DE19734585A1 - Monitoring information flows in computer systems - Google Patents

Monitoring information flows in computer systems

Info

Publication number
DE19734585A1
DE19734585A1 DE1997134585 DE19734585A DE19734585A1 DE 19734585 A1 DE19734585 A1 DE 19734585A1 DE 1997134585 DE1997134585 DE 1997134585 DE 19734585 A DE19734585 A DE 19734585A DE 19734585 A1 DE19734585 A1 DE 19734585A1
Authority
DE
Germany
Prior art keywords
information
computer
security
computing device
memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE1997134585
Other languages
German (de)
Other versions
DE19734585C2 (en
Inventor
Hans Christoph Heilos
Hans Christian Heilos
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BRUNSCH HANS 81739 MUENCHEN DE
HEILOS HANS CHRISTOPH SHAILELA NEWTOWN IE
Original Assignee
BRUNSCH HANS 81739 MUENCHEN DE
HEILOS HANS CHRISTOPH SHAILELA NEWTOWN IE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BRUNSCH HANS 81739 MUENCHEN DE, HEILOS HANS CHRISTOPH SHAILELA NEWTOWN IE filed Critical BRUNSCH HANS 81739 MUENCHEN DE
Priority to DE1997134585 priority Critical patent/DE19734585C2/en
Publication of DE19734585A1 publication Critical patent/DE19734585A1/en
Application granted granted Critical
Publication of DE19734585C2 publication Critical patent/DE19734585C2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1441Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/1097Boot, Start, Initialise, Power

Abstract

The method involves feeding information to a memory of a secure computer, where it is processed according to a predetermined procedure. The response produced by the processing by the secure computer is monitored, and the information is passed on when the response corresponds to a predetermined response pattern. A software program and data carrier for the software program are also claimed.

Description

Die Erfindung betrifft ein Verfahren zur Überwachung von Informationsflüssen in Computersystemen, wobei Information zwischen zumindest einer Rechnerzentraleinheit (CPU) und zumindest einer Peripheriegeräteeinheit oder einer weiteren Rechnerzentraleinheit (CPU) geleitet wird. Weiterhin betrifft die Erfindung eine Vorrichtung zur Überwachung von Informationsflüssen in Computersystemen, wobei Information zwischen zumindest einer ersten Rechnerzentraleinheit (CPU) und zumindest einer Peripheriegeräteeinheit oder einer weiteren Rechnerzentraleinheit (CPU) durch eine Informationsstrecke geleitet wird. Schließlich stellt die Erfindung auch noch ein entsprechendes Softwareprogramm bereit.The invention relates to a method for monitoring Information flows in computer systems, being information between at least one central processing unit (CPU) and at least one peripheral device unit or another Computer central unit (CPU) is directed. Furthermore concerns the invention a device for monitoring Information flows in computer systems, being information  between at least one first central processing unit (CPU) and at least one peripheral device unit or one another central processing unit (CPU) by a Information route is directed. Finally, the Invention also a corresponding software program ready.

Computer und insbesondere Computernetzwerke sind heute verstärkt unerlaubten und erwünschten Angriffen von außen, beispielsweise durch Computerviren oder durch Zugriffsversuche von unautorisierten Personen ausgesetzt, insbesondere wenn die Computer oder die Computernetzwerke mit öffentlichen Netzwerken wie dem Internet verbunden sind. Es ist zwar bekannt, an der Schnittstelle zum öffentlichen Netz eine sogenannte Firewall vorzusehen, die ein Eindringen von unautorisierten Personen, sogenannten Hackern, in einen Computer oder in ein lokales Computernetzwerk erschweren, doch bieten diese Systeme keinen Schutz gegen Viren und auch nicht gegen das unerlaubte Eindringen von unautorisierten Personen, die Insiderkenntnisse über den Computer oder über das lokale Computernetzwerk und deren Sicherheitsvorkehrungen besitzen.Computers and especially computer networks are today increases illegal and wanted attacks from outside, for example by computer viruses or by Access attempts by unauthorized persons suspended, especially if the computers or computer networks are connected connected to public networks such as the Internet. It is known at the interface to the public network to provide a so-called firewall that prevents intrusion of unauthorized persons, so-called hackers, into one Computer or in a local computer network, yet these systems offer no protection against viruses and also not against the unauthorized intrusion of unauthorized Individuals who have insider knowledge of the computer or about the local computer network and its security precautions have.

Gegen Computerviren gibt es zwar Virenschutzprogramme, die ihnen bekannte Viren oder virenähnliche Programmkonstrukte erkennen können, sofern sie den elektronischen Fingerabdruck des entsprechenden Virus "kennen" oder mittels eines Softwarealgorithmus eine ankommende Information auf für Viren typische Programmstrukturen hin untersuchen können. Die Gefahr, daß derartige Virenschutzprogramme versagen, steigt, wenn ein neuer Virus oder eine neue virusähnliche Programmstruktur auftaucht, so daß ein ständiges Aktualisieren der Virenschutzprogramme erforderlich ist, wobei eine Aktualisierung immer nur eine Reaktion auf neue Viren oder Virenarten sein kann.Virus protection programs exist against computer viruses Viruses known to them or program constructs similar to viruses can recognize provided they have the electronic fingerprint "know" of the corresponding virus or by means of a Software algorithm an incoming information on for viruses be able to examine typical program structures. The The risk of such virus protection programs failing increases when a new virus or a new virus-like Program structure appears, so that a constant  Updating the anti-virus programs is required whereby an update is always only a reaction to new ones Viruses or types of viruses.

Aufgabe der vorliegenden Erfindung ist es daher, ein Verfahren sowie eine Vorrichtung und auch ein Softwareprogramm anzugeben, mittels derer der Schutz von an einem öffentlichen Netz angeschlossenen Computern oder lokalen Computernetzwerken verbessert und damit die Sicherheit erhöht wird.The object of the present invention is therefore a Method as well as an apparatus and also a Specify software program by means of which the protection of an computers connected to a public network or local computer networks improved and thus the Security is increased.

Der das Verfahren betreffende Teil dieser Aufgabe wird gelöst durch die Verfahrensschritte: Einleiten der Information in einen Speicher einer Sicherheitsrechnereinrichtung, Bearbeiten der Information in der Sicherheitsrechnereinrichtung nach einer vorgebbaren Bearbeitungsprozedur, Überwachen der durch das Bearbeiten der Information in der Sicherheitsrechnereinrichtung erzeugten Reaktion und Weiterleiten der Information, wenn die erzeugte Reaktion einem vorgegebenen Reaktionsmuster entspricht.The part of this task concerning the procedure is solved through the procedural steps: introducing the information into a memory of a security computing device, Editing the information in the Security computer device according to a predefinable Editing procedure, monitoring by editing the Information generated in the security computing device Response and forwarding of information when generated Reaction corresponds to a predetermined reaction pattern.

Bei diesem erfindungsgemäßen Verfahren wird die ankommende Information zunächst in einem Speicher (z. B. einem Speicherbaustein) abgelegt, der in herkömmlicher Weise über Adressen angesprochen wird. Die Information wird dann mit der vorgebbaren Bearbeitungsprozedur behandelt, das heißt sie wird mit bestimmten Befehlen beaufschlagt und die Reaktion der Information auf diese Befehle, das heißt zum Beispiel ein Zugriff auf eine bestimmte Speicheradresse, wird überwacht und mit einem vorgegebenen Reaktionsmuster verglichen, wodurch festgestellt werden kann, ob diese Reaktion für die untersuchte Information typisch und zulässig ist. In this method according to the invention, the incoming Information initially in a memory (e.g. a Memory chip) stored in the conventional way Addresses is addressed. The information is then with the Predeterminable processing procedure treated, that is, it is given certain commands and the reaction of information on these commands, that is, for example Access to a specific memory address is monitored and compared with a given reaction pattern, whereby it can be determined whether this reaction for the examined information is typical and permissible.  

Entspricht die erzeugte Reaktion einem vorgegebenen Reaktionsmuster, so wird die Information aus der Sicherheitsrechnereinrichtung an den Zielrechner oder die Peripheriegeräteeinheit weitergeleitet. Die Information kann beispielsweise eine E-Mail-Nachricht, eine Programmdatei, eine Textdatei, ein Spreadsheet einer Tabellenkalkulation, eine Datenbankdatei oder irgendeine andere Datei sein. Auf diese Weise kann festgestellt werden, ob ein Virus in einer Information einen unerlaubten Speicherzugriff, beispielsweise auf den Boot-Sektor einer Festplatte oder einen unerlaubten Befehl, beispielsweise einen Formatierungsbefehl für eine Festplatte, als Reaktion auf irgendeinen an diese Information gerichteten Befehl, beispielsweise einen Druck- oder Copy-Befehl oder auch nur als Reaktion auf eine Zeit- oder Datumsinformation, ausgibt.The generated reaction corresponds to a given one Reaction pattern, so the information from the Security computer device to the target computer or the Peripheral device forwarded. The information can for example an email message, a program file, a text file, a spreadsheet of a spreadsheet, a database file or any other file. On this way it can be determined whether a virus is in a Information an illegal memory access, for example to the boot sector of a hard drive or an unauthorized one Command, for example a formatting command for a Hard drive, in response to any of this information directed command, such as a print or Copy command or just in response to a time or Outputs date information.

Diese erfindungsgemäße Sicherheitsprozedur kann nicht nur durchgeführt werden, um Zugriffe von außen auf eine Rechnerzentraleinheit zu verhindern, sondern kann ebenfalls benutzt werden, um von einer Rechnerzentraleinheit an eine Peripheriegeräteeinheit oder eine weitere Rechnerzentraleinheit ausgesandte Information zu überprüfen und auf die Zulässigkeit ihres Exports hin zu untersuchen.This security procedure according to the invention can not only be carried out to accesses from outside Prevent central processing unit, but can also be used to from a central processing unit to a Peripheral unit or another Computer central unit to check information sent and to examine the permissibility of their export.

