2026年工业以太网安全配置试题

2026年工业以太网安全配置试题一、单项选择题（每题2分，共20分）1.在2026年发布的IEC62443-3-3新版中，对工业以太网“可信启动”要求的最短RSA密钥长度是A.1024bit  B.1536bit  C.2048bit  D.3072bit答案：D解析：新版标准将可信启动场景下的非对称密钥最小长度从2048bit提升至3072bit，以抵御量子计算预攻击。2.某PLC支持IEEE802.1AR设备身份证书，其证书字段中必须出现的“serialNumber”采用哪种编码？A.UTF8String  B.PrintableString  C.IA5String  D.NumericString答案：B解析：802.1AR规定设备ID证书中serialNumber为PrintableString，限制字符集避免注入风险。3.2026年主流工业交换机已内置MACsec，其默认加密套件GCM-AES-256的ICV长度是A.8B  B.12B  C.16B  D.32B答案：C解析：GCM-AES-256采用128bitICV，提供2^{-64}的伪造概率，满足IEC62443-4-2SR-3.3要求。4.在PROFINETv2.6安全扩展中，用于替代传统SNMPv2c的只读用户认证机制是A.USMwithSHA-256  B.SNMPv3authPriv  C.TLS-PSK  D.gRPCoverQUIC答案：B解析：PROFINETv2.6强制迁移至SNMPv3authPriv，禁止明文Community。5.某DCS网络采用“白名单+纵深”模型，若工程师站需临时接入互联网下载补丁，最合规的隔离方式是A.二级防火墙放行443端口  B.通过DMZ堡垒机+VDI  C.直接NAT映射  D.关闭白名单10min答案：B解析：DMZ堡垒机提供协议代理与屏幕录像，VDI确保无数据落地，符合IEC62443-3-3SL-3。6.2026年NIS2指令将工业以太网关键事件报告时限缩短至A.4h  B.8h  C.12h  D.24h答案：A解析：NIS2要求运营商在发现重大事件4小时内向CSIRT提交初步报告。7.针对TSN网络，2026版IEEE802.1Qci新增的流量过滤项是A.IPDSCP  B.VLANPCP  C.I-SID  D.Per-StreamPer-Domain答案：D解析：Qci引入PSPD过滤，可在域边界丢弃跨域伪造流，提升AVB/TSN安全。8.在OPCUAPubSuboverMQTT中，2026年推荐的密钥更新周期（KeyUpdate）为A.5min  B.15min  C.1h  D.24h答案：B解析：IEC62443-5-2规定PubSub密钥更新不超过15min，降低重放窗口。9.若工业防火墙启用“协议自学习”功能，其默认的置信阈值通常设置为A.80%  B.90%  C.95%  D.99%答案：C解析：95%可在收敛速度与误报率间平衡，避免正常业务被误判。10.2026年发布的“工业5GLAN”安全规范中，用于替代预共享密钥的认证方式是A.EAP-TLSwithSUCI  B.EAP-AKA’  C.5G-GUTI  D.OAuth2.0答案：A解析：EAP-TLS结合SUCI（SubscriptionConcealedIdentifier）防止IMSI捕获，符合3GPPTS33.501。二、多项选择题（每题3分，共15分，多选少选均不得分）11.下列哪些技术可同时提供“机密性+完整性+时效性”？A.MACsecGCM-AES-256  B.IPSecESPwithAES-GCM  C.OPCUASignAndEncrypt  D.SNMPv3authNoPriv答案：A、B、C解析：SNMPv3authNoPriv仅提供完整性，无加密。12.关于2026年工业零信任架构，以下组件属于“控制平面”的有A.PolicyEngine  B.SDPController  C.DataDiode  D.TrustBroker答案：A、B、D解析：DataDiode属于单向数据平面，不参与策略决策。13.在IEC62443-4-1安全开发生命周期中，阶段“SVV”包含的活动有A.模糊测试  B.静态代码分析  C.渗透测试  D.威胁建模答案：A、B、C解析：威胁建模在“SVD”阶段完成。14.下列哪些端口默认被2026版CISIndustrialControlBenchmark列为“高风险必须关闭”？A.TCP502(Modbus)  B.TCP44818(EtherNet/IP)  C.TCP2222(EtherCAT)  D.TCP18245(OPCUA)答案：A、B、C解析：OPCUA4840/18245若启用安全策略可保留，但需强制加密。15.关于工业以太网“时间同步安全”，以下说法正确的有A.PTPv2.1建议启用MACsec对Announce报文加密B.gPTP需对Follow_Up进行签名防止延迟攻击C.NTPoverNTS-KE已纳入IEC62443-3-3SL-2推荐D.1588v3引入“securityTLV”字段答案：A、B、D解析：NTPoverNTS-KE尚未写入正式标准，仅处于TR阶段。三、判断题（每题1分，共10分，正确打“√”，错误打“×”）16.2026年所有工业Wi-Fi6E设备必须支持WPA3-Enterpriseonly，禁用SAE。