2026年工业互联网平台搭建与网络安全实战训练试卷附答案

2026年工业互联网平台搭建与网络安全实战训练试卷附答案一、单项选择题（每题2分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）

1.在工业互联网平台中，实现设备数据实时采集最常用的协议是（）

A.FTP  B.MQTT  C.SMTP  D.SNMP

答案：B

2.下列哪项不属于工业防火墙的核心功能（）

A.深度包检测  B.白名单策略  C.漏洞扫描  D.协议识别

答案：C

3.在OPCUA安全模型中，用于保证消息完整性的机制是（）

A.UserNameToken  B.X.509证书  C.AES-256加密  D.RSA-OAEP

答案：B

4.某PLC被曝出CVE-2021-22681，企业第一时间应启动的流程是（）

A.业务连续性演练  B.漏洞应急响应  C.渗透测试复现  D.等保测评

答案：B

5.工业边缘网关中，Docker容器默认使用的隔离技术是（）

A.Hyper-V  B.cgroups  C.KVM  D.SELinux

答案：B

6.在IEC62443-3-3中，SL-T（SecurityLevel-Target）的确定依据不包括（）

A.风险评估  B.业务影响  C.资产价值  D.设备品牌

答案：D

7.某工厂OT网与IT网通过DMZ互联，最佳数据流向控制策略是（）

A.双向任意口  B.OT→DMZ单向  C.DMZ→IT单向  D.全部拒绝

答案：B

8.工业数字孪生体中，实现“虚实同步”最关键的技术是（）

A.区块链  B.高速总线  C.时间敏感网络TSN  D.分布式文件系统

答案：C

9.在5GuRLLC切片中，端到端时延指标应满足（）

A.<1ms  B.<10ms  C.<100ms  D.<1s

答案：A

10.工业APP上架前必须通过的安全测试阶段是（）

A.SAST+BAST  B.DAST+IAST  C.模糊测试+符号执行  D.以上全部

答案：D

二、多项选择题（每题3分，共15分。每题有两个或两个以上正确答案，多选、漏选、错选均不得分）

11.下列哪些属于工业现场总线（）

A.PROFINET  B.EtherCAT  C.ModbusTCP  D.HTTP/2

答案：A、B、C

12.零信任架构在OT环境落地时，需要重点解决（）

A.资产可见性  B.微分段  C.证书生命周期  D.低时延认证

答案：A、B、C、D

13.工业数据湖“分层存储”通常包括（）

A.热存储  B.温存储  C.冷存储  D.深冷存储

答案：A、B、C、D

14.下列攻击手段可直接导致物理破坏的是（）

A.Stuxnet  B.BlackEnergy  C.Triton  D.WannaCry

答案：A、B、C

15.在工业区块链中，适合采用PBFT共识的场景有（）

A.供应链溯源  B.高并发支付  C.少节点联盟  D.公链挖矿

答案：A、C

三、填空题（每空2分，共20分）

16.IEC61784-3-3规定，安全现场总线使用______编码实现数据完整性，汉明距≥______。

答案：CRC，4

17.OPCUAPub/SuboverUDP，默认使用的端口号为______。

答案：4840

18.在TSN协议族中，______子协议负责时间同步，其同步精度可达______ns。

答案：IEEE802.1AS，100

19.若某工厂要求RTO≤15min，RPO≤30s，则备份策略应采用______+______组合。

答案：快照，持续数据保护（CDP）

20.工业防火墙规则匹配顺序通常遵循______原则，第一条匹配即______。

答案：自上而下，终止

21.国家工业互联网标识解析体系顶级节点编码为______，二级节点编码长度最大______字节。

答案：88.，32

22.某边缘AI模型参数量为8.4×10^6，若采用INT8量化，则存储空间约为______MB。

答案：8.4

23.在IEC62351-6中，GOOSE消息使用______签名算法，密钥长度≥______bit。

答案：ECDSA，256

24.工业VPN基于IPsec时，若启用ESP隧道模式，额外开销至少______字节/包。

答案：50

25.工业数据分类分级国标GB/T43697-2024将数据分为______级，最高级为______。

答案：五，核心

四、简答题（每题8分，共24分）

26.简述工业边缘计算中“南北向流量”与“东西向流量”的差异，并给出各自的安全防护要点。

答案：

南北向流量指现场设备到云平台的垂直通信，协议多为MQTT/HTTPS，防护要点包括：双向证书校验、数据加密、API网关限流、DLP。

东西向流量指边缘节点间水平协同，协议多为OPCUA/AMQP，防护要点包括：微隔离、白名单、域间防火墙、流量可视化、异常检测。

27.说明在工业SCADA系统迁移至Kubernetes时，为保证实时性需做的三项内核级调整，并给出对应sysctl参数。

答案：

1)降低调度延迟：kernel.sched_rt_runtime_us=-1

2)提高时钟精度：kernel.hz=1000

3)关闭Swap防止抖动：vm.swappiness=0

28.绘制并解释“白+黑”双通道工业安全运维网络拓扑，要求标明通道角色、带宽、冗余机制。

答案：

白通道：生产网，千兆环网，RSTP<50ms自愈，承载SCADA、MES；

黑通道：带外管理网，百兆独立光纤，OSPF+BGP双栈，承载IPMI、iKVM、日志；