Ebenso kann das erfindungsgemäße Verfahren von außen an eine Rechnerzentraleinheit in einer Online-Sitzung gerichtete Befehle prüfen und ihre Weiterleitung an die Rechnerzentraleinheit gegebenenfalls unterbinden, so daß auch unautorisierte Zugriffe von außen nicht mehr möglich sind. Likewise, the method according to the invention can be performed from the outside Central processing unit directed in an online session Check commands and forward them to If necessary, prevent the central processing unit, so that also unauthorized external access is no longer possible.  

In einer vorteilhaften Ausführungsform wird die Information in einem Sicherheitsspeicherbereich (einem Bereich von Speicheradressen) gespeichert, wenn die erzeugte Reaktion nicht einem vorgegebenen Reaktionsmuster entspricht. Diese auch als "abgelehnte Nachricht" bezeichnete Information wird auf eine sichere Weise derart im Sicherheitsspeicherbereich, vorzugsweise auf einem separaten Speichermedium, abgelegt, daß der Inhalt der Information beispielsweise in einem FTAM-envelope (wie ein Brief in einem Umschlag) nach außen abgeschottet ist. Dabei werden wichtige zu der abgelehnten Nachricht gehörige Informationen mit abgespeichert wie die Reaktion, die zur Bewertung als abzulehnende Nachricht geführt hat, also der "Fehler" der Information, sowie insbesondere bei e-Mail-Nachrichten die Herkunft dieser Nachricht und von wem und zu welchem Zeitpunkt diese Nachricht gesendet worden ist. Vorzugsweise wird somit das gesamte an einer e-Mail-Nachricht hängende Routing-Protokoll mit abgespeichert. Hierdurch können beispielsweise Computerviren isoliert werden und später bei Bedarf analysiert werden, um spezifische Abwehrmaßnahmen gegen einen derartigen Virus entwickeln zu können. Außerdem kann mit dieser Information beispielsweise der Absender einer virusverseuchten Information identifiziert und benachrichtigt oder auf andere Weise verfolgt werden.In an advantageous embodiment, the information in a security storage area (an area of Memory addresses) stored when the response generated does not correspond to a given reaction pattern. This also known as "rejected message" in a safe way in the security storage area, preferably stored on a separate storage medium, that the content of the information, for example, in one FTAM envelope (like a letter in an envelope) to the outside is sealed off. Doing so becomes important to the rejected Information related to the message is also saved as the Response, the message to be rejected as evaluation has led, ie the "error" of the information, as well the origin of these in particular for e-mail messages Message and from whom and at what time this Message has been sent. So preferably entire routing protocol attached to an e-mail message saved with. This can, for example Computer viruses are isolated and later when needed be analyzed to identify specific countermeasures against one to develop such a virus. You can also use This information, for example, the sender of a Virus-contaminated information identified and notified or be tracked in some other way.

Diese erfindungsgemäße Vorrichtung ist unabhängig von dem auf dem Zielrechner laufenden Betriebssystem. Nach außen stellt sich die Sicherheitsrechnereinrichtung als "offenes Rechnersystem" dar und ist für eingehende Informationen und Nachrichten nicht als Sicherheitsrechnereinrichtung erkennbar. This device according to the invention is independent of that operating system running on the target computer. To the outside the security computing device as "open Computer system "and is for incoming information and Messages not as a security computing device recognizable.  

Vorteilhafterweise wird eine Alarmmeldung ausgegeben, wenn die erzeugte Reaktion nicht einem vorgegebenen Reaktionsmuster entspricht. Diese Alarmmeldung kann beispielsweise den Systemadministrator in einem Netzwerk über einen erfolgten Virenangriffsversuch oder den Versuch eines Eindringens in einen Computer oder in ein lokales Netzwerk informieren, so daß der Systemadministrator umgehend zusätzliche Sicherheitsmaßnahmen einleiten kann.An alarm message is advantageously output when the reaction generated is not a given one Reaction pattern corresponds. This alarm message can for example, the system administrator in a network attempted virus attack or attempted Intrusion into a computer or a local network inform so that the system administrator immediately can take additional security measures.

In einer vorteilhaften Weiterbildung werden der für die Information und deren Bearbeitung reservierte Arbeitsspeicherbereich der Sicherheitsrechnereinrichtung, der für das BIOS der Sicherheitsrechnereinrichtung reservierte Arbeitsspeicherbereich und der für das Betriebssystem der Sicherheitsrechnereinrichtung reservierte Arbeitsspeicherbereich zumindest einmal physikalisch gelöscht und das BIOS und das Betriebssystem der Sicherheitsrechnereinrichtung werden erneut in den Arbeitsspeicher geladen, bevor eine neue Information in die Sicherheitsrechnereinrichtung eingeleitet wird.In an advantageous development, the for Reserved information and its processing Memory area of the security computing device, the reserved for the BIOS of the security computing device RAM area and that for the operating system of the Security computing device reserved Memory area physically deleted at least once and the BIOS and operating system of the Security computing devices are again in the Memory loaded before new information in the Security computing device is initiated.

Alternativ dazu können die vorgenannten Schritte auch durchgeführt werden, nachdem eine Information in der Sicherheitsrechnereinrichtung entsprechend den eingangs genannten Verfahrensschritten abgearbeitet worden ist. Durch diese alternativen zusätzlichen Verfahrensschritte wird gewährleistet, daß Viren, die sich möglicherweise in einen Arbeitsspeicherbereich der Sicherheitsrechnereinrichtung eingeschlichen haben, mit Sicherheit aus dem Arbeitsspeicherbereich gelöscht werden, bevor eine neue Information geladen und nach dem erfindungsgemäßen Verfahren bearbeitet wird. Alternatively, the aforementioned steps can also be carried out be carried out after information in the Security computing device according to the entry mentioned process steps has been processed. By these alternative additional procedural steps will ensures that viruses that may be infected Main memory area of the security computing device have sneaked in, for sure from the Memory area should be cleared before a new one Information loaded and according to the inventive method is processed.  

Das BIOS und das Betriebssystem der Sicherheitsrechnereinrichtung sind vorzugsweise in einem nicht löschbaren und nicht überschreibbaren Speicherbaustein (z. B. einem EPROM) dauerhaft gespeichert und werden hieraus immer "frisch" in den Arbeitsspeicherbereich geladen.The BIOS and the operating system of the Security computing device are preferably in one non-erasable and non-overwritable memory block (e.g. an EPROM) are saved permanently and are made from it always "freshly" loaded into the working memory area.

Vorteilhaft ist auch, wenn die Bearbeitungsprozedur eine für die jeweilige Art der Information typische, vorgegebene Behandlungsroutine aufweist. Auf diese Weise können beispielsweise individuelle Behandlungsroutinen für die Behandlung von Textdateien, Programmdateien, Spreadsheets, Datenbanktabellen oder andere Dateien Anwendung finden.It is also advantageous if the processing procedure is one for the respective type of information typical, predetermined Has treatment routine. That way you can for example individual treatment routines for the Treatment of text files, program files, spreadsheets, Find database tables or other files.

Weiter vorteilhaft ist es, wenn die Bearbeitungsprozedur einen oder mehrere Befehle einmal oder mehrmals ausführt, die an sich geeignet sind, Virenprogramme oder andere, in der zu behandelnden Information versteckte und somit nicht erkennbare unautorisierte Programme oder Programmroutinen zu aktivieren. Hierdurch wird gewährleistet, daß beispielsweise Viren, die sich erst nach einer gewissen Zeitspanne oder nach einer mehrmaligen Anzahl von Kopierbefehlen oder anderen Befehlen aktivieren, zuverlässig entdeckt werden.It is further advantageous if the processing procedure executes one or more commands one or more times that are suitable in themselves, virus programs or others in which to hiding information and therefore not recognizable unauthorized programs or program routines activate. This ensures that, for example Viruses that only appear after a certain period of time or after a multiple number of copy commands or others Activate commands, be reliably discovered.

Werden im Schritt des Überwachens der durch das Bearbeiten der Information in der Sicherheitsrechnereinrichtung erzeugten Reaktion Zugriffe auf vorgegebene Adressbereiche im Arbeitsspeicher und/oder in Cachespeichern detektiert und auf ihre Zulässigkeit hin ausgewertet, so können gezielt Virenangriffe oder beabsichtigtes Entwenden von gespeicherten Daten erkannt und unterbunden werden. Die vorgegebenen Adressbereiche können beispielsweise BIOS-Speicherbereiche, Betriebssystem-Speicherbereiche, Netzwerkspeicherbereiche, Grafikkartenspeicherbereiche, Speicherbereiche für Festplatten oder andere Datenträgerlaufwerke sowie sonstige nicht freigegebene Arbeitsspeicherbereiche sein.Be in the step of monitoring by editing the information in the security computing device generated response access to specified address ranges in the Main memory and / or in cache memories are detected and opened evaluated their admissibility, so targeted Virus attacks or the intentional theft of saved data Data are recognized and prevented. The given Address areas can, for example, BIOS memory areas,  Operating system memory areas, network memory areas, Graphics card memory areas, memory areas for Hard drives or other disk drives as well as others RAM areas that have not been released.

Eine andere bevorzugte Ausführungsform des erfindungsgemäßen Verfahrens kennzeichnet sich dadurch, daß die Schritte des Bearbeitens und des Überwachens für bestimmte vorgebbare Information umgangen werden und die Information direkt an einen definierten zulässigen Adressbereich im Arbeitsspeicher und/oder in Cachespeichern weitergeleitet wird und daß die verbleibenden Adressbereiche des Arbeitsspeichers und/oder von Cachespeichern derart überwacht werden, daß die Information den zulässigen Adressbereich nicht verlassen kann. Der Vorteil dieser Weiterbildung des erfindungsgemäßen Verfahrens liegt darin, daß bestimmte autorisierte Zugriffe schnell erfolgen können, da sich nicht die Sicherheits-Bearbeitungsprozedur der vorliegenden Erfindung durchlaufen müssen. So kann beispielsweise der Zugriff auf den Grafikspeicher ungeprüft zugelassen werden, was beispielsweise das sogenannte Surfen in öffentlichen Netzen wie dem Internet ohne zeitliche Verzögerung gestattet und wobei die erfindungsgemäße Sicherheits-Bearbeitungsprozedur erst dann einschreitet, wenn Zugriffe auf andere Adressbereiche erfolgen.Another preferred embodiment of the invention The process is characterized in that the steps of Editing and monitoring for certain predeterminable Information is bypassed and the information directly a defined permissible address range in the working memory and / or is forwarded in caches and that the remaining address areas of the working memory and / or are monitored by caches in such a way that the Information does not leave the permitted address range can. The advantage of this development of the invention The procedure is that certain authorized accesses can be done quickly, because the Security processing procedure of the present invention have to go through. For example, access to the graphics memory be approved unchecked what for example so-called surfing in public networks as the Internet allows without delay and the security processing procedure according to the invention only intervenes when access to others Address ranges.

