5.4　安全三級

除了安全二級中要求的拆卸存跡物理安全機制外，安全三級還要求更強的物理安全機制，以進一步防止對密碼模塊內敏感安全參數的非授權訪問。這些物理安全機制應該能夠以很高的概率檢測到以下行為并作出響應，這些行為包括：直接物理訪問、密碼模塊的使用或修改，以及通過通風孔或縫隙對密碼模塊的探測。上述物理安全機制可以包括堅固的外殼、拆卸檢測裝置以及響應電路。當密碼模塊的封蓋/門被打開時，響應電路應將所有的關鍵安全參數置零。

安全三級要求基于身份的鑒別機制，以提高安全二級中基于角色的鑒別機制的安全性。密碼模塊需要鑒別操作員的身份，并驗證經鑒別的操作員是否被授權擔任特定的角色以及是否能夠執行相應的服務。

安全三級要求手動建立的明文關鍵安全參數是經過加密的、使用可信信道或使用知識拆分來輸入或輸出。

安全三級的密碼模塊應有效防止電壓、溫度超出密碼模塊正常運行范圍對密碼模塊安全性的破壞。攻擊者可以故意讓密碼模塊的環境參數偏離正常運行范圍，從而繞過密碼模塊的防護措施。密碼模塊應設計有環境保護特性，用以檢測環境異常并置零關鍵安全參數，或者能夠通過環境失效測試從而提供一個合理的保障，確保不會因環境異常破壞密碼模塊的安全性。

安全三級的密碼模塊應提供非入侵式攻擊緩解技術的有效性證據和檢測方法。

對于軟件密碼模塊，并沒有在本標準的所有條款中給出安全三級的要求。因此，軟件密碼模塊能夠達到的最大整體安全等級限定為安全二級。

安全三級的密碼模塊增加了生命周期保障的要求，比如自動配置管理、詳細設計、底層測試以及基于廠商所提供的鑒別信息的操作員鑒別。