申論題

在高度依賴網路及資訊的時代，駭客正虎視眈眈入侵個人電腦。如 何防止國家及民眾資料外洩及網路犯罪，已是攸關國家安全的議題。

傳統的網路安全模型建立在「信任」的基礎上，使用防火牆、身分驗 證、加密技術和虛擬私有網路，防護內部網路的安全。但是防護邊界的 作法，無法應付來自內部的威脅和進階持續的入侵，因此「零信任網路 安全架構」登場。從「網路中心」走向「使用者身分中心」 ，以「最小存 取權限」為手段，重建安全的網路架構。

在此架構下，員工僅能存取其工作所需的資料。這是因為許多資料 外洩案件並非防禦及入侵偵測系統失效，而與電腦使用者的行為及資安 素養有關。例如，有些人為免費取得某些軟體，卻因操作錯誤、軟體設計 的惡意或不良，讓電腦裡的資料對全球使用者共享了。為了降低被駭的 風險，除了養成勿逛不安全的網站、勿開啟不明郵件、避免電腦 24 小時 不關機等習慣，持續的教育訓練極為必要。

資訊安全不只可以提升機構的信用與聲譽，維持業務連續性，也符 合法律要求。不過，過多因素驗證的資安措施，常影響使用體驗，複雜的 密碼容易忘，另記密碼也造成安全漏洞。其次，越強大的安全技術成本 越高昂，管理者要配置大量資源預防攻擊，還是只在發生事件後應對？ 機構為了提升資安對員工與用戶進行監控，可能侵犯個人隱私，引發道 德與法律爭議。而開放程式共用或允許員工使用個人設備辦公，雖能提 升創新和工作效率，卻也會增加資訊外洩的風險。因此，如何進行彈性 且合宜的資安管理經常是考驗。 請回答以下問題：

(一)根據上文，從傳統網路安全模型到零信任網路安全架構，其關鍵訴求 與做法是什麼？為何更加周延？文長限 350 字。（20 分）