Der die Vorrichtung zur Überwachung gemäß einem erfindungsgemäßen Verfahren betreffend Teil wird dadurch gelöst, daß eine Sicherheitsrechnereinrichtung in der Informationsstrecke zwischen der ersten Rechnerzentraleinheit und der Peripheriegeräteeinheit oder der weiteren Rechnerzentraleinheit vorgesehen ist, so daß der Fluß der Information durch die Sicherheitsrechnereinrichtung von einem Informationseingang zu einem Informationsausgang erfolgt, und daß die Sicherheitsrechnereinrichtung zumindest einen wiederbeschreibbaren Speicher aufweist, wobei ein Speicherbereich vorgesehen ist, in den eine durch den Informationseingang ankommende Information eingeleitet wird, in dem sie bearbeitet wird und aus dem sie weitergeleitet wird.The device for monitoring according to a Part of the method according to the invention is thereby solved that a security computing device in the Information route between the first computer central unit and the peripheral unit or the other Central processing unit is provided so that the flow of  Information from the security computing device Information input to an information output takes place, and that the security computing device at least one has rewritable memory, wherein a Memory area is provided, in which one through the Incoming information is initiated, in which it is processed and from which it is forwarded becomes.

Diese erfindungsgemäße Vorrichtung ermöglicht das Abfangen einer eingehenden Information, sowie deren Bearbeitung in einem unabhängigen und physikalisch von dem Zielrechner, an den die Information gesandt werden soll, getrennten Speicher, wobei dieser Speicher alle Register (Speicheradressen) des Zielrechners aufweist. Diese Speicheradressen in der Sicherheitsrechnereinrichtung entsprechen dabei jenen Adressen, die im Zielrechner vorgesehen sind und dort sowohl zu computerinternen als auch zu externen Geräten gehören können. Die Steuerung der Bearbeitungsprozedur und die Überwachung der dadurch ausgelösten Reaktion wird dabei von der Rechnerzentraleinheit des Zielrechners durchgeführt.This device according to the invention enables interception an incoming information, as well as its processing in an independent and physical from the target computer the information to be sent, separate memory, this memory all registers (memory addresses) of the Target computer. These memory addresses in the Security computer equipment correspond to those Addresses that are provided in the target computer and there both belong to both internal and external devices can. The control of the machining procedure and the The reaction triggered by this is monitored by the central processing unit of the target computer.

Die erfindungsgemäße Vorrichtung ist unabhängig von dem auf dem Zielrechner laufenden Betriebssystem, da sie ein eigenständiges Betriebssystem verwenden, das mit allen bekannten Betriebssystemen zusammenarbeiten kann. Nach außen stellt sich die Sicherheitsrechnereinrichtung als "offenes Rechnersystem" dar und ist für eingehende Informationen und Nachrichten nicht als Sicherheitsrechnereinrichtung erkennbar. Das gesamte Rechnersystem des Zielrechners wird in der Sicherheitsrechnereinrichtung abgebildet, wobei die Sicherheitsrechnereinrichtung als eine "Black Box" den Zielrechner simuliert.The device according to the invention is independent of that the target operating system since it is a use standalone operating system that with all known operating systems can work together. Outward the security computing device presents itself as "open Computer system "and is for incoming information and Messages not as a security computing device recognizable. The entire computer system of the target computer is in the security computing device, the  Security computing device as a "black box" Target computer simulated.

Vorteilhafterweise ist die Sicherheitsrechnereinrichtung als eigenständig funktionsfähiger Computer mit einer eigenen Rechnerzentraleinheit (CPU) ausgebildet. Bei dieser Ausführungsform kann die Steuerung der Bearbeitungsprozedur, sowie das Überwachen der dadurch ausgelösten Reaktion ebenfalls in der Sicherheitsrechnereinrichtung, also physikalisch getrennt von der Rechnerzentraleinheit des Zielrechners, durchgeführt werden, wodurch die Sicherheit zusätzlich erhöht wird.The safety computer device is advantageously a independently functioning computer with its own Computer central unit (CPU) trained. At this Embodiment can control the machining procedure, as well as monitoring the reaction triggered thereby also in the security computer device, that is physically separate from the central computer unit of the Target computer, performed, reducing security is additionally increased.

Vorteilhafterweise weist die Sicherheitsrechnereinrichtung eigene Arbeitsspeicher und/oder Cachespeicher auf.The safety computing device advantageously has own RAM and / or cache memory.

In einer besonders bevorzugten Ausführungsform weist die Sicherheitsrechnereinrichtung zumindest einen nicht löschbaren Speicherbaustein zur Aufnahme von zumindest einem Teil des BIOS und/oder des Betriebssystems für die Durchführung des Überwachungsverfahrens auf. Diese Ausgestaltung erhöht weiterhin die Sicherheit des Systems, da die für die Bearbeitung und Überprüfung erforderlichen Programmteile gegen Manipulation von außen geschützt sind.In a particularly preferred embodiment, the Security computing device at least not one erasable memory chip for holding at least one Part of the BIOS and / or operating system for the Implementation of the monitoring procedure. This Design further increases the security of the system because those required for processing and review Program parts are protected against manipulation from outside.

Ist der Teil der Informationsstrecke, der die Sicherheitsrechnereinrichtung mit der ersten und/oder der weiteren Rechnerzentraleinheit verbindet, zur optischen Entkoppelung von einer elektrooptischen Verbindung gebildet, so wird die Sicherheit des Systems weiter erhöht, insbesondere wird eine elektrooptische Anbindung des die Überwachung durchführenden Computers oder Computerbereich an den zu überwachenden Computer oder die zu überwachenden Computerbereiche bevorzugt.Is the part of the information path that the Security computer device with the first and / or connects further computer central unit, for optical Decoupling formed by an electro-optical connection, this further increases the security of the system, in particular, an electro-optical connection of the Monitoring performing computer or computer area  the computer to be monitored or the ones to be monitored Computer areas preferred.

Vorzugsweise ist dabei die elektrooptische Verbindung in als Hybridbausteine ausgebildete Computerbausteine, vorzugsweise in Speicherbausteine, integriert. Hierdurch kann beispielsweise eine Entkoppelung der Überwachungsprozedur von der Bearbeitungsprozedur erfolgen.The electro-optical connection is preferably in Hybrid modules designed computer modules, preferably integrated in memory modules. This can for example a decoupling of the monitoring procedure from the processing procedure.

In einer besonders einfachen Ausführungsform ist die Sicherheitsrechnereinrichtung virtuell auf der ersten Rechnerzentraleinheit durch ein Softwareprogramm gebildet, das die Rechnerzentraleinheit, sowie deren Arbeitsspeicher und/oder Cachespeicher benutzt.In a particularly simple embodiment, the Security computing device virtually on the first Central computer unit formed by a software program, that the computer central unit, as well as its working memory and / or cache memory used.

Die Erfindung betrifft weiterhin ein Softwareprogramm zur Ausführung auf einer Datenverarbeitungsanlage zumindest umfassend ein Betriebssystem, einen Informationsmanagement-Programmteil, der zu einer Rechnerzentraleinheit hin fließende oder von der Rechnerzentraleinheit weg fließende Information abfängt und in einem definierten Zwischenspeicherbereich ablegt, einen Informationsbearbeitungs-Programmteil, der die zwischengespeicherte Information nach einer vorgegebenen Prüfsequenz bearbeitet, wobei die Information mit Programmbefehlen beaufschlagt wird, einen Überwachungs-Programmteil, der Reaktionen der Information auf die Programmbefehle mit vorgegebenen zulässigen Reaktionen vergleicht einen Informationsmanagement-Programmteil, der zu einer Rechnerzentraleinheit hin fließende oder von der Rechnerzentraleinheit weg fließende Information abfängt und der die Information nach einer vorgegebenen Prüfsequenz bearbeitet, wobei die Information mit Programmbefehlen beaufschlagt wird, einen Überwachungs-Programmteil, der Reaktionen der Information auf die Programmbefehle mit vorgegebenen zulässigen Reaktionen vergleicht und der die Information nach Ablauf der Prüfsequenz weiterleitet, wenn während der Prüfsequenz keine unzulässige Reaktion festgestellt worden ist. Dieses Softwareprogramm gestattet die Durchführung des erfindungsgemäßen Verfahrens in einem Computer.The invention further relates to a software program for Execution on a data processing system at least comprising an operating system, a Information management program part that leads to a Central processing unit flowing or from the Computer central unit intercepts and flowing information stores in a defined buffer area, one Information processing program part that the cached information according to a predetermined Test sequence edited, the information with Program instructions is applied to a Monitoring program part, the reactions of the information to the program commands with predefined permissible reactions compares an information management program part that too a computer central unit flowing or from Computer central unit intercepts and flowing information which provides the information according to a given test sequence  edited, the information with program instructions is subjected to a monitoring program section that Reactions of the information to the program commands with compares predetermined permissible reactions and the Forward information after the test sequence has expired, if no inadmissible reaction during the test sequence has been determined. This software program allows the implementation of the method according to the invention in one Computer.

Vorzugsweise ist weiterhin ein Sicherheits-Programmteil vorgesehen, der, falls eine unzulässige Reaktion festgestellt worden ist, die Information sowie Daten über die unzulässige Reaktion sowie vorzugsweise auch Daten über Herkunftseigenschaften der Information sicher in einem Sicherheitsspeicherbereich ablegt. Durch diese Maßnahme wird gewährleistet, daß eine für den Zielrechner möglicherweise gefährliche Information, die beispielsweise einen Virus enthält, isoliert und sicher abgelegt wird.A safety program part is preferably also provided that if an inadmissible reaction is detected has been, the information as well as data on the prohibited Response and preferably also data about Origin properties of the information safely in one Safe storage area. This measure will ensures that one may be for the target machine dangerous information, such as a virus contains, isolated and safely stored.

Weiter vorzugsweise ist ein Alarmierungs-Programmteil vorgesehen, der ein Alarmsignal an eine Anzeigeeinrichtung ausgibt, sobald eine unzulässige Reaktion festgestellt worden ist. Hierdurch kann beispielsweise ein Systemadministrator eines Netzwerks sofort über eine aufgetretene unzulässige Reaktion informiert werden.An alarm program part is further preferred provided that an alarm signal to a display device outputs as soon as an impermissible reaction has been determined is. In this way, for example, a system administrator a network immediately over an impermissible Reaction to be informed.

Die vorliegende Erfindung betrifft außerdem einen Datenträger mit einem darauf gespeicherten Softwareprogramm gemäß einem der auf ein Softwareprogramm gerichteten Ansprüche der Erfindung. The present invention also relates to a data carrier with a software program stored on it according to a the claims of a software program Invention.  

Einer der wesentlichen Kerngedanken der vorliegenden Erfindung liegt mithin darin, eine an einen Zielrechner oder Zielcomputer gerichtete Information mit einer für die entsprechende Art der Information typischen Bearbeitungsprozedur zu bearbeiten, um dabei festzustellen, ob diese Information nur zulässige Reaktionen wie beispielsweise Zugriffe auf bestimmte Speicheradressen ausführt oder ob unzulässige Reaktionen auftreten, d. h. beispielsweise versucht wird, auf üblicherweise für eine bestimmte Information nicht benutzte Speicheradressen zuzugreifen, wodurch die Information dann als gefährlich eingestuft und nicht an den Zielrechner weitergeleitet wird.One of the main core ideas of the present The invention therefore lies in one to a target computer or Targeted information with one for the corresponding type of information typical Processing procedure to determine in the process whether this information is just admissible reactions like for example, access to certain memory addresses executes or whether inadmissible reactions occur, d. H. for example, it is usually tried on for a certain information unused memory addresses to access, which then makes the information dangerous classified and not forwarded to the target computer.

Die Durchführung des erfindungsgemäßen Verfahrens bzw. der Ablauf des erfindungsgemäßen Softwareprogramms kann entweder auf einem eigenständigen als Hardware ausgebildeten Sicherheitsrechner oder aber auch in einem abgegrenzten Speicherbereich des Zielrechners als virtuell ausgebildete Sicherheitsrechnereinrichtung erfolgen. Es sind auch Zwischenstufen möglich, in denen Teile der Sicherheitsrechnereinrichtung als eigenständige Hardware ausgebildet sind, wie beispielsweise die Speicherbausteine, und andere Teile der Sicherheitsrechnereinrichtung virtuell auf dem Zielrechner gebildet sind, so daß Teile des Zielrechners wie dessen Prozessor für die Durchführung des erfindungsgemäßen Verfahrens bzw. für den Ablauf des erfindungsgemäßen Softwareprogramms mitbenutzt werden.The implementation of the method according to the invention or the The software program according to the invention can either run on an independent trained as hardware Security calculator or in a delimited one Memory area of the target computer as a virtually trained one Security computer set up. They are too Intermediate stages possible, in which parts of the Security computing device as independent hardware are formed, such as the memory modules, and other parts of the security computing device virtually are formed on the target computer so that parts of the Target computer as its processor for the execution of the inventive method or for the course of the software program according to the invention can also be used.

Die Erfindung wird nachfolgend anhand eines Beispiels unter Bezugnahme auf die Zeichnung näher erläutert; in dieser zeigt: The invention is described below using an example Explained in more detail with reference to the drawing; in this shows:  

Fig. 1 den schematischen Aufbau eines Local-Area-Network- Servers, mit Anschluß an ein externes Netzwerk; FIG. 1 shows the schematic structure of a local area network server with a connection to an external network;

Fig. 2 den schematischen Aufbau der im Server aus Fig. 1 enthaltenen Sicherheitsrechnereinrichtung; FIG. 2 shows the schematic structure of the security computer device contained in the server from FIG. 1;

Fig. 3 ein Flußdiagramm eines erfindungsgemäßen Verfahrens, das auf dem Server nach Fig. 1 ausgeführt wird. Fig. 3 is a flow diagram of a method according to the invention, which is executed on the server of Fig. 1.

In Fig. 1 ist der schematische Aufbau eines als Netzwerk-Server für ein lokales Netzwerk LAN (Local-Area-Network) dienenden Computers 1 dargestellt.In Fig. 1, the schematic structure of a network server serving as a Local Area Network LAN (Local Area Network), the computer 1 is shown.

Der Computer 1 weist eine Hauptplatine (Motherboard) 10 auf, auf der eine Rechnerzentraleinheit (CPU) 11 in bekannter Weise vorgesehen ist. Der Aufbau der Hauptplatine 10 ist nicht Gegenstand dieser Erfindung und entspricht daher dem einem Fachmann geläufigen üblichen Aufbau. An der Hauptplatine ist über eine Tastaturschnittstelle 13 eine externe Tastatur 3 angeschlossen. Die Hauptplatine 10 ist weiterhin über eine Grafikschnittstelle 14 mit einem Bildschirm 4 verbunden. Mit einer Maus 6 steht die Hauptplatine 10 über eine Zeigegerätschnittstelle 16 in Verbindung. Ebenfalls an der Hauptplatine 10 angeschlossen sind als weitere Peripheriegeräte eine Festplatte 17, ein Diskettenlaufwerk 18 und ein Bandlaufwerk 19, sowie eine Netzwerkkarte 15. Auf der Hauptplatine 10 sind zudem ein Arbeitsspeicher 21 und ein Cachespeicher 22 vorgesehen.The computer 1 has a main board (motherboard) 10 on which a computer central unit (CPU) 11 is provided in a known manner. The structure of the main board 10 is not the subject of this invention and therefore corresponds to the usual structure familiar to a person skilled in the art. An external keyboard 3 is connected to the main board via a keyboard interface 13 . The main board 10 is also connected to a screen 4 via a graphics interface 14 . The motherboard 10 is connected to a mouse 6 via a pointing device interface 16 . A hard disk 17 , a floppy disk drive 18 and a tape drive 19 , and a network card 15 are also connected to the main board 10 as further peripheral devices. A main memory 21 and a cache memory 22 are also provided on the main board 10 .

Der Computer 1 steht über die Netzwerkkarte 15, an der Netzwerkverbindungsleitungen 50 angeschlossen sind, in Verbindung mit weiteren Computern 51, 52, 53, 54 eines lokalen Netzwerkes 5. The computer 1 is connected to other computers 51 , 52 , 53 , 54 of a local network 5 via the network card 15 , to which network connecting lines 50 are connected.

Weiterhin weist der Computer 1 einen Anschluß 12 für eine Verbindungsleitung 23 zu einem Modem 20 auf, über welches der Computer 1 mit einem externen Netzwerk, beispielsweise dem Internet, in Verbindung steht. Anstelle eines Modems können an den Eingang 12 auch andere Verbindungsvorrichtungen angeschlossen sein, die eine Verbindung zwischen dem Computer 1 und einem externen Netzwerk herstellen.Furthermore, the computer 1 has a connection 12 for a connecting line 23 to a modem 20 , via which the computer 1 is connected to an external network, for example the Internet. Instead of a modem, other connection devices can also be connected to the input 12 , which establish a connection between the computer 1 and an external network.

Der Eingang 12 ist über eine Verbindungsleitung 12A, 12B mit der Hauptplatine 10 und damit auch mit der Rechnerzentraleinheit 11 verbunden. In dieser Verbindungsleitung 12A, 12B ist eine Sicherheitsrechnereinrichtung 2 vorgesehen, so daß der Eingang 12 über eine erste Verbindungsleitung 12A mit der Sicherheitsrechnereinrichtung 2 verbunden ist und die Sicherheitsrechnereinrichtung 2 über eine zweite Verbindungsleitung 12B mit der Hauptplatine 10 verbunden ist. Diese zweite Verbindungsleitung 12B kann von einem optischen Leiter gebildet sein, der über optoelektronische Wandler mit der Sicherheitsrechnereinrichtung 2 und der Hauptplatine 10 verbunden ist.The input 12 is connected via a connecting line 12 A, 12 B to the main board 10 and thus also to the central computer unit 11 . In this connection, line 12 A, 12 B is a security computer device 2 is provided, so that the input 12 is connected via a first connection line 12 A with the security computer device 2 and the safety computer device 2 12 B is connected to the motherboard 10 via a second connecting line. This second connecting line 12 B can be formed by an optical conductor which is connected to the safety computer device 2 and the main board 10 via optoelectronic converters.

Signale, die aus einem externen Netzwerk kommen und in den den Zielrechner bildenden Computer 1 eingeleitet werden, müssen somit zunächst die Sicherheitsrechnereinrichtung 2 passieren, bevor sie an die Hauptplatine 10 und damit an die Rechnerzentraleinheit 11 weitergeleitet werden.Signals that come from an external network and are introduced into the computer 1 forming the target computer must therefore first pass through the security computer device 2 before they are forwarded to the main circuit board 10 and thus to the computer central unit 11 .

In Fig. 2 ist der Aufbau einer bevorzugten Sicherheitsrechnereinrichtung 2 dargestellt. Die Sicherheitsrechnereinrichtung 2 besitzt eine Hauptplatine 210, die in ähnlicher Weise aufgebaut ist, wie die Hauptplatine 10 des Computers 1. Die Hauptplatine 210 der Sicherheitsrechnereinrichtung 2 weist eine Rechnerzentraleinheit (CPU) 211 und einen Cachespeicher 222 auf. Der Cachespeicher 222 kann auch teilweise oder vollständig in die Rechnerzentraleinheit 211 integriert sein.In FIG. 2, the structure of a preferred security computing device 2 is shown. The security computing device 2 has a motherboard 210 , which is constructed in a similar manner to the motherboard 10 of the computer 1 . The main board 210 of the security computing device 2 has a central processing unit (CPU) 211 and a cache memory 222 . The cache memory 222 can also be partially or completely integrated into the central computer unit 211 .

