2026年工业控制网安全配置试题

2026年工业控制网安全配置试题1单项选择（每题2分，共20分）1.1在IEC62443-3-3安全等级SL-2场景下，对工程师站进行远程维护时，必须优先启用的控制措施是A.基于IP白名单的防火墙策略B.基于MAC白名单的交换机端口绑定C.基于证书的双向TLS1.3通道D.基于口令的SSH隧道并启用压缩答案：C解析：SL-2要求“抗重放、抗中间人、抗伪造”，只有双向TLS1.3同时提供身份鉴别、机密性与完整性，且支持前向保密。1.2某DCS网络采用星型冗余拓扑，核心交换机启用RSTP。当攻击者伪造BPDU报文并宣称优先级为0时，最可能触发的后续事件是A.MAC地址表溢出B.根桥漂移导致流量绕行C.广播风暴D.LLDP表项老化加速答案：B解析：优先级为0的BPDU会迫使网络重新计算生成树，原根桥失去地位，流量路径被恶意引导。1.3在Modbus/TCP会话中，若要阻止“写单个寄存器”功能码06的越权操作，最合理的深度包检测（DPI）策略是A.丢弃所有功能码大于05的报文B.检查UnitID是否等于0C.检查数据段地址是否超出工艺上限0x03FFD.计算CRC-16并比对静态表答案：C解析：工艺寄存器映射范围0x0000–0x03FF，超出即属越权；功能码06本身合法，需结合地址过滤。1.4某PLC固件采用签名验证+加密固件包升级机制。若攻击者仅拥有厂商公开签名验证公钥，其无法完成的攻击是A.重放旧版本固件B.伪造新固件并通过签名校验C.解密固件包查看代码D.篡改固件包导致校验失败答案：B解析：公钥只能验证签名，无法生成有效签名；私钥仅厂商持有。1.5在IEC62351-6针对GOOSE报文的安全扩展中，用于提供“抗重放”的机制字段是A.时间戳TimeAllowedtoLiveB.序列号StNumC.安全签名SignatureD.密钥标识KeyID答案：B解析：StNum每发送一次递增，接收方丢弃StNum小于当前值的报文，从而防重放。1.6关于OPCUA的UserTokenPolicy，下列配置组合符合“最低权限+可审计”原则的是A.Anonymous+NoneB.Username+SHA1C.Certificate+AES-256-SHA256D.IssuedToken+PLAIN答案：C解析：证书令牌提供强身份鉴别，AES-256-SHA256保证机密性与完整性，符合审计要求。1.7在油田SCADA中，RTU通过蜂窝网回传数据。若SIM卡仅启用PS域且APN采用私有DNS，攻击者最可能利用的侧信道是A.短信网关B.射频功率分析C.ICMP差错报文D.DNS缓存投毒答案：D解析：私有DNS若可被外部递归，则存在投毒风险，诱导RTU连接恶意服务器。1.8针对ProfinetIRT的时钟同步攻击，最有效的检测算法是A.基于SV报文频率突变B.基于Sync报文延迟抖动累积C.基于LLDP邻居变化D.基于SNMP接口字节计数答案：B解析：IRT依赖精密时钟，攻击者注入延迟会导致Sync抖动方差骤增，可用CUSUM算法检测。1.9在零信任架构中，对“工业数据湖”进行微分段时，首要参考的实体属性是A.物理位置B.设备序列号C.数据标签与内容分类D.交换机端口索引答案：C解析：数据湖以内容为核心，按标签分类执行策略，才能细化到字段级。1.10某工厂采用802.1X+EAP-TLS对HMI进行准入。若RADIUS服务器证书过期，终端将A.自动回退至EAP-MD5B.进入GuestVLAN10C.拒绝连接并记录EAP-FailureD.触发MAC旁路认证答案：C解析：EAP-TLS双向校验，服务器证书过期即握手失败，直接EAP-Failure。2多项选择（每题3分，共15分）2.1下列哪些技术组合可同时实现“确定低时延”与“身份鉴别”？A.TSN802.1Qbv+MACsecB.ProfinetIRT+IPSectunnelC.EtherCATFOE+TLS1.3D.OPCUAPubSuboverTSN+802.1AR设备证书答案：AD解析：TSN提供时隙调度保障低时延；MACsec与802.1AR分别在链路层与设备层完成身份鉴别。2.2关于工业防火墙“白名单学习模式”，正确的说法有A.自动放行所有未知流量并记录B.基于深度包检测提取功能码与地址C.学习周期结束后自动生成规则D.学习期间CPU利用率通常低于30%答案：BC解析：学习模式通过DPI提取关键字段，周期结束后转白名单；A为黑名单行为，D无必然关系。2.3针对S7-1500CPU的Web服务器，可启用哪些安全设置？A.仅允许HTTPS443并强制TLS1.3B.配置CPU级别用户列表与角色C.启用会话超时与自动注销D.关闭Web服务器完全禁用HTTP答案：ABCD解析：西门子官方手册均支持，D为极端场景下的“空气-gap”策略。2.4在IEC62443-4-1安全开发生命周期中，属于“安全需求追踪”活动的工作产品包括A.TSR（TechnicalSecurityRequirements）B.SAR（SecurityAssuranceRequirements）C.