金融監督管理委員會之科技研發績效 金融監督管理委員會 摘要 為強化金融機構資安防護能力,本計畫擴大辦理金融資安攻防演練,透過增加演練情境及 參與家數,持續培訓金融資安人才,並輔以評比活動,以實戰驗證其資安防禦能力與技術水準; 此外,受疫情影響導致遠距辦公盛行,使組織之資訊系統與資料等資源存取方式已不同以往, 內外部網路邊界更為模糊,而駭客攻擊手法亦日新月異,傳統網路邊界防護已無法有效防範駭 客入侵。因此透過導入零信任網路架構,以降低金融監理機關資安風險,亦為本計畫之研究重 點。本計畫辦理績效及未來精進,摘述如下: 一、擴大辦理金融資安攻防演練 112 年擴大由50 家金融機構組成36 組緊急應變團隊進行演練( 計180 人參訓),並擇優 6 組( 計30 人參訓) 接續參加10 月31 日金融資安攻防評比活動。透過金融資安攻防演練及評 比活動,檢驗金融機構資安防護及應變能量,並強化金融機構處理資安事件之應變能力,及培 育金融資安人才。未來將依據112 年金融資安攻防演練經驗及演練中待強化之技術防護,並持 續透過F-ISAC/F-CERT/F-SOC所蒐集分析之近期重大駭客攻擊手法,再增加攻擊情境多樣性 ( 達3 類),持續培養與磨練金融資安人才。 二、試行零信任架構與解決方案 配合「國家資通安全發展方案」善用智慧前瞻科技、主動抵禦潛在威脅之策略目標,推動 政府導入零信任網路,金融監督管理委員會( 以下簡稱金管會) 試行導入零信任身分鑑別系統, 結合手機APP 以多因子身分鑑別強化居家辦公、雲端存取及伺服器主機管理等3 項高風險應用 場域存取管控機制。將參考112 年試行經驗,於113 年續擇行動辦公及雲端應用等場域,導入 零信任網路身分及設備鑑別等機制,後續將視實際運作情形,滾動調整導入零信任網路之範圍 與機制。 未來除賡續辦理金融資安攻防演練及導入零信任網路身分及設備鑑別機制外,增加辦理金 融機構網際網路服務安全檢測,規劃以非侵入式且持續性偵測調查機制,模擬駭客的角度調查 金融業者網路金融服務是否存在未修補之漏洞、使用不安全的加密機制或錯誤的組態設定,並 定期彙整相關情資督導金融業者改善,降低遭網路攻擊的風險。 509
RkJQdWJsaXNoZXIy MTI2NzAzOA==