在工业互联网、关键信息基础设施和工控安全领域，有一个绕不开的概念——普渡模型（Purdue Model）。

它不是某种安全产品，也不是某套技术方案，而是一张理解工业控制系统（ICS）架构与安全边界的“底层地图”。

很多工控安全事故，本质上不是“黑客太强”，而是架构混乱、边界模糊、IT 与 OT 无序互通。而普渡模型，正是解决这些问题的经典方法论。

一、什么是普渡模型？

普渡模型最早由美国普渡大学提出，用于描述工业控制系统从物理设备到企业管理系统的分层结构。

其核心思想是：通过分层、隔离和受控通信，降低复杂系统的安全风险。

在网络安全视角下，普渡模型不仅是架构模型，更是一种防御思想。

二、普渡模型的 5 个核心层级

0 级：物理过程层（Physical Process）

这是工业系统最底层，直接与物理世界打交道。

典型对象：

● 各类传感器（温度、压力、电流等）

● 执行器（阀门、电机、继电器）

● 现场仪表和设备

安全特点：

● 通常不具备安全防护能力

● 一旦被操控，直接影响生产安全甚至人身安全

● 是“结果层”，攻击后果最直观

👉 安全关键词：物理安全、可靠性、安全设计优先于网络安全

1 级：基本控制层（Basic Control）

这一层是工业自动化的核心。

典型对象：

● PLC（可编程逻辑控制器）

● RTU、DCS控制单元

● SIS

主要功能：

● 将传感器数据转化为控制逻辑

● 自动执行工业流程

安全风险：

● 控制逻辑被篡改

● 恶意指令下发

● 弱口令、明文协议问题严重

👉 这里是工业攻击的“黄金目标层”

2 级：监督控制层（Supervisory Control）

这是人“看得见”的工控系统。

典型对象：

● SCADA 系统

● DCS系统

● HMI（人机界面）

● 控制服务器

主要功能：

● 监控生产状态

● 人工干预和调度控制

安全特点：

● 与 IT 技术融合度高

● 常见操作系统、数据库、中间件

● 成为 IT 攻击向 OT 渗透的跳板

👉 勒索软件、远控木马最常出现的层级之一

3 级：制造运营层（Manufacturing Operations）

这是连接 OT 与 IT 的关键枢纽。

典型对象：

● MES（制造执行系统）

● 历史数据库

● 生产管理系统

主要功能：

● 生产调度

● 数据分析

● 运营优化

安全挑战：

● 与企业系统频繁交互

● 数据价值高、攻击面广

● 极易成为“横向渗透通道”

👉 安全建设重点：访问控制、最小权限、审计

DMZ：工业非军事区（Industrial DMZ）

DMZ 不是一个层级，而是一道“安全隔离带”。

核心作用：

● 隔离 ICS 网络与企业 IT 网络

● 控制数据单向或受控流动

典型部署：

● 防火墙

● 工控安全网闸

● 入侵检测/防御系统（IDS/IPS）

● 工业代理服务器

👉 没有 DMZ 的工控网络，基本等于“裸奔”

4 级：企业网络层（Enterprise Network）

进入传统 IT 世界。

典型对象：

● 办公网络

● 邮件系统

● OA、CRM、业务系统

● 互联网出口

主要风险：

● 钓鱼邮件

● 终端木马

● 内网横向移动

👉 大多数工控攻击，都是从这一层“起火”

5 级：企业/公司 IT 层（Enterprise IT）

最高层，业务和管理中枢。

典型系统：

● ERP

● 目录服务（AD）

● 数据中心

● 云平台

安全目标：

● 保障业务连续性

● 防止攻击“向下穿透”影响生产系统

👉 核心原则：与 OT 层严格隔离

三、从安全角度看，普渡模型到底重要在哪？

对网络安全人员来说，普渡模型至少解决了三个关键问题：

帮你搞清楚“资产在哪里”

不同层级，资产类型、风险完全不同。

帮你划清“安全边界”

哪些能直连？哪些必须隔离？哪些只能单向？

帮你设计“纵深防御”

防火墙不是堆设备，而是按层级布防。

四、写在最后

很多工控安全事故，并不是因为没有安全产品，而是没有安全架构。

普渡模型的价值，不在于“分了几层”，而在于它背后的理念：

复杂系统，必须分层；

高风险系统，必须隔离；

核心控制，必须最小暴露。

对于每一个涉足工控安全、能源、电力、制造、运营商网络的安全从业者来说，

看懂普渡模型，是入门，更是基本功。