一种用于通过布置在安全性要求低的第二网络(102)中的完整性检查装置(106)对至少一个布置在安全性要求高的第一网络(101)中的第一装置(103)进行无反作用的完整性监控的方法以及具有完整性检查单元(105)和完整性报告单元(106)的完整性检查系统,所述方法具有如下方法步骤:‑借助于无反作用的单向通信单元(104)将所述第一装置(103)的所要监控的数据的校验信息(IM)提供(11)给完整性检查装置(106);‑在所述第二网络(102)中相对于至少一个参考信息来检查(12)所述校验信息(IM);而且‑将状态报告(SM)传输(13)给所述第一网络(101)中的完整性报告装置(105)。这确保了对在安全关键的网络中的装置的数据通信和软件配置的完整性监控,而在此没有将额外的数据引入到该安全关键的网络中或者干扰在该安全关键的网络之内的通信。
【技术实现步骤摘要】
【国外来华专利技术】用于无反作用的完整性监控的方法和完整性检查系统
本专利技术涉及一种用于通过布置在安全性要求低的第二网络中的完整性检查装置对至少一个布置在安全性要求高的网络中的第一装置进行无反作用的完整性监控的方法,以及一种具有完整性检查装置和完整性报告装置的完整性检查系统。
技术介绍
到目前为止,用于在安全性要求不同的网络之间传输数据的安全解决方案、即所谓的跨域安全(Cross-Domain-Security)解决方案被用于特殊的领域、如行政机关通信。其中适用高安全性要求,尤其是对于有安全等级的文件来说适用高安全性要求。通过跨域解决方案、诸如在DE102013226171中的跨域解决方案,实现了在安全性要求不同的区域之间对文件和消息的自动化的安全的交换。另一方面,自动化网络关于运行安全性、也就是说各个组件的无干扰并且使用安全的运行方面具有高要求,以及关于实时能力、可用性和完整性方面具有高要求,而且因而是作为独立的子网来计划和运行的。为了将这种工业控制网络与通常只满足低安全性要求的办公网络、公共因特网或者诊断网络耦合,例如使用具有发送和接收节点的单向数据网关,如在US20120331097A1中描述的那样。在此,一个重要组件是数据二极管,该数据二极管保证了数据仅仅朝一个方向的传输。为了将工业控制网络与办公网络或者其它安全不那么重要的网络耦合,也使用传统的防火墙,所述防火墙根据可配置的过滤规则来对数据通信进行过滤。也公知如下防火墙,所述防火墙使自动化网络的Windows驱动器在防火墙的另一侧、例如在安全不那么关键的网络中作为只读驱动器可见,即在此使驱动器镜像。由此,在自动化网络之外也可以有关病毒和不容许的变化来对网络驱动器的内容进行分析。在此,根据通信伙伴的地址以及所使用的通信协议来容许或者阻止数据通信。还公知的是:通过应用代理服务器来引导网络连接,该应用代理服务器在运输层例如给TCP连接规定期限。然而,这种解决方案并不确保在所需的品质方面没有反作用。在安全关键的网络、诸如铁路安全网络中,必须保证数据通信的完整性和在不同的装置或组件上运行的软件的完整性,以便确保安全的运行。这尤其是在安全关键的网络中必须可靠性高地实现,所述安全关键的网络被用于功能安全(Safety)。传统的防火墙并不适合于此。一方面必须保证数据从安全重要的网络到安全不那么重要的网络中的通信无反作用地被执行。所述无反作用意味着:绝没有数据由于传输而被引入到安全关键的网络中。另一方面,涉及在安全关键的网络中的数据通信的任何新的软件都必须由官方机构容许。这种容许通常持续几天至几周或者甚至几个月。这通常使得使用最新的病毒类型来监控在安全关键的网络之内的各个网络组件变得困难。
技术实现思路
因此,本专利技术的任务是:确保对在安全关键的网络中的装置的数据通信和软件配置的完整性监控,而在此没有将额外的数据引入到该安全关键的网络中或者干扰在该安全关键的网络之内的通信。该任务通过在独立权利要求中描述的特征来解决。在从属权利要求中示出了本专利技术的有利的扩展方案。按照本专利技术的用于通过布置在安全性要求低的第二网络中的完整性检查装置对至少一个布置在安全性要求高的第一网络中的第一装置进行无反作用的完整性监控的方法具有如下方法步骤:-借助于无反作用的单向通信单元将第一装置的所要监控的数据的校验信息提供给完整性检查装置;-在第二网络中相对于至少一个参考信息来检查该校验信息;而且-将状态报告传输给第一网络中的完整性报告装置。在此,该无反作用的单向通信单元例如可以包括数据二极管,该数据二极管例如构造为监听装置或者通过单向传输的光纤来构造,该监听装置仅仅复制在安全重要的第一网络中传输的数据并且将所述数据传导到第二网络中。由此,确保了无反作用的要求。现在,来自第一网络的检查信息可以在第二网络中、即在没有对第一网络出于安全原因的限制的情况下也相对于新的病毒类型或者相对于可执行文件的肯定列表等等予以检查。因此,在任意的时间并且相对于任意的参考信息都可以执行检查。通过将状态报告传输给第一网络中的完整性报告装置,实现了到该安全关键的网络中的第一反馈,该第一反馈可以在那里被分析并且可以对该第一反馈做出反应。因此,在封闭式的安全关键的第一网络之内存在经改善的完整性。在一个有利的实施方式中,提供配置数据和/或可执行文件和/或从中得出的特征值,作为校验信息。因此,例如可以识别出被操纵的软件、尤其是不容许地被引入的可执行文件。通过新的病毒软件对第一装置的操纵也可以通过在第一网络之外的当前的病毒扫描程序快得多地被发现,因为不必等待容许这种当前的病毒扫描程序用于例如容许受限的第一网络。通过传输是由配置数据或者也包括可执行文件得出的测量值,可以使校验信息在其大小方面显著减小。这种测量值例如是校验信息的哈希值,所述哈希值明确地表征配置数据或可执行文件。在一个有利的实施方式中,附加地将所有所要监控的数据的元数据提供给完整性检查单元并且依据这些元数据来检查所提供的数据的完整性。这导致高可靠性并且保证了确实已提供所有所要监控的数据来进行检查。这种元数据例如可以以清单文件的形式来传送,所述元数据诸如可被用于分配Java类库和Java程序。在一个有利的实施方式中,元数据包含校验数据的至少一个特征值和校验数据的至少一个特征值的至少一个加密校验和和/或元数据的实时信息。这又确保了元数据的完整性并且例如通过作为实时信息的时间戳来说明检测时间,校验信息是在该检测时间整理的并且借此也是活跃的。在一个有利的实施方式中,参考信息是至少一个预期数据信息或者至少一个恶意软件模型。预期数据信息例如可以是所有对于第一装置来说容许的文件的肯定列表、尤其是所有容许的可执行文件的肯定列表。尤其在封闭式网络的情况下,例如通过容许协议来知道预期数据信息。通过在安全关键的网络之外检查包含在第一装置中的校验信息、尤其是所执行的软件,参考信息不受容许要求的约束。因此,在第一装置上执行的软件尤其可以相对于不容许的参考信息、诸如当前的恶意软件模型(可打补丁的病毒扫描程序)来予以检查。在一个有利的实施方式中,将状态报告通过单向通信单元的反向信道传输给完整性报告装置。这具有如下优点:根据所报告的状态可以在第一网络中迅速引入措施。这样,例如可以将警告指示分配给第一网络的所有其它组件或者将功能停用。也可以相对应地设置并且通知在第一网络之内的安全级别,该安全级别又对某些功能的实施有影响。完整性报告装置尤其可以是在第一网络中常用的组件。例如,该完整性报告装置可以是现场设备、尤其是传感器,该现场设备可以将所接收到的状态报告通过在常规运行时使用的协议在第一网络之内转发。在一个有利的实施方式中,该状态报告由第二网络中的加载服务器经由加载接口传输给至少一个第一单元。这具有如下优点:通过加载服务器的常用路径来将数据插入或引入到第一网络中,而且因此不需要额外的又必须被监控的新接口。在一个有利的实施方式中,根据状态报告来在第一网络中和/或在第二网络中引入措施。这样,自动化系统可以对完整性损伤做出反应,例如通过激活受限制的紧急运行方式或者通过占据故障安全(Fail-Safe)运行状态来对完整性损伤做出反应。在故障安全运行状态下,仅仅停用有故障的组件,而没有使整个系统瘫痪。在第二网络中可以采取措施,本文档来自技高网...
【技术保护点】
1.用于通过布置在安全性要求低的第二网络(102)中的完整性检查装置(106)对至少一个布置在安全性要求高的第一网络(101)中的第一装置(103)进行无反作用的完整性监控的方法,所述方法具有如下方法步骤:‑ 借助于无反作用的单向通信单元(104)将所述第一装置(103)的所要监控的数据的校验信息(IM)提供(11)给完整性检查装置(106);‑ 在所述第二网络(102)中相对于至少一个参考信息来检查(12)所述校验信息(IM);而且‑ 将状态报告(SM)传输(13)给所述第一网络(101)中的完整性报告装置(105)。
【技术特征摘要】
【国外来华专利技术】2016.05.02 DE 102016207546.21.用于通过布置在安全性要求低的第二网络(102)中的完整性检查装置(106)对至少一个布置在安全性要求高的第一网络(101)中的第一装置(103)进行无反作用的完整性监控的方法,所述方法具有如下方法步骤:-借助于无反作用的单向通信单元(104)将所述第一装置(103)的所要监控的数据的校验信息(IM)提供(11)给完整性检查装置(106);-在所述第二网络(102)中相对于至少一个参考信息来检查(12)所述校验信息(IM);而且-将状态报告(SM)传输(13)给所述第一网络(101)中的完整性报告装置(105)。2.根据权利要求1所述的方法,其中提供配置数据和/或可执行文件和/或从中得出的特征值,作为校验信息(IM)。3.根据上述权利要求之一所述的方法,其中附加地将所有所要监控的数据的元数据提供给所述完整性检查单元(106)并且依据所述元数据来检查所提供的数据的完整性。4.根据权利要求3所述的方法,其中所述元数据包含校验数据的至少一个特征值和所述校验数据的至少一个特征值的至少一个加密校验和和/或所述元数据的实时信息。5.根据上述权利要求之一所述的方法,其中所述参考信息是至少一个预期数据信息或者至少一个恶意软件模型。6.根据上述权利要求之一所述的方法,其中所述状态报告(SM)通过所述单向通信单元(104)的反向信道来传输给完整性报告装置(105)。7.根据权利要求1至5之一所述的方法,其中所述状态报告(SM)由所述第二网络(102)中的加载服务器经由加载接口传输给至少一个第一装置。8.根据权利要求7所述的方法,其中根据所述状态报告(SM)来在所述第一网络(101)中和/或在所述第二网络(102)中引入措施。9.根据上述权利要求之一所述的方法,其中在所述第二...
【专利技术属性】
技术研发人员:R法尔克,
申请(专利权)人:西门子股份公司,
类型:发明
国别省市:德国,DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。