( 二) 與科技政策落實之關聯: 「資安跨域整合聯防計畫– 強化金融資安韌性計畫」: 金融服務為國家關鍵基礎設施之一,係國民日常生活所必需。一旦金融服務遭駭客入 侵,將嚴重影響我國金融穩定、經濟發展與國民生活。金管會依據行政院「國家資通安全 發展方案(110 年至113 年)」,推動公私協同治理、提升關鍵設施韌性之策略目標,以 106-109 年陸續建立之F-ISAC、F-CERT 及F-SOC為基礎,於110 年制定金融機構資安 監控組態基準及作業指引,輔導金融機構試行,並與資安組織合作,辦理金融資安攻防演 練及評比活動,使金融機構可透過實戰演練,強化其資安人員處理資安事件之應變能力, 透過公私協力,提升我國金融關鍵基礎設施及金融機構資安韌性。 伍、檢討與展望 為因應近期新型態駭客攻擊及後疫情時代資安風險,持續強化金融機構資安防護與應變能 力,並降低金融監理機關資安風險,為未來強化資安防護之發展重點。未來資安精進作為如下: 一、辦理金融機構網際網路服務安全檢測:參考美國國土安全部網路安全暨基礎設施安全局 (CISA) 之網路衛生弱點掃描計畫,針對中小型金融業者網路金融服務是否存在未修補之漏 洞、使用不安全的加密機制或錯誤的組態設定,規劃以非侵入式且持續性偵測調查機制, 模擬駭客的角度調查前述金融機構網際網路服務的資安狀況,並定期彙整相關情資督導金 融業者改善,降低遭網路攻擊的風險。 二、賡續辦理金融資安攻防演練:依據112 年金融資安攻防演練經驗及演練中待強化之技術防 護,並持續透過F-ISAC/F-CERT/F-SOC所蒐集分析之近期重大駭客攻擊手法,再增加攻 擊情境多樣性( 達3 類),並對金融機構辦理攻防演練,以驗證其面對不同演練情境之駭客 攻擊時,是否具備一定程度之偵測、防護、應變及處理能力;另亦藉此強化金融業資安人 員緊急應變處理技術,持續培養與磨練金融資安人才。 三、導入零信任網路身分及設備鑑別機制:為配合「國家資通安全發展方案」推動政府導入零 信任網路之資安政策,金管會原已於112 年小規模試行零信任架構與解決方案,考量導入 零信任網路為一逐步成熟之過程,將參考試行經驗,於113 年續擇行動辦公及雲端應用等 場域,導入零信任網路身分及設備鑑別等機制,後續將視實際運作情形,滾動調整導入零 信任網路之範圍與機制。 514
RkJQdWJsaXNoZXIy MTI2NzAzOA==