工业控制系统安全防护 试卷及答案 C卷

《工业控制系统安全防护》试题（C）卷第3页共3页XXX学院20XX—20XX学年第X学期《工业控制系统安全防护》期末考试试卷（C卷）考核形式（闭卷）班级姓名学号题号一二三四总分得分得分评卷人一、填空题（每空1分，共20分）1.工业控制系统（ICS）是一个通用术语，涵盖多种类型的控制系统，主要包括________、________、________、以及________。PLC的硬件结构基本由以下几部分组成，分别是‌电源、中央处理单元、________、________、和输出单元。________协议，是一种用于传输超文本的应用层协议，它是万维网的通信基础。系统漏洞是指计算机系统在硬件、软件、________的具体实现或系统安全策略上存在的缺陷。与计算机网络类似，工业控制系统的安全漏洞也大体分为________和________两类。主流防火墙技术一般有________、________和应用层防火墙。部署入侵检测系统所在的主机网卡一般需要设为________模式。在支持硬件故障自动旁路转换（________）功能的设备中，一旦设备故障，设备会自动________，保障正常业务流量不会中断。Profinet有三种通讯方式，分别是________、________和________。入侵检测系统一般由4个核心部分构成，即事件产生器、事件分析器、________和________。得分评卷人二、判断题（每小题2分，共30分）Modbus以太网传输情况下，Modbus帧里面也包含差错校验。（）PLC和RTU都具有中央处理器和存储器，其硬件结构均与计算机相似。（）系统漏洞主要分软件漏洞和协议漏洞两大类。（）硬件防火墙一般相比软件防火墙有更快的处理速度，更高的性能。（）包过滤防火墙，一般工作在物理层。（）基于误用的入侵检测也能检测未知的入侵。（）工业控制系统的设备安装场地应远离自然灾害高发区域，如洪水区、地震带等。（）一旦支持硬件故障自动旁路转换（Bypass）功能的设备出现故障，网络中正常的业务也会被中断。（）传统的工业企业在数字化转型过程中会面临诸多网络安全风险。（）我们经常需要用ping来测试工控设备的可达性，ping命令是基于ICMP协议实现的。（）应用网关防火墙，它是检查数据包网络层的信息。（）物理环境安全防护是工控系统防护的基础。（）Snort就是典型的基于规则的误用入侵检测系统。（）入侵检测系统获取所有通过这个网络的数据包的副本用来进行分析和入侵检测。（）nmap可以支持设备扫描，也支持web扫描。（）得分评卷人三、单选题（每小题2分，共20分）以下哪种不是SCADA系统的主要架构？（）A.集中式B.分布式C.网络式D.独立式以下哪种是DCS系统的核心？（）A.工程师站B.操作员站C.现场控制站D.系统网络PLC按控制规模分，I/O点数在多少点以下为微型机？（）A.64B.65-128C.129-512D.513-896在工业控制系统的层次体系中，以下属于监控层的是？（）A.DCS控制系统B.PLCC.RTUD.工程师站以下哪种协议是将IP地址解析为MAC地址？（）A.SSHB.FTPC.ARPD.HTTP下列系统漏洞中，属于配置漏洞的是？（）A.跨站脚本攻击（XSS）B.SQL注入C.弱密码D.缓冲区溢出以下哪一项不是nmap基本常用的功能？（）A.主机探测B.端口扫描C.病毒查杀D.系统检测Web应用程序漏洞扫描不能发现以下哪些漏洞？（）A.跨站脚本攻击（XSS）B.跨站请求伪造（CSRF）C.SQL注入D.操作系统漏洞Ping命令是基于什么协议实现的？（）A.ICMPB.ARPC.FTPD.HTTP在工业控制系统安全防护方案中，什么是工控系统防护的核心？（）A.物理环境安全防护B.网络通信安全防护C.主机和设备安全防护D.数据安全防护得分评卷人四、简答题（共30分）CA证书配置流程应用广泛，是工业控制系统安全防护的主流技术方向之一，下图为CA证书配置流程图，请根据图中流程回答下面问题。根据图中的步骤编号，请分别说明步骤1-5的核心目的是什么？（15分）为什么主机B必须先安装CA证书，才能正常通过HTTPS访问主机A？（5分）若主机B在访问主机A的HTTPS服务时，浏览器提示“此网站的安全证书不受信任”，请写出一种可能的原因及对应的解决方法。（5分）简述HTTPS访问过程中，CA证书如何防止中间人攻击？（5分）XXX学院20XX—20XX学年第X学期《工业控制系统安全防护》期末考试试卷（C卷）试题答案及评分标准填空题（每空1分，共20分）监控和数据采集系统（SCADA），分布式控制系统（DCS），可编程逻辑控制器（PLC），远程终端单元（RTU）注：填中文名称或者英文简写都给分存储器，输入单元‌HTTP协议软件，硬件包过滤防火墙，状态检测型防火墙混杂Bypass，Bypass离线基于TCP/IP通讯、ProfinetRT和ProfinetIRT注：填ProfinetTCP/IP也给分响应单元，事件数据库判断题（每小题2分，共30分）错对错对错错对错对对错对对对对注：本题打钩打叉也给分单选题（每小题2分，共20分）DCADCCCCAB简答题（每小题10分，共30分）步骤1-5的核心目的分别是：步骤1：Web服务器向权威CA机构证明自己的身份，申请用于加密通信的服务器证书。步骤2：将CA颁发的证书部署到Web服务器，开启HTTPS加密服务，配置SSL/TLS。步骤3：客户端主机B获取信任根证书，用于后续验证Web服务器证书的合法性。步骤4：将CA根证书导入客户端系统/浏览器的信任列表，建立对CA的信任链。步骤5：客户端与服务器完成SSL/TLS握手，建立加密、可信任的通信通道。注：每个步骤3分，回答了关键点即可给分主机A的Web服务器证书由CA签发，主机B的浏览器默认不信任未知CA签发的证书。（3分）主机B安装CA证书后，才能通过证书链验证主机A证书的合法性，确认对方是真实服务器而非伪造站点。（2分）注：回答了关键点即可给分原因：主机B未安装或未正确导入CA根证书。（3分）