Datová dioda ST Engineering 5282

Informace obsažené v tomto dokumentu jsou majetkem společnosti ST Electronics (Info-Security) Pte Ltd a nesmějí být kopírovány, používány nebo zveřejňovány jako celek ani zčásti žádné třetí straně s výjimkou písemného souhlasu společnosti ST Electronics (Info-Security) Pte Ltd nebo , je-li oprávněna na základě smlouvy.

Kapitola 1 – ST Úvod

Odkaz ST

• Název: ST Engineering Data Diode model 5282 a 5283 Security Target
• Verze ST: 4.0
• ST Datum: 10. června a 2022

Reference TOE

Reference TOE: ST Engineering Data Diode model 5282, verze 2.2.1055, model 5283 verze 2.2.1055

• Název: ST Engineering Data Diode
• Model: 5282 a 5283
• Verze: 2.2.1055

TOE Overview
Cíl hodnocení (TOE) je síťová brána, která zajišťuje jednosměrný přenos dat fyzické vrstvy přes TOE.
TOE se používá ke spojení dvou nezávislých sítí, označovaných jako vysílací síť a přijímací síť. Odesílající síť se připojuje k TOE přes rozhraní InterfaceLAN (Sender), zatímco přijímací síť se připojuje k TOE přes rozhraní InterfaceLAN (Přijímač). Obrázek 1 znázorňuje konfiguraci sítě, která je také vyhodnocenou konfigurací TOE.

TOE zajišťuje, že data mohou proudit pouze z odesílající sítě do přijímací sítě, ale ne v opačném směru. Blokové schéma TOE je znázorněno na obrázku 2.

TOE se skládá ze dvou subsystémů, tj. základní desky odesílatele a základní desky přijímače. Tyto dva subsystémy jsou od sebe fyzicky odděleny a jsou napájeny nezávislými napájecími zdroji. Vlastnosti jednosměrného přenosu dat je dosaženo dvojicí přizpůsobených SFP+ (viz obrázek 2), které jsou implementovány na základní desce odesílatele a základní desce přijímače. SFP+ (Sender) na základní desce Sender sestává pouze z optického vysílače a nemá žádné externí rozhraní pro příjem optických signálů, zatímco SFP+ (Receiver) na základní desce přijímače sestává pouze z optického senzoru a nemá optický vysílač; data lze pouze opticky přenášet z SFP+ (odesílatel) do SFP+ (přijímače) na základě fyzické implementace.
Upozorňujeme, že portál pro správu (web rozhraní pro konfiguraci TOE) a File Systémové moduly na základní desce odesílatele i na základní desce přijímače nejsou moduly TOE a nejsou považovány za součást TOE.

Vlastnost jednosměrného přenosu dat fyzické vrstvy TOE může řešit dva bezpečnostní problémy:

• Zabraňuje úniku informací z přijímací sítě do odesílací sítě.
• Zabraňuje tomu, aby byla integrita dat umístěných v odesílající síti narušena procesy běžícími v přijímací síti.

TOE se skládá ze 2 modelů, tj. 5282 a 5283, které implementují stejný design a vlastnosti jednosměrného přenosu dat, jak je znázorněno na obrázku 2. Rozdíly mezi modely jsou dále popsány v tabulce 1 níže.

Typ TOE
TOE je jednosměrná síťová brána fyzické vrstvy.

Popis TOE

Fyzický rozsah

Hardware a software TOE

Železářské zboží
Jak je znázorněno na obrázku 2, TOE se skládá ze dvou subsystémů, tj. základní desky odesílatele a základní desky přijímače. Tyto dvě základní desky jsou od sebe fyzicky oddělené a jsou k sobě připojeny pouze pomocí dvojice přizpůsobených SFP+. Následuje stručný popis základních desek a přizpůsobeného SFP+.

