CN109076071A - 用于检查至少一个防火墙装置的设备和用于保护至少一个数据接收器的方法 - Google Patents
用于检查至少一个防火墙装置的设备和用于保护至少一个数据接收器的方法 Download PDFInfo
- Publication number
- CN109076071A CN109076071A CN201780022816.6A CN201780022816A CN109076071A CN 109076071 A CN109076071 A CN 109076071A CN 201780022816 A CN201780022816 A CN 201780022816A CN 109076071 A CN109076071 A CN 109076071A
- Authority
- CN
- China
- Prior art keywords
- data exchange
- data
- equipment
- allowed
- exchange
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种用于检查至少一个防火墙装置(6)的设备(7)和用于保护至少一个数据接收器(3)的方法。在根据本发明的方法中,在数据接收器(3)的方向上的数据交换(16)中,根据预先确定的规则区分允许和不允许的数据交换,以及阻止不允许的数据交换并且放行允许的数据交换。为了检查防火墙装置(6)的功能,根据本发明设置为,当被放行的数据交换(18)具有不允许的数据交换时,中断被放行的数据交换(18)。
Description
技术领域
本发明涉及一种用于检查至少一个防火墙装置的设备,其被构造为,根据预先确定的规则区分在数据接收器的方向上的允许和不允许的数据交换,以及阻止不允许的数据交换,并且放行允许的数据交换。
此外,本发明涉及一种用于检查至少一个防火墙装置的方法,其中,在数据接收器的方向上的数据交换中,根据预先确定的规则区分允许和不允许的数据交换,以及阻止不允许的数据交换,并且放行允许的数据交换。
背景技术
安全关键设施、例如铁路设施的信号网络或者核电站内部的网络经常具有不能直接进行数据访问的特别安全区。尽管如此,但存在越来越多的例如为了进行远程维护而远程访问处于这些安全区中的设施元件的需求。因此,希望将安全相关设施与传统的IT系统联网。为了能够实现对安全关键设施的这种安全的访问已知一种防火墙装置,其阻止在处于安全关键设施内部的数据接收器的方向上的不允许的数据交换。因为在安全相关区域适用与在普通IT区域或者在办公室IT安全区域中不同的监视要求,所以已知的防火墙装置对于与安全相关区域中的数据接收器的数据交换来说是不足够的。
发明内容
因此,本发明要解决的技术问题是,提供一种开头提及的类型的设备和方法,通过该设备和方法,处于安全相关区域中的数据接收器由防火墙装置保护,并且满足安全相关区域的要求。
本发明通过如下方式来解决上述技术问题:开头提到的设备具有至少一个采集装置和至少一个分析装置,所述采集装置被构造为,采集防火墙装置放行的数据交换,所述分析装置被构造为根据所述预先确定的规则检查由采集装置采集的数据交换。
对于开头提到的方法,本发明通过采集被放行的数据交换并且对存在的不允许的数据交换进行检查来解决上述技术问题。
根据本发明的解决方案具有如下优点:通过检查被防火墙装置放行的数据交换,给出防火墙装置的功能的证明,因此也容许用于安全相关区域。
虽然例如在DE 10 2013221 955 A1中描述了一种具有故障揭露的安全网关。在其中检查VPN网关的输入数据和输出数据是否具有相同的错误,即没有进行加密。但是在此无法对防火墙本身是否由于攻击而重新配置进行分析。
根据本发明的解决方案可以通过下面描述的有利设计进一步展开。
因此,所述设备可以具有至少一个断开装置,所述断开装置被构造为,中断在所述数据接收器的方向上的数据交换,并且所述断开装置至少能够被所述分析装置激活。这具有如下优点:当分析装置识别出防火墙装置的错误功能时,能够中断到数据接收器的数据交换。该错误功能通过由分析装置采集并且检查的、在数据接收器的方向上的被防火墙装置放行的数据交换中的不允许的数据交换表现出来。通过断开装置,可以有效地保护数据接收器,以防不允许的数据交换。在安全相关系统中,基本要求是故障和错误功能不能是危险的。通过可由分析装置激活的断开装置保证了这一点。防火墙装置的故障由此可以不导致对数据交换的过滤终止并且不容许的消息由此可以到达数据接收器。在安全相关区域、例如铁路应用中,要进行明确的安全证明,利用该安全证明针对所有故障此外显示其产生安全状态。该要求通过该实施方式的根据本发明的解决方案来保证。通过本发明的该实施方式,办公室IT安全性的部件、例如防火墙装置也可以用于安全网络和不安全网络之间的网络连接。
在另一个有利设计中,所述设备可以具有至少一个与所述分析装置连接的监视装置,所述监视装置被构造为,监视所述分析装置的运行准备就绪状态。这具有如下优点:分析装置的故障不会保持未被发觉,而是被监视装置检测到并且可以采取对应的措施。因此,在一个有利扩展中,监视装置可以被设计为,在确定不存在运行准备就绪状态时激活所述断开装置。因此,在确定了错误功能时保证了到数据接收器的数据交换的断开,这是对所谓的“Fail Close(故障关闭)”要求的满足。
