我‧見‧我‧思－何謂零信任？有小管家隨時看着

以疫情期間爲例，不少企業、機構都採遠距作業，但透過網際網路，時常會以內部、外部區分數位資料與資產當無形界線，加上防火牆及各種資安措施，像是設定員工提取資料權限，也等於一種信任機制。

數發部資訊處副處長周智禾曾撰文介紹，如果遇到網路惡意攻擊，拿到密碼或是取得識別證等，就可直接進到企業內部任意取用資料或資產，就像木馬屠城一般。而行動裝置如手機、平板、筆電普及，加上雲端服務，讓驗證界線愈來愈模糊，使用者及資通系統（如員工入口網）IP位址都不只在企業內部，讓相關機制把關變得不容易。

如同大樓有保全，但員工人數衆多，保全通常記不了太多員工長相，只憑識別證或刷卡就可進入，若各樓層也沒有門禁管制，出入又有外來洽公人員，不容易發現具有惡意的人士。

但若員工配戴識別證進入大樓，有小管家跟隨，檢查本人和識別證上照片；進入任何一個地方，都會再次確認身分；查看資料也會確認是否獲得授權；進入機敏區域還會檢查是否攜帶手機、錄影設備及隨身碟等。無論職級高低，都會有小管家跟隨，進行驗證身分、確認授權及檢查隨身物品。

透過層層管控，不斷檢查人事時地物，確認身分、從哪裡來、在什麼時間點、需要什麼資源、進行什麼動作等，最終決定要不要放行，就是零信任概念。

而這個名詞與概念，爲2003年Jericho Forum開始探討「去邊界化」趨勢；2010年，國際研究機構Forrester首席分析師John Kindervag進一步提出了新的資安模式「零信任」。經過約莫十年發展，美國國家標準技術研究院2020年頒佈標準文件「SP 800-207：零信任架構（ZTA）」，成爲各界採用基礎。

臺灣推動的「零信任」，也是參考NIST模型，架構上如員工透過電腦想要存取機關資通系統（RP）時，所有連線都會先經存取閘道，接下來，需使用實體金鑰鑑別身分，電腦則需安裝代理程式，並使用公私鑰鑑別設備；等前面動作完成後，再由決策引擎根據使用者身分鑑別及設備鑑別方式、來源IP、登入時間、設備健康等資料，決定是否允許存取。