电网专用安全隔离装置有哪些，各有什么功能？

(1)应用环境。电力专用安全隔离装置作为安全区Ⅰ/Ⅱ与安全区Ⅲ的必备边界，要求具有*高的安全防护强度，是安全区Ⅰ/Ⅱ横向防护的要点。

其中，安全隔离装置（正向）用于安全区Ⅰ/Ⅱ到安全区Ⅲ的单向数据传递；安全隔离装置（反向）用于安全区Ⅲ到安全区Ⅰ/Ⅱ的单向数据传递。

(2)专用安全隔离装置（正向）。

1)实现两个安全区之间的非网络方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通。

2)表示层与应用层数据完全单向传输，即从安全区Ⅲ到安全区Ⅰ/Ⅱ的TCP应答禁止携带应用数据。

3)透明工作方式：虚拟主机IP地址、隐藏MAC地址。

4)基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制。

5)支持NAT。

6)防止穿透性TCP连接：禁止两个应用网关之问直接建立TCP连接，应将内外两个应用网关之间的TCP连接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟连接。隔离装置内外两个网卡在装置内部是非网络连接，且只允许数据单向传输。

7)具有可定制的应用层解析功能，支持应用层特殊标记识别。

8)安全、方便的维护管理方式：基于证书的管理人员认证，图形化的管理界面。

(3)专用安全隔离装置（反向）。专用安全隔离装置（反向）用于从安全区Ⅲ到安全区Ⅰ/Ⅱ传递数据，是安全区Ⅲ到安全区Ⅰ/Ⅱ的**一个数据传递途径。专用安全隔离装置（反向）集中接收安全区Ⅲ发向安全区Ⅰ/Ⅱ的数据，进行签名验证、内容过滤、有效性检查等处理后，转发给安全区Ⅰ/Ⅱ内部的接收程序具体过程如下。

1)安全区Ⅲ内的数据发送端首先对需要发送的数据签名，然后发给专用安全隔离装置（反向）。

2)专用安全隔离装置（反向）接收数据后，进行签名验证，并对数据进行内容过滤、有效性检查等处理。

3)将处理过的数据转发给安全区Ⅰ/Ⅱ内部的接收程序。其功能要求为：①具有应用网关功能，实现应用数据的接收与转发；②具有应用数据内容有效性检查功能；③具有基于数字证书的数据签名/解签名功能；④实现两个安全区之间的非网络方式的安全的数据传递；⑤支持透明工作方式：虚拟主机IP地址、隐藏MAC地址；⑥支持NAT；⑦基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；⑧防止穿透性TCP连接。

(4)安全保障要求。专用安全隔离装置本身应该具有较高的安全防护能力，其安全性要求主要包括：①采用非INTEL指令系统的（及兼容）微处理器；②安全、固化的操作系统；③不存在设计与实现上的安全漏洞；④抵御除DoS以外的已知的网络攻击。