2022年软考-信息安全工程师考试题库及全真模拟冲刺卷72（附答案带详解）

2022年软考-信息安全工程师考试题库及全真模拟冲刺卷（附答案带详解）1. 单选题强制访问控制（MAC）可通过使用敏感标签对所有用户和资源强制执行安全策略。MAC中用户访问信息的读写关系包括下读、上写、下写和上读四种，其中用户级别高于文件级别的读操作是 （ ）。问题1选项A.下读B.上写C.下写D.上读【答案】A【解析】本题考查强制访问控制相关知识。强制访问控制（MAC）是指系统根据主体和客体的安全属性，以强制的方式控制主体对客体的访问，是一种不允许主体干涉的访问控制类型。根据MAC的安全级别，用户与访问的信息的读写关系有四种：即：下读（read down）：用户级别高于文件级别的读操作。上写（write up）：用户级别低于文件级别的写操作。下写（write down）：用户级别高于文件级别的写操作。上读（read up）：用户级别低于文件级别的读操作。其中用户级别高于文件级别的读写操作是下读。故本题选A。点播：访问控制的目标有两个：防止非法用户进入系统； 阻止合法用户对系统资源的非法使用，即禁止合法用户的越权访问。访问控制类型可分为：自主访问控制、强制访问控制、基于角色的访问控制和基于属性的访问控制。2. 单选题密码学的基本安全目标主要包括：保密性、完整性、可用性和不可抵赖性。其中确保信息仅被合法用户访问，而不被泄露给非授权的用户、实体或过程，或供其利用的特性是指（ ）。问题1选项A.保密性B.完整性C.可用性D.不可抵赖性【答案】A【解析】3. 案例题阅读下列说明和表，回答问题1至问题4，将解答填入答题纸的对应栏内。【说明】防火墙类似于我国古代的护城河，可以阻挡敌人的进攻。在网络安全中，防火墙主要用于逻辑隔离外部网络与受保护的内部网络。防火墙通过使用各种安全规则来实现网络的安全策略。防火墙的安全规则由匹配条件和处理方式两个部分共同构成。网络流量通过防火墙时，根据数据包中的某些特定字段进行计算以后如果满足匹配条件，就必须采用规则中的处理方式进行处理。【问题1】（5分）假设某企业内部网（202.114.63.0/24）需要通过防火墙与外部网络互连，其防火墙的过滤规则实例如表4.1所示。表中“*”表示通配符，任意服务端口都有两条规则。请补充表4.1中的内容（1）和（2），并根据上述规则表给出该企业对应的安全需求。【问题2】（4分）一般来说，安全规则无法覆盖所有的网络流量。因此防火墙都有一条默认（缺省）规则，该规则能覆盖事先无法预料的网络流量。请问缺省规则的两种选择是什么？【问题3】（6分）请给出防火墙规则中的三种数据包处理方式。【问题4】（4分）防火墙的目的是实施访问控制和加强站点安全策略，其访问控制包含四个方面的内容：服务控制、方向控制、用户控制和行为控制。请问表4.1中，规则A涉及访问控制的哪几个方面的内容？【答案】【问题1】（1）53 （2）丢弃或Drop其安全需求为：（1）允许内部用户访问外部网络的网页服务器；（2）允许外部用户访问内部网络的网页服务器 （202.114.64.125）；（3）除 1和2 外，禁止其他任何网络流量通过该防火墙。【问题2】 （1）默认拒绝：一切没有被允许的就是禁止的； （2）默认允许：一切没有被禁止的就是允许的。【问题3】（1）Accept：允许数据包或信息通过；（2）Reject ：拒绝数据包或信息通过，并且通知信息源该信息被禁止；（3）Drop：直接将数据包或信息丢弃，并且不通知信息源。【问题4】 服务控制和方向控制。 【解析】【问题1】规则 A 和 B 允许内部用户访问外部网络的网页服务器。规则 C 和 D 允许外部用户访问内部网络的网页服务器。规则 E 和 F 允许内部用户访问域名服务器。规则 G 是缺省拒绝的规则。规则E中目的端口为53；规则G中动作为Drop。其安全需求为：允许内部用户访问外部网络的网页服务器；允许外部用户访问内部网络的网页服务器 （202.114.64.125）；除 1 和 2 外，禁止其他任何网络流量通过该防火墙。【问题2】缺省规则有两种选择：默认拒绝或者默认允许。默认拒绝是指一切未被允许的就是禁止的，其安全规则的处理方式一般为 Accept；默认允许是指一切未被禁止的就是允许的。其安全规则的处理方式一般为 Reject 或 Drop。 【问题3】 防火墙规则中的处理方式主要包括以下几种：（1）Accept：允许数据包或信息通过。（2）Reject：拒绝数据包或信息通过，并且通知信息源该信息被禁止。（3）Drop：直接将数据包或信息丢弃，并且不通知信息源。【问题4】防火墙的目的是实施访问控制和加强站点安全策略，其访问控制包含四个方面或层次的内容：（1）服务控制：决定哪些服务可以被访问，无论这些服务是在内部网络还是在外部网络。常见的网络服务有邮件服务、网页服务、代理服务、文件服务等，这些服务往往是系统对外的功能。在计算机网络中，服务往往就是指 TCP/IP协议中的端口值，如 25 是指 SMTP 服务，110是指 POP3 服务，80是指网页服务等。当然，服务控制也包括服务的位置控制，如 E 地址。