我国导入零信任架构策略3大核心机制：身分鉴别、设备鉴别、信任推断

台湾也不落人后，主要参考NIST SP800-207，以及身分与存取管理的SP800-63，分为身分鉴别、设备鉴别、信任推断。吴启文表示，考虑到整个组织推动较为困难，因此选择以内核资通信系统导入，并以基准（baseline）的概念推动，未来可以从身分鉴别、设备鉴别、信任推断，逐渐扩大至整个组织。

依据NIST SP800-207，采用资源门户的部署方式（Resource Portal-Based Deployment），零信任架构分为内核组件、支持组件，内核组件控制资源的存取，负责鉴别、授权、管理连接，支持组件则是支持存取决策的周边系统，例如身分管理、活动日志、威胁情资、数据存取政策等等。

我国将零信任分为3大核心机制，身分鉴别、设备鉴别、信任推断。其中的身分鉴别采用多因子身分鉴别（例如FIDO无密码验证）与鉴别声明；设备鉴别则是鉴别使用设备、设备健康管理；信任推断则是综合用户的身分、设备及行为各方面，作为信任推断的依据。

依照NIST SP800-63-3，该标准创建的身分鉴别机制，将身分鉴的严谨度定义为身分保证等级（IAL）、鉴别保证等级（AAL）、联邦保护等级（FAL），每个身分鉴别等级的严谨程度又分为3个1、2、3等级（数字愈高，等级愈高），我国采用基准概念，政府公部门推动零信任架构，至少需满足IAL2、AAL3及FAL2（下图）。

在身分鉴别方面，采无密码双因子，例如FIDO2鉴别用户的身分，至于由身分鉴别者（Identity Party，IdP）提供给服务提供者（Relying Party，RP）的用户身分鉴别声明，需采用签章或加密技术，确保RP可解密及验证鉴别声明，确保声明的机密性及完整性。

在设备鉴别方面，采用公开密钥技术作为设备鉴别，由设备上的TPM安全芯片或代理程序产生密钥凭证，完成设备注册及鉴别；同时也持续监控设备的健康状态，依据设备健康状态计算对该设备的健康信任等级。

吴启文指出，设备健康状态包含操作系统更新、杀毒更新、应用软件更新、组态合规等，根据不同的状态评分，计算使用设备的健康信任等级。

至于信任推断方面，基于信任推断来决定存取权限，信任推断机制可能制定规则、分数，或是混合规则与分数。以分数为例，依使用情境计算每次存取的信任分数，综合参考身分鉴别、设备鉴别、设备健康、IP位址、登录时间，还有外部情资如CVSS评分、EPSS漏洞利用评分等等，根据上述数据计算信任等级，再依权重、信任等级计算出信任分数，依不同的信任分数允许或是拒绝存取。

吴启文表示，我国推动零信任虽然以身分鉴别、设备鉴别、信任推断为3大核心，分别对应国防部DOD零信任架构7大支柱中的「用户」、「设备」、「可视化与分析」，但是在我国的零信任系统架构中，也对应DOD的「应用程序与工作负载」、「数据」、「自动化与协作」、「网络与环境」4个支柱。此外，「应用程序与工作负载」、「数据安全」则回归我国的资通安全管理法要求。

与DOD的零信任架构45项能力相比，他认为，我国的零信任架构并未详细定义相关技术，例如数据外泄防护、软件定义网络、手机设备管理、自动动态规则，这些在未来可成为我国精进方向。另外，如以CISA零信任成熟度模型来看，我国的零信任架构要求，在CISA的「身分」、「设备」、「网络」3个支柱方面，我国的规定可达到成熟度模型中的进阶阶段（Adavanced），至于「应用程序与工作负载」、「数据」2个支柱则达到起始阶段（Initial）大部分能力，CISA的部分成熟度能力，例如应用程序先测试再部署、数据分类分别，属于管理面的要求，可由资通安全管理法来补足。

今年3月中接受政府零信任架构信任推断产品验证

配合政府机关推动零信任架构，从2022年开始接受政府零信任架构身分鉴别、设备鉴别2项产品功能符合性与集成验证服务，2024年3月中开始接受信任推断产品功能符合性验证申请。厂商送验分为业者依检核表自评、业者依检核表展示功能、业者至资安院验测3个阶段。截至5月15日为止，已有13项产品通过身分鉴别的，2项通过设备鉴别。

