费控密码机采购技术规范书

第2页目录TOC\o"1-3"第1章总述 11.1概述 11.2工程保证 21.2.1质量保证 21.2.2进度保证 21.3对投标商的要求 21.3.1对应标书要求 21.3.2卖方职责 31.4买方职责 3第2章其它要求 42.1包装、运输、安装、调试和现场服务 42.1.1产品贴标要求 42.1.2包装和运输 42.1.3安装调试和现场服务 42.2培训 52.3文档 52.3.1文档范围 52.3.2卖方的责任 52.3.3其它 52.4保修要求 5第3章技术条件 63.1应遵循的标准 63.2工作环境 63.3基本要求 63.4硬件要求 63.5功能要求 103.6随机数生成 143.7密码算法参数配置 143.8访问控制 143.9设备管理 153.10安全性要求 163.11安全服务要求 17第4章供货范围 19第1页总述概述1.1本招标技术文件适用于广东电网有限责任公司（招标方，简称广东电网公司）费控密码机（以下简称“密码机”）的采购技术要求。1.2本设备招标技术文件提出的是最低限度的技术要求，并未对一切技术细节作出规定，也未充分引述有关标准和规范的条文，投标方应提供符合本招标技术文件和工业标准的优质产品。1.3如果投标方没有以书面形式对本招标技术文件的条文提出异议，则意味着投标方提供的设备(或系统)完全符合本招标技术文件的要求。如有异议，设备的任何差异都应在报价书中以“对招标技术文件的意见和同招标技术文件的差异”为标题的专门章节中加以详细描述。1.4本设备招标技术文件经买、卖双方确认后作为订货合同的技术附件，与合同正文具有同等法律效力。1.5投标方在应标技术文件中应如实反映应标产品与本招标技术文件的技术差异。如果投标方没有提出技术差异，而在执行合同的过程中，招标方发现投标方提供的产品与其应标技术文件的条文存在差异，招标方有权利要求退货，并将对下一年度的评标工作有不同程度的影响。1.6投标方应在应标技术部分按本招标技术文件的要求如实详细的填写应标设备的标准配置表，并在应标商务部分按此标准配置进行报价，如发现二者有矛盾之处，将对评标工作有不同程度的影响。1.7投标方应充分理解本招标技术文件并按本招标技术文件的具体条款、格式要求填写应标的技术文件，如发现应标的技术文件条款、格式不符合本招标技术文件的要求，则认为应标标书不符合要求。1.8本招标产品必须具备国家商用密码产品认证证书，具有核心知识产权。否则，招标方有权中止该产品的全部合同。1.9本招标技术文件未尽事宜，由买卖双方协商确定。工程保证质量保证投标商必须具有国家商用密码产品认证证书，投标时应提供所要求的资料文件供买方备查。投标商必须具备产品的核心知识产权，投标时应提供所要求的资料文件供买方备查。投标商应保证所提供的所有设备（包括软件）的质量均能满足合同要求，并提供相应供货纪录供买方参考。投标商应保证所提供的所有设备包括元器件应是新的。投标商应保证提供的所有备品备件必须是新的，且能够与原件相互更换，具有相同的规范、质量、材料和工艺要求。投标商应保证提供的软件设计完善，功能及性能满足标书要求。进度保证投标商应标时，必须向买方提供设备供货计划时间表，包括供货数量、出厂验收时间、出厂时间、到货时间，所有时间以合同生效日为起点，以工作日为单位。买方将根据实际采购情况在最终合同内确定供货时间表。在工程实施阶段，卖方每月向买方提交设备供货进度报告表。对投标商的要求对应标书要求根据本标书的编排顺序，逐项给予响应并提出建议。如对本标书有修改建议亦应一并提出并详细说明。卖方应提供投标设备的详细材料清单，包括：——设备配置（包括：产品型号、生产厂家、产地、性能指标、配置、尺寸和功耗等。）。——必需的安装材料的清单，包括每种材料的名称、型号及数量等。卖方在技术建议书中应提供设备的平均无故障工作时间。卖方应提出买方提供的供电、接地、运行环境和安装要求。卖方对本标书的某些部分如不能满足要求，应在技术建议书中提出说明，否则，买方即认为卖方提供的设备可以满足本标书的要求。