[发明专利]用于无反作用的完整性监控的方法和完整性检查系统

说明书

一种用于通过布置在安全性要求低的第二网络（102）中的完整性检查装置（106）对至少一个布置在安全性要求高的第一网络（101）中的第一装置（103）进行无反作用的完整性监控的方法以及具有完整性检查单元（105）和完整性报告单元（106）的完整性检查系统，所述方法具有如下方法步骤：‑借助于无反作用的单向通信单元（104）将所述第一装置（103）的所要监控的数据的校验信息（IM）提供（11）给完整性检查装置（106）；‑在所述第二网络（102）中相对于至少一个参考信息来检查（12）所述校验信息（IM）；而且‑将状态报告（SM）传输（13）给所述第一网络（101）中的完整性报告装置（105）。这确保了对在安全关键的网络中的装置的数据通信和软件配置的完整性监控，而在此没有将额外的数据引入到该安全关键的网络中或者干扰在该安全关键的网络之内的通信。

技术领域

本发明涉及一种用于通过布置在安全性要求低的第二网络中的完整性检查装置对至少一个布置在安全性要求高的网络中的第一装置进行无反作用的完整性监控的方法，以及一种具有完整性检查装置和完整性报告装置的完整性检查系统。

背景技术

到目前为止，用于在安全性要求不同的网络之间传输数据的安全解决方案、即所谓的跨域安全（Cross-Domain-Security）解决方案被用于特殊的领域、如行政机关通信。其中适用高安全性要求，尤其是对于有安全等级的文件来说适用高安全性要求。通过跨域解决方案、诸如在DE 10 2013 226 171中的跨域解决方案，实现了在安全性要求不同的区域之间对文件和消息的自动化的安全的交换。

另一方面，自动化网络关于运行安全性、也就是说各个组件的无干扰并且使用安全的运行方面具有高要求，以及关于实时能力、可用性和完整性方面具有高要求，而且因而是作为独立的子网来计划和运行的。为了将这种工业控制网络与通常只满足低安全性要求的办公网络、公共因特网或者诊断网络耦合，例如使用具有发送和接收节点的单向数据网关，如在US 2012 0331 097 A1中描述的那样。在此，一个重要组件是数据二极管，该数据二极管保证了数据仅仅朝一个方向的传输。

为了将工业控制网络与办公网络或者其它安全不那么重要的网络耦合，也使用传统的防火墙，所述防火墙根据可配置的过滤规则来对数据通信进行过滤。也公知如下防火墙，所述防火墙使自动化网络的Windows驱动器在防火墙的另一侧、例如在安全不那么关键的网络中作为只读驱动器可见，即在此使驱动器镜像。由此，在自动化网络之外也可以有关病毒和不容许的变化来对网络驱动器的内容进行分析。在此，根据通信伙伴的地址以及所使用的通信协议来容许或者阻止数据通信。

还公知的是：通过应用代理服务器来引导网络连接，该应用代理服务器在运输层例如给TCP连接规定期限。然而，这种解决方案并不确保在所需的品质方面没有反作用。

在安全关键的网络、诸如铁路安全网络中，必须保证数据通信的完整性和在不同的装置或组件上运行的软件的完整性，以便确保安全的运行。这尤其是在安全关键的网络中必须可靠性高地实现，所述安全关键的网络被用于功能安全（Safety）。传统的防火墙并不适合于此。一方面必须保证数据从安全重要的网络到安全不那么重要的网络中的通信无反作用地被执行。所述无反作用意味着：绝没有数据由于传输而被引入到安全关键的网络中。另一方面，涉及在安全关键的网络中的数据通信的任何新的软件都必须由官方机构容许。这种容许通常持续几天至几周或者甚至几个月。这通常使得使用最新的病毒类型来监控在安全关键的网络之内的各个网络组件变得困难。

发明内容

因此，本发明的任务是：确保对在安全关键的网络中的装置的数据通信和软件配置的完整性监控，而在此没有将额外的数据引入到该安全关键的网络中或者干扰在该安全关键的网络之内的通信。

该任务通过在独立权利要求中描述的特征来解决。在从属权利要求中示出了本发明的有利的扩展方案。