2023 年

2023-02-13

---

如何掌握 2023 三大關鍵字：零信任（ZTN）、資安長（CISO）、數位韌性（Resilience）？
PM 部門經理 賴濬倩

2022 對你我來說，應該都是變動極為劇烈的一年。新冠疫情雖已邁入第三個年頭，但相較於其他國家，一直都處於「類平行世界」的台灣，於去年的 5 月才首度爆發了大規模的傳染。面對突然襲來的疫情，各行各業除了更積極調整內部相關營運措施，維持基本運作外，現實的社會氛圍也逐漸從嚴密的控管，開始敞開心胸學習如何與病毒共存。與此同時，俄羅斯入侵烏克蘭、歐洲陷入能源危機、美國通膨升息等國際因素，也直接或間接地影響到我國的經濟、政治及安全局勢。在這樣的動盪的環境背景下，讓許多的應對措施及政策的制定腳步逐漸加快起來。其中最蔚為討論的即是被美國政府選為國安架構、台灣政府也明確跟進的「零信任（Zero Trust）」、因應「資通安全管理法」應設置的「資安長（CISO）」職位，最後則是由唐鳳部長率領，甫成立的數位發展部之核心理念：「強化全民數位韌性」。隨著新一年度各組織行號開工運作，相信在企業及政府機關的 2023 年營運計畫中都必定納入了這些關鍵字。Openfind 成立 25 個年頭以來，面對資安及新興議題，我們一向以客戶導向提供與時俱進的軟體與服務，使客戶得以在安全穩定的狀態下持續營運，針對這三大關鍵字，我們亦在產品及服務上提供多樣的支援方式，面對充滿不確定性的 2023 年，如何因應「零信任」、「資安長」以及「數位韌性」議題，以下將逐一分享。

透過「3A」建立零信任（Zero Trust）架構

零信任概念最早源自於 2010 年，由 Forrester Research 公司副總裁兼首席分析師的金德威格（John Kindervag）所提出。他體認到既有的安全性模式皆建立在「企業網路中的所有內容都可供信任」的過時假設上，因而提出了零信任概念。而於 2019 年，Gartner 公司也將零信任列為安全存取服務邊緣（SASE）解決方案的核心要素之一。

零信任安全模型的主要概念是「從不信任，總是驗證」，即使裝置已經連接到經許可的網路並且之前已通過驗證，仍不應預設信任裝置。政府在 2023 年明確指引機關、企業須推動零信任網路架構，資通安全責任等級的 A 級公務機關優先導入，並預計在三年內，分階段逐年導入零信任網路的 3 大核心機制：身分鑑別、設備鑑別，以及信任推斷。因此，2023 年的重點，無疑將是導入身分鑑別。除了 A 級機關外，金管會於 2022 年 12 月 27 日發表的「金融資安行動方案 2.0」中，除延續 1.0 版四大策略：強化資安監理、深化資安治理、精實金融韌性、發揮資安聯防外，也另外增加了 14 項精進措施。當中很重要的一環便是鼓勵金融機構擁抱零信任架構，強化核心資料保全。

針對零信任資安，Openfind 全系列產品與服務打破網路邊界防護的迷思，落實 3A 框架（Authentication 認證、Authorization 授權、Accounting 記錄），主動整合合規的第三方技術，與重要機敏客戶落實零信任網路的發展路徑。在 Authentication 認證的部分，Openfind 在系統登入環節整合 FIDO 及生物辨識，並與全景的 MOTP 進行合作，加強登入認證的安全性與順暢度。Authorization 授權，則透過產品細緻的權限設計，達到最小範圍的存取與控制。Accounting 記錄方面，Openfind 全產品皆有完善且持續增加的使用及管理紀錄，清楚留下行為軌跡。後續亦將進一步與零信任架構供應商進行整合推廣，讓零信任架構可由裡至外清楚落實。

資訊安全長（Chief information security officer, CISO）的最佳後盾 3R 心法

落實零信任僅是資安眾多手段中的一環，而如何有效在組織中落實，CISO 便成為當責人選！2022 年各界都傳出許多重大的資安事件，諸如中油、台塑遭勒索軟體入侵、仁寶及研華遭駭客攻擊，而個資外洩的新聞更是層出不窮。進入 2023 年，資安攻擊仍持續活躍。邁入新年度的 1 月初，華航即傳遭駭客勒贖，會員資料庫疑似外洩，包括副總統賴清德、台積電創辦人張忠謀等 60 位政商名流個資都被公布於國外論壇。駭客更預告將持續公布入侵路徑、華航系統清單及 300 萬會員資料庫等。
外在環境的威脅，除了阻擋防禦，內部環境亦須配合。而為了積極推動國內資訊安全政策及加速建構資通環境以保障國家資安，政府於 2018 年 6 月 6 日即公告《資通安全管理法》，相關子法亦於 2021 年 8 月 23 日修正發布施行。

資通安全法中，根據資通安全責任的細項，各級企業及機關單位可分成 A 至 E 五個等級。其中規定 A 級、B 級、與 C 級機關須設立資通安全專職人員（或資安專責人員）、定期通過內部資通安全稽核、完成資通安全弱點通報機制。由於資安即國安，因此不僅只是政府機關，台灣企業也需嚴陣以待。金管會於 2021 年公布《公開發行公司建立內部控制制度處理準則》修正草案，要求資本額達百億以上，或前一年底屬台灣 50 指數成分的上市櫃公司，於 2022 年底以前應設置資安長（CISO），以及資安專責單位。根據證期局統計，符合第一級的公司總共有 113 家。而 2022 年 12 月 27 日更進一步修改法規，要求電子交易達一定比例的金融業者需設置資安長，其中，證券業的電子交易比例較高，影響最大，須設置資安長券商從 13 家調整為 20 家。

