category
自20世纪90年代中期普渡大学企业参考架构创建以来,OT网络安全团队一直在该架构内工作。虽然不是作为安全模型开发的,但通过映射典型工业控制系统(ICS)高级组件的互连和相互依赖性,普渡参考架构为如何防御OT系统提供了重要指导。然而,在OT环境中采用众多IT系统,引发了人们对ICS普渡模型持续相关性的质疑。
然而,在OT环境中采用众多IT系统,引发了人们对普渡大学模式持续相关性的质疑。
普渡企业参考架构
通过快速回顾,目前普渡大学的架构将OT和IT建模为六个功能级别,从0级到5级,跨越三个区域。
- 0级——物理过程:这是实际完成工作的物理设备,被称为受控设备。这包括阀门、泵、传感器、执行器、压缩机等。
- 1级——基本控制:这些是监控和控制0级设备和安全仪表系统的可编程逻辑控制器等控制设备。
- 2级——区域监控:用于分析和处理1级数据的控制逻辑。系统包括人机界面(HMI);监控和数据采集(SCADA)软件。
- 3级——现场控制:这一级包括支持全厂控制和监控功能的系统。3级系统还聚合了需要向上推送到更高级别业务系统的较低级别数据。
- 第4级——IT系统:业务物流系统可以包括数据库服务器、应用程序服务器和文件服务器。
- 第5级——企业网络:一组更广泛的企业IT系统,包括与公共互联网的连接。
这些级别通常被描述为创建三个逻辑区域,其中级别4和级别5组成企业区域,企业区域与制造区域(包括级别0到级别3)由非军事区(DMZ)隔开。在过去的几十年里,这种分层方法在帮助设计OT基础设施方面非常有效。
在我们的《运营技术(OT)网络安全综合指南》中了解OT网络安全。
哪些变化正在影响普渡模式?
在IIoT部署中,数据不受传统普渡层次结构的限制,事实上,数据不再完全存在于企业内部。
一波新技术正在挑战这种设计和操作OT系统的基础、分层方法。这些技术包括云服务和5G无线网络。更一般地说,采用众多IT解决方案来增强传统OT,创造了一整类解决方案,通常称为工业物联网(IIoT)。标准IIoT参考架构(Gartner的示例见图1)有三个部分。
Edge包括传感器和执行器等传统OT设备,以及执行数据过滤、聚合和存储、分析等一系列任务的IIoT网关,以及设备管理、访问控制和与网络和应用程序的共享通信。
(云)平台通常是一个平台即服务(PaaS),它聚合了数据存储和分析、事件处理、流程编排、网络通信和其他功能。
企业支持后端应用程序,如数据库和数据仓库、应用程序服务等。
图1:Gartner物联网参考架构
这种精简的架构绕过了传统的层次结构,允许直接从物理设备到云服务的通信,或通过IIoT网关整合到云端的通信,从而对普渡模型提出了严重挑战。在IIoT部署中,数据不受传统普渡层次结构的限制,事实上,数据不再完全存在于企业内部。普渡大学的模型在这些环境中可能被认为已经过时。
工业物联网(IIoT)和普渡模型
在这种新架构中,IIoT网关已成为一个关键的安全问题,因为成功攻击和破坏网关可能会使整个OT基础设施受到攻击。
OT网络安全团队越来越需要保护包括IIoT组件的OT环境。在许多方面,这只是将IT纳入OT的长期趋势的延续,但随着IT系统现在进一步向传统的普渡模型架构堆栈发展。第三层越来越成为一个包含OT和IT组件的中间层。在这种新架构中,IIoT网关已成为一个关键的安全问题,因为成功攻击和破坏网关可能会使整个OT基础设施受到攻击。
在传统的OT环境中,人们努力认识到IIoT的引入如何影响普渡模型,一些组织已经开始努力用IIoT组件修改传统的普渡模型。例如,欧盟网络安全局(ENISA)提出了普渡模型的修订版本(见图2),该模型识别基于3级的工业物联网(IIoT)平台,该平台直接与1级IIoT设备通信。(见《智能制造背景下物联网安全的良好实践》,2018年11月)。
图2:ENISA修订的普渡模型
但应该指出的是,工业物联网的支持者专注于利用新技术来提供安全的产品和服务,他们对将解决方案硬塞进现有的架构并不特别感兴趣。例如,工业互联网联盟的IIoT(第G4卷):安全框架运行了近200页,从未提及普渡模式。
普渡大学网络安全模型:最终思考
归根结底,OT安全团队需要在一个业务需求推动技术投资的世界中运作。对于安全团队来说,最好的情况是在采购周期的早期引入,以引起对安全影响的担忧。
在某种程度上,这与往常一样。修改或放弃普渡模式并不一定意味着放弃ICS安全,但这确实意味着需要在各个层面重新考虑网络安全,甚至需要重新考虑各个层面。
- 登录 发表评论
- 3 次浏览
最新内容
- 4 days ago
- 4 days ago
- 4 days ago
- 4 days ago
- 5 days 6 hours ago
- 1 week 6 days ago
- 1 week 6 days ago
- 1 week 6 days ago
- 2 weeks 2 days ago
- 2 weeks 2 days ago