ST Engineering 5282 Data Diode Manual de instrucțiuni

Dioda de date ST Engineering 5282

Informațiile conținute aici sunt proprietatea ST Electronics (Info-Security) Pte Ltd și nu pot fi copiate, utilizate sau dezvăluite în întregime sau parțial unei terțe părți decât cu aprobarea scrisă a ST Electronics (Info-Security) Pte Ltd sau , dacă a fost autorizat în baza unui contract.

Capitolul 1 – ST Introducere

Referință ST

• Titlu: ST Engineering Data Diode model 5282 și 5283 Security Target
• Versiunea ST: 4.0
• Data ST: 10 iunie 2022

Referință TOE

Referință TOE: ST Engineering Data Diode model 5282, versiunea 2.2.1055, model 5283 versiunea 2.2.1055

• Nume: ST Engineering Data Diode
• Model: 5282 și 5283
• Versiune: 2.2.1055

TOE Pesteview
Target of Evaluation (TOE) este un gateway de rețea care asigură transmisia de date unidirecțională la nivel fizic prin TOE.
TOE este folosit pentru a conecta două rețele independente împreună, denumite Rețeaua de trimitere și Rețeaua de recepție. Rețeaua de trimitere se conectează la TOE prin interfața InterfaceLAN (Expeditor), în timp ce Rețeaua de primire se conectează la TOE prin interfața InterfaceLAN (Receiver). Figura 1 ilustrează configurația rețelei care este și configurația TOE evaluată.

TOE asigură că datele pot circula numai de la rețeaua de trimitere la rețeaua de recepție, dar nu în direcția inversă. Diagrama bloc TOE este ilustrată în Figura 2.

TOE constă din două subsisteme, adică Placa de bază emițător și Placa de bază receptor. Aceste două subsisteme sunt separate fizic unul de celălalt și sunt alimentate de surse de alimentare independente. Proprietatea de transmitere a datelor unidirecțională este realizată de perechea de SFP+ personalizat (vezi Figura 2) care sunt implementate pe placa de bază emițător și, respectiv, pe placa de bază a receptorului. SFP+ (Sender) de pe placa de bază Sender constă doar dintr-un transmițător optic și nu are nicio interfață externă pentru a recepționa semnale optice, în timp ce SFP+ (Receiver) de pe placa de bază Reciever constă doar dintr-un senzor optic și nu are transmițător optic; Datele pot fi transmise optic numai de la SFP+ (Exmițător) la SFP+ (Receiver) în virtutea implementării fizice.
Rețineți că portalul de management (web interfață pentru configurarea TOE) și File Modulele de sistem din placa de bază emițător și placa de bază receptor sunt module non-TOE și nu sunt considerate parte a TOE.

Proprietatea de transmitere a datelor unidirecțională a nivelului fizic a TOE poate aborda două probleme de securitate:

• Previne scurgerea de informații de la Rețeaua de recepție la Rețeaua de trimitere.
• Împiedică integritatea datelor din rețeaua de expediere să fie compromisă de procesele care rulează în rețeaua de primire.

TOE constă din 2 modele, adică 5282 și 5283, care implementează același design și proprietate de transmisie unidirecțională a datelor, așa cum este ilustrat în Figura 2. Diferențele dintre modele sunt descrise în continuare în Tabelul 1 de mai jos.

Tip TOE
TOE este un gateway de rețea unidirecțional de nivel fizic.

Descriere TOE

Domeniul fizic

Hardware și software TOE

Hardware
După cum este ilustrat în Figura 2, TOE constă din două subsisteme, adică placa de bază emițător și placa de bază receptor. Aceste două plăci de bază sunt separate fizic una de cealaltă și sunt conectate între ele doar prin perechea de SFP+ personalizat. Următoarele oferă o scurtă descriere a plăcilor de bază și a SFP+ personalizat.

