中企航CISP培训笔记(3)

CISP培训笔记信息安全保障1、中办27号⽂《国家信息化领导⼩组关于加强信息安全保障⼯作的意见》室信息安全保障⼯作的纲领性⽂件2、信息的安全属性CIA：保密性、完整性、可⽤性3、信息安全的范畴：信息技术问题、组织管理问题，社会问题，国家安全问题4、信息安全特征：系统性、动态性，⽆边界性、⾮传统性（最终保障业务的安全）5、信息安全问题根源：（信息战⼠和⽹络战⼠是最严重的）内因，过程复杂、结构复杂、应⽤复杂外因，⼈（个⼈威胁、组织威胁、国家威胁）和⾃然6、信息安全发展阶段通信安全COMSEC，信息窃取，加密，保证保密性、完整性计算机安全COMPUSEC，操作系统技术信息系统安全INFOSEC，防⽕墙、VPN 、PKI公钥基础设施、信息安全保障IA，技术、管理、⼈员培训等⽹络空间安全/信息安全保障CS/IA，防御、攻击、利⽤，强调威慑7、传统信息安全的重点是保护和防御；信息安全保障是保护、检测和响应，攻击后的修复8、信息安全保障模型PDR 防护--检测--响应，安防措施是基于时间的，给出攻防时间表，假设了隐患和措施，不适应变化，时间PPDR 策略--防护--检测--响应，突出控制和对抗，强调系统安全的动态性9、信息安全保障技术框架IATF，深度防御的思想，层次化保护，⼈、技术、操作，关注4个领域：本地的计算机环境区域边界⽹络和基础设施⽀撑性技术设施10、信息系统：每⼀个资质中信息流动的总和，含输⼊输出、存储、控制、处理等。

11、信息系统安全保障，从技术、管理、⼯程、⼈员⽅⾯提出保障要求12、信息系统安全保障模型 GB/T 20274保障要素4：技术、管理、⼯程、⼈员⽣命周期5：规划组织、开发采购、实施交付、运⾏维护、废弃安全特征3：保密性、完整性、可⽤性13、信息系统安全保障⼯作阶段确保信息安全需求、设计并实施信息安全⽅案、信息安全测评、检测与维护信息安全14、我国信息安全保障体系建⽴信息安全技术体系，实现国家信息化发展的⾃主可控信息安全保障实践1、现状美国CNNI《国家⽹络安全综合倡议》，3道防线1、减少漏洞和隐患，预防⼊侵2、全⾯应对各类威胁，增强反应能⼒，加强供应链安全低于各种威胁3、强化未来安全环境，增强研究、开发和教育，投资先进技术2、我国的信息安全保障战略规划，信息安全分：基础信息⽹络安全、重要信息系统安全和信息内容安全3、信息安全保障⼯作⽅法，信息系统保护轮廓ISPP（所有者⾓度考虑安保需求），信息系统安全⽬标ISST，从建设⽅制定保障⽅案4、确定信息系统安全保障的具体需求：法规符合性、风险评估、业务需求（只放前2个也对）5、信息安全测评对象：信息产品安全测评、信息系统安全测评、服务商资质、信息安全⼈员资质测评6、信息系统安全测评标准过程测评标准： GB/T 20274产品安全测评标准：CC GB/T 18336信息安全管理体系ISMS1、ISMS信息安全管理体系，按照ISO 27001定义，基于业务风险的⽅法2、信息安全管理体系建设规划与建⽴、实施和运⾏、监视和评审、保持和改进3、ISMS的层次化⽂档结构⼀级⽂件，顶层⽂件，⽅针、⼿册⼆级⽂件，信息安全管控程序、管理规定性⽂件，管理制度、程序、策略⽂件三级⽂件，操作指南、作业指导书、操作规范、实施标准等四级⽂件，各种记录表单，计划、表格、报告、⽇志⽂件等4、ISMS⽅法：风险管理⽅法、过程⽅法5、风险管理⽅法风险评估是信息安全管理的基础，风险处理时信息安全管理的核⼼，风险管理是信息安全管理的根本⽅法，控制措施是风险管控的具体⼿段6、控制措施的类别从⼿段来看，分为技术性、管理性、物理性、法律性等控制措施从功能来看，分为预防性、检测性、纠正性、威慑性等控制措施从影响范围来看，常被分为安全⽅针、信息安全组织、资产管理、⼈⼒资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个类别/域7、PDCA循环，戴明环特点：按顺序进⾏，组织每部分及个体也可使⽤，适⽤任何活动8、ISO/IEC 27000标准族共7个27001 信息安全管理体系要求，14个领域，新版的变动27002 信息安全控制措施实⽤规则，11个控制类，内容安全和风险评估不属于27004 信息安全管理测量，度量指标9、常见的管理体系标准ISO 27001定义的信息安全管理系统ISMS , 国际标准信息安全等级保护，公安部提出NIST SP800 ，适⽤美国联邦政府和组织10、管理者是实施ISMS的最关键因素11、ISMS建设P阶段 8步：确⽴边界和⽅针1-2、风险评估3-6、获得⾼层认可，编制适⽤性声明7-8D阶段 7步：制定风险处理计划，实施培训和教育计划C阶段 5步：审计和检查A阶段 2步：实施纠正和预防，沟通和改进信息安全控制措施1、安全⽅针是陈述管理者的管理意图，⾼层承诺，是⼀级⽂件，具体的产品选型，技术实现问题不在⽅针中体现2、信息安全组织：内部组织、外部各⽅3、资产管理：资产负责和信息分类，信息分类按照信息的价值、法律要求、对组织的敏感程度进⾏分类4、员⼯只要违反了规定，不论是否知悉，就要接受处罚5、符合性符合法律要求、符合安全策略和标准及技术符合性、信息系统审核考虑6、任⽤的终⽌：终⽌职责、资产的归还、撤销访问权7、⼈⾝安全是物理安全⾸要考虑的问题8、TEMPEST 抑制和防⽌电磁泄露9、机房建设，下送风，上排风10、备份是为了保证完整性和可⽤性11、电⼦商务服务，抗抵赖12、⽇志，管路员读权限；系统员，写权限13、信息安全管理⼿册是⼀级⽂件，SOA适⽤性声明是⼀级⽂件，信息安全策略是⼀级⽂件，不描述具体操作的都是⼆级⽂件14、⽹闸，多功能安全⽹关，实现⽹络物理隔离15、测试数据不需备份；⽣产数据不能做测试，脱敏处理才可以；测试完成后对平台和数据彻底清除16、程序源代码需访问控制，不得随意更改17、不⿎励对商⽤软件包进⾏变更，除⾮获得⼚⽅的合法⽀持；不包括开源，外包软件开发：源代码托管，第三⽅管理，不得使⽤，为了防⽌开发⽅倒闭信息安全标准化1、国际标准、国家标准、⾏业标准、地⽅标准2、标准化特点：对象是共同的、可重复的实物；动态性；相对性；效益来⾃标准使⽤3、标准化原则：简化原则、统⼀化、通⽤化、系列化4、国家标准代码，GB/Z在实施后3年内必须进⾏复审，结果为延长3年或废⽌GB 强制性国家标准GB/T 推荐性国家标准GB/Z 国家标准化指导性技术⽂件5、ISO的机构包括TC技术委员会、SC分技术委员会、WG⼯作组、特别⼯作组6、IEC 国际电⼯委员会，和ISO成⽴JCT1联合技术委员会7、ISO/IEC JCT1 SC27（分技术委员会），下设5个⼯作组，对⼝中国TC260（CISTC，信息安全标准化TC）。

CISP知识点范文CISP（Certified Information Security Professional）是国际上最具权威性和广泛性的信息安全管理认证机构之一、通过CISP认证，标志着持有者具备了信息安全领域的专业知识和技能，能够有效地管理和防范信息安全风险。

