正向隔离装置和反向隔离装置区别

一.  什么是隔离装置
    1.随着新一代国网加强新能源吸纳的改造，越来越多的新能源分布式电站接入国网，分布式电站一般都需要数字化、智能化，接受业主和智能运维方的随时查控，也需要接受远程主站的电力调度的动态指令、电能质量监测的动态报告等。这里面涉及不同的网络系统，业主端一般是开放的互联网，光伏运维也一般是专线外网或VPN加密的外网，而电站内部生产控制与电力调度属于国网生产控制，具有不同的安全等级，因此需要在不同安全区之间进行物理隔离。
   2.国家能源局14号令配套文件（国能安全36号文）提出加强电力监控系统安全防护工作。调安网[2018]10号文《并网新能源场站电力监控系统涉网安全防护补充方案》，场站必须加强户外就地采集终端的物理防护，强化就地采集终端的通信安全；站控系统与终端之间网络通信部署加密认证装置，实现身份认证、数据加密、访问控制等安全措施，从而强化站控系统与风机、光伏发电单元的就地控制终端之间的通信安全。

二. 当前隔离技术主要有如下两种实现方式：
   1.“摆渡型”，采用多主机系统，连接内外网的主机内装有物理或电子方式的切换开关，确保内外网络间在同一时刻没有通畅的链路，依靠软件控制在两个网络间实现文件转存。
   2.“通讯重构型”，采用多主机系统，连接内外网的主机使用专有通信协议进行通讯，从而实现内外部网络的隔离和数据交换，内外网主机实时捕获、分析网络中的数据包，并进行重新封装，并在此基础上实现安全审查与访问控制。
   3.“摆渡型”隔离技术在实时通信、稳定性、安全性方面都面临巨大的、甚至是难以逾越的技术障碍。而“通讯重构型”隔离技术较好地解决了实时通信的问题，但当今黑客技术发展迅速，入侵行为往往分散成多个伪装成正常业务动作的数据包穿越各种防护设备，抵达目标后进行重组并造成危害，令“通讯重构型”隔离产品无法防范。
  4.在我国，政府、企事业单位等均采用隔离技术，解决涉密网与公开网之间信息交换的安全问题，保证网络的保密性、完整性和高可用性。应用领域如电子政务、广电、公安、医疗、银行、电力等。本文介绍了隔离装置的分类、原理、技术架构，再以电力行业较为特殊的SQL代理隔离装置为例，介绍该技术的使用场景。

三. 正反向隔离装置的原理
   1.隔离装置系统架构主要由内、外网处理单元和隔离交换单元三部分构成。内网处理单元与内网相连，外网处理单元与外网相连，内、外网处理单元分别负责内外网信息的获取和协议分析，隔离交换单元在内外网主机间按照指定的周期进行安全数据的摆渡，并根据安全策略完成信息的安全检测。
   2.国家保密局对安全隔离与信息交换类产品的应用进行了规定，规定安全隔离与信息交换系统在以下四种网络环境下应用：
     2.1.不同的涉密网络之间；
     2.2.同一涉密网络的不同安全域之间；
     2.3.与 Internet 物理隔离的网络与秘密级涉密网络之间；
     2.4.未与涉密网络连接的网络与 Internet 之间。
  3.针对不同环境下的安全要求，以及通用隔离装置无法对私有协议进行数据内容检查的问题，隔离装置从技术线路上分为单向隔离装置和信息交换隔离装置。
  4.隔离装置用于低安全区域到高安全区域数据流的单向传输，接收端无需任何反馈，以电力企业生产控制大区安全区I/II到管理信息大区安全区III的单向数据传递为例，如图所示

  5.正向隔离装置用于高安全区域到低安全区域数据流的单向传输，与反向隔离装置不同的是，正向隔离装置允许存在tcp应答，但是从低安全区到高安全区的TCP 应答禁止携带应用数据，从而保证数据流的传输是单向的，以电力企业管理信息大区安全区 III 到生产控制大区安全区 I/II 的单向数据传递为例，如图所示：

    6. 信息交换隔离装置用于在保障信息安全的前提下，在两个不同安全级别的网络区域间进行适量的、可靠的数据交换，通常包含数据库同步、文件同步、数据库访问、邮件访问、安全Web访问、FTP访问等功能。以电子政务内外网的数据交换为例，如图所示：

   7. 电力企业内部自研的逻辑强隔离装置仅支持SQL代理方式进行数据交换，以电力企业互联网大区到管理信息大区的数据交换为例，如图所示：

四.  正向隔离和反向隔离的区别

     1. 正向隔离和反向隔离是网络安全领域中的两个重要概念，它们都是为了保护网络和计算机系统免受恶意攻击和入侵。然而，它们在实施方法和应用场景上存在一定的区别。
     2. 正向隔离是指限制网络中的主机和外部网络的连接，只允许符合安全策略的通信流量通过。它可以通过在主机上安装防火墙或使用虚拟专用网络（VPN）来实现。防火墙可以阻止未授权的通信流量进入或离开网络，而VPN可以在公共网络上建立加密通道，以保护数据的安全性和隐私性。
     3. 反向隔离是指限制外部网络和内部网络的连接，只允许符合安全策略的通信流量进入内部网络。它通常用于企业或政府机构的内部网络，以防止外部攻击和入侵。反向隔离可以通过在内部网络中设置防火墙或使用入侵检测系统来实现。防火墙可以阻止未授权的通信流量进入内部网络，而入侵检测系统可以检测到异常流量并发出警报，以便及时采取措施加以防范。

总结：
     综上所述，正向隔离和反向隔离的主要区别在于它们的实施方法和应用场景不同。正向隔离主要用于保护个人或小型企业免受网络攻击和入侵，而反向隔离主要用于保护大型企业或政府机构的内部网络免受外部攻击和入侵。然而，无论哪种隔离方式，它们的目的都是为了提高网络安全性，保护计算机系统和数据的安全性和隐私性。