金融業導入零信任架構 金管會建議高風險場域先行

分享到

(中央社記者謝方娪台北18日電)進入網路世代,資安為重,金管會出手訂定「金融業導入零信任架構參考指引」,建議金融機構選擇遠距辦公等高風險場域先行導入零信任架構。金管會表示,指引屬行政指導,不具強制力,待時機成熟,將請金融業公會評估納入自律規範。

所謂零信任架構,主要精神即「永不信任、持續驗證」,透過持續及多種類驗證手段,持續強化對系統或資料存取控制的安全性,以確保資訊安全。

金管會2022年12月發布「金融資安行動方案2.0」,將「鼓勵零信任網路部署,強化連線驗證與授權管控」納為精進重點,金管會經過研議後,如今正式訂定「金融業導入零信任架構參考指引」,鼓勵金融業以零信任思維深化資安防護。

金管會資訊服務處長林裕泰今天說明,現行金融機構在資安防護均已有一定量能,如使用者需要同時透過2種方式登入的雙因子身分驗證,以及設備健康檢查及網段隔離等,為鼓勵金融機構在既有基礎上,以零信任思維續深化資安防護,金管會因此訂定指引供金融機構參考運用。

金管會建議金融機構採風險為導向,選擇高風險場域為優先導入零信任架構標的,並例舉6大高風險場域,首先是遠距辦公,因使用者及設備均位於傳統資安防護邊境外;其次是雲端存取,因雲端資源同樣位於傳統資安防護邊境外;第3是系統維運管理,包含重要主機設備及系統軟體(作業系統、資料庫等)特權帳號管理等。

第4是應用系統管理,即重要應用系統管理者(如帳號管理員)或高權限使用者帳號(如可接觸大量個資或機敏資料使用者);第5為服務供應商,如委外廠商的遠端維運管理;最後是跨機構協作,如重要應用系統的外部使用者等。

林裕泰指出,6項例舉特質包括非屬傳統資安防護邊界範圍內、具特權或高權限者,或因應供應鏈攻擊趨勢,建議金融機構對委外廠商或跨機構協作存取進行管理等,但所謂高風險場域不以6項例舉為限,金融業可依風險基礎方法評估,擇定導入零信任架構的優先順序及範圍。

在零信任架構導入策略上,金管會區分4階段分級指標,第1至第4級依序為靜態指標、融入動態指標、即時指標及最佳化整合指標,建議金融機構盤點高風險場域完整存取路徑,即身分、設備、網路、應用程式及資料,由外而內縮小攻擊表面並增進防禦縱深、由內而外擴大防護表面。

林裕泰表示,參考指引屬行政指導性質,金融業在導入零信任架構時,可考量既有資訊與資安環境、資安防護水準、資源及人力、業務風險、相關解決方案成熟度等因素進行調適,或另外進行適切規劃,不以金管會參考指引為限。

他也提到,未來金管會將透過持續調查了解金融業普遍實施情況,若金融機構執行指引訂定的資安防護原則上無窒礙,將請各金融業公會評估將參考指引納入自律規範。(編輯:楊凱翔)1130718