第一條  計算機信息系統(tǒng)安全應(yīng)嚴(yán)格按照國家法律、法規(guī)和標(biāo)準(zhǔn)進行設(shè)計，要充分利用計算機網(wǎng)絡(luò)系統(tǒng)的安全技術(shù)成果，推動計算機信息系統(tǒng)系統(tǒng)建設(shè)與安全技術(shù)水平的協(xié)調(diào)發(fā)展，保障計算機及其相關(guān)配套設(shè)備及運行環(huán)境的安全，最大程度地防范安全風(fēng)險。

第二條  計算機信息系統(tǒng)安全設(shè)計應(yīng)充分考慮信息安全所面臨的內(nèi)外部威脅，以提高計算機信息系統(tǒng)安全防范能力。 ① 同信息與教育技術(shù)中心定期（原則上一年不少于一次）開展計算機信息系統(tǒng)安全可靠性評估自查工作，不斷提高安全防范水平。

第三條  計算機信息系統(tǒng)安全要防范以下非人為的安全威脅

（一）地震、水災(zāi)、火災(zāi)、風(fēng)災(zāi)等自然災(zāi)難；

（二）系統(tǒng)、硬件、軟件的設(shè)計漏洞、現(xiàn)實漏洞和配置漏洞等技術(shù)缺陷。

第四條  計算機信息系統(tǒng)安全應(yīng)能防范以下人為的安全威脅

（一）內(nèi)部人員安全威脅（包括惡意的和非惡意的兩種）：惡意內(nèi)部攻擊包括惡意修改數(shù)據(jù)和安全機制配置參數(shù)、惡意建立未授權(quán)的網(wǎng)絡(luò)連接、惡意的物理損壞和破壞等，非惡意威脅包括誤操作、無意的數(shù)據(jù)損壞和破壞等；

（二）典型的被動攻擊，包括監(jiān)視通信數(shù)據(jù)、通信流量分析、截獲口令、破譯加密不善的通信數(shù)據(jù)等；

（三）典型的主動攻擊，包括修改數(shù)據(jù)、重放所截獲的數(shù)據(jù)、插入數(shù)據(jù)、盜取合法建立的會話、越權(quán)訪問、利用緩存區(qū)溢出漏洞執(zhí)行代碼、插入和利用惡意代碼、利用協(xié)議、軟件、系統(tǒng)故障和后門等對信息系統(tǒng)進行攻擊；

（四）典型的臨近攻擊，包括偷取磁盤后又還回、偷窺屏幕信息、收集作廢的打印紙、物理毀壞通信線路、利用電磁輻射和泄露接收電磁信息等接近被攻擊的網(wǎng)絡(luò)、系統(tǒng)和設(shè)備等；

（五）典型的分發(fā)攻擊，包括利用開發(fā)制造商的設(shè)備修改軟硬件配置、在產(chǎn)品分發(fā)、安裝時修改軟硬件配置等在電子信息系統(tǒng)軟件和硬件的開發(fā)、生產(chǎn)、運輸和安裝階段，惡意修改設(shè)計、配置的行為；    

（六）經(jīng)評估認(rèn)定的其它人為安全威脅。    

第五條  計算機信息系統(tǒng)的設(shè)計、建造單位應(yīng)有國家頒發(fā)的資質(zhì)證書；所使用產(chǎn)品應(yīng)符合安全質(zhì)量標(biāo)準(zhǔn)和有關(guān)要求；參與設(shè)計、施工的人員應(yīng)政治可靠，業(yè)務(wù)熟練（或經(jīng)過培訓(xùn)），能夠滿足安全保護的要求，在施工過程中，要嚴(yán)把質(zhì)量關(guān)，防止在施工過程中留下安全隱患。    

第六條 計算機信息系統(tǒng)建設(shè)單位與設(shè)計單位應(yīng)共同成立小組，進行網(wǎng)絡(luò)和業(yè)務(wù)分析，形成安全風(fēng)險分析報告，并明確安全需求的重點；依據(jù)風(fēng)險分析報告和重點安全需求，進行安全實施方案的設(shè)計。

第七條 安全產(chǎn)品的選型應(yīng)遵循以下原則：合法性原則（密碼產(chǎn)品／通用安全設(shè)備）；產(chǎn)品自身性能、功能先進的原則；與其他安全產(chǎn)品協(xié)同工作的原則；支持集中安全管理和監(jiān)控的原則；滿足需求并適當(dāng)考慮發(fā)展需求的原則；選擇產(chǎn)品更要選擇廠家的原則。

第八條 計算機信息系統(tǒng)安全的建設(shè)應(yīng)按國家有關(guān)規(guī)定實行監(jiān)理制度，承擔(dān)監(jiān)理任務(wù)的單位應(yīng)有相應(yīng)的資質(zhì)。