为了产生本发明的一个特别可靠的实施方式,监视装置可以被设计为与所述分析装置分离的单元。在此,例如至少监视装置和分析装置在独立的硬件部件上实现。此外,监视装置可以被构造为,在确定不存在运行准备就绪状态时触发所述分析装置的重新启动。这具有进一步提高安全性的优点。监视装置例如可以构造为所谓的看门狗定时器,其由分析装置的内部处理以规则的间隔复位。如果没有在预先确定的时间、即所谓的超时时间内进行该复位,则触发警报,警报例如在中央用信号发出并且可以触发断开装置,由此可以中断到数据接收器的数据交换。之后,以安全的方式重新启动(Secure-Boot)分析装置。分析装置的配置和程序代码可以存储在配置为仅可读的存储器中,从而在重新启动时再次建立初始状态,由此消除分析装置的先前的操控或者错误功能。在由监视装置进行的错误识别以及该重新启动期间,到数据接收器的数据交换有利地被断开装置中断。此外,也可以以规则的间隔和/或在识别出异常时执行分析装置的重新启动,以进一步提高所述设备的安全性。
分析装置可以附加地在输入端处具有监视功能,其确保数据交换中的、在长度中或者在其他方面有意地改变的包也不损害分析装置的功能。在此,分析装置采集数据包长度,并且在超过可参数化的最大长度时和/或在超过最小长度时触发警报,并且通过断开装置中断数据交换。此外,可以检查数据包的协议元素的存在性和适用性。
在另一个有利设计中,所述设备可以具有至少一个测试数据生成器,所述测试数据生成器被构造为,产生在数据接收器的方向上的具有不允许的数据交换的测试数据交换。这具有如下优点:即使在防火墙装置正确工作的情况下也对分析装置的功能进行检查。测试数据生成器可以向分析装置报告并且显示测试数据交换,因此分析装置可以期待测试数据交换,从而不必触发警报或者其它保护反应。测试数据交换例如可以以规则的间隔插入到数据接收器的数据流中,并且检查分析装置的正确功能。识别出测试数据交换可以使监视装置的另一个看门狗定时器复位,该另一个看门狗定时器在没有识别出或者没有预期的测试数据交换时触发警报和/或激活断开装置,由此中断到数据接收器的数据交换。
本发明还涉及一种用于保护属于具有高安全性要求的网络的至少一个数据接收器以防不允许的数据交换的保护装置,具有至少一个防火墙装置,所述防火墙装置被构造为,根据预先确定的规则区分在所述数据接收器的方向上的允许和不允许的数据交换,以及阻止不允许的数据交换并且放行允许的数据交换。为了保证高安全性并且满足安全相关区域的要求,所述保护装置具有至少一个根据上面提到的实施方式中的一个的设备。
本发明还涉及一种数据发送器和数据接收器之间的网络连接,其中,所述数据接收器属于具有高安全性要求的网络,而发送数据交换的所述数据发送器属于具有较低安全性要求的网络。为了提高安全性并且满足安全相关区域的要求,根据本发明设置为,所述网络连接具有至少一个根据上面提到的实施方式的保护装置。
在根据本发明的方法的一个有利设计中,当被放行的数据交换具有不允许的数据交换时,可以中断到数据接收器的数据交换。这具有如下优点:满足在安全性要求提高时必须保证的所谓的Fail-Save-Funktion(故障-拯救功能),如上面已经描述的那样。
此外,当所述被放行的数据交换的放行和检查未在预先确定的时间内进行时,可以中断到所述数据接收器的数据交换。通过上面已经描述的看门狗定时器功能,定期检查根据本发明的方法的正常功能,如上面同样已经描述的那样。
为了进一步提高根据本发明的方法的安全性,可以产生具有不允许的数据交换的被放行的测试数据交换,并且检查是否识别出不允许的数据交换。此外,当未在预先确定的时间内识别出所述测试数据交换的不允许的数据交换或者未在预先确定的时间内产生测试数据交换时,可以中断到所述数据接收器的数据交换。通过这种看门狗定时器功能识别操控并且使得自动中断数据交换。
最后,数据交换可以利用端到端加密传输,以确保所传输的数据的内容完整性以及在需要时确保其机密性。解密在此在数据接收器中进行,数据接收器可以附加地检查内容的可信度。在端到端加密的数据中特别地可以得到根据本发明的解决方案的优点,因为这些消息例如不能利用已知的安全网关来使用。
附图说明
下面,参考附图和在其中示出的示例性实施方式描述本发明。
图1示出了根据本发明的网络连接的示例性实施方式的示意性图示。
具体实施方式
根据本发明的网络连接1从数据发送器2延伸到数据接收器3。网络连接1包括IP网络4和根据本发明的保护装置5,保护装置5布置在数据接收器3前面并且保护数据接收器3以防不允许的数据交换。
保护装置5包括防火墙装置6和根据本发明的设备7,设备7被构造为用于对防火墙装置6进行检查。
根据本发明的设备7具有测试数据生成器8、分配部件9、采集装置10、断开装置11、分析装置12和监视装置13。
在图1中示出的示例性实施方式中,数据接收器3布置在安全关键设施15的安全区14内。安全关键设施15例如是铁路技术设施或者发电站,并且安全区14是在数据交换中适用更高的安全性的区域。对于从外部对该区域的可能的远程访问来说例如适用标准IEC62443-3-3的要求。
