量子就绪，刻不容缓

　　虽然具备密码破解能力的量子计算机可能还需要数年才会到来，但它对数据安全的威胁已经迫在眉睫。“先收割，后解密”的攻击模式已经成为现实——攻击者现在就开始窃取敏感数据和机密数据，等量子计算机问世后再进行解密。正因如此，企业必须立刻着手实现加密数据的量子安全，以确保即使量子计算机的时代到来，被窃取的数据依然安全。为了实现这一目标，安全领导者需要清晰、可操作的指导，以选择既能保护企业当下安全，又能确保未来持续的量子安全解决方案。然而，对于企业级解决方案而言，要真正实现量子安全，必须具备四项核心能力：对性能影响最小化、强制性加密敏捷性、遵循标准以及增强的灵活性。

　　对性能影响最小化不牺牲网络体验

　　量子就绪不能以牺牲网络性能为代价。企业网络，特别是像SD-WAN这样的现代架构，都要求高吞吐量和超低延迟。后量子密码学 (PQC) 实现方案的主要挑战在于量子安全密钥的尺寸，这可能会显著拖慢身份验证协议的速度。有效的量子安全解决方案必须集成高性能处理能力，以确保量子安全加密不会影响网络性能。

　　硬件加速：启用PQC可能会影响大多数供应商设备的VPN新建速率。Fortinet已获得专利的NP7 ASIC专为IPsec VPN处理卸载而设计，这些定制的处理器可以最大限度地减少量子安全防护对性能的影响，同时保持现代网络所需的高吞吐量和低延迟，从而提供面向未来的安全。

　　加密敏捷性通过混合模式确保无缝过渡

　　实现量子就绪的最大障碍是其迁移规划。如果期望通过简单的开关切换，就让全新的PQC算法在所有设备和平台上完美运行，这显然是不切实际的。Fortinet混合模式提供了一条可控的量子安全采用路径。这可以带来双重价值：

　　分层保护：为每个会话构建双层防护网。如果PQC算法在过渡期间失效，经典加密密钥也能保护会话安全。

　　无缝迁移：混合模式还允许企业在不牺牲现有安全的情况下，在真实环境中安全地测试PQC的性能和可靠性，从而分阶段、可控地向完全量子安全状态迁移。

　　有效的解决方案必须能够无缝且自动地管理这种双密钥交换，确保加密敏捷性成为一项核心的、不可妥协的功能。

　　遵循标准信任的基石

　　在网络安全领域，信任建立在可验证的标准之上。在迈向后量子世界时，依赖专有或未经审查的加密方法将引入无法承受的风险。有效的量子安全解决方案必须严格遵守国家标准与技术研究院 (NIST) 正式确定的算法。实施NIST标准可以保证互操作性和合规性，也确保安全投资建立在当前最坚实的数学基础之上。偏离标准化算法的解决方案会引入不必要的风险，甚至可能产生新的漏洞。因此，在选择量子安全解决方案时，务必确保使用的是经过批准的PQC算法，如当前基于模块格的密钥封装机制标准 (ML-KEM)，以及汉明准循环(HQC)等NIST未来将批准的其他算法。除了用于多供应商通信的标准PQC算法之外，Fortinet还为FortiGate之间的通信提供预标准PQC算法，从而为企业提供额外的灵活性。

　　增强的灵活性选择的力量

　　每个企业都面临着不同的安全挑战。因此，理想的解决方案必须为安全团队提供他们所需的灵活性，使他们能够针对特定任务部署更合适的工具，而无需拆除和更换基础现有的设施。当前可用的主流量子安全解决方案有两种：基于数学的后量子密码学(PQC) 和基于物理的量子密钥分发 (QKD)。

　　PQC：PQC是一种软件解决方案，它非常适合在云、数据中心和终端等多样化环境中进行大规模的、高性价比的部署。它还可以集成到现有的设备、防火墙和VPN网关中，以保护动态流量和数字身份。ML-KEM是当前标准化的PQC算法。

　　QKD：QKD是一种高度专业化的、依赖硬件的技术，其安全性基于量子物理原理。不过，它需要通过标准化的ETSI GS QKD 014接口，与主流的QKD供应商集成，以确保互操作性和可管理性。QKD适用于高保障、关键任务链路，例如政府或金融骨干网络的保护，这些场景要求最高级别的安全保障。

　　一个综合平台如果能同时提供这两种选项，安全团队就能够选择最有效、最强健的防御策略，以满足其安全态势要求。

　　立即行动布局量子安全战略

　　要想保护企业免受各种基于量子的威胁，需要一种主动的、可扩展的战略，兼顾实时流量、长周期数据、运营连续性以及多供应商环境。Fortinet将量子就绪视为一种平台能力，而非单一功能。Fortinet正在全线安全产品组合中嵌入NIST标准化PQC，为高保障链路启用QKD集成，并支持强制性的混合模式，以便随着PQC的广泛采用，为客户提供安全的过渡路径。结合硬件加速的性能优势和一致性管理，这些能力使企业能够从现在开始保护自己数据，并为未来的后量子格局做好充分准备。

　　资料来源于网络，详情请点击：企业级下一代防火墙（https://www.fortinet.com/cn/products/next-generation-firewall）