在企業邊界日益模糊、遠距辦公與雲端服務成為常態的今天,傳統資安防護的邊界已難以界定。亞利安 2026 Solution Day 邀請國立臺灣大學資訊工程學系元一網宇永續研究中心主任研究員李逸元博士,以「零信任資安導入實務」為題,從制度法規、架構落地到國家戰略,完整分享零信任架構(Zero Trust Architecture, ZTA)的導入經驗。
李逸元指出,零信任的核心前提是假設駭客可能已透過漏洞潛入內網,「內網沒有我們想像中的安全」。因此在身分、設備、網路、應用程式與資料這五個層次之上,企業必須同時盤點系統、使用者與商業流程;他強調,所有 IT 風險背後其實都隱含著商業風險(Business Risk),IT 的任務是支援企業營運,風險分析若只從 IT 的眼光來看,往往不夠完整。零信任引擎的政策決策點(Policy Decision Point, PDP)與政策執行點(Policy Enforcement Point, PEP),搭配實際監控,構成了零信任架構的管理平台。
從金管會指引看零信任的法規要求
IT 的任務是支援企業營運,風險分析若只從 IT 的眼光來看,往往不夠完整。
行政院每四年推動一期國家資通安全發展方案,第六期方案(2021 年至 2024 年)將政府機關導入零信任架構列為推動重點,並以 A 級機關為優先,逐步導入身分鑑別、設備鑑別與信任推斷等核心機制。李逸元以美國國防部的零信任七大支柱為例,說明零信任建立在人員的本職學能與素養之上,涵蓋身分、設備、應用程式與工作負載、資料、網路與環境、自動化與協作、可視性與分析等面向;其中可視性強調盡可能完整收集事件、活動與行為 (Event, Activity, Behavior)的日誌,這是在設計與運作架構的事前階段就要做到的基本功。
金管會 2024 年公布的「金融業導入零信任架構參考指引」,將成熟度分為傳統、起始、進階與最佳四級,從靜態指標、動態指標逐步邁向即時(Real Time)指標,並以整合性指標構成最佳級。李逸元表示,主管機關往往希望掌握「現在如何」的即時狀態,但其成本與挑戰相當高;金管會的分級與要求大致符合國際規範,也延續了金融資訊系統安控的既有需求。他並提醒,文件化(Documentation)與資料治理(Data Governance)是常被忽略的挑戰,雖然已有業者運用 AI 協助撰寫文件,但內容是否完整、技術編輯與文字編輯是否到位,仍需人為把關。
以 CSF 2.0 與成熟度模型活用零信任
以網路安全框架 2.0 (Cybersecurity Framework 2.0, CSF 2.0) 結合零信任五大支柱與零信任成熟度模型 (Zero Trust Maturity Model, ZTMM),評估各項目成熟度並規劃未來三到五年的精進藍圖。
針對勒索軟體攻擊猖獗,李逸元以 LockBit 、 WastedLocker 等攻擊案例為例,說明如何活用零信任架構降低入侵與橫向移動風險;其中 Garmin 曾於 2020 年遭 WastedLocker 攻擊,造成多項服務中斷。其作法是以 CSF2.0 框架搭配零信任五大支柱,再結合零信任成熟度模型(Zero Trust Maturity Model, ZTMM)進行整體評估。透過現況評估,對應不同的解決方案能力(Solution Capability),即可判斷各項目的成熟度落在 A、B、C、D 哪一級,進而描繪出成熟度設計模型,把未來三到五年要做的事規劃出來。
李逸元也分享,他自 2023 年起與多位學者參考金管會的零信任成熟度模型,提出 ZTAID 模型,結合網路安全框架 2.0 (Cybersecurity Framework 2.0, CSF2.0) 的六項核心功能,從事前、事中到事後進行多維度的量化評估,協助組織盤點現況、找出潛在風險並制訂未來的精進改善措施。
後量子密碼與戰時韌性:資安即國安
從「資安即國安」邁向全社會防衛韌性,後量子密碼學(Post-Quantum Cryptography, PQC)在金融業已進入遷移規劃階段,企業須做好戰時韌性與災難復原準備。
進入結語,李逸元回顧國家層級的布局。國安會在賴總統指揮下推動《國家資通安全戰略》,以「打造堅韌、安全、可信賴的智慧國家」為願景,並以全社會防衛韌性等四大支柱為架構。 2025 年 4 月發布的《國家資通安全戰略 2025》,更將臺灣資安戰略從「資安即國安」推進到全面提升全社會防衛韌性的新里程碑。
在技術布局上,他指出後量子密碼學 (Post-Quantum Cryptography, PQC) 在金融業已進入遷移規劃階段,臺灣結合數位部、資安院與頂尖密碼科學家,沿著政府腳步做好準備;此外,Infrastructure as Code 與 DevSecOps 整合、雲端的 CSPM 與 SSPM 管控,以及至今仍無明確定義的 AI 安全 (AI security),都是金融業持續努力的重點。面對準戰爭時代,他建議企業從降低入侵可能性、快速檢測潛在入侵、確保回應計畫到提高組織恢復能力四個步驟著手,落實災害應變復原機制;因為沒有 100% 的資安,唯有建立平時與終極的防護能量,才能真正撐起數位信任與數位韌性。
更多會後報導
活動精彩回顧