• Placa de baza expeditorului;
  Această placă de bază se conectează la rețeaua de trimitere. Se conectează doar la placa de bază Receiver prin perechea de SFP+ personalizat.
• Placa de baza receptor;
  Această placă de bază va fi conectată la rețeaua de recepție. Se conectează numai la placa de bază Sender prin perechea de SFP+ personalizat.
• SFP+ (Expeditor)
  Acesta este un modul care face parte din placa de bază Sender. Este format dintr-un transmițător optic, dar nu conține nicio interfață externă pentru recepționarea semnalelor optice; nu poate primi semnale optice de la exterior.
• SFP+ (destinator)
  Acesta este un modul care face parte din placa de bază a receptorului. Este format doar dintr-un senzor optic, dar nu și un transmițător optic; nu poate transmite semnale optice.
• Sursă de alimentare (emițător) și sursă de alimentare (receptor)
  Ambele module sunt surse de alimentare independente care furnizează energie respectivelor plăci de bază Sender și Recevier Motherboard.

Software
Atât placa de bază Sender, cât și Receiver Motherboard funcționează pe sistemul de operare Linux (OS). Următoarele descriu modulele software care rulează pe placa de bază Sender și pe placa de bază receptor.

• Placa de bază a expeditorului
  • Serviciul expeditor
    Primește date de la rețeaua de trimitere prin protocolul de rețea standard, cum ar fi TCP, UDP, SYSLOG, SNMP, SMTP, OPC, MODBUS, Video Streaming, Kafka.
  •  Data Diode Client
    • Convertește protocolul standard în protocolul proprietar
    • Trimite datele către modulul SFP+ (Expeditor).
  • Portal de management
    Oferă interfața portalului de management (web interfață) pentru ca utilizatorii să configureze protocolul de rețea așteptat pe InterfaceLAN (Expeditor).
  • File Sistem:
    Stochează configurația și jurnalul necesare files care este citit și generat de modulul Sender Service.
• Placa de baza a receptorului
  o Data Diode Server
  ▪ Primește date de la modulul SFP+ (Receiver).
• Convertește protocolul proprietar în protocolul de rețea standard
  • Serviciul de receptor
    • Trimite datele către Rețea de recepție folosind protocolul de rețea standard
  • Portal de management
    • Oferă interfața portalului de management (web interfață) pentru ca utilizatorii să configureze protocolul de rețea așteptat pe InterfaceLAN (Receiver).
  • File Sistem:
    • Stochează configurația și jurnalul necesare files care este citit și generat de modulul Receiver Service.

Toate software-urile din placa de bază Sender și Receiver Motherboard nu pot compromite transmisia de date unidirecțională a stratului fizic (Layer 1), deoarece software-ul se află în Layer 2 și mai sus al modelului Open Systems Interconnection (OSI).

Sistem de operare

• Sistemul de operare al plăcii de bază expeditorului: Linux
• Sistemul de operare al plăcii de bază a receptorului: Linux

Hardware și software non-TOE
Nici unul.

Metoda de livrare a TOE și îndrumarea acestuia pentru utilizator
TOE este livrat la adresa clientului de către personalul companiei pentru livrare locală sau servicii de curierat de încredere pentru livrare în străinătate.
Ghidurile de utilizare sunt disponibile în următoarele documente în format PDF. Ghidurile de utilizare sunt livrate utilizatorilor prin e-mail:

• ST Engineering Data Diode Model 5282 versiunea 2.2 Ghid de configurare v2.3. 2
• ST Engineering Data Diode Model 5283 versiunea 2.2 Ghid de configurare v2.3. 2
• ST Engineering Data Diode Model 328X, 5282 și 5283 Test de acceptare v2.2
• ST Engineering Data Diode Model 328X, 5282 and 5283 Management Portal User Guide v2.6. E

Domeniul logic al TOE
TOE permite fluxul de date din rețeaua de expediere către rețeaua de recepție, dar nu permite fluxul de date în direcția inversă, în virtutea implementării fizice a perechii SFP+ personalizate pe placa de bază emițător și placa de bază receptor; SFP+ (Emițător) nu are interfață externă pentru a primi semnal optic în timp ce SFP+ (Receiver) nu are un transmițător optic, prin urmare, nu este posibil din punct de vedere fizic ca datele să circule de la Rețeaua de Recepție la Rețeaua de Trimitere prin TOE.

