2025年8月26日，台灣證券交易所（證交所）在台北101大樓舉辦了一場重磅的資安活動——「推動證券商導入金融零信任-應用程式保護」說明會。這場會議吸引了超過 110 家證券商的資安主管與專責人員到場，重點就是希望透過「零信任」（Zero Trust）的架構，提升整個金融市場的安全韌性，避免駭客趁虛而入。

相關新聞: 證交所舉辦零信任應用程式保護說明會 百餘家證券商參與熱烈

那麼，問題來了：什麼是零信任？為什麼證交所要在這個時間點推動？對一般投資人、甚至對我們日常的金融安全有什麼影響？

接下來來毅數位將會用白話文的方式帶你一步步了解。即使你對資安或技術名詞完全不熟，也能清楚知道這場活動的重要性。

一、證交所推動證券商導入「零信任」

1. 活動背景

台灣證交所在 2025 年 8 月 26 日上午，於信義區 101 大樓 36 樓舉辦了「推動證券商導入金融零信任-應用程式保護」的說明會。這並不是一場單純的研討會，而是由官方主動發起的政策推動，要求金融體系，尤其是證券商，開始採取新一代的資安防護。

據報導，現場超過 110 家證券商代表出席，顯示業界對這項政策高度關注。

2. 核心精神：應用程式保護

證交所強調，「應用程式」是數位基礎設施的入口。想像一下，你的股票交易平台、網銀 app，或是後台系統，這些都是「應用程式」。如果這些應用程式被入侵，就等於把金庫的大門打開。

因此，零信任的其中一個重要支柱，就是 保護應用程式本身。證交所要求證券商不再僅僅依靠「帳號密碼」或「防火牆」這種傳統方式，而是要導入一系列更精密的安全機制。

二、什麼是「零信任」？為什麼現在要推？

對技術小白來說，「零信任」聽起來好像很高深，但其實核心概念很簡單：

• 不要隨便相信任何人或任何設備。
• 每一次登入、每一次操作，都要檢查是不是安全的。

1. 傳統資安 vs. 零信任

過去的資安防護，就像是「公司大門有警衛」。只要你有員工證（帳號密碼），進去之後，裡面基本上都不會再有人懷疑你。這種方式在駭客手法越來越進步的今天，非常危險。

零信任則不一樣，它的精神是「不管你在內部還是外部，我都要檢查」。換句話說，哪怕你是公司的員工，用公司配的電腦，在公司內網登入，系統也不會自動相信你。

2. 為什麼證交所要推零信任？

• 駭客攻擊日益複雜：金融市場是駭客最愛攻擊的目標之一。只要入侵一次，就可能造成鉅額損失。
• 傳統防禦已不足：單純的防火牆或密碼保護，已經無法應付像是社交工程攻擊或特權帳號濫用。
• 國際法規趨勢：美國、歐盟等金融以及政府機構近年都強調零信任架構，台灣近年也在跟上腳步，以提升整體市場信任度和資安防禦力。

想更深入了解零信任? 點此閱讀<零信任架構是什麼？企業資安為何必須導入 Zero Trust 策略？【2025 最新解析】>

三、零信任有哪些重點技術？

證交所在這次會議上點出了幾個重點技術。以下來毅數位會用「白話解釋」來幫你理解：

1. 最小授權原則（Least Privilege）

   👉 意思是「給員工或使用者最少的權限就好」。

   舉例：如果你只是客服，就不需要能刪掉客戶的交易紀錄。

2. 即時存取（Just-in-Time Access）

   👉 權限不是永遠都有，而是「需要用的時候才給」。

   舉例：某工程師要修系統，系統只會在他操作時開放權限，完成後馬上收回。

3. 使用者行為分析（UEBA）

   👉 系統會觀察使用者的行為模式，如果你平常都在白天登入，突然半夜在海外登入，就會發出警示。

4. 程式安全檢測與 CI/CD 自動化部署

   👉 確保軟體在開發、更新過程中沒有漏洞，避免駭客趁新版本更新時植入惡意程式。

5. RASP（執行階段應用程式自我防護）

   👉 RASP 是專為即時偵測惡意行為而設計，就像給應用程式裝了一個「自我防禦系統」，如果有人嘗試入侵，它會立即阻擋。

6. 風險自適應控制

   👉 系統會根據風險等級，自動調整安全檢查的強度。這種方式能避免「一刀切」的過度麻煩，又能確保在可疑情境下加強防護。

   舉例來說：你在平常的環境（例如台北的家中）登入交易系統，系統就只要求輸入一次 OTP 驗證碼。但如果系統偵測到你突然在海外或深夜登入，就會自動升級驗證，例如要求人臉辨識、更多身分確認。

四、資安鐵三角：SIEM、SOC、SOAR

在這次會議中，證交所也提醒金融業者，不能只靠單一的零信任工具，而要把它與其他資安系統結合。三個關鍵名詞是 SIEM、SOC、SOAR。

1. SIEM（Security Information and Event Management, 安全資訊與事件管理）

簡單說，它就是一個「監控大腦」，會把各種安全事件（例如異常登入、可疑操作）集中起來，幫助分析。

2. SOC（Security Operation Center, 資安監控中心）

這是由人力與系統組成的監控單位，24 小時盯著各種資安事件。就像金融市場的「控制塔」。

3. SOAR（Security Orchestration, Automation and Response, 資安協作自動化應變）

名字雖然聽起來很長，但其實就是讓系統能 自動反應。

例如，一旦 SIEM 偵測到駭客入侵，SOAR 可以馬上幫忙封鎖帳號或 IP，而不是還要等人工處理。

當這三者與「零信任」結合，就能形成更完整的防護網，讓駭客更難得逞。

五、這件事和投資人有什麼關係？

看到這裡，你可能會想：

「這些技術聽起來都很專業，和我這個小投資人有什麼關係？」

其實，關係非常大。因為這些安全措施最終保護的，就是 你的帳號、你的股票、你的金錢。

1. 避免帳號被盜用

零信任可以防止駭客冒用你的身份或是員工的身分登入。如果有人偷到你的密碼，但行為模式不符（例如從海外登入），系統就會阻擋。如果有駭客試圖用員工的帳號取得你的資料，系統也能及時阻止。

2. 減少投資平台當機風險

駭客有時候會對金融系統發動大規模攻擊（像是 DDoS），導致交易平台無法使用。零信任加上 SOC，可以更快偵測並反應，避免市場混亂。

3. 提升金融市場信任度

如果一個市場總是出現資安事故，投資人信心就會下降。證交所推動零信任，其實是為了讓台灣金融市場更「可靠」，也能吸引更多國際資金進來。

Keypasco ZTNA

「Keypasco ZTNA」是一款基於零信任架構的資安解決方案，該產品參考了美國NIST、CISA標準以及台灣政府的零信任技術架構，通過國家資通安全研究院驗證，透過身分鑑別、裝置鑑別和信任推斷技術致力於幫助各類企業和公私部門提供全面而強大的資安防護。

• 身分鑑別: 提供多因素身分驗證，及FIDO U2F、FIDO2解決方案。
• 裝置鑑別: 掃描設備特徵與軟體訊息，並儲存於Keypasco伺服器進行設備認證。
• 信任推斷: 透過人工智慧分析行為，持續評估風險並觸發新的驗證。

Keypasco 符合各國法規與實務需求，目前已導入國內外政府機關、金融服務、醫療院所、智慧建築、高科技等產業，我們將持續協助企業強化資安合規能力，滿足各種場域的需求。

想要導入零信任卻不知道從何著手?

👉 點此聯絡專業人員了解更多