本标书中未提及的而卖方提供的设备具有的功能，或卖方认为增加的功能有益于本工程安全、稳定、可靠地运行，买方要求卖方提供有关的详细资料，便于对卖方提供的设备做出正确的评价。卖方可以对本标书有关技术条款提出合理的修改意见供买方参考。标书中在引用某标准的地方，卖方应当使用双方承认的、最新的引用标准版本，不能用另外标准代替，除非采用买主许可的标准代替。卖方职责协助买方进行现场设备的安装及调试。应对整个设备的性能和功能负责。在设备调试和运行期间，如发现由于卖方所提供的设备因为设计或配置不合理，造成的损失由卖方应完全负责。卖方负责所有供货设备的包装、运输到现场。卖方负责对买方安装人员、维护人员的培训。提供支持用户日后下载软件有关的程序、控件等。买方职责买方对本标书进行解释，并保留对标书增删、修改的权利。买方有权对卖方的技术建议书的内容进行取舍。本标书将作为合同附件，成为合同不可分割的一部分。确认卖方提供的技术建议书。组织到货验收。负责设备的安装、调试。买方提供设备安装及运行所必须的条件和环境。其它要求包装、运输、安装、调试和现场服务产品贴标要求根据广东电网公司资产全生命周期管理要求，所有广东电网供应物资必须进行标签管理。各供应商必须承诺按照广东电网公司的相关要求，对所供应的物资进行标签贴标工作，将相关信息在出厂前写入条形码。对于本招标产品，若广东电网公司制定了使用RFID超高频无源标签代替条形码的技术标准，卖方须遵照执行，具体贴标要求和实施细则广东电网公司将在中国工网在线（）颁布。包装和运输卖方提供的所有合同设备应包装牢固，保证设备免受潮湿、生锈，雨淋和振动。包装应能够承受大批量搬运和装卸以及长距离空运、陆运运输。保证设备安全抵达用户现场而无损坏。设备包装应符合下述条件：——所有设备包装应便于装卸、转运和现场安装。——在运输和存储期间，设备的电气绝缘应防止受潮和灰尘进入。——对于那些受冲击和振动易于损坏的设备，应按要求用于运输的方法包装。——运输：从卖方到目的地的运输由卖方负责。目的地分别为指定的广东省内地点：——在设备到达目的地后，卖方组织、买方参加，开箱验收。如果发现任一设备有偏差、损坏、损失、遗漏或数量、质量、技术规范因卖方的责任与合同不符，买方有权向卖方提出索赔。安装调试和现场服务卖方应向买方提供现场设备的安装指导。由买方安排合适时间，由卖方负责派技术人员到买方现场作技术服务。卖方技术人员在现场除了应解答和解决由买方在合同范围内提出的问题外，还应详细解答图纸、设备性能及设备运行注意事项。培训卖方应向买方提供技术培训。培训目标：买方技术人员能够熟练掌握设备的安装、测试、维护和使用。培训在买方所在地实施，买方负责提供培训环境、培训设施。卖方应提供教员、课程大纲、技术文件、图纸、参考资料、培训手册等。文档文档范围卖方提供的文档应包括设备技术资料、维护手册、培训资料和用户手册等。卖方的责任卖方对其所提供的全部文档的准确性和完整性负责。所有由卖方提供的第三方供货方的技术手册的准确性也由卖方负责。卖方所有文档资料应提供电子版，并要求使用光碟存储。其它在买方订购设备到货后，卖方应立即准备以下文档各四份交给买方：——全部订购设备的型号、技术特点和性能参数清单——所有主要部件和连接电缆的材料规格——电气设备和设备的布置图和接线图——设备的尺寸、功耗说明保修要求产品质保期为五年。三年之内免费更换故障产品，五年之内免费维修，终身提供技术服务和维修（免人工费）。设备严重故障，厂家必须在48小时内派工程师到现场解决问题。设备一般故障，厂家利用远方诊断功能，在24小时内提出解决办法。技术条件应遵循的标准GB/T17964－2008 信息技术安全技术分组密码算法的工作模式GB/T4943-1995 信息技术设备（包括电气事务设备）的安全GB/T9813－2000 微型计算机通用规范GM/T0002-2012 SM4分组密码算法GM/T0003-2012 SM2椭圆曲线公钥密码算法GM/T0009-2012 SM2密码算法使用规范GM/T0010-2012 SM2密码算法加密签名消息语法规范GM/T0004-2012 SM3密码杂凑算法GM/T0005-2012 随机性检测规范GM/T0006-2012密码应用标识规范ISO9797-1 信息技术-安全机制-消息验证码JR/T0025 -2012 中国金融集成电路（IC）卡规范工作环境费控密码机的工作环境应符合GB/T9813－2000《微型计算机通用规范》中关于“气候环境适应性”的规定要求。