• Základní deska odesílatele;
  Tato základní deska se připojuje k Sending Network. K základní desce přijímače se připojuje pouze pomocí dvojice přizpůsobených SFP+.
• Základní deska přijímače;
  Tato základní deska bude připojena k přijímací síti. K základní desce Sender se připojuje pouze pomocí dvojice přizpůsobených SFP+.
• SFP+ (odesílatel)
  Jedná se o modul, který je součástí základní desky odesílatele. Skládá se z optického vysílače, ale neobsahuje žádné externí rozhraní pro příjem optických signálů; není schopen přijímat optické signály z vnějšku.
• SFP+ (přijímač)
  Jedná se o modul, který je součástí základní desky přijímače. Skládá se pouze z optického senzoru, ale ne z optického vysílače; není schopen přenášet optické signály.
• Napájení (vysílač) a napájecí zdroj (přijímač)
  Oba moduly jsou nezávislé napájecí zdroje, které napájejí příslušnou základní desku Sender a základní desku přijímače.

Software
Základní deska odesílatele i základní deska přijímače pracují na operačním systému (OS) Linux. Níže jsou popsány softwarové moduly běžící na příslušné základní desce odesílatele a základní desce přijímače.

• Základní deska odesílatele
  • Služba odesílatele
    Přijímá data z Sending Network přes standardní síťový protokol, jako je TCP, UDP, SYSLOG, SNMP, SMTP, OPC, MODBUS, Video Streaming, Kafka.
  •  Klient datové diody
    • Převede standardní protokol na proprietární protokol
    • Odešle data do modulu SFP+ (Sender).
  • Manažerský portál
    Poskytuje rozhraní portálu pro správu (web rozhraní), aby uživatelé mohli nakonfigurovat očekávaný síťový protokol na rozhraní InterfaceLAN (Sender).
  • File Systém:
    Ukládá požadovanou konfiguraci a protokol files, které čte a generuje modul Sender Service.
• Základní deska přijímače
  o Server datových diod
  ▪ Přijímá data z modulu SFP+ (Přijímač).
• Převede proprietární protokol na standardní síťový protokol
  • Služba přijímače
    • Odesílá data do Receiving Networking pomocí standardního síťového protokolu
  • Manažerský portál
    • Poskytuje rozhraní portálu pro správu (web rozhraní), aby uživatelé mohli nakonfigurovat očekávaný síťový protokol na rozhraní InterfaceLAN (přijímač).
  • File Systém:
    • Ukládá požadovanou konfiguraci a protokol files, který je čten a generován modulem Receiver Service.

Veškerý software na základní desce odesílatele a základní desce přijímače není schopen ohrozit jednosměrný přenos dat na fyzické vrstvě (vrstva 1), protože software je umístěn na vrstvě 2 a výše modelu Open Systems Interconnection (OSI).

Operační systém

• Operační systém základní desky odesílatele: Linux
• Operační systém základní desky přijímače: Linux

Hardware a software mimo TOE
Žádný.

Způsob doručení TOE a jeho uživatelské pokyny
TOE doručí na adresu zákazníka zaměstnanci společnosti pro místní doručení nebo důvěryhodné kurýrní služby pro doručení do zámoří.
Uživatelské příručky jsou k dispozici v následujících dokumentech ve formátu PDF. Uživatelské příručky jsou uživatelům doručovány prostřednictvím e-mailu:

• ST Engineering Data Diode Model 5282 verze 2.2 Průvodce nastavením v2.3. 2
• ST Engineering Data Diode Model 5283 verze 2.2 Průvodce nastavením v2.3. 2
• ST Engineering Data Diode Model 328X, 5282 a 5283 Acceptance Test v2.2
• ST Engineering Data Diode Model 328X, 5282 a 5283 Management Portal Uživatelská příručka v2.6. E

Logický rozsah TOE
TOE umožňuje tok dat z vysílací sítě do přijímací sítě, ale neumožňuje tok dat v opačném směru díky fyzické implementaci přizpůsobeného páru SFP+ na příslušné základní desce odesílatele a základní desce přijímače; SFP+ (Sender) nemá externí rozhraní pro příjem optického signálu, zatímco SFP+ (Receiver) nemá optický vysílač, proto není fyzicky možné, aby data proudila z přijímací sítě do odesílající sítě přes TOE.