Weiterhin weist die Sicherheitsrechnereinrichtung 2 Arbeitsspeicher auf, die in Fig. 2 als quadratische Kästchen symbolisch dargestellt sind, und die vorzugsweise ebenfalls auf der Hauptplatine 210 angeordnet sind. Zur besseren Darstellung sind diese Arbeitsspeicher jedoch in Fig. 2 separat eingezeichnet. Diese Arbeitsspeicher oder Arbeitsspeicherbereiche sind jeweils einer Komponente des Computers 1 in Fig. 1 zugeordnet. Der Arbeitsspeicherbereich 212 ist dem Eingang 12 zugeordnet, der Arbeitsspeicherbereich 213 ist der Schnittstelle 13 für die Tastatur 3 zugeordnet, der Arbeitsspeicherbereich 214 ist der Grafikschnittstelle 14 für den Bildschirm 4 zugeordnet, der Arbeitsspeicherbereich 215 ist der Netzwerkkarte 15 zugeordnet, der Arbeitsspeicherbereich 219 ist dem Bandlaufwerk 19 zugeordnet, der Arbeitsspeicherbereich 217 ist der Festplatte zugeordnet, der Arbeitsspeicherbereich 218 ist dem Diskettenlaufwerk 18 zugeordnet und der Arbeitsspeicherbereich 216 ist der Schnittstelle 16 für das Zeigegerät 6 zugeordnet. Diese Zuordnung erfolgt derart, daß die jeweiligen Arbeitsspeicherbereiche 212, 213, 214, 215, 216, 217, 218, 219, 222 jeweils den gleichen Arbeitsspeicher-Adressbereich aufweisen, wie die ihnen jeweils zugeordneten Komponenten 12, 13, 14, 15, 16, 17, 18, 19, 22 des Computers 1. Furthermore, the safety computer device 2 has working memories, which are symbolically represented in FIG. 2 as square boxes, and which are preferably likewise arranged on the main board 210 . For better illustration, these working memories are shown separately in FIG. 2. These working memories or working memory areas are each assigned to a component of the computer 1 in FIG. 1. The working memory area 212 is assigned to the input 12 , the working memory area 213 is assigned to the interface 13 for the keyboard 3 , the working memory area 214 is assigned to the graphics interface 14 for the screen 4 , the working memory area 215 is assigned to the network card 15 , the working memory area 219 is to the tape drive 19 assigned, the working memory area 217 is assigned to the hard disk, the working memory area 218 is assigned to the floppy disk drive 18 and the working memory area 216 is assigned to the interface 16 for the pointing device 6 . This assignment is carried out in such a way that the respective working memory areas 212 , 213 , 214 , 215 , 216 , 217 , 218 , 219 , 222 each have the same working memory address area as the components 12 , 13 , 14 , 15 , 16 , assigned to them. 17 , 18 , 19 , 22 of the computer 1 .

Die Sicherheitsrechnereinrichtung 2 weist auch einen nicht löschbaren und nicht überschreibbaren Speicher 220 auf, der beispielsweise von einem EPROM gebildet ist und in dem das BIOS sowie das Betriebssystem für die Sicherheitsrechnereinrichtung 2 gespeichert sind. Vorzugsweise ist im nicht löschbaren und nicht überschreibbaren Speicher 220 auch ein Überwachungsprogramm für die Durchführung der Überwachung von Reaktionen einer in der Sicherheitsrechnereinrichtung 2 bearbeiteten Information abgespeichert. Die Adressbereiche des Arbeitsspeichers, die nicht zu den vorstehend aufgezählten Adressbereichen gehören, sind schematisch als Arbeitsspeicher 221 auf der Hauptplatine 210 dargestellt.The security computing device 2 also has a non-erasable and non-overwritable memory 220 , which is formed, for example, by an EPROM and in which the BIOS and the operating system for the security computing device 2 are stored. A monitoring program for carrying out the monitoring of reactions of information processed in the safety computer device 2 is preferably also stored in the non-erasable and non-overwritable memory 220 . The address areas of the working memory that do not belong to the address areas listed above are shown schematically as working memory 221 on the main board 210 .

Eine Überwachungseinrichtung 225 ist ebenfalls in der Sicherheitsrechnereinrichtung 2 vorgesehen und ist mit der Hauptplatine 210 und somit mit der Rechnerzentraleinheit 211 verbunden. Die Überwachungseinrichtung 225 steht außerdem mittels in Fig. 2 gestrichelt gezeichneter Überwachungsleitungen 223, 224 mit den vorgenannten Bereichen 212, 213, 214, 215, 216, 217, 218, 219 sowie 221 des Arbeitsspeichers, sowie mit dem Cachespeicher 222 in Verbindung. Weitere Überwachungsleitungen 226, 227 führen von der Überwachungseinrichtung 225 zum nicht löschbaren und nicht überschreibbaren Speicher 220, sowie zur Rechnerzentraleinheit 211.A monitoring device 225 is also provided in the safety computer device 2 and is connected to the main board 210 and thus to the computer central unit 211 . The monitoring device 225 is also connected to the aforementioned areas 212 , 213 , 214 , 215 , 216 , 217 , 218 , 219 and 221 of the main memory and to the cache memory 222 by means of monitoring lines 223 , 224 shown in broken lines in FIG. 2. Further monitoring lines 226 , 227 lead from the monitoring device 225 to the non-erasable and non-overwritable memory 220 , and to the computer central unit 211 .

Die Überwachungsleitungen 223, 224, 226, 227 können als optische oder optoelektronische Verbindungen ausgebildet sein, wobei nicht gezeigte optoelektrische Wandler in den jeweiligen Speicherbereichen auftretende elektrische Signale in optische Impulse umwandeln, die zur Überwachungseinrichtung 225 geleitet und dort ausgewertet werden.The monitoring lines 223 , 224 , 226 , 227 can be designed as optical or optoelectronic connections, optoelectric converters (not shown) converting electrical signals occurring in the respective memory areas into optical pulses, which are passed to the monitoring device 225 and evaluated there.

Die in Fig. 2 gezeigte Sicherheitsrechnereinrichtung 2 kann entweder direkt auf elektrische Weise oder indirekt auf optische oder optisch entkoppelte Weise über die Leitung 12B mit der Hauptplatine 10 des Computers 1 verbunden sein. Dabei werden lediglich die Informationen über den Eingang einer neuen Information oder Nachricht, über die Tatsache, daß in der Sicherheitsrechnereinrichtung 2 gerade eine Prüfung einer derartigen Information oder Nachricht durchgeführt wird, darüber, daß diese Überprüfung abgeschlossen ist, und über das Ergebnis der Überprüfung über den Rechnerbus an den Zielrechner übertragen. In beiden Fällen wird die sichere Speicherung einer als gefährlich eingestuften Information oder Nachricht, die auch als "abgelehnte Nachricht" bezeichnet wird, in der Sicherheitsrechnereinrichtung 2 durchgeführt, wozu beispielsweise ein gesicherter Bereich des Arbeitsspeichers 221 reserviert sein kann.The security computer device 2 shown in Fig. 2 can be either directly or indirectly connected to electrical or optical manner or optically decoupled manner via the line 12 B with the main board 10 of the computer 1. In this case, only the information about the receipt of a new information or message, about the fact that a check of such information or message is being carried out in the security computer device 2 , about the fact that this check has been completed, and about the result of the check about the Transfer the computer bus to the target computer. In both cases, the secure storage of information or a message classified as dangerous, which is also referred to as a "rejected message", is carried out in the security computer device 2 , for which purpose a secure area of the working memory 221 can be reserved, for example.

Die Steuerung des gesamten Verfahrens, also der Überprüfung einer Information oder Nachricht, also insbesondere das Bearbeiten der Information oder Nachricht und das Überwachen der durch das Bearbeiten erzeugten Reaktion, erfolgt intern in der Sicherheitsrechnereinrichtung 2. Ebenso erfolgt die Entscheidung, ob die Nachricht an den Zielrechner weitergeleitet oder sicher gespeichert wird, in der Sicherheitsrechnereinrichtung. Die Überwachung des Löschens der Speicher in der Sicherheitsrechnereinrichtung 2 und die Weiterleitung der als positiv beurteilten getesteten Information oder Nachricht erfolgt über auf dem Zielrechner laufende Software. The entire method, that is to say the checking of an information or message, in particular the processing of the information or message and the monitoring of the reaction generated by the processing, is controlled internally in the safety computer device 2 . Likewise, the decision as to whether the message is forwarded to the target computer or stored securely is made in the security computer device. The monitoring of the deletion of the memories in the safety computer device 2 and the forwarding of the information or message tested as positive is carried out by software running on the target computer.

Die Sicherheitsrechnereinrichtung 2 kann auch außerhalb des Computers 1 vorgesehen sein und als eigenständiger Computer ausgebildet sein, der zwischen dem Eingang 12 des Computers 1 und dem Modem 20 vorgesehen ist und beispielsweise über eine Leitung des lokalen Netzwerkes mit dem Computer 1 verbunden ist. In diesem Fall wird die Weiterleitung einer akzeptierten Nachricht an den Zielrechner, den Computer 1, über das lokale Netzwerk durchgeführt, während in der in Fig. 2 dargestellten Ausführungsform die Weiterleitung einer akzeptierten Nachricht über den Rechnerbus erfolgen kann. Auch die sichere Speicherung einer abgelehnten Nachricht kann in diesem Fall über den Rechnerbus durchgeführt werden und im Computer 1 erfolgen.The security computer device 2 can also be provided outside the computer 1 and can be designed as an independent computer, which is provided between the input 12 of the computer 1 and the modem 20 and is connected to the computer 1 , for example, via a line of the local network. In this case, the forwarding of an accepted message to the target computer, computer 1 , is carried out via the local network, while in the embodiment shown in FIG. 2, the forwarding of an accepted message can take place via the computer bus. In this case, the secure storage of a rejected message can also be carried out via the computer bus and can take place in the computer 1 .

In einer weiter vereinfachten Ausführungsform sind lediglich die Speicherbereiche 212, 213, 214, 215, 216, 217, 218, 219, 221 und 222 auf einer separaten Platine oder Einschubkarte des Computers 1 vorgesehen, die über das computerinterne BUS-System mit der Hauptplatine 10 des Computers 1 verbunden sind. Weiterhin weist diese Sicherheitsrechnerplatine den nicht löschbaren und nicht überschreibbaren Speicher 220 mit dem darin enthaltenen Überprüfungs-BIOS, dem Bearbeitungs- und Überwachungsprogramm, sowie dem Programm für die Durchführung der Speicherlöschung auf. Die Steuerung des gesamten Prüfungsablaufes in der auf diese Weise vereinfachten Sicherheitsrechnereinrichtung sowie die Entscheidung über die Qualität der eingegangenen Nachricht erfolgen über eine auf dem Computer 1 selbst laufende Software, wobei die entsprechende Hardware des Computers 1 verwendet wird. In a further simplified embodiment, only the memory areas 212 , 213 , 214 , 215 , 216 , 217 , 218 , 219 , 221 and 222 are provided on a separate board or plug-in card of the computer 1 , which is connected to the main board 10 via the computer-internal bus system of the computer 1 are connected. Furthermore, this safety computer board has the non-erasable and non-overwritable memory 220 with the check BIOS contained therein, the processing and monitoring program and the program for performing the memory erasure. The control of the entire test sequence in the safety computer device simplified in this way and the decision about the quality of the received message are made via software running on the computer 1 itself, the corresponding hardware of the computer 1 being used.

In einer noch weiter vereinfachten Ausführungsform der Erfindung wird die Sicherheitsrechnereinrichtung vollständig auf dem Zielrechner, dem Computer 1, durch entsprechende Software simuliert, ohne das eine zusätzliche Hardware-Sicherheitsrechnereinrichtung 2 vorgesehen ist. Dabei wird somit die Sicherheitsrechnereinrichtung 2 als "virtuelle Maschine" auf dem Computer 1 abgebildet. Zur Sicherstellung eines maximalen Schutzes werden zum Zeitpunkt des Beginns eines erfindungsgemäßen Überwachungsprozesses alle auf dem Computer 1 laufenden anderen Prozesse angehalten, eingefroren und gespeichert, so daß während des Überwachungsprozesses ausschließlich dieses Überwachungsprogramm auf dem Computer 1 abläuft. Erst wenn der Überwachungsprozeß beendet ist und die zu überprüfende Nachricht beurteilt und entsprechend abgespeichert worden ist, werden die angehaltenen Prozesse wieder weitergeführt.In an even more simplified embodiment of the invention, the security computer device is completely simulated on the target computer, the computer 1 , by appropriate software, without an additional hardware security computer device 2 being provided. The security computing device 2 is thus mapped as a “virtual machine” on the computer 1 . To ensure maximum protection, all other processes running on the computer 1 are stopped, frozen and stored at the time of the start of a monitoring process according to the invention, so that only this monitoring program runs on the computer 1 during the monitoring process. Only when the monitoring process has ended and the message to be checked has been assessed and stored accordingly, the stopped processes are continued.

Bei Verwendung dieser reinen Softwarelösung der Erfindung können die Speicher des Computers 1 Signalerzeuger enthalten, die bei Zugriff auf diese Speicher ein Signal generieren, das von der entsprechenden Überwachungsprozedur ausgewertet wird. Diese Speicher mit Signalerzeugern entsprechen im wesentlichen jenen, die auch in der als Hardwarelösung ausgebildeten Sicherheitsrechnereinrichtung 2 vorgesehen sein können.When using this pure software solution of the invention, the memories of the computer 1 can contain signal generators which, when these memories are accessed, generate a signal which is evaluated by the corresponding monitoring procedure. These memories with signal generators essentially correspond to those which can also be provided in the safety computer device 2 designed as a hardware solution.

In Fig. 3 ist ein Flußdiagramm gezeigt, welches den Ablauf einer Überprüfungsroutine für eine eingehende Nachricht oder Information darstellt. Dieser Ablauf kann sowohl bei einer Hardwarelösung als auch bei einer reinen Softwarelösung als auch bei gemischten Hard- und Softwarelösungen des erfindungsgemäßen Verfahrens bzw. des erfindungsgemäßen Softwareprogramms realisiert sein. FIG. 3 shows a flowchart which shows the sequence of a check routine for an incoming message or information. This sequence can be implemented both in the case of a hardware solution and in the case of a pure software solution as well as in the case of mixed hardware and software solutions of the method according to the invention or the software program according to the invention.

Zunächst wird im Schritt 100 festgestellt, daß eine Nachricht oder Information im Sicherheitsrechner eingegangen ist. Daraufhin wird im Schritt 101 die Sicherheitsrechnereinrichtung gestartet. Danach werden zunächst die Speicher der Sicherheitsrechnereinrichtung gelöscht (Schritt 102), was vorzugsweise durch Überschreiben aller Speicheradressen mit Nullen erfolgt. Anschließend werden im Schritt 103 das BIOS, das Betriebssystem und das Überwachungsprogramm aus dem nicht löschbaren und nicht überschreibbaren Speicher 220 in den Arbeitsspeicher 221 geladen. In einem nächsten Schritt 104 wird die eingegangene Nachricht oder Information ebenfalls in den Arbeitsspeicher 221 eingelesen. Es erfolgt daraufhin im Schritt 105 die Bearbeitung der eingelesenen Nachricht oder Information, wobei die Nachricht oder Information mit einer Vielzahl von Befehlen nacheinander beaufschlagt wird. Im Schritt 106 wird dann die Reaktion der Nachricht oder Information auf die im Schritt 105 erfolgte Beaufschlagung mit einem Befehl überwacht. Dabei werden in erster Linie die Zugriffe der Nachricht oder Information auf Speicheradressen beobachtet, analysiert und mit zulässigen Reaktionen (das heißt zulässigen Speicherzugriffen) verglichen, woraufhin im Schritt 107 eine Entscheidung darüber erfolgt, ob die jeweilige Reaktion zulässig ist oder nicht. Ist die beobachtete Reaktion unzulässig, wird im Schritt 108 eine Alarmmeldung erzeugt und die Nachricht oder Information wird in einem sicheren Speicherbereich abgelegt (Schritt 109). Danach werden alle Speicher gelöscht (Schritt 110) und die Sicherheitsrechnereinrichtung ist bereit, auf den Eingang einer neuen Nachricht oder Information zu warten.First it is determined in step 100 that a message or information has been received in the security computer. The safety computer device is then started in step 101 . Then the memories of the safety computing device are first deleted (step 102 ), which is preferably done by overwriting all memory addresses with zeros. The BIOS, the operating system and the monitoring program are then loaded from the non-erasable and non-overwritable memory 220 into the working memory 221 in step 103 . In a next step 104 , the received message or information is also read into the working memory 221 . The read message or information is then processed in step 105, the message or information being acted upon in succession with a large number of commands. In step 106 , the response of the message or information to the application of a command in step 105 is then monitored. The accesses of the message or information to memory addresses are primarily observed, analyzed and compared with permissible reactions (ie permissible memory accesses), whereupon a decision is made in step 107 as to whether the respective reaction is permissible or not. If the observed reaction is inadmissible, an alarm message is generated in step 108 and the message or information is stored in a secure memory area (step 109 ). Then all memories are deleted (step 110 ) and the security computing device is ready to wait for the receipt of a new message or information.

Wurde die beobachtete Reaktion im Schritt 107 als zulässig erkannt, so wird in einem nächsten Schritt 111 ermittelt, ob die Bearbeitungsprozedur bereits beendet ist, das heißt, ob alle Befehle der Bearbeitungsprozedur bereits ausgeführt worden sind. Ist dies nicht der Fall, wird zum Schritt 105 zurückgekehrt. Ist die Bearbeitungsprozedur jedoch beendet, so erfolgt im Schritt 112 die Weiterleitung der eingegangenen Nachricht oder Information an den Zielrechner, den Computer 1, bzw. eine temporäre Speicherung der eingegangenen Nachricht oder Information, falls die Sicherheitsrechnereinrichtung als reine Softwarelösung virtuell auf dem Zielrechner, dem Computer 1, ausgebildet ist. Danach erfolgt im Schritt 110 die Löschung der Speicher, und die Sicherheitsrechnereinrichtung geht in einen Wartezustand über, wo sie für die Aufnahme einer nächsten Nachricht oder Information bereit ist.If the observed reaction was recognized as permissible in step 107 , then in a next step 111 it is determined whether the processing procedure has already ended, that is to say whether all commands of the processing procedure have already been carried out. If this is not the case, the process returns to step 105 . However, if the processing procedure has ended, in step 112 the incoming message or information is forwarded to the target computer, computer 1 , or a temporary storage of the received message or information, if the security computing device is a virtual software solution on the target computer, the computer 1 , is formed. The memories are then erased in step 110 and the security computing device goes into a waiting state, where it is ready to receive a next message or information.

Claims (20)

1. Verfahren zur Überwachung von Informationsflüssen in Com­ putersystemen, wobei Information zwischen zumindest einer ersten Rechnerzentraleinheit (CPU) und zumindest einer Peripheriegeräteeinheit oder einer weiteren Rechnerzen­ traleinheit (CPU) geleitet wird, mit den folgenden Schritten:
  • - Einleiten der Information in einen Speicher einer Sicherheitsrechnereinrichtung,
  • - Bearbeiten der Information in der Sicherheitsrechnereinrichtung nach einer vorgebbaren Bearbeitungsprozedur,
  • - Überwachen der durch das Bearbeiten der Information in der Sicherheitsrechnereinrichtung erzeugten Reaktion und
  • - Weiterleiten der Information, wenn die erzeugte Reaktion einem vorgegebenen Reaktionsmuster entspricht.
1. A method for monitoring information flows in computer systems, information being passed between at least a first computer central unit (CPU) and at least one peripheral device unit or a further computer central unit (CPU), with the following steps:
  • Introducing the information into a memory of a safety computing device,
  • Processing of the information in the security computer device according to a predefinable processing procedure,
  • - Monitoring the response generated by processing the information in the security computing device and
  • - Forwarding of the information if the reaction generated corresponds to a predetermined reaction pattern.
2. Verfahren nach Anspruch 1 mit dem weiteren Schritt:
  • - Speichern der Information in einem sicherheitsspeicherbereich, wenn die erzeugte Reaktion nicht einem vorgegebenen Reaktionsmuster entspricht.
2. The method according to claim 1 with the further step:
  • - Saving the information in a safety storage area if the reaction generated does not correspond to a predetermined reaction pattern.
3. Verfahren nach Anspruch 1 oder 2 mit dem weiteren Schritt:
  • - Ausgeben einer Alarmmeldung, wenn die erzeugte Reaktion nicht einem vorgegebenen Reaktionsmuster entspricht
3. The method according to claim 1 or 2 with the further step:
  • - Output an alarm message if the reaction generated does not correspond to a specified reaction pattern
4. Verfahren nach Anspruch 1, 2 oder 3 mit den zusätzlichen Schritten:
  • - zumindest einmaliges physikalisches Löschen
    • - des für die Information und deren Bearbeitung reservierten Arbeitsspeicherbereichs der Sicherheitsrechnereinrichtung,
    • - des für das BIOS der Sicherheitsrechnereinrichtung reservierten Arbeitsspeicherbereichs und
    • - des für das Betriebssystem der Sicherheitsrechnereinrichtung reservierten Arbeitsspeicherbereichs
sowie
  • - erneutes Laden des BIOS und des Betriebssystem der Sicherheitsrechnereinrichtung in den Arbeitsspeicher,
bevor eine neue Information in die Sicherheitsrechnereinrichtung eingeleitet wird.4. The method according to claim 1, 2 or 3 with the additional steps:
  • - at least one physical deletion
    • the working memory area of the security computing device reserved for the information and its processing,
    • - the working memory area reserved for the BIOS of the safety computing device and
    • - The working memory area reserved for the operating system of the security computing device
such as
  • - reloading the BIOS and the operating system of the safety computer device into the main memory,
before new information is introduced into the security computing device. 5. Verfahren nach Anspruch 1, 2 oder 3 mit den zusätzlichen Schritten:
  • - zumindest einmaliges physikalisches Löschen
    • - des für die Information und deren Bearbeitung reservierten Arbeitsspeicherbereichs der Sicherheitsrechnereinrichtung,
    • - des für das BIOS der Sicherheitsrechnereinrichtung reservierten Arbeitsspeicherbereichs und
    • - des für das Betriebssystem der Sicherheitsrechnereinrichtung reservierten Arbeitsspeicherbereichs
sowie
  • - erneutes Laden des BIOS und des Betriebssystem der Sicherheitsrechnereinrichtung in den Arbeitsspeicher, nachdem eine Information in der Sicherheitsrechnereinrichtung entsprechend den Schritten gemäß einem der Ansprüche 1 bis 3 abgearbeitet worden ist.
5. The method according to claim 1, 2 or 3 with the additional steps:
  • - at least one physical deletion
    • the working memory area of the security computing device reserved for the information and its processing,
    • - the working memory area reserved for the BIOS of the safety computing device and
    • - The working memory area reserved for the operating system of the security computing device
such as
  • - Reloading the BIOS and the operating system of the safety computing device into the working memory after information in the safety computing device has been processed in accordance with the steps according to one of claims 1 to 3.
6. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Bearbeitungsprozedur eine für die jeweilige Art der Information typische, vorgegebene Behandlungsroutine auf­ weist.6. The method according to any one of the preceding claims, wherein the processing procedure one for the respective type of Information typical, predetermined treatment routine points. 7. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Bearbeitungsprozedur einen oder mehrere Befehle einmal oder mehrmals ausführt, die geeignet sind, Virenprogramme oder andere, aufgrund der zu behandelnden Information nicht erkennbare, unautorisierte Programme oder Programm­ routinen zu aktivieren.7. The method according to any one of the preceding claims, wherein the processing procedure one or more commands once or runs multiple times that are likely to run virus programs or others, based on the information to be treated unrecognizable, unauthorized programs or program activate routines. 8. Verfahren nach einem der vorhergehenden Ansprüche, wobei im Schritt des Überwachens der durch das Bearbeiten der Information in der Sicherheitsrechnereinrichtung erzeugten Reaktion Zugriffe auf vorgegebene Adressbereiche im Ar­ beitsspeicher und/oder in Cachespeichern detektiert und auf ihre Zulässigkeit hin ausgewertet werden. 8. The method according to any one of the preceding claims, wherein in the step of monitoring the by editing the Information generated in the security computing device Reaction Access to specified address areas in the area main memory and / or detected in cache memories and be evaluated for their admissibility.   9. Verfahren insbesondere nach einem der vorhergehenden An­ sprüche, wobei die Schritte des Bearbeitens und des Über­ wachens für bestimmte vorgebbare Information umgangen wer­ den und die Information direkt an einen definierten zuläs­ sigen Adressbereich im Arbeitsspeicher und/oder in Cache­ speichern weitergeleitet wird und wobei die verbleibenden Adressbereiche des Arbeitsspeichers und/oder von Cache­ speichern derart überwacht werden, daß die Information den zulässigen Adressbereich nicht verlassen kann.9. The method in particular according to one of the preceding An sayings, the steps of editing and over who bypassed certain specific information the and the information directly to a defined permit own address area in the working memory and / or in the cache store is forwarded and being the remaining Address areas of the working memory and / or cache store be monitored so that the information cannot leave the permitted address range. 10. Vorrichtung zur Überwachung von Informationsflüssen in Computersystemen, wobei Information zwischen zumindest einer ersten Rechnerzentraleinheit (CPU) (11) und zumin­ dest einer Peripheriegeräteeinheit (20) oder einer weite­ ren Rechnerzentraleinheit (CPU) durch eine Informations­ strecke (12A, 12B, 23) geleitet wird, gemäß einem Verfah­ ren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet,
  • - daß eine Sicherheitsrechnereinrichtung (2) in der Informationsstrecke (12A, 12B, 23) zwischen der ersten Rechnerzentraleinheit (11) und der Peripheriegeräteeinheit (20) oder der weiteren Rechnerzentraleinheit vorgesehen ist, so daß der Fluß der Information durch die Sicherheitsrechnereinrichtung (2) von einem Informationseingang zu einem Informationsausgang erfolgt, und
  • - daß die Sicherheitsrechnereinrichtung (2) zumindest einen wiederbeschreibbaren Speicher aufweist, wobei ein Speicherbereich (221) vorgesehen ist, in den eine durch den Informationseingang ankommende Information eingeleitet wird, in dem sie bearbeitet wird und aus dem sie weitergeleitet wird.
10. Device for monitoring information flows in computer systems, wherein information between at least a first computer central unit (CPU) ( 11 ) and at least one peripheral device unit ( 20 ) or a further computer central unit (CPU) through an information route ( 12 A, 12 B, 23 ) is conducted according to a method according to one of claims 1 to 9, characterized in that
  • - That a safety computer device ( 2 ) is provided in the information path ( 12 A, 12 B, 23 ) between the first computer central unit ( 11 ) and the peripheral device unit ( 20 ) or the further computer central unit, so that the flow of information through the safety computer device ( 2 ) from an information input to an information output, and
  • - That the security computer device ( 2 ) has at least one rewritable memory, a memory area ( 221 ) being provided, into which information arriving through the information input is initiated, in which it is processed and from which it is forwarded.
11. Vorrichtung nach Anspruch 10, dadurch gekennzeichnet,
  • - daß die Sicherheitsrechnereinrichtung (2) als eigenständig funktionsfähiger Computer mit einer eigenen Rechnerzentraleinheit (CPU) (211) ausgebildet ist.
11. The device according to claim 10, characterized in that
  • - That the security computer device ( 2 ) is designed as an independently functional computer with its own computer central unit (CPU) ( 211 ).
12. Vorrichtung nach Anspruch 10 oder 11, dadurch gekennzeichnet,
  • - daß die Sicherheitsrechnereinrichtung (2) eigene Arbeitsspeicher (212, 213, 214, 215, 216, 217, 218, 219, 221) und/oder Cachespeicher (222) aufweist.
12. The apparatus according to claim 10 or 11, characterized in
  • - That the security computer device ( 2 ) has its own working memory ( 212 , 213 , 214 , 215 , 216 , 217 , 218 , 219 , 221 ) and / or cache memory ( 222 ).
13. Vorrichtung nach einem der Ansprüche 10 bis 12, dadurch gekennzeichnet,
  • - daß die Sicherheitsrechnereinrichtung (2) zumindest einen nicht löschbaren und nicht überschreibbaren Speicherbaustein (220) zur Aufnahme von zumindest einem Teil des BIOS und/oder des Betriebssystems für die Durchführung des Überwachungsverfahrens aufweist.
13. Device according to one of claims 10 to 12, characterized in that
  • - That the security computer device ( 2 ) has at least one non-erasable and non-rewritable memory module ( 220 ) for receiving at least part of the BIOS and / or the operating system for performing the monitoring method.
14. Vorrichtung nach einem der Ansprüche 10 bis 13, dadurch gekennzeichnet,
  • - daß der Teil (12A) der Informationsstrecke , der die Sicherheitsrechnereinrichtung (2) mit der ersten (11) und/oder der weiteren Rechnerzentraleinheit verbindet, zur optischen Entkoppelung von einer elektrooptischen Verbindung gebildet ist.
14. Device according to one of claims 10 to 13, characterized in that
  • - That the part ( 12 A) of the information path, which connects the security computer device ( 2 ) with the first ( 11 ) and / or the further computer central unit, is formed for optical decoupling from an electro-optical connection.
15. Vorrichtung nach Anspruch 14, dadurch gekennzeichnet,
  • - daß die elektrooptische Verbindung in als Hybridbau­ steine ausgebildete Computerbausteine, vorzugsweise in Speicherbausteine, integriert ist.
15. The apparatus according to claim 14, characterized in
  • - That the electro-optical connection is integrated into computer modules designed as hybrid modules, preferably in memory modules.
16. Vorrichtung nach Anspruch 10, dadurch gekennzeichnet,
  • - daß die Sicherheitsrechnereinrichtung virtuell auf der ersten Rechnerzentraleinheit (11) durch ein Softwareprogramm gebildet ist, das die Rechnerzentraleinheit (11) sowie deren Arbeitsspeicher (21) und/oder Cachespeicher (22) benutzt.
16. The apparatus according to claim 10, characterized in
  • - That the security computer device is virtually formed on the first computer central unit ( 11 ) by a software program that uses the computer central unit ( 11 ) and its working memory ( 21 ) and / or cache memory ( 22 ).
17. Softwareprogramm zur Ausführung auf einer Datenverarbei­ tungsanlage zumindest umfassend
  • - ein Betriebssystem;
  • - einen Informationsmanagement-Programmteil, der zu einer Rechnerzentraleinheit hinfließende oder von der Rechnerzentraleinheit wegfließende Information abfängt und in einem definierten Zwischenspeicherbereich ablegt;
  • - einen Informationsbearbeitungs-Programmteil, der die zwischengespeicherte Information nach einer vorgegebenen Prüfsequenz bearbeitet, wobei die Information mit Programmbefehlen beaufschlagt wird;
  • - einen Überwachungs-Programmteil, der Reaktionen der Information auf die Programmbefehle mit vorgegebenen zulässigen Reaktionen vergleicht und der die Information nach Ablauf der Prüfsequenz weiterleitet, wenn während der Prüfsequenz keine unzulässige Reaktion festgestellt worden ist.
17. Software program for execution on a data processing system at least comprehensively
  • - an operating system;
  • an information management program part which intercepts information flowing to a computer central unit or flowing away from the computer central unit and stores it in a defined buffer area;
  • an information processing program part which processes the temporarily stored information according to a predetermined test sequence, the information being acted upon by program instructions;
  • - A monitoring program part that compares the reactions of the information to the program commands with predefined permissible reactions and which forwards the information after the test sequence has expired if no impermissible reaction has been found during the test sequence.
18. Softwareprogramm nach Anspruch 17, dadurch gekennzeichnet,
  • - daß weiterhin ein Sicherheits-Programmteil vorgesehen ist, der, falls eine unzulässige Reaktion festgestellt worden ist, die Information sowie Daten über die unzulässige Reaktion sowie vorzugsweise auch Daten über Herkunftseigenschaften der Information sicher in einem Sicherheitsspeicherbereich ablegt.
18. Software program according to claim 17, characterized in that
  • - That a security program part is also provided which, if an inadmissible reaction has been determined, securely stores the information and data about the inadmissible reaction and preferably also data about origin properties of the information in a security memory area.
19. Softwareprogramm nach Anspruch 17 oder 18, dadurch gekennzeichnet,
  • - daß weiterhin ein Alarmierungs-Programmteil vorgesehen ist, der ein Alarmsignal an eine Anzeigeeinrichtung ausgibt, sobald eine unzulässige Reaktion festgestellt worden ist.
19. Software program according to claim 17 or 18, characterized in that
  • - That an alarm program part is also provided, which outputs an alarm signal to a display device as soon as an impermissible reaction has been determined.
20. Datenträger mit einem darauf gespeicherten Softwarepro­ gramm gemäß einem der Ansprüche 17 bis 19.20. Data carrier with a software pro stored on it Gram according to one of claims 17 to 19.
DE1997134585 1997-08-09 1997-08-09 Method and device for monitoring information flows in computer systems Expired - Fee Related DE19734585C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE1997134585 DE19734585C2 (en) 1997-08-09 1997-08-09 Method and device for monitoring information flows in computer systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1997134585 DE19734585C2 (en) 1997-08-09 1997-08-09 Method and device for monitoring information flows in computer systems

