工控系统防护技能练习卷

工控系统防护技能练习卷考试时间：______分钟总分：______分姓名：______单选题（每题1分，共15分）1.在工控系统中，用于实现过程控制的核心设备通常是（）A.SCADA系统B.PLCC.DCSD.RTU2.下列工控协议中，属于实时性要求较高且广泛应用于工业现场的是（）A.HTTPB.ModbusTCPC.SNMPD.FTP3.Stuxnet病毒主要针对的工控设备是（）A.温度传感器B.变频器C.西门子S7系列PLCD.工业摄像头4.工控系统网络隔离中，实现“单向数据传输”的安全设备是（）A.路由器B.工业防火墙C.数据单向导入装置D.交换机5.根据《IEC62443》标准，工控系统安全区域划分的核心原则是（）A.按设备品牌划分B.按数据重要性划分C.按功能模块划分D.按地理位置划分6.下列措施中，属于工控系统访问控制的是（）A.安装杀毒软件B.配置IP白名单C.定期备份数据D.升级操作系统补丁7.工控系统漏洞扫描时，应优先关注（）A.Web应用漏洞B.操作系统漏洞C.工控协议漏洞D.数据库漏洞8.工控系统日志审计的核心目的是（）A.提高系统运行效率B.追踪异常行为与溯源C.减少存储空间占用D.简化运维操作流程9.下列工控安全事件中，属于“高危险等级”的是（）A.操作员误删除非关键数据B.PLC指令被恶意篡改导致生产停滞C.工控界面显示异常但未影响生产D.网络中出现非授权IP地址10.工控系统应急响应中，第一步应采取的措施是（）A.恢复系统数据B.隔离受感染设备C.分析攻击原因D.上报安全事件11.下列工控协议中，默认使用502端口的是（）A.ProfinetB.DNP3C.ModbusTCPD.OPCUA12.工控系统加密通信时，应避免使用（）A.TLS1.2B.SSL3.0C.IPsecD.DTLS13.某石化企业工控系统要求“生产控制区”与“管理信息区”之间必须实现物理隔离，应部署的设备是（）A.防火墙B.光电隔离装置C.路由器D.VPN网关14.工控系统恶意代码分析中，最可能发现“PLC固件被篡改”的工具是（）A.WiresharkB.IDAProC.NessusD.Metasploit15.根据《NISTSP800-82》指南，工控系统安全评估的周期建议为（）A.每月一次B.每季度一次C.每半年一次D.每年一次多选题（每题2分，共10分）1.工控系统与传统IT系统的主要区别包括（）A.实时性要求高B.协议私有化程度高C.可用性优先于安全性D.硬件标准化程度高2.工控系统防护中，“纵深防御”策略应包括（）A.网络层隔离B.主机层加固C.应用层访问控制D.物理层防护3.下列属于工控系统常见内部威胁的是（）A.离职员工故意破坏设备B.操作员误操作导致生产事故C.维保人员植入后门程序D.清洁人员误碰控制按钮4.工控系统日志分析时，应重点关注（）A.登录失败次数B.指令执行异常频率C.网络流量突增D.设备温度变化5.工控系统灾备方案设计应考虑（）A.数据备份周期B.恢复时间目标（RTO）C.恢复点目标（RPO）D.备份数据加密判断题（每题1分，共10分）1.工控系统可以完全使用通用IT系统的安全防护方案。（）2.Modbus协议是工控系统中唯一广泛应用的通信协议。（）3.工控系统漏洞补丁发布后，应立即对所有系统进行升级。（）4.工业防火墙与传统防火墙的主要区别在于支持工控协议深度检测。（）5.工控系统应急响应中，“恢复生产”应优先于“彻底根除威胁”。（）6.工控系统无需进行日志审计，因为生产数据实时性要求高。（）7.单向导入装置可以实现数据从“管理网络”到“工控网络”的安全传输。（）8.工控系统访问控制应基于“最小权限原则”配置角色权限。（）9.工控系统中的“蜜罐”技术主要用于主动诱捕攻击者。（）10.工控系统安全合规性评估只需满足国家标准即可，无需考虑国际标准。（）简答题（每题5分，共15分）1.简述工控系统网络区域划分的基本原则及各区域的安全要求。2.工控系统遭受勒索软件攻击后，应急响应的主要步骤有哪些？3.为什么工控系统不建议直接部署通用入侵检测系统（IDS）？应如何改进？案例分析题（每题5分，共10分）1.某电厂SCADA系统出现以下现象：-监控界面显示发电负荷异常波动；-操作员日志中出现未知用户登录记录；-网络流量监测到大量Modbus功能码“0x10”（写入）请求。请分析可能的威胁类型，并给出初步处置方案。2.某化工厂工控系统在进行漏洞扫描时，发现一台PLC存在“缓冲区溢出”漏洞（CVE-2021-44228），且该PLC直接暴露在互联网上。请说明该漏洞的潜在风险，并提出整改措施。实操模拟题（每题20分，共40分）1.某企业工控系统部署了一台工业防火墙，要求配置访问控制策略，实现以下规则：-允许“操作员站”（IP：0）访问“PLC1”（IP：0）的Modbus端口（502）；-禁止所有其他设备访问PLC1的502端口；-允许“工程师站”（IP：0）访问PLC1的80端口（Web管理）。请写出防火墙策略配置的主要步骤（以命令行或图形界面配置为例）。2.使用Wireshark捕获某工控网络流量，发现一条ModbusTCP报文：-源IP：00（操作员站）；-目的IP：0（PLC）；-功能码：0x05（写单个线圈）；-寄存器地址：0x000A（对应设备启动指令）；-输出值：0xFF（启动）。