2025年(工业互联网技术)工业安全试题及答案

2025年(工业互联网技术)工业安全试题及答案一、单项选择题（每题1分，共20分）1.在IEC6244333中，SL2安全等级对应的“篡改检测”要求，下列哪项技术组合最能满足“检测到1小时内任何未授权更改”的量化指标？A.固件数字签名+SHA256摘要每日比对B.固件数字签名+SHA256摘要每5分钟比对+本地可信时钟C.固件数字签名+CRC32每次启动自检D.仅使用TLS1.3通道传输固件答案：B解析：SL2要求“及时检测”，量化指标为1小时；5分钟比对周期满足“及时”要求，且本地可信时钟可防止回滚攻击。A周期过长，C强度不足，D与存储完整性无关。2.某OT网络采用“白名单+深度学习”混合异常检测，若白名单误报率0.1%，深度学习漏报率0.05%，则联合模型的理论漏报率最接近：A.0.005%B.0.05%C.0.15%D.0.0005%答案：A解析：联合模型漏报需同时满足白名单通过且深度学习漏报，近似相乘：0.1%×0.05%=0.005%。3.在NISTSP80082Rev3中，对Level3控制系统的远程维护端口，强制要求的多因素认证因素不包括：A.硬件加密令牌B.生物特征C.一次性口令D.802.1X证书答案：B解析：Level3要求“多因素”但允许“你知道+你拥有”，生物特征属于“你是”，非强制。4.针对ModbusTCP协议，下列哪条Snort规则最能准确检测“写单个寄存器”异常值>9999的利用尝试？A.alerttcpanyany>any502(msg:"Modbuswrite";content:"|000000000006|";offset:0;depth:6;content:"|06|";offset:7;depth:1;byte_test:2,>,9999,10;sid:10001;)B.alerttcpanyany>any502(msg:"Modbuswrite";content:"|0000|";offset:4;depth:2;content:"|06|";offset:7;depth:1;byte_jump:2,8;byte_test:2,>,9999,10;sid:10002;)C.alerttcpanyany>any502(msg:"Modbuswrite";content:"|000000000006|";offset:0;depth:6;content:"|06|";offset:7;depth:1;byte_test:4,>,9999,8;sid:10003;)D.alerttcpanyany>any502(msg:"Modbuswrite";content:"|0000|";offset:0;depth:2;byte_test:2,>,9999,10;sid:10004;)答案：A解析：写单个寄存器功能码0x06，PDU中地址2字节、值2字节，值位于MBAP(7字节)+功能码(1字节)+地址(2字节)之后，即偏移10字节；byte_test取2字节与9999比较。5.某PLC固件采用AES256GCM加密升级包，密钥派生使用PBKDF2(HMACSHA256,iter=50000,salt=32B)，若攻击者窃取加密包与salt，离线暴力破解8位数字PIN，理论上所需SHA256运算次数约为：A.5×10^4B.5×10^8C.5×10^12D.5×10^16答案：C解析：8位数字密钥空间10^8，每次尝试需50000次哈希，总运算5×10^12次。6.在IEC623516中，针对GOOSE报文重放攻击，时间窗阈值默认设置为：A.2msB.10msC.40msD.500ms答案：C解析：IEC623516规定T0=40ms，兼顾变电站网络抖动与实时性。7.某工厂采用OPCUAPubSuboverMQTT，若PublisherId字段使用UInt64，且MessageIdrollover周期为2^32，消息频率1000条/秒，则rollover导致的潜在重放窗口约为：A.49.7天B.4.3分钟C.1.2小时D.2.1年答案：B解析：2^32/1000/60≈71.6分钟，但MQTTbroker默认保留消息周期常配5分钟，实际窗口受broker配置限制，最接近4.3分钟。8.对IEEE1588v2边界时钟(BC)实施“延迟响应”攻击，若主时钟到BC路径延迟被恶意增加200μs，则BC下游从时钟时间偏差将：A.增加约100μsB.增加约200μsC.减少约100μsD.无变化答案：A解析：PTP路径对称假设被打破，BC计算meanDelay=(200+0)/2=100μs，修正后offset=0100=100μs，实际时间偏差+100μs。9.在ISO/IEC27019:2021中，对过程控制系统“信息删除”控制措施，下列哪项属于“安全删除”要求？A.格式化硬盘B.使用DoD5220.22M标准覆盖3次C.仅删除文件索引D.物理粉碎SSD答案：B解析：27019要求“防止数据恢复”，DoD3次覆盖满足磁性介质；SSD需额外安全擦除指令或物理销毁，但选项中B最符合通用要求。10.某DCS采用“双因子+堡垒机”运维，若堡垒机使用SSH证书+硬件FIDO2，但DCS目标机仅支持密码，则最合规的增强措施是：A.在堡垒机保存目标机密码并自动登录B.