（2）方向控制：决定在哪些特定的方向上服务请求可以被发起并通过防火墙，也就是服务是位于内部网络还是外部网络。通过规则控制，可以限定一个方向的服务，也可以同时限定两个方向的服务。（3）用户控制：决定哪些用户可以访问特定服务。该技术既可以应用于防火墙网络内部的用户（本地用户），也可以被应用到来自外部用户的访问。可以采用用户名、主机的 IP、主机的 MAC 等标识用户。（4）行为控制：决定哪些具体的服务内容是否符合安全策略。如防火墙可以通过过滤邮件来清除垃圾邮件，以及网络流量中是否含有计算机病毒、木马等恶意代码。规则A只规定了内部网访问外部网络的80端口的特定服务的过滤规则，设计服务控制和方向控制。4. 单选题文件加密就是将重要的文件以密文形式存储在媒介上，对文件进行加密是一种有效的数据加密存储技术。以下文件加密系统，基于Windows系统的是（ ）。问题1选项A.AFSB.TCFSC.CFSD.EFS【答案】D【解析】本题考查文件加密的相关知识。加密文件系统（Encrypting File System，EFS）是Windows2000及以上Windows版本中，磁盘格式为NTFS的文件加密。CFS、TCFS、AFS都是基于Linux系统的文件加密系统。故本题选D。点播：加密技术是恶意代码进行自我保护的手段之一，再配合反跟踪技术的使用，让分析者不能正常调试和阅读恶意代码，无法获得恶意代码的工作原理，自然也不能抽取特征串。从加密的内容上划分，加密手段有三种，即信息加密、数据加密和程序代码加密。 Normal 0 7.8 磅 0 2 false false false EN-US ZH-CN X-NONE 5. 单选题有线等效保密协议WEP是IEEE802.11标准的一部分，其为了实现机密性采用的加密算法是（ ）。问题1选项A.DESB.AESC.RC4D.RSA【答案】C【解析】本题考查无线局域网的安全加密技术。IEEE 802.11标准的WEP协议采用的流密码算法即序列密码算法，其对应的加密算法是RC4。选项A、B给出的是分组密码算法，选项D给出的是公钥密码算法。答案选C。6. 案例题阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。【说明】恶意代码是指为达到恶意目的专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。2017年5月，勒索软件WanaCry席卷全球，国内大量高校及企事业单位的计算机被攻击，文件及数据被加密后无法使用，系统或服务无法正常运行，损失巨大。【问题1】（2分）按照恶意代码的分类，此次爆发的恶意软件属于哪种类型？【问题2】（2分）此次勒索软件针对的攻击目标是Windows还是Linux类系统？【问题3】（6分）恶意代码具有的共同特征是什么？【问题4】（5分）由于此次勒索软件需要利用系统的SMB服务漏洞（端口号445）进行传播，我们可以配置防火墙过滤规则来阻止勒索软件的攻击，请填写表1-1中的空（1）-（5），使该过滤规则完整。注：假设本机IP地址为：1.2.3.4，”*”表示通配符。【答案】【问题1】蠕虫类型【问题2】Windows操作系统【问题3】恶意代码具有如下共同特征：（1） 恶意的目的（2） 本身是计算机程序（3） 通过执行发生作用。【问题4】（1）* （2）* （3）445 （4）TCP （5）*【解析】【问题1】WannaCry，一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。该恶意软件会扫描电脑上的TCP 445端口（Server Message Block/SMB），以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。【问题2】主要是利用windows操作系统中存在的漏洞。【问题3】恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。具有如下共同特征：（1）恶意的目的（2）本身是计算机程序（3）通过执行发生作用。【问题4】针对该勒索软件的攻击和传播特点，需要对SMB服务所在的445端口进行过滤，只要网外对网内445端口的所有连接请求予以过滤。需要注意的是SMB服务是基于TCP协议的。7. 