強化資安防護 證交所要券商落實5措施

（中央社記者潘智義台北9日電）台灣證券交易所今天宣布，已要求證券商使用自行開發或資訊業者提供的網路下單系統，於客戶登入帳戶及電子憑證下載時，應落實執行5項相關控管措施。

證交所透過新聞稿轉述金融監督管理委員會主委黃天牧日前於會議中指出，由於近年來國人已習慣廣泛使用網路購物，參加各種網路社群，在網路上大量暴露自己的各種個資。

黃天牧表示，駭客利用人工智慧及大數據等新興科技可以到網路上廣泛蒐集個資，進而取得大量帳號及密碼，就可以利用這些帳號密碼對證券商進行撞庫攻擊及偽冒下單等行為。

證交所要求證券商應落實5項措施，包括第一、客戶網路下單登入時，應採雙因子，例如下單憑證、裝置綁定、OTP、生物辨識等認證防護機制。

第二、強化客戶申請或更新憑證機制，應增加與登入雙因子的不同因子，例如OTP、SIM憑證的驗證機制，避免非本人取得憑證。

第三、客戶應使用優質密碼設定進行控管，並確實執行密碼輸入錯誤次數達一定次數時，應予中斷連線的控管機制。

第四、應注意客戶帳戶異常登入情形，即時了解登入異常原因，避免遭他人非法使用。

第五、檢視各項防護措施，防護力不足應即修改系統，若無法即刻修改，應暫停該項服務或改採其他確認是客戶本人的驗證機制。

證交所強調，證券商除應落實相關控管措施外，電子下單比重較高的大型證券商並應建置入侵偵測與警示系統（IPS）、網頁應用程式防火牆（WAF）及資安事件威脅偵測管理平台（SIEM）等網路資安防禦設備，以強化整體資安防禦，避免駭客入侵風險。（編輯：趙蔚蘭）1110209

本網站之文字、圖片及影音，非經授權，不得轉載、公開播送或公開傳輸及利用。