吴启文表示，为促使厂商彼此合作集成，鼓励业者申请身分鉴别、身分鉴别+设备鉴别、身分鉴别+设备鉴别+信任推断等验证模式。对于业者反映验证作业缓慢的问题，未来资安院将与学校合作，增加受理的能量。另外，也希望厂商送验产品提交资安检测报告的必要性，因为在检测时发现分部产品存在漏洞，希望增加产品本身的资安检测。

去年先以资安责任A级机关优先导入身分鉴别

我国政府零信任架构推动，依照「第六期国家资通安全发展方案」（2021年至2024年）中「善用智能前瞻科技，主动抵御潜在威胁」推动策略，订定在2021年完成零信任架构、概念性验证及部署规画，从2022年到2024年遴选2个机关，逐年导入身分鉴别、设备鉴别、信任推断。至于遴选机关的标准，以机关的帐号集中度高、资通信向上集中度高、外网存取需求高、机关配合意愿高为条件，数位发展部扮演领头羊的角色，2022年成立时即在建置资通信系统时导入零信任网络机制。

目前为优先推动A级机关导入零信任架构，2023年将身分鉴别导入机关，特别是以导入T-Road的机关为优先，去年数位部开始辅导22个A级机关导入身分鉴别；2023年选定2个机关试行导入设备鉴别。

政府导入零信任架构，首先进行资源规画，因为以资通信系统导入为主，先盘点各机关的核心资通信系统，盘点不同系统的身分鉴别方式、连接方式，使用的身分鉴别服务器、操作系统、开发编程语言等，以进一步制定导入优先级。另外，也针对使用实体安全密钥或手机App，评估2种FIDO身分鉴别方式的优缺点。

身分鉴别导入的过程中，机关需要3台主机或VM，用以部署决策引擎、存取闸道、FIDO2服务器，并且和机关内现有的身分鉴别服务器介接，针对使用帐号完成一致性测试，接下来是与资通信系统介接，包括网络组态调整。2023年更进一步试行身分鉴别与设备鉴别的集成流程，为保有弹性，对于身分鉴别、设备鉴别两者的先后运行顺序没有限制。

经费及人力影响机关导入意愿，加强不同业者产品兼容性及集成

经过一两年的试行、导入，吴启文也综整政府机关试行零信任架构的几个挑战，例如受限于经费及人力，影响机关导入的意愿，这部分数位发展部已编列预算，协助资安责任的A级机关优先导入零信任架构的身分鉴别机制。另外，各机关内资通信系统相当多元，可能委托不同厂商开发，因此在身分鉴别机制介接资通信系统，面临调整成本及厂商配合意愿。

至于身分鉴别机制所使用的FIDO2身分验证，目前包括实体安全密钥及手机App，其中实体安全密钥，相较于手机，容易遗失，需要加强资产管理。

另一项挑战是，零信任产品后续兼容性问题，由于我国推动零信任架构的身分鉴别、设备鉴别、信任推断3个内核机制，可能采用不同业者的产品，后续导入必需考量到解决兼容性及集成问题，目前资安院已协调通过验证的业者，必需提供API及相关文档，供其他业者的产品克服集成的问题。

经过近一两年机关试行导入搜集回馈意见，例如支持更多元的身分鉴别方式，以支持实体或行动自然人凭证；另外，也需优化设备鉴别注册流程，以及将身分鉴别时介接的资通信系统扩大至VDI行动办公室。此外，更换厂商的鉴别内核机制，机关希望有更大的弹性集成，并且相关日志可集成至Log server，并且能输出报表。吴启文表示，这些意见可作为未来精进推动零信任架构的参考。

吴启文表示，数位部从2023年开始推动A级机关导入零信任架构，预定在2024年完成全部A级机关导入身分鉴别机制。目前资安院已公告信任推断的验证检核表，供厂商产品送验参考，2024年计划由2个机关导入信任推断机制，作为未来推动政策参考，资安院也会持续鼓励厂商投入零信任相关产品开发，并纳入共同供应契约，为政府导入零信任架构作好准备。