在這樣的法規政策及環境下，「台灣資安主管聯盟」也應運而生，由國內多家大型企業（如：華碩、富邦金、台達電、國泰世華、遠傳電信等）共同發起，互相分享情資、並持續整備資安人力。而資安長除了有資安專業外，還需做為企業的監督、稽核角色，掌握並盤點全公司資安風險脈絡，落實資安風險管理，並進行跨部門、跨組織的溝通協調。資安長或資安專責單位若要有效地管控內部資安，首要之最即是盤點目前的資安風險及資安政策 SOP。例如：在溝通上不可或缺也最容易受到攻擊的 email 服務即是重點之一。Openfind 可於郵件服務中提供多款報表及異常風險帳號等功能，讓管理者可以清楚並快速地管控風險破口，進一步擬訂計畫。完整的資訊亦可讓資安長定期向董事會等層級報告問責。透過 Openfind 3R 心法：功能完整一站 Ready、台灣法規/稽核 Ready、在地服務經驗 Ready，無論是系統介面、法規遵循、服務經驗，Openfind 團隊都將有信心成為資安長的最佳後盾，於適當的時機協助解決資安長的應對需求。

數位韌性的 3S 超前整備

台灣數位發展部於 2022 年 8 月 27 日成立，由行政院資安處等相關機構整併而成，主要負責推動數位政策的創新，同時整併電信、資訊、資安和網路與傳播 5 大領域，確保國家資通安全、促進跨域數位轉型，和提升全民數位韌性。其中三大核心理念之一的「強化全民數位韌性」，官方亦明確說明，「數位韌性」指的是透過數位工具，讓台灣政府及企業、人民全體在遇到各種不利情況時，不但能即時應變，還能從打擊中迅速恢復並從中學習、強化自身體質。舉例來說，俄烏戰爭中，烏克蘭因為有低軌衛星網路（Starlink）的支援，而能持續保持通訊暢通不致中斷！在越來越依賴數位生活環境的現代，數位韌性實是不容忽視的議題。去年 7 月，日本第二大電信商 KDDI 發生 VoLTE 語音系統大當機，3 千萬名用戶超過兩天半無法電話聯繫，也無法上網，日本的氣象廳也緊急宣布在颱風艾利來襲期間無法提供完整氣象資訊。電話、網路無法接通的情況下，數千通緊急電話無法打通，不僅即時的災害救助無法串連，甚至有 5 家醫院聯繫不上醫生，重病患者的緊急手術無法施行，危及許多人的性命及安全。

如果單純只是技術上的應變，一定無法全面地發展數位韌性，因此如何讓「全民」都有數位韌性的發展意識，也是當前十分重要的課題。在烏克蘭戰爭中，許多無人機愛好者或民間人士透過整合到他們自己的訊息流裡，協助全民一起度過難關，這就是全民數位韌性的體現。除了人民的數位韌性、產業、社會如何進一步的實現即整合，也是十分重要的環節。產業方面舉例來說，無論是國際間或公司內外溝通，email 都是不可或缺的工具，如何在郵件系統上落實數位韌性，Openfind 也提供 3S 的整備措施，3S 分別為：

• Suppleness 架構彈性：支援各種混合雲架構與整合彈性
• Strength 資安韌性：完整嚴謹的歸檔、備援、分享與稽核方案
• Supreme 優質快速：菁英團隊，快速回應緊急事件

於不可抗力因素造成通訊中斷時，透過混合雲架構彈性部屬，可達到不中斷的運轉，例如平時使用地端的郵件伺服器，但遇到區域性災害時，及時轉換郵件流向至雲端代管，即可利用架構彈性來避免營運中斷，就如同烏俄戰爭中，原本使用區域電信網路服務轉換至星鏈網路服務。此外，定時定期的備份、前端的稽核，亦是重要的指標之一，在無論是駭客造成的資安問題，或物理環境架構無法順利運行的情況下，若有做好前端防護、後端歸檔，就可以在後續可順暢運行時，快速地將重要財產資料回歸正軌。由於每間公司業務繁重，若要人人都準備自己的一套應變措施不僅耗時耗人，也不一定達到最好的效果，因此，與優質且專業的廠商合作創造雙贏，才是最具韌性的方式！而在地深耕 25 年的 Openfind 無疑是最佳的選擇之一。

展望 2023 年，Openfind 攜手客戶「兔gether」來運轉系統

無論是三大關鍵字中哪一個熱門單詞，應該都不難發現他們之間的關聯，包含因應資安法規及政策而生的 CISO 設置、因為資安管理進而需要推行的零信任架構，乃至更高一層次地來到數位韌性的應變整合，看似毫無關聯的三大關鍵字，都因日益棘手的虛擬及實體環境的威脅而需要由上而下、由裡至外的嶄新變革。這些目標都非一蹴可幾，需要逐步規劃並從細部開始慢慢實現。Openfind 身為在地深耕 25 年的軟體服務提供商，我們不僅根據政策及環境趨勢所帶來的問題提供客戶更完善的幫助，針對三大議題也提供 3A、3R、3S 的解決方案，希冀能為台灣社會付出和貢獻，與台灣企業共同成長、累績經驗並永續發展，成就更好的未來。