全球資安典範轉移
隨著金融科技的爆發式成長、雲端運算的普及,以及混合與遠距辦公模式的常態化,傳統金融機構所依賴的邊界防禦資安模型正面臨前所未有的嚴峻挑戰。傳統以城堡與護城河為核心的防禦思維,預設了內部網路皆是安全的,一旦駭客突破邊界防禦或由內部惡意威脅者發動攻擊,即可在內部網路進行大範圍的橫向移動,導致重大的客戶資料外洩、交易系統癱瘓或勒索軟體大規模擴散。為了因應日益複雜的進階持續性威脅、高度組織化的網路犯罪及對關鍵基礎設施的網路攻擊,全球金融資安防禦體系正經歷一場典範轉移,需全面轉向零信任架構。
零信任架構的核心可概括為「永不信任,持續驗證」,這套理念建立在三個核心概念與假設之上:
- 假設環境惡劣:組織無論內部或外部都存在惡意攻擊或潛在威脅,機構採嚴謹態度將所有使用者、裝置、應用程式,均視為不受信任。
- 假設已有安全漏洞:假設惡意攻擊已存在於機構環境中,預設系統或網路已遭受攻擊,藉此加強對每次存取與授權決策的即時審查,以將風險降至最低。
- 持續驗證與明確審核: 每個裝置、使用者、應用程式和資料流都依循「最小權限原則」,透過持續並多樣性的驗證手段進行身分驗證和明確授權,所有存取皆具備條件性,建立基於屬性(靜態或動態指標)的控制機制,並可根據信任級別進行動態撤銷、限縮授權或即時告警。
國際零信任法規趨勢與指標案例
在國際資安防禦浪潮中,零信任已由最初的技術概念演變為國家級與產業級的強制法規要求,北美與歐洲等先進地區的主管機關,正透過由上而下政府強制推動與營運韌性法規之間接驅動的雙軌模式,加速金融機構與關鍵基礎設施的零信任部署。
首先,美國在零信任政策的推進上居於全球領先地位。白宮於 2021 年發布《改善國家網路安全》的行政命令,明確要求聯邦政府機構加速邁向零信任架構,隨後,美國管理與預算局於 2022 年 1 月發布了 M-22-09 備忘錄。
該聯邦策略強制要求聯邦機構在 2024 會計年度結束前,達到美國網路安全和基礎設施安全局(CISA)零信任成熟度模型(ZTMM)的特定基準。M-22-09 策略高度強調(1)強化企業內部身分識別與存取管理、(2)全面導入抗網路釣魚的多因素驗證(MFA)、(3)將所有應用程式視為網際網路可直接存取(解耦傳統VPN依賴)、(4)實施資產持續監控、以及(5)推動資料分類與加密傳輸等重點策略,這套標準化框架直接成為全球金融機構與大型跨國企業技術架構轉型的重要技術標竿。
相較於美國直接下達零信任政策指令,歐洲地區則採取了營運韌性法規的間接驅動模式,歐盟於近年正式實施的《數位營運韌性法案》,以及英國央行對金融機構營運韌性的相關規定,雖然在條文中未直接明文強制全面實施零信任架構,但其對於資安事件遏止、資訊系統全面加密、高度網路微分段以及動態最小權限原則的嚴格合規要求,使得零信任架構在學術與技術實務上,被公認為滿足歐洲金融合規與數位韌性要求的最佳技術實踐。
然而亞太地區在疫情後加速追趕,各國主管機關陸續推出相關規範,並將零信任列為關鍵防禦實踐。
以國際指標性跨國金融機構的零信任實作案例來看,可透過引進基於設備健康狀態與使用者行為基線的動態條件存取,而學術與業界實務研究指出,在實施身分與裝置微隔離、角色基礎網路存取控制後,金融機構內部未授權存取事件大幅降低,因員工或維運人員管理疏失導致的內部威脅也降低,同時自第三方供應鏈或委外廠商的資安漏洞事件一樣大幅減少,最後結合現代化的安全性資訊與事件管理系統(SIEM)與使用者和實體行為分析(UEBA),使惡意橫向移動的偵測與自動化阻斷應變時間,從傳統的數天甚至數週,大幅縮短至數分鐘內,實質降低進階持續性威脅(APT)對核心資料庫的衝擊。
國內金融及證券業導入現況與問卷調查
我國主管機關為積極回應國際零信任趨勢、提升臺灣金融體系的數位資安韌性,金管會於 2024 年 7 月 15 日正式發布了《金融業導入零信任架構參考指引》,作為國內金融機構推動資安轉型的行政指導,臺灣證券交易所亦隨之對證券商展開了一系列的深化推動作業,並於 2025 年期間進行零信任架構導入進度問卷調查並舉辦多場實務解析說明會。