Următoarea secvență descrie fluxul de date prin TOE:

1. Placa de bază Sender primește date de la rețeaua de expediere prin InterfaceLAN (Expeditor).
2. Placa de bază Sender convertește apoi pachetele de date dintr-un protocol de rețea standard într-unul proprietar. Pachetele de date convertite sunt apoi redirecționate către placa de bază a receptorului prin perechea SFP+ personalizată.
3. Placa de bază Receiver primește pachete de date proprietare de la placa de bază Sender și le convertește la protocolul de rețea standard. Pachetele de date convertite sunt apoi redirecționate către rețeaua de recepție prin InterfaceLAN (Receiver).

Capitolul 2 – Cereri de conformitate

Cereri de conformitate
TOE și ST sunt conforme cu Common Criteria (CC) Versiunea 3.1, Revizia 5, din aprilie 2017. TOE și ST sunt conforme cu CC Partea 2 și CC Partea 3. ST este conform pachetului cu pachetul de asigurare CC EAL4+ AVA_VAN.5.

Motivul de conformitate
Nici unul.

Capitolul 3 – Definirea problemei de securitate

Acest TOE abordează scurgerea de date de la rețeaua de recepție la rețeaua de expediere.

Amenințări
Această secțiune descrie amenințările care sunt abordate de TOE:
T.RCVDATALEAK: Un utilizator sau un proces din Rețeaua de Recepție care încalcă accidental sau deliberat confidențialitatea datelor prin transmiterea datelor prin TOE către Rețeaua de Trimitere.

Politici de securitate organizațională
Nu există politici de securitate organizațională pe care TOE trebuie să le respecte.

Ipoteze
Ipotezele făcute cu privire la mediul preconizat al TOE sunt:

• A.FIZIC: TOE va fi instalat și operat într-un mediu care împiedică accesul fizic neautorizat.
• A.USER: Utilizatorii sunt de încredere; utilizatorii nu vor compromite în mod rău intenționat funcționalitatea de securitate a TOE. Utilizatorii sunt bine instruiți; utilizatorul trebuie să respecte procedurile de operare stipulate în ghidul de utilizare.
• A.NETWORK: Fluxul de informații dintre Rețeaua de trimitere și Rețeaua de recepție trebuie să treacă prin TOE și nu va exista altă conexiune de rețea între Rețeaua de trimitere și Rețeaua de recepție.

Capitolul 4 Obiective de securitate

Obiective de securitate pentru TOE
O.ONEWAY: TOE va permite fluxul de date din Rețeaua de expediere către Rețeaua de Recepție, dar nu în direcția inversă, adică Rețeaua de Recepție către Rețeaua de Recepție.

Obiective de securitate pentru mediul operațional

• Următoarele obiective de securitate sunt necesare pentru a ajuta TOE să furnizeze corect funcția de securitate a transmisiei de date unidirecționale.
• Aceste obiective sunt îndeplinite prin aplicarea unor măsuri procedurale sau administrative.
  OE.PHYSICAL: TOE trebuie instalat și operat într-un mediu securizat din punct de vedere fizic, care împiedică accesul fizic neautorizat.
• OE.USER: Utilizatorii sunt de încredere; utilizatorii nu vor compromite în mod rău intenționat funcționalitatea de securitate a TOE. Utilizatorii sunt bine instruiți; utilizatorul trebuie să respecte procedurile de operare stipulate în ghidul de utilizare.
• OE.NETWORK: Fluxul de informații dintre rețeaua de expediere și rețeaua de recepție va trece prin TOE și nu va exista nicio altă conexiune la rețea între rețeaua de expediere și rețeaua de recepție.

Motivul obiectivelor de securitate

Tabelul 2 mapează obiectivele de securitate cu amenințările și ipotezele descrise în Capitolul 3. Tabelul ilustrează faptul că fiecare amenințare este contracarată de cel puțin un obiectiv de securitate, că fiecare ipoteză este susținută de cel puțin un obiectiv de securitate și că fiecare obiectiv contracarează cel puțin o amenințare. sau susține cel puțin o presupunere.

Acesta este apoi urmat de un text explicativ care oferă o justificare pentru fiecare amenințare definită, conform căreia, dacă toate obiectivele de securitate care se regăsesc până la amenințare sunt atinse, amenințarea este eliminată, este suficient de diminuată sau că efectele amenințării sunt suficient de atenuate. În plus, fiecare ipoteză definită se dovedește a fi susținută dacă sunt atinse toate obiectivele de securitate pentru mediul operațional care se regăsesc până la ipoteză.