数据发送器2处于安全关键设施15的安全区14外部的具有比在安全区14中适用的安全要求更低的安全要求的区域中。数据发送器2和数据接收器3之间的根据本发明的网络连接1例如用于安全关键设施15的远程维护。建立网络连接1的IP网络4例如是因特网或者其它数据网络。
为了保护数据接收器3以防不允许的数据交换,在数据接收器3的方向上的数据交换中,在数据接收器3前面布置防火墙装置6。
防火墙装置6根据预先确定的规则区分允许和不允许的数据交换,其中,防火墙装置6阻止、由此滤除不允许的数据交换,以保护数据接收器。其余允许的数据交换被放行并且可以到达数据接收器3。在该示例性实施方式中,数据交换16在此包含针对数据接收器3的端到端加密数据17。允许的数据交换包括可以从一个或多个允许的IP地址向数据接收器3处的正好一个或多个允许的IP地址发送的数据17。传输所需的协议元素以不加密的方式处于数据17的开头和末尾,以确保经由IP网络4进行符合标准的传输,并且附加地以加密的方式处于数据17内部。由此,防火墙装置6用来区分允许和不允许的数据交换的预先确定的规则在此是数据发送器2和数据接收器3的容许的IP地址。因此,在正确配置下,防火墙装置6仅容许在数据接收器3的方向上到达安全区14的允许的数据交换。然而,防火墙装置6可能例如由于恶意攻击而以不容许的方式发生了改变,从而其也将不允许的数据交换放行。防火墙装置6的这种错误情况是可能的,因此应该根据本发明来防止。
根据本发明,在防火墙装置6和数据接收器3之间设置根据本发明的设备7,其对防火墙装置6的正确的功能进行检查。
在设备7内首先由采集装置10采集由防火墙装置6放行的数据交换18。采集装置10例如被构造为没有反馈地监听被放行的数据交换18的监听装置、即所谓的窃听(Tap)。与采集装置10连接的分析装置12对监听到的被放行的数据交换18进行检查。在通过分析装置12进行的检查中,监控被放行的数据交换18不包含不允许的数据交换。如果识别出不允许的数据交换、即不允许的IP发送方地址或者不允许的IP目的地地址、端口号等,则仅防火墙装置6的错误功能可能是原因。在这种错误情况下,分析装置12经由对应的断开信号19激活断开装置11。
断开装置11被构造为用于中断在数据接收器3的方向上的数据交换,并且相应地像开关一样工作,当开关被激活时,开关中断到数据接收器3的数据交换。通过来自分析装置12的断开信号19,保证在被放行的数据交换18中识别出的不允许的数据交换不到达数据接收器3和安全区14。在图1的示例性实施方式中,分析装置12被设计为,其仅在本地配置并且不具有附加的双向网络连接。由此,使针对分析装置12的攻击可能性最小,并且安全性由于根据本发明的设备7而提高。
此外,监视装置13与分析装置12连接,监视装置13在独立于分析装置12的硬件上构造。监视装置13具有第一看门狗定时器20,分析装置12、例如其内部处理以规则的时间间隔将第一看门狗定时器20复位。如果分析装置12例如由于恶意攻击而无法工作,则看门狗定时器20不复位,而达到预先确定的所谓的超时时间。在达到该超时时间时,分析装置12触发警报21并且附加地向断开装置11输出断开信号19。由此,分析装置12的错误情况使得在数据接收器3的方向上的数据交换中断,由此有利地实现安全状态。例如可以在安全关键设施15的控制中心(未示出)触发警报21。
在图1中示例性地示出的实施方式中,在触发警报21之后,在分析装置12中自动进行重新启动,以再次建立系统的安全性。分析装置12具有被构造为仅可读的存储器22,其包含分析装置12的配置和程序代码。在分析装置12重新启动时,从存储器22中读出该程序代码和配置,从而再次建立分析装置12的初始状态,由此消除分析装置12的先前的操控或者错误功能。在分析装置12的识别出的错误功能和重新启动期间,断开装置11保持数据交换中断,并且只有在看门狗定时器20撤消断开信号23之后才再次释放数据交换。附加地,在图1的示例性实施方式中,分析装置12的重新启动以规则的间隔并且在识别出异常的情况下自动执行。
此外,通过分析装置12的输入端处的监视功能,可以确保被放行的数据交换18中的、在长度中或者在其他方面有意地改变的数据17也不损害分析装置12的功能。在此,分析装置12采集数据包长度,并且在超过可参数化的最大长度时和/或即使在超过最小长度时也触发警报,并且通过断开装置11中断数据交换。此外,可以检查数据包的协议元素的存在性和适用性。
为了定期检查根据本发明的设备7的正常功能,根据本发明设置测试数据生成器8。测试数据生成器8以规则的时间间隔在测试数据交换24中产生一个或多个定义的测试数据。借助例如是交换机的分配部件9将测试数据交换24馈入在数据接收器3的方向上的被放行的数据交换18中。测试数据交换24包含到达采集装置10的不允许的数据交换。由此可以检查采集装置10和分析装置12的正常功能。
测试数据生成器8直接与分析装置12连接,并且当测试数据交换24馈入了被放行的数据交换18中时,测试数据生成器8输出测试数据信号25。由此,分析装置12在被放行的数据交换18中预料到为了进行测试而馈入的不允许的数据交换,因此不触发警报21,并且不激活断开装置11。
测试数据生成器8例如以规则的间隔产生测试数据交换24,以检查分析装置12的正确的功能。通过分析装置12识别出测试数据交换24将监视装置13的另一个看门狗定时器26复位。如果分析装置12没有在看门狗定时器26的规定的超时时间内识别出测试数据交换24,则触发警报21,并且附加地或者替换地向断开装置11传输断开信号27,通过断开信号27中断到数据接收器3的数据交换。
