財經中心/師瑞德報導
看盤、下單APP已成投資人每日操作工具,也成駭客鎖定目標。證交所號召逾百家業者參與資安說明會,聚焦應用程式安全機制、行為監控與動態防護策略,協助業者建立更嚴密的資安機制。(示意圖/PIXABAY)隨著投資人越來越依賴手機與電腦進行看盤、下單與帳戶查詢,交易行為全面數位化的同時,也暴露在更高的資安風險中。近年來,駭客攻擊手法快速進化,一旦看盤或下單應用程式遭到入侵,不僅可能造成個資外洩、交易指令被竄改,更嚴重者甚至導致資金遭竊或帳戶被凍結,對投資人財產安全構成直接威脅。如何守住這一層應用程式的防線,已成為金融市場穩定與投資信心的關鍵所在。
為強化這一領域的防護力,台灣證券交易所26日上午在台北101大樓36樓會議室舉辦「推動證券商導入金融零信任-應用程式保護」說明會,聚焦於證券商的看盤、下單、交易與內部管理等相關應用程式之安全防護,吸引超過110位業者代表與會,涵蓋金融零信任專責主管及實務承辦人,現場討論熱烈,活動圓滿成功。
台灣證券交易所指出,這次會議之所以聚焦在應用程式,是因為它們正是投資人接觸金融系統的主要入口,也往往是駭客最常攻擊的對象。不論是投資人端的下單APP、看盤軟體,還是券商後台處理訂單與清算的作業系統,都涉及大量敏感資料與資金操作,因此更需嚴密防護。
在零信任架構下,應用程式不再享有「預設信任」的特權,而是將每一次存取行為都視為潛在風險,必須經過驗證、授權與即時分析。會中強調,授權邏輯應以最小權限原則為基礎,針對不同角色與作業屬性設計細緻的存取控制;尤其對特權操作,必須透過獨立授權、即時存取(Just-in-Time Access)與使用者行為分析(UEBA)等技術,防止系統內部權限遭濫用或被外部攻擊者挾持。
為降低開發過程中的風險,證交所建議證券商應自程式開發階段起即導入安全檢測,並在CI/CD自動化部署流程中強化漏洞掃描與修補,避免惡意程式碼進入正式系統環境。同時,說明會也介紹了「執行階段應用程式自我防護(RASP)」機制,透過程式本身即時辨識異常行為並自動阻擋,有效防堵零日攻擊與未知威脅。
會議也分享了國內外的實務經驗,說明如何結合SIEM(安全資訊與事件管理)、SOC(資安營運中心)與SOAR(資安協調自動化回應)等系統,建構出涵蓋偵測、分析與回應三階段的完整防禦體系。證交所提醒,現今駭客攻擊多已結合AI與自動化技術,不僅入侵速度快、滲透層次深,甚至具備長期潛伏與操控能力。面對此類威脅,傳統防火牆與防毒系統早已無法應對,證券商必須導入風險自適應控制,讓系統能根據環境變化自動調整存取規則與安全策略,提升整體靈活度與反應速度。
與會者普遍認為,本次說明會內容實用、觀念清晰,尤其是針對看盤與下單平台的具體保護建議,對第一線系統規劃人員極具參考價值。台灣證交所也承諾,未來將持續辦理類似活動,涵蓋如身分驗證、終端設備防護、網路邊界監控等零信任架構下的不同議題,協助業者逐步建構起更完整的資安防禦模型。
對投資人而言,這類看似「技術性」的措施,其實正是守護交易安全最關鍵的一道防線。當金融機構能在應用程式層面建立起有效、動態且可持續運作的防護機制,就能大幅降低駭客入侵的風險,避免因個資外洩、系統中斷或帳戶被竄改而造成財務損失。投資人也能在一個更安全、更穩定的環境中放心操作,進而強化對市場的信心。
台灣證交所最後強調,金融資安不再只是技術部門的議題,而是整個機構從高層到基層都應共同重視的治理責任。唯有建立跨部門協作、縱向貫穿的零信任文化,才能真正面對新興科技帶來的挑戰,確保市場長期穩健發展,守住每一位投資人的信任與資產安全。
三立新聞網提醒您:
內容僅供參考,投資人於決策時應審慎評估風險,並就投資結果自行負責。
投資一定有風險,基金投資有賺有賠,申購前應詳閱公開說明書。
5 顆 
10 顆 
15 顆 
20 顆