玻尔百科现代工业环境是协同复杂性的奇迹,工厂车间里的巨型机器、控制室里的操作员控制台以及公司办公室里的高管电子表格,所有这些都必须协同工作。这些截然不同的系统——有些受毫秒级物理时序的支配,另一些则遵循较慢的商业物流节奏——是如何在不陷入混乱或产生灾难性安全漏洞的情况下进行协作的?根本挑战在于管理实时控制与尽力而为的信息处理之间固有的冲突。本文通过探讨一个为此目的而设计的基础架构蓝图来应对这一挑战:普渡模型。
本文将引导您了解这个优雅而持久的框架。在“原则与机制”部分,我们将剖析该模型从物理过程本身到企业网络的分层结构,并揭示两个关键原因——时间尺度的冲突和安全风险的分歧——使其分段原则变得不容商榷。接下来,“应用与跨学科联系”部分将展示这些原则如何付诸实践,审视构建安全网络边界的艺术,并说明该模型的智慧如何为我们应对数字孪生、云集成和零信任安全等现代挑战提供启示。
如果你走进一家现代化工厂,你可能会被其纯粹的复杂性所震撼——这是一场运动与能量的交响乐。一端是巨大的、强有力的机器在物理上塑造材料。在附近的控制室里,操作员监控着显示压力和温度的屏幕。而在遥远的办公楼里,高管们正看着电子表格,根据全球供应链规划下个月的生产。所有这些部分,在如此不同的时间尺度上运行,怀着如此不同的目标,是如何协同工作而不陷入混乱的呢?
答案在于一个优美而强大的原则:分段。这与自然界使用的原则相同。在你的身体里,将手从热火炉上抽回的闪电般快速的脊髓反射,与思考晚餐吃什么的缓慢、审慎的过程是分开的。它们是具有不同优先级的不同功能,并在不同的系统中运行。为了确保白日梦不会干扰拯救生命的反射,大自然建立了边界。在工业控制领域,工程师们也得出了类似的解决方案,一个被称为普渡模型的基础蓝图。
想象一下工业过程是一场宏大的管弦乐。你有打击乐部分,鼓和钹,它们必须在精确的、不容商榷的时刻敲击,以保持节奏。这是实时物理控制的世界。然后你有指挥,他引导整个演出,根据乐谱调整速度和力度。最后,你有音乐厅的管理层,他们处理票务销售和排期,其操作时间尺度是几天和几周。普渡模型只是为这些不同的功能层命名,将它们组织成一个从最快、物理连接最紧密到最慢、最抽象的层次结构。
让我们从下到上,从物理世界到商业世界来构建这个模型。
第 0 层:物理过程。 这甚至不是计算机;它就是现实世界本身。是那些大桶、管道、马达和阀门。是正在被压制的钢铁,正在被混合的化学品。在这一层,我们拥有的是管弦乐队的乐器。
第 1 层:基本控制。 这是“信息”世界的第一层。这里存在着可编程逻辑控制器 (PLC) 和其他嵌入式控制器。这些是系统的“快肌”。一个 PLC 的整个世界就是一个简单、不间断的循环:读取传感器值,计算一个快速响应,然后向执行器发送一个命令。这个循环可能每秒运行多次。第 1 层和第 0 层之间的连接是信息物理接口,数字命令在这里变成物理动作。这个边界的安全性和性能完全由物理定律主导。正如我们将看到的,一个延迟了几毫秒的控制命令不仅是慢了;它是错误的,并可能导致物理不稳定。这是打击乐部分,时间就是一切。
第 2 层:区域监督控制。 在这里你会找到人机界面 (HMI),即操作员用来监督工厂特定区域(如单一生产线)的屏幕和控制台。这是本地的工头或管弦乐队的声部长,确保他们那部分的流程顺利运行。