两通道物理隔离，通过KVMoverIP切换器实现人在回路，冗余网关采用VRRP，心跳1s，切换<3s。

五、计算与分析题（共41分）

29.（10分）某工厂有1200个传感器，采样频率1kHz，16bit精度，每日运行16h。计算：

(1)原始日数据量（GB）；

(2)若采用LZ4压缩比1:6，压缩后日数据量；

(3)若边缘侧只上传异常特征（占比5%），求实际上传日流量；

(4)若5G上行带宽为100Mbps，是否满足实时上传要求？

答案：

(1)1200×1000×2×16×3600×16/1024^3=2.06TB

(2)2.06/6=0.343TB≈343GB

(3)343GB×5%=17.15GB

(4)17.15GB/16h=0.297MB/s≈2.38Mbps<100Mbps，满足。

30.（10分）某工控网络采用“纵深防御+零信任”混合模型，已知：

•区域1：安全等级SL-2，资产价值V1=3×10^6元，威胁概率P1=0.2；

•区域2：安全等级SL-3，资产价值V2=8×10^6元，威胁概率P2=0.1；

•区域3：安全等级SL-1，资产价值V3=1×10^6元，威胁概率P3=0.5。

计算年度预期损失ALE，并依据成本效益原则给出投资优先级排序（假设SL每提升1级需投入100万元，损失降低系数分别为0.7、0.5、0.9）。

答案：

ALE1=3×10^6×0.2=6×10^5

ALE2=8×10^6×0.1=8×10^5

ALE3=1×10^6×0.5=5×10^5

提升SL后新ALE：

ALE1′=6×10^5×0.7=4.2×10^5，节省1.8×10^5

ALE2′=8×10^5×0.5=4×10^5，节省4×10^5

ALE3′=5×10^5×0.9=4.5×10^5，节省0.5×10^5

ROI：区域2>区域1>区域3，故投资优先级：区域2→区域1→区域3。

31.（10分）某企业拟部署工业区块链存证平台，采用Fabricv2.4，Orderer节点5个，Peer节点12个，每区块最大1MB，单笔交易0.5kB。

(1)求每区块最大交易数；

(2)若出块间隔2s，求理论TPS；

(3)若启用私有数据集合，每个集合占用区块空间上限为多少？

(4)若采用Raft共识，最大容错节点数？

答案：

(1)1MB/0.5kB=2048

(2)2048/2=1024TPS

(3)1MB（与公共数据共享上限）

(4)floor((5-1)/2)=2

32.（11分）综合设计：某汽车焊装车间计划建设“5G+TSN”融合网络，现场有200台焊接机器人，控制周期4ms，抖动≤50µs。给出：

a)网络拓扑图（文字描述即可）；

b)时钟同步路径；

c)资源调度模型（使用LaTeX公式表达）；

d)安全威胁矩阵（STRIDE3×3）；

e)验证方案，说明测试仪表与指标。

答案：

a)拓扑：

核心层：2台TSN桥接交换机（IEEE802.1Qbv）冗余并联；

汇聚层：5GgNB+DSRC路侧单元，通过eCPRI接RU；

接入层：每台机器人内置5G工业模组（uRLLC切片），经TSN转换器接机器人控制器；

管理：独立NMS服务器，带外通道。

b)同步：

GM（Grandmaster）→TSN桥→5GgNB（边界时钟）→机器人（普通时钟），采用802.1AS-2020，路径延迟测量用P2P。

c)调度模型：

门控列表周期$T_c=4$ms，时隙$\tau_i$分配：

\[

\sum_{i=1}^{200}\tau_i+\tau_{guard}\leT_c,\quad\tau_{guard}\ge50\\mus

\]

机器人i的时隙长度：

\[

\tau_i=\frac{L_i}{R}+d_{prop},\quadR=1\\text{Gbps}

\]

d)威胁矩阵：

|STRIDE|机器人控制器|5GgNB|TSN桥|

|--------|--------------|--------|--------|

|S|伪造控制帧|伪基站|伪装桥|

|T|重放指令|流量劫持|帧插入|

|R|配置篡改|切片越权|门控篡改|

e)验证：

使用SpirentTestCenter打流，指标：

•时延：≤4ms（99.9%）

•抖动：≤50µs（99%）

•丢包：0

•时间同步精度：≤100ns

测试方法：RFC2544+Y.1564双向打流，持续24h，记录MRTG。

六、综合应用题（共30分）

33.某大型石化企业计划将DCS、SIS、MES、ERP、IIoT平台统一接入“工业互联网+安全生产”一体化平台。请完成：

(1)给出分区分域拓扑（文字描述），并标明边界防护设备型号（给出2款真实型号）；

(2)设计数据治理体系，包括主数据、元数据、数据质量、数据安全四个子体系，每体系给出2条关键KPI；

(3)给出攻防演练方案：红队攻击路径（不少于3条）、蓝队监测手段（不少于4种）、紫队复盘指标（不少于3项）；

(4)依据《GB/T39204-2020工业控制系统信息安全分级规范》，给出SIS系统等级保护2.0的测评对象、测评单元、测评方法，并计算其综合得分（假设各单元得分已给出，直接列式即可）。

答案：

(1)拓扑：

L0：现场层（ExdIICT6防爆），DCS控制器HoneywellC300；

L1：控制层，SIS采用HIMAHIMax，冗余环网；

L2：监控层，操作站通过思科IE-4010交换机；

L3：生产层，MES服务器戴尔R750；

L4：企业层，ERPSAPHANA；

边界：PaloAltoPA-5250（IT/OT隔离），FortinetFortiGate-600E（DMZ）；

工业网闸：力控pSafetyLinkV2.0，实现OPCUA