T. RCVDATALEAK

• T.RCVDATALEAK: Un utilizator sau un proces din Rețeaua de Recepție care încalcă accidental sau deliberat confidențialitatea datelor prin transmiterea datelor prin TOE către Rețeaua de Trimitere.
• O.ONEWAY asigură că datele pot circula numai din rețeaua de expediere către rețeaua de recepție, dar nu în direcția inversă
• OE.PHYSICAL asigură că TOE este implementat într-un mediu securizat din punct de vedere fizic, adică numai utilizatorilor autorizați li se permite accesul fizic la TOE. Acest lucru împiedică implementarea și configurarea TOE să fie tampered, ocolind sau modificând astfel transmisia de date unidirecțională SFP
• OE.USER asigură că utilizatorii sunt de încredere; utilizatorii nu vor ocoli sau tamper funcționalitatea de securitate a TOE. De asemenea, asigură că utilizatorul este bine instruit; utilizatorii nu vor configura greșit TOE fără să știe, ceea ce poate duce la compromiterea funcționalității de securitate a TOE.
• OE.NETWORK se asigură că toate conexiunile de rețea dintre Rețeaua de trimitere și Rețeaua de recepție trec prin TOE, astfel încât SFP de transmisie unidirecțională a datelor să fie păstrată.

A.FIZIC
A.FIZIC: TOE va fi instalat și operat într-un mediu care împiedică accesul fizic neautorizat. OE.PHYSICAL susține direct A.PHYSICAL.

UN UTILIZATOR
A.USER: Utilizatorii sunt de încredere; utilizatorii nu vor compromite în mod rău intenționat funcționalitatea de securitate a TOE. Utilizatorul este bine instruit; utilizatorul trebuie să respecte procedurile de operare stipulate în ghidul utilizatorului OE.USER susține direct A.USER.

O REȚEA
A.NETWORK: Fluxul de informații dintre rețeaua de expediere și rețeaua de recepție trebuie să treacă prin TOE și nu va exista altă conexiune de rețea între rețeaua de expediere și rețeaua de primire. OE.NETWORK susține direct A.NETWORK

Capitolul 5 Cerința de securitate

• Cerințe funcționale de securitate
  TOE folosește două subiecte: Rețeaua de trimitere și Rețeaua de recepție. Acești subiecți sunt conectați la TOE prin InterfaceLAN (Emițător) și, respectiv, InterfaceLAN (Receiver). Aceste subiecte nu au atribute.
  Această declarație a SFR-urilor nu definește alte subiecte, obiecte, operațiuni, atribute de securitate sau entități externe.
• Control complet al fluxului de informații (FDP_IFC.2)
  • FDP_IFC.2 Control complet al fluxului de informații
  • Ierarhic la: FDP_IFC.1 Controlul fluxului de informații subset
  • Dependențe: FDP_IFF.1 Atribute de securitate simple
  • FDP_IFC.2.1 TSF va aplica transmisia de date unidirecțională în SFP de nivel fizic asupra tuturor informațiilor de la rețeaua de expediere la rețeaua de recepție prin TOE și toate operațiunile care fac ca informațiile să circule către și de la subiectele acoperite de SFP.
  • FDP_IFC.2.2 TSF se asigură că toate operațiunile care fac ca orice informație din TOE să circule către și de la orice subiect din TOE sunt acoperite de un SFP de control al fluxului de informații.
• Atribute de securitate simple (FDP_IFF.1)
  • FDP_IFF.1 Atribute de securitate simple
  • Ierarhic către: fără alte componente.
  • Dependențe: FDP_IFC.1 Controlul fluxului de informații al subsetului FMT_MSA.3 Inițializarea atributului static1 FDP_IFF.1.1 TSF trebuie să impună transmiterea de date unidirecțională în SFP de nivel fizic pe baza următoarelor tipuri de subiecte și atribute de securitate a informațiilor:
• Subiect: Rețea de trimitere, Rețea de recepție.
• Atribut de securitate a informațiilor: Identitatea subiectului2
  FDP-IFF.1.2 TSF trebuie să permită un flux de informații între un subiect controlat și informații controlate printr-o operațiune controlată, dacă sunt valabile următoarele reguli:
• TSF va permite fluxului datelor din rețeaua de expediere către rețeaua de recepție.
  • FMT_MSA.3 nu este aplicabil deoarece nu există atribute de securitate de inițializat
  • Identitatea subiectului este definită ca Rețeaua de trimitere și Rețeaua de recepție
• TSF va refuza transmiterea datelor din rețeaua de recepție către rețeaua de expediere.
  FDP_IFF.1.3 TSF va pune în aplicare None
  FDP_IFF.1.4 TSF autorizează în mod explicit un flux de informații pe baza următoarelor reguli: Niciuna.
  FDP_IFF.1.5 TSF va refuza în mod explicit un flux de informații bazat pe următoarele reguli: Niciuna
• Definiție extinsă a componentelor
  Nu există componente extinse definite în acest ST.
• Motivul cerinței de securitate
• Urmărirea între SFR-uri și obiectivele de securitate pentru TOE
  Următorul tabel oferă o mapare între cerințele de securitate și obiectivele de securitate ale TOE.
• Justificarea suficienței
  Obiectivul de securitate al TOE:
  • O.ONEWAY: TOE va permite fluxul de date din Rețeaua de expediere către Rețeaua de Recepție, dar nu în direcția inversă, adică Rețeaua de Recepție către Rețeaua de Recepție.
  • FDP_IFF.1 necesită ca toate informațiile care circulă prin TOE să fie acoperite de transmisia de date unidirecțională în stratul fizic SFP. Acest lucru asigură că niciun flux de informații, explicit sau ascuns, nu este scutit de transmisia de date unidirecțională în stratul fizic SFP.
  • FDP_IFC.2 necesită ca datele să poată circula numai din Rețeaua de expediere către Rețeaua de Recepție și nu în direcția inversă, adică Rețeaua de Recepție către Rețeaua de Recepție.
• Cerințe de asigurare a securității
  Cerințele de asigurare a securității pentru TOE sunt Evaluation Assurance Level 4+ AVA_VAN.5.

  Clasa de asigurare	Componenta Asigurare
  ADV: Dezvoltare	ADV_ARC.1 Descrierea arhitecturii de securitate

  	ADV_FSP.4 Specificație funcțională completă
  	ADV_IMP.1 Reprezentarea implementării TSF
  	ADV_TDS.3 Proiectare modulară de bază
  AGD: Documente de orientare	AGD_OPE.1 Ghid operațional pentru utilizator
  	AGD_PRE.1 Proceduri pregătitoare
  ALC: Suport pentru ciclul de viață	ALC_CMC.4 Suport de producție, proceduri de acceptare și automatizare
  	ALC_CMS.4 Problemă de urmărire a acoperirii CM
  	ALC_DEL.1 Proceduri de livrare
  	ALC_DVS.1 Identificarea măsurătorilor de securitate
  	ALC_LCD.1 Modelul ciclului de viață definit de dezvoltator
  	ALC_TAT.1 Instrumente de dezvoltare bine definite
  ASE: Evaluarea țintei de securitate	ASE_CCL.1 Afirmații de conformitate
  	ASE_ECD.1 Definiție extinsă a componentelor
  	ASE_INT.1 ST introducere
  	ASE_OBJ.2 Obiective de securitate
  	ASE_REQ.2 Cerințe de securitate derivate
  	ASE_SPD.1 Definirea problemei de securitate
  	ASE_TSS.1 Specificație rezumată TOE
  ATE: Teste	ATE_COV.2 Analiza acoperirii
  	ATE_DPT.1 Testare: proiectare de bază
  	ATE_FUN.1 Testare funcțională
  	ATE_IND.2 Testare independentă – sample
  AVA: Vulnerabilitate evaluare	AVA_VAN.5 Analiză metodică avansată a vulnerabilităților

   

• Motivarea cerințelor de asigurare a securității
  Pachetul de asigurare a evaluării selectat pentru evaluarea TOE este EAL4+
  AVA_VAN.5 pachet de asigurare. Pachetul de asigurare EAL4+ AVA_VAN.5 a fost ales pentru a oferi rezistență împotriva potențialului ridicat de atac, care este în concordanță cu produsele comerciale pentru aplicații în guvern. Nivelul de asigurare ales este adecvat cu amenințările definite pentru mediu (protecție fizică de către mediu, interfață limitată și acces la TOE).
• Tabelul de dependență a cerințelor de securitate
  Tabelul 5 prezintă satisfacția tuturor dependențelor cerințelor de securitate. Pentru fiecare cerință de securitate inclusă în ST, dependențele CC sunt identificate în coloana „Dependență CC”, iar dependențele satisfăcute sunt identificate în coloana „Dependență ST”.

  ST SFR	Dependența ST	Dependența CC	Justificare
  FDP_IFC.2	FDP_IFF.1	FDP_IFF.1
  FDP_IFF.1	FDP_IFC.2	FDP_IFC.1 FMT_MSA.3	FMT_MSA.3 nu este aplicabil deoarece există nu există atribute de securitate de inițializat.

   

• Specificație rezumată TOE
  TOE abordează două cerințe funcționale de securitate: FDP_IFC.2 și FDP_IFF.1. Aceștia lucrează împreună pentru a îndeplini obiectivul de securitate pentru TOE. Următoarele oferă o descriere a mecanismelor tehnice generale pe care TOE le utilizează pentru a satisface fiecare SFR definit. Include descrierea funcționalității de securitate dată în fiecare SFR prin referință și oferă un nivel înalt view a implementării lor în TOE
  • FDP_IFC.2 :
    TOE constă din două subsisteme, adică placa de bază emițător și placa de bază receptor. Atât placa de bază emițător, cât și placa de bază receptor sunt complet independente, fiecare având propriile sale interfețe de alimentare și de rețea independente, fiecare închisă într-o carcasă care nu admite semnale electrice sau optice prin alte interfețe decât cele descrise. Pe baza îndrumărilor utilizatorului (indicate în secțiunea 1.4.1.3), placa de bază a expeditorului este conectată numai la rețeaua de expediere și nu este conectată la rețeaua de recepție. În schimb, placa de bază a receptorului este conectată numai la rețeaua de recepție.
    Placa de bază emițător și placa de bază receptor sunt conectate doar printr-un singur cablu de fibră optică. Acest cablu de fibră optică este conectat la fiecare dintre placa de bază Sender și Receiver Motherboard prin intermediul SFP+ personalizat respectiv, adică SFP+ (Emițător) și SFP+ (Receiver). Acest lucru asigură că toate datele care circulă prin TOE trebuie să circule prin cablul de fibră optică și, prin urmare, sunt acoperite de transmisia de date unidirecțională SFP.
  • FDP_IFF.1:
    Modulul SFP+ (Emițător) convertește semnalele electrice de intrare în semnale optice, în timp ce modulul SFP+ (Receiver) transformă semnalele optice de intrare în semnale electrice. Modulul SFP+ (Emițător) conține un transmițător optic și nu un senzor optic care poate primi semnale optice extern. În schimb, modulul SFP+ (Receiver) conține doar un senzor optic și nu un transmițător optic. Prin urmare, SFP+ (Emițător) și SFP+ (Receiver) împreună permit doar fluxul de date din rețeaua de expediere în rețeaua de recepție, dar nu în direcția inversă.

Referințe

1. Criterii comune pentru evaluarea securității tehnologiei informației, partea 1: introducere și model general, aprilie 2017, versiunea 3.1, revizuirea 5
2. Criterii comune pentru evaluarea securității tehnologiei informației, partea 2: componente funcționale de securitate, aprilie 2017, versiunea 3.1 revizuirea 5
3. Criterii comune pentru evaluarea securității tehnologiei informației, partea 3: componente de asigurare a securității, aprilie 2017, versiunea 3.1 revizuirea 5
4. Common Criteria for Information Technology Security Evaluation, Metodologia de evaluare, aprilie 2017, Versiunea 3.1 Revizia 5.

AFefgii

• CC Criterii comune
• Nivel de asigurare a evaluării EAL
• Cerințe de asigurare a securității SAR
• Cerințe funcționale de securitate SFR
• Politica funcțională de securitate SFP
• Modul diodă de date SFP+
• Ținta de evaluare a TOE
• Funcția de securitate TSF TOE
• Țintă de securitate ST