鑑於網路攻擊可能導致企業或組織在金錢、信任和商譽的毀滅性損失，零信任引起了越來越多的關注，被視為新世代網路攻擊及科技化監理架構的新解方。零信任架構不是單一個產品或解決方案，而是一個管理概念，可幫助組織獲得資料處理活動的透明度，識別關鍵資料，並應用適當級別應有的保護性、檢測性和反應性安全措施。了解信任並不能僅僅基於供應商或合作夥伴做出的承諾或用戶接受的政策聲明而得到保證，這一點至關重要。

文：唐雍為

日益複雜且防不勝防的網路攻擊和事件導向且盤根錯節的監管環境，擠壓著企業的網路安全能力到極限，零信任作為一個全新的資訊安全架構，將會帶給企業新的思維轉變以開創新局。在企業與組織間，零信任亦引起了越來越多的關注，被視為新世代網路攻擊及科技化監理架構的新解方，企業或組織透過執行“不信任”未經政策驗證的活動，加強使用網路之連線與授權安全，並帶來遵守資料保護要求之便利。 

鑑於網路攻擊可能導致金錢、信任和商譽的毀滅性損失，企業或組織有加強其資訊安全的內在動機。對特定資料類型提供適當級別的保護，越來越常出現在各類型的監管要求中。這些要求開始提及越來越多技術面規格，旨在希望組織不只是透過制度面措施，更要透過技術面措施來確保資料的機密性、完整性、可用性和隱私。隨著網路威脅增加，及各類型組織持續在資料保護方面表現出力有未逮之樣態，進而使得監管環境和立法思維變得越來越複雜。

根據資誠第23次全球CEO調查，來自於歐洲的CEO們認知到這個挑戰，而且他們也認知到網路安全風險是增長幅度前三大的企業風險威脅，並且認為當政府監管及供應鏈標準變得更加分散與復雜時，將會滋養此風險之擴散與增長。雖然歐盟地區的企業領袖表現出一定程度對於問題的認知，但他們也意識到企業或組織的網路安全能力仍然不足，無法有效保護資料、及時檢測攻擊並能夠對攻擊做出回應。只治標不治本是不夠的，網路安全韌性始於資訊安全架構，它體現並概念化了資訊安全。

網路安全架構決定了如何在整個企業架構中建立技術安全措施，從而協調內部和外部需求。而以零信任為核心的網路安全架構解決了（電子）資料的整個生命週期—從資料生成、使用、傳輸和存儲到歸檔和銷毀—它涵蓋了所有組件，包括物理上或邏輯上的使用者端和服務器端點、資訊系統和業務應用程式、資通訊平台和基礎設施，以及將所有各種資源連接在一起的網路。在傳統的資訊安全方法中，將網路邊界作為安全控制的執行點，一旦過了這一點，大部分資源就可以不受限訪問了（最多受到應用系統之權限控管）。然而，這種外圍執法對於現在的風險情境已經不夠了，因為內部網路上的許多設備都可以且需要存取網際網路，如果設備遭受威脅或是攻擊而變成攻擊者的跳板，攻擊者將無需穿過邊界安全的控制點即可存取公司的網路資源，面對這種新型威脅，將會需要一種新的資訊安全管理的架構：零信任。

（詳全文 請見工總產業雜誌112年10月號）