启用SSHFPDNS记录C.在目标机部署KerberosD.使用SSH跳板+一次性命令审批答案：D解析：A导致密码落盘，B与认证无关，C需改造DCS；D通过跳板+审批实现“人在回路”，满足NIST80082对交互式远程访问的审计要求。11.在GB/T222392019（等保2.0）中，工业控制系统第三级要求“边界防护”必须检测的协议是：A.FTPB.OPCC.SNMPv3D.HTTP/2答案：B解析：等保2.0工业扩展要求明确检测OPC经典/UA。12.对S7commplus协议实施“中间人”写入攻击，若PLC已启用“通信功能块加密”，则攻击者需首先破解：A.TLS1.3会话密钥B.S7commplus会话UUIDC.PLC项目密码D.Challengeresponse中的AES128密钥答案：D解析：S71500V4起采用Challengeresponse+AES128，密钥派生于项目密码，但项目密码不直接传输，需破解AES密钥。13.某工业防火墙具备“协议自学习”功能，若学习阶段未捕获“Modbus异常响应0x83”，则后续误报最高的是：A.功能码0x03读保持寄存器B.功能码0x10写多个寄存器C.功能码0x01读线圈D.功能码0x06写单个寄存器答案：D解析：0x06与0x83共享高4bit，且0x06使用频率高，未学习异常响应易将0x83误判为0x06异常值。14.在SecurityLevel4的IEC62443区域模型中，区域间数据流必须采用：A.状态检测防火墙B.应用层代理+加密隧道C.物理单向隔离D.VLANACL答案：B解析：SL4要求“抵抗国家级别攻击”，需应用层代理+加密隧道实现深度内容检查与机密性。15.对EtherCAT协议实施“帧注入”攻击，若攻击者使用合法网段但不同VID的以太网帧，则最能阻止注入的机制是：A.端口MAC绑定B.EtherCATEoE隧道校验C.802.1QVLAN标签过滤D.EtherCAT分布式时钟同步答案：C解析：VID不匹配即丢弃，MAC绑定对EtherCAT无意义，EoE不校验VID，时钟与注入无关。16.某工业SOC采用“KillChain”模型，若发现“Stuxnet式”篡改Step7项目文件，应归类到KillChain哪一阶段？A.DeliveryB.ExploitationC.InstallationD.CommandandControl答案：C解析：篡改项目文件属于在工程师站“安装”恶意逻辑，对应Installation。17.在NISTCybersecurityFrameworkv1.1中，对“供应链风险管理”最相关的子类是：A.ID.GV3B.PR.IP12C.DE.AE5D.RS.CO1答案：B解析：PR.IP12明确“供应链风险管理策略”。18.对OPCUAPubSubUADP消息，使用“网络消息签名”时，默认签名算法为：A.RSAPKCS1v1.5B.ECDSAP256SHA256C.RSAPSSSHA256D.Ed25519答案：B解析：IEC6254114默认推荐ECDSAP256SHA256，兼顾性能与安全。19.某工厂部署“零信任”架构，对ICS资产采用“微分段”，若微分段基于mTLS+SPIFFEID，则最需解决的OT特有难题是：A.证书生命周期短B.加密开销导致扫描周期>4msC.证书吊销列表过大D.根证书更新需停机答案：B解析：PLC扫描周期通常<10ms，mTLS握手+证书链验证易超时，需硬件加密加速或预握手。20.在IEC6244341“安全开发生命周期”中，要求“安全需求追踪”必须建立的工件是：A.FMEA表B.追溯矩阵C.威胁建模报告D.安全测试计划答案：B解析：追溯矩阵（TraceabilityMatrix）是41强制工件，确保需求设计测试一一对应。二、多项选择题（每题2分，共20分，多选少选均不得分）21.下列哪些技术组合可同时满足“OT网络高可用”与“安全区域隔离”双重要求？A.PRP/HSR零切换+数据二极管B.环网RSTP+工业防火墙C.冗余星型+物理单向光闸D.802.1CB帧复制+安全代理答案：A、C、D解析：B中RSTP收敛>50ms，不满足高可用；A、C、D均实现零中断+隔离。22.关于IEC6244333“抗抵赖”要求，下列哪些措施满足SL2？A.操作日志使用HMACSHA256+共享密钥B.日志签名使用RSA2048+时间戳C.日志写入WORM存储D.日志哈希链每日上链区块链答案：B、C、D解析：SL2需“抗抵赖”，共享密钥HMAC无法抗内部抵赖；B、C、D提供不可篡改证据。23.对S71200PLC实施“固件降级攻击”，下列哪些缓解措施有效？A.启用“固件版本白名单”B.设置“只允许SD卡更新”C.启用“Knowhowprotection”D.使用“PLC证书锁定”答案：A、B、D解析：C保护项目而非固件；A、B、D均可阻止未授权降级。24.在GB/T330092016（工业控制系统信息安全）中，第三级要求“身份鉴别”包括：A.口令复杂度B.鉴别失败锁定C.多因素认证D.生物特征唯一性答案：A、B、C解析：D未强制，仅推荐。25.下列哪些字段属于OPCUAPubSubUADP“安全头”？A.SecurityTokenIdB.NonceLengthC.KeyLifetimeD.SecurityMode答案：A、B、D解析：C为配置参数，不在头中传输。