下面将从CISP认证的背景、知识点以及认证的价值等方面进行详细介绍。

一、CISP认证的背景随着信息技术的高速发展，信息安全越来越受到人们的关注。

各类安全威胁和攻击也变得日益复杂和隐蔽。

为了提高企业和组织的信息安全能力，减少信息泄露和数据丢失的风险，促进信息安全管理的标准化和规范化，CISP认证应运而生。

二、CISP认证的知识点CISP认证主要包括以下知识点：1.信息系统安全管理概念和原则：介绍信息安全管理的基本概念，包括安全架构、策略和风险管理等。

理解信息风险的评估和管理，掌握保密性、完整性和可用性等信息安全的核心原则。

3.信息安全风险管理：掌握风险管理的概念和方法，包括定性和定量的风险评估，制定风险处理策略和计划，了解风险管理工具和技术。

4.信息安全控制措施：学习各类信息安全控制措施的原理和应用，包括物理安全、逻辑安全、访问控制和身份认证等。

熟悉常见的安全技术和安全产品，了解加密和解密的原理以及应用。

5.业务连续性和灾难恢复：理解业务连续性和灾难恢复的概念，学习制定业务连续性和灾难恢复计划的方法和步骤，了解常见的灾难恢复技术和措施。

6.法律、合规和财务方面的安全要求：了解信息安全与法律、合规和财务方面的关联，掌握相关法律法规和合规要求，了解信息安全对财务管理的影响。

7.信息安全教育和培训：学习信息安全教育和培训的原则和方法，了解如何设计和实施企业内部的安全培训和意识提升活动。

三、CISP认证的价值1.证明专业知识和技能：持有CISP认证可以证明个人在信息安全领域具备专业的知识和技能，对企业和组织的信息安全管理具有实际价值。

2.提升职业竞争力：CISP认证是信息安全领域的国际认可标准，可以为个人的职业发展提供有力的支持和保障，提升在职场上的竞争力。

CISP模拟练习题（3）一、模型和保障体系●信息安全保障体系●信息安全模型●信息安全测评认证1、以下哪些模型可以用来保护分级信息的##性？A Biba模型和Bell－Lapadula模型；B Bell－Lapadula模型和信息流模型；C Bell－Lapadula模型和Clark－Wilson模型；D Clark－Wilson模型和信息流模型答案：B参考：《理论和技术》P41-56多级安全模型：Bell－Lapadula模型（##性），Clark－Wilson模型（完整性），Biba 模型（完整性）多边安全模型：Chinese Wall模型，BMA模型##性模型：1、信息流模型（非干扰性，非观察性）；2、访问控制模型：MAC强制（BLP，Chinese Wall），DAC自主，RBAC基于角色的访问控制完整性模型：Clark－Wilson模型，Biba模型2、在以下哪种安全模型中，系统的访问至少在最高层是安全的？A 多级安全模型；B Dedicated安全模型；C partmented安全模型；D 受控模型答案：C3、给计算机系统的资产分配的记号被称为什么？A安全属性；B安全特征；C安全标记；D 安全级别答案：C 参考：《标准和法规》P85，安全标签，敏感性标签，敏感性标记4、BMA模型是基于?A.B.C.D.答案：5、在参考监视器概念中，一个参考监视器不需要符合以下哪个设计要求？A 必须是TAMPERPROOFB 必须足够大C 必须足够小D 必须总在其中答案：B参考：《标准和法规》P86CC（15408-3）A reference monitor is an abstract machine that enforces the access control policies of a TOE. A reference validation mechanism is an implementation of the reference monitor concept that possesses the following properties: tamperproof, always invoked, and simple enough to be subjected to thorough analysis and testing. The TSF may consist of a reference validation mechanism and/or other security functions necessary for the operation of the TOE.二、标准和法律法规●信息安全标准●信息安全法律法规6、ITSEC标准不包括以下哪方面内容？A 功能要求；B 通用框架要求；C 保证要求；D 特定系统的安全要求答案：B参考：《标准和法规》P166，D是指“安全目标”7、CTCPEC标准中，安全功能要求包括以下哪方面内容？A ##性要求；B 完整性要求；C 保证要求；D 可用性要求；E 可控性要求答案：A、B、D、E参考：《标准和法规》P1668、“保护轮廓”最早出现于哪一个标准？