Následující sekvence popisuje tok dat přes TOE:

1. Základní deska odesílatele přijímá data ze sítě odesílání prostřednictvím rozhraní InterfaceLAN (Sender).
2. Základní deska odesílatele poté převede datové pakety ze standardního síťového protokolu na proprietární. Převedené datové pakety jsou pak předány na základní desku přijímače prostřednictvím přizpůsobeného páru SFP+.
3. Základní deska přijímače přijímá proprietární datové pakety ze základní desky odesílatele a převádí je na standardní síťový protokol. Převedené datové pakety jsou pak předány do přijímající sítě přes InterfaceLAN (přijímač).

Kapitola 2 – Prohlášení o shodě

Nároky na shodu
TOE a ST jsou v souladu se společnými kritérii (CC) verze 3.1, revize 5 ze dne: duben 2017. TOE a ST jsou v souladu s CC Část 2 a CC Část 3. ST je balíček v souladu s balíčkem zajištění CC EAL4+ AVA_VAN.5.

Odůvodnění shody
Žádný.

Kapitola 3 – Definice bezpečnostního problému

Tento TOE řeší únik dat z přijímací sítě do odesílací sítě.

Výhrůžky
Tato část popisuje hrozby, které TOE řeší:
T.RCVDATALEAK: Uživatel nebo proces v přijímací síti, který náhodně nebo záměrně poruší důvěrnost dat přenosem dat přes TOE do odesílající sítě.

Zásady bezpečnosti organizace
Neexistují žádné zásady zabezpečení organizace, které musí TOE splňovat.

Předpoklady
Předpoklady o zamýšleném prostředí TOE jsou:

• A. FYZICKÉ: TOE musí být instalováno a provozováno v prostředí, které zabraňuje neoprávněnému fyzickému přístupu.
• A.USER: Uživatelé jsou důvěryhodní; uživatelé nesmí se zlými úmysly ohrozit bezpečnostní funkci TOE. Uživatelé jsou dobře vyškoleni; uživatel musí dodržovat provozní postupy uvedené v návodu k použití.
• A.NETWORK: Tok informací mezi odesílající sítí a přijímající sítí musí procházet přes TOE a mezi odesílající sítí a přijímající sítí nebude žádné jiné síťové spojení.

Kapitola 4 Bezpečnostní cíle

Bezpečnostní cíle pro TOE
O.ONEWAY: TOE musí umožnit tok dat z vysílací sítě do přijímací sítě, ale ne v opačném směru, tj. přijímací sítě do vysílací sítě.

Bezpečnostní cíle pro operační prostředí

• Následující bezpečnostní cíle jsou vyžadovány, aby pomohly TOE správně poskytovat svou funkci zabezpečení jednosměrného přenosu dat.
• Tyto cíle jsou splněny uplatněním procesních nebo správních opatření.
  OE.PHYSICAL: TOE musí být instalováno a provozováno ve fyzicky bezpečném prostředí, které zabraňuje neoprávněnému fyzickému přístupu.
• OE.USER: Uživatelé jsou důvěryhodní; uživatelé nesmí se zlými úmysly ohrozit bezpečnostní funkci TOE. Uživatelé jsou dobře vyškoleni; uživatel musí dodržovat provozní postupy uvedené v návodu k použití.
• OE.NETWORK: Informační tok mezi odesílající sítí a přijímající sítí musí procházet přes TOE a mezi odesílající sítí a přijímající sítí nesmí být žádné jiné síťové připojení.

Odůvodnění bezpečnostních cílů

Tabulka 2 mapuje bezpečnostní cíle k hrozbám a předpokladům popsaným v kapitole 3. Tabulka ilustruje, že každé hrozbě je bráněno alespoň jedním bezpečnostním cílem, že každý předpoklad je podporován alespoň jedním bezpečnostním cílem a že každý cíl čelí alespoň jedné hrozbě. nebo potvrzuje alespoň jeden předpoklad.

Poté následuje vysvětlující text, který pro každou definovanou hrozbu zdůvodňuje, že pokud jsou splněny všechny bezpečnostní cíle, které vedou k hrozbě, je hrozba odstraněna, dostatečně snížena nebo že její účinky jsou dostatečně zmírněny. Kromě toho se ukáže, že každý definovaný předpoklad je dodržen, pokud jsou splněny všechny bezpečnostní cíle pro provozní prostředí, které vycházejí z předpokladu.

