Advania logo
    Kontakta oss
    Gå tillbaka

    Purdue-modellen

    Vad är Purdue-modellen?

    Purdue-modellen (Purdue Enterprise Reference Architecture, PERA) är en referensarkitektur som delar in en industriell verksamhets system i hierarkiska nivåer – från den fysiska processen längst ner till affärssystemen högst upp. Modellen utvecklades vid Purdue University på 1990-talet och har blivit det dominerande sättet att beskriva och strukturera gränsen mellan IT och OT, och därmed grunden för hur industriella nätverk segmenteras.

    Betydelsen av Purdue-modellen

    När allt fler styrsystem kopplas upp behövs en gemensam karta över vad som hör hemma var – annars blir IT/OT-konvergensen ett okontrollerat nät av direktkopplingar mellan affärssystem och processutrustning. Purdue-modellen ger den kartan. Genom att placera varje system på en nivå blir det tydligt vilka beroenden som finns, var trafik måste passera kontrollerade gränser och var skyddet ska koncentreras.

    Modellen är också det språk som standarder och ramverk bygger vidare på: zonindelningen i IEC 62443 utgår i praktiken från Purdue-nivåerna, och säkerhetsanalyser av OT-miljöer börjar nästan alltid med att rita upp miljön enligt modellen. Även om moderna moln- och IIoT-arkitekturer utmanar den strikta hierarkin – data flödar i dag ofta från sensor direkt till moln – är modellen fortfarande utgångspunkten för segmenteringsdesign i industri och kritisk infrastruktur.

    Så fungerar Purdue-modellen

    Modellen delar in miljön i nivåer, med kontrollerade övergångar emellan:

    • Nivå 0 – Processen: den fysiska utrustningen: givare, ställdon, motorer och ventiler.
    • Nivå 1 – Grundstyrning: PLC:er, RTU:er och andra styrenheter som reglerar processen i realtid.
    • Nivå 2 – Övervakning: SCADA-servrar, HMI:er och lokala operatörsstationer.
    • Nivå 3 – Produktionsstyrning: system som styr och följer upp produktionen på anläggningsnivå, till exempel MES och historians.
    • Nivå 3.5 – Industriell DMZ: den demilitariserade zon som förmedlar data mellan OT och IT utan direkta förbindelser – ofta modellens viktigaste säkerhetskomponent.
    • Nivå 4–5 – Affärssystem: ERP, e-post och övriga IT-system samt internetanslutna tjänster.

    Säkerhetsprincipen är att trafik aldrig ska kunna gå direkt från höga till låga nivåer: allt utbyte mellan IT och OT ska ske via DMZ:n, och inom OT-miljön segmenteras nivåerna vidare i zoner – gärna med mikrosegmentering mellan produktionsceller.

    Fördelar med Purdue-modellen

    Modellen ger gemensam karta – IT, drift och säkerhet talar om samma struktur, segmenteringsgrund – nivåerna översätts naturligt till nätverkszoner och brandväggsgränser, riskförståelse – det blir tydligt vilka vägar ett angrepp måste ta mot processen, kravstöd – IEC 62443:s zoner och conduits bygger vidare på nivåindelningen, samt prioritering – skyddsinvesteringar kan riktas mot de mest kritiska övergångarna, framför allt DMZ:n.

    Purdue-modellen och Advania

    Advania använder Purdue-modellen som utgångspunkt när vi hjälper organisationer att kartlägga och segmentera sina industriella miljöer – från nulägesanalys av faktiska trafikflöden till design av industriell DMZ, zonindelning och nätverkssäkerhet som fungerar med verksamhetens realtidskrav. Vi rådger också om hur modellen tillämpas pragmatiskt i moderna moln- och IIoT-arkitekturer.

    Vanliga frågor och svar om Purdue-modellen

    Är Purdue-modellen fortfarande relevant i molnets tidsålder?

    Ja, men den tillämpas mer pragmatiskt. IIoT och molnanalys skapar dataflöden som går utanför den strikta hierarkin, men modellens kärnidé – att processnära system ska skyddas bakom kontrollerade gränser – är viktigare än någonsin. Moderna arkitekturer kombinerar Purdue-segmentering med säkra edge- och molnintegrationer.

    Vad är nivå 3.5 och varför är den så viktig?

    Nivå 3.5 är den industriella DMZ:n – en mellanzon där data utbyts mellan IT och OT via mellanliggande servrar, utan direkta förbindelser. Den är ofta den enskilt viktigaste säkerhetsåtgärden: går det att nå styrsystemen direkt från kontorsnätet kan ett IT-intrång bli ett produktionsstopp.

    Hur förhåller sig Purdue-modellen till IEC 62443?

    Purdue-modellen beskriver nivåerna; IEC 62443 bygger vidare med zoner, conduits och säkerhetsnivåer. I praktiken används de tillsammans: miljön ritas upp enligt Purdue och delas sedan in i zoner med kravställda skyddsnivåer enligt standarden.

    Hur börjar man tillämpa modellen i en befintlig miljö?

    Med inventering: kartlägg vilka system som finns och hur de faktiskt kommunicerar – verkligheten avviker ofta från dokumentationen. Placera systemen på nivåer, identifiera otillåtna direktvägar mellan IT och OT, etablera en DMZ och segmentera sedan stegvis utan att störa driften.

    Viktiga punkter att ta med sig om Purdue-modellen
    • Referenskartan: modellen delar in industrimiljön i nivåer från fysisk process till affärssystem.
    • Segmenteringsgrund: nivåerna översätts till nätverkszoner med kontrollerade övergångar.
    • DMZ är kärnan: nivå 3.5 förhindrar direkta förbindelser mellan IT och OT.
    • Lever vidare: moln och IIoT utmanar hierarkin, men principen om skyddade processnära system består.
    • Par med IEC 62443: Purdue ger strukturen, standarden ger kraven på zoner och skyddsnivåer.
    CYBERSÄKERHET FÖR OT

    Hur skyddade är era industriella miljöer?

    Cybersäkra verksamheten

    Andra relevanta ord i samma kategori