2025年新版工控安全大赛真题及答案

2025年新版工控安全大赛练习题及答案一、单项选择题（每题2分，共20分）1.某石化企业SCADA系统采用ModbusTCP协议与现场PLC通信，运维人员发现控制指令响应延迟异常，经流量分析，发现存在大量未携带有效负载的SYN报文。该攻击最可能属于以下哪种类型？A.缓冲区溢出攻击B.SYN洪水攻击C.中间人攻击D.固件篡改攻击答案：B2.根据《工业控制系统信息安全防护指南》，关于工业主机安全配置的要求，以下哪项不符合规范？A.禁用非必要的USB接口和串口B.为管理员账户设置12位以上包含特殊字符的密码C.安装多厂商杀毒软件以增强病毒检测能力D.关闭不必要的系统服务和端口答案：C（注：工业主机应避免安装多厂商杀毒软件，可能导致兼容性问题和资源冲突）3.某智能制造车间的CNC设备通过OPCUA协议与MES系统交互，近期发现生产参数被异常修改。经排查，设备未启用证书认证，且通信流量未加密。该漏洞最可能被利用的方式是？A.利用OPCUA的会话重放攻击B.植入针对CNC固件的RootkitC.通过ARP欺骗截获并篡改明文数据D.利用Modbus功能码越界访问答案：C4.工业控制系统（ICS）与传统IT系统的核心差异在于？A.数据存储方式B.对实时性和可靠性的要求C.网络拓扑结构D.终端设备类型答案：B5.某电力企业采用DNP3协议进行远程终端单元（RTU）与主站的通信，运维人员发现主站收到大量重复的“终端状态正常”报文，但现场RTU实际已离线。该攻击可能篡改了DNP3报文中的哪部分字段？A.应用标识（ApplicationID）B.功能码（FunctionCode）C.校验和（Checksum）D.对象索引（ObjectIndex）答案：D（注：DNP3通过对象索引标识具体测点，篡改索引可伪造状态）6.以下哪项是工业防火墙区别于传统IT防火墙的关键特性？A.支持NAT转换B.具备深度协议解析能力C.支持流量QoS控制D.提供VPN加密通道答案：B7.2024年某汽车制造厂因工程师误操作，将未经验证的PLC程序上传至生产线，导致3条焊装线停机2小时。为避免此类事件，最有效的防护措施是？A.部署工业入侵检测系统（HIDS）B.实施PLC程序版本控制与审批机制C.对工程师账户启用多因素认证（MFA）D.在控制网络部署单向隔离网闸答案：B8.某钢铁厂热轧控制系统使用S7-1200PLC，其编程口（PG/PC接口）未做访问控制。攻击者最可能通过该接口实施以下哪种攻击？A.发送恶意S7通信报文中止PLC运行B.植入勒索软件加密HMI画面文件C.篡改SCADA数据库中的历史曲线D.伪造GPS对时信号导致时钟同步异常答案：A9.根据等保2.0中工业控制系统扩展要求，以下哪项属于“安全通信网络”层面的要求？A.对工业控制网络划分安全区域并实施访问控制B.定期对控制设备进行漏洞扫描C.建立工业控制系统资产清单D.制定工控安全事件应急预案答案：A10.某化工企业DCS系统的操作站（OperatorStation）感染了针对工业软件的恶意程序，该程序通过挂钩DCS监控软件的内存地址，直接修改界面显示的温度、压力数值，但未影响底层PLC的实际采集值。此类攻击属于？A.数据欺骗攻击B.拒绝服务攻击C.固件级攻击D.供应链攻击答案：A二、填空题（每空2分，共20分）1.工业控制系统中，ModbusTCP协议默认使用的端口号是______。答案：5022.工业控制网络中，常见的时间同步协议是______（写出一种即可）。答案：NTP（或PTP/精确时间协议）3.针对工业控制设备的固件安全检测，需重点检查固件的完整性（如通过______算法验证哈希值）和是否包含未授权的后门程序。答案：SHA-256（或MD5、SHA-1等）4.工业防火墙的典型部署方式包括串联部署和______部署（用于流量镜像分析场景）。答案：旁路5.2024年新发布的《工业互联网安全标准体系》中，明确要求工业设备需支持______认证，以防止非法设备接入控制网络。答案：身份（或设备身份）6.某水厂SCADA系统的RTU通过4G无线专网与主站通信，为防止伪基站攻击，应启用______加密机制。答案：端到端（或AES-256、IPSec等具体加密方式）7.工业控制系统异常检测的常用指标包括通信频率异常、______异常（如Modbus写操作次数骤增）、报文长度异常等。答案：操作类型（或功能码）8.针对S7协议的“ISO-on-TCP”通信模式，其通信建立过程需经过______（握手阶段）、参数协商、数据传输三个阶段。答案：连接建立（或三次握手）9.工业主机安全加固中，“白名单”策略的核心是仅允许______的程序或进程运行，拒绝未知软件执行。答案：已知可信10.某风电变流器控制系统遭攻击后，运维人员通过分析______（记录设备运行状态、操作日志的文件），还原了攻击者修改变流器参数的时间线。答案：审计日志（或操作日志）三、分析题（每题20分，共40分）（一）某轨道交通信号控制系统（CBTC系统）近期出现列车定位异常，导致多趟列车紧急制动。经初步排查，控制网络流量中检测到异常的IEEE802.11帧（Wi-Fi通信），且轨旁AP（无线接入点）的日志显示有大量未知MAC地址尝试关联。结合工业控制系统安全知识，回答以下问题：1.分析可能的攻击路径及利用的漏洞；2.提出至少3项针对性的防护措施。答案要点：1.攻击路径及漏洞分析：（1）攻击者可能通过伪造合法列车的无线终端MAC地址，发起“MAC地址欺骗”，绕过AP的MAC白名单认证，接入轨旁无线局域网；（2）利用IEEE802.11协议的弱认证漏洞（如WEP加密已被破解），截获或篡改CBTC系统的无线通信数据（如列车位置报文）；（3）向轨旁AP发送大量关联请求（Deauthentication帧），实施无线拒绝服务（DoS）攻击，导致AP与列车终端断开连接，列车因失去实时定位数据触发紧急制动。2.防护措施：（1）启用WPA3或WPA2-PSK（AES加密）替代WEP/WPA，增强无线通信加密强度；（2）实施动态MAC地址过滤，结合802.1X认证（如EAP-TLS），要求列车终端提供数字证书完成身份验证；（3）在轨旁AP部署无线入侵检测系统（WIDS），监测异常关联请求、帧注入等行为，联动阻断可疑MAC地址；（4）划分独立的无线VLAN，限制CBTC控制流量与管理流量的隔离，避免攻击横向扩散；（5）定期更新轨旁AP固件，修复已知的无线协议栈漏洞（如KRACK攻击漏洞）。（二）某半导体晶圆厂的工业机器人（六轴机械臂）控制系统突然停止响应，操作界面显示“伺服驱动器故障”，但物理检查发现驱动器硬件正常。经安全团队介入，在机器人控制器的日志中发现大量S7通信报文，其中包含功能码0x10（写多个寄存器），目标地址为机械臂运动参数寄存器，且发送源IP为未授权的外部设备。1.指出该攻击的技术特征；2.说明如何通过流量分析定位攻击源；3.提出防止类似攻击的长期措施。答案要点：1.攻击技术特征：（1）利用S7协议的写寄存器功能码（0x10），向机器人控制器的运动参数寄存器（如速度、位置偏移量）写入非法值，导致伺服驱动器接收错误指令后报错；（2）攻击源IP未在控制网络的白名单中，属于非法接入；（3）通信报文未经过认证（如未使用S7的安全通信模式），攻击者可伪造合法PLC的源地址发送指令。2.流量分析定位方法：（1）使用Wireshark等工具捕获控制网络流量，过滤S7协议（端口102），提取所有包含功能码0x10的报文；（2）分析报文中的“源IP地址”“目的IP地址”“事务标识符”字段，确认异常报文的发送源（如某台非法接入的笔记本电脑）；（3）结合工业防火墙的访问控制日志，检查源IP是否在允许的通信对端列表中（如仅允许HMI、工程师站与控制器通信）；（4）追踪异常报文的时间戳，与机器人故障时间对比，确认因果关系；（5）解析报文中的“数据长度”和“寄存器地址”，验证写入值是否超出机械臂的安全范围（如速度超过额定值200%）。3.长期防护措施：（1）在控制网络边界部署工业防火墙，基于“最小权限原则”配置访问控制策略，仅允许授权设备（如HMI、主PLC）与机器人控制器通信，禁止外部IP直接访问；（2）启用S7协议的安全通信模式（如S7-300/400的“安全通信”选项），要求通信双方使用预共享密钥（PSK）或数字证书进行身份认证，防止报文伪造；（3）对机器人控制器的关键寄存器（如运动参数寄存器）实施写保护，仅允许通过授权的工程师站（具备特定权限）修改，且修改需经过审批流程；（4）部署工业入侵检测系统（NIDS），基于行为分析模型监测异常的S7功能码使用（如短时间内大量0x10指令）、非授权源IP通信等行为，实时告警；（5）定期对控制网络进行渗透测试，模拟外部攻击者尝试接入并发送恶意指令，验证防护措施的有效性；（6）建立工业控制系统资产台账，明确机器人控制器的IP地址、通信端口、允许的通信对端，避免非法设备接入。四、实操题（20分）【场景】某水泥厂生料磨控制系统使用ModbusTCP协议，PLC型号为西门子S7-1200，IP地址192.168.1.10，HMI（人机界面）IP地址192.168.1.20。安全团队发现近期生料配比数据异常，怀疑Modbus流量被篡改。请使用Wireshark工具分析提供的流量文件（modbus.pcap），完成以下任务：1.找出流量中所有Modbus写单线圈（功能码0x05）的请求报文，统计其数量；2.确定是否存在非法写入操作（即目标线圈地址超出00001-00016的范围）；3.提取异常报文的源IP、目的IP及写入值，说明可能造成的影响。（注：需描述具体操作步骤，如过滤条件、字段解析方法）答案要点：1.统计写单线圈请求数量：操作步骤：（1）打开Wireshark，导入modbus.pcap文件；（2）在过滤栏输入“modbus.func_code==0x05”，过滤出所有Modbus写单线圈请求；（3）查看统计结果（如“统计-分组统计-IP地址”或直接计数显示的报文数量）。假设流量中显示有8条功能码0x05的请求报文，则数量为8。2.检查线圈地址是否越界：操作步骤：（1）选中任意一条过滤后的报文，展开Modbus协议字段；（2）查看“ReferenceNumber”（参考编号）字段，该字段表示线圈地址（注意Modbus地址通常从0开始，00001对应地址0，00016对应地址15）；（3）逐一检查所有8条报文的“ReferenceNumber”值，若存在值≥16（即地址≥00017），则判定为非法写入。假设其中2条报文的“ReferenceNumber”为17（对应地址00018），则存在非法操作。3.