T. RCVDATALEAK

• T.RCVDATALEAK: Uživatel nebo proces v přijímací síti, který náhodně nebo záměrně poruší důvěrnost dat přenosem dat přes TOE do odesílající sítě.
• O.ONEWAY zajišťuje, že data mohou proudit pouze z odesílající sítě do přijímací sítě, ale ne v opačném směru
• OE.PHYSICAL zajišťuje, že TOE je nasazeno ve fyzicky zabezpečeném prostředí, tj. pouze oprávněným uživatelům je povolen fyzický přístup k TOE. To zabraňuje implementaci a konfiguraci TOEampered, čímž se obchází nebo upravuje jednosměrný přenos dat SFP
• OE.USER zajišťuje, že uživatelé jsou důvěryhodní; uživatelé nebudou zlomyslně obcházet nebo tampbezpečnostní funkce TOE. Rovněž zajišťuje, že uživatel je dobře vyškolen; uživatelé nebudou nevědomky nesprávně konfigurovat TOE, což může vést k ohrožení funkčnosti zabezpečení TOE.
• OE.NETWORK zajišťuje, že všechna síťová připojení mezi odesílající sítí a přijímající sítí procházejí přes TOE, takže je zachován jednosměrný přenos dat SFP.

A.FYZICKÉ
A. FYZIKÁLNÍ: TOE bude instalováno a provozováno v prostředí, které zabraňuje neoprávněnému fyzickému přístupu. OE.PHYSICAL přímo podporuje A.PHYSICAL.

A.USER
A.USER: Uživatelé jsou důvěryhodní; uživatelé nesmí se zlými úmysly ohrozit bezpečnostní funkci TOE. Uživatel je dobře vyškolený; uživatel je povinen dodržovat provozní postupy stanovené v uživatelské příručce OE.USER přímo podporuje A.USER.

SÍŤ
A.NETWORK: Tok informací mezi odesílající sítí a přijímající sítí musí procházet přes TOE a mezi odesílající sítí a přijímající sítí nebude žádné jiné síťové spojení.OE.NETWORK přímo podporuje A.NETWORK

Kapitola 5 Bezpečnostní požadavek

• Bezpečnostní funkční požadavky
  TOE používá dva předměty: Odesílací síť a Přijímací síť. Tyto subjekty jsou připojeny k TOE přes InterfaceLAN (odesílatel) a InterfaceLAN (přijímač). Tyto předměty nemají žádné atributy.
  Toto prohlášení SFR nedefinuje další subjekty, objekty, operace, bezpečnostní atributy ani externí entity.
• Kompletní řízení toku informací (FDP_IFC.2)
  • FDP_IFC.2 Kompletní řízení toku informací
  • Hierarchicky k: FDP_IFC.1 Řízení toku informací podmnožiny
  • Závislosti: FDP_IFF.1 Jednoduché bezpečnostní atributy
  • FDP_IFC.2.1 TSF vynucuje jednosměrný přenos dat ve fyzické vrstvě SFP u všech informací z vysílací sítě do přijímací sítě prostřednictvím TOE a všech operací, které způsobují tok těchto informací do a ze subjektů pokrytých SFP.
  • FDP_IFC.2.2 TSF musí zajistit, aby všechny operace, které způsobují tok jakýchkoli informací v TOE do az jakéhokoli subjektu v TOE, byly pokryty SFP řízení toku informací.
• Jednoduché bezpečnostní atributy (FDP_IFF.1)
  • FDP_IFF.1 Jednoduché bezpečnostní atributy
  • Hierarchické k: Žádné další komponenty.
  • Závislosti: FDP_IFC.1 Řízení toku informací podmnožiny FMT_MSA.3 Inicializace statických atributů1 FDP_IFF.1.1 TSF vynucuje jednosměrný přenos dat ve fyzické vrstvě SFP na základě následujících typů atributů předmětu a bezpečnosti informací:
• Předmět: Odesílací síť, Přijímací síť.
• Atribut zabezpečení informací: Subject Identity2
  FDP-IFF.1.2 TSF musí umožnit tok informací mezi kontrolovaným subjektem a kontrolovanými informacemi prostřednictvím řízené operace, pokud platí následující pravidla:
• TSF musí umožnit tok dat z vysílací sítě do přijímací sítě.
  • FMT_MSA.3 nelze použít, protože neexistují žádné bezpečnostní atributy, které by bylo možné inicializovat
  • Identita subjektu je definována jako odesílající síť a přijímací síť
• TSF odepře tok dat z přijímací sítě do vysílací sítě.
  FDP_IFF.1.3 TSF musí prosazovat Žádné
  FDP_IFF.1.4 TSF musí výslovně povolit tok informací na základě následujících pravidel: Žádné.
  FDP_IFF.1.5 TSF musí výslovně zakázat tok informací na základě následujících pravidel: Žádné
• Rozšířená definice komponent
  V tomto ST nejsou definovány žádné rozšířené komponenty.
• Odůvodnění bezpečnostního požadavku
• Sledování mezi SFR a bezpečnostními cíli pro TOE
  Následující tabulka poskytuje mapování mezi bezpečnostními požadavky a bezpečnostními cíli TOE.
• Odůvodnění pro dostatečnost
  Bezpečnostní cíl TOE:
  • O.ONEWAY: TOE musí umožnit tok dat z vysílací sítě do přijímací sítě, ale ne v opačném směru, tj. přijímací sítě do vysílací sítě.
  • FDP_IFF.1 vyžaduje, aby všechny informace proudící přes TOE byly pokryty jednosměrným přenosem dat ve fyzické vrstvě SFP. To zajišťuje, že žádné toky informací, ať už explicitní nebo skryté, nejsou vyjmuty z jednosměrného přenosu dat ve fyzické vrstvě SFP.
  • FDP_IFC.2 vyžaduje, aby data mohla proudit pouze z odesílající sítě do přijímací sítě a nikoli v opačném směru, tj. z přijímací sítě do odesílající sítě.
• Požadavky na zajištění bezpečnosti
  Požadavky na zajištění bezpečnosti pro TOE jsou Evaluation Assurance Level 4+ AVA_VAN.5.

