金融業零信任專欄

零信任想做好？先別急著買產品

金融業零信任：需要更全面視角

報告類型

議題分享

發布日期

2025/09/01

儘管已導入 MFA、多層防禦等基本措施，金融業仍面臨日益複雜的威脅，加上雲地混合的管理複雜性，造成營運與信任風險，傳統邊界式防禦已無法應對現代需求了。為強化金融體系資安韌性，金管會於 2024 年發布《金融業導入零信任架構參考指引》，推動金融機構導入零信任安全架構（Zero Trust Architecture, ZTA），全面提升防護能力。您準備好踏出第一步了嗎？

全面性審視，從三大面向強化資安韌性

從 NIST 的 SP 800–207 到金管會的指引，各界皆積極推動零信任的理念與實作。然而對多數金融機構而言，零信任仍停留在口號與概念階段，缺乏具體落實與管理規劃。金融機構架構龐大且複雜，導入零信任應採循序漸進、持續推動的策略，用有限的資源將防護最大化。建議從以下三大面向著手：

資料層 找出保護的焦點：
零信任的核心在於「保護最重要的資源」，也就是先找出真正需要保護的對象，避免浪費有限的資源。金融機構應盤點資料資產、現有防護機制，釐清儲存位置（雲端、本地、第三方）與敏感性，並依據最小權限原則落實存取控管。
網路層即時管控資源存取：
零信任假設「內部亦可能存在威脅」，因此需針對所有資源存取行為建立一致的政策與決策點。如同指引所提到，建議從高風險管道（如遠端存取）試行，逐步擴展至所有內外部連線，由外而內逐漸減少攻擊面，實現存取行為的可視化與即時控管。
整體防禦層 持續完善零信任：
零信任不是一次性建置，而是持續演進的架構。金融機構應定期檢視防禦機制、監測弱點，並依據風險動態調整策略，導入自動化流程，持續強化架構，由內而外持續強化防禦面。

透過這三大面向的持續檢視與最佳化，金融機構將更有效地實施零信任架構，逐步提升資安韌性，為面對未來威脅做好充分準備。

零信任是一段安全架構的旅程

零信任之父 John Kindervag 指出：「零信任是一種戰略理念，適用於任何組織，防止資料洩露並降低攻擊成功率」。導入零信任不必急於購置新產品，現有防護若符合需求，也可納入零信任架構的一環。在後續系列文章中，我們將深入解析資產盤點、存取策略設計與架構強化，協助金融機構逐步落實最適合自身的零信任架構。

若您希望了解自身現況、尋找適合的導入策略，或需要專業顧問協助評估與規劃，歡迎與大鈞顧問團隊聯繫，一同打造更安全、更具韌性的金融資安防護。