2026年制造业工业互联网安全防护应急管理与处置考核试卷及答案

2026年制造业工业互联网安全防护应急管理与处置考核试卷及答案一、单项选择题（每题2分，共20分。每题只有一个正确答案，请将正确选项字母填在括号内）1.在工业互联网安全事件分级中，造成一条年产30万辆整车的焊装线停产8小时的事件应归为（）。A.特别重大事件（Ⅰ级）B.重大事件（Ⅱ级）C.较大事件（Ⅲ级）D.一般事件（Ⅳ级）【答案】B2.依据《工业互联网企业网络安全分类分级管理办法（试行）》，下列资产中必须纳入核心保护对象的是（）。A.员工办公笔记本B.MES数据库服务器C.厂区视频监控NVRD.访客Wi-Fi接入交换机【答案】B3.在OT网络中，针对Modbus/TCP协议最经济有效的访问控制手段是（）。A.基于白名单的工业防火墙策略B.基于黑名单的IPS特征库C.基于ML的异常流量检测D.基于端点EDR的进程拦截【答案】A4.当发现PLC程序被篡改时，第一时间应启动的应急响应阶段是（）。A.根除B.遏制C.检测D.总结【答案】B5.对工业边缘计算节点进行固件完整性校验，常用的密码学算法是（）。A.MD5B.SHA-256C.CRC32D.RSA-1024【答案】B6.在应急演练中，用于衡量“从事件发生到完成初步遏制”的指标是（）。A.MTTDB.MTTRC.MTTID.MTTC【答案】D7.对工业云平台虚拟机逃逸攻击的监测，应优先部署的安全控制点是（）。A.宿主机内核审计模块B.云租户侧防火墙C.VPC流日志D.堡垒机【答案】A8.根据GB/T39204—2020《工业控制系统信息安全》，第3级防护要求中，对“远程维护通道”必须采用（）。A.单向导入B.双向认证+加密C.仅端口白名单D.VPN+堡垒机即可【答案】B9.在数字孪生工厂中，对物理实体进行DDoS攻击导致孪生模型失步，此类风险属于（）。A.可用性风险B.完整性风险C.真实性风险D.机密性风险【答案】C10.对工业数据出境进行安全评估时，下列哪项不属于“重要数据”识别要素（）。A.涉及国家经济命脉B.精确实时反映装置工艺参数C.累计超过50万条个人敏感信息D.包含未公开设备缺陷信息【答案】C二、多项选择题（每题3分，共15分。每题有两个或两个以上正确答案，选择全部正确得分，漏选、错选均不得分）11.在工业互联网安全运营中心（SOC）中，实现OT与IT日志融合分析需解决的关键问题包括（）。A.时间同步B.语义映射C.日志压缩D.时序对齐E.采样频率一致【答案】ABD12.下列属于工业勒索软件常见入侵初始向量的是（）。A.钓鱼邮件B.暴露的RDP暴力破解C.受感染的工程师站U盘D.第三方运维笔记本E.以太网/IP默认口令【答案】ABCDE13.对工业5G专网进行安全测评时，应重点关注的切片隔离指标有（）。A.控制面隔离度B.用户面时延抖动C.资源调度独立性D.切片间密钥分离E.射频功率谱密度【答案】ACD14.在应急指挥体系中，属于“现场响应组”职责的是（）。A.采集现场样本B.向媒体发布信息C.实施网络隔离D.保存攻击链证据E.评估停产损失【答案】ACD15.对工业APP进行安全开发生命周期（SDL）管理时，需强制执行的测试阶段包括（）。A.静态代码扫描B.模糊测试C.成分分析（SBOM）D.运行时自保护（RASP）上线E.渗透测试【答案】ABCE三、填空题（每空2分，共20分）16.工业防火墙在深度包检测时，对S7comm协议的功能码______（填写十进制数字）进行白名单放行，可阻止“写存储区”操作。【答案】017.在NISTSP800-82R3中，将工业网络安全事件响应生命周期划分为准备、检测、分析、______、恢复、总结6个阶段。【答案】遏制18.对工控漏洞CVSSv3.1评分，若攻击向量（AV）为Network，攻击复杂度（AC）为Low，所需权限（PR）为None，则该漏洞基础分计算时，AC的权重系数值为______。【答案】0.7719.某工厂采用IEC62443-3-3区域通道模型，将“包装机器人”划入安全等级______（填写SL1/SL2/SL3/SL4）区域，可满足“对非授权移动存储介质进行物理封锁”要求。