环境参数工作环境温度0℃～60℃工作环境相对湿度5％～90％非凝结存储环境温度-20℃～60℃存储环境相对湿度5％～90％基本要求a）费控密码机的平均无故障工作时间应不低于30,000小时；b）费控密码机的最大并发数应大于2048。硬件要求3.4.1物理端口费控密码机尺寸规范为标准2U设备，应可放入19英寸标准机架，应至少包含以下端口：电源端口、密码服务以太网端口、管理以太网端口、管理串口、打印口、密钥销毁触发装置。 a）电源端口：用于给密码机供电，可选支持直流电和交流电； b）密码服务以太网端口：用于为应用提供密码运算服务，要与管理端口物理隔离，通过TCP协议发送报文指令； c）管理以太网端口：用于远程管理配置密码机，要与密码服务以太网端口物理隔离； d）管理串口：用于专用管理软件管理配置密码机； e）打印口：用于连接打印机； f）密钥销毁触发装置：用于人工销毁密码机内密钥，可以是按钮等形式； g）费控密码机还应具备密码机用安全介质接入端口。除了上述物理接口外，不得提供其他形态的物理接口。3.4.2状态指示器费控密码机应提供的工作状态指示器，至少包括： a）电源指示灯； b）状态指示灯。可以有多个状态指示灯，也可以有一个可显示不同颜色的指示灯；至少可以指示密码机正常工作、告警两种状态。3.4.3随机数发生器随机数产生器应采用国家密码管理局批准使用的多片多路物理噪声源芯片,产生的随机数满足GM/T0005-2012标准。费控密码机在判定随机数产生失效后，密码机不能对外提供任何安全服务。3.4.4硬件组成费控密码机裸机的硬件组成要求如下图所示：硬件部分主要由：主机平台、电网专用密码运算单元、前面板控制部件、网卡等组成。其中的主要部件如下：SJK1557PCI-E密码卡：提供各类密码算法（SM7除外）、保障设备主密钥的安全存储电网专用密码运算单元：提供SM7密码算法、保障设备主密钥的安全存储机箱：2U高性能工业级机箱，支持4个硬盘位主板：高性能INTELX10SLL+-F服务器主板CPU：INTELCORE2i3-4170,双核四线程，主频3.7GHz(LGA1150)内存：KINGSTONDDR13334G硬盘：2GSATADOM盘，SLC-2G电源：500WFSP500-702UC网卡：板载Intel82574L/82578DM双千兆网卡前面板控制部件：IC卡读卡器、指示灯、密钥销毁按钮、安全状态锁电网专用密码运算单元组成要求如下图所示：各框其主要功能为：PCI-E接口：主机通信物理接口，采用PCI-EGen2x4标准；SSX1702密码芯片：密钥管理芯片，通过8位总线接口与FPGA连接，并通过PIC-E接口与计算机通信，主要功能为：存储设备主密钥DMK分量1；接收DMK分量2，合成设备主密钥DMK并缓存；使用DMK分散各本地主密钥LMK;SSX1616(64片)：算法运算芯片，各自通过SPI接口与FPGA相连接，并通过PIC-E接口与计算机通信，主要功能为：接收LMK本地主密钥，并缓存；使用LMK解密应用密钥，获取应用密钥进行密码运算；SM7密码运算FPGA：采用intel公司的5CGTFD5C5F27C7N实现硬件多种接口和数据缓冲功能，主要包括：PCIExpress接口，与主机高速通信接口；DMA控制器：实现主机与密码模块高速通信控制；SSX1616#0-#63，共63个输入、输出数据缓冲，用于存储SM7算法的任务及结果；SSX1702输入、输出数据缓冲，用于存储KM的任务及结果；功能要求3.5.1初始化功能费控密码机应具备初始化功能，实现设备的原始状态到工作状态的转换。初始化操作应至少包括设置设备主密钥、制作开机安全介质、制作授权安全介质、制作备份安全介质、设置设备参数、设置授权。费控密码机的初始化，除必须由厂商进行的操作外，系统配置、密钥管理、管理员管理等关键安全操作均应由用户方设备管理人员完成，密码机应提供图形化界面专用管理软件。