量子计算时代如何包全关键基础设备

针对关键基础设备(CI)最臭名昭著的网络攻打之一是出当初2021年5月，过后殖民管道遭到敲诈软件攻打。此次违规造成管道运营封锁、汽油充足和燃油多少钱飙升。

但这次针对计费系统的攻打并未造成系统封锁。雷同，管道运营商封锁了泵送系统，由于担忧攻打者或者会控制操作技术(OT)，并将公共安保置于风险之中。

该事情说明了石油管道、发电站、电力设备、水处置厂、水坝、港口、公共交通系统等CI网络安保所触及的共同疑问。针对IT的攻打或者会造成数据暴露或业务终止。触及OT的攻打或者造成受伤、疾病，甚至在市区或地域形成更重大的结果。

这就是为什么CI运营商治理OT的模式与典型组织处置IT的模式不同。大少数企业一直更新系统，重点是包全数据。CI运营商部署一次性系统后，宿愿多年内不再更改它们，重点是保养安保。

然而，基于两个要素，特定于ot的方法不再足以包全CI。首先，随着上班技术的数字化，上班技术和消息技术正在相互咨询。其次，量子计算或者很快就会淘汰现有的明码和数据加密战略。

作为回应，CI运营商应该自创IT安保协定的方法，但以OT特定的模式运行它们。特意是，他们须要启动彻底的风险评价，拥抱零信赖安保，并实施微分段来包全CI。

使IT安保顺应OT需求

当IT人员议论反常运转期间的“5个9”或99.999%可用性时，OT专业人员以为是11个9。两组人都经常使用“牢靠性”这个术语，但水平上的差异变成了种类上的差异。

这就是为什么OT经理坚持普渡模型的局部要素，普渡模型是20世纪90年代普渡大学开发的工业控制系统安保框架。普渡模型强调运营、流程、控制和传感器的细分，以包全OT免受网络攻打。OT与IT齐全隔离，它们之间有一个相当于非军事区的隔离区。

普渡模型依然是OT安保的基石。但这还不够，由于OT属性不再真正与IT分别。OT系统依赖于一直裁减的物联网设备网络。他们越来越多地经过远程衔接启动监控。有些与互联网断开衔接，但与企业IT衔接。其他人则与IT断绝，但可以接触互联网。

如今，CI须要一种片面的OT安保方法来顺应传统的IT网络通常，以克制零散的OT包全的缺陷。

增强OT安保大风险评价

增强量子时代的OT安保从风险评价开局。许多企业对其OT系统如何容易遭到攻打，以及这些破绽的潜在结果不足明晰的意识。

CI组织可以应用专为IT安保设计的评价工具，经过经常使用这些工具来识别网络上的一切资源，直至固件级别，并发现安保破绽。请记住，假设评价工具可以在网络上找到资源，那么攻打者也可以。

有效的工具应该为企业提供风险评分。但请记住，该工具或者是为IT而不是OT设计的。企业须要了解该工具如何计算风险评分，而后思考OT要求，以真正了解破绽。如今，CI企业可以依据攻打的或者性、数据的敏理性和基础设备的关键性来确定弥补措施的优先级。

零信赖与暂时身份验证

联邦政府已强迫要求对网络安保采取零信赖方法，NIST等组织也发布了零信赖框架。虽然零信赖涵盖了从身份到数据的网络安保的多个支柱，但其基本思维是“永不信赖，一直验证”。

这象征着恳求访问资源的任何用户或系统的身份验证应该是暂时的。每个实体在每次须要访问时，都应该对每个资源从新启出发份验证。这样，恶意行为者就不可闯入网络并取得对一切内容的实践访问权限。

零信赖取代了以周边为核心的深度进攻安保，这种安保强化了边缘，但使核心容易遭到攻打。它将安保的重点转移到用户身上，而用户通常是基础设备中最软弱的组件。

零信赖与风险评价相吻合，由于它是基于风险的。它为每个须要访问的实体定制访问控制。它十分适宜由边缘越来越多的物联网设备允许的集中式关键义务OT系统。

微分段以增强安保性

OT安保难题的第三个局部是微分段。传统的分段触及防火墙和虚构局域网等阻碍。微分段更为复杂，使企业能够隔到职何用户、运行或设备，而不论它们出如今基础设备中的哪个位置。

微分段基于身份，并假定最小权限访问。例如，开发人员或者被授予对须要更新的系统局部的访问权限，但不可访问基础设备的任何其余局部。

过去，细分须要宽泛的布局和系统更新，或者须要数月才干成功。相比之下，基于软件定义网络的微分段处置方案可以在一两周内推出。机构可以在本地或云端部署，无需改换配件。

控制关键基础设备的OT系统触及共同的安保和安保要求。但它们将越来越多地与IT系统交叉，并在量子计算时代面临新的破绽。经过应用风险评价、零信赖和微分段，OT运营商可以顺应这些应战，同时坚持对CI安保性和延续性的传统关注。