防篡改涂层或密封件放置在模块上，因此必须破坏涂层或密封件才能对模块内的敏感安全参数进行物理访问。防篡改密封或防撬锁放置在盖子或门上，以防未经授权的物理访问。

    安全等级2需要基于角色的身份验证。加密模块需要对操作员进行身份验证，以确定其是否有权执行相应的服务。

    安全等级2允许软件加密模块在可修改的环境中执行，该环境实现基于角色的访问控制或自主访问控制，其中自主访问控制至少具有定义新组和通过访问控制列表(例如，ACL)分配限制性权限的能力，并能将每个用户分配给多个组。访问控制措施应防止未经授权的执行、修改和读取实现密码功能的软件。

    安全等级3需要基于身份的身份验证机制，以增强安全等级2中基于角色的身份验证机制所提供的安全性。密码模块需要鉴别操作员的身份，并验证经鉴别的操作员是否被授权担任特定的角色以及是否能够执行相应的服务。

    安全等级3要求手动建立的明文关键安全参数是经过加密的，使用可信通道或知识拆分进行输入或输出。

    全等级3的密码模块应有效防止电压、温度超出密码模块正常运行范围对密码模块安全性的破坏。攻击者可以故意让密码模块的环境参数偏离正常运行范围，从而绕过密码模块的防护措施。密码模块应设计有环境保护特性，用以检测环境异常并置零关键安全参数，或者能够通过环境失效测试从而提供一个合理的保障，确保不会因环境异常破坏密码模块的安全性。

    安全等级3的密码模块应提供非入侵式攻击缓解技术的有效性证据和检测方法。

    对于软件密码模块，并没有在本标准的所有条款中给出安全等级3的要求。因此，软件密码模块能够达到的最大整体安全等级限定为安全二级。

    安全等级3的密码模块增加了生命周期保障的要求，比如自动配置管理、详细设计、底层测试以及基于厂商所提供的鉴别信息的操作员鉴别。

    安全等级4的物理安全机制应在密码模块周围提供完整的封套保护，其目的是无论外部电源是否供电，当密码模块包含敏感安全参数时，检测并响应所有非授权的物理访问。从任何方向穿透密码模块的外壳都会以很高的概率被检测到，并将导致所有未受保护的敏感安全参数立刻被置零。由于安全等级4的密码模块自身具有较高的安全机制，所以它特别适用于无物理保护的环境。

    安全等级4要求对操作员进行多因素鉴别。最低限度下，要求使用下列因素中的两个：

  ——知悉某物，如秘密口令；

  ——拥有某物，如物理钥匙或令牌；

  ——具有某属性，如生物特征。

    安全等级4的密码模块应有效防止电压、温度超出密码模块正常运行范围对密码模块安全性的破坏。密码模块应设计有环境保护特性，专门用以检测环境异常并置零关键安全参数，从而提供一个合理的保障，确保不会因环境异常破坏密码模块的安全性。

    按照国家相关部门规定的、安全等级4的非入侵式攻击缓解检测指标，检测密码模块中实现的、标准7.8中规定的针对非入侵式攻击的缓解方法。

    安全等级4要求密码模块的设计应通过一致性验证，即验证前置和后置条件与功能规格之间的致性。

浙江望安科技有限公司