OT và mô hình PURDUE

Thảo luận trong 'Infrastructure security' bắt đầu bởi nktung, 15/03/21, 11:03 PM.

  1. nktung

    nktung Super Moderator Thành viên BQT

    Tham gia: 08/10/13, 04:10 AM
    Bài viết: 893
    Đã được thích: 367
    Điểm thành tích:
    83
    OT và mô hình PURDUE
    Mô hình PURDUE có nguồn gốc là mô hình tham chiếu của thập niên 1990 cho kiến trúc doanh nghiệp, được phát triển bởi Theodore J. Williams và các thành viên của Hiệp hội Đại học Công nghiệp-Purdue phục vụ cho sự tích hợp của 2 ngành sản xuất - máy tính. Mô hình PURDUE được gọi là mô hình tham chiếu Hệ thống điều khiển và tự động hóa công nghiệp.
    [​IMG]
    Hình. Các level trong mô hình PURDUE. Nguồn Internet​
    Mô hình PURDUE bao gồm ba khu vực: khu sản xuất OT (Cell/Zone Area) bên dưới và khu IT bên trên cùng, được ngăn cách bởi khu phi quân sự công nghiệp (IDMZ) ở giữa nhằm hạn chế giao tiếp trực tiếp giữa 2 khu IT và OT. Mục đích đằng sau việc thêm lớp IDMZ này là để kiểm soát an toàn trong việc truyền thông mạng và đảm bảo việc sản xuất không bị gián đoạn.
    Ba khu vực được chia thành nhiều cấp độ hoạt động. Mỗi khu vực, với các cấp độ liên quan, được mô tả dưới đây:
    - Khu IT: Khu vực này gồm các hệ thống hỗ trợ kinh doanh như SAP và ERP. Các trung tâm dữ liệu, người dùng và đám mây được đặt trong khu vực này. Có 2 level:
    + Level 5 (Enterprise Network) : Đây là mạng cấp công ty nơi thực hiện các hoạt động kinh doanh như dịch vụ B2B (doanh nghiệp với doanh nghiệp) và B2C (doanh nghiệp với khách hàng). Kết nối và quản lý Internet có thể được xử lý ở cấp độ này. Hệ thống mạng doanh nghiệp cũng tích lũy dữ liệu từ tất cả các hệ thống con đặt tại các nhà máy riêng lẻ để báo cáo tình trạng sản xuất và tồn kho tổng thể.
    + Level 4: (Business Logistics Systems): Tất cả các hệ thống CNTT hỗ trợ quá trình sản xuất trong nhà máy đều nằm ở level này. Quản lý lịch trình, lập kế hoạch và đảm bảo hậu cần cho các hoạt động sản xuất được thực hiện tại đây. Hệ thống level 4 bao gồm máy chủ ứng dụng, máy chủ lưu trữ file, máy chủ cơ sở dữ liệu, hệ thống giám sát, ứng dụng email khách, v.v.
    - Khu OT : Tất cả các thiết bị, mạng, hệ thống điều khiển và giám sát đều nằm trong vùng này, bao gồm 4 Level:
    + Level 0 (Physical Process):
    Hệ thống cấp 0 bao gồm các thiết bị, cảm biến (ví dụ: tốc độ, nhiệt độ, áp suất), thiết bị truyền động hoặc thiết bị công nghiệp khác được sử dụng để thực hiện sản xuất hoặc hoạt động công nghiệp. Một lỗi nhỏ trong bất kỳ thiết bị nào ở cấp độ này có thể ảnh hưởng đến hoạt động tổng thể.
    + Level 1 (Basic Controls/Intelligent Devices):
    Level này gồm các hoạt động trong điều khiển cơ bản như "khởi động máy", "mở van", "di chuyển", v.v. Máy móc bao gồm máy phân tích, cảm biến quá trình và các hệ thống đo đạc khác như thiết bị điện tử thông minh (IED), PLC, RTU, Bộ điều khiển phái sinh tích hợp (PID), Thiết bị được kiểm soát (EUC) và Bộ biến tần (VFD). Lưu ý: Thiết bị PLC được sử dụng ở cấp độ 2 với chức năng giám sát, nhưng nó được sử dụng làm chức năng điều khiển ở level 1.
    + Level 2 (Control Systems/Area Supervisory Controls):
    Việc giám sát, theo dõi và kiểm soát quá trình vật lý được thực hiện ở level này. Hệ thống điều khiển có thể là DCS, phần mềm SCADA, Giao diện Người - Máy (HMI), phần mềm thời gian thực và các thiết bị điều khiển giám sát như PLC.
    + Level 3 (Operational Systems/Site Operations):
    Trong level này, các chức năng quản lý sản xuất, giám sát từng nhà máy và kiểm soát được xác định. Quy trình sản xuất và đầu ra của sản phẩm mong muốn được đảm bảo. Quản lý sản xuất bao gồm hệ thống quản lý hiệu suất của nhà máy, lập kế hoạch sản xuất, quản lý lô, đảm bảo chất lượng, lịch sử dữ liệu, hệ thống quản lý vận hành / thực hiện sản xuất (MES / MOMS), thí nghiệm và tối ưu hóa quy trình.
    Các thông tin sản xuất từ các level thấp hơn được thu thập lên level này và sau đó có thể được chuyển lên các cấp cao hơn hoặc có thể được hướng dẫn bởi các hệ thống cấp cao hơn.
    - Khu IDMZ: IDMZ tạo lớp đệm/vách ngăn giữa khu sản xuất OT và khu IT để cho phép kiểm soát kết nối mạng an toàn giữa hai hệ thống. Khu vực này được tạo ra để kiểm tra kiến trúc tổng thể. Nếu bất kỳ lỗi hoặc sự xâm nhập nào làm ảnh hưởng đến hệ thống làm việc, IDMZ sẽ ghi lại lỗi và cho phép sản xuất được tiếp tục mà không bị gián đoạn. Hệ thống IDMZ có thể bao gồm các máy chủ quản lý miền (DC), máy chủ sao chép cơ sở dữ liệu và máy chủ proxy
    Các Công nghệ và giao thức mạng:
    Các giao thức mạng công nghiệp tạo thành liên kết thời gian thực và trao đổi thông tin giữa các hệ thống và khu công nghiệp. Các giao thức mạng này được triển khai trên mạng ICS trong bất kỳ ngành nào. Một kỹ sư bảo mật OT cần hiểu hoạt động của các giao thức công nghiệp.
    Các công nghệ và giao thức truyền thông chính của mạng OT qua mô hình PURDUE được ISA-95 xác định như sau:
    + Level 4,5: DCOM, DDE, FTP/SFTP, GE-SRTP, Ipv4/IPV6, OPC, TCT/IP, Wifi
    + Level 3: CC-Link, DDE, GE-SRTP, HSCP,…..
    + Level 2: CC-Link, DNP3, FTE,….
    + Level 0,1: BACnet, EtherCat, CANopen, DeviceNet,….
    Tham khảo
    Wiki
    CEH
     
    Chỉnh sửa cuối: 16/03/21, 09:03 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Babylon1284 thích bài này.
  2. whiteLMK

    whiteLMK Member

    Tham gia: 19/02/21, 09:02 AM
    Bài viết: 19
    Đã được thích: 4
    Điểm thành tích:
    3
    thông tin rất hữu ích ạ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan