用于过滤数据流量的安全系统和方法与流程

1.本发明涉及用于过滤第一网络和第二网络之间的数据流量的安全系统和计算机实施的方法。此外，本发明针对一种用于执行该计算机实施的方法的计算机程序产品。


背景技术：

2.对it系统或基于it的自动化系统的攻击或袭击、即用于损害这种系统的不允许的访问可以借助防火墙或安全网关来避免。防火墙根据所配置的规则集（英语：policy（策略））过滤数据流量。此外，可以借助合适的设备或软件、诸如借助（网络）入侵检测系统（缩写：(n)ids）来检测攻击。在攻击的情况下可以重新配置防火墙，以便限制允许的数据流量并且以便因此防御攻击。不过，在此存在如下风险：攻击者或未充分训练的用户不允许地取消或改变该限制。


技术实现要素：

3.因此本发明的任务是可靠地限制网络流量，以便使不受控制地切换回最初配置的规则集变得困难。
4.该任务通过在独立权利要求中所描述的措施来解决。在从属权利要求中呈现了本发明的有利的改进方案。
5.根据第一方面，本发明涉及一种用于根据规则集过滤第一网络和第二网络之间的数据流量的安全系统，其中所述安全系统布置在第一网络和第二网络之间，所述安全系统具有：a）管理模块，该管理模块被设立为
‑ꢀ
根据控制指令，激活针对用于过滤数据流量的安全系统的附加的规则集，以及
‑ꢀ
通知禁止指令和/或在激活附加的规则集的情况下，阻止重置到安全系统的最初激活的规则集和修改附加的规则集，b）过滤模块，该过滤模块被设立为，在激活附加的规则集的情况下根据最初激活的规则集和附加的规则集或仅仅根据附加的规则集过滤第一网络和第二网络之间的数据流量并且允许相应地经过滤的数据流量。
6.本发明的第二方面涉及一种计算机实施的用于通过布置在第一网络和第二网络之间的安全系统根据规则集过滤第一网络和第二网络之间的数据流量的方法，所述方法包括以下方法步骤：
‑ꢀ
根据控制指令激活针对用于过滤数据流量的安全系统的附加的规则集，
‑ꢀ
通过禁止指令和/或在激活附加的规则集的情况下，阻止重置到安全系统的最初激活的规则集和修改附加的规则集，
‑ꢀ
在激活附加的规则集的情况下根据最初激活的规则集和附加的规则集或仅仅根据附加的规则集过滤第一网络和第二网络之间的数据流量，以及
‑ꢀ
允许相应地经过滤的数据流量。
7.本发明的优点是，这样可配置的安全系统可靠地限制数据流量。过滤尤其根据至少一个可配置的规则集进行。例如，在识别出例如通过恶意软件对网络的攻击的情况下，可以激活附加的规则集并且安全系统可以被配置，使得该安全系统根据附加的规则集和最初的规则集过滤数据流量。因此，数据流量可以不仅根据最初的规则集而且根据附加的规则集被视为允许的，以便由安全系统转发。攻击者、例如黑客或用户不能以简单的方式改变在攻击的情况下激活的附加的规则集或将安全系统不允许地重置到最初的规则集。
8.该安全系统尤其可以包括软件和/或硬件。安全系统尤其已预先配置了最初的规则集，根据该最初的规则集，安全系统尤其在常规运行中过滤第一网络和第二网络之间的数据流量。根据控制指令，配置附加的规则集，使得过滤模块根据最初的规则集和附加的规则集或仅仅根据附加的规则集过滤数据流量。因此，一方面，如果附加规则集被激活，则可以根据两个规则集进行过滤，即实施逻辑“与”运算。在这种情况下，只有当数据流量满足两个规则集的条件时，数据流量才是允许的。另一方面，可以或者根据最初的规则集或者在激活附加的规则集的情况下根据附加的规则集进行过滤。
9.在安全系统的一种实施方式中，附加的规则集可以被设立为，基于与最初激活的规则集的过滤标准至少部分地不同的过滤标准过滤数据流量。
10.最初的规则集和/或附加的规则集尤其可以被设立，使得双向地允许第一网络和第二网络之间的数据流量。最初的规则集和附加的规则集的过滤标准尤其可以互相补充或部分重叠。因此，例如可以借助附加的规则集进一步限制数据流量。替代地，附加的规则集的过滤标准可以较少地限制数据流量，并且在激活附加的规则集的情况下允许指定的数据流量。