3.5.2密码运算费控密码机裸机应配用国家密码管理局认可的密码算法SM1、SM2、SM3、SM4、SM7。SM1算法加解密速率≥90MbpsSM2算法签名速率≥6000次/秒SM2算法验签速率≥4000次/秒SM3算法运算速率≥700MbpsSM4算法加解密速率≥700MbpsSM7算法加解密速率≥90Mbps对称密码算法费控密码机应配有SM1、SM4、SM7对称密码算法，SM1密码算法的实现使用国家密码管理局指定的密码算法芯片，SM4密码算法的实现遵循GM/T0002-2012。对称密码算法的工作模式应至少包括ECB、CBC、CFB和OFB四种模式。公钥密码算法费控密码机应配用SM2非对称密码算法，SM2密码算法的实现遵循GM/T0003-2012。密码杂凑算法费控密码机应配用SM3杂凑算法，SM3杂凑算法的实现遵循GM/T0004-2012。另外，SM2密码算法用于数字签名验签和计算消息认证码时，算法要求配用SM3杂凑算法，在SM2密码算法中使用的SM3杂凑算法的实现遵循GM/T0004-2012。3.5.3密钥管理基本要求费控密码机应具备完整的密钥管理机制，密钥保护涵盖密钥的产生、注入、导入/导出、备份/恢复、查询和销毁整个生命周期，费控密码机必须保证密钥在生存周期的各个环节的安全性。密钥安全风险是指业务系统中的各种主控密钥和应用密钥在分发、保存、使用中的泄露、篡改、非法替换的风险。费控密码机应提供密钥安全性的设计保障。安全性设计应有明确的密钥保护措施和方法来消除密钥安全风险。密码机应至少具有以下三类密码机用安全介质（IC卡、Key等）：开机安全介质、授权安全介质、备份安全介质。开机安全介质用于密码机开机过程合法性检查，密码机只有在具有开机安全介质的条件下才能正常开机工作，否则告警；授权安全介质用于更改密码机指令授权时使用，密码机只有在具有授权安全介质的条件下才能通过专有软件更改密码机指令授权情况；备份安全介质用于备份密码机内的密钥，包括密码机的设备主密钥和用户的应用密钥。费控密码机密钥管理功能由配套的专用管理软件实现，管理软件应具备以下功能：产生密钥。管理工具按照指定的参数生成密钥，并以安全的方法存储到安全介质中；导入密钥。管理工具通过外部安全介质导入密钥，并显示密钥检查值；注入密钥。通过管理工具注入密钥，并显示其检查值；备份密钥。通过密钥管理工具以安全的方法备份内部存储密钥到安全介质；恢复密钥。通过密钥管理工具以安全的方法将安全介质中备份的密钥恢复到密码机，恢复到密码机的密钥可被管理工具查询状态；同步密钥。通过备份介质安全的将密钥同步至另一台相同的设备；查询密钥。管理工具按照指定的查询参数查询密钥，显示密钥检查值；销毁密钥。管理工具按照指定的密钥销毁参数销毁密钥，如费控密码机提供硬件销毁方式，则通过销毁开关销毁密钥。密钥销毁后通过管理工具查询应显示密钥不存在。密钥自毁机制。如果密钥存储采用微电保护存储方式，密码机加电与不加电两种情况下，打开机箱密钥都必须能被自动销毁。密钥结构费控密码机采用二级密钥机制，分别为设备主密钥和应用密钥。设备主密钥生成不同的子密钥（LMK），用于保护应用密钥安全存储。密钥的存储应采用强安全措施，不能以明文方式出现在密码机外，其备份恢复遵循多段、多人方式，每段分人、分别保存的原则。应用密钥包括密钥交换密钥KEK、应用数据密钥ADK、数据加密密钥DEK三类。KEK用于保护其他应用密钥以完成密钥交换；ADK用于分散生成子密钥DEK、分散子密钥计算MAC等功能；DEK用于加密解密数据。费控密码机应提供安全机制防止密钥层级的混用，设备主密钥和应用密钥在逻辑上应分开保存；在使用过程中，设备应能校验安全服务请求消息中使用的密钥类型是否正确，例如：不能用数据加密密钥保护应用主密钥输出。密钥注入密钥注入是一种安全的密钥分发方式，如果设备主密钥和应用密钥由外部设备产生，应采用密钥注入的方式导入到密码机中。设备主密钥注入应支持备份安全介质注入方式和手工注入两种方式，应用密钥注入应支持备份安全介质注入方式、手工注入和随机生成三种方式。需备份安全介质注入的密钥应采用密钥分隔机制，由至少2名以上的管理人员持有密钥分量的备份安全介质，完成认证后，方可注入。备份安全介质注入应在专有管理软件中进行。需手工注入的明文形态密钥应采用密钥分隔机制，分段传输、保存和注入，不同的密钥组件应由不同授权管理员分开保存；在注入密钥时，至少由2名以上的管理人员在注入现场共同完成。手工注入应在专有管理软件中进行。通过密码机随机生成的密钥注入，密码机应使用多片随机数芯片产生，随机数芯片应使用国密局指定的多片多路物理噪声源芯片。随机数产生符合GM/T0005-2012随机性检测规范。密钥不允许以明文形态出现在密码机之外。密钥存储设备主密钥应在密码机安全芯片中安全存储，可在备份安全介质中分段存储，设备主密钥应在开机安全介质接入密码机后才能恢复使用。设备主密钥只能在系统备份时才能导出密码机，保存在备份安全介质中，备份应采用多段、多人方式，每段分人、分别保存的原则。应用密钥可以存储密码机索引内和加密存储在密码机外，当存储在密码机外时用设备主密钥加密保护。密码机密钥存储分为2048条应用对称密钥存储区、64对应用SM2密钥存储区、64个授权用SM2密钥存储区、64个证书存储区域（证书长度不小于2048Byte）。授权用SM2密钥出厂前由密码机厂商放置在授权用SM2密钥存储区，公钥通过可信渠道传递给用户，该区域对用户不可读不可写；证书存储区域用于存储用户证书。密码机中应用密钥存储区域（2048条应用对称密钥存储区和64对应用SM2密钥存储区）应与64个授权用SM2密钥存储区、64个证书存储区域相互物理隔离。任何的密钥管理操作均不涉及授权用SM2密钥存储区和证书存储区域，包括设备初始化、密钥清除、手动的密钥销毁等。密码机厂商应保证授权用SM2密钥存储区的存储安全，该区域内的SM2密钥不允许有读写权限，只可用于计算签名。密钥使用费控密码机应支持专钥专用的原则。每个密钥持有自身的属性：索引号、密钥类型、算法标识等。密钥类型决定该密钥可进行哪些类别的运算：加密数据、解密数据、分散密钥、保护其他密钥导入导出等，包括KEK、ADK、DEK等密钥类型；算法标识表明该密钥在运算时应采用的何种算法。密钥备份/恢复对长期保存的密钥，费控密码机应具备备份/恢复功能。长期保存的密钥包括设备主密钥和应用密钥。备份密钥应由密码机随机产生，备份密钥分量分段存储于备份安全介质中，然后再将需要备份的密钥以随机产生的备份密钥加密导出存储在其他备份安全介质中。备份遵循多段、多人方式，每段分人、分别保存的原则。备份的密钥可以恢复到费控密码机中，密钥恢复操作只能在费控密码机中进行。备份过程中，应能够指定密钥的索引号进行选择性备份；恢复过程中，应能够将密钥恢复到指定的索引号中存储。支持将一台密码机内的密钥安全同步到另一台密码机内。随机数生成费控密码机应采用多片多路硬件物理噪声源随机数芯片产生随机数，产生的随机数满足GM/T0005-2012标准。费控密码机在判定随机数产生失效后，密码机不能对外提供任何安全服务。密码算法参数配置费控密码机裸机应支持SM算法参数的配置，具体配置要求如下表：算法名称需配置的参数说明SM1AK国密默认：0000000000000000SM2UserID国密默认：1234567812345678签名运算中预处理时的缺省UserIDSM3UserID国密默认：1234567812345678计算SM2签名预处理时的缺省UserIDSM4FK控制轮密钥生成访问控制费控密码机应提供访问控制功能，防止非授权访问密码机引起的安全风险。访问控制包括密码机的管理、使用和业务等方面内容。3.8.1管理要求费控密码机的管理应提供图形化的专有软件进行管理，专有软件采用安全的方式与密码机连接，如采用信道加密的方法。密码机具备管理端口，管理端口与其他端口独立。管理端口是以太网口和串口。采用串口管理模式应在通过安全控制检查后，采用人机接触的方式进行管理；采用以太网口管理模式应具有可设置验证合法主机IP地址的功能，仅当口令认证通过后，方可进行管理工作。费控密码机工作状态至少有两种：1）指令权限开放状态，该状态下，所有指令均可以使用，可以进行密钥的生成、注入、更新、导出等操作；2）指令权限受限的状态，该状态下，部分指令无法使用，无法进行密钥的生成、注入、更新、导出等操作。附录是费控密码机指令集，里面标注了指令需要授权的情况。费控密码机指令权限开放状态和指令权限受限状态的转换应通过专有软件进行，转换过程中，应在授权安全介质（IC卡、Key等）接入的情况下进行。3.8.2使用要求费控密码机应采取措施防止非授权打开设备，打开费控密码机应有物理上的访问控制措施限制。无论在何种情况下设备被打开，设备应立即自动毁掉设备中存储的密钥（不包括64个授权用SM2密钥存储区，64个证书存储区域中的密钥和数据）。3.8.3业务要求设备管理操作和主机指令应用应在获取授权许可后方可使用，密码机支持严格灵活的授权管理控制：授权机制可配置支持1选1、3选2、5选3和无授权控制机制；授权控制机制应在设备初始化的过程中正确设置，完成设备初始化后不允许被修改。分类分时授权控制涉及授权控制的操作，通过授权安全介质验证后，可选择本次授权的操作类别及给予授权的时间；当某类操作授权的时效过期后，其授权许可将自动失效；费控密码机中的关键安全操作应在授权状态下进行，授权控制包含设备管理操作类和主机密码服务类：设备管理操作包括设备配置（包括IP地址、登陆口令等）、安全介质管理、密钥管理、日志管理等。主机密码服务指令权限设置等。设备管理在有远程集中管理需求时，费控密码机可具有设备远程集中管理功能，远程集中管理应提供专用的图形化设备管理客户端软件。3.9.1设备自检费控密码机应提供设备自检功能，设备自检包括密码算法正确性检查、随机数发生器检查、存储密钥和数据的完整性检查等，应符合国家密码管理局相关规范。3.9.2设备监控费控密码机设备管理客户端软件应具备查看设备运行状态的功能，包括设备主密钥是否正常、设备服务状态是否正常、支持的最大连接数、当前已使用的连接数、CPU利用率、内存利用率等。3.9.3日志审计费控密码机应具有日志功能，日志包含错误信息和业务信息，具体如下：管理操作行为，包括登录认证、系统配置、密钥管理等操作。异常事件，包括自检失败、认证失败、非法访问等异常事件的记录。用户可根据需要启用或关闭日志，可导出或清除日志内容。日志支持外发功能，密码机将接收处理的所有业务动作和操作结果发送到预先配置的用户系统的syslog服务器上，以供查询审计。安全性要求3.10.1密钥管理费控密码机在密钥管理方面，应满足以下要求：a)具有安全的密钥保护机制：密钥加密存储，断电情况下能长期保持，保持时间不短于10年；b)除公钥外，所有密钥均不能以明文形式出现在密码机外；c)内部存储的密钥应具备防止解剖、探测和非法读取密钥等保护机制；d)内部存储的密钥应具备防止非法使用和导出的权限控制机制；e)应具备防止不同类型密钥混用的措施。3.10.2系统要求所使用的操作系统，除满足密码机的服务和管理功能要求之外，其余功能应全部关闭或裁减。3.10.3使用要求费控密码机支持开机安全介质，一机一介质，不同设备间开机安全介质不能混用；费控密码机只接受合法的操作指令，非法指令应拒绝接受，防止非法用户利用非法指令返回返回码探测设备。3.10.4管理要求专有管理工具费控密码机提供专有图形化管理工具，至少具备设备参数管理、密钥管理、安全介质管理、设备诊断维护等功能。相关功能应在密码机授权状态下进行，管理工具的使用应经过密码机认证，如检查主机IP是否合法、访问口令等。设备初始化管理只有使用专有管理工具才能对密码机进行初始化操作。密码机初始化时，应自动清空内部所有存储的密钥（不包括64个授权用SM2密钥存储区，64个证书存储区域中的密钥和数据）。设备自检应对密码运算部件等关键部件进行正确性检查。应对硬件物理噪声源产生的随机数进行随机性检查。应对存储的密钥等敏感信息进行完整性检查。在检查不通过时应报警并停止工作。设备物理安全防护具备防拆防撬结构设计、面板物理锁、开盖密钥自毁等防护功能，保证设备基本的物理安全防护功能。除提到的物理端口外，不得提供任何其他形态的物理端口（如USB、IPMI网络等端口）。安全服务要求费控密码机通过密码服务