A 国际标准ISO/IEC 15408；B 美国FC标准；C 可信计算机系统评估准则TCSEC；D 信息技术安全性评估准则ITSECE 通用评估准则CC2.0答案：B参考：《标准和法规》P1669、桔皮书主要强调了信息的哪个属性？A完整性B##性C可用性D有效性答案：B10、ITSEC的功能要求不包括以下哪方面内容？A##性B完整性C可用性D有效性答案：D11、我国标准分为几级？A.3级B.4级C.5级D.6级答案：B 参考：《标准和法规》P30：国家标准，行业标准，地方标准，企业标准12、下面哪一个是国家推荐性标准？A.GB/T 18020-1999 应用级防火墙安全技术要求B.SJ/T 30003-93 电子计算机机房施工及验收规XC.GA 243-2000 计算机病毒防治产品评级准则D.ISO/IEC 15408-1999 信息技术安全性评估准则答案：A13、标准采用中的“idt”指的是？A 等效采用B 等同采用C 修改采用D 非等效采用答案：B参考：《标准和法规》P19：i d t等同，M O D修改，N E Q非等效14、著名的TCSEC是由下面哪个组织制定的？AISOBIECCITSECD 美国国防部答案：D15、TCP/IP协议的4层概念模型是？A. 应用层、传输层、网络层和网络接口层B. 应用层、传输层、网络层和物理层C. 应用层、数据链路层、网络层和网络接口层D. 会话层、数据链路层、网络层和网络接口层答案：A参考：《理论和技术》P75，《标准和法规》P4016、CC标准主要包括哪几个部分？A. 简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南；B. 简介和一般模型、安全功能要求、安全保证要求C. 通用评估方法、安全功能要求、安全保证要求D. 简介和一般模型、安全要求、PP和ST产生指南答案：B17、CC中安全功能/保证要求的三层结构是（按照由大到小的顺序）？A. 类、子类、元素B. 组件、子类、元素C. 类、子类、组件D. 子类、组件、元素答案：C18、CC中的评估保证级（EAL）分为多少级？A.6级B.7级C.5级D.4级答案：B19、CC中的评估保证级4级（EAL4）对应TCSEC和ITSEC的哪个级别？A. 对应TCSEC B1级，对应ITSEC E4级B. 对应TCSEC C2级，对应ITSEC E4级C. 对应TCSEC B1级，对应ITSEC E3级D. 对应TCSEC C2级，对应ITSEC E3级答案：C参考：《标准和法规》P167，P186：注意规律，先对应I T S E CE A L2：C1；E1E A L3：C2；E2E A L4：B1；E3E A L5：B2；E4E A L6：B3；E5E A L7：A1；E620、PP中的安全需求不包括下面哪一个？（安全环境）A. 有关环境的假设B. 对资产的威胁C. 组织安全策略D.IT保证安全要求答案：D21、中国信息安全产品测评认证中心的四项业务是什么？A. 产品测评认证；B. 信息系统安全测评认证；C.信息系统安全服务资质认证；D. 注册信息安全专业人员资质认证答案：ABCD22、信息技术安全标准化组织有哪些？A. ISO/IECB. ITU答案：AB参考：《标准和法规》P7 ，P8，P16国际标准化组织：ISO（国际标准化组织）和IEC（国际电工委员会）ISO－International Organization for Standardization（成立于1947年）IEC－International Electricity mitteeISO/IEC JTC1：负责信息技术领域的国际标准的制定ISO/IEC JTC1/SC27：专门从事通用信息技术安全技术和安全机制的标准的制定ISO/IEC JTC1/SC6，SC17，SC18，SC21，SC22，SC30等6个分技术委员会：分别承担一部分信息技术安全标准的制定ISO/TC68：负责行业应用信息安全标准的制定ITU-T国际电信联盟的电信标准化部门，单独或与ISO/IEC联合制定标准其他：ISO/TC 176：质量管理和质量保证技术委员会制定了ISO 9000族标准23、我国的推荐性国家标准的写法是什么？A. GB/TB.C.D.答案：A24、我国的强制性国家标准的写法？A. GBB.C.D.答案：A25、CC 2.0对应的国际标准是什么？A. ISO/IEC 15408-1999B.C.D.答案：A26、CC 2.0对应的国家标准是什么？A.GB/T 18336-2001B.C.D.答案：A27、关于PP，哪一个论述是正确的？A. 是针对一类产品或系统，为既定的一系列安全对象提出功能和保证要求的完备集合，可复用集合，是对各种应用的抽象。

CISP培训鉴别与访问控制培训CISP（Certified Information Security Professional）培训是针对信息安全专业人员的培训课程，旨在提高他们的鉴别与访问控制能力。

本文将介绍CISP培训的重要性、培训内容以及培训后能够提供的实际价值。

信息安全是当今社会不可忽视的重要领域，每个组织和个人都面临着各种各样的安全威胁。

鉴别与访问控制是信息安全的基础，它们涉及到确定用户身份、授权访问和验证用户权限等重要任务。

因此，为了保护机构的信息资产免受未经授权的访问和滥用，培训专业人员成为合格的CISP变得至关重要。

CISP培训内容广泛且实用，包括但不限于以下方面：1. 鉴别技术：CISP培训将覆盖各种鉴别技术，如身份识别、密码验证、生物识别等。

培训将介绍各种鉴别技术的原理、应用场景和最佳实践，以帮助学员了解不同技术的优缺点，并在实际环境中正确应用它们。

2. 访问控制模型：培训将介绍不同的访问控制模型，如基于角色的访问控制（RBAC）、强制访问控制（MAC）和可选访问控制（DAC）等，以帮助学员了解不同模型的功能和适用性。

此外，培训还将强调访问控制策略设计和实施的重要性。

3. 认证和授权：培训将介绍认证和授权的概念、原理和实践。

学员将学习如何设计和实施一个有效的认证和授权机制，并掌握不同的身份验证和授权技术。

4. 安全策略和流程：培训还将介绍如何制定和实施信息安全策略和流程。

学员将学习如何评估组织的安全需求，制定适当的安全策略，并建立一套有效的安全流程来确保信息资产的安全性。

CISP培训的受益者不仅局限于信息安全从业人员，也包括企业管理层和技术人员。

培训后，学员将具备以下能力：1. 提高信息安全意识：CISP培训将帮助学员了解不同类型的安全威胁和风险，并提供相应的应对策略。

这将帮助他们更好地了解和应对信息安全挑战。

2. 加强鉴别与访问控制技能：培训将提供实际操作和案例研究，让学员能够有效地应用所学的技能于实际工作中。

Cisp笔记一、信息安全标准●我国标准分为：国家标准、行业标准、地方标准、企业标准。

●国际通行“标准化七原理”➢原理1---简化➢原理2---协商一致➢原理3---实践、运用➢原理4---选择、固定➢原理5---修订➢原理6---技术要求+试验方法+抽样➢原理7---强制性适应于：安全、健康、环保等●我国通行“标准化八字原理”➢“统一”原理➢“简化”原理➢“协调”原理➢“最优”化原理●IETF（170多个RFC、12个工作组）●关键的概念：➢评估对象—— TOE(Target of Evaluation)➢保护轮廓——PP (Protection Profile）➢安全目标——ST( Security Target）➢功能(Function)➢保证(Assurance)➢组件(Component)➢包(Package)➢评估保证级——EAL( Evaluation Assurance Level）●评估保证级➢EAL1—功能测试➢EAL2—结构测试➢EAL3—系统地测试和检查➢EAL4—系统地设计、测试和复查➢EAL5—半形式化设计和测试（无隐蔽通道）➢EAL6—半形式化验证的设计和测试➢EAL7—形式化验证的设计和测试二、物理安全1、机房等级：➢A类：对计算机机房的安全有严格的要求，有完善的计算机机房安全措施。

该类机房放置需要最高安全性和可靠性的系统和设备。

➢B类：对计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施。

它的安全性介于A类和C类之间。

➢C类：对计算机机房的安全有基本的要求，有基本的计算机机房安全措施。

该类机房存放只需要最低限度的安全性和可靠性的一般性系统。

2、机房地板类型➢复合地板（机房采用）➢木制地板➢金属底板3、人员安全管理➢背景调查➢入职审查及面试➢离职前谈话三、windows安全1、Windows系统的安全架构（6个安全要素）➢Audit（审计）➢Administration（管理）➢Encryption（加密）➢Access Control（访问控制）➢User Authentication（用户认证）➢Corporate Security Policy（公共安全策略）2、Windows系统的安全组件➢访问控制的判断（Discretion access control）按照C2级别的定义，Windows 支持对象的访问控制的判断。