Publications (2)

Publication Number Publication Date
DE19734585A1 true DE19734585A1 (en) 1999-02-11
DE19734585C2 DE19734585C2 (en) 2002-11-07

Family

ID=7838516

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1997134585 Expired - Fee Related DE19734585C2 (en) 1997-08-09 1997-08-09 Method and device for monitoring information flows in computer systems

Country Status (1)

Country Link
DE (1) DE19734585C2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10040169A1 (en) * 2000-08-17 2002-02-28 Gronemeier Friedrich Computer virus protection device for Internet, has virus diagnostic program stored in recording disk, such that it is not manipulated by any computer virus
WO2002084459A1 (en) * 2001-04-10 2002-10-24 International Business Machines Corporation Detection of computer viruses on a network using a bait server
DE10218429A1 (en) * 2002-04-25 2003-11-06 Strothmann Rolf Computer virus detection system, comprises a security arrangement consisting of a computer, protective software and quarantine means arranged between an external network and a local network or computer
EP1379966A1 (en) * 2001-03-12 2004-01-14 Vidius Inc. A system and method for monitoring unauthorized transport of digital content
US8478824B2 (en) 2002-02-05 2013-07-02 Portauthority Technologies Inc. Apparatus and method for controlling unauthorized dissemination of electronic mail
CN109446124A (en) * 2018-12-11 2019-03-08 西安热工研究院有限公司 A kind of fired power generating unit motor and solenoid valve class device drives level structure and method

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5511163A (en) * 1992-01-15 1996-04-23 Multi-Inform A/S Network adaptor connected to a computer for virus signature recognition in all files on a network

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0769170B1 (en) * 1994-06-01 1999-08-18 Quantum Leap Innovations Inc: Computer virus trap

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5511163A (en) * 1992-01-15 1996-04-23 Multi-Inform A/S Network adaptor connected to a computer for virus signature recognition in all files on a network

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10040169A1 (en) * 2000-08-17 2002-02-28 Gronemeier Friedrich Computer virus protection device for Internet, has virus diagnostic program stored in recording disk, such that it is not manipulated by any computer virus
EP1379966A1 (en) * 2001-03-12 2004-01-14 Vidius Inc. A system and method for monitoring unauthorized transport of digital content
US8281139B2 (en) 2001-03-12 2012-10-02 Portauthority Technologies Inc. System and method for monitoring unauthorized transport of digital content
US8844016B2 (en) 2001-03-12 2014-09-23 Portauthority Technologies, Inc. System and method for monitoring unauthorized transport of digital content
WO2002084459A1 (en) * 2001-04-10 2002-10-24 International Business Machines Corporation Detection of computer viruses on a network using a bait server
US7089589B2 (en) 2001-04-10 2006-08-08 Lenovo (Singapore) Pte. Ltd. Method and apparatus for the detection, notification, and elimination of certain computer viruses on a network using a promiscuous system as bait
US8478824B2 (en) 2002-02-05 2013-07-02 Portauthority Technologies Inc. Apparatus and method for controlling unauthorized dissemination of electronic mail
DE10218429A1 (en) * 2002-04-25 2003-11-06 Strothmann Rolf Computer virus detection system, comprises a security arrangement consisting of a computer, protective software and quarantine means arranged between an external network and a local network or computer
CN109446124A (en) * 2018-12-11 2019-03-08 西安热工研究院有限公司 A kind of fired power generating unit motor and solenoid valve class device drives level structure and method
CN109446124B (en) * 2018-12-11 2024-03-19 西安热工研究院有限公司 Driving stage structure and method for motor and electromagnetic valve equipment of thermal power generating unit

Also Published As

Publication number Publication date
DE19734585C2 (en) 2002-11-07

Similar Documents

Publication Publication Date Title
DE10249428B4 (en) A method for defining the vulnerabilities of a computer system
DE60132833T2 (en) Computer system protection
DE112019001121B4 (en) METHOD IMPLEMENTED ON A COMPUTER TO IDENTIFY MALWARE AND THE SYSTEM THEREOF
DE3048365C2 (en)
DE112014001229B4 (en) A method, data processing system and computer program product for processing a database client request
DE60016613T2 (en) DETECTION SYSTEM AGAINST INTERRUPTION AND ABUSE
DE69818232T2 (en) METHOD AND SYSTEM FOR PREVENTING DOWNLOADING AND EXECUTING EXECUTABLE OBJECTS
DE60102555T2 (en) PREVENTING MAP-ENABLED MODULAR MASKER ATTACKS
DE112019000485T5 (en) SYSTEM AND PROCEDURE FOR PROVIDING SECURITY FOR IN-VEHICLE NETWORK
DE102015001054A1 (en) METHOD AND SYSTEMS FOR DETECTING EXTRUSION AND INTRUSION IN A CLOUD COMPUTER ENVIRONMENT
DE60122033T4 (en) Protection of computer networks against malicious content
EP2981926B1 (en) Data storage device for protected data exchange between different security zones
DE102012109212B4 (en) Methods, apparatus and products of manufacture for providing firewalls for process control systems
DE112012002624T5 (en) Regex compiler
DE102015001024A1 (en) Methods and systems for detecting extrusion and intrusion in a cloud computing environment using network communication devices
DE19952527A1 (en) Process and transaction interface for secure data exchange between distinguishable networks
DE102014211504A1 (en) Method and system for obtaining and analyzing forensic data in a distributed computing infrastructure
DE102015003236A1 (en) Method and system for providing temporary, secure access enabling virtual resources
DE112022003368T5 (en) ENCRYPTION MONITORING REGISTER AND SYSTEM
EP3655876B1 (en) Single-chip system, method for operating a single-chip system, and motor vehicle
DE69724448T2 (en) METHOD AND SECURITY SYSTEM FOR PROCESSING A SECURITY-CRITICAL ACTIVITY
DE19734585C2 (en) Method and device for monitoring information flows in computer systems
DE112021000455T5 (en) DEEP PACKET ANALYSIS
DE10241974B4 (en) Monitoring of data transmissions
WO2001046785A2 (en) Method and device for verifying a file

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee