Beschreibung
Rechneranordnung, die an ein Datenubertragungsnetz anschlie߬
Die Erfindung betrifft eine Rechneranordnung, die an ein Datenubertragungsnetz, z. B. Internet oder Intranet, angeschlossen ist. Solche Rechneranordnungen, meist einzelne Rechner, wie z. B. PCs, sind m zunehmendem Maße Computer- viren und unerlaubten Zugriffen auf interne Daten ausgesetzt. Virenscanner können in der Regel nur bekannte Computerviren erkennen und beseitigen, nicht aber solche Viren, die völlig neu sind und gänzlich andere Strukturen als bisher bekannte Viren aufweisen. Insbesondere bei Rechnern m Verwaltungen, Banken, Versicherungen, der Industrie, z. B. Bedienen und
Beobachten von Automatisierungssystemen, die zunehmend über öffentliche Datenubertragungsnetze mit anderen Rechneranordnungen, z. B. zentralen Leitstellen, kommunizieren, kann die Infizierung mit Computerviren zu immensen Schaden fuhren. So können als Trojaner bezeichnete Programme m den Rechner eingeschleust werden, die, z. B. als Nutzprogramm getarnt, im Verborgenen interne Daten ausspähen und diese an eine externe Stelle übermitteln.
Der Erfindung liegt daher die Aufgabe zugrunde, einen sicheren Schutz gegen Computerviren, unerlaubte Zugriffe auf interne Daten und Datenverlust im Falle einer Infizierung zu erreichen.
Gemäß der Erfindung wird die Aufgabe dadurch gelost, dass eine Rechneranordnung, die an ein Datenubertragungsnetz an- schließbar ist, einen ersten Rechner und einen davon unabhängigen redundanten, zweiten Rechner aufweist, wobei sich beide Rechner durch Vergleich ihrer Arbeitsergebnisse abglei- chen, wobei der Empfang von Daten aus dem Datenubertragungsnetz auf den ersten Rechner und das Senden von Daten auf das Datenubertragungsnetz auf den zweiten Rechner beschrankt ist,
wobei zumindest die Erst-Verarbeitung von empfangenen Daten auf den ersten Rechner beschrankt ist und wobei von dem ersten Rechner empfangene, nicht überprüfte oder nicht überprüfbare Daten nur verschlossen, d. h. nicht verarbeitbar, auf dem zweiten Rechner gespeichert werden.
Die erfmdungsgemaße Rechneranordnung besteht also aus zwei parallelen Rechnern, die praktisch den gleichen Hardwareaufbau aufweisen und mit gleicher Software konfiguriert sind. Beide Rechner arbeiten parallel, abwechselnd oder arbeitsteilig, wobei sie sich ηedoch regelmäßig durch Vergleich ihrer Arbeitsergebnisse, beispielsweise durch Quersummen- uberprufung oder Vergleich vorgegebener Daten, abgleichen. Der Abgleich kann z. B. durch den Anwender ausgelost oder automatisch beispielsweise bei Programmende, beim Schließen von Dateien, bei der Ein- und Ausgabe von Daten oder bei Speicherzugriffen gestartet werden. Zwischen den beiden Rechnern werden Daten nur dann ausgetauscht bzw. angebotene Daten nur dann übernommen, wenn die von den Rechnern ge- lieferten Arbeitsergebnisse gleich sind. Im Rahmen des Ab- gleichs können daher aufgrund von unterschiedlichen Arbeitsergebnissen der beiden Rechner Fehlfunktionen bzw. verfälschte Daten erkannt werden.