答案：×解析：WPA3-SAE仍允许用于访客网络，但生产SSID强制Enterprise。17.在IEC62443-3-3SL-4场景下，远程维护通道必须采用双向证书+硬件安全模块。答案：√18.OPCUAPubSubUDP多播可使用DTLS1.3，但需禁用0-RTT功能。答案：√解析：0-RTT可能重放旧数据，违反IEC62443-3-3SR-3.2。19.2026年发布的“安全数字孪生”规范要求孪生体与物理PLC间通信延迟小于1ms。答案：×解析：规范仅要求“确定性”而非绝对1ms。20.工业防火墙启用“协议深度校验”后，仍可被VLANhopping绕过。答案：√解析：若交换机未启用ingressfiltering，防火墙无法感知双层VLAN。21.MACsec在256bit密钥下，其理论安全边界为2^{57}次在线查询，低于IPSec。答案：×解析：GCM-AES-256安全边界为2^{57}次离线查询，与IPSec相同。22.2026年主流PLC固件已内置SBOM清单，格式采用SPDX3.0。答案：√23.在TSN网络中，使用“Per-StreamAuthentication”会额外增加24B开销。答案：√解析：包括8BStreamID+16BMACsecICV。24.工业5GLAN切片ID（S-NSSAI）在空口明文传输，可被伪基站嗅探。答案：×解析：S-NSSAI在RRC层已加密，仅暴露索引。25.2026年NIS2指令将“勒索软件支付”列为刑事犯罪，企业不得私下支付。答案：√四、填空题（每空2分，共20分）26.2026年发布的IEC62443-5-2新增“_______”子句，要求工业以太网设备在启动时验证固件数字签名，失败则进入_______模式。答案：SecureBoot、Recovery（或Safe）27.在OPCUAClient/Server模型中，若SecurityPolicy为“_______”，则用户令牌必须采用X.509证书，禁止用户名/密码。答案：Aes256_Sha256_RsaPss28.工业防火墙“协议白名单”学习阶段，默认采样窗口为_______分钟，收敛后误报率应低于_______%。答案：30、129.2026年IEEE802.1X-2026引入“_______”扩展，允许基于_______属性对IO-Link设备进行端口级认证。答案：MAB-Plus、IOL-Identity30.若PLC支持“_______”技术，则可在不重启的情况下完成证书轮换，实现零停机维护。答案：Hot-SwapCertificate（或CertificateRoll-over）五、简答题（每题10分，共30分）31.简述2026年工业以太网“零信任远程维护”架构的五大核心组件，并给出每个组件的最低安全等级（SL）要求。答案：1.IdentityBroker：负责多因子身份认证，最低SL-3。2.PolicyEngine：基于属性动态授权，最低SL-3。3.DataPlaneGateway：加密隧道与微分段，最低SL-2。4.Audit&Analytics：持续监测与异常检测，最低SL-2。5.DeviceTrustAgent：终端健康attest，最低SL-3。解析：IEC62443-3-3表B.1明确远程维护通道整体需SL-3，但数据平面网关若仅转发可降一级。32.某炼油厂DCS网络采用“3+2”纵深防御（3层区域、2层DMZ），现需在DMZ-2部署OPCUA聚合服务器，请给出防火墙策略最小开放端口清单，并说明理由。答案：最小端口：TCP4840（OPCUA）→仅允许来自DMZ-1OPCUAClientIP，启用TLS1.3。TCP443（HTTPS）→仅允许来自补丁管理服务器，用于证书吊销列表下载。UDP123（NTP）→仅允许来自内部NTP服务器，启用NTS。TCP636（LDAPS）→仅允许读取设备组信息。其余端口全部拒绝。解析：最小权限原则，聚合服务器不直接访问控制层，仅做数据中转。33.解释“时间同步攻击”对TSN网络的影响，并给出2026年推荐的三种缓解措施。答案：影响：攻击者通过伪造Announce与Follow_Up报文，使gPTP主时钟偏移，导致TSN调度窗口错位，触发流量丢弃或错误转发。缓解：1.启用MACsec对PTP报文加密+完整性校验。2.采用RedundantMaster，通过BMCA投票剔除异常时钟。3.在EdgeSwitch启用“TimestampValidation”插件，对比本地单调时钟，偏移>1ms则丢弃。六、计算题（共25分）34.某风电场环网采用RSTP，收敛时间目标<50ms。网络直径7跳，链路带宽100Mbps，帧长1500B，传播延迟5μs/km，光纤总长25km。请计算：(1)单向传播延迟T_p；(2)最大帧传输时延T_f；(3)根据2026年RSTP-2026标准，HelloTime=2s，MaxAge=6s，给出满足50ms收敛的“边缘端口”最大数量N，假设每增加一个边缘端口，BPDU处理延迟增加0.3ms。解：(1)=(2)=(3)设边缘端口数量N，总延迟=代入3故最大N=164个。35.某PLC内置AES-128-GCM硬件引擎，其加密吞吐为200Mbps，现场需保护1024B的PROFINET周期数据，周期1ms。若要求加密延迟不超过周期的5%，求：(1)最大允许加密时间t_max；(2)该引擎能否满足；(3)若改用AES-256-GCM，吞吐下降20%，是否仍满足？解：(1)=(2)加密1024B所需时间t(3)吞吐降为200×0.8