26.对“勒索软件”攻击工业HMI，下列哪些行为属于“横向移动”阶段？A.利用RDP弱口令跳转到历史站B.通过SMB共享投放PSExecC.修改PLC程序停机D.加密HMI本地SQLite文件答案：A、B解析：C、D为影响阶段；A、B为横向移动。27.在IEC6244342中，嵌入式设备“安全启动”要求包括：A.验证bootloader数字签名B.验证操作系统哈希C.验证应用证书链D.允许用户关闭安全启动答案：A、B、C解析：D违反42要求，不可关闭。28.关于“工业安全运营中心（ISOC）”与“ITSOC”差异，下列描述正确的是：A.ISOC需理解PLC扫描周期B.ISOC可忽略IT资产漏洞C.ISOC需集成工艺参数基线D.ISOC告警响应时间可>24h答案：A、C解析：B错误，需兼顾；D错误，OT要求分钟级。29.对“伪基站”攻击4G工业路由器，下列哪些检测指标有效？A.异常TAC出现B.小区重选频率>50次/分钟C.RSRP陡升>30dBD.IMSIcatcherStingray签名答案：A、B、C解析：D无公开签名；A、B、C可指示伪基站。30.在“安全远程访问”架构中，下列哪些协议可被“应用层网关(ALG)”深度检查？A.RDP8.1B.VNCC.SSHD.HTTPSwithTLS1.3andESNI答案：A、B解析：TLS1.3+ESNI加密SNI，ALG无法解密；A、B可被ALG解析。三、判断题（每题1分，共10分，正确打“√”，错误打“×”）31.IEC6244321要求“变更管理”必须包含“回退计划”。答案：√解析：21明确回退要求。32.在OT网络中，使用NAT即可完全隐藏PLCIP，达到“不可见”目的。答案：×解析：NAT仅隐藏地址，扫描仍可发现开放端口。33.Stuxnet利用的是MS10061打印后台程序漏洞。答案：×解析：MS10061为打印后台，Stuxnet主要用MS10046、MS10092。34.OPCUAPubSuboverTSN可实现<1μs时间同步。答案：√解析：TSN802.1AS2020支持亚微秒级。35.等保2.0要求三级工控系统每年至少一次渗透测试。答案：√解析：GB/T284482019明确年度渗透。36.对PLC实施“冷启动”攻击，需先获取PLC项目源文件。答案：×解析：冷启动攻击利用启动区漏洞，无需源文件。37.IEC623519提供“密钥管理”规范，支持IEC61850。答案：√解析：623519为密钥管理，适用于61850。38.“白环境”策略指只允许已知正常行为，默认拒绝其他。答案：√解析：白环境即whitelisting。39.在IEEE802.1X中，EAPTLS无需证书即可认证。答案：×解析：EAPTLS必须双向证书。40.工业防火墙“协议深度解析”不会增加延迟。答案：×解析：深度解析引入微秒到毫秒级延迟。四、填空题（每空2分，共20分）41.在IEC62443中，安全等级SL3的“拒绝服务”防护要求为：在________秒内检测到DoS并恢复至可接受水平。答案：10解析：SL3量化指标10秒。42.NISTSP80053Rev5中，控制族“SupplyChainRiskManagement”编号为________。答案：SR解析：SR家族。43.OPCUAPubSubUADP消息签名使用________模式，确保消息完整性。答案：HMACSHA256解析：IEC6254114默认。44.在GB/T330082016中，工业控制系统“区域”划分最小粒度为________。答案：单元解析：标准定义“单元”为最小区域。45.对S71500PLC，默认保护级别“写保护”密码长度为________位。答案：8解析：TIAPortal默认8位。46.在IEEE1588v2中，延迟请求报文称为________报文。答案：Delay_Req解析：标准术语。47.等保2.0要求工业控制系统“安全审计”日志保存期限至少________个月。答案：6解析：GB/T222392019。48.在IEC6244341中，安全编码要求禁用________函数，防止缓冲区溢出。答案：strcpy解析：高风险函数。49.对ModbusTCP，异常响应功能码=原功能码+________。答案：0x80解析：标准规定。50.“零信任”模型核心原则是________。答案：永不信任、持续验证解析：零信任基石。五、简答题（每题10分，共30分）51.简述“白名单+机器学习”混合检测在OT网络中的部署要点，并给出降低误报的两条策略。答案：部署要点：1.学习阶段捕获完整工艺周期，覆盖所有合法指令序列；2.白名单基线包含源MAC、功能码、寄存器范围、时间窗；3.机器学习采用LSTM自编码器，训练数据需标注“正常”与“计划变更”；4.在线检测采用加权投票，白名单优先级高，模型分数作为补充；5.部署在镜像口，避免inline影响实时性。降低误报策略：a.引入工艺参数上下文，如温度>120℃才允许打开冷却阀，过滤孤立异常；b.建立“维护模式”标签，运维期间临时放宽模型阈值，结束后自动收紧。52.说明针对“PLC程序篡改”攻击，基于“控制流完整性(CFI)”的防护机制如何在嵌入式PLC中实现，并给出硬件需求。答案：实现步骤：1.编译阶段：为每个基本块插入标签(ID)，生成控制流图(CFG)；2.