亞利安建議企業緊扣合規、零信任與PQC，建立全方位數位資安防線

近年因雲端、零信任、AI、量子密碼…等科技進化腳步加速，不斷衍生資安新挑戰，加上隨之而來轉趨嚴格的法遵需求，在在為企業帶來沈重壓力，急需思考如何重構自身的資安系統。

亞利安科技資安技術支援部協理王添龍呼籲，目前企業的首要之務，就是因應AI、量子運算等技術對現有加密機制的衝擊與影響，研究如何推動公鑰加密系統的升級；同時也需思考如何善用零信任架構與AI技術，逐步打造動態且智能的資安防護系統，形塑內外兼顧的多層次資安防線；以及應對全球各地日趨複雜的資安法規，確保企業在數位轉型旅程中持續安全合規。

從法規按圖索驥，梳理資安補強重點

談到企業如何建立全方位數位安全策略，王添龍認為，可先從合規出發，從中掌握下一步佈局重點。以《資通安全管理法》為例，就有不少關於加密的規定，包括：

1. 針對「遠端存取」，不論等級高中普均應設置加密機制。

2. 針對「傳輸之機密性與完整性」，等級高的資通系統應採用加密機制，且應定期更換加密金鑰或憑證。

3. 針對「資料儲存之安全」，等級高的資通系統重要組態設定檔案及其他具保護需求的資訊，應以加密方式儲存。

4. 針對「加密模組鑑別」，等級高、中的資通系統如以密碼進行鑑別，該密碼應加密或經雜湊處理後儲存。

綜觀《金融資安行動方案2.0》，裡頭也有許多值得留意的要求。譬如針對核心資料保全，提到「檔案、資料庫加密與分持儲存」與「第三地或雲端備份」，加上「鼓勵零信任網路部署」，足見資料庫加密、碎形加密、零信任等解決方案的重要性持續走高。

再談到《金融機構作業委託他人處理內部作業制度及程序辦法》，其中第19條第5點規定，金融機構傳輸及儲存客戶資料至雲端服務業者，應採行「客戶資料加密或代碼化」等有效保護措施，並應訂定妥適的「加密金鑰管理機制」，同樣凸顯了資料加密的迫切性。

除此以外，王添龍認為行政院建議的資料安全管理措施，箇中亦有值得觀察之處。在《行政院及所屬機關落實個人資料保護聯繫作業要點》第5點規定中，就要求應至少包括下列六項資料安全管理措施：1.使用者身分確認及保護、2.個資顯示之隱碼機制、3.網路傳輸之安全加密、4.個資檔案與資料庫之存取控制與保護監控措施、5.防止外部網路入侵、6.非法或異常使用行為之監控及因應機制等。

因應上述六項管制措施，亞利安已完成對應產品及解決方案之規劃：

1. 身分驗證：TOPPAN IDGATE

2. 個資隱碼：Thales CipherTrust

3. 傳輸安全加密：Thales CipherTrust代碼化

4. 個資檔案與資料庫之存取控制與保護監控：Thales CipherTrust檔案加密、Imperva DAM（資料庫安控稽核）、PiExtract CLM日誌管理

5. 防止外部網路入侵：Imperva WAF、Proofpoint郵件安全

6. 非法或異常使用行為監控因應：Imperva DAM、PiExtract CLM日誌管理

加強監視活動、安全編碼，滿足ISO 27001轉版需求

接著觀察《數位經濟相關產業的個資檔案安全維護管理辦法》（簡稱『安維辦法』），當中規定業者應採取加密、備份、傳輸安全等措施，可由‎Thales CipherTrust資料保護方案來滿足需求。

安維辦法也提到，業者以資通系統直接或間接蒐集、處理或利用個資時，除遵循前述要求外，另應採取幾項資料安全管理措施，其間涉及的技術包括郵件防護、網站防護、資料庫稽核、弱點掃描、零信任、PAM、代碼化等；環顧亞利安的代理版圖，當中的Proofpoint郵件安全、Imperva WAF／DAM、Qualys合規掃描、Pentera自動安全驗證、TOPPAN IGDATE身分驗證、Thales CipherTrust代碼化，皆能應對前述措施的佈建需求。

王添龍強調，企業欲強化數位安全策略，不應只停留在保護層面，只阻擋第三方存取企業系統和資料，而是需要假設自己不可能100%遏止駭客入侵，所以須針對資料本身採取實質防護，此時「加密」就是很好的做法。他同時提醒，安維辦法中還包含一項重要規定：進行系統測試時應避免使用真實個資；由於多數企業不會為測試環境建置完整資安措施，使駭客更容易入侵，因此測試環境中若存在真實個資，後果恐不堪設想。

除上述重點內容外，還有一些亟需關注的合規要項，如ISO 27001:2022的新增控制措施，亞利安也提供相關解決方案可助企業一臂之力，如下表：

最後他建議企業應著手推動兩件事：一是展開後量子密碼學（PQC）的評估研究，因為現今日常生活中的非對稱演算法案例中所使用的PKI或憑證機制，隨著量子電腦出現恐將遭到破解，而現階段駭客已展開「先竊取、後解密」的前置策略，所以企業須儘快研擬資料防竊機制，並著手規劃將PQC部署到內部正式環境；另一項則是盤點資源存取途徑，進而以零信任思維深化資安防護，逐步建置MFA、網路微分段、資料加密、應用程式安全檢測、日誌收集、AI分析…等關鍵基本功。