GoTrust 實體金鑰與 MFA，捍衛第一道資安防線

美商動信安全（GoTrust）研發副總經理李正隆，則分享如何善用實體金鑰與多因子驗證來守護企業應用。李正隆強調，不管談到資安治理或維運，都經常提及一個共通要素、便是身分認證（或稱身分鑑別），係因許多網路攻擊皆以「身分」為起始點。

GoTrust 秉持「讓企業沒有非法的登入、讓員工沒有惱人的密碼」使命，在零信任框架下致力發展完善的身分鑑別方案，要求權杖（Credential）持有人接受再一次驗證，而非直接進行存取。換言之，GoTrust 站第一道防線，在所有網路連線至資訊系統時，要求連線所有人須證明其身分，連同持有的裝置亦需獲得核可。

• 首先，GoTrust 依據行政院資安院提出的「零信任架構身鑑別功能」規範，搭配夥伴 Array 的助力，於零信任架構中間層提供存取閘道，要求使用者只能藉此存取內部伺服器。

• 其次，GoTrust 提供 GoTrust ID Server 身分認證系統，不僅支援 SSO、MFA 和免密碼登入等機制，也透過各式 Adapter 協助使用者串接 ERP、VPN、VDI、M365 等不同服務。

• 再者，GoTrust 為使用者提供生物鑑別器，且包含手機 App、USB 實體金鑰等不同形式，如 GoTrust Idem Key 便是全球第一個取得 IP68 防水防塵及 FIDO2 L2安全級別的安全金鑰。

鼎新提倡 PDCA 運作架構，強化企業資安治理

鼎新電腦數位科技運營中心資安產品組副理林崇裕，則引述 Delinea 針對亞太區2,000 餘家企業資安決策者所做的調查，發現多數企業未將資安視為業務策略的一環，僅流於頭痛醫頭、腳痛醫腳，缺乏從計畫段、執行段到稽核段等完整PDCA 治理運作。

深究資安治理概念，應涵蓋策略、管理、技術三大關鍵要素。所謂策略，意指經營決策階層須支持做好資安；至於管理，意指制定並落實管理程序；有關技術，則是導入網路段、端點段、人員段 ⋯ 等相關防禦機制。

而資安治理的執行要領為 PDCA，先建立組織及政策，接著展開合規及法遵盤點、風險評估與管理、教育訓練、技術性措施，藉由定期稽查來確認資安治理架構是否如常運作，適時檢討與修正缺失、尋求精進。