FineArt News

資安新知

金融安全新格局:從內到外的防禦

以零信任思維深化資安防護

隨著遠距辦公、雲端服務的普及,以及數位轉型的加速,駭客攻擊手法日益精進,包括個資竊取、金融機構入侵、勒索攻擊等事件層出不窮。金融業因掌握龐大資金與交易數據,成為駭客的主要攻擊目標。因此,如何持續強化資安防護,確保客戶資產安全,是金融業的核心任務之一。

在國際間,美國與歐盟已將零信任架構(Zero Trust Architecture, ZTA)視為核心資安戰略,強調「永不信任、持續驗證」。行政院金融監督管理委員會(以下簡稱金管會)近年亦持續推動「金融資安行動方案」,鼓勵金融機構導入零信任網路機制,提升資安聯防能力。

2024年中,金管會發布**《金融業導入零信任架構參考指引》,強調應循序漸進、分階段補強**,確保與現有資安機制並存。此外,該指引盤點了零信任的五大核心要素,包括:

  • 身分驗證(Identity
  • 設備安全(Device
  • 網路存取(Network
  • 應用程式(Application
  • 資料防護(Data

這些要素共同構築強韌的資安架構,確保金融機構能有效應對日益複雜的資安威脅。

零信任架構的核心:保護關鍵資源

零信任架構的重點,在於對內網進行層層防護,避免駭客未經授權存取敏感資源。企業需盤點所有存取途徑,針對身分、設備、網路、應用程式、資料等潛在脆弱點建立防禦機制。

目前,金融機構已逐步將這些要求納入資安檢查標準。精品科技的 X-FORT 電子資料控管系統,可從內到外提供多層次縱深防禦,不僅符合法規,還能真正落實資安管理與稽核要求。

 

X-FORT:端點層級的多重防護機制

X-FORT 可部署於企業內部的電腦與端點設備,提供以下資安防護機制:

  1. 檔案寫出行為控管:限制未授權的檔案外流,確保敏感資料不被竊取。
  2. 檔案操作軌跡記錄:完整記錄所有存取行為,提供日後稽核與追蹤。
  3. 檔案內容過濾與分類:可識別檔案內的個資與機敏關鍵字,防止未經授權的資料外洩。
  4. 檔案加密保護:確保重要資料僅限於受控環境內存取。

 

1. (設備) 落實資源保護的零信任規範

在金融機構內,資料外洩的風險眾多,例如 USB 隨身碟、光碟燒錄、印表機、智慧型手機、記憶卡等,都可能成為資安漏洞。X-FORT 透過多層防護策略,確保資料安全無虞。

  • USB 隨身碟管控
    • 預設禁止使用,或設定僅允許唯讀。
    • 限制僅能使用公司配發的(註冊)隨身碟。
    • 檔案寫出時自動加密,確保僅能使用公司配發裝置讀取。
    • 若需提供外部使用,須經主管審核並留下完整記錄。
  • 智慧型手機 (MTP 裝置) 管控
    • 限制公司檔案傳輸至智慧型手機。
    • 保留所有傳輸記錄及備份。
  • 印表機安全機制
    • 允許列印的裝置須經過核准,其他印表機一律禁止。
    • 可保留列印記錄與文件備份。
    • 透過浮水印技術,加註資安警語與可追蹤編碼。
    • 內容過濾機制:偵測列印內容是否包含個資或機密資訊。(支援版本請洽精品科技業務)
2. (網路) 多層次縱深防禦,符合資安規範要求
  • 網頁特殊控管
    • 瀏覽器上傳檔案行為的記錄與備分,管控雲端硬碟網頁傳檔、生成式AI網頁傳檔。
    • 瀏覽器上網可管控上傳與下載,阻擋檔案上傳行為
  • 雲端同步加密
    • 當明文檔案拖曳或複製到雲端同步目錄,檔案會自動加密後上傳雲端。
  • 應用程式連線控管
    • 限制應用程式連結網段目的地、通訊埠,防止未經授權連線存取。
3. (應用程式) 應用程式零信任
  • 只允許執行白名單中的應用程式,防止惡意程式的蔓延。
  • 軟體資產管理軟體清單完整蒐集,作業系統更新管理,防毒軟體及病毒碼更新管理。
4. (資料) 內容過濾與分類:防範個資外洩

金融業擁有大量個人資料與財務交易資訊,因此必須遵守個人資料保護法及國際資安標準(如 ISO 27001、PCI DSS)。X-FORT 的內容辨識技術可自動檢測檔案內容,並根據以下條件進行阻擋或標記:

  • 個資檢測:若發現檔案包含大量個資,則自動阻擋外傳。
  • 關鍵字過濾:偵測機密文件、內部專案名稱,並於記錄中特別標註,方便後續稽核。
  • 適用範圍
    • USB 隨身碟
    • 即時通訊(如 LINE、Teams等檔案傳輸)
    • 電子郵件(如 Outlook.com、Gmail): 僅比對寄送記錄之郵件本文
    • 列印輸出(支援版本請洽精品科技業務)
5. (資料) 識別與加密:構築資料的多重防護

X-FORT 提供三大資料保護層面:

  1. 檔案傳輸保護 (支援版本請洽精品科技業務)
    • 自動識別檔案內容,阻擋未授權外流。
    • 針對大量個資的檔案,搬移集中存放並加密。
  2. 資料使用保護
    • File Locker 加密模組
      • 自動加密檔案,確保僅授權設備可存取。
      • 可自由搬移加密檔案,不影響使用習慣。
      • 相容於各種 OA 應用程式。
      • 雲端檔案亦可加密上傳,並支援離線使用模式。(離線意旨與X-FORT Server中斷連線)
  3. 資料儲存保護
    • File Access Control
      • 設定資料夾存取白名單,阻絕惡意程式竄改檔案。
      • 提供排程備份機制,保護金融機構核心資料。
    • BitLocker 全磁碟加密
      • 防止硬碟串接或筆電遺失導致資料外洩。
      • 提供企業級管理中控台,統一管理微軟BitLocker 加密策略。

 

金融資安進入新時代

金管會推出的金融資安行動方案,為金融機構導入零信任架構提供了明確指引。金融資安管理者應選擇合適的資安工具,以符合法規要求,降低企業資安風險,達到事半功倍

精品科技的 X-FORT 整合DLP 資料保護、檔案加密等零信任多層次防護機制,為金融企業提供強大且完善的資安解決方案,確保關鍵資訊安全無虞。