【臺灣資安大會直擊】持續推動零信任架構，將來銀行公開今年四項重點計畫

在今年臺灣資安大會上，將來銀行資安長康崇原公開他們推動零信任架構的作法，並揭露了將來銀行今年預計推動的四項零信任架構重點計畫，分別是優化最高權限帳號管理、優化身分與存取管理、導入FCB\GCB基準，和調整網路微分段等計畫。

康崇原表示，對純網銀而言，他們並沒有ATM、實體分行、分支機構，也沒有大型主機。因此，他們先根據金管會發布的零信任架構參考指引，排除未使用的場域，以高風險、低衝擊的場域選項來綜合評估先行導入的場景。他們選定的場域包含六項，分別是遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商，和跨機構協作。其中，遠距辦公和系統維運管理，是將來銀行選定優先導入零信任架構的目標場域。

選定目標先行場景後，將來銀行運用零信任架構實作參考原則分級表，來做自評，並運用自評結果，擬定2025年的目標計畫。

康崇原提到，將來銀行2025年預計完成四項零信任架構計畫，第一項是優化最高權限帳號管理，包括針對45套金融應用系統的最高權限帳號管理機制進行優化，並依據認證方式，將應用系統分成AD整合和非AD整合類型。

第二項計畫是優化身分與存取管理機制，包括針對系統維運管理場域的維運專屬終端、AD主機和對外服務主機，建置第二道身分驗證機制。第三項計畫是導入FCB\GCB基準，包括建立基於屬性存取控制（ABAC, Attribute-Based Access）的存取控制清單，管制主機資源的存取，並規畫分階段導入金融機構組態基準（FCB）。

最後一項計畫，是要調整網路微分段，包括規畫辦理中臺、官網、網銀及無障礙網銀等對外服務主機網路微分段調整。

除了加強零信任架構，將來銀行也計畫今年導入更多監控告警規則，加強金融資安聯防能力。康崇原表示，他們將根據最新版的資安監控組態基準（MCB v3.0）新增監控告警規則，從現有行內121條規則數，新增至427條監控告警規則，預計今年完成開發。