跨安全区的反向通信方法、装置及系统

1.一种跨安全区的反向通信方法，其特征在于，包括：
通过统一的隔离网关向隔离装置阵列中的各个隔离装置的文件网关发送探测包，通过所述探测包的回应包判断所述隔离网关与各个隔离装置的链路繁忙与否，并根据判断结果获取各个隔离装置的工作状态信息；其中，所述工作状态信息主要包括设备正常工作信息和设备流量负载信息；
比较各个隔离装置的所述工作状态信息，根据比较的结果选择其中一个隔离装置相应的文件网关传输反向通信数据包；
其中，所述根据比较的结果选择其中一个隔离装置相应的文件网关传输反向通信数据包的步骤，包括：
根据所述设备正常工作信息比较的结果，从在线正常工作的隔离装置中选择其中一个隔离装置相应的文件网关传输反向通信数据包；和/或，
根据所述设备流量负载信息比较的结果，选择当前通信流量最小的隔离装置相应的文件网关传输反向通信数据包。
2.根据权利要求1所述的跨安全区的反向通信方法，其特征在于：
根据所述工作状态信息设置各个隔离装置的传输优先级别，选择当前所述传输优先级别最高的隔离装置相应的文件网关传输所述反向通信数据包；其中，
当隔离装置离线或不正常工作时，设置其优先级别为最低级数；当新增加的隔离装置在线正常工作时，设置其优先级别为最高级数；
当选择隔离装置传输所述反向通信数据包之时，该隔离装置的传输优先级别降低预设级数；当该隔离装置完成所述反向通信数据的传输之后，所述传输优先级别增加所述预设级数。
3.根据权利要求1所述的跨安全区的反向通信方法，其特征在于，根据比较的结果选择其中一个隔离装置传输反向通信数据包的步骤，包括：
当选择所述隔离装置传输反向通信数据包的请求失败时，或当传输所述反向通信数据包的通信过程中断时，向所述隔离装置再次发送所述传输反向通信数据包的请求。
4.根据权利要求2所述的跨安全区的反向通信方法，其特征在于，根据比较的结果选择其中一个隔离装置传输反向通信数据包的步骤，包括：
当选择所述隔离装置传输反向通信数据包的请求失败时，或当传输所述反向通信数据包的通信过程中断时，向较低优先级别的隔离装置发送所述传输反向通信数据包的请求；
当向所述隔离装置发送预设数次所述传输反向通信数据包的请求，仍失败时，向较低优先级别的隔离装置发送所述传输反向通信数据包的请求。
5.根据权利要求1所述的跨安全区的反向通信方法，其特征在于：
根据所述工作状态信息判定隔离装置离线或不正常工作时，发出与该隔离装置相对应的通道异常告警。
6.根据权利要求1至5任一项所述的跨安全区的反向通信方法，其特征在于，所述文件网关包括发送端文件网关和接收端文件网关，传输反向通信数据包的步骤，包括：
所述发送端文件网关将所述反向通信数据包转换为带加密签名的文件包进行传输；
经过相应的隔离装置对所述加密签名进行验证之后，再由相应的所述接收端文件网关对所述带加密签名的文件包解密传输。
7.一种跨安全区的反向通信装置，其特征在于，包括：
链路探测单元，用于通过统一的隔离网关向隔离装置阵列中的各个隔离装置的文件网关发送探测包；
与所述链路探测单元相连的状态获取单元，用于通过所述探测包的回应包判断所述隔离网关与各个隔离装置的链路繁忙与否，并根据判断结果获取各个隔离装置的工作状态信息；其中，所述工作状态信息主要包括设备正常工作信息和设备流量负载信息；
与所述状态获取单元相连的比较分析单元，用于比较各个隔离装置的所述工作状态信息；
与所述比较分析单元相连的选择发送单元，用于根据比较的结果选择其中一个隔离装置相应的文件网关传输反向通信数据包；
其中，所述比较分析单元包括：状态分析单元和/或流量分析单元；
与所述选择发送单元相连的所述状态分析单元，用于根据所述设备正常工作信息比较的结果，获得在线正常工作的隔离装置；所述选择发送单元用于从在线正常工作的隔离装置中选择其中一个隔离装置相应的文件网关传输反向通信数据包；
与所述选择发送单元相连的所述流量分析单元用于根据所述设备流量负载信息比较的结果，获得当前通信流量最小的隔离装置；所述选择发送单元用于选择当前通信流量最小的隔离装置相应的文件网关传输反向通信数据包。
8.根据权利要求7所述的跨安全区的反向通信装置，其特征在于，还包括：
