制與存取控制。

四、要求可由外部 Internet 直接連線之網路設備、伺服器及物聯網等設備應辦理相關資安強化措施

對外系統應辦理滲透測試、伺服器應用程式應進行原始碼掃描或黑箱測試。檢視伺服器目錄及網頁之存取權限及建立對外網站網頁防竄改機制。偵測系統是否有異常的授權連線、CPU 資源異常耗用及異常之資料庫 存取行為等情況。

五、客戶端應用程式檢測

針對客戶端之應用安全性檢測，如敏感性資料保護檢測及金鑰保護檢測。

六、安全設定檢測

金融、保險業因電子交易之需要，對於金鑰廣泛應用，故檢視受測單位對金鑰之儲存保護機制與存取控制。

七、檢視資訊系統可靠性與安全性侵對策及合規性

資安防護涉及各種業務範圍甚大，金融、保險業除訂有基本資安規範外，另有多項辦理特定強化資安要求之規範，為確保落實相關規範，就受測單位對規範之合規性進行檢視。

八、檢視分散式阻斷服務攻擊演練及社交工程演練

鑑於金融、保檢對外服務系統眾多，服務檢視受測單位辦理分散式阻斷服務攻擊演練及社交工程演練之辦理情形，如有無訂定相關應變之作業程序及相關強化資通安全教育。

以上為金融、保險業者與公務機關之差異簡介，由上可知，金融、保險業者因提供對外服務管道眾多，且須考量營運持續、交易安全及資料防護等議題，故資安健診之項目與公務機關略有不同，考量證券業與金融、保險業之業務性質較為類似，因此資安健診之規畫可比照辦理，實屬合理。

在資安威脅日益嚴峻的環境下，證券業務及服務的數位轉型，雖帶來營運效能與服務品質的提升，卻也大幅提高證券商資訊系統遭受攻擊的風險。證券商透過執行定期且系統性的資安健診，不僅能及早發現其系統潛在弱點，亦有助於建立全面性的風險管理機制。從公務機關到金融、保險業的實務經驗亦可發現，資安健診已不再是單次性作業，而應視為長期持續的資安管理工作之一。未來，證交所將持續配合主管機關研訂適用於證券業者之資安健診內容，參考其分級管理與合規性檢視制度，輔導證券商辦理資安健診，以強化證券商防禦能力與應變韌性，確保業務運作的穩定性與客戶資料的安全，達成真正落實證券市場資通安全治理之目標。