单选题Symmetric-key cryptosystems use the（1）key for encryption and decryption of a message, though a message or group of messages may have a difent key than others. A significant disadvantage of symmetric ciphers is the key management necessary to use them securely. Each ditinct pair of communicating parties must, ideally, share a diferent key, and perhaps each ciphertext exchanged as well. The number of keys required increases as the square of the number of network members, which very quickly requires complex key management schemes to keep them all straight and secret. The dificulty of securely establishing a secret （2） between two communicating parties, when a secure channel doesnt already exist between them, also presents a chicken-and-egg problem which is a considerable practical obstacle for cryptography users in the real world.Whitfield Diffe and Martin Hellman, authors of the frst paper on public-key cryptography.In a groundbreaking 1976 paper, Whitfield Difle and Martin Hellman proposed the notion of public-key (also, more generally, called asymmetric key) cryptography in which two different but mathematically related keys are used- a public key and a private key. A public key system is so constructed that calculation of one key (he private key) is computationally infeasible（3）the other (the pubic key), even though they are necessarily related. Instead, both keys are generated secretly, as an interrelated pair. The historian David Kahn described public-key cryptography as the most revolutionary new concept in the field since poly-alphabetic substitution emerged in the Renaissance.In public-key cryptosystems, the（4）key may be feely distributed, while its paired private key must remain secret. The public key is typically used for encryption, while the private or secret key is used for decryption. Dife and Hllman showed that public-key cryptography was possible by presenting the Difit-Hellman key exchange protocol.In 1978, Ronald Rivest, Adi Shamir, and Len Adleman invented（5）, another public-key system.In 1997, it finally became publicly known that asymmetric key cryptography had been invented by James H. Ellis at GCHQ, a British itelligence organization, and that, in the early 1970s, both the Diffie-Hellman and RSA algorithms had been previously developed (by Malcolm J. Williamson and Clifford Cocks, respectively).问题1选项A.differentB.sameC.publicD.private问题2选项A.plaintextB.streamC.ciphertextD.key问题3选项A.fromB.inC.toD.of问题4选项A.publicB.privateC.symmetricD.asymmetric问题5选项A.DESB.AESC.RSAD.IDEA【答案】第1题:B第2题:D第3题:A第4题:A第5题:C【解析】第1题:第2题:第3题:第4题:第5题:对称密钥密码系统使用相同(same)的密钥对消息进行加密和解密，尽管一条消息或一组消息可能使用与其他消息不同的密钥。对称密码的一个显著缺点是为了安全使用必须进行密钥管理。理想情况下，每对不同的通信双方必须共享不同的密钥，或许每个密文也需要交换。随着网络成员的增加，需要的密钥数量以网络成员的平方倍增加，这很快就需要复杂的密钥管理方案来保持密钥的透明性和保密性。当通信双方之间不存在安全信道时，很难在它们之间安全地建立密钥(key)，这是一个先有鸡还是先有蛋的问题，对于现实世界中的密码学用户来说是一个相当大的实际困难。Whitfield Diffie 和Martin Hellman是公钥密码学方面第一篇论 文的作者，在1976年的一篇开创性论文中，Whitfield Difie和Martin Hellman提出了公钥(也更普遍地称为非对称密钥)密码学的概念，其中使用了两个不同但数学上相关的密钥一公钥和私钥。 在公钥系统中，虽然两个密钥是必须相关的，但从( from)公钥却无法计算出私钥。相反，这两个密钥都是秘密生成的，它们是相互关联的一对。历史学家David Kahn将公钥密码学描述为“自文艺复兴时期多表代换出现以来，该领域最具有革命性的新概念”。在公钥密码系统中，公钥(public) 可自由分发，但与其对应的私钥必须保密。公钥常用于加密，而私钥或秘密密钥用于解密。Diffie 和Hellman通过提出Difie-Hellman密钥交换协议证明了公钥密码学的可能性。1978年，Ronald Rivest、Adi Shamir和Len Adleman创建了另一种公钥系统(RSA)。英国情报机构GCHQ的James H. Ellis 早已发明非对称密钥密码学，并且在20世纪70年代初，Diffe-Hellman 和RSA算法也已被发明(分别由Malcolm J. Williamson 和CliffordCocks发明)，但这些事件直到1997年才被大众所知。8. 单选题SSL协议（安全套接层协议）是Netscape公司推出的一种安全通信协议，以下服务中，SSL协议IPSec属于（ ）的安全解决方案。问题1选项A.用户和服务器的合法性认证服务B.加密数据服务以隐藏被传输的数据C.维护数据的完整性D.基于UDP应用的安全保护【答案】A【解析】IPsec属于第三层网络层的安全解决方案。9. 单选题数据库恢复是在故障引起数据库瘫痪以及状态不一致以后， 将数据库恢复到某个正确状态或一致状态。数据库恢复技术一般有四种策略：基于数据转储的恢复、基于日志的恢复、基于检测点的恢复、基于镜像数据库的恢复，其中数据库管理员定期地将整个数据库复制到磁带或另一个磁盘上保存起来，当数据库失效时，取最近一次的数据库备份来恢复数据的技术称为（ ）。问题1选项A.基于数据转储的恢复B.基于日志的恢复C.基于检测点的恢复D.基于镜像数据库的恢复【答案】A【解析】本题考查数据库恢复方面的基础知识。数据转储是数据库恢复中采用的基本技术。所谓转储，即DBA定期将整个数据库复制到磁带或另一个磁盘上保存起来的过程，这些备用的数据成为后备副本或后援副本。基于检测点的恢复是在日志文件中增加一类新的记录一 一检查点记录，增加一个重新开始文件，并使恢复子系统在登录日志文件期间动态地维护日志。检查点记录的内容包括：建立检查点时刻所有正在执行的事务清单和这些事务最近一个日志记录的地址。重新开始文件用来记录各个检查点记录在日志文件中的地址。基于日志的恢复是指，运行时将对数据库每一次更新操作，都应优先记录到日志文件中。当系统出现故障，导致事务中断，反向扫描文件日志，查找该事务的更新操作，然后对该事务的更新操作执行逆操作。即将日志记录中更新前的值写入数据库。如此反复处理下去，直至读到此事务的开始标记，事务故障恢复就完成了。基于镜像数据库的恢复就是在另一个磁盘上作数据库的实时副本。当主数据库更新时，DBMS自动把更新后的数据复制到镜像数据，即DBMS始终自动保持镜像数据和主数据保持一致性。一旦当主库出现故障时，可由镜像磁盘继续提供使用，同时DBMS自动利用镜像磁盘数据进行数据库的恢复。10. 单选题PKI是一种标准的公钥密码的密钥管理平台，数字证书是PKI的基本组成部分。在PKI中，X.509数字证书的内容不包括（ ）。问题1选项A.加密算法标识B.签名算法标识C.版本号D.主体的公开密钥信息【答案】A【解析】本题考查PKI方面的基础知识。X.509数字证书内容包括：版本号、序列号、签名算法标识、发行者名称、有效期、主体名称、主体公钥信息、发行者唯一标识符、 主体唯一识别符、 扩充域、CA的签名等，不包括加密算法标识。11. 单选题2001年11月26日，美国政府正式颁布AES为美国国家标准。AES算法的分组长度为128位，其可选的密钥长度不包括（ ）。问题1选项A.256位B.192位C.128位D.64位【答案】D【解析】本题考查分组加密AES密码算法方面的基础知识。AES的密钥长度可以为16、24或者32字节，也就是128、192、 256 位。12. 单选题涉及国家安全、国计民生、社会公共利益的商用密码产品与使用网络关键设备和网络安全专用产品的商用密码服务实行（ ）检测认证制度。问题1选项A.备案式B.自愿式C.鼓励式D.强制性【答案】D【解析】本题考查网络安全法律法规方面的基础知识。密码法按照“放管服”改革要求，取消了商用密码管理条例设定的“商用密码产品品种和型号审批”，改为对特定商用密码产品实行强制性检测认证制度。答案选D。13. 单选题由于Internet规模太大，常把它划分成许多小的自治系统，通常把自治系统内部的路由协议称为内部网关协议，自治系统之间的协议称为外部网关协议。以下属于外部网关协议的是（ ）。问题1选项A.RIPB.OSPFC.BGPD.UDP【答案】C【解析】本题考查路由协议方面的基础知识。内部网关协议(IGP)是在AS (自治系统)内部使用的协议，常用的有OSPF、ISIS、RIP、EIGRP。外部网关协议(EGP)是在AS (自治系统)外部使用的协议，常用的有BGP。答案选C。14. 单选题虚拟专用网VPN是一种新型的网络安全传输技术，为数据传输和网络服务提供安全通道。VPN架构采用的多种安全机制中，不包括（ ）。问题1选项A.隧道技术B.信息隐藏技术C.密钥管理技术D.身份认证技术【答案】B【解析】本题考查VPN采用的多种安全机制。目前 VPN 主要采用如下四项技术保证安全： 隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。隧道技术：隧道技术是VPN 的基本技术，类似于点对点连接技术，它在公用建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP 中，再把整个数据包装入隧道协议中，这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP 等；第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec 等。密钥管理技术：密钥管理技术的主要任务是如何在公用数据上安全地传递密钥而不被窃取。现行密钥管理技术又分为 SKIP 与 ISAKMP/OAKLEY 两种。身份认证技术：身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。在真实世界，对用户的身份认证基本方法可以分为：基于信息秘密的身份认证、基于信任物体的身份认证、基于生物特征的身份认证。加解密技术：加解密技术是数据通信中一项较成熟的技术，VPN 可直接利用现有技术实现加解密。故本题选B。点播：VPN类型包括链路层VPN、网络层VPN、传输层VPN。15. 单选题入侵检测技术包括异常入侵检测和误用入侵检测。以下关于误用检测技术的描述中，正确的是（ ）。问题1选项A.误用检测根据对用户正常行为的了解和掌握来识别入侵行为B.误用检测根据掌握的关于入侵或攻击的知识来识别入侵行为C.误用检测不需要建立入侵或攻击的行为特征库D.误用检测需要建立用户的正常行为特征轮廓【答案】B【解析】本题考查入侵检测技术相关知识。误用入侵检测通常称为基于特征的入侵检测方法，是指根据已知的入侵模式检测入侵行为。优点：依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也为系统管理员做出相应措施提供了方便。缺点：与具体系统依赖性太强，不但系统移植性不好，维护工作量大，而且将具体入侵手段抽象成知识也很困难。并且检测范围受已知知识的局限，尤其是难以检测出内部人员的入侵行为，如合法用户的泄露。故本题选B。点播：基于条件概率的误用检测方法：基于条件概率的误用检测方法，是将入侵方式对应一个事件序列，然后观测事件发生序列，应用贝叶斯定理进行推理，推测入侵行为。基于状态迁移的误用检测方法：状态迁移方法利用状态图表示攻击特征，不同状态刻画了系统某一时刻的特征。基于键盘监控的误用检测方法：基于键盘监控的误用检测方法，是假设入侵行为对应特定的击键序列模式，然后监测用户的击键模式，并将这一模式与入侵模式匹配，从而发现入侵行为。基于规则的误用检测方法：基于规则的误用检测方法是将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。16. 单选题在需要保护的信息资产中，（ ）是最重要的。问题1选项A.环境B.硬件C.数据D.软件【答案】C【解析】本题考查信息资产方面的基础知识。在需要保护的信息资产中，未备份的数据若丢失或损坏是难以恢复的，因此数据是最重要的。答案选C。17. 单选题数字签名是对以数字形式存储的消息进行某种处理，产生一种类似于传统手书签名功效的信息处理过程，一个数字签名体制包括:施加签名和验证签名。其中SM2数字签名算法的设计是基于（ ）。问题1选项A.背包问题B.椭圆曲线问题C.大整数因子分解问题D.