臺灣政府零信任網路戰略成形，優先推動A級公務機關逐步導入，身分鑑別先行

零信任架構（Zero Trust Architecture，ZTA）備受資安圈與全球政府重視，不只是美國政府在近一年來提出具體規畫，我國政府今年亦將開始行動，根據行政院國家資通安全會報技術服務中心（以下簡稱技服中心），他們在7月中旬揭露相關資訊，並指出為了強化政府資安防護，導入零信任架構已經成為既定政策，目前確定將優先推動國內A級機關逐步導入。

多國推動零信任，臺灣也在2021年已有規畫

縱觀全球，美國政府推動零信任網路安全戰略腳步最快，已經公告明確政策與時程表，他們要求聯邦機關要在2024年前完成初步遷移，也透過該國的國家資安卓越中心（NCCoE），推動商用產品符合NIST零信任架構。

其他政治實體也陸續宣布將零信任網路安全納入國家戰略，例如，歐盟在2020年建立歐盟網路安全戰略，提出標準框架，協助成員國轉型；新加坡在2021年10月提出網路安全戰略；中國也發起「零信任聯盟」。

對於臺灣而言，零信任網路安全同樣成為重要國家戰略。在2021年2月，我國發布的第六期「國家資通安全發展方案（110年至113年）」，已經提到此一戰略——在4大推動策略「善用智慧前瞻科技、主動抵禦潛在威脅」一項的內容中，就已明確指出將推動政府組織導入零信任架構，將是發展方向之一。

根據這份發展方案的內容來看，政府這麼做，主要是為了完善政府網際服務網防禦深廣度，將在遞送、攻擊、安裝、發令與控制等階段，發展主動式防禦技術，因此將建立零信任架構資安防護驗證環境，評估並逐步試行以驗證其可行性。

而在2021年，技服中心已完成零信任架構，與概念性驗證研究及部署機制。

到了2022年7月，政府的下一步行動已經確定，那就是，將優先推動資通安全責任等級的A級機關，導入零信任網路架構，並促進國內廠商發展零信任架構資安產業鏈。特別的是，由於現階段適逢政府組織架構調整，因此接下來，將由數位發展部資通安全署規畫投入經費。

目前正遴選機關試行，接續再推動A級公務機關導入

政府推動零信任架構，將有兩大面向，包括政府機關層面，以及在商用產品層面。

以政府機關層面來看，我國政府零信任網路安全架構的規畫，主要參考美國國家標準暨技術研究院（NIST），所發布的NIST零信任架構文件SP 800-207，並結合我國政府網路向上集中防護需求，因此，規畫上決定採門戶部署方式（Resource Portal Model），並預計在2022年先遴選適合的國內機關，以逐年導入方式，在2022年到2024年，建立起零信任架構中決策引擎的「身分鑑別」、「設備鑑別」，以及「信任推斷」這3大核心機制。

之所以先要遴選機關，目標是先進行導入試行作業，將考量機關向上集中、網路架構與帳號管理方式等面向，因此，也將不限於A級公務機關，而在現階段，將會進行那些工作？8月中旬已進行遴選。後續則將推動A級公務機關導入。

值得關注的是，由於目前政府核定的A級機關多達90個，其中有40多個是中央公務機關，因此相關優先導入的政策，將待資安處或未來資安署公布。而從目前導入的核心機制來看，顯然初期將聚焦的是零信任架構中的決策引擎組件，其中又以身分鑑別為最優先。

在部署原則上，目前我國政府已提出兩大考量要點，首先，強調相關零信任組件的部署，需具備與現有系統同時混合作運作的能力，其次是優先考量部署於政府機關維運的地端（On-Premises）環境。

關於上述3大核心機制，技服中心已有具體說明。在身分鑑別機制上，包含聚焦多因子身分鑑別，以及簽章與加密的身分鑑別聲明。

前者也就是FIDO多因子身分鑑別機制，可使用實體安全金鑰或手機APP，進行無密碼登入；後者則是由鑑別聲明伺服器發行給使用者的存取授權證明，包括JWT或SAML標準格式，透過鑑別聲明函式庫（API），供機關資通系統（RP）介接時，可取得與驗證鑑別聲明。

在設備鑑別機制上，一是執行基於軟體憑證或TPM的公開金鑰密碼系統鑑別協議，以確認使用者端點設備是受到機關管理，另一是持續監控設備健康管理的機制，包含作業系統更新、防毒更新、應用程式更新與組態合規，以隨時更新設備健康信任等級。

最後，在信任推斷機制上，則是依各類輸入資料，進行動態評估與計算，輸出信任分數以提供存取決策。

將逐步導入身分鑑別、設備鑑別與信任推斷機制

圖片來源／擷取自行政院國家資通安全會報技術服務中心

因應政府機關採購與部署，建立產品功能驗證計畫

另一政府推動的零信任架構重點，在於商用產品，也就是零信任相關解決方案。這主要是為了因應A級公務機關，在2022年到2024年的導入作業，同時，也希望貫徹「資安即國安」戰略，厚植臺灣資安產業自主研發能力。對此，今年技服中心已在網站上推出了「零信任網路專區」，目的是讓國內廠商也能預做準備，參與計畫，並提出可相應的解決方案。

截至至6月9日止，通過身分識別功能符合性驗證的廠商，已有全景軟體，以及與歐生全合作的安碁資訊。同時，技服中心也提供相關說明文件，幫助不論是政府機關與業界廠商，都能了解政府零信任網路的推動政策，相關技術、導入方式，以及產品需求。

同時，為了讓政府機關導入時能夠有一個依循的方針，在8月16日，技服中心已先公開一份針對「身分鑑別」機制的導入建議文件，提供機關參考，當中包含具體參考步驟與檢核表，協助機關逐步建立零信任網路資安防護環境。

在8月16日，「政府零信任網路身分鑑別機制導入建議_V1.0版」已經發布，目的是提供機關導入零信任身分鑑別機制之參考建議。（圖片來源／擷取自行政院國家資通安全會報技術服務中心）