根据本发明的分析装置12在很大程度上能够规避来自外部的攻击,因为其仅经由采集装置10与数据交换连接,并且这也仅通过单向的只读分接头(Abgriff)实现。甚至当分析装置12被合适的数据交换去激活时,监视装置13也经由看门狗定时器20和26触发断开装置11。当由于攻击,分析装置12将被去激活时,这在接下来的测试数据交换24中已经变得明显,这同样使得断开装置11激活。通过根据本发明的设备7识别出防火墙装置6的有害的配置改变,因为被放行的不允许的数据交换被识别出并且被断开装置11阻止。有利地,经由根据本发明的网络连接1也可以传输端到端加密数据17。
Claims (15)
1.一种用于检查至少一个防火墙装置(6)的设备(7),所述防火墙装置被构造为,根据预先确定的规则区分在数据接收器(3)的方向上的允许和不允许的数据交换,以及阻止不允许的数据交换并且放行允许的数据交换,
其特征在于,
所述设备(7)具有至少一个采集装置(10)和至少一个分析装置(12),所述采集装置被构造为,采集防火墙装置(6)放行的数据交换(18),所述分析装置被构造为根据所述预先确定的规则检查由采集装置(10)采集的数据交换。
2.根据权利要求1所述的设备(7),
其特征在于,
所述设备(7)具有至少一个断开装置(11),所述断开装置被构造为,中断在所述数据接收器(3)的方向上的数据交换,并且所述断开装置至少能够被所述分析装置(12)激活。
3.根据权利要求1或2所述的设备(7),
其特征在于,
所述设备(7)具有至少一个与所述分析装置(12)连接的监视装置(13),所述监视装置被构造为,监视所述分析装置(12)的运行准备就绪状态。
4.根据权利要求2和3所述的设备(7),
其特征在于,
所述监视装置(13)被设计为,在确定不存在运行准备就绪状态时激活所述断开装置(11)。
5.根据权利要求3或4所述的设备(7),
其特征在于,
所述监视装置(13)被设计为与所述分析装置(12)分离的单元。
6.根据权利要求3、4或5所述的设备(7),
其特征在于,
所述监视装置(13)被构造为,在确定不存在运行准备就绪状态时触发所述分析装置(12)的重新启动。
7.根据上述权利要求中任一项所述的设备(7),
其特征在于,
所述设备(7)具有至少一个测试数据生成器(8),所述测试数据生成器被构造为,产生在所述数据接收器(3)的方向上的具有不允许的数据交换的测试数据交换(24)。
8.一种用于保护属于具有高安全性要求的网络的至少一个数据接收器(3)以防不允许的数据交换的保护装置(5),具有至少一个防火墙装置(6),所述防火墙装置被构造为,根据预先确定的规则区分在所述数据接收器(3)的方向上的允许和不允许的数据交换,以及阻止不允许的数据交换并且放行允许的数据交换,
其特征在于,
所述保护装置(5)具有至少一个根据上述权利要求中任一项所述的设备(7)。
9.一种数据发送器(2)和数据接收器(3)之间的网络连接(1),其中,所述数据接收器(3)属于具有高安全性要求的网络,而发送数据交换的所述数据发送器(2)属于具有较低安全性要求的网络,
其特征在于,
所述网络连接(1)具有至少一个根据权利要求8所述的保护装置(5)。
10.一种用于检查至少一个防火墙装置(6)的方法,
其中,在数据接收器(3)的方向上的数据交换中,根据预先确定的规则区分允许和不允许的数据交换,以及阻止不允许的数据交换并且放行允许的数据交换,
其特征在于,
采集被放行的数据交换,并且对存在的不允许的数据交换进行检查。
11.根据权利要求10所述的方法,
其特征在于,
当所述被放行的数据交换具有不允许的数据交换时,中断到所述数据接收器(3)的数据交换。
12.根据权利要求10或11所述的方法,
其特征在于,
当所述被放行的数据交换的放行和检查未在预先确定的时间内进行时,中断到所述数据接收器(3)的数据交换。
13.根据权利要求10至12中任一项所述的方法,
其特征在于,
产生具有不允许的数据交换的被放行的测试数据交换(24),并且检查是否识别出不允许的数据交换。
14.根据权利要求13所述的方法,
其特征在于,
当未在预先确定的时间内识别出所述测试数据交换(24)的不允许的数据交换或者未在预先确定的时间内产生测试数据交换时,中断到所述数据接收器(3)的数据交换。
15.根据权利要求10至14中任一项所述的方法,
其特征在于,
数据交换利用端到端加密传输。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016205983.1 | 2016-04-11 | ||
DE102016205983.1A DE102016205983A1 (de) | 2016-04-11 | 2016-04-11 | Anordnung zum Überprüfen von wenigstens einer Firewall-Einrichtung und Verfahren zum Schutz wenigstens eines Datenempfängers |