  Třída zajištění	Komponenta zajištění
  ADV: Vývoj	ADV_ARC.1 Popis bezpečnostní architektury

  	ADV_FSP.4 Kompletní funkční specifikace
  	ADV_IMP.1 Reprezentace implementace TSF
  	ADV_TDS.3 Základní modulární konstrukce
  AGD: Dokumenty s pokyny	AGD_OPE.1 Provozní návod pro uživatele
  	AGD_PRE.1 Přípravné postupy
  ALC: Podpora životního cyklu	ALC_CMC.4 Podpora výroby, akceptační postupy a automatizace
  	ALC_CMS.4 Sledování problémů pokrytí CM
  	ALC_DEL.1 Postupy dodání
  	ALC_DVS.1 Identifikace bezpečnostních měření
  	ALC_LCD.1 Vývojář definovaný model životního cyklu
  	ALC_TAT.1 Dobře definované vývojové nástroje
  ASE: Hodnocení bezpečnostních cílů	ASE_CCL.1 Nároky na shodu
  	ASE_ECD.1 Rozšířená definice komponent
  	Úvod ASE_INT.1 ST
  	ASE_OBJ.2 Bezpečnostní cíle
  	ASE_REQ.2 Odvozené bezpečnostní požadavky
  	ASE_SPD.1 Definice bezpečnostního problému
  	Souhrnná specifikace ASE_TSS.1 TOE
  ATE: Testy	ATE_COV.2 Analýza pokrytí
  	ATE_DPT.1 Testování: základní provedení
  	ATE_FUN.1 Funkční testování
  	ATE_IND.2 Nezávislé testování – sample
  AVA: Zranitelnost posouzení	AVA_VAN.5 Pokročilá metodická analýza zranitelnosti

   

• Odůvodnění požadavků na zajištění bezpečnosti
  Balíček záruky hodnocení vybraný pro hodnocení TOE je EAL4+
  Balíček zajištění AVA_VAN.5. Balíček zabezpečení EAL4+ AVA_VAN.5 byl vybrán, aby poskytoval odolnost proti vysokému potenciálu útoku, který je v souladu s komerčními produkty pro aplikace ve státní správě. Zvolená úroveň zabezpečení odpovídá hrozbám definovaným pro prostředí (fyzická ochrana prostředím, omezené rozhraní a přístup k TOE).
• Tabulka závislostí bezpečnostních požadavků
  Tabulka 5 znázorňuje splnění všech závislostí bezpečnostních požadavků. Pro každý bezpečnostní požadavek zahrnutý v ST jsou CC závislosti identifikovány ve sloupci „CC dependency“ a splněné závislosti jsou identifikovány ve sloupci „ST dependence“.