11.在安全系统的一种实施方式中，附加的规则集可以被设立为，更具限制性地（restriktiver）过滤通过最初激活的规则集被过滤的数据流量。
12.尤其，附加的规则集的过滤标准可以包括最初的规则集的过滤标准并且例如具有其他过滤标准。因此可以实现对数据流量的更具限制性的过滤。
13.在安全系统的一种实施方式中，附加的规则集可以被设立为，单向地允许数据流量。
14.因此，数据传输可以在仅仅一个方向上、即从第一网络到第二网络中或从第二网络到第一网络中实现。该实现尤其可以是基于硬件的/硬件支持的。
15.在安全系统的一种实施方式中，管理模块可以被设立为，如果满足如下条件中的至少一个条件，则停用附加的规则集并将安全系统重置到最初激活的规则集：
‑ꢀ
接收到针对附加的规则集的停用指令，
‑ꢀ
停用和/或重新激活安全系统，和/或
‑ꢀ
中断安全系统至第一网络和/或第二网络的至少一个通信连接。
16.因此实现，如果例如由于攻击激活了附加的规则集，则不会无意地或不允许地重置到最初激活的规则集。通过停用附加的规则集，安全系统又常规地可用，即根据最初的规则集进行过滤。
17.在安全系统的一种实施方式中，安全系统可以被设立为，从攻击识别设备的接收到的警告消息中导出控制指令，其中所述攻击识别设备被设立在第一网络中和/或在第二网络中在第一或第二网络之外。
18.攻击识别设备例如可以是本地入侵检测系统。这种攻击识别设备例如可以被设立在两个网络之一中。附加地或替代地，攻击识别设备可以与数据流量分析设备、例如预测性维护服务或网络监控服务一起被设立在云中。
19.基于识别出的或推测出的攻击，可以由攻击识别设备输出警告消息。用于激活附加的规则集的控制指令可以从这种警告消息中导出。因此，附加的规则集可以根据检测到的或推测的攻击来设立。
20.在一种实施方式中，安全系统可以被设立为，如果在预先给定的持续时间之后没有出现攻击识别设备的肯定消息，则输出控制指令。
21.例如，可以由攻击识别设备以预先给定的时间步长将关于网络状态的肯定消息传送给安全系统。肯定消息例如可以包括证明无错误的网络状态的日志数据。一旦在预先给定的持续时间之后没有出现这种肯定消息，就例如可以激活附加的规则集。
22.此外，本发明涉及一种计算机程序产品，该计算机程序产品可以直接加载到可编程的计算机中，所述计算机程序产品包括程序代码部分，在通过计算机执行程序的情况下所述程序代码部分促使该计算机执行根据本发明的方法的步骤。
23.计算机程序产品例如可以在存储介质、诸如存储卡、u盘、cd-rom、dvd、非易失性/永久存储介质（英语：non-transitory storage medium）上提供或交付，或也可以以能够从网络中的服务器下载的文件的形式提供或交付。
附图说明
24.根据本发明的安全系统和根据本发明的方法的实施例在附图中示例性地呈现并借助以下描述更详细地解释。
25.图1示出根据本发明的用于过滤第一网络和第二网络之间的数据流量的安全系统的示意图；图2示出根据本发明的用于过滤第一网络和第二网络之间的数据流量的安全系统的另一示意图；图3示出根据本发明的用于过滤第一网络和第二网络之间的数据流量的安全系统的另一示意图；和图4示出根据本发明的用于过滤第一网络和第二网络之间的数据流量的方法的流程图。
26.彼此对应的部分在所有图中配备有相同的附图标记。
具体实施方式
27.尤其，以下实施例仅仅示出尤其根据本发明的教导的这种实现可能看起来如何的示例性实现可能性，因为指明（benennen）所有这些实现可能性是不可能的并且对于理解本发明而言也不是有利的或必要的。
28.在现有技术中惯用的用于实现本发明的所有可能性对于了解该/多个方法权利要求的（有关的）本领域技术人员而言自然也是已知的，使得其尤其不需要在说明书中的单独公开。
29.图1以框图示出根据本发明的安全系统100的一个实施例，所述安全系统布置在第
一网络nw1和第二网络nw2之间。第一网络nw1和第二网络nw2经由无线或有线通信连接相互连接，使得可以在所述网络之间交换数据。
