A.2 關于網絡各層協議主要功能的說明

物理層的主要功能是為數據鏈路層提供物理連接，以透明地傳送位數據流，并負責物理連接的激活、維持和撤消。物理層的設計與具體的物理介質有關。除介質外，物理層的設備還有中繼器和集中器等。根據物理層所完成的主要功能，物理層安全可采用加密數據流的方法來確保所傳送的數據受到應有的保密性和完整性保護，防止其遭受非授權的泄露或破壞。物理層安全還應包括對物理線路和設備的安全保護。對于加密機來說，其自身安全也應有相應的要求。

鏈路層的主要功能是負責在兩個相鄰節點間的鏈路上無差錯地傳送以幀為單位的數據，將有差錯的物理鏈路轉化為無差錯鏈路，并負責數據鏈路的建立、維持和釋放，進行校驗、重發和流量控制。實現鏈路層協議，需要必要的軟、硬件，以及網橋和二層交換機等鏈路層設備。根據鏈路層所完成的主要功能，鏈路層安全應確保所傳送的數據受到應有的保密性和完整性保護，防止其受到非授權的泄露或破壞。鏈路層安全主要應考慮鏈路級實體鑒別、支持鏈路加密、VLAN劃分、第二層轉發協議(L2F)、第二層隧道協議(L2TP)）等安全技術和機制，對網上傳輸的信息進行安全保護。鏈路層信息安全保護是網絡系統安全保護的重要組成部分。不同等級的安全保護要求鏈路層具有不同的安全機制和措施。對實現鏈路層協議的軟、硬件設備自身進行安全保護也是鏈路層安全應考慮的問題。

網絡層的主要功能是選擇合適的路由和交換節點，以透明地向目的節點交付發送節點所發送的分組或包。網絡層的設備有路由器、三層（路由）交換機等。網絡層的作用是將數據分成一定長度的分組，將分組穿過子網從信源傳送到信宿，并負責進行路由選擇，控制分組流量，解決網絡互連。根據網絡層所要完成的主要功能，網絡層安全主要應對實現網絡層協議的信息處理系統，采用身份鑒別、訪問控制、加密、一致性檢驗等方法來確保所傳送的數據受到應有的保密性和完整性保護，防止其受到非授權的泄露或破壞。實現網絡層安全功能的SSON，對不同的安全保護等級有不同的安全要求，應采用不同的方法和策略來設計。網絡層安全主要應通過IP包過濾、地址轉換（NAT）、虛擬專用網、虛擬IP地址(VIP)、第三層隧道協議（包括通用路由封裝(GRE)、IPSec）等安全技術和機制，對網上傳輸的信息進行保護。網絡層的主要安全設備有：安全路由器、VPN網關、網絡密碼機等。

傳輸層的主要功能是向上一層提供一個可靠的端到端的通信服務，即在源節點與目的節點之間透明地傳送報文。傳輸層的主要設備有傳統網關、四層交換機等。傳輸層是第一個端-端層，為上層用戶提供不依賴于具體網絡的透明的端-端數據傳輸服務，進行差錯控制和流量控制，通過分流和復用提高傳輸效率、降低傳輸費用。根據傳輸層所完成的主要功能，傳輸層安全主要應采用身份鑒別、訪問控制、加密等方法，確保所傳送的數據受到應有的保密性和完整性保護，防止其受到非授權的泄露或破壞。不同的安全保護等級對實現傳輸層安全功能的SSON有不同的安全要求，應采用不同的安全策略。

會話層負責在兩個會話用戶之間建立和清除對話，并有故障恢復功能。會話層是最“薄”的一層，在有些網絡中可以省略。會話層的設備有傳統網關等。根據會話層所實現的功能，會話層安全應采用身份鑒別、訪問控制、加密等方法，確保所傳輸的信息的保密性和完整性。不同的安全保護等級對實現會話層安全功能的SSON有不同的安全要求，應采用不同的安全策略。

表示層為上層用戶提供數據或信息語法的表示轉換，負責系統內部的數據表示與抽象數據表示之間的轉換工作，還可以進行數據加/解密和壓縮/解壓縮等轉換。表示層的設備有傳統網關等。根據表示層所實現的功能，表示層安全應通過身份鑒別、訪問控制、保密性、完整性和抗抵賴等，確保所傳輸的信息的保密性和完整性。不同的安全保護等級對實現表示層安全功能的SSON有不同的安全要求，應采用不同的安全策略。

應用層描述網絡提供的通用服務，主要功能是提供應用進程所需要的信息交換和遠程操作，并作為相互作用的應用進程的用戶代理，完成信息交換所必須的功能。應用層的網絡設備有傳統網關、七層交換機等。應用層協議描述了某一特定領域或某一類應用的通信功能，如域名服務、文件傳輸、電子郵件等。應用層安全應通過身份鑒別、訪問控制、保密性、完整性和抗抵賴等，確保所傳輸數據信息的保密性和完整性。不同的安全保護等級對實現應用層安全功能的SSON有不同的安全要求，應采用不同的安全策略。