Hva er Purdue-modellen?
Purdue-modellen er en del av Purdue Enterprise Reference Architecture (PERA) og ble utviklet for å modellere og visualisere flyten i nettverkstilkoblede OT-systemer. Modellen ble introdusert i 1992 av Theodore J. Williams fra Purdue University-konsortiet.
Modellen tar til orde for en inndeling i 5 lag/soner. I moderne implementeringer er modellen tilpasset og et ekstra lag er lagt til som et sikkerhetslag mellom OT og IT, vanligvis referert til som DMZ og/eller lag 3.5.
Figur A: Forenklet visualisering av den tilpassede Purdue-modellen.
Purdue Lager/Zone 0
Sone 0 inneholder sensorer, aktuatorer, motorer og andre komponenter som skal styres og/eller måles fysisk. Disse kombineres ofte for å skape hele kjeder for automatisert produksjon med transportbånd og roboter. Kommunikasjonen skjer vanligvis med tilpassede protokoller, enten direkte koblet til PLS/RTU eller via nettverkstilkobling.
Purdue Lager/Zone 1
Sone 1 inneholder intelligensen som styrer enhetene i sone 0. Disse enhetene er vanligvis i en av følgende kategorier:
- Programmable logic controllers (PLS) bruker inngangsdata for å implementere styring av enheter. Inndataene er enten målinger fra enheter i sone 0 og/eller inndata fra systemer i sone 2.
- Remote terminal units (RTU) fungerer primært som et bindeledd mellom enheter i sone 0 og sone 2 og inneholder ikke egen styringslogikk.
Purdue Lager/Zone 2
Sone 2 inneholder mer tradisjonelt IT-utstyr som er skreddersydd for styring av prosesser, og historisk sett har disse systemene blitt spesialbygd fra bunnen av for sine respektive formål. De primære kategoriene av systemer er:
- Supervisor Control and Data Acquisition (SCADA) er systemer som overvåker og kontrollerer fysiske prosesser, lokalt eller eksternt. Aggregerer ofte data som sendes til historielagring.
- Menneske-maskin-grensesnitt (HMI) brukes primært til enkel styring av overvåking. Kobles til f.eks. PLS-er.
Purdue Lager/Zone 3
Zone 3 inneholder funksjoner for styring og historikk, disse er vanligvis primære:- Engineering Workstation (EWS), en datamaskin som er dedikert til å koble til enheter i sone 0, 1 og 2
- Historian, som samler historiske data for driftsprosessen, og brukes til å analysere historiske hendelser
Purdue Lager/Zone 3.5
Sone 3.5 inneholder den moderniseringen som kreves av cybersikkerhetstruslene mot OT-miljøer, og ses på som en demilitarisert sone (DMZ). Sonen gir beskyttelse mellom tradisjonelle IT-miljøer og OT-miljøer, og sørger for at det ikke oppstår direkte forbindelse mellom disse to. Mer tradisjonelle IT-kontrollsystemer, som patch management, fjernstyring og lignende, plasseres i denne sonen.
Purdue Lager/Zone 4
Sone 4 er det tradisjonelle IT-miljøet, som i denne modellen er forenklet til én sone, selv om det vanligvis er delt inn i flere soner for å ivareta IT-sikkerheten. Sonen inneholder normalt:
- Arbeidsstasjoner
- Filservere
- ERP-system
- Skrivere
I et moderne IT-miljø inkluderer det også skybaserte SaaS-tjenester som e-post, ERP og andre bedriftsapplikasjoner.
Cegal og Purdue-modellen
Cegal's konsulenter kan bistå i arbeidet med OT og cybersikkerhet. Med vår erfaring innen konvergerte IT/OT-miljøer og de sikkerhetskravene som finnes, kan vi støtte deg både når det gjelder styring og tekniske spørsmål knyttet til cybersikkerhet.