2026年制造业工业互联网安全防护应急管理与处置考核试卷及答案

2026年制造业工业互联网安全防护应急管理与处置考核试卷及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在工业互联网安全事件分级中，造成单条生产线停产4小时、直接经济损失300万元的事件应归为（）。A.特别重大事件 B.重大事件 C.较大事件 D.一般事件答案：C2.依据《GB/T22239-2019工业控制系统网络安全等级保护基本要求》，三级系统现场测评周期为（）。A.每季度 B.每半年 C.每年 D.每两年答案：C3.工业防火墙对Modbus/TCP协议进行深度解析时，首要检查的字段是（）。A.UnitIdentifier B.ProtocolIdentifier C.FunctionCode D.Length答案：C4.在OT网络中，采用“白环境”策略的核心技术是（）。A.黑名单过滤 B.动态蜜罐 C.基线白名单 D.基于AI的异常检测答案：C5.当发现PLC程序被篡改时，第一时间应执行的应急操作是（）。A.立即断电 B.切换冗余PLC C.备份内存 D.回滚至上一版本答案：B6.工业安全运营中心（ISOC）对告警进行“三性”研判时，不包括（）。A.真实性 B.严重性 C.紧迫性 D.可逆性答案：D7.在应急演练中，用于衡量“从事件发生到完成初步遏制”的指标是（）。A.MTTD B.MTTR C.MTTC D.MTBF答案：C8.对OT网络进行远程维护时，最安全接入方式是（）。A.IPsecVPN+堡垒机 B.公网RDP C.TeamViewer D.串口服务器答案：A9.工业主机加固时，WindowsEmbeddedStandard7应优先关闭的服务是（）。A.RPC B.WindowsUpdate C.Server D.SNMPTrap答案：B10.根据《工业互联网企业网络安全分类分级指南（试行）》，平台企业数据采集环节应至少达到（）级防护。A.一 B.二 C.三 D.四答案：B11.对工业数据流进行DPI时，下列正则表达式可准确匹配S7commJobRead报文的是（）。A.`\x03\x00\x00\x16\x11\xd0\x00` B.`\x32\x01\x00\x00\x00\x00` C.`\x03\x00\x00\x19\x02\xf0\x80` D.`\x32\x01\x00\x00\x05\x00`答案：B12.当工业交换机启用“锁定端口MAC”功能后，新设备接入时首先触发（）。A.SNMPTrap B.MACNotification C.PortSecurityViolation D.BPDUGuard答案：C13.在应急通信组中，承担“对外统一发声”职责的角色是（）。A.应急指挥长 B.技术专家 C.新闻发言人 D.法务顾问答案：C14.对工控协议进行模糊测试时，优先选择的开源框架是（）。A.Peach B.Metasploit C.Nessus D.Suricata答案：A15.工业边缘计算节点遭受物理窃取时，可防止密钥泄露的机制是（）。A.TPM密封存储 B.BIOS密码 C.硬盘加密 D.机箱锁答案：A16.在“零信任”架构中，对OT设备访问授权的核心依据是（）。A.IP地址 B.用户角色 C.设备指纹与上下文 D.VLAN号答案：C17.工业日志需满足《GB/T32924-2016》要求，日志保存期限不少于（）。A.1个月 B.3个月 C.6个月 D.12个月答案：C18.当发现MES数据库被加密勒索时，首先应检查的备份策略是（）。A.全量备份 B.差异备份 C.快照隔离 D.3-2-1原则答案：D19.工业无线传感器网络采用ISA100.11a时，其安全子层提供的加密算法为（）。A.AES-128CCM* B.SM4 C.ChaCha20 D.3DES答案：A20.应急演练总结报告应在演练结束后（）个工作日内提交主管部门。A.5 B.7 C.10 D.15答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下属于工业互联网安全监测预警平台“5+1”功能模块的有（）。A.资产测绘 B.威胁情报 C.漏洞管理 D.安全仿真 E.应急响应答案：ABCE22.在OT网络中，可导致PLC进入Stop模式的攻击向量包括（）。A.利用S7-1200的“启动/停止”功能码 B.发送畸形ProfinetDCP报文 C.伪造EtherNet/IPForwardOpen D.修改PLCIP地址 E.发送超长Modbus报文答案：ABC23.