连接在所述比较分析单元与所述选择发送单元的优先级单元，用于根据所述工作状态信息设置各个隔离装置的传输优先级别；所述选择发送单元还用于选择当前所述传输优先级别最高的隔离装置传输所述反向通信数据包。
9.根据权利要求7或8所述的跨安全区的反向通信装置，其特征在于，还包括：
与所述选择发送单元相连的失败处理单元，用于在传输失败的情况下，触发所述选择发送单元向所述隔离装置再次发送所述传输反向通信数据包的请求，或触发所述选择发送单元向较低优先级别的隔离装置发送所述传输反向通信数据包的请求。
10.根据权利要求7所述的跨安全区的反向通信装置，其特征在于，还包括：
与所述比较分析单元相连的异常告警单元，用于根据所述工作状态信息判定隔离装置离线或不正常工作时，发出与该隔离装置相对应的通道异常告警。
11.一种跨安全区的反向通信系统，其特征在于，包括：如权利要求7至10任一项所述的跨安全区的反向通信装置，以及与该跨安全区的反向通信装置相连的隔离装置阵列；
其中，所述隔离装置阵列包括预设数个在线工作的隔离装置，及与隔离装置相连的文件网关。
12.根据权利要求11所述的跨安全区的反向通信系统，其特征在于：所述文件网关包括发送端文件网关和接收端文件网关，其中，
所述发送端文件网关连接在所述隔离装置与所述跨安全区的反向通信装置之间，用于将所述反向通信数据包转换为带加密签名的文件包进行传输；
相应的所述隔离装置用于对所述加密签名进行验证；
相应的所述接收端文件网关用于对所述带加密签名的文件包解密传输。

跨安全区的反向通信方法、装置及系统\n技术领域\n[0001] 本发明涉及电力系统的信息安全技术，特别是涉及跨安全区的反向通信方法、装置及系统。\n背景技术\n[0002] 随着电力自动化水平的提高，为保障网络的安全，许多信息安全技术在网络中得到了应用，如在网络中设置防火墙、防病毒系统，对网络进行入侵检测、漏洞扫描等。然而此类保护是一种逻辑机制，必须有一道绝对安全的大门，保证不同安全区之间的安全强度。针对电力信息网络系统安全性的要求，电力专用隔离装置已经被广泛应用到电力信息网络建设中。\n[0003] 电力专用隔离装置在确实保障电力信息网络安全的同时，也在某种程度上给信息的内网网络通信带来了不便。在实现高安全级别的网络隔离的同时，隔离装置自身的功能特性也决定了它会给网络通信带来一定的延时和带宽限制。相关测试表明，传统的通信方法存在如下问题：首先，大量的反向隔离装置和网络通道维护困难，使得故障的定位和排除难以及时完成；然后，新建设的系统需要设置相应的反向隔离装置以满足跨安全区网络通信的需求，无法利用已有的设备资源，造成设备的重复投资；其次，受限于反向隔离装置的性能，不同系统或新旧系统之间难以实现跨系统的数据通信，限制了数据资源的有效利用；\n最后，由于反向隔离装置往往会成为网络性能的瓶颈，因此部署了反向隔离装置的系统往往难以满足系统升级、扩容、业务范围扩展的需求，也使得系统的可靠性受到限制。\n发明内容\n[0004] 基于此，有必要针对上述问题，提供跨安全区的反向通信方法、装置及系统，能够简化网络结构，提高设备资源的利用率，进而提升系统的可靠性和可扩展性。\n[0005] 一种跨安全区的反向通信方法，包括：\n[0006] 向各个隔离装置的文件网关发送探测包，通过所述探测包的回应包获取各个隔离装置的工作状态信息；\n[0007] 比较各个隔离装置的所述工作状态信息，根据比较的结果选择其中一个隔离装置相应的文件网关传输反向通信数据包。\n[0008] 相应地，一种跨安全区的反向通信装置，包括：\n[0009] 链路探测单元，用于向各个隔离装置的文件网关发送探测包；\n[0010] 与所述链路探测单元相连的状态获取单元，用于通过所述探测包的回应包获取各个隔离装置的工作状态信息；\n[0011] 与所述状态获取单元相连的比较分析单元，用于比较各个隔离装置的所述工作状态信息；\n[0012] 与所述比较分析单元相连的选择发送单元，用于根据比较的结果选择其中一个隔离装置相应的文件网关传输反向通信数据包。\n[0013] 相应地，一种跨安全区的反向通信系统，其特征在于，包括：如权利要求8至12任一项所述的跨安全区的反向通信装置，以及与该跨安全区的反向通信装置相连的隔离装置阵列；\n[0014] 其中，所述隔离装置阵列包括预设数个在线工作的隔离装置，及与隔离装置相连的文件网关。\n[0015] 实施本发明，具有如下有益效果：\n[0016] 本发明的跨安全区的反向通信方法及装置，通过在统一的隔离网关一端与各个隔离装置建立有效通信连接及信息交换关系，搭建跨安全区通信的通信总线，从而简化网络结构。根据各个隔离装置的工作状态选择其一，协调传输通信数据包，提高设备资源利用率。便于跨安全区系统之间的信息传输，以及提升了系统性能、扩展性和可靠性。\n[0017] 本发明的跨安全区的反向通信系统，采用并联式的系统架构，相比于传统技术仅是对单体隔离设备性能的改进，本发明将隔离装置进行并联，能够管理数个隔离装置同时在线工作。这对于业内是一次影响较大的变革。\n附图说明\n[0018] 图1为本传统的反向隔离装置的通信示意图；\n[0019] 图2为本发明一种跨安全区的反向通信方法的流程图；\n[0020] 图3为本发明一种跨安全区的反向通信方法的实施例示意图；\n[0021] 图4为本发明一种跨安全区的反向通信方法的实施例流程图；\n[0022] 图5为本发明一种跨安全区的反向通信装置的示意图；\n[0023] 图6为本发明一种跨安全区的反向通信装置的实施例示意图；\n[0024] 图7为本发明一种跨安全区的反向通信系统的示意图。\n具体实施方式\n[0025] 为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述。\n[0026] 图1为本传统的反向隔离装置的通信示意图。\n[0027] 随着电力自动化水平的提高，通信技术和网络技术的发展，电力系统越来越依赖电力信息网络来保障其安全、可靠和高效的运行，信息网络的安全直接关系到电力系统的安全，因此对电力系统信息安全关键技术的研究就显得尤为重要。\n[0028] 根据《全国电力二次系统安全防护总体方案》的要求，电力二次系统划分为不同的安全工作区，反映了各区中业务系统重要性的差别。不同的安全区确定了不同的安全防护要求，从而决定了不同的安全等级和防护水平。系统整体分为三个安全区：安全I区（控制区），安全II区（非控制区）、安全III区（管理信息区）。其中安全I区和安全II区与生产相关，因此二者统称为生产控制区。由于生产控制区和管理信息区的安全强度要求差异较大，信息跨区域的传递有严格的限制，因此区域之间需要采用网络隔离技术，以达到最高的安全强度。\n[0029] 如图1所示，网络隔离技术是指内部网络不直接或间接地连接外部网络。只有使内部网和公共网隔离装置，保证内部信息网络不受来自互联网的黑客攻击。同时，隔离装置也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。在电力信息网络中，反向隔离装置和反向隔离装置是实现网络隔离技术的典型设备。其中，安全隔离装置（反向）用于安全区III到安全区I/II的单向数据传递，其具体功能如下：\n[0030] （1）具有网关功能，实现应用数据的接收与转发；\n[0031] （2）具有数据内容有效性检查功能；\n[0032] （3）具有基于数字证书的数据签名/验签功能；\n[0033] （4）实现两个安全区之间的非网络方式的安全的数据传递；\n[0034] （5）支持透明工作方式：虚拟主机IP地址、隐藏MAC地址；\n[0035] （6）支持NAT；\n[0036] （7）基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；\n[0037] （8）防止穿透性TCP联接。\n[0038] 实际生产中，往往会遇到系统需要从III区获取更多的数据的场景。如图1中虚线所示部分。一方面需要实现系统内部的跨安全区通信，另一方面还需要从新增系统中获取数据。为此需要在系统之间新建跨安全区的网络通道。这种方式存在着两点问题：\n[0039] 在不同系统之间建立网络通道会增加网络的复杂度，降低网络的可维护性和安全性。而且随着业务系统的快速发展，原有系统中数据等资源的重用和新系统的大量建设将成为大势所趋，这一问题将更加的突出。\n[0040] 原有系统可能受限于反向隔离装置性能，无法为更多的系统提供数据。\n[0041] 图2为本发明一种跨安全区的反向通信方法的流程图，包括：\n[0042] S101：向各个隔离装置的文件网关发送探测包，通过所述探测包的回应包获取各个隔离装置的工作状态信息；\n[0043] S102：比较各个隔离装置的所述工作状态信息，根据比较的结果选择其中一个隔离装置相应的文件网关传输反向通信数据包。\n[0044] 图3为本发明一种跨安全区的反向通信方法的实施例示意图，以下结合图2、图3对本发明做进一步的说明。\n[0045] 如图3所示，本发明的系统采用反向隔离装置阵列代替原有独立的反向隔离装置，并在安全I/II区和安全III区内分别设置统一的隔离网关。其中，所述反向隔离装置阵列包括至少一个隔离装置，各个隔离装置配有相应的文件网关。本发明利用可靠连接将隔离网关与反向隔离装置阵列相连接，形成跨安全区反向通信的总线结构。对于需要跨安全区进行反向通信的系统，则直接连接至本安全区内相应的隔离网关，也即连接至跨安全区反向通信总线。通过该总线完成与其他安全区之间的通信。\n[0046] 反向隔离装置阵列即将若干台反向隔离装置进行相同或类似的配置，组成并行传输的运行模式，构建反向隔离阵列网络，无需区别对待不同厂家生产的隔离装置的配置问题，从而扩大网络数据通信流量，解决网络流量的瓶颈。\n[0047] 具体地，通过统一的隔离网关，向反向隔离装置阵列中的各个隔离装置相应的文件网关发送探测包，发送端的文件网关组能够判断其与相应的（反向）隔离装置的链路繁忙与否，并将信息提交给隔离网关，获取各个隔离装置的工作状态信息。其中，所述工作状态信息主要包括当前的流量负担信息。不同的厂家、不同型号的隔离装置，在传输带宽、运算速度方面可能有所不同，但本发明无需考虑其具体的性能参数，根据实际的工作状态信息进行协调。比较各个隔离装置的所述工作状态信息，根据比较的结果选择其中一个隔离装置传输反向通信数据包。只要反向隔离装置阵列中的所有设备不同时发生故障，则系统可以实现正常跨安全区通信并确保网络隔离功能的实现，从而提高了系统的可靠性；对于安全III区内的原有或新增系统，无需感知反向隔离装置阵列内部的结构和具体设备状态，也无需知道具体的数据传输路径，即可需要，从反向隔离装置阵列中选择其中合适的网络隔离网关进行通信，从而增强了系统的扩展性。综上所述，便于跨安全区系统之间的信息传输。\n[0048] 为了提供一种请求失败的处理方案，本实施例还包括，\n[0049] 当选择所述隔离装置传输反向通信数据包的请求失败时，或当传输所述反向通信数据包的通信过程中断时，向所述隔离装置再次发送所述传输反向通信数据包的请求。\n[0050] 需要补充说明的是，发送端的文件网关，还包括如下功能：\n[0051] 第一，能够与安全区III内各系统之间进行特定协议的TCP数据传输；\n[0052] 第二，实现原有系统下的反向隔离装置配套文件传输程序发送部分的功能。\n[0053] 发送端的文件网关，包括如下功能：\n[0054] 第一，负责发送端文件网关组传输数据组装并在指定目录形成文件。\n[0055] 第二，向安全区I/II内各系统提供读取所需文件的接口。\n[0056] 图4为本发明一种跨安全区的反向通信方法的实施例流程图。与图2相比，图4为具体实施例的示意图。\n[0057] S201：向各个隔离装置的文件网关发送探测包，通过所述探测包的回应包获取各个隔离装置的工作状态信息；\n[0058] S202：比较各个隔离装置的所述工作状态信息，根据所述设备正常工作信息比较的结果，从在线正常工作的隔离装置中选择其中一个隔离装置相应的文件网关传输反向通信数据包；\n[0059] S203：根据所述设备流量负载信息比较的结果，选择当前通信流量最小的隔离装置相应的文件网关传输反向通信数据包；\n[0060] S204：根据所述工作状态信息设置各个隔离装置的传输优先级别，选择当前所述传输优先级别最高的隔离装置相应的文件网关传输所述反向通信数据包；\n[0061] S205：所述发送端文件网关将所述反向通信数据包转换为带加密签名的文件包进行传输；\n[0062] S206：经过相应的隔离装置对所述加密签名进行验证之后，再由相应的所述接收端文件网关对所述带加密签名的文件包解密传输。\n[0063] 在其中一个实施例当中，所述工作状态信息主要包括设备正常工作信息和设备流量负载信息。\n[0064] 根据所述设备正常工作信息比较的结果，从在线正常工作的隔离装置中选择其中一个隔离装置相应的文件网关传输反向通信数据包；和/或，\n[0065] 根据所述设备流量负载信息比较的结果，选择当前通信流量最小的隔离装置相应的文件网关传输反向通信数据包。\n[0066] 本发明实施例将正常工作信息和/或设备流量负载信息作为隔离装置的选取依据，协调反向隔离装置阵列的正常工作。\n[0067] 在其中一个实施例当中，与上一实施例相比，本实施例并非简单地以设备是否运行正常和当前流量负担的大小作为依据。而是，进一步地，对各个选取依据设置优先级别，获取一个具有综合评估作用的优先级数，并以此优先级数作为选取判断的依据。\n[0068] 根据所述工作状态信息设置各个隔离装置的传输优先级别，选择当前所述传输优先级别最高的隔离装置相应的文件网关传输所述反向通信数据包；其中，\n[0069] 当隔离装置离线或不正常工作时，设置其优先级别为最低级数；当新增加的隔离装置在线正常工作时，设置其优先级别为最高级数。\n[0070] 需要补充说明的是，这里根据设备正常工作与否设置最高/最低优先级数，还包括，判断安全III区特定系统的专用隔离装置的离线或不正常工作时，设定该专用隔离装置的优先级数为最低。当新增加对于安全III区特定系统的专用隔离装置在线正常工作时，针对传输给该安全III区特定系统的数据包，设置其专用隔离装置的优先级数为最高。\n[0071] 当选择隔离装置传输所述反向通信数据包之时，该隔离装置的传输优先级别降低预设级数；当该隔离装置完成所述反向通信数据的传输之后，所述传输优先级别增加所述预设级数。\n[0072] 上述方案提供了根据实时流量负担信息而动态更新的优先级数。\n[0073] 为了提供一种请求失败的处理方案，本实施例还包括，\n[0074] 当选择所述隔离装置传输反向通信数据包的请求失败时，或当传输所述反向通信数据包的通信过程中断时，向较低优先级别的隔离装置发送所述传输反向通信数据包的请求；\n[0075] 当向所述隔离装置发送预设数次所述传输反向通信数据包的请求，仍失败时，向较低优先级别的隔离装置发送所述传输反向通信数据包的请求。\n[0076] 根据所述工作状态信息判定隔离装置离线或不正常工作时，发出与该隔离装置相对应的通道异常告警。\n[0077] 只要反向隔离装置阵列中的各个设备不同时发生故障，则系统可以正常通信并确保网络隔离功能的实现。\n[0078] 相比现有技术方案，本发明具有以下优点：\n[0079] 简化了网络结构，降低了网络建设和维护的复杂度。通过设置总线式的跨安全区互通网络架构，各系统统一接入“跨安全区反向通信总线”，即可实现和不同安全区设备的通信，通信的安全和效率由总线保证。网络结构清晰，系统实现简单。\n[0080] 提高了设备资源利用率，降低了系统建设成本。新系统建设时，无需重复建设反向隔离装置，由“跨安全区反向通信总线”统一实现反向隔离功能；反向隔离装置阵列能够充分利用所有反向隔离设备的资源，在必要时灵活扩展，有效的提升了设备资源的利用效率。\n[0081] 实现了不同系统之间的灵活通信，降低了资源重用的难度。I/II区的系统能够根据具体的业务需求，灵活且安全的获取III区各类系统的数据。\n[0082] 消除了网络性能瓶颈。反向隔离装置阵列实现了高性能、可扩展的网络隔离功能，很好的解决了采用隔离装置带来的网络瓶颈问题。\n[0083] 图5为本发明一种跨安全区的反向通信装置的示意图，包括：\n[0084] 链路探测单元，用于向各个隔离装置的文件网关发送探测包；\n[0085] 与所述链路探测单元相连的状态获取单元，用于通过所述探测包的回应包获取各个隔离装置的工作状态信息；\n[0086] 与所述状态获取单元相连的比较分析单元，用于比较各个隔离装置的所述工作状态信息；\n[0087] 与所述比较分析单元相连的选择发送单元，用于根据比较的结果选择其中一个隔离装置相应的文件网关传输反向通信数据包。\n[0088] 图5与图2相对应，图中各个单元的运行方式与方法中的相同。\n[0089] 图6为本发明一种跨安全区的反向通信装置的实施例示意图。\n[0090] 如图6所示，所述比较分析单元包括：状态分析单元和/或流量分析单元；\n[0091] 与所述选择发送单元相连的所述状态分析单元，用于根据所述设备正常工作信息比较的结果，获得在线正常工作的隔离装置；所述选择发送单元用于从在线正常工作的隔离装置中选择其中一个隔离装置相应的文件网关传输反向通信数据包；\n[0092] 与所述选择发送单元相连的所述流量分析单元用于根据所述设备流量负载信息比较的结果，获得当前通信流量最小的隔离装置；所述选择发送单元用于选择当前通信流量最小的隔离装置相应的文件网关传输反向通信数据包。\n[0093] 如图6所示，还包括：\n[0094] 连接在所述比较分析单元与所述选择发送单元的优先级单元，用于根据所述工作状态信息设置各个隔离装置的传输优先级别；所述选择发送单元还用于选择当前所述传输优先级别最高的隔离装置传输所述反向通信数据包。\n[0095] 与所述选择发送单元相连的失败处理单元，用于在传输失败的情况下，触发所述选择发送单元向所述隔离装置再次发送所述传输反向通信数据包的请求，或触发所述选择发送单元向较低优先级别的隔离装置发送所述传输反向通信数据包的请求。\n[0096] 与所述比较分析单元相连的异常告警单元，用于根据所述工作状态信息判定隔离装置离线或不正常工作时，发出与该隔离装置相对应的通道异常告警。\n[0097] 图6与图4相对应，图中各个单元的运行方式与方法中的相同。\n[0098] 需要补充说明的是，本发明在跨安全区之间提供了统一的接收/发送隔离网关。隔离网关是跨安全区反向通信总线在各个安全区的接入点。在发送隔离网关一端实现本发明。\n[0099] 图7为本发明一种跨安全区的反向通信系统的示意图，包括：\n[0100] 如前所述的跨安全区的反向通信装置，以及与该跨安全区的反向通信装置相连的隔离装置阵列；\n[0101] 其中，所述隔离装置阵列包括预设数个在线工作的隔离装置，及与隔离装置相连的文件网关。\n[0102] 所述文件网关包括发送端文件网关和接收端文件网关，其中，\n[0103] 所述发送端文件网关连接在所述隔离装置与所述跨安全区的反向通信装置之间，用于将所述反向通信数据包转换为带加密签名的文件包进行传输；\n[0104] 相应的所述隔离装置用于对所述加密签名进行验证；\n[0105] 相应的所述接收端文件网关用于对所述带加密签名的文件包解密传输。\n[0106] 本发明的跨安全区的反向通信系统，采用并联式的系统架构，相比于传统技术仅是对单体隔离设备性能的改进，本发明将隔离装置进行并联，能够管理数个隔离装置同时在线工作。这对于业内是一次影响较大的变革。\n[0107] 相比现有技术方案，本发明具有以下优点：\n[0108] 简化了网络结构，降低了网络建设和维护的复杂度。通过设置总线式的跨安全区通信网络架构，各系统统一接入“跨安全区反向通信总线”，即可实现和不同安全区之间设备的通信，通信的可靠性及效率由总线保证。网络结构清晰，系统实现简单。\n[0109] 提高了设备资源利用率，降低了系统建设成本。新系统建设时，无需重复建设反向隔离装置，由跨安全区反向通信总线统一实现隔离装置功能；隔离装置阵列能够充分利用所有隔离装置设备的资源，在必要时灵活扩展，有效的提升了设备资源的利用效率。\n[0110] 实现了不同系统之间的灵活通信，降低了资源重用的难度。I/II区的系统能够根据具体的业务需求，灵活的将数据发送到III区的不同系统中，实现对已有数据等资源的重复利用。\n[0111] 消除了网络性能瓶颈。本发明技术方案实现了高性能、可平滑扩展的网络隔离功能实现方式，较好的解决了反向隔离装置带来的网络瓶颈问题。\n[0112] 系统可靠性提升。反向隔离装置阵列具有较强的容灾能力，从而提高了系统整体的可靠性。\n[0113] 以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。