Um die geforderte Sicherheit zu erreichen, sind der Empfang von Daten aus dem Datenubertragungsnetz und zumindest die Erst-Verarbeitung der empfangenen Daten auf den ersten Rechner und das Senden von Daten auf das Datenubertragungsnetz auf den zweiten Rechner beschrankt. Dies kann durch eine entsprechende hardware- oder softwaremaßige Sende-Sperre bzw. Empfangs-Sperre erfolgen. Anstelle der Sende-Sperre kann beispielsweise auch vorgesehen werden, dass m dem ersten Rechner nur empfangene Daten speicherbar sind, so dass ein Senden von anderen als den empfangenen Daten nicht möglich ist. Im Rahmen der auf den ersten Rechner beschrankten Erstverarbeitung der empfangenen Daten können diese überprüft werden, wobei nur überprüfte Daten von dem zweiten Rechner
unverschlossen, d. h. verarbeitbar, übernommen und abgespeichert werden können. Bei E-mails überprüfbare Daten sind bei¬ spielsweise die Adresse des Senders, der Betrefftext sowie weitere Teildaten, die πe nach Softwareprodukt vollständig überprüfbar sind, so z. B. Textformate, nicht ηedoch Makros. Die Überprüfung der Daten erfolgt dabei vorzugsweise unab¬ hängig auf beiden Rechnern, wobei es nur nach einem Ergebnis- abgleich zu einer Abspeicherung der Daten auf dem zweiten Rechner kommt. Von dem ersten Rechner empfangene, nicht uber- prüfte oder nicht überprüfbare Daten werden nur verschlossen (gekapselt), d. h. nicht verarbeitbar, von dem zweiten Rechner entgegengenommen. Dies gilt gleichermaßen für durch Ver¬ arbeitung dieser Daten auf dem ersten Rechner erzeugte neue Daten. Solche verschlossenen Daten können auf dem zweiten Rechner weder geöffnet noch verarbeitet werden, sondern nur als Anhang beispielsweise an ein Sende-E-mail angefugt werden.
Auf diese Weise wird erreicht, dass der zweite, redundante Rechner, der aufgrund von Hardware- oder Softwaremaßnahmen empfangsuntuchtig ist, frei von Computerviren bleibt und dass auch keine Computerviren beim Senden von Daten nach außen weitergegeben werden können. Auch können keine Daten durch so genannte Trojaner abgeholt oder verfälscht werden. Wird der erste Rechner aufgrund von empfangenen Daten mit Computerviren infiziert, so wird dies bei dem Abgleichen der beiden Rechner erkannt. In diesem Fall kann durch Kopieren des Zu- standes des zweiten Rechners auf den ersten Rechner dieser wieder in einen virenfreien Zustand versetzt werden, ohne dass Daten oder bereits ausgeführte Arbeiten verloren gehen.
Um auszuschließen, dass m einem zentralen Datenspeicher enthaltene interne Daten der Rechneranordnung aufgrund einer Infizierung des empfangsfahigen ersten Rechners verfälscht oder geloscht werden, ist der unmittelbare Zugriff auf diese Daten auf den zweiten Rechner beschrankt, wobei der erste
Rechner diese Daten nur auf Anforderung über den zweiten Rechner erhalt.
Bei vergleichsweise großen zu erbringenden Rechenleistungen kann ein unabhängiger redundanter, dritter Rechner vorgesehen sein, wobei sich der zweite und der dritte Rechner durch Ver¬ gleich ihrer Arbeitsergebnisse abgleichen. Im Falle eines Automatisierungssystems übernimmt z. B. der dritte Rechner Automatisierungsfunktionen, wahrend der erste und der zweite Rechner für die Kommunikation über das Datenubertragungsnetz zustandig sind.
Im Weiteren wird die erfmdungsgemaße Rechneranordnung anhand eines m der Figur der Zeichnung dargestellten Ausfuhrungs- beispiels erläutert.
Die hier als Funktions-Blockschaltbild dargestellte Rechner¬ anordnung besteht aus einem ersten Rechner 1, einem zweiten, redundanten Rechner 2 und einem optionalen, dritten Rechner 3. Die Rechner 1, 2 und 3 weisen, von den unten angegebenen Ausnahmen abgesehen, jeweils den gleichen Hardwareaufbau auf und sind mit der gleichen Software konfiguriert. Der Rechner 1 ist über einen Empfangstreiber 4 an einem Datenubertragungsnetz 5 angeschlossen und im Übrigen sendeuntuchtig . Der redundante Rechner 2 ist über einen Sendetreiber 6 an dem Datenubertragungsnetz 5 angeschlossen und im Übrigen emp- fangsuntuchtig . Der optionale, dritte Rechner 3 ist für den Fall vorgesehen, dass höhere Rechenleistungen erbracht werden sollen, wie z. B. das Bedienen und Beobachten von Automati- sierungssystemen. Mit Ausnahme der Erst-Verarbeitung von empfangenen Daten, die auf den ersten Rechner 1 beschrankt ist, und der von dem dritten Rechner 3 zu erbringenden höheren Rechenleistungen werden m allen Rechnern 1, 2 und 3 die gleichen Funktionen ausgeführt, weswegen Anwender-Eingaben, die beispielsweise an einer Tastatur 7 oder einer Computermaus 8 vorgenommen werden, allen Rechnern 1, 2 und 3 parallel zugeführt werden.