PCT/EP2017/055805 WO2017178165A1 (de) | 2016-04-11 | 2017-03-13 | Anordnung zum überprüfen von wenigstens einer firewall-einrichtung und verfahren zum schutz wenigstens eines datenempfängers |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109076071A true CN109076071A (zh) | 2018-12-21 |
CN109076071B CN109076071B (zh) | 2021-10-12 |
Family
ID=58347329
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780022816.6A Active CN109076071B (zh) | 2016-04-11 | 2017-03-13 | 用于检查至少一个防火墙装置的设备和用于保护至少一个数据接收器的方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US11044231B2 (zh) |
EP (1) | EP3417593A1 (zh) |
CN (1) | CN109076071B (zh) |
AU (1) | AU2017249589B2 (zh) |
DE (1) | DE102016205983A1 (zh) |
WO (1) | WO2017178165A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102016215243A1 (de) | 2016-08-16 | 2018-02-22 | Siemens Aktiengesellschaft | Anordnung mit einer technischen Anlage sowie Verfahren zu deren Betrieb |
US20200314066A1 (en) * | 2019-03-29 | 2020-10-01 | Cloudflare, Inc. | Validating firewall rules using data at rest |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101026510A (zh) * | 2007-01-31 | 2007-08-29 | 华为技术有限公司 | 一种网络流量异常检测方法和系统 |
CN102420767A (zh) * | 2011-12-15 | 2012-04-18 | 北京星网锐捷网络技术有限公司 | 转发路径切换方法、装置及网络设备 |
CN104252398A (zh) * | 2013-12-04 | 2014-12-31 | 深圳市华傲数据技术有限公司 | 一种数据防火墙系统修复数据方法和系统 |
DE102013214522A1 (de) * | 2013-07-25 | 2015-01-29 | Siemens Aktiengesellschaft | Überwachung einer Filterfunktionalität einer Netzwerkfiltereinrichtung |
DE102013216847A1 (de) * | 2013-08-23 | 2015-02-26 | Siemens Aktiengesellschaft | Verfahren, Vorrichtung und System zur Überwachung einer Sicherheits-Netzübergangseinheit |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020129355A1 (en) * | 2001-03-01 | 2002-09-12 | Mike Velten | Method and system for monitoring an apparatus for a computer |
CA2461419C (en) * | 2001-09-25 | 2008-11-18 | Siemens Aktiengesellschaft | Method for the transmission of data in a packet-oriented data network |
US7734752B2 (en) * | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
US6898632B2 (en) * | 2003-03-31 | 2005-05-24 | Finisar Corporation | Network security tap for use with intrusion detection system |
