将来银行副总兼资安长康崇原揭露自家在今年预计提升零信任架构的四项计划。
在今年台湾资安大会上,将来银行资安长康崇原公开他们推动零信任架构的作法,并揭露了将来银行今年预计推动的四项零信任架构重点计划,分别是优化最高权限帐号管理、优化身分与存取管理、导入FCBGCB基准,和调整网路微分段等计划。
康崇原表示,对纯网银而言,他们并没有ATM、实体分行、分支机构,也没有大型主机。因此,他们先根据金管会发布的零信任架构参考指引,排除未使用的场域,以高风险、低冲击的场域选项来综合评估先行导入的场景。他们选定的场域包含六项,分别是远距办公、云端存取、系统维运管理、应用系统管理、服务供应商,和跨机构协作。其中,远距办公和系统维运管理,是将来银行选定优先导入零信任架构的目标场域。
选定目标先行场景后,将来银行运用零信任架构实作参考原则分级表,来做自评,并运用自评结果,拟定2025年的目标计划。
康崇原提到,将来银行2025年预计完成四项零信任架构计划,第一项是优化最高权限帐号管理,包括针对45套金融应用系统的最高权限帐号管理机制进行优化,并依据认证方式,将应用系统分成AD整合和非AD整合类型。
第二项计划是优化身分与存取管理机制,包括针对系统维运管理场域的维运专属终端、AD主机和对外服务主机,建置第二道身分验证机制。第三项计划是导入FCBGCB基准,包括建立基于属性存取控制(ABAC, Attribute-Based Access)的存取控制清单,管制主机资源的存取,并规画分阶段导入金融机构组态基准(FCB)。
最后一项计划,是要调整网路微分段,包括规画办理中台、官网、网银及无障碍网银等对外服务主机网路微分段调整。
除了加强零信任架构,将来银行也计划今年导入更多监控告警规则,加强金融资安联防能力。康崇原表示,他们将根据最新版的资安监控组态基准(MCB v3.0)新增监控告警规则,从现有行内121条规则数,新增至427条监控告警规则,预计今年完成开发。