【Akamai專家教路】保障關鍵基礎設施新例應對策略　採用零信任架構四大優點

影響社會經濟、民生及公共安全的《保障關鍵基礎設施（電腦系統）條例草案》，料最快一年多後生效。今次小編請來 Akamai 安全專家 Jocelyn Chan，深入剖析相關營運者面對的四項合規挑戰、建議三大策略，以及採用零信任（Zero Trust）網絡架構的四項優點，以加強保護機構或企業的敏感數據與網絡系統，符合將來的法規要求。

《保障關鍵基礎設施（電腦系統）條例草案》正被討論得如火如荼，並或於 2026 年生效，八大產業相關的機構和企業營運者，不但有責任保護好關鍵基礎設施安全，為核心電腦系統制定和實施安全計劃，將來更或要進行定期保安風險評估、獨立電腦系統保安審計、參加電腦系統安全演習等等，究竟應如何做好網絡安全規劃？

四大合規挑戰

Akamai 東盟及大中華地區企業安全專家 Jocelyn Chan 解釋，條例目的是最大限度減少基本服務因網絡攻擊而中斷或受損的可能性。

不過，營運者要遵守條例要求，面對四大挑戰。首先，營運者未必能確定「甚麼」是至關重要的，即難以確定其系統是否屬於新例的定義範圍；而且要做定期風險評估、提交事件報告等要求，成本亦高昂。

若真的發生事故，營運者要回應勒索攻擊等事件，同時需遵守法規，也有一定難度和複雜性；最後是第三方供應鏈風險，因許多關鍵基礎設施依賴第三方供應商提供服務，要確保這些本身並無相同安全標準的供應商，去遵守法案嚴格的安全要求，也屬一項持續的挑戰。

Akamai倡做好「3A」策略

Jocelyn 建議營運者要做好三大方面措施，包括 Anticipate（預測）、Act（行動），以及Adapt（適應）策略，以應對相關新例。

她解釋，「預測」方面涉及主動識別和評估組織 IT 基礎架構、系統和資料的潛在網絡威脅、漏洞和風險，未雨綢繆，而不是當發生事故後才行動。營運者要專注主動風險管理、威脅情報、漏洞管理和準備活動，以增強偵測和回應網絡威脅的能力。

「行動」方面則為及時偵測、識別並減輕網絡威脅及安全事件的影響，旨在提高有效偵測和回應網絡威脅的能力，減少攻擊者的停留時間，減輕潛在損害。「適應」方面則涉及不斷改進網絡安全能力，以在威脅事故中保持網絡韌性。

要提高網絡韌性（Cyber Resilience），營運者不單要管理好用戶、資產、基建系統及應用四大範疇，還要檢視清楚數據的南北向流量及東西向流量，更理想做法是要採用零信任（Zero Trust）網絡架構，結合網絡韌性，以最大限度地減少攻擊面，並採用 Micro-Segmentation 技術，將網絡劃分為更小且相互隔離的區域，來提高安全性。

採用零信任措施加強保護

Jocelyn 指出，零信任措施有四大優勢可以保護關鍵基礎設施，第一是可以提升安全性和增加可見性，減少攻擊面並限制威脅的傳播；而且嚴格執行存取策略，可確保敏感系統保持隔離，即使基礎設施某一部分遭受威脅，也可防止攻擊者存取其他部分。

此外，許多關鍵基礎設施環境使用缺乏內建安全功能的舊系統，零信任措施就可以提供外部保護層，而無需昂貴的升級；最後，透過提供清晰的審計追蹤，確保只有授權者才能存取關鍵資源，以應對未來的監管要求。

Akamai 於 2024 年推出新一代零信任平台 Akamai Guardicore Platform，當中 Guardicore Access 解決方案，能為遙距辦公人士提供精確的存取權限而無阻工作；Guardicore Segmentation則支援多雲、混合雲等不同運作環境，其分段存取控制能減少內部攻擊面，並阻止惡意攻擊横向移動，加強保護企業的敏感數據與網絡系統，也是營運者面對新例的有效應對方案。

如有興趣了解更多 Akamai 的 Zero Trust 方案，
請瀏覽：https://www.akamai.com/solutions/security/zero-trust-security
或聯絡：+852 3001 3148