第 3 层:站点运营。 这一层拥有全厂范围的视角。它包括为整个站点安排生产、跟踪总体效率以及在历史数据库 (historian) 中存储历史数据以供分析的系统。在这里你可能会找到一个工厂的复杂数字孪生,运行模拟以优化性能。这是工厂经理的办公室,或管弦乐队的指挥,关心的是整个演出的表现。
第 4 层:企业 IT。 这是我们熟悉的公司信息技术 (IT) 世界。它是处理电子邮件、物流、财务规划并连接到互联网的商业网络。这是音乐厅的管理层,与音乐表演本身分开,但对其成功至关重要。
这种分层结构不仅仅是一个整洁的归档系统;它更是关于控制、时序和信任的深刻陈述。
现在,一个自然而又危险的想法出现了:如果我们希望第 4 层的业务分析拥有最好的数据,为什么不把所有东西都连接在一个大的、快速的网络上呢?这就是普渡模型的简单之美揭示其深刻、根本智慧的地方。不加区分地混合这些层级是灾难的根源,原因有二。
普渡模型不同层级的网络使用不同的语言,并遵循不同的时钟。第 1 层的控制网络完全关乎确定性。其流量由严格、周期性调度发送的小而可预测的数据包组成。控制回路的延迟预算可能只有几毫秒 ( ms),而允许的抖动——即延迟的变化量——可能小于一毫秒 ( ms)。
形成鲜明对比的是,第 3 层和第 4 层的运营和企业网络处理的是“尽力而为”的流量。想象一下一个用户下载一份大报告或一个系统执行数据备份。这种流量是突发性的、不可预测的,并且涉及大量数据。
现在,想象我们像一位假设的工厂操作员所考虑的那样,在没有任何特殊预防措施的情况下合并这两个网络。一个来自第 1 层 PLC 的微小、紧急的控制数据包需要穿越网络。但就在那一刻,第 3 层的一个分析服务器决定发送一个 10 MB 的数据突发。在 1 Gbps 的网络上,传输这个突发大约需要 80 毫秒。即使那个微小的控制数据包被赋予“优先级”,一个简单的网络交换机也是非抢占式的;如果大的数据传输已经开始,交换机必须完成发送它,然后才能处理高优先级的数据包。
结果呢?那个微小、紧急的控制数据包被延迟了长达 80 毫秒。这个延迟打破了其 2 毫秒的延迟预算。它所控制的物理过程——期望在一个紧凑的时间窗口内收到命令——可能会变得不稳定。管弦乐队的节奏被打乱了,因为后勤部门决定在演出中途把一架钢琴搬过舞台中央。这种时间尺度的冲突使得物理和逻辑上的分离成为绝对的必要。
分离的第二个原因是安全。第 4 层,企业网络,连接到互联网。它是城堡面向公众的外墙,不断暴露于攻击之下。另一方面,第 1 层是王冠上的宝石:对过程的直接、物理控制。一个攻破第 1 层的攻击者可以造成物理损害。
攻击面——攻击者可以探测和利用的所有点的总和——在每个层级都大不相同。
没有分段,这些截然不同的威胁情景就会融为一体。在第 4 层的一次成功的网络钓鱼攻击,就可能为对手提供一条直通的网络路径——一条为黑客准备的高速公路——一直延伸到第 1 层最关键的控制器。普渡模型的层级就像城堡的同心墙,最有价值的资产被保护在最里面的主楼中。每一次边界穿越都是阻止入侵者的机会。
当然,城堡不能完全封闭。业务需要来自工厂车间的数据。关键在于建造安全、受控的桥梁,而不是敞开大门。这就是工业非军事区 (DMZ) 概念的用武之地。
