Purdue-modellen

Hvad er Purdue-modellen?  

Purdue-modellen er en del af Purdue Enterprise Reference Architecture (PERA) og blev udviklet til at modellere og visualisere flows for OT-systemer med netværksforbindelse. Modellen blev introduceret i 1992 af Theodore J. Williams fra Purdue University's konsortium.

Modellen anbefaler en opdeling i 5 lag/zoner, men i moderne implementeringer tilpasses modellen ved at tilføje et lag som en sikkerhedsbuffer mellem OT og IT, der ofte kaldes DMZ og/eller lag 3.5.

Denne tilpassede model kan nemmest visualiseres som vist nedenfor.

Figur A: Forenklet visualisering af den tilpassede Purdue-model.  

Purdue Lag/Zone 0

Zone 0 består af sensorer, aktuatorer, motorer og andre komponenter, der bruges til at styre og/eller måle processer fysisk. Disse kombineres ofte for at skabe komplette kæder til automatiseret produktion med transportbånd og robotter. Kommunikationen sker typisk ved hjælp af tilpassede protokoller, enten direkte tilsluttet PLC/RTU eller gennem netværksforbindelser.

Purdue Lager/Zone 1

Zone 1 indeholder intelligensen, der styrer enhederne i Zone 0, hvor disse enheder typisk falder under en af de følgende kategorier:

• Programmable logic controllers (PLC) bruger inputdata til at udføre enhedsstyring. Inputdata kan enten være målinger fra enheder i Lag 0 eller input fra systemer i Lag 2.
• Remote terminal units (RTU) fungerer primært som en forbindelse mellem enheder i Zone 0 og Zone 2 og indeholder ikke nogen styringslogik.

Purdue Lag/Zone 2 

Zone 2 indeholder mere traditionelt IT-udstyr, der er tilpasset styring af processer. Historisk set har disse systemer været specialbygget fra bunden til deres respektive formål. De primære kategorier af systemer er:

• Supervisor Control and Data Acquisition (SCADA) er systemer, der overvåger og styrer fysiske processer, enten lokalt eller via fjernforbindelse. De samler ofte data, der sendes til langtidsopbevaring.
• Human-machine interface (HMI) bruges primært til mere simpel styring og overvågning. Det er tilsluttet blandt andet PLC'er.

Purdue Lag/Zone 3 

Zone 3 indeholder funktioner til kontrol og historik, disse er ofte primært:

• Engineering Workstation (EWS) er en computer, der er dedikeret til at oprette forbindelse til enheder i zone 0, 1 og 2
• Historian, aggregerer historiske data for den operationelle proces og bruges til at analysere historiske begivenheder.

Purdue Lag/Zone 3.5 

Zone 3.5 indeholder moderniseringen, der er nødvendig på grund af de cybersikkerhedstrusler, der findes mod OT-miljøer. Denne zone betragtes som en demilitariseret zone (DMZ). Zonen fungerer som en beskyttelse mellem den traditionelle IT-miljø og OT-miljøer og sikrer, at der ikke er direkte forbindelse mellem disse to forskellige miljøer. Mere traditionelle IT-styringssystemer, såsom patchhåndtering, fjernstyring og lignende, placeres i denne zone.

Purdue Lag/Zone 4 

Zone 4 er det traditionelle IT-miljø, som i denne model forenkles til en zone, selvom det normalt er opdelt i flere zoner for at sikre IT-sikkerheden. Zonen indeholder normalt:

• Arbejdsstationer 
• Filservers 
• ERP systemer 
• Printere

I et moderne IT-miljø inkluderer den også cloud-baserede / SaaS-tjenester som f.eks. e-mail, ERP og andre enterprise-applikationer.

Cegal og Purdue-modellen

Cegals konsulenter kan støtte jer i arbejdet med OT og cybersikkerhed. Med vores erfaring inden for konvergerede IT/OT-miljøer og de sikkerhedskrav, der findes, kan vi støtte både i styrings- og teknologispørgsmål vedrørende cybersikkerhed.