《安全技术要求》指定了密码模块应该满足的安全需求，涵盖了密码模块安全设计和实现的 11 个领域，包括：密码模块的规格说明；密码模块端口和接口；角色、服务和认证；软件 / 固件安全；运行环境；物理安全；非入侵安全；敏感安全参数管理；自测试；生命周期保障和其它攻击的缓解。按防护能力从弱到强定义了四个级别，每个领域在特定的安全级别上分别开展评估，综合后形成密码模块达到的安全等级。

安全一级。基础级，阐明了密码模块的基本安全要求。在安全一级密码模块设计时，“软件 / 固件安全”、“非入侵安全”和“自测试”等 3 个安全域需要着重考虑，其他域的安全要求相对容易满足。安全一级密码模块不要求具有物理安全防护能力，可用于保护价值较低的数据。因此，安全一级密码模块的使用场景是已经配置了物理安全、网络安全以及管理过程等控制措施的运行环境。

安全二级。在安全一级的基础上增加了拆卸证据、基于角色鉴别的功能。硬件密码模块的拆卸证据可使用拆卸存迹的涂层或封条，或者在封盖或门上加防撬锁等手段以提供拆卸证据。角色鉴别要求密码模块鉴别并验证操作员的角色，以确定其是否有权执行对应的服务。软件密码模块能够达到的最大整体安全等级为安全二级。安全二级密码模块可以抵抗使用简单工具的主动攻击，但其安全应当由操作员负责。在无保护运行环境下，安全二级密码模块只能用于保护价值一般的数据。尤其应当注意，为保证数据信息安全，必要时应对安全二级软件密码模块的运行环境设置有效安全防护措施。

安全三级。在安全二级的基础上，增强了物理安全、身份鉴别、环境保护、非入侵式攻击缓解、敏感参数管理等安全机制。安全三级密码模块能够检测并防护直接访问和探测的物理攻击，能有效保护明文关键安全参数或密钥分量的输入和输出，当密码模块的封盖 / 门被打开时，可以提供主动防护的功能；执行服务时会验证操作员的身份和权限；能够有效防止电压、温度等环境异常对模块安全性的破坏；具备非入侵式攻击缓解技术的有效性证据和测试方法；安全三级密码模块可以抵抗使用简单工具的中等强度攻击，在无保护运行环境下，安全三级密码模块可用于保护价值较高的数据。

安全四级。安全四级是标准中的最高安全等级。该等级包括安全一级、安全二级、安全三级中所有的安全特性，并增加了一些扩展特性。安全四级的密码模块提供完整的封套保护，无论外部电源是否供电，都能够检测并响应所有非授权的物理访问，从任何方向穿透密码模块的外壳都会以很高的概率被检测到，并立刻置零所有未受保护的敏感安全参数；支持多因素身份鉴别，至少包括“已知某物、拥有某物、物理属性”中的两个；还要实现规定的非入侵式攻击的缓解方法。安全四级密码模块可以抵抗使用特制工具的高强度长时间攻击。在无保护运行环境下，安全四级密码模块可用于保护价值高的数据。