工业数据出境安全评估需重点关注（）。A.数据分类分级 B.接收方所在国法律环境 C.数据加密强度 D.数据生命周期 E.数据主体同意答案：ABCD24.工业防火墙规则优化时应遵循的原则有（）。A.最小权限 B.深度解析 C.默认拒绝 D.性能优先 E.日志全覆盖答案：ABCE25.以下属于工业主机白名单防护软件核心功能的有（）。A.可信度量 B.行为基线 C.外设管控 D.漏洞扫描 E.动态度量答案：ABCE26.在应急响应中，取证需遵循的原则包括（）。A.原始性 B.连续性 C.可重现 D.及时性 E.保密性答案：ABCE27.工业边缘侧采用容器技术时，防止容器逃逸的安全机制有（）。A.Seccomp B.AppArmor C.Capabilities D.UserNamespace E.SELinux答案：ABCDE28.工业APPStore上线前安全检测应包含（）。A.代码审计 B.组件成分分析 C.渗透测试 D.模糊测试 E.许可证合规答案：ABCD29.以下属于工业数字孪生体安全需求的有（）。A.模型完整性 B.数据实时性 C.交互机密性 D.服务可用性 E.物理一致性答案：ACD30.当发生供应链污染事件时，可采用的应急处置手段包括（）。A.固件哈希校验 B.逆向比对 C.断网隔离 D.降级运行 E.紧急补丁答案：ABCE三、填空题（每空1分，共20分）31.工业安全等级保护2.0将工业控制系统划分为________层、________层、________层、________层四个层次。答案：现场设备、现场控制、过程监控、生产管理32.在Modbus/TCP协议中，功能码“0x10”表示________操作。答案：写多个寄存器33.工业日志集中采集常使用的两种传输协议为________和________。答案：SyslogTLS、MQTToverTLS34.当工业交换机启用________协议后，可防止环路风暴。答案：RSTP35.工业防火墙进行OPCClassic动态端口协商时，需跟踪________端口。答案：13536.工业主机加固“GCB”基线中，密码复杂度要求至少包含________类字符。答案：四37.工业数据安全分级中，核心数据一旦泄露将造成________安全影响。答案：重大38.工业边缘计算节点采用________技术可实现操作系统与应用程序的只读保护。答案：OverlayFS39.工业无线传感器网络密钥更新周期推荐不大于________天。答案：3040.工业安全运营中心对告警进行“降噪”时，常用________算法对相似告警合并。答案：聚类41.工业控制系统漏洞扫描器必须支持________扫描方式，以避免对PLC造成DoS。答案：被动42.工业数字证书格式遵循________标准，用于设备身份认证。答案：X.509v343.工业数据出境安全评估报告有效期为________年。答案：244.工业应急演练按目的可分为检验性、示范性、________性三类。答案：研究45.工业安全事件调查完成后，应出具________报告并归档。答案：根因分析四、判断题（每题1分，共10分。正确打“√”，错误打“×”）46.工业防火墙对EtherCAT协议进行深度解析时，无需关注WorkingCounter字段。（）答案：×47.工业主机安装杀毒软件后，即可关闭白名单防护功能。（）答案：×48.工业数据分类分级结果一经确定，不可动态调整。（）答案：×49.工业边缘计算节点采用TPM2.0可实现远程证明。（）答案：√50.工业安全事件应急响应中，技术处置与取证可完全并行。（）答案：×51.工业无线网关启用WPA3-SAE后，可防止离线字典攻击。（）答案：√52.工业APP上线前必须通过工信部“实名制”备案。（）答案：√53.工业数字孪生模型文件采用JSON格式时，无需进行签名完整性校验。（）答案：×54.工业交换机端口镜像功能会改变原始数据流路径。（）答案：×55.工业安全等级保护测评报告可作为年度审计结论直接使用。（）答案：×五、简答题（每题10分，共30分）56.简述工业控制系统“白环境”构建的五步法，并给出每一步的关键技术要点。答案：（1）资产发现：采用被动流量指纹与主动SNMP扫描结合，建立包含厂商、型号、固件版本的资产清单；（2）基线建模：对正常工艺流量进行7×24小时采集，利用机器学习聚类生成协议字段白名单；（3）策略生成：将基线转化为工业防火墙、IPS可执行的规则，遵循“默认拒绝”原则；（4）仿真验证：在数字孪生环境中注入异常流量，验证误报率≤0.5%、漏报率≤1%；（5）持续运营：通过ISOC对策略命中日志进行每日复核，月度滚动更新基线，季度复测。