需求双向追溯矩阵D.威胁建模报告答案：AC解析：TSR与追溯矩阵直接体现追踪；SAR属于评估级，威胁建模为分析输入。2.5下列哪些异常可触发ICS蜜罐的“高交互”告警？A.对CoAP端口/.well-known/core的GETB.向PLC502端口写入0x5a的Modbus报文C.对DNP320000端口发出“冷重启”命令D.对MQTT1883订阅$SYS/#答案：BC解析：B为写操作，C为重启，均会改变状态；A、D为侦察行为，低交互即可记录。3判断改错（每题2分，共10分）3.1STP的BPDUGuard功能在工业环网中一旦收到BPDU即关闭端口，可防止根桥欺骗。答案：正确解析：BPDUGuard将端口置err-disable，阻断伪造BPDU。3.2IEC62351-9针对电力系统密钥管理，推荐采用在线密钥分发中心（KDC）而非离线预共享。答案：错误解析：62351-9支持两种，但工业现场常离线预共享，降低依赖。3.3OPCUA的SecurityPolicy设置为None时，仍可通过应用层证书实现身份鉴别。答案：错误解析：SecurityPolicyNone表示无安全通道，证书无法传输，身份鉴别失效。3.4在Profinet中，DCP协议可远程修改设备IP，故必须在安全网络中禁用DCPHello。答案：正确解析：DCP缺乏认证，可被滥用篡改地址。3.5采用AES-GCM比AES-CBC更适合在EtherCAT网段上实现数据完整性，因为GCM内置MAC且无需填充。答案：正确解析：GCM提供认证加密，免填充降低延迟。4填空（每空2分，共20分）4.1在IEC62443中，区域（Zone）与管道（Conduit）模型的核心思想是__________分离与__________控制。答案：功能、通信解析：通过区域划分功能，管道执行通信策略。4.2Modbus协议数据单元（PDU）最大长度为__________字节，其中功能码占__________字节。答案：253，1解析：MBAP头额外7字节，TCP层最大260字节。4.3针对GOOSE报文，IEC61850规定重传序列采用__________指数退避算法，初始重传时间为__________ms。答案：平方，4解析：T0=4ms，T1=16ms，T2=64ms。4.4在TSN802.1Qci中，用于过滤与监管每个队列帧的组件称为__________，其可配置最大__________个门控列表。答案：PSFP（Per-StreamFilteringandPolicing），8解析：每端口支持8个门控列表，实现精细化。4.5若PLC的SNMP代理启用v3并采用authPriv模式，其安全级别标识符为__________，其中auth协议若选HMAC-SHA-2-256，对应的USM标识为__________。答案：3，SHA-256解析：SNMPv3级别3表示authPriv；RFC7630定义SHA-256标识。5简答（每题10分，共30分）5.1某化工企业拟将DCS控制网（Level1）与MES网（Level3）通过安全管道互联，请给出三层纵深防御设计要点。答案：1)区域划分：DCS划为Zone-1，MES划为Zone-3，中间增设DMZ-2作为数据缓冲。2)管道控制：Zone-1↔DMZ-2采用工业防火墙，白名单仅开放OPCUA4840与SQL1433；DMZ-2↔Zone-3再设企业级防火墙，启用IPS。3)身份与加密：OPCUA采用证书双向TLS，SQL采用TDE+行级加密；所有主机安装EDR与基线加固。4)监测：DMZ-2内部署网络探针，实时解析OPCUA与SQL流量，异常即联动防火墙阻断。5)冗余：双机热备+旁路心跳，故障切换<200ms，确保连续性。5.2描述利用“时钟偏移”对SNTP授时PLC进行拒绝服务（DoS）的攻击流程，并给出两种检测方法。答案：攻击流程：1)攻击者接入本地交换网，发送伪造SNTP响应，将时间跳变至2038年。2)PLC校验stratum<3即接受，导致任务调度表认为“计划任务永不到期”，CPU进入空转。3)控制循环中断，现场阀门保持上一状态，工艺参数失控。检测方法：a)统计法：在交换机镜像口采集SNTP流量，计算时间戳跳变梯度Δt，若|Δt|>1s且stratum突变，触发告警。b)冗余法：PLC同时接收GPS与PPS硬件脉冲，若SNTP与PPS差值>100ms，则丢弃SNTP并记录事件。5.3解释“安全固件升级”中双镜像（A/B）机制如何防止“砖化”，并给出回滚策略。答案：双镜像将Flash划分为A、B两个同等大小分区。升级时，Bootloader将新固件写入非活动分区，校验签名后设置“下一次启动=B”标志并重启。若启动后应用自检（CRC+看门狗）失败，Bootloader自动回滚到A分区，并清除升级标志。回滚策略：1)连续3次启动均失败即永久回滚；2)回滚后生成不可清除的“升级失败”日志，供维护工具读取；3)仅允许本地串口手动再次触发升级，防止远程反复攻击。6计算与综合（共35分）6.1某风电场SCADA网络采用RSA-2048签名验证固件，已知公钥指数e=65537，签名长度256字节，PLC主频400MHz，mbedTLS库一次模幂运算需1.2×10^6时钟周期。若要求启动时间≤3s，请计算最多可并行验证几个固件块，并给出公式推导。（10分）答案：设并行块数为n，每块签名验证耗时T总验证时间T由于3ms≪3s，瓶颈不在CPU，而在I/O。实际受Flash读取速率限制，设SPI速率20MHz，每块256字节，读取时间T并行度受DMA通道数限制，通常DMA=8，故最大n=8。结论：可并行验证8块，总耗时≈3ms，远小于3s，满足要求。6.2一条Profibus-DP总线轮询周期计算：总线速率1.5Mbps，从站数量20，每个从站输入/输出各8字节，主站使用固定定时轮询，GAP因子=10，请求帧间隔为33位时间。求理论最小周期T_min，并评估加入“时间同步”广播帧（固定32字节）后的周期增幅百分比。（10分）答案：单帧长度：LL位时间t单站耗时t20站共TGAP时间T最小周期T同步广播帧32字节=256bit，耗时t新周期T增幅δ=6.3某车间计划部署“白名单+异常检测”联动系统。已知正常流量基线服从泊松分布，均值λ=120帧/分钟。现设定告警阈值k，要求误报率PFA≤1%。求k的最小整数值；若攻击者突发扫描使实际均值升至λ'=200帧/分钟，求检测概率PD。（15分）答案：泊松累积分布P(N≤k)=令P即P(N≤k)≥0.99查表或迭代得k=149时，P(N≤149)=0.9903，满足。检测概率P=1利用正态近似μ=200,

σ=z=查标准正态表，Φ(-3.57)=0.00017，故P结论：k=149，PD≈99.98%。7配置实操（共30分）7.1给出在Linux工业网关上利用ebtables实现“只允许源MAC为00:1b:1e:xx:xx:xx且EtherType=0x88b8（PROFINET）”的完整命令序列，并说明如何持久化。（10分）答案：```bashebtables-tfilter-AFORWARD-p0x88b8-s00:1b:1e:00:00:00/00:00:00:ff:ff:ff-jACCEPTebtables-tfilter-AFORWARD-p0x88b8-jDROPebtables-tfilter-AINPUT-p0x88b8-s00:1b:1e:00:00:00/00:00:00:ff:ff:ff-jACCEPTebtables-tfilter-AINPUT-p0x88b8-jDROP```持久化：```bashaptinstall-yebtables-persistentnetfilter-persistentsave```7.2在西门子S7-1500CPU中，通过TIAPortalV19设置“安全固件升级”步骤，要求启用证书校验、禁止降级、启用日志。请按顺序列出关键选项卡与勾选参数。（10分）答案：1)设备组态→CPU属性→Security→FirmwareUpdate；2)勾选“Enablesecurefirmwareupdate”；3)Certificate选择“Devicecertificate”→类型“FirmwareUpdate”；4)勾选“Rejectdowngrade”；5)在“Systemdiagnostics”中启用“Firmwareupdatelog”级别“Detailed”；6)下载硬件配置并重启CPU。7.3写出在CiscoIE3400交换机上配置“MACsec预共享密钥”且加密级别为GCM-AES-256的完整CLI，包括密钥服务器优先级与重放窗口设置。（10分）答案：```plaintextenableconftmacsecnetwork-linkmkapolicyMKA-POLICYmacsec-ciphergcm-aes-256replay-window30key-server-priority10pre-shared-keyhex00112233445566778899aabbccddeeff00112233445566778899aabbccddeeffinterfacegigabitethernet1/1switchportmodetrunkmacsecnetwork-linkpolicyMKA-POLICYnoshutdownendwritememory```8综合设计（共30分）8.1某核电仪控系统需满足IEC62443-3-3SL-3等级，请设计“安全远程维护”端到端方案，涵盖身份、通道、审计、可用性四方面，要求使用国密算法SM2/SM3/SM4。（20分）答案：1)身份：维护工程师持国密USBKey，内置SM2私钥；仪控机机端部署国密CA，证书格式GM/T0015。2)通道：建立SM2双向SSLVPN，密钥交换采用SM2加密ECC密钥，传输采用SM4-GCM，完整性SM3-HMAC。3)审计：所有操作通过SYSLOG-TLS送往国密合规日志平台，签名使用SM2-with-SM3，日志存储WORM盘，保留期≥5年