根據證交所統計之結果,國內證券業者在面對零信任架構的轉型時,呈現出兩極化或多層次的進程,大型證券商多數已啟動局部試點,並在遠距辦公、特權帳號維運管理等高風險場域累積了初步的建置經驗,而中小型證券商面對零信任轉型仍存在較高的技術門檻與觀望態度,普遍遭遇的挑戰包含:既有資訊系統高度異質且多屬老舊架構、缺乏足夠的資安專責人力、客製化改造成本過高,以及難以在資源投入與業務風險之間尋求適切的調適平衡。
為此,主管機關強調該指引屬行政指導,鼓勵金融機構應考量既有環境、資源及人力,循序漸進調適,不以單一硬性規範為限,並預計透過定期的普查追蹤,協助業者克服所遭遇之難題。
金融指引與調查結果一再強調,零信任的導入絕非一蹴可幾,盲目推動核心交易系統改造將面臨極大的業務中斷風險,因此在推行時,業者應採行「高風險、低衝擊」的優先發布與部署策略,選擇安全風險最高但一旦系統發生變更時對日常核心營業衝擊最低的場域切入。
證券商在盤點公司全部系統後,應依據指引將資通系統劃分為以下六大核心場域進行篩選與分類:
- 遠距辦公場域,涉及邊界外網路存取,高度暴露於外部網路環境中,員工、內部維運人員或外部開發人力透過遠端存取。因其邊界模糊且攻擊表面大,被列為極高風險、低核心業務衝擊的場域,強烈建議作為首要基礎補強場域。
- 雲端存取場域,包含多雲與混合雲環境。隨著金融業上雲政策放寬,身分邊界逐漸取代傳統實體網路邊界,列為高優先級。
- 系統維運管理場域,包含內部 IT 人員與外包廠商進行伺服器、資料庫、網路設備的遠端或內部維護,涉及大量「特權帳號」,一旦被竊取,其橫向移動衝擊極大。因此屬於極高風險場域,應列為深度導入之標竿系統試點。
- 應用系統管理場域,指各套對內、對外的應用軟體,由於各系統客製化程度不一,此場域異質性最高,建議採取逐步深化的長期改造策略。
- 服務供應商場域,委外廠商、供應鏈夥伴存取內部資源的管道,屬於近年供應鏈攻擊的核心目標,列為高風險管控對象。
- 跨機構協作場域,跨金融機構、公會或周邊單位之間的資料交換與授權,需配合整體產業信任鏈的建構。
零信任五大核心支柱
依據美國 CISA 零信任成熟度模型與我國金融業導入零信任參考指引,零信任架構的技術實作全面由五大互相協調、縱深防禦的「支柱(Pillars)」所構成,金融機構在推動實作時,必須從傳統模式逐步升級,克服技術斷層:
(一)身分驗證支柱是零信任架構的第一道關卡,建議推動整合單一登入(SSO),將所有內部、雲端、外部應用系統納入統一的身分識別管理(IAM),全面導入強認證機制,並根據登入時間、地理位置、行為異常度進行即時風險評估;而常見問題則為舊系統無法原生支援 OIDC 或 SAML 等 SSO 協定的難題,目前建議做法是針對舊系統設計「補償性控制機制」,例如規定必須透過整合了強認證的「特權跳板機」或「虛擬桌面(VDI)」方能進行存取,高階管理層在此支柱必須特別介入,制定明確的「最小權限原則與例外授權標準」,避免部門因圖方便而過度授權;同時推動督導及權限定期審查,納入內部稽核制度,身分日誌除記錄登入資訊外,必須確保資料的完整性、關聯性與可追溯性,以滿足可視性稽核。
(二)設備管理支柱強調任何資產在未確認安全合規前皆不得接入網路,打破過往「只要是公司派發的筆電就絕對安全」的迷思,建立全面且自動化的資產盤點管理系統,確保所有硬體、軟體與韌體皆在控管內,全面部署端點偵測及回應機制(EDR),並與端點管理平台(MDM/UEM)整合;金融機構應啟用代理程式以遠端執行修補與組態指令,建立可持續偵測「設備合規性政策」的措施(例如即時檢視防毒軟體病毒碼是否最新、作業系統有無中高風險漏洞未修補、公司安全組態 GPO 是否被篡改),對於不合規之設備,系統必須具備強制隔離或即時阻斷其存取核心系統的動態控制能力;此外,應評估漏洞掃描結果之風險影響,對中高風險優先修復,建立安全漏洞管理流程,並將 EDR 的異常告警即時串接至內部 SIEM 或 SOC,實現自動化事件處理。