57.当工业边缘计算节点遭受“物理窃取+冷启动”攻击时，如何确保密钥不被破解？请给出技术方案。答案：①采用TPM2.0密封存储，将密钥与PCR寄存器度量值绑定，若启动度量值变化则密钥无法解封；②启用UEFISecureBoot，防止恶意固件篡改PCR；③使用DRAMPUF生成设备唯一密钥，结合TPM进行密钥封装，实现“一机一密”；④在边缘节点部署自毁电路，检测到外壳开启即触发熔断，清零SRAM中的密钥碎片；⑤远程证明：节点上线时向ISOC提交TPMQuote，验证PCR值与预期一致才注入业务密钥；⑥密钥分层：业务密钥由主密钥派生，主密钥仅在运行时驻留SRAM，掉电即失效。58.某汽车焊装车间MES系统遭勒索软件加密，生产停线。请给出完整的应急处置流程（含时间轴）。答案：T0：发现异常，立即启动Ⅱ级响应，通知应急指挥长；T0+5min：切断MES与PLC通信，切换至手动模式，保证焊装机器人安全停机；T0+10min：对MES服务器进行网络隔离，创建内存转储，开始取证；T0+20min：启用备用MES虚拟机，加载昨夜3-2-1备份，验证数据完整性；T0+40min：向集团ISOC上报，同步威胁情报，确认勒索家族为LockBit3.0；T0+60min：对全厂终端进行热扫描，关闭SMB共享，推送补丁；T2h：恢复生产，启动质量追溯，对焊装参数进行100%复检；T6h：完成根因分析，确认攻击入口为钓鱼邮件，修订邮件安全策略；T24h：向属地工信部门提交事件报告，开展全员安全意识培训；T72h：完成演练复盘，更新应急预案，修订RPO目标从4小时缩短至1小时。六、应用题（含计算/分析/综合，共50分）59.（计算题，15分）某石化企业DCS网络采用星型拓扑，核心交换机连接工程师站、操作员站、历史服务器、PLC机柜共120台设备。已知：交换机背板带宽=480Gbps；每个千兆端口理论吞吐量=1Gbps；实际流量模型：工程师站峰值上行800Mbps，操作员站平均200Mbps，历史服务器接收汇总流量，PLC机柜每台上报50Mbps；要求：任意两个设备间通信延迟≤5ms，丢包率≤0.001%。问题：（1）计算核心交换机所需的最小端口数；（5分）（2）判断现有背板带宽是否足够，并给出计算过程；（5分）（3）若需冗余，采用双核心堆叠，求堆叠链路最小带宽。（5分）答案：（1）工程师站10台、操作员站40台、历史服务器2台、PLC机柜68台，合计120台，需120个下行端口，另留4个上行端口至防火墙，总计124端口，选用128口千兆交换机即可。（2）实际峰值总流量=10×0.8+40×0.2+68×0.05=8+8+3.4=19.4Gbps。背板带宽480Gbps，远大于19.4Gbps，满足无阻塞交换。（3）双核心堆叠采用链路聚合，按50%负载分担，堆叠链路需≥19.4×0.5=9.7Gbps，选用2条10Gbps堆叠线缆即可。60.（分析题，15分）某风电场SCADA系统发现异常：每间隔10分钟，风机PLC收到一条伪造的“偏航角度设定值=90°”报文，导致风机频繁偏航，增大机械磨损。抓包文件显示源MAC为00:1B:3F:xx:xx:xx，目的IP为风机PLC192.168.10.50，协议为EtherNet/IP。任务：（1）给出定位攻击源的具体步骤；（8分）（2）提出两条临时遏制措施；（4分）（3）给出长期解决方案。（3分）答案：（1）步骤：①在核心交换机启用动态ARP检查，记录MAC-IP绑定；②通过SNMP获取交换机MAC地址表，定位00:1B:3F:xx:xx:xx所在端口；③对该端口进行镜像，抓取10分钟周期流量，确认伪造报文；④检查该端口下联设备，发现为某检修笔记本；⑤对笔记本硬盘进行取证，发现携带Python脚本，调用pylogix库构造EtherNet/IP报文。（2）临时遏制：①关闭该笔记本所在交换机端口；②在工业防火墙新增规则：禁止源IP非192.168.10.0/24的EtherNet/IP写操作。（3）长期方案：部署白名单+数字签名机制：风机PLC只接受经私钥签名的偏航指令，公钥预置在PLC内；检修工具须通过USBKey证书认证后方可下发控制命令。61.（综合题，20分）某省工业互联网安全监测平台拟接入1000家企业的流量数据，平均每家日产生日志500MB，峰值带宽200Mbps。平台采用省-市两级架构，要求：日志保存180天，压缩比≥5:1；支持秒级检索，检索字段≥50个；威胁检测准确率≥95%，误报率≤1%；满足等保三级，关键部件冗余。请给出总体架构