臺灣資安超前部署

在數位技術日益普及的世界裡，我們都想要不斷去除阻礙各種創新與進步的因素，然而，組織對外有駭客、惡意軟體等網路威脅虎視眈眈，對內有心懷不軌或網路衛生習慣不佳的員工、合作夥伴，滲透手法千變萬化、無孔不入，只有想不到，卻沒有做不到，從而導致大家必須付出更巨大的成本，建構可信賴的工作與生活環境。

而由於數位世界長期面臨信任危機，資安領域開始有專家倡議解決此問題的框架，也就是如今人人耳熟能詳的零信任（Zero Trust），在這股風潮逐漸形成的過程中，我們持續向臺灣IT界介紹這樣的觀念，例如，在2018年7月，我們發布封面故事《零信任！重新定義資訊安全模式》向大家說明，隔年我們用「Never Trust, Always Verify」來詮釋零信任，並對比過去的「trust but verify」，突顯傳統資安存在著「信任先於驗證」的盲點。

後續我們持續報導零信任的發展動態，像是2021年7月發布的封面故事《零信任資安時代來臨》，2022年8月發布《ZTA 101》幫大家整理NIST公布的重要參考標準文件SP 800-207，臺灣也在這一年揭露零信任網路戰略，定調政府零信任架構將分三大階段進行，依序聚焦「身分鑑別」、「設備鑑別」、「信任推斷」，2023年8月底，我們也發布封面故事《拓展零信任應用，臺灣啟動資安採購商機》，報導政府與產業推動身分鑑別的成果，當時已有11家廠商推出的解決方案（8家國產廠商、3家外商），通過政府零信任架構身分鑑別功能符合性驗證，截至今年3月底，又增加兩家國產廠商。

而在另一份政府零信任架構身分與設備鑑別功能符合性驗證通過名單中，也列出兩家國產廠商。

至於信任推斷，數位發展部資通安全研究院已公布政府零信任架構信任推斷功能符合性驗證檢核表，但目前尚未公布功能符合性驗證的廠商。

事實上，信任推斷是更加考驗廠商技術實力與投入發展意願的指標，我們曾經詢問幾家外商，他們對於政府推動的零信任架構都無法提出具體支援的承諾，甚至有些表示要客製而面有難色。

原本我們認為這類型的零信任解決方案，因為廠商的產品與技術無法就緒，可能難以如政府預期的時程開始推動，沒想到在5月舉行的2024臺灣資安大會，我們真的看到有廠商端出這類型解決方案，而且一口氣出現三家，他們都是出身臺灣本土的資安廠商，當中有公司是創立二十多年的老將，有近年來在國際資安市場發光發熱的新秀，有持續耕耘資安技術的電信廠商龍頭。

我們之所以發現這些廠商能提供信任推斷解決方案，純屬意外！

首先是在大會第二天的主題演講，曜祥網技在介紹他們對於零信任的理念與自身提供的產品時，「信任推斷」這項功能赫然出現在他們主打的功能特色當中，演講結束之後，我們向他們確認此功能的開發緣由，他們表示，是依據國家資安院的檢核表進行開發的，以符合法規的要求，而在該公司的展區當中，這套名為「零信任管理系統擴充」的解決方案，也成為主要的展示重點。

第二家我們發現提供信任推斷功能的資安廠商，是這幾年來揚名海外的奧義智慧，他們是目前唯一且連續多次參加MITRE ATT&CK 評測的臺灣本土廠商，在今年臺灣資安大會第二天下午的演講，他們也介紹自行開發的決策控制器／信任推斷模組XCockpit ZeroTrust。

第三家我們注意到具有信任推斷技術的廠商是中華電信，他們在大會第一天下午的演講，介紹他們開發的xTrust零信任網路系統，這套解決方案其實去年就已經在臺灣資安大會亮相，到了今年擴增信任推斷機制。

除了許多臺灣廠商積極布局零信任架構，今年臺灣資安大會期間宣布成立的後量子資安產業聯盟（PQC-CIA），我們也看到已經有臺灣廠商秀出他們的解決方案，例如，資深的電子郵件服務與安全廠商網擎資訊，他們長期發展的Mail2000郵件伺服器部署後量子加密技術，去年8月他們已宣布這項消息。

除了上述廠商，臺灣目前有許多資安公司正在不斷努力實作，積極拓展AI、OT、萬物聯網等各種創新領域的資訊安全保護機制，我們的超前部署不只是公共衛生、當今熱門的AI硬體加速晶片製造等領域，資安產品與產品資安都會是臺灣能夠為世界做出巨大貢獻的領域。

 相關報導