请分析该报文的异常点，并说明可能导致的后果及处置方法。试卷答案单选题（每题1分，共15分）1.答案：B解析思路：PLC（可编程逻辑控制器）是工控系统中直接执行控制逻辑的核心设备，负责实时处理输入信号并控制输出设备。2.答案：B解析思路：ModbusTCP协议专为工业设计，支持实时通信，且在工业现场广泛应用，而HTTP、SNMP、FTP为通用IT协议，实时性较低。3.答案：C解析思路：Stuxnet病毒针对西门子S7系列PLC，通过篡改固件实现破坏，其他选项非其主要攻击目标。4.答案：C解析思路：数据单向导入装置设计用于单向数据传输，确保工控网络不受外部攻击，路由器、交换机支持双向通信，工业防火墙虽可配置但非专用单向设备。5.答案：B解析思路：《IEC62443》标准强调按数据重要性划分区域，优先保护关键数据，其他选项非核心原则。6.答案：B解析思路：IP白名单限制访问源，属于访问控制；杀毒软件、补丁升级为防护措施，数据备份为恢复手段。7.答案：C解析思路：工控协议漏洞直接影响控制功能，扫描应优先关注；Web漏洞、系统漏洞、数据库漏洞非工控特有。8.答案：B解析思路：日志审计用于检测异常行为和溯源，提升安全性；效率、存储、简化非核心目的。9.答案：B解析思路：PLC指令篡改导致生产停滞属高危事件，直接影响安全；误删数据、界面异常、非授权IP为低或中危。10.答案：B解析思路：应急响应第一步需隔离受感染设备，防止威胁扩散，恢复、分析、上报后续步骤。11.答案：C解析思路：ModbusTCP默认使用502端口；Profinet使用102端口，DNP3使用20000端口，OPCUA使用4840端口。12.答案：B解析思路：SSL3.0存在严重漏洞（如POODLE），不推荐使用；TLS1.2、IPsec、DTLS为安全协议。13.答案：B解析思路：光电隔离装置实现物理隔离，确保生产区与管理区无电气连接；防火墙、路由器、VPN支持逻辑或网络隔离，非物理隔离。14.答案：B解析思路：IDAPro用于固件逆向分析，可检测PLC固件篡改；Wireshark抓包，Nessus扫描漏洞，Metasploit攻击工具。15.答案：D解析思路：《NISTSP800-82》建议年度评估，平衡安全与成本；月度、季度、半年评估过于频繁或不足。多选题（每题2分，共10分）1.答案：A,B,C解析思路：工控系统实时性高、协议私有化、可用性优先；硬件标准化程度低（各厂商差异大）。2.答案：A,B,C,D解析思路：纵深防御需覆盖网络（隔离）、主机（加固）、应用（访问控制）、物理（防护）多层。3.答案：A,B,C,D解析思路：内部威胁包括员工破坏、误操作、植入后门、人员误碰；均来自内部人员或操作失误。4.答案：A,B,C解析思路：登录失败、指令异常、流量突增为安全相关事件；设备温度变化属运维指标，非安全重点。5.答案：A,B,C,D解析思路：灾备需考虑备份周期、RTO（恢复时间）、RPO（恢复点）、数据加密，确保可靠恢复。判断题（每题1分，共10分）1.答案：错误解析思路：工控系统实时性高，通用IT方案可能影响生产，需专用防护方案。2.答案：错误解析思路：除Modbus外，Profinet、DNP3、OPCUA等也广泛应用，非唯一协议。3.答案：错误解析思路：工控系统需评估风险，补丁可能影响实时性，应测试后分批升级，非立即升级。4.答案：正确解析思路：工业防火墙支持工控协议深度检测（如Modbus功能码），区别于传统防火墙。5.答案：正确解析思路：工控应急响应优先恢复生产，避免停产损失，再根除威胁。6.答案：错误解析思路：日志审计对安全事件溯源至关重要，实时性要求高可通过优化日志处理实现。7.答案：正确解析思路：单向导入装置允许数据从管理网到工控网单向传输，防止反向攻击。8.答案：正确解析思路：最小权限原则限制角色权限，减少误操作或攻击面。9.答案：正确解析思路：蜜罐技术模拟系统诱捕攻击者，主动防御工控威胁。10.答案：错误解析思路：工控安全需兼顾国际标准（如IEC62443）与国家标准，确保全面合规。简答题（每题5分，共15分）1.答案：基本原则：基于功能模块划分（如生产控制区、管理信息区），按数据重要性分级，实现逻辑隔离。安全要求：生产控制区严格访问控制、协议白名单、实时监控；管理信息区网络隔离、日志审计；边界部署防火墙或单向导入装置。解析思路：工控系统需分区隔离，优先保护控制区；各区域要求匹配功能，如控制区强调实时性，管理区强调合规性。2.答案：主要步骤：①隔离受感染设备，切断网络连接；②分析攻击范围，收集日志和样本；③清除恶意代码，修复漏洞；④恢复系统数据，验证功能；⑤总结事件，完善防护。解析思路：勒索攻击需快速隔离防止扩散，分析后清除威胁，优先恢复生产，事后总结提升防护。3.答案：原因：通用IDS误报率高（工控协议合法操作易被误判），检测规则不匹配工控场景。改进：使用工控专用IDS（如支持Modbus、Profinet特征库），定制规则，结合白名单减少误报。解析思路：工控协议特殊性导致通用IDS不适用；专用IDS优化规则，提升检测准确性。案例分析题（每题5分，共10分）1.答案：威胁类型：未授权访问（未知用户登录）、指令篡改（异常写入请求）。处置方案：①立即隔离操作员站和PLC，切断网络；②审计日志，分析用户来源和指令内容；③重置密码，加强访问控制；④监控生产状态，防止进一