【答案】SL220.工业数据备份采用“3-2-1”策略，其中“1”指______。【答案】异地离线副本21.在应急演练中，RTO≤15min、RPO≤5min的业务系统，其灾难恢复等级应不低于国家标准______级。【答案】522.对OT网络进行被动流量采集时，常用______（填写英文缩写）技术实现镜像端口无丢包捕获。【答案】TAP23.工业边缘网关若采用OPCUAPubSuboverMQTT，其安全策略应启用______模式，以实现端到端加密。【答案】SignAndEncrypt24.当发现PLC被植入恶意逻辑，应立即使用______（填写工具名称）进行逻辑哈希比对，快速定位篡改功能块。【答案】PLCcrypt25.依据《数据安全法》，对“重要数据”进行出境评估时，评估报告至少保存______年。【答案】3四、判断题（每题1分，共10分。正确打“√”，错误打“×”）26.工业DMZ区部署的堡垒机必须支持KVMoverIP功能，才能实现BIOS级维护审计。【答案】√27.在ModbusTCP报文中，单元标识符（UnitIdentifier）用于区分不同PLC站点，因此可作为白名单过滤维度。【答案】√28.对OT网络进行漏洞扫描时，采用IT侧常见的Nessus急速扫描模式不会引发PLC宕机。【答案】×29.工业APP若仅运行在园区私有云，可豁免等保测评。【答案】×30.工业数字证书采用RSA-2048与SM2算法混合签发的双证书方案，可同时满足国际与商密合规要求。【答案】√31.在应急演练总结阶段，必须采用LOPA方法对演练偏差进行风险评估。【答案】×32.对工业5G专网进行红队测试时，允许使用伪基站进行中间人攻击，但需提前向无线电管理局报备。【答案】√33.当发现工业云平台宿主机存在虚拟机逃逸漏洞时，应立即对所有租户VM进行热迁移，再修复宿主机内核。【答案】×34.工业数据分类分级完成后，若工艺流程发生变更，应在15个工作日内重新评估数据级别。【答案】√35.对工业防火墙规则进行变更时，若采用GitOps流程，则无需再走人工审批环节。【答案】×五、简答题（每题10分，共30分）36.简述在工业互联网安全事件应急响应中，“双轨制”通信机制的设计要点与实施难点。【答案】设计要点：1.指挥轨：采用独立VoLTE/卫星电话，与现场组直接通话，确保不依赖被污染网络；2.数据轨：通过加密MQTTover5G切片回传取证流量，与指挥轨物理隔离；3.统一时钟：两轨均接入北斗授时，保证日志时序一致；4.冗余切换：当主基站失效，30s内自动倒换至便携基站。实施难点：a.现场屏蔽环境导致卫星信号衰减>20dB，需布设增益≥40dB有源天线；b.双轨终端续航矛盾，需热插拔电池方案；c.跨轨信息同步时，需防止攻击者通过侧信道推断指挥意图；d.合规层面，卫星通信需提前向工信部报备临时频段。37.某石化企业计划对DCS控制器进行远程补丁更新，请列出安全实施流程并指出关键风险控制点。【答案】流程：1.补丁验证：在影子DCS环境运行≥72h，对比I/O曲线偏差<0.1%；2.变更评审：通过CCB会议，评估SIF回路SIL等级是否降级；3.备份：导出SAMA图、逻辑、配置文件，计算SHA-256并封存；4.建立隧道：采用IPsecVPN+证书双向认证，启用PFS；5.分时更新：按装置单元分批，每批≤20%节点，保持在线冗余；6.回退准备：若CPUload>80%或通信异常>3min，自动回退至旧固件；7.记录：将补丁包、哈希、操作日志写入区块链存证。关键风险控制点：a.防止中间人篡改补丁包，需在控制器端预置厂商公钥进行签名校验；b.更新过程若遭遇停电，需UPS支撑≥30min，否则导致ROM损坏；c.更新后需重新进行SIL验证，防止安全功能失效；d.远程隧道必须仅开放TCP/UDP443，禁用远程桌面，降低横向移动风险。38.说明如何利用“攻击链killchain”模型指导工业防火墙策略优化，并给出一条具体规则示例。