您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態

金融監督管理委員會主管法規共用系統

列印時間:113.11.24 17:02

法規內容

法規名稱: 金融業導入零信任架構參考指引
公發布日: 民國 113 年 07 月 15 日
發文字號: 金管資字第1130193942號函
法規體系: 本會/資訊服務處
圖表附件:
法規功能按鈕區
1.中華民國一百十三年七月十五日金融監督管理委員會金管資字第 11301
  93942 號函訂定全文 5  點

一、緣起
    因應疫情帶動異地/居家辦公模式,亦隨著資料與服務雲端化、使用
    者行動化及存取設備多元化,傳統基於信任邊界之網路模型已難以滿
    足新形態工作需求。國際間包含美國、歐盟等都將發展零信任網路資
    安防護環境視為網路安全戰略;我國「國家資通安全發展方案(110
    年至 113  年)」,將發展零信任網路資安防護環境,推動政府機關
    導入零信任網路納為推動策略及主要工作項目。本會於 2022 年 12
    月發布「金融資安行動方案 2.0」,將「鼓勵零信任網路部署、強化
    連線驗證與授權管控」列為推動重點之一,期鼓勵金融機構導入零信
    任網路機制,並搭配網路及資源存取的細化權限管控,以更能因應後
    疫情時期及數位轉型之資安防護需求。
    零信任架構涵蓋整體資安防護框架,於各資安研究組織、提供零信任
    方案之諮詢顧問或產品供應商間,因存在從不同角度切入而有不同觀
    點;另其實務上涉及龐大且複雜的資訊與資安架構,導入過程不可能
    一次到位,並將與既有資安管理機制並存,於達成度亦尚無明確績效
    指標可參。考量金融機構於資安防護均已有一定基礎量能,於推動及
    導入零信任過程中已凝聚各方共識,以零信任思維漸進強化資安防護
    ,爰訂定本參考指引供金融機構參考。

二、零信任架構概念
    零信任架構的主要精神,是基於「永不信任、持續驗證」的方式,透
    過持續、多種類的驗證手段,持續強化對系統或資料存取控制的安全
    性。目前主要參考文件如下:
(一)2020  年美國國家標準技術研究院(NIST)發布 SP 800-207 文件
      ,提出身分鑑別、設備鑑別及信任推斷等 3  大核心組件,並且以
      身分鑑別為優先導入範圍。
(二)2021  年美國總統發布指令,要求美國聯邦政府採用零信任架構,
      作為資通安全現代化策略之一。2022  年 1  月,美國預算與管理
      辦公室制定備忘錄,要求各機構在 2024 財年(FY)年底前,於身
      分識別、設備、網路、應用程式與工作負載、資料等 5  個面向滿
      足特定的安全標準和目標。
(四)2023  年 4  月美國網路安全暨基礎設施安全局(Cybersecurity
      and Infrastructure Security Agency, CISA)發布零信任成熟度
      模型 2.0,依身分識別、設備、網路、應用程式與工作負載、資料
      等五支柱;至自動化與協調、可視性及分析則內含於各支柱中。因
      應逐步漸進之導入過程,區分傳統、起始、進階、最佳化等四個等
      級。
(五)我國行政院第六期「國家資通安全發展方案(110 年至 113  年)
      」之推動策略,數位部資安署將發展零信任網路資安防護環境,並
      優先推動 A  級公務機關導入試辦。規劃自 111  年起,分年依序
      導入身分鑑別、設備鑑別、信任推斷等階段,並陸續訂定身分鑑別
      、設備鑑別、信任推動等產品標準並受理廠商申請產品驗測 。