US7421734B2 (en) * | 2003-10-03 | 2008-09-02 | Verizon Services Corp. | Network firewall test methods and apparatus |
US7076393B2 (en) * | 2003-10-03 | 2006-07-11 | Verizon Services Corp. | Methods and apparatus for testing dynamic network firewalls |
US20050268331A1 (en) * | 2004-05-25 | 2005-12-01 | Franck Le | Extension to the firewall configuration protocols and features |
ES2354632T3 (es) * | 2006-06-03 | 2011-03-16 | B. BRAUN MEDIZINELEKTRONIK GMBH & CO. KG | Dispositivo y procedimiento para la protección de un aparato médico y de un paciente tratado con dicho aparato, contra influencias peligrosas procedentes de una red de comunicaciones. |
US7929449B2 (en) * | 2008-05-30 | 2011-04-19 | International Business Machines Corporation | System, method and program for determining failure in network communication |
US20100005263A1 (en) * | 2008-07-04 | 2010-01-07 | Huawei Technologies Co., Ltd. | Information backup method, firewall and network system |
EP2154827A1 (en) * | 2008-08-14 | 2010-02-17 | Alcatel Lucent | A self-recovering network element |
DE102013219698A1 (de) * | 2013-09-30 | 2015-04-02 | Siemens Aktiengesellschaft | Filtern eines Datenpaketes durch eine Netzwerkfiltereinrichtung |
DE102013221955A1 (de) | 2013-10-29 | 2015-05-21 | Siemens Aktiengesellschaft | Sicherheitsrelevantes System |
-
2016
- 2016-04-11 DE DE102016205983.1A patent/DE102016205983A1/de not_active Withdrawn
-
2017
- 2017-03-13 AU AU2017249589A patent/AU2017249589B2/en not_active Expired - Fee Related
- 2017-03-13 EP EP17711115.0A patent/EP3417593A1/de not_active Withdrawn
- 2017-03-13 CN CN201780022816.6A patent/CN109076071B/zh active Active
- 2017-03-13 WO PCT/EP2017/055805 patent/WO2017178165A1/de active Application Filing
- 2017-03-13 US US16/092,468 patent/US11044231B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101026510A (zh) * | 2007-01-31 | 2007-08-29 | 华为技术有限公司 | 一种网络流量异常检测方法和系统 |
CN102420767A (zh) * | 2011-12-15 | 2012-04-18 | 北京星网锐捷网络技术有限公司 | 转发路径切换方法、装置及网络设备 |
DE102013214522A1 (de) * | 2013-07-25 | 2015-01-29 | Siemens Aktiengesellschaft | Überwachung einer Filterfunktionalität einer Netzwerkfiltereinrichtung |
DE102013216847A1 (de) * | 2013-08-23 | 2015-02-26 | Siemens Aktiengesellschaft | Verfahren, Vorrichtung und System zur Überwachung einer Sicherheits-Netzübergangseinheit |