  ST SFR	Závislost na ST	Závislost na CC	Zarovnání
  FDP_IFC.2	FDP_IFF.1	FDP_IFF.1
  FDP_IFF.1	FDP_IFC.2	FDP_IFC.1 FMT_MSA.3	FMT_MSA.3 nelze použít, protože existuje žádné bezpečnostní atributy k inicializaci.

   

• Souhrnná specifikace TOE
  TOE řeší dva bezpečnostní funkční požadavky: FDP_IFC.2 a FDP_IFF.1. Spolupracují na splnění bezpečnostního cíle pro TOE. Následuje popis obecných technických mechanismů, které TOE používá ke splnění každého definovaného SFR. Zahrnuje popis bezpečnostních funkcí uvedených v každém SFR odkazem a poskytuje vysokou úroveň view jejich implementace v TOE
  • FDP_IFC.2 :
    TOE se skládá ze dvou subsystémů, tj. základní desky odesílatele a základní desky přijímače. Základní deska odesílatele i základní deska přijímače jsou zcela nezávislé, každá má své vlastní nezávislé napájení a síťová rozhraní, z nichž každé je uzavřeno v pouzdře, které nepřipouští elektrické ani optické signály prostřednictvím jiných než popsaných rozhraní. Na základě pokynů pro uživatele (uvedených v části 1.4.1.3) je základní deska odesílatele připojena pouze k odesílající síti a není připojena k přijímací síti. Naopak základní deska přijímače je připojena pouze k přijímací síti.
    Základní deska odesílatele a základní deska přijímače jsou propojeny pouze jedním optickým kabelem. Tento optický kabel je připojen ke každé základní desce odesílatele a základní desce přijímače prostřednictvím příslušných přizpůsobených SFP+, tj. SFP+ (odesílatel) a SFP+ (přijímač). Tím je zajištěno, že všechna data protékající přes TOE musí procházet optickým kabelem a jsou tak pokryta jednosměrným přenosem dat SFP.
  • FDP_IFF.1:
    Modul SFP+ (Sender) převádí příchozí elektrické signály na optické signály, zatímco modul SFP+ (Receiver) převádí příchozí optické signály na elektrické signály. Modul SFP+ (Sender) obsahuje optický vysílač a nikoli optický senzor, který může přijímat optické signály externě. Naopak modul SFP+ (Receiver) obsahuje pouze optický snímač a nikoli optický vysílač. Proto SFP+ (odesílatel) a SFP+ (přijímač) společně fyzicky umožňují pouze tok dat z odesílající sítě do přijímací sítě, ale ne v opačném směru.

Reference

1. Společná kritéria pro hodnocení bezpečnosti informačních technologií, Část 1: Úvod a obecný model, duben 2017, Verze 3.1 Revize 5
2. Společná kritéria pro hodnocení bezpečnosti informačních technologií, Část 2: Funkční komponenty zabezpečení, duben 2017, Verze 3.1 Revize 5
3. Společná kritéria pro hodnocení bezpečnosti informačních technologií, Část 3: Komponenty pro zajištění bezpečnosti, duben 2017, Verze 3.1 Revize 5
4. Společná kritéria pro hodnocení bezpečnosti informačních technologií, metodika hodnocení, duben 2017, Verson 3.1 Revize 5.

Affgiations

• Společná kritéria CC
• Úroveň zajištění hodnocení EAL
• Požadavky na zabezpečení SAR
• Funkční požadavky na zabezpečení SFR
• Funkční zásady zabezpečení SFP
• Modul datové diody SFP+
• TOE Cíl hodnocení
• Bezpečnostní funkce TSF TOE
• ST Security Target

Dokumenty / zdroje

Datová dioda ST Engineering 5282 [pdfNávod k obsluze 5282, 5283, 5282 datová dioda, 5282, datová dioda, dioda

Reference

• Uživatelská příručka