[发明专利]用于无反作用地检测数据的方法和装置

说明书

一种用于在具有低安全性要求的第二网络（11）中无反作用地检测至少一个设备（16.1、16.2、16.3）的数据的方法以及装置，所述至少一个设备（16.1、16.2、16.3）布置在具有高安全性要求的第一网络（12）中，所述装置包含：‑询问单元（14），所述询问单元（14）布置在第一网络（12）之内并且被构造为根据询问配置文件（17、17'）来向所述至少一个设备（16.1、16.2、16.3）请求数据；‑监听单元（21），所述监听单元（21）布置在第一网络（12）之内并且被构造为监听已经由所述至少一个设备（16.1、16.2、16.3）应所述请求而发送的数据，并且将所述数据传送给分析单元（13）；‑分析单元（13），所述分析单元（13）布置在第二网络（11）中并且被构造为将所监听到的数据与按照询问配置文件（17、17'）所期望的数据进行比较；以及‑报警单元（24），所述报警单元（24）被构造为：在所监听到的数据与按照询问配置文件（17、17'）所期望的数据有偏差时提供报警信号。

技术领域

本发明涉及一种用于在具有低安全性要求的第二网络中无反作用地检测至少一个设备的数据的方法和装置，所述至少一个设备布置在具有高安全性要求的第一网络中。

背景技术

用于在具有不同的安全性要求的网络之间传输数据的安全解决方案、即所谓的跨区域安全解决方案到目前为止被用于特定的领域（如官方通信），在所述特定的领域中适用高安全性要求并且在所述特定的领域中存在对文档或信息的安全分级。通过跨区域解决方案，实现了在具有不一样高的安全性要求的区之间对文档和消息（诸如电子邮件）的自动化的安全交换。在此，重要的组件是数据二极管，其保证了数据通信的单向性、即数据仅仅朝一个方向的传输。

到目前为止，为了将通常具有高安全性要求的工业控制网络与办公室网络、公共因特网或其它通常只满足低安全性要求的控制网络耦合，使用传统的防火墙，所述防火墙根据可配置的过滤规则来对数据通信进行过滤。在此，根据通信伙伴的地址和所使用的通信协议来许可或阻止数据通信。

由WO 2012/170485公知一种基于虚拟化解决方案的跨区域安全解决方案，在其中虚拟机控制在两个信息域之间的信息传输。

此外，还公知一种网络脱耦器（也被称作网络分流器（Network Tap））作为网络组件，以便能够监听所传输的数据，而不影响所传输的数据。这种网络脱耦器一般被用于网络监控，因为这里参数（如吞吐量或延迟）没有被测量影响。

对于工业环境来说，诸如对于铁路安全系统来说，存在对在安全重要的网络中无反作用地检测诊断数据并且将这些诊断数据提供给通常在具有较低安全性要求的网络中实现的诊断网络的需求。在此，尤其是出现如下问题：用于单路径数据传输的组件不能主动地控制或影响对在具有高安全性要求的网络中的信息的询问。在所提到的铁路安全系统的例子中，对于人来说依赖于：所需的数据的通信在没有人的协助下地进行或必需的。

发明内容

因此，本发明的任务是提供一种方法和装置，所述方法和装置保证：能够识别在安全重要的网络中的所有相关数据并且将其传输到安全不那么重要的网络中，以便在那里从中确定可靠的诊断信息。

该任务通过在独立权利要求中描述的措施来解决。在从属权利要求中呈现了本发明的有利的改进方案。

根据本发明的用于在具有低安全性要求的第二网络中无反作用地检测至少一个设备（所述至少一个设备布置在具有高安全性要求的第一网络中）的数据的方法具有通过布置在第一网络之内的询问单元根据询问配置文件向所述至少一个设备请求数据，作为第一方法步骤。紧接着，在第一网络之内通过监听单元来监听由所述至少一个设备应所述请求发送给询问单元的数据并且将所述数据传送给在第二网络中的分析单元。在那里，将所监听到的数据与按照询问配置文件所期望的数据进行比较，并且当所监听到的数据与按照询问配置文件所期望的数据有偏差时提供报警信号。