30.第一网络nw1例如可以是自动化网络，所述自动化网络将多个现场设备fd1、fd2相互联网。现场设备例如可以是控制设备或iiot设备（英语：industrial internet of things（工业物联网），缩写：iiot）。此外，攻击识别设备ids、诸如攻击识别工具（英语：intrusion detection system（入侵检测系统））可以集成在第一网络nw1中。攻击识别设备ids优选地配置为识别对第一网络nw1的攻击并将对应的警告消息输出给安全系统100。
31.第二网络nw2例如是开放式网络、诸如办公网络、移动无线电网络或互联网。安全系统100被设立为根据预先给定的过滤标准过滤并且必要时限制第一网络nw1和第二网络nw2之间的数据流量。安全系统100例如可以是防火墙、iot网关或跨域安全解决方案。预先给定的过滤标准在被配置在安全系统100上的规则集p_act中定义。规则集也可以被称为策略。
32.安全系统100具有至少一个管理模块101和过滤模块102。此外，安全系统100可以包括至少一个处理器。管理模块101被设立为根据所接收的控制指令激活用于最初配置的规则集p1的附加的规则集p2。管理模块101与过滤模块102耦合。管理模块101管理相应存储的规则集p1、p2，根据控制指令激活这些规则集并在过滤模块102上配置至少一个激活的规则集。尤其，多个附加的规则集可以被存储并且由管理模块101管理。根据控制指令，尤其这些附加的规则集之一可以被选择和激活。
33.过滤模块102被配置为根据该相应地激活的规则集p_act或多个相应地激活的规则集过滤第一网络nw1和第二网络nw2之间的数据流量。在安全系统100的常规运行中，最初的规则集p1被配置为激活的规则集p_act。在常规运行中，过滤根据最初的激活的规则集p1进行。
34.过滤模块102可以根据附加的规则集p2（如果该规则集p2是激活的）和/或最初激活的规则集p1进行过滤。一旦识别出或推测出攻击，附加的规则集p2的激活就优选地根据攻击识别设备ids的警告消息进行。除了激活附加的规则集p2之外，通过明确的禁止指令和/或在激活附加的规则集p2的情况下，阻止重置到最初激活的规则集p1和修改附加的规则集p2。换言之，通过激活附加的规则集p2来防止攻击者或用户改变激活的附加的规则集p2和/或将过滤模块102重置到最初激活的规则集p1。因此，在激活附加的规则集p2的情况下经由网络或常规配置接口不再可能激活另一规则集或改变附加的规则集p2。
35.基于警告消息，可以导出用于激活附加的规则集p2的控制指令。此外，过滤可以不仅根据最初激活的规则集p1而且附加的规则集p2进行，或者仅仅根据附加的规则集p2进行。过滤模块102仅仅允许经过滤的数据流量。
36.附加的规则集p2的过滤标准可以被定义，使得所述过滤标准至少部分地与最初激活的规则集p1的过滤标准不同。
37.附加的规则集p2的过滤标准优选地被定义，使得因此与利用最初激活的规则集p1相比实现对数据流量的更具限制性的过滤。
38.替代地，附加的规则集p2的过滤标准也可以被定义，使得如果尤其仅仅根据附加的规则集p2进行过滤，则允许指定的数据流量，所述数据流量根据最初的规则集p1不被允许。因此例如可以在错误状况下释放附加的维修通道，该附加的维修通道在根据最初的规
则集p1进行过滤的情况下是不被允许的。
39.如果满足如下检查条件中的至少一个，则重置到最初激活的规则集p1可以通过受保护的重置过程进行：
‑ꢀ
接收用于停用附加的规则集的停用指令，诸如在安全系统100上的本地键击或跳线，
‑ꢀ
诸如通过重新启动或通过启动安全系统，停用和/或重新激活安全系统100，使得用于安全系统的电力供应在预先给定的时间间隔内是中断的，和/或
‑ꢀ
诸如通过移除以太网线缆，中断安全系统至第一网络和/或第二网络的至少一个通信连接。
40.在重置过程之后，安全系统100又处于常规运行模式中，即数据流量根据最初的规则集p1被过滤。
41.图2以框图示出根据本发明的安全系统100的另一实施例，所述安全系统包括管理模块101和过滤模块102，该安全系统布置在第一网络nw1和第二网络nw2之间。在第一网络nw1中例如现场设备fd1、fd2联网。此外，网络nw1具有第一攻击识别设备ids1。
42.此外，安全系统100与系统200经由通信连接来连接，其中该系统200包括第二攻击识别设备ids2和数据流量分析设备pw。例如，系统200是在云中实现的iiot后端服务，该iiot后端服务包括预测性维护服务和入侵检测系统即服务（intrusion-detection-system-as-a-service）。预测性维护服务例如可以接收和评估来自第一网络nw1的现场设备fd1、fd2的设备数据。例如，可以执行统计评估，以便确定现场设备的即将来临的缺陷的概率并且事先促使维护。利用攻击识别设备系统即服务可以执行对第一网络nw1的网络数据的远程分析，以便识别出潜在的攻击。
43.安全系统100根据激活的策略p_act过滤第一网络nw1和第二网络nw2之间的数据流量。如果两个攻击识别设备ids1、ids2之一识别出攻击并且将对应的警告消息传送给安全系统100，则由管理模块101激活附加的策略p2。如果该附加的策略p2被激活并且在过滤模块102中被配置，则紧接着根据该附加的策略p2和最初激活的策略p1过滤第一网络nw1和第二网络nw2之间的数据流量。替代地，如果在预先给定的持续时间中没有出现攻击识别设备ids1、ids2之一的肯定消息，则也可以激活附加的规则集p2。
44.图3以框图示出根据本发明的安全系统100的另一实施例，该安全系统过滤安全关键网络nw1和开放式网络nw2之间的数据流量。安全系统100的管理模块101包括附加的策略p2，该附加的策略构成为单向策略。该单向策略p2引起，仅仅在一个方向上、例如仅仅从安全关键网络nw1到开放式网络nw2中的数据传输是可能的。因此，例如可以将来自安全关键网络nw1的现场设备fd1、fd2的状态和/或诊断数据经由单向协议、例如udp来传送。
45.单向策略p2的实施可以以基于硬件或硬件支持的方式进行，使得在物理上保证，仅仅单向数据传输是可能的。尤其，在激活单向策略p2的情况下可以仅仅根据该策略进行过滤。然而也可能的是，根据单向策略p2允许的数据流量附加地还根据最初的策略p1被过滤。在两种变型方案中，在通过例如攻击识别设备ids检测到攻击的情况下保证，从开放式网络nw2不可能影响安全关键网络nw1并且因此也不可能攻击该安全关键网络的设备fd1、fd2。例如，在从传统双向防火墙检测到攻击的情况下可以配置单向的、过滤数据的单向网关（数据二极管）。
46.图4示出根据本发明的计算机实施的用于通过布置在第一网络和第二网络之间的安全系统过滤第一网络和第二网络之间的数据流量的方法。
47.在该方法的第一步骤10中，可以借助攻击识别设备检测对这两个网络之一的攻击。替代地，这种攻击识别设备可以在预先给定的时间点传送肯定消息。一旦在预先给定的持续时间之后没有出现这种肯定消息，就同样可以输出警告消息。该警告消息可以被传送给安全系统。
48.在下一步骤11中，根据例如从所传送的警告消息导出的控制指令激活针对安全系统的附加的规则集。在该安全系统上配置了最初激活的规则集。在激活附加的规则集的情况下可以在安全系统的过滤模块中配置该附加的规则集。
49.在下一步骤12中，通过禁止指令和/或在激活附加的规则集的情况下，阻止重置到最初激活的规则集。换言之，在安全系统上最初激活的规则集通过附加的规则集来补充或代替，根据所述最初激活的规则集在常规运行中进行过滤。优选地，附加的规则集的过滤标准被定义，使得因此数据流量与通过最初的规则集的过滤标准相比更具限制性地被过滤。
50.在下一步骤13中，根据最初激活的规则集和/或根据附加的规则集过滤第一网络和第二网络之间的数据流量，使得允许满足根据第一和/或第二规则集的过滤标准的数据流量。
51.经过滤的数据流量被安全系统允许，步骤14。
52.所有所描述的和/或所绘出的特征可以在本发明的范围中有利地相互组合。本发明并不限于所描述的实施例。