加密密钥存储，管理和保护的安全最佳实践对于保护无论位于何处的宝贵数据都至关重要，但是要实现组织以及监管机构和审计机构的安全要求，可能是一个挑战。您想知道多少次才能达到法规遵从性？还是您对FIPS、eIDAS、通用标准（CC）、GDPR和HIPAA等法规或PCI-DSS等标准的复杂要求感到迷失了多少次？

硬件安全模块（HSM）是专用于加密密钥生命周期的保护和完整性的专用加密处理器，并且是要求符合FIPS的应用程序的关键组件。它们充当信任锚，通过在加固的防篡改设备中安全地管理，处理和存储加密密钥来保护加密基础结构。作为企业保护数据并帮助满足法规遵从性要求的组成部分，它们提供了可扩展的基础结构层，以支持越来越多的需要使用加密技术来提供安全性的应用程序。

什么是FIPS 140-2 Level 3 认证？

FIPS 140-2（联邦信息处理标准）是美国政府的计算机安全标准，用于批准包括硬件和软件组件的密码模块。它由美国国家标准技术研究院（NIST）发布，规定了密码模块将满足的安全要求，并提供了四个递增的定性级别，旨在涵盖广泛的潜在应用程序和环境。FIPS 140-2概述了在设计和实现过程中必须考虑的加密领域，例如物理安全性，角色，端口和接口，密钥管理和加密模块规范。

FIPS 140-2 Level 3尝试阻止入侵者访问密码模块中保存的关键安全参数（CSP）。CSP是诸如秘密和私有密码密钥之类的信息，以及诸如密码和PIN之类的身份验证数据，其公开或修改可能会损害密码模块的安全性。安全级别3所需的物理安全机制旨在具有很高的可能性，可以检测和响应对密码模块进行物理访问，使用或修改的尝试。

FIPS 140-2 Level 3验证的Luna HSM

Thales Luna HSM通过始终将加密密钥存储在硬件中来提供最高级别的安全性。与市场上的替代解决方案不同，Luna HSM提供了高度保证的安全加密基础，因为密钥永远不会离开经过防入侵，经过FIPS 140-2验证的设备。由于所有加密操作都在HSM中发生，因此强大的访问控制可防止未经授权的用户访问敏感的加密材料。Luna HSM与云无关，并且被Microsoft，IBM和AWS广泛使用，提供“可租用” HSM服务，专用于位于云中的单租户设备满足客户密码存储和处理需求。

Luna HSM ——FIPS 140安全功能

诸如Luna HSM之类的加密模块已通过认证，符合FIPS 140-2 Level 3的要求，其特性旨在保留加密模块和模块中存储的CSP的机密性，完整性和可用性。除了满足满足FIPS认证的严格要求外，客户还可以从Luna HSM提供的以下安全功能中受益：

1. 硬件中的密钥——通过Thales的硬件密钥方法，确保您的密钥不受破坏，并从物理和逻辑保护中受益，始终将您的高价值密钥存储在高安全性的保管库中；
   

2. 创建审核跟踪，并通过安全的审核日志记录来始终证明您知道密钥的下落；

3. 使用多因素身份验证（MFA）（例如MofN）将身份验证密钥分为多个部分，以便必须存在多个监督者才能初始化HSM。

4. 坚固的外壳和篡改检测/响应电路，可在打开加密模块的可移动盖板/门时将所有纯文本CSP归零；

5. 永久禁止访问HSM中包含的内容，并通过直接停用HSM而无需串行控制台或远程SSH连接，确保删除所有分区及其内容（包括审核角色和审核配置）；和，

6. 使用Luna Backup HSM运行FIPS认证的硬件到硬件备份和还原，或者使用按需数据保护在云中运行。

Luna HSM NIST FIPS 140-2 Level 3认证

根据NIST＃3205证书，“ SafeNet Luna K7加密模块是一种高安全性，防篡改的硬件安全模块，可通过存储，保护和管理加密密钥来保护敏感数据和关键应用程序。它为最终用户提供了业界领先的安全性和性能，并且可以快速地直接嵌入到安全设备中，以实现FIPS 140-2验证的密钥安全性。该模块满足了HIPAA、PCI-DSS、eIDAS和GDPR的合规性和审计需求。”

用于Luna HSM的最新固件版本7.3.3已通过NIST认证为FIPS 140-2 Level 3，可以从Thales支持门户网站下载（Luna Network HSM 7 | Luna PCIe HSM 7）。此外，Thales还提供了FIPS 140-2 Level 3认证的Cloud HSM服务，即按需数据保护。

Thales HSM可以帮助

保护FIPS 140-2加密模块中的加密密钥对于维护高价值数据的机密性和完整性是必要的。通过确保您的固件和策略兼容并受Luna HSM硬件信任根保护，可以避免巨额罚款。

请与我们联系，以确定我们如何帮助您实现PKI、代码签名、证书和文档签名、数字签名、SSL / TLS、云、数据库加密等等的合规性，并通过各种尺寸形式满足您的需求，包括网络型、PCIe卡、USB连接和基于云的HSM。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• 勒索软件制裁：有什么影响？

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• Thales提前完成收购Imperva交易