In einem ersten Speicher bzw. Speicherbereich 9 werden die Arbeitsergebnisse der beiden Rechner 1 und 2 beispielsweise durch Quersum enuberprufung usw. abgeglichen. Weitere Speicher bzw. Speicherbereiche 10 und 11 dienen zum Daten- austausch im Rahmen des Ergebnisabgleichs der beiden Rechner 1 und 2, wobei Daten nur dann ausgetauscht bzw. angebotene Daten nur dann akzeptiert werden, wenn die Arbeitsergebnisse der beiden Rechner 1 und 2 gleich sind.
Von dem Rechner 1 aus dem Datenubertragungsnetz 5 empfangene Daten, z. B. E-mails, werden im Rahmen des Datenaustauschs nur selektiv (z. B. Adresse des Senders, Betrefftext) bzw. m dem Umfang an den zweiten Rechner 2 weitergegeben, wie diese Daten vollständig überprüfbar sind (z. B. Textformate, nicht jedoch Makros) . Die Prüfung wird auf beiden Rechnern 1 und 2 unabhängig ausgeführt, wobei die endgültige Übertragung und Abspeicherung m den jeweils anderen Rechner erst bei übereinstimmenden positiven Prüfergebnissen erfolgt. Im Übrigen ist die Erst-Verarbeitung von empfangenen Daten allem auf den ersten Rechner 1 beschrankt. Nicht überprüfbare empfangene Daten sowie durch Verarbeitung dieser Daten m dem Rechner 1 neu erzeugte Daten werden im Rahmen des Datenaustauschs nur m verschlossenem Zustand an den zweiten, redundanten Rechner 2 übergeben, der die verschlossenen Daten weder off- nen noch verarbeiten kann. Diese Daten können dann im verschlossenen Zustand nur als Anhang an andere zu sendende Daten, z. B. ein Sende-E-mail, angefugt werden.
Wird der erste Rechner 1 aufgrund von empfangenen Daten mit Computerviren infiziert, so wird dies bei dem regelmäßigen Abgleichen der beiden Rechner 1 und 2 erkannt. Aufgrund der oben erläuterten Sicherheitsmechanismen bei dem Datenaustausch zwischen den beiden Rechnern 1 und 2 ist ein Übergreifen der Computerviren von dem ersten Rechner 1 auf den zweiten Rechner 2 ausgeschlossen. Durch Kopieren des Zustan- des des zweiten Rechners 2 auf den ersten Rechner 1 kann dieser wieder m einen virenfreien Zustand versetzt werden,
ohne dass Daten verloren gehen. Durch die oben erläuterten Sicherheitsmechanismen wird weiterhin ein unerlaubter Zugriff über das Datenubertragungsnetz 5 auf interne Daten der Rechneranordnung ausgeschlossen.
Wie bereits erwähnt, werden größere Rechenleistungen im Wesentlichen von dem optional vorgesehenen, dritten Rechner 3 erbracht, wobei der erste Rechner 1 und der zweite Rechner 2 für die Kommunikation über das Datenubertragungsnetz 5 zu- standig sind. Der dritte Rechner 3 gleicht sich dabei über
Speicher bzw. Speicherbereiche 12, 13 und 14 mit dem zweiten Rechner 2 ab. Aus Sicherheitsgründen hat der erste Rechner 1 keinen Zugriff auf einen zentralen Datenspeicher 15 mit gemeinsamen Daten, die nur von dem Rechner 3 und gegebenenfalls dem Rechner 2 gelesen werden können und erforderlichenfalls dem ersten Rechner 1 bereitgestellt werden.