DMZ 是一个位于受信任的控制网络(通常称为运营技术或 OT)和不太受信任的企业网络(IT)之间的小型、隔离的网络。它是一个中立的会面点,一个安全的气闸。一种常见且高度安全的设计模式是这样的:控制网络(第 3 层)中的一台服务器将其数据的副本推送到 DMZ 中的一台副本服务器。企业网络(第 4 层)只被允许与 DMZ 中的这台副本服务器通信;它绝不会被给予直接通往实时控制系统的路径。例如,数字孪生将从这个位于 DMZ 中的安全、复制的数据源获取数据。
为了达到极致的安全性,从控制网络到 DMZ 的通道可以是一个单向网关,或数据二极管。这是一个硬件设备,物理上只允许数据单向流动。它就像一个只能单向旋转的旋转门——信息可以出去,但任何攻击、命令或恶意软件都无法返回。
虽然普渡模型为我们提供了一张出色的功能地图,但现代安全思想已经将其核心的分段原则推广开来。IEC 62443 标准引入了更灵活的区域 (zone) 和通道 (conduit) 概念。
这并不会取代普渡模型;它补充了普渡模型。普渡模型提供了架构参考,而 IEC 62443 则提供了一种基于风险的方法论,用于在该架构内实施安全控制。
最终,这种分层方法的美妙之处在于它如何迫使我们根据系统的物理现实来定制我们的安全控制。并非所有的信任边界都是生而平等的。
考虑第 3 层和第 2 层之间的边界,穿越 DMZ。在这里,数据从企业世界流向控制世界。系统可以容忍数秒的延迟。这种时间的奢侈让我们能够使用强大、计算密集型的安全工具。我们可以使用充当中间人的代理,将每条消息拆开以检查其内容是否存在威胁,然后再重新构建并发送出去。我们可以强制执行强身份验证和详细的授权规则。
现在,将其与第 1 层和第 0 层之间的信息物理边界进行对比。在这里,物理学是无情的仲裁者。我们没有几秒钟;我们只有几微秒。一个复杂的防火墙或增加哪怕一毫秒抖动的加密握手都可能是灾难性的。这个边界的安全性不能妨碍性能。因此,我们使用另一类控制措施。我们依赖于能够物理上防止不安全状态的硬件联锁,或者独立的安全仪表系统 (SIS),它作为一个独立的、警惕的守护者,准备在过程偏离到危险区域时关闭它。我们可以使用基于物理的异常检测,它提出了一个简单而深刻的问题:“根据我刚刚发送的命令,我正在读取的传感器数据在物理上是否有意义?”
从一个简单的组织层次结构,我们已经深入领会了时间、安全和物理之间相互作用的精髓。普渡模型不仅仅是教科书中的一张图表;它是一个源于数十年经验的框架,优雅地捕捉了保护确定性、实时的物理控制世界免受混乱、尽力而为的信息技术世界影响的根本需求。它的原则教导我们,在信息与物理相遇的领域,安全不仅仅关乎比特和字节;它关乎尊重时钟无情的滴答声。
普渡模型乍一看可能像一个简单、甚至有些古雅的分层图——一个逝去工业工程时代的遗物。但如果因此而轻视它,就如同把一位国际象棋大师的开局棋盘误认为只是一些雕花木块的简单排列。该模型的真正力量和美感不在于其静态的层级,而在于当它面对现实世界中动态、高风险的挑战时如何变得鲜活起来。它不仅仅是一张描述性的地图;它是一个用于安全推理的规定性框架,是现代工业战场上的战略蓝图。让我们通过观察它如何在一个充满数字孪生、云分析和无处不在威胁的世界里指导我们的思维和工程,来探索这个活生生的模型。
普渡模型的核心思想就是划定界线——在不同的信任和功能区域之间创建强大、可防御的边界。但是在网络中“划定一条线”意味着什么呢?这并不像在两个系统之间放一个防火墙然后就完事那么简单。那个边界的性质才是一切。
想象我们最关键的控制区域——比如第 1 层或第 2 层——是一座坚固的城堡。我们内部有宝贵的情报(我们的运营数据),而外部世界的盟友(比如一个托管在云上的数字孪生)迫切需要这些情报。经典的困境是如何在不交出城堡钥匙的情况下将情报送出去。一个标准的双向防火墙就像一扇有双向门的门。即使守卫被指示只让信使出去,门仍然可以向内摆动。攻击者可以在门打开时冲进来。对于基于 TCP/IP 的通信,这不仅仅是一个比喻;为了让数据流出,确认包必须流回。这条返回路径,无论多小,都是我们盔甲上的一道裂缝,一个潜在的攻击通道。
最优雅的解决方案,也是体现普渡严格分离精神的方案,是单向网关,或称“数据二极管”。这个设备在网络上等同于单向镜或带有物理止回阀的阀门。数据在物理上只能单向流动,从高信任区域到低信任区域。它使得反向流量在物理上成为不可能。这是一项对单向信息流策略的终极执行,允许控制区域中的历史数据库向外复制其数据,而绝不为入站命令打开一扇门。
当我们为外部供应商授予特殊访问权限(例如进行维护)时,也必须保卫这些边界。一种常见但危险的方法是使用虚拟专用网络 (VPN) 将工厂网络直接延伸到供应商。二层 VPN尤其危险;这就像把供应商的笔记本电脑直接传送到你的城堡墙内,将其置于与你最敏感的控制器相同的广播域中。稍好一点的三层 VPN 就像给了供应商一把通往城堡主庭院的侧门钥匙。无论哪种情况,你都打破了分段的基本原则。
一个远为稳健、遵循该模型哲学指导的解决方案是,在非军事区 (DMZ) 中使用一个跳板机(或堡垒机),例如第 3.5 层。在这里,供应商永远不会进入城堡。相反,他们连接到外堡(跳板机)中一个安全、受监控的房间,然后从那个房间,建立一个严格限制和观察的连接到需要维护的特定设备。这就创建了所谓的“应用层协议中断”。供应商的网络从不接触控制网络;边界的安全性得以保留,访问权限以手术般的精度授予。
即使有这些坚固的边界,一个微妙的危险仍然潜伏着:传递性连接。想象一个由多个跳板机组成的链条,每个都很安全。一个攻击者获得了对第一个的访问权限,并在上面找到了访问第二个的凭据,在第二个上又找到了访问第三个的凭据,依此类推。链条中的每个单独链接都是被允许的,但这个序列创造了一条意想不到的、深入网络核心的高速公路。这表明,安全不仅关乎单个防火墙上的规则,还关乎对整个分层架构中所有可能路径的整体分析。
普渡模型提供的最深刻的见解之一是认识到运营技术 (OT) 的世界和信息技术 (IT) 的世界在不同的法则下运作。IT 由逻辑、数据和事务所支配。而 OT 的核心则由物理学所支配。发送给一个阀门的命令不仅仅是翻转一个比特位;它是在移动一个物理对象来控制真实流体的流动,这带有现实世界中的时序约束和后果。
当我们审视放置在第 2 层控制区域边界的状态防火墙时,这种世界的冲突变得异常清晰。在 IT 世界中,一个常见的安全实践是为网络会话设置短的空闲超时。如果一个会话安静了几秒钟,防火墙就会拆除它以节省资源并强制重新认证,从而提高安全性。但是,当你将这种 IT 逻辑应用到一个周期时间为(比如说)8 毫秒的实时控制回路时,会发生什么?
控制消息是周期性的。如果防火墙的超时比这个周期短,比如说 5 毫秒,那么该流的防火墙状态将在每个数据包之间被拆除。每个到达的数据包都被视为“新的”,迫使其走防火墙的慢速、CPU 密集型检查路径。这给控制回路引入了巨大的、不可预测的延迟——抖动。一个为 IT 安全而设计的功能,对于 OT 过程的物理学来说却成了一个灾难性的故障,可能违反稳定性和安全性所需的严格控制期限。普渡模型迫使我们记住这一点:在较低的层级,时序不是建议;它是法则。防火墙的超时必须配置为长于控制周期,这与常见的 IT 实践完全相反。
普渡模型的分层结构不仅是一个定性的指南;它还为严谨、定量的安全分析提供了一个强大的支架。它允许我们借鉴数学和计算机科学等其他学科的工具来衡量我们防御的强度。
一个来自图论的绝佳例子。我们可以将我们的 ICS 网络表示为一个有向图,其中区域是节点,网络通道是边,每条边都有一个代表其带宽或更有趣的是独立物理链路数量的容量。现在,如果我们想问,“攻击者必须切断多少条链路才能完全切断从第 1 层到第 4 层的数据泄露?” 我们正在问一个图论中的经典问题:“最小 割的容量是多少?” 著名的最大流最小割定理告诉我们,这个值等于对手可以通过网络推动的数据“流”的最大值。这个单一的数字为我们提供了网络弹性的量化度量。它准确地告诉我们瓶颈在哪里,以及攻击者需要攻破多少条冗余路径,从而将定性的架构图转化为可测量的安全指标。
我们也可以形式化我们的风险评估。通过定义攻击者的能力和访问级别,我们可以构建一个威胁矩阵,计算攻击者从一个区域移动到另一个区域并攻陷一个资产的“成本”。攻击者要成功,他们必须拥有其路径上任何单个边界或资产所要求的最高能力和访问权限。路径上任何一处坚固的墙都会迫使攻击者必须具备足够高的技能才能攀越。这种建立在普渡区域之上的结构化分析,帮助我们识别我们最强和最弱的防御,并理解企业区域内的内部人员与互联网上的外部攻击者所构成的真实威胁。
自普渡模型首次构思以来,世界已经发生了变化。我们现在将工业系统连接到云,以供给需要大量数据的数字孪生并运行强大的分析。这种新现实是否使旧模型过时了呢?远非如此。该模型的原则比以往任何时候都更加关键,为现代安全建设提供了基础。
集成数字孪生引入了新的数据流,从而创建了新的攻击面。一个遥测流,即使在逻辑上是“只读”的,也会创建一个双向网络路径,攻击者可以利用该路径渗透到工厂中。从孪生发送给操作员的建议创造了一个强大的社会工程新媒介。从孪生到控制器的直接参数更新则创建了一条直接、高后果的影响关键系统的路径。普渡模型提醒我们,这些新流程中的每一个都跨越了一个基本的信任边界,必须以极端的审慎态度进行调解。
当事故确实发生时,ICS 环境中的响应是根本不同的。你不能简单地“拔掉插头”来关闭一个发电厂或一个化工厂。取证必须在一个实时运行的系统上进行。为了重建事件的因果链——是控制区域中的恶意命令导致了安全跳闸吗?——我们需要可信的证据。这就是分布式系统和密码学的概念变得至关重要的地方。为了可靠地对跨区域的事件进行排序,时钟必须与一个已知的、有界误差 的参考安全同步。为了信任日志本身,必须使用加密哈希链和数字签名使其具有防篡改性。没有这些保证,一个复杂的攻击者可以掩盖他们的踪迹,甚至用于取证回放的数字孪生也会被喂入垃圾信息,导致危险的错误结论。
这把我们带到了最现代的安全范式:零信任架构 (ZTA)。ZTA 的口号是“永不信任,始终验证”。它从基于位置的信任(“这个数据包在我的网络内部,所以它是好的”)转向基于身份的信任(“我不在乎这个数据包来自哪里,它的认证发送者是谁,他们现在是否被授权执行这个特定操作?”)。这会取代普渡模型吗?不。它完美地补充了它。普渡模型提供了必要的宏观分段——工业企业的大规模分区。零信任提供了微观分段以及在这些区域内部和之间的动态、以身份为中心的控制。正是两者的结合提供了一条前进的道路:一个稳健的、分层的架构,其中每个请求都经过身份验证和授权,同时尊重支配底层过程物理学的硬实时约束。这种混合方法使我们能够构建既智能又安全的工业系统,为二十一世纪的挑战做好准备。