上個月初,行政院數位發展部部長唐鳳在接受中央社專訪時指出,政府已限制公部門不能下載與使用有危害國家資通安全疑慮的軟硬體,並強調,面對各種可能的資安威脅,最好採取「零信任」的方式來因應。由此可知,「零信任」的安全性架構將會成為無論政府或民間、在網路安全防護機制下的一種準則。相較於民間企業多數是以自身功能需求而建立的零信任架構,較難形成統一規格;對於政府機關來說,統一驗證功能對各級政府與單位在建置零信任環境的需求下便成為重要的一環,能讓各級承辦單位與人員具有建置與驗收這項新功能的標準。也因此,前身為技服中心的行政院數位發展部國家資通安全研究院(簡稱資安院,以下同)訂定了一套零信任網路身分鑑別功能符合性驗證,並開放廠商進行驗證,讓國內具有零信任網路身分鑑別能力的廠商,可以藉由這套驗證來確認自身產品是否符合政府對於零信任環境的需求與規範。而來毅數位科技的「Keypasco多因素身分認證解決方案」在2022年正式通過了這項驗證,同時也成功導入中央政府機關,成為實際運行的零信任多因素身分認證系統。
零信任概念在2010年被提出之後,十多年來持續演進發展、不斷變化,美國國家標準與技術局(National Institute of Standards and Technology,簡稱 NIST)和 Forrester、IDC、ESG 等研究機構,都對零信任框架的基本元素提出了他們的定義。而資安院的零信任驗證,也參考了NIST的零信任架構,並同時結合向上集中之防護需求,採取資源門戶之部署方式(Resource Portal-Based Deployment),其中包含了身分鑑別、設備鑑別及信任推斷等3大核心機制。資安院在本階段開放的是身分鑑別功能驗證,來毅數位科技在通過之後,未來也將持續進行另外兩個項目的驗證,以通過政府的零信任網路架構驗證,達成建置完整的零信任網路環境能力。
「零信任」可以說是近來頗受重視的資安話題,但許多人即使知道零信任是什麼,卻也很難有一個清楚的輪廓並真正了解零信任架構的運作或部署模式。來毅數位科技這次參與資安院的零信任網路身分鑑別功能符合性驗證,已經經由建置的經驗整理出了一套可以符合無論政府機關或企業組織的零信任身分認證部署模式,在通過資安院驗證並且導入中央政府機關實際使用後,也已經證明了這套部署模式的可行性,在面對企業客戶的零信任網路環境需求時,來毅數位科技已經可以完整建構出符合安全需求以及建置技術的國家級零信任身分認證解決方案,可以協助企業用戶在短時間內建置部署零信任網路架構,這是來毅數位科技參與這次驗證的另一項重要收穫。來毅數位科技在身分認證領域已有超過30年的經驗,並且研發出具備多項國際專利技術的Keypasco多因素身分認證解決方案,在MFA領域上,已經位於技術的最前沿,也因此,Keypasco的銷售包含了美國、歐洲、亞洲等多國客戶,累積超過1000萬的使用者,是一套成熟可靠的身分驗證系統。而在資安環境快速變化與應變時間縮短的雙重挑戰下,來毅數位科技的研發與快速解決問題的能力也將會是其立足資安市場最有力的武器。