CISP信息安全技术章节练习三一、单选题。

(共100题,共100分,每题1分)1. 以下关于软件安全测试说法正确的是？a、软件安全测试就是黑盒测试b、Fuzz测试是经常采用的安全测试方法之一c、软件安全测试关注的是软件的功能d、软件安全测试可以发现软件中产生的所有安全问题最佳答案是:b2. 以下对于远程用户拨号认证系统（RADIUS)协议说法正确的是：a、它是一种B/S结构的协议b、它是一项通用的认证计费协议c、它使用TCP通信d、它的基本组件包括认证、授权和加密最佳答案是:b3. 以下哪一项不是BLP模型的主要任务：a、定义使系统获得“安全”的状态集合b、检查所有状态的变化均始于一个“安全状态”并终止于另一个“安全状态”c、检查系统的初始状态是否为“安全状态”d、选择系统的终止状态最佳答案是:c4. 在业务持续性方面，如果要求不能丢失数据，则：a、RTO为0b、RPO为0c、TRO和RPO都为0d、和TRO、RPO没有关系最佳答案是:b5. 在风险处置过程中，应当考虑的风险处置措施，通常在哪种情况下采用？a、负面影响损失小于安全投入b、负面影响损失和安全投入持平c、负面影响损失和安全投入都很小d、安全投入小于面影响损失最佳答案是:d6. 信息安全风险模型阐述了所有者，资产、脆弱性，漏洞、安全措施之间的关系，以下关于信息安全风险模型说法错误的是：a、资产价值由使用者确定b、提高脆弱性会提高安全风险c、降低安全威胁会降低安全风险d、提高安全措施会降低安全风险最佳答案是:a7. ISMS所要求的文件应予以保护和控制，应编制形成文件控制程序，系列哪项不是该程序所规定的管理措施？a、确保文件的更改和现行修订状态得到标识b、防止作废文件的非预期使用c、确保文件可以为需要者所获得，但防止需要者对文件进行转移、存储和销毁d、确保在使用处可获得适用文件的最新版本最佳答案是:c8. 静态包过滤技术是防火墙早期采用的技术，请指出下列哪一项不属于把过滤技术的操作对象？a、IP头b、TCP头c、ICMP报文d、http头最佳答案是:d9. 项目开发过程中用来检测软件错误的对等审查活动称为：a、仿真技术b、结构化走查c、模块化程序设计技术d、自顶向下的程序构造最佳答案是:b10. 总部和分支机构通讯的VPN解决方案比较适合使用哪种体系结构的VPN？a、网关到网关b、主机到网关c、主机到主机d、主机到网闸最佳答案是:a11. 下面对于SSL工作过程的说法错误的是：a、加密过程使用的加密算法是通过握手协议确定的b、通信双方的身份认证是通过记录协议实现的c、警告协议用于指示在什么时候发生了错误d、通信双方的身份认证需要借助于PKI/CA最佳答案是:b12. Alice从Sue那里收到一个发给她的密文，其他人无法解密这个密文，Alice需要哪个密钥来解密这个密文？a、Alice的公钥b、Alice的私钥c、Sue的公钥d、Sue的私钥最佳答案是:b13. RSA与DSA相比的优点是：a、它可以提供数字签名和加密功能b、由于使用对称密钥它使用的资源少加密速度快c、前者是分组加密后者是流加密d、它使用一次性加密本最佳答案是:a14. 下面哪种安全代码最难以用便利的方法来破解？a、密文b、用户口令c、锁定口令d、口令代码最佳答案是:a15. “可信计算机（TCB）”不包括：a、执行安全策略的所有硬件b、执行安全策略的软件c、执行安全策略的程序组件d、执行安全策略的人最佳答案是:d16. 密码分析的目的是什么？a、确定加密算法的强度b、增加加密算法的代替功能c、减少加密算法的换位功能d、确定所使用的换位最佳答案是:a17. 以下哪一项计算机安全程序的组成部分是其它组成部分的基础？a、制度和措施b、漏洞分析c、意外事故处理计划d、采购计划最佳答案是:a18. 以下哪一种局域网传输媒介是最可靠的？a、同轴电缆b、光纤c、双绞线（屏蔽）d、双绞线（非屏蔽）最佳答案是:b19. 计算机病毒会对下列计算机服务造成威胁，除了：a、完整性b、有效性c、保密性d、可用性最佳答案是:c20. 下面哪一项不是主机型入侵检测系统的优点？a、性能价格比高b、视野集中c、敏感细腻d、占资源少最佳答案是:d21. 软件的供应商或是制造商可以在他们自己的产品中或是客户的计算机系统上安装一个“后门”程序。