离散对数问题【答案】B【解析】本题考查SM2数字签名方面的基础知识。SM2是基于椭圆曲线的数字签名算法。答案选B。18. 单选题恶意代码是指为达到恶意目的而专门设计的程序或代码，恶意代码的一般命名格式为：. .，常见的恶意代码包括：系统病毒、网络蠕虫、特洛伊木马、宏病毒、后门程序、脚本病毒、捆绑机病毒等。以下属于脚本病毒前缀的是（ ）。问题1选项A.WormB.TrojanC.BinderD.Script【答案】D【解析】本题考查恶意代码方面的基础知识。各恶意代码类型前缀如下：系统病毒 Win32、Win95网络蠕虫 Worm特洛伊木马程序 Trojan脚本病毒 Script宏病毒 Macro后门程序 Backdoor答案选D。19. 单选题IP地址分为全球地址（公有地址）和专用地址（私有地址），在文档RFC1918中，不属于专用地址的是 （ ）。问题1选项A.10. 0. 0. 0 到 10. 255. 255. 255B.255. 0. 0. 0 到 255. 255. 255. 255C.172. 16. 0. 0 到 172. 31. 255. 255D.192. 168. 0. 0 到 192. 168. 255. 255【答案】B【解析】本题考查IP地址分类的相关知识。专用地址范围：A类：10.0.0.0-10.255.255.255；B类：172.16.0.0-172.31.255.255；C类：192.168.0.0-192.168.255.255。根据IP地址的分类来看，255开头的IP地址不属于私有专用地址。故本题选B。点播：公有IP地址分为：A：0.0.0.1-9.255.255.255 & 11.0.0.0-126.255.255.255；B：128.0.0.0-172.15.255.255 & 172.32.0.0-191.255.255.255；C：192.0.0.0-192.167.255.255 &192.169.0.0-223.169.255.255。20. 单选题APT攻击是一种以商业或者政治目的为前提的特定攻击，其中攻击者采用口令窃听、漏洞攻击等方式尝试进一步入侵组织内部的个人电脑和服务器，不断提升自己的权限，直至获得核心电脑和服务器控制权的过程被称为（ ）。问题1选项A.情报收集B.防线突破C.横向渗透D.通道建立【答案】C【解析】本题考查APT攻击相关知识。一般APT攻击过程可概括为3个阶段：攻击前准备阶段、攻击入侵阶段和持续攻击阶段，又可细分为 5 个步骤：情报收集、防线突破、通道建立、横向渗透、信息收集及外传。1.情报收集：在实施攻击之前，攻击者会针对特定组织的网络系统和相关员工展开大量的信息搜集。信息搜集方法多种多样，通常包括搜索引擎、爬网系统、网络隐蔽扫描、社会工程学方法等方式。信息来源包括相关员工的微博、博客、社交网站、公司网站，甚至通过某些渠道购买相关信息（如公司通讯录等）。2.防线突破：攻击者在完成情报收集和技术准备后，开始采用木马/恶意代码攻击特定员工的个人电脑，攻击方法主要有：社会工程学方法，如电子邮件攻击，攻击者窃取与特定员工有关系的人员（如领导、同事、朋友等）电子邮箱，冒充发件人给该员工发送带有恶意代码附件的邮件，一旦该员工打开邮件，员工电脑便感染了恶意软件。远程漏洞攻 击方法，如网站挂马攻击，攻击者在员工常访问的网站上放置木马，当员工再次访问该 网站时，个人电脑便受到网页代码攻击。由于这些恶意软件针对的是系统未知漏洞并被特殊处理，因此现有的杀毒软件和防火墙均无法察觉，攻击者便能逐渐获取个人电脑权限，最后直至控制个人电脑。3.通道建立：攻击者在突破防线并控制员工电脑后，在员工电脑与入侵服务器之间开始建立命令控制通道。通常，命令控制通道采用 HTTP/HTTPS 等协议构建，以突破电脑系统防火墙等安全设备。一旦攻击者完成通道建立，攻击者通过发送控制命令检查植入的恶意软件是否遭受查杀，并在恶意软件被安全软件检测到前，对恶意软件进行版本升级，以降低被发现的概率。4. 横向渗透：入侵和控制员工个人电脑并不是攻击者的最终目的，攻击者会采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器，同时不断地提升自己的权限，以求控制更多的电脑和服务器，直至获得核心电脑和服务器的控制权。5. 信息收集及外传：攻击者常常长期潜伏，并不断实行网络内部横向渗透，通过端口扫描等方式获取服 务器或设备上有价值的信息，针对个人电脑通过列表命令等方式获取文档列表信息等。攻击者会将内部某个服务器作为资料暂存的服务器，然后通过整理、压缩、加密、打包的方式，利用建立的隐蔽通信通道将信息进行外传。在获取这些信息后，攻击者会对这些信息数据进行分析识别，并做出最终的判断，甚至实施网络攻击破坏。故本题选C。点播：高级持续威胁（简称APT）通常利用电子邮件作为攻击目标系统。攻击者将恶意代码嵌入电子邮件中，然后把它发送到目标人群，诱使收件人打开恶意电子文档，或单机某个指向恶意站点的连接。一旦收件人就范，恶意代码将会安装在其计算机中，从而远程控制收件人的计算机，进而逐步渗透到收件人所在网络，实现其攻击意图。