【答案】模型映射：1.Reconnaissance：启用协议深度检测，屏蔽异常S7comm读写功能码扫描；2.Weaponization：对通过HTTP下载的.bin文件进行哈希比对，匹配已知IOC即丢弃；3.Delivery：拦截外部SMTP附件含.exe或.stu文件；4.Exploitation：限制利用CVE-2021-22681的CIP转发，丢弃UnitID=0且Path=0x20的报文；5.Installation：阻止PLC对外发起反向shell，禁止高端口出站；6.C2：检测心跳间隔为30s的HTTPS流量，若JA3指纹命中黑名单则RST；7.Actions：封锁对HMI写值操作，若来源IP非维护网段且时间非窗口期。规则示例（Snort）：alerttcpanyany->/24502(msg:"MODBUSWriteSingleRegisterafterRecon";flow:established,to_server;content:"|0000000000060106|";threshold:typeboth,trackby_src,count3,seconds60;sid:1000001;rev:1;)六、计算与分析题（共25分）39.某汽车焊装车间网络拓扑如图（文字描述）：外部路由器←→防火墙←→核心交换机←→PLC机架（共20台PLC，型号S7-1500）。已知：单台PLC固件存在漏洞，利用成功率p=0.15；攻击者先通过钓鱼邮件控制一台工程师站，再横向移动；防火墙对横向移动拦截率β=0.8；若≥3台PLC被同时控制，则焊装线必须停产。求：（1）攻击者在未触发防火墙报警的情况下，成功控制≥3台PLC的概率；（10分）（2）若将防火墙拦截率提升至β'=0.95，重新计算概率并评估风险降低倍数。（5分）【答案】（1）设单台PLC被控且绕过防火墙的概率为=成功台数X~B(n=20,p'=0.03)，求PPPPP即2.8%。（2）β'=0.95，则p''=0.15×0.05=0.0075同理计算得P风险降低倍数=0.028/0.001=28倍。40.某工厂采用主动-被动混合数据采集架构：被动TAP：100Mbps全双工，平均利用率ρ=0.35，帧长L=750B；主动探针：每10s发送一次62B的UDP探测包，共200台设备；存储：保留90天，要求压缩比k=4:1。计算所需最小存储容量（单位GiB），并判断若采用RAID5(4+1)阵列，需配置多少块4TB硬盘才能满足冗余与30%预留空间。（10分）【答案】1.被动流量：有效速率R=2×100×ρ=70Mbps日数据量D1=R×86400=6.05×10^11bit=70.9GiB90天：70.9×90=6.38TiB压缩后：6.38/4=1.60TiB2.主动探测：单包62B，200台，每10s日数据量D2=62×200×8640=1.04×10^8B≈0.097GiB90天：8.7GiB，可忽略。总净容量=1.60TiBRAID5(4+1)可用率=4/5=0.8设需n块4TB，则0.8×4×n≥1.6/0.7（30%预留）解得n≥1.6/(0.8×4×0.7)=0.71→向上取整1组5块故最少需5块4TB硬盘。七、综合应用题（共20分）41.某精细化工企业建设“工业互联网+安全生产”平台，需整合DCS、GDS（气体检测系统）、ERP、MES、AI视频分析等子系统。平台采用“一平台+三网络”架构：生产网、管理网、互联网。请：（1）绘制分区分域拓扑简图（文字描述即可），并标注主要边界防护设备；（5分）（2）给出跨网数据交换的安全技术方案，需包含数据类型、流向、协议转换、安全控制、审计要点；（10分）（3）设计一套面向“重大危险源—罐区”的异常工况AI预警模型输入特征列表（≥8维），并说明如何与网络安全事件关联。（5分）【答案】（1）拓扑描述：生产网：DCS、GDS、SIS，冗余环网，OPCUAServer；边界部署工业防火墙A（支持OPCUADPI）+数据diode（单向导入）；管理网：MES、ERP、AI视频，核心交换机；边界部署下一代防火墙B+IPS+堡垒机；互联网：云平台、移动APP；边界部署WAF+API网关+抗D；生产网与管理网之间：通过OPCUA→MQTT转换，经DMZ区工业网闸C，实现单向导出；管理网与互联网