金融監督管理委員會之科技研發績效 金融監督管理委員會 摘要 金融機構近年因應金融科技發展及疫情,加速數位轉型新增更多元網路金融服務,亦面臨 更多的網路資安攻擊與風險。為避免中小型金融機構因資訊資源有其侷限,本計畫協助其及早 發現網際網路服務相關漏洞,並督導其改善,以降低遭駭風險。此外,金融監督管理委員會( 以 下簡稱金管會) 已於111 年12 月發布金融資安行動方案2.0,鼓勵金融機構配置多元專長資安 人才,並擴大攻防演訓量能。爰本計畫持續擴大舉辦金融資安攻防演練,以強化金融機構資安 應處能力。最後,本計畫依「國家資通安全發展方案(110 年至113 年)」推動政府導入零信任 網路之資安政策及本會於112 年小規模試行零信任架構與解決方案之經驗,導入零信任網路身 分及設備鑑別機制,以持續提升本會資安防護水準。綜上,本計畫之重點摘要如下: 一、辦理金融機構網際網路服務安全檢測 參考美國國土安全部網路安全暨基礎設施安全局(CISA) 之網路衛生弱點掃描計畫,針對 中小型金融業者網路金融服務是否存在未修補之漏洞、使用不安全的加密機制或錯誤的組態設 定,規劃以非侵入式且持續性偵測調查機制,模擬駭客的角度調查前述金融機構網際網路服務 的資安狀況,並定期彙整相關情資督導金融業者改善,降低遭網路攻擊的風險。 二、擴大辦理金融資安攻防演練 依據112 年金融資安攻防演練經驗,持續透過F-ISAC/F-CERT/F-SOC所蒐集分析之近 期重大駭客攻擊手法,維持攻擊情境多樣性,並辦理金融機構參與攻防演練,以驗證其面對不 同演練情境之駭客攻擊時,是否具備一定程度之偵測、防護、應變及處理能力;另亦藉此強化 金融業資安人員緊急應變處理技術,持續培養與磨練金融資安人才。 三、導入零信任網路身分及設備鑑別機制 為配合「國家資通安全發展方案(110年至113年)」推動政府導入零信任網路之資安政策, 本會於112 年小規模試行零信任架構與解決方案,於113 年接續導入零信任網路身分及設備鑑 別機制,並擇定於本會行動辦公及雲端應用等場域試行,後續將視實際運作情形,滾動調整導 入零信任網路之範圍與機制。 499
RkJQdWJsaXNoZXIy MTI2NzAzOA==