(三)網路安全支柱要求將所有實體與虛擬網路皆視為開放且不可信任的通訊介質,徹底轉向以應用程式為核心的微分段控制,全面落實傳輸加密,從傳統的大網段區隔升級為微分段,將網路劃分為微小、獨立且受嚴密控管的邏輯保護區塊,面對舊應用、舊裝置或舊瀏覽器不支援 HTTPS 的高難度挑戰,技術上可暫時採用替代方案,部署反向代理/應用層代理,或是要求透過支援 HTTPS 的遠端桌面訪問,未來則必須擬定逐步淘汰不安全舊系統的計畫。
分階段推動順序建議為先實施基本網路區隔與流量監控,接著全面盤點資產,依業務角色分類,並透過網路流量分析(NTA)繪製應用系統與組件間的「相依性圖」,建立配置項(CI)之關聯性,最後導入軟體定義網路(SDN)或微隔離解決方案,並與 SOC 串接實現告警與隔離自動化。
(四)應用程式保護支柱防護旨在保護在本機、行動裝置或雲端環境中執行的資通系統與服務,將其與底層網路架構解耦,確保應用程式具備防護(如部署網頁應用程式防火牆 WAF),對外不直接暴露實體 IP,將開發與布署流程自動化整合資安監控;許多業者誤以為只要部署了 GitLab 或 Jenkins 等 CI/CD 工具即算達到零信任的安全布署要求,但事實上零信任下的 CI/CD 自動化布署應包含五大核心考量,包含自動建置與測試流程、環境隔離與變更控管、自動部署與回滾機制、權限與審查制度、安全與稽核整合。
(五)資料保護支柱是金融機構的數位資產核心,也是駭客與內部洩漏者的終極目標,實施全生命週期的資料保護,包括靜態加密、傳輸加密、資料遮蔽及資料防外洩,若缺乏自動化,僅靠人工分類將使資料標註錯誤、最小授權流於形式,金融機構應採取以下關鍵面向,首先,導入自動化資料發現與分類分級工具,持續掃描資料庫與檔案伺服器;第二,針對資料加上標籤,並與 IAM 的 RBAC/ABAC 政策綁定,確保授權精準;第三,建立持續更新的資料目錄。在「資料可用性」的備份作業上,強烈建議實施 3-2-1 備份原則(至少三份備份、二種媒介、一份異地或離線),部署不可變備份(Immutable Backup)或 WORM 技術以防勒索軟體竄改,定期進行災難復原演練(DR Drill),並要求備份存取必須通過 MFA 與行為監控。
建議與結論
考量到國內證券商現況及既有環境限制,建議採用循序漸進的三階段導入策略,第一階段為試點與普及期,建議將「遠距辦公場域達到 Level I」列為全公司的核心資安基準線,全面清查所有遠距存取的漏洞,未達成的業者與部門必須即刻導入身分與設備的基本檢視,以確保最普遍邊界的防禦底線;第二階段為深化與推進期,各項「應用系統管理」具備高度的異質性與客製化特性,應採行逐步深化的鼓勵策略,利用既有成功的一套系統作為樣板,引導且協助業者進行長期且持續的改造,驅使其他系統逐步導入動態屬性驗證,將其推進至 Level II 成熟度,快速且穩定地提升整體資安高度;第三階段為全面防禦期,全面推廣移植至所有適用場域(包括雲端、跨機構協作、供應商管理等),實現廣度上的成熟度統一。
最後綜合上述所言,導入金融零信任架構絕非單純採購特定的專業資安軟體,亦非一次性的 IT 汰換工程,而是一場涉及企業安全文化、高階組織治理、內部營運流程、權限稽核制度與整體資訊骨幹架構的長期工程,從美國的嚴格聯邦時程,到歐盟的營運韌性驅動,乃至我國金管會的參考指引與證交所的普查輔導,國內外的發展趨勢均清楚昭示,零信任架構已是不可逆的國際資安標準,金融機構在面對數位轉型的洪流時,應深刻體認到不採取資安轉型行動的潛在風險,遠大於技術調適所付出的成本。
而金融證券業者應遵循「高風險、低衝擊」的切入原則,依循三階段策略,由淺入深地落實身分驗證、設備管理、網路安全、應用程式保護與資料保護五大核心支柱,唯有建構起一套具備動態內容感知、持續性驗證且能與 SOC 自動化聯防應變的零信任架禦體系,金融業方能在未來愈趨險峻的數位安全巨浪中,築起堅不可摧的數位營運韌性壁壘,確保國家關鍵金融基礎設施與客戶資產的絕對安全。