本文共646字
臺灣證券交易所表示,已在今(2025)年5月15日上午10時30分,於台北101大樓36樓舉辦「推動證券商導入金融零信任說明會─身分驗證」。說明會計有110餘位證券業者辦理金融零信任架構專責單位主管與承辦人參加,說明會圓滿成功。
證交所表示,為推動證券商導入零信任架構,這次會議主題首先以身分驗證為主軸,強調「永不信任、持續驗證」原則,假設所有內外部環境皆存在潛在威脅,使用者與設備在每次存取資源前皆需重新驗證,身分驗證作為第一道防線,應結合多因子驗證、條件式授權控制與行為分析,確保僅授權合法、可信的請求。
根據金管會依據ISO 29115訂定的「數位身分驗證指引」,數位身分驗證流程分為三階段,身分登錄、訊息管理及身分驗證,並劃分四種信賴等級,對應不同風險場景與驗證強度。
導入零信任需整合聯合企業身分服務、涵蓋身分提供者、使用者主檔、憑證保管與帳號自動化管理等元件,以實現身分與授權一致性;權限控管可採角色為基礎與屬性為基礎模型,動態調整權限並即時回應異常,而日誌管理應集中至SIEM系統,進行異常行為偵測與信賴分數評估,並視風險限制、撤銷或阻斷存取,面對老舊系統與SSO整合困難,可透過補償性控制措施因應,最後高階管理層應主導權限稽核、例外授權標準與政策制定。
證交所指出,這次說明會旨在鼓勵證券市場證券業者零信任導入過程中,身分驗證為首要防線,可導入一系列流程對應風險情境,確保身分與授權一致性,隨著科技的進步,宜積極探索與應用此策略,加速零信任落實與組織安全架構,以確保業務的持續安全性。
※ 歡迎用「轉貼」或「分享」的方式轉傳文章連結;未經授權,請勿複製轉貼文章內容
留言