Conformité et non-conformité à la norme FIPS - Metasys - LIT-12013352 - M4-SNE10500-0 - M4-SNE10501-0 - M4-SNE11000-0 - M4-SNE11001-0 - M4-SNE110L0-0 - M4-SNE110L1-0 - M4-SNE22000-0 - M4-SNE22001-0 - Supervisory Device - SNE10 Network Engine - SNE11 Network Engine - SNE22 Network Engine - SNE Supervisory Network Engine - 11.0

Guide de mise en service du SNE

Product
Document type
Commissioning Guide
Document number
LIT-12013352
Version
11.0
Revision date
2021-06-09

À la version 11.0 de Metasys, les méthodes de chiffrement utilisées pour les communications entre les SNE SNC et le serveur Metasys ont été modifiées pour les rendre conformes à la norme FIPS 140-2. La norme FIPS 140-2 (Federal Information Processing Standard Publication 140-2) est une norme du gouvernement des États-Unis relative à la cybersécurité utilisée pour l'approbation de modules cryptographiques.

La conformité à la norme FIPS 140-2 est une fonction de série sur tous les moteurs SNE SNC de la version 11.0 et une option sous licence sur les serveurs Metasys et les moteurs avec logiciel NAE85/LCS85. Après avoir mis à jour un SNE SNC vers la version 11.0, la seule méthode possible pour supprimer la conformité à la norme FIPS 140-2 est de créer une nouvelle image d’une version antérieure du moteur. De plus, il n’existe aucun attribut dans l'interface utilisateur qui indique qu’un moteur de réseau est conforme à la norme FIPS. Tous les moteurs SNE SNC exécutant la version 11.0 du micrologiciel sont conformes à la norme FIPS ; aucun moteur d’une version antérieure ne l’est.

Pour Metasys Server version 11.0, la conformité à la norme FIPS 140-2 est une fonction achetée, sous licence. L'attribut intitulé FIPS Compliance Status, dans la section Engineering Values de l'objet d’appareil ADS, indique l'état FIPS actuel du serveur. La valeur est soit Compliant (Sous licence) ou Non-Compliant (Sans licence). Cet attribut en lecture seule est défini sur Compliant (Sous licence) une fois que la licence de l’option de conformité à la norme FIPS est activée et que le logiciel correspondant est installé sur le serveur Metasys. Après avoir activé l’option de conformité à la norme FIPS sur le serveur, ce dernier ne communique plus qu’avec d’autres moteurs de réseau eux-mêmes conformes à la norme FIPS. Cette restriction est nécessaire pour que le site soit entièrement conforme à la norme FIPS.

Reportez-vous au tableau ci-dessous pour un aperçu des communications entre un directeur de site et des moteurs de réseau en fonction des paramètres de sécurité. Comme indiqué dans le Tableau 1, un directeur de site d’une version antérieure ne peut pas communiquer avec un moteur de réseau d’une version ultérieure, quels que soient les paramètres de sécurité.

Tableau 1. Aperçu de la sécurité d’un moteur de réseau

Directeur de site

Attribut Advanced Security du directeur de site

Conformité du serveur à la norme FIPS

Communication entre le moteur de réseau et le directeur de site

Version 9.0 ou antérieure

Version 10.0 ou 10.1

Version 11.0

ADS/ADX

Version 9.0 ou antérieure

<sans objet>

<sans objet>

AUTORISÉE

BLOQUÉE

BLOQUÉE

ADS/ADX

Version 10.0 ou 10.1

FAUX

<sans objet>

AUTORISÉE

AUTORISÉE

BLOQUÉE

VRAI

<sans objet>

BLOQUÉE

AUTORISÉE

BLOQUÉE

ADS/ADX

Version 11.0

FAUX

Sans licence

AUTORISÉE

AUTORISÉE

AUTORISÉE

VRAI

Sans licence

BLOQUÉE

AUTORISÉE

AUTORISÉE

VRAI ou FAUX

Sous licence

BLOQUÉE

BLOQUÉE

AUTORISÉE

Moteur de réseau

Version 9.0 ou antérieure

<sans objet>

<sans objet>

AUTORISÉE

BLOQUÉE

BLOQUÉE

Moteur de réseau

Version 10.0 ou 10.1

FAUX

<sans objet>

AUTORISÉE

AUTORISÉE

AUTORISÉE

VRAI

<sans objet>

BLOQUÉE

AUTORISÉE

BLOQUÉE

Moteur de réseau

Version 11.0

VRAI ou FAUX

Toujours sous licence

BLOQUÉE

BLOQUÉE

AUTORISÉE