引言

Purdue 模型長期以來是工業控制系統（ICS）資安的基石，透過分層架構與網路分割，保護關鍵基礎設施免受網路威脅。然而，隨著數位轉型加速，IT、物聯網（IoT）與營運技術（OT）的融合打破了傳統的「空氣隔離」（air gap）假設，暴露出 Purdue 模型的風險盲點。根據 Nexus Connect 報導，這些盲點主要出現在第 3 層與第 2 層的交界處，攻擊者可能利用這些交叉點入侵 IT 與 OT 網路。 台灣應用軟件深入解析這些挑戰，並提供實務建議，協助企業強化 ICS 資安，確保運營連續性與安全性。
 

Purdue 模型與其資安價值

Purdue 模型於 1990 年代由 Purdue 大學開發，作為電腦整合製造（CIM）的參考架構，後被 ISA-99 採納為 ICS 網路分割的標準模型。 該模型將 ICS 環境分為六層：

1. 第 0 層與第 1 層：物理設備（如感測器、致動器）與直接控制系統（如 PLC、RTU）。
2. 第 2 層：監控與控制層，包含 SCADA、HMI 與 DCS，負責監督物理流程。
3. 第 3 層：製造執行系統（MES）與資料收集層，作為 IT/OT 交界。
4. 第 4 層與第 5 層：企業 IT 網路，涵蓋 ERP 系統與商業功能。
5. DMZ：位於 IT 與 OT 之間，控制外部連線。

此分層架構透過網路分割與縱深防禦（defense-in-depth），降低未授權存取與橫向移動的風險，符合 ISA/IEC 62443 等標準。 然而，現代環境的 IT/OT 融合削弱了分割效果，增加了資安挑戰。
 

Purdue 模型的風險盲點

報導指出，Purdue 模型假設 ICS 設備與 IT 網路「空氣隔離」，但數位轉型使 OT 系統與企業網路、雲端及物聯網高度整合，打破此假設。 這些變化在第 2 層（SCADA、HMI）與第 3 層（MES）形成資安盲點，攻擊者可利用以下漏洞：

1. 未授權存取：弱認證（如簡單密碼）使 HMI、MES 或端點設備易被入侵。
2. 不安全的通訊協定：許多 OT 設備使用未加密的通訊協定，易被攔截或操縱。
3. IT/OT 交界漏洞：第 3 層作為 IT/OT 橋樑，若防火牆配置不當，攻擊者可從 IT 網路橫向移動至 OT 環境。

例如，2017 年的 NotPetya 攻擊因缺乏有效分割，迅速從 IT 網路擴散至 OT 系統，造成廣泛損失。 此外，舊有 ICS 設備因設計缺乏安全功能（如未修補的作業系統），進一步擴大風險。 企業若過分依賴 Purdue 模型的分割原則，而忽略整體環境的監控，可能錯失潛在威脅。
 

新興威脅與技術挑戰

IT/OT 融合與物聯網（IIoT）的普及擴大了攻擊面。現代攻擊者利用進階持續性威脅（APT）、勒索軟體及供應鏈攻擊，針對第 2 層與第 3 層的弱點發動攻擊。 例如，攻擊者可透過釣魚攻擊取得 IT 網路存取權，再利用弱分割滲透 OT 系統。 此外，許多 ICS 設備因弄髒了原始碼後，僅有少數被獨立驗證的案例顯示網路攻擊導致物理損害，例如2010年的Stuxnet攻擊損壞伊朗核設施的離心機，但這類高精準攻擊極為罕見，且需要大量資源與情報支援。 然而，Stuxnet 揭示了攻擊者利用 OT 系統漏洞（如未加密通訊或弱認證）的可能性，凸顯了現代 ICS 環境的脆弱性。
此外，供應鏈風險與人為錯誤進一步加劇問題。第三方組件可能內含惡意程式碼，而員工缺乏資安意識可能導致錯誤配置。 企業需採取更全面的資安策略，以應對這些新興威脅。
 

實務建議

為克服 Purdue 模型的盲點並強化 ICS 資安，企業可採取以下措施：

1. 全面資產可視性：使用資產發現工具（如 Claroty 的解決方案）識別並分類 OT 設備，確保掌握所有連網資產。
2. 網路分割與監控：依據 Purdue 模型層次建立安全區域，使用防火牆與資料二極體（data diodes）控制 IT/OT 流量，並監控東西向（east-west）通訊，防止橫向移動。
3. 零信任架構：實施最小權限存取控制，確保設備僅使用設計的通訊協定，並透過動態分組限制存取。
4. 漏洞管理：優先修補已知漏洞，對無法修補的舊有系統採用補償控制（如隔離網路）。
5. 資安訓練：透過模擬訓練提升員工對釣魚攻擊與 OT 風險的認知。
    

Purdue 模型為 ICS 資安提供了結構化框架，但 IT/OT 融合暴露了其盲點，特別是第 2 層與第 3 層的交叉點。企業需採取全面視角，整合資產管理、零信任與持續監控，以應對現代威脅。台灣應用軟件致力提供客製化 ICS 資安解決方案，協助企業保護關鍵基礎設施，確保運營韌性。