三、零信任架構導入策略
    現行銀行、保險、證券等業別多已於高風險應用場域具有一定基礎之
    資安防護,如採用高強度密碼或雙因子身分驗證,並就設備建有作業
    系統更新及防毒碼更新機制、網段區分外部網路、DMZ 、營運環境及
    其他如內部辦公區,定期進行應用程式安全檢測及資料加密儲存等。
    建議金融機構以既有資安管理機制為基礎,參採零信任架構概念,為
    分階段之補強及優化。
    考量零信任架構於實務上不可能一步到位,可與既有資安管理機制並
    存,建議以關鍵保護標的為核心,盤點資源存取路徑(身分、設備、
    網路、應用程式、資料),由外而內縮小攻擊表面並增進防禦深度、
    由內而外擴大防護表面;並參採美國 CISA 零信任成熟度模型區分傳
    統、起始、進階、最佳化等四階段,依據我國金融業屬性及既有資安
    防護能量調適如下:
(一)傳統:以靜態指標為主 ,建議優先盤點既有資安防護機制之完整
      性,規劃防禦深度之優化及整合,不以導入新產品/解決方案為必
      要。
(二)起始:以動態指標為主,建立具基於屬性存取控制(ABAC)機制,
      可將每個工作階段(Session) 之動態屬性(如時間、地點、健康
      狀況、合規性等)納為授權審核條件,動態撤銷、限縮存取授權或
      即時告警;並應辨識存取標的之關鍵數據與資源,及其被存取之交
      易流程,進而定義保護關鍵數據與資源之防護表面(Protect
      Surface )及對應之零信任政策。
(三)進階:以即時指標為主,整合或收容事件日誌,建立定期審查及異
      常行為之偵測、告警及回應機制。事件日誌應涵蓋依據起始階段定
      義之動態屬性及零信任政策產生之行為紀錄。相關日誌可集中收容
      於 SIEM 平台並與資安監控機制(SOC )整合,針對入侵指標(
      IOC )或攻擊行為樣態(Mitre ATT&CK TTP)進行即時的判斷與應
      處(如透過 SOC  事件單、SOAR Playbook 等),建議參考
      F-ISAC  資安威脅情資及金融資安監控組態基準。
(四)最佳:整合指標,建立可依資安政策快速調適之一致性且自動化之
      管理機制,確保安全性及合規性。

四、零信任架構實作建議
(一)風險導向,擇高風險場域先行
      初期導入以規模於可控範圍、減少影響面並可獲致實質補強效益為
      原則,建議以高風險、低衝擊之場域為優先,並得依風險基礎方法
      進行適當評估,擇定其導入優先序及範圍。高風險場域例舉如下:
      1.遠距辦公:使用者及設備位於傳統資安防護邊境外。
      2.雲端存取:雲端資源位於傳統資安防護邊境外。
      3.系統維運管理:含重要主機設備及系統軟體(作業系統、資料庫
        等)之特權帳號管理。
      4.應用系統管理:重要應用系統之管理者(如帳號管理員)或高權
        限使用者帳號(如可接觸大量個資或機敏資料者)。
      5.服務供應商:如委外廠商之遠端維運管理。
      6.跨機構協作:如重要應用系統開放予外部使用者從外部存取,其
        人員到離或使用設備非屬本機構管控範圍者。
(二)循序漸進,擇基礎原則先行
      美國 NIST、CISA 及國家資通安全研究院雖有各自訂定之導入框架
      、原則或標準,惟考量實務可行性,建議依前揭高風險場域之完整
      存取路徑(即身分、設備、網路、應用程式、資料 5  大支柱),
      評估既有資安防護機制之完備度,依傳統、初始、進階及最佳等四
      階段導入相關控制措施。
      零信任架構 5  大支柱建議實作功能及原則等,依導入階段分級(
      Level Ⅰ, Ⅱ, Ⅲ, Ⅳ)如附表。

五、零信任架構推動路徑
    本參考指引為漸進導入零信任架構路徑之一,金融機構於導入實務仍
    得考量既有資訊與資安環境、資安防護水準、資源及人力、業務風險
    、相關解決方案成熟度等因素調適;或另為適切之規劃,不以本參考
    指引為限。本會並將依據金融機構導入進程,滾動修訂整體推動策略
    及分階段推動指標,主要推動路徑如下:
(一)鼓勵分享實務案例,帶動持續深化及擴散
      本會鼓勵金融機構導入零信任架構,於 113  年研擬導入規劃,本
      會並將自各業別擇金融機構先行,分享導入經驗作為示範,供金融
      同業交流研討最佳實務。
(二)建立導入實務共識,漸進納入基礎規範
      本會定期調查各金融機構於零信任架構之導入規劃及進程,召集相
      關周邊單位、同業公會共同依據各金融業別屬性、規模及業務風險
      等,衡量實際資安防護需求及執行可達性,滾動修訂推動策略及實
      施進程,並評估將實作參考原則漸進納入資安基礎規範,提升整體
      資安防禦水準。
資料來源:金融監督管理委員會主管法規共用系統