證交所力推 證券商導入金融零信任身分驗證

財經中心/綜合報導

臺灣證券交易所舉辦「推動證券商導入金融零信任說明會-身分驗證」。說明會計有110餘位證券業者辦理金融零信任架構專責單位主管與承辦人參加，為推動證券商導入零信任架構，本次會議主題首先以身分驗證為主軸，強調「永不信任、持續驗證」原則，假設所有內外部環境皆存在潛在威脅，使用者與設備在每次存取資源前皆需重新驗證，身分驗證作為第一道防線，應結合多因子驗證、條件式授權控制與行為分析，確保僅授權合法、可信的請求。

根據金管會依據 ISO 29115 訂定的「數位身分驗證指引」，數位身分驗證流程分為三階段，身分登錄、訊息管理及身分驗證，並劃分四種信賴等級，對應不同風險場景與驗證強度。導入零信任需整合聯合企業身分服務、涵蓋身分提供者、使用者主檔、憑證保管與帳號自動化管理等元件，以實現身分與授權一致性；權限控管可採角色為基礎與屬性為基礎模型，動態調整權限並即時回應異常，而日誌管理應集中至 SIEM 系統，進行異常行為偵測與信賴分數評估，並視風險限制、撤銷或阻斷存取，面對老舊系統與 SSO 整合困難，可透過補償性控制措施因應，最後高階管理層應主導權限稽核、例外授權標準與政策制定。

證交所指出，此次說明會旨在鼓勵證券市場證券業者零信任導入過程中，身分驗證為首要防線，可導入一系列流程對應風險情境，確保身分與授權一致性，隨著科技的進步，宜積極探索與應用此策略，加速零信任落實與組織安全架構，以確保業務的持續安全性。