CN104252398A (zh) * | 2013-12-04 | 2014-12-31 | 深圳市华傲数据技术有限公司 | 一种数据防火墙系统修复数据方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN109076071B (zh) | 2021-10-12 |
WO2017178165A1 (de) | 2017-10-19 |
DE102016205983A1 (de) | 2017-10-12 |
AU2017249589A1 (en) | 2018-10-04 |
US11044231B2 (en) | 2021-06-22 |
US20190166097A1 (en) | 2019-05-30 |
AU2017249589B2 (en) | 2021-07-29 |
EP3417593A1 (de) | 2018-12-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10061635B2 (en) | Cyber physical system | |
RU2690887C2 (ru) | Модульное устройство управления безопасностью | |
KR101977731B1 (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
US8737197B2 (en) | Sequential heartbeat packet arrangement and methods thereof | |
EP2866407A1 (en) | Protection of automated control systems | |
US10819742B2 (en) | Integrated industrial system and control method thereof | |
KR20160002058A (ko) | 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법 | |
KR101880162B1 (ko) | 자동제어시스템 내 제어신호 분석을 이용한 제어신호 무결성 검증 방법 | |
US10728037B2 (en) | Method for authenticating a field device of automation technology | |
EP2767057B1 (en) | Process installation network intrusion detection and prevention | |
US20140298008A1 (en) | Control System Security Appliance | |
CN109076071A (zh) | 用于检查至少一个防火墙装置的设备和用于保护至少一个数据接收器的方法 | |
CN106375273A (zh) | 用于监视数据包传输安全的自动化网络和方法 | |
KR101214427B1 (ko) | Scada 시스템 및 그의 보안 관리방법 | |
KR101871406B1 (ko) | 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템 | |
Zhou et al. | Mind the gap: Security analysis of metro platform screen door system | |
CN103621043A (zh) | 用于监视vpn隧道的方法和装置 | |
CN107968777B (zh) | 网络安全监控系统 | |
Colelli et al. | Securing connection between IT and OT: the Fog Intrusion Detection System prospective | |
CN105897711A (zh) | 一种将工业控制系统与管理网络进行隔离的系统 | |
Kolosok et al. | Cyber resilience of SCADA at the level of energy facilities | |
KR101606090B1 (ko) | 네트워크 보호 장치 및 방법 | |
Barker et al. | The application of data diodes for securely connecting nuclear power plant safety systems to the corporate it network | |
KR20220087993A (ko) | 원자력발전소 정보처리계통 네트워크 이상징후 탐지시스템 | |
CN108667797A (zh) | 用于发送音频和/或视频数据的系统和用于授权安全访问的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |