КУМО является шлюзом между сетью с высокой целостностью и сетью с низкой целостностью.
| Актив | Неприемл.событие | Ущерб |
|---|---|---|
| Внутренняя сеть | Пакет снаружи | Воздействие на PLC |
| Обновление фирмвера | Пользователь неавторизован | Потеря защищенности |
| Обновление фирмвера | Фирмвер неправильно подписан | Потеря защищенности |
- Данные получаются от внутреннего источника и кладутся в буферную БД.
- Данные запрашиваются снаружи и отдаются запрашивающему.
- Пользователь заливает новый фирмвер и обновляет прошивку.
Ц1. Данные из внешней сети во внутреннюю не передаются.
Ц2. Внешний пользователь может только считывать данные, сгенерированные ПЛК.
Ц3. Неавторизованный пользователь не имеет права заливки фирмвера.
Ц4. Не прошедшая проверку прошивка в устройство не шьется.
П1. Устройство не доступно для физического доступа.
П2. Невозможно образование каналов связи между программными компонентами помимо запроектированных (=MILS реализован корректно).
| Компонент | Делает | Отдает | Получает | Оценка |
|---|---|---|---|---|
| PLC | Управление рабочим процессом | Данные о техпроцессе | Подтверждение отправки | |
| Requester | Запрашивает данные | Команда запроса | Данные о техпроцессе | |
| IntEngineer | Обновление прошивки | Login + FW | Нет | |
| ExtEngineer | Обновление прошивки | Login + FW | Нет | |
| Receiver | Ведет обмен с ПЛК | Подтверждение ПЛК, новые данные в буфер (с превышением) | Данные от ПЛК | MM |
| Buffer | Хранит события для Requester | События | Запросы только от Sender | MM |
| Sender | Ведет обмен с Requester, обрабатывает только корректные запросы. Требует верификации. Можно выделить входной файрволл отдельно, если внешний протокол обмена сложный. | События | Только запросы событий | SS |
| TLS Terminator | Обеспечивает неперехватываемость данных в канале | HTTP | HTTPS | CM |
| Input sorter | Фильтрация HTTP-посылок | Файлы - только запись в Storage, данные авторизации - только запись в Authoriser | Raw HTTP | SS |
| Authoriser | Проверка авторизованности пользователя | Если пользователь имеет право прошивки - машет флажком Checker | Login + password | SM |
| FW storage | Хранение прошивки-кандидата | Прошивку по запросу Checker | Прошивку от сортера. Рассматривается как блоб, не парсится. | MM |
| Checker | Проверяет подпись прошивки, если корректная - забирает из storage c удалением там и отдает в updater | Прошивку в Updater | Команду от авторизатора, прошивку из Storage | ML |
Разметка сделана с точки зрения целостности данных.
