財經中心/綜合報導
臺灣證券交易所舉辦「推動證券商導入金融零信任說明會-身分驗證」。說明會計有110餘位證券業者辦理金融零信任架構專責單位主管與承辦人參加,為推動證券商導入零信任架構,本次會議主題首先以身分驗證為主軸,強調「永不信任、持續驗證」原則,假設所有內外部環境皆存在潛在威脅,使用者與設備在每次存取資源前皆需重新驗證,身分驗證作為第一道防線,應結合多因子驗證、條件式授權控制與行為分析,確保僅授權合法、可信的請求。
根據金管會依據 ISO 29115 訂定的「數位身分驗證指引」,數位身分驗證流程分為三階段,身分登錄、訊息管理及身分驗證,並劃分四種信賴等級,對應不同風險場景與驗證強度。導入零信任需整合聯合企業身分服務、涵蓋身分提供者、使用者主檔、憑證保管與帳號自動化管理等元件,以實現身分與授權一致性;權限控管可採角色為基礎與屬性為基礎模型,動態調整權限並即時回應異常,而日誌管理應集中至 SIEM 系統,進行異常行為偵測與信賴分數評估,並視風險限制、撤銷或阻斷存取,面對老舊系統與 SSO 整合困難,可透過補償性控制措施因應,最後高階管理層應主導權限稽核、例外授權標準與政策制定。
證交所指出,此次說明會旨在鼓勵證券市場證券業者零信任導入過程中,身分驗證為首要防線,可導入一系列流程對應風險情境,確保身分與授權一致性,隨著科技的進步,宜積極探索與應用此策略,加速零信任落實與組織安全架構,以確保業務的持續安全性。
