第一条  计算机信息系统安全应严格按照国家法律、法规和标准进行设计，要充分利用计算机网络系统的安全技术成果，推动计算机信息系统系统建设与安全技术水平的协调发展，保障计算机及其相关配套设备及运行环境的安全，最大程度地防范安全风险。

第二条  计算机信息系统安全设计应充分考虑信息安全所面临的内外部威胁，以提高计算机信息系统安全防范能力。 ① 同信息与教育技术中心定期（原则上一年不少于一次）开展计算机信息系统安全可靠性评估自查工作，不断提高安全防范水平。

第三条  计算机信息系统安全要防范以下非人为的安全威胁

（一）地震、水灾、火灾、风灾等自然灾难；

（二）系统、硬件、软件的设计漏洞、现实漏洞和配置漏洞等技术缺陷。

第四条  计算机信息系统安全应能防范以下人为的安全威胁

（一）内部人员安全威胁（包括恶意的和非恶意的两种）：恶意内部攻击包括恶意修改数据和安全机制配置参数、恶意建立未授权的网络连接、恶意的物理损坏和破坏等，非恶意威胁包括误操作、无意的数据损坏和破坏等；

（二）典型的被动攻击，包括监视通信数据、通信流量分析、截获口令、破译加密不善的通信数据等；

（三）典型的主动攻击，包括修改数据、重放所截获的数据、插入数据、盗取合法建立的会话、越权访问、利用缓存区溢出漏洞执行代码、插入和利用恶意代码、利用协议、软件、系统故障和后门等对信息系统进行攻击；

（四）典型的临近攻击，包括偷取磁盘后又还回、偷窥屏幕信息、收集作废的打印纸、物理毁坏通信线路、利用电磁辐射和泄露接收电磁信息等接近被攻击的网络、系统和设备等；

（五）典型的分发攻击，包括利用开发制造商的设备修改软硬件配置、在产品分发、安装时修改软硬件配置等在电子信息系统软件和硬件的开发、生产、运输和安装阶段，恶意修改设计、配置的行为；    

（六）经评估认定的其它人为安全威胁。    

第五条  计算机信息系统的设计、建造单位应有国家颁发的资质证书；所使用产品应符合安全质量标准和有关要求；参与设计、施工的人员应政治可靠，业务熟练（或经过培训），能够满足安全保护的要求，在施工过程中，要严把质量关，防止在施工过程中留下安全隐患。    

第六条 计算机信息系统建设单位与设计单位应共同成立小组，进行网络和业务分析，形成安全风险分析报告，并明确安全需求的重点；依据风险分析报告和重点安全需求，进行安全实施方案的设计。

第七条 安全产品的选型应遵循以下原则：合法性原则（密码产品／通用安全设备）；产品自身性能、功能先进的原则；与其他安全产品协同工作的原则；支持集中安全管理和监控的原则；满足需求并适当考虑发展需求的原则；选择产品更要选择厂家的原则。

第八条 计算机信息系统安全的建设应按国家有关规定实行监理制度，承担监理任务的单位应有相应的资质。