工业控制系统安全防护 试卷及答案 A卷

《工业控制系统安全防护》试题（A）卷第3页共3页XXX学院20XX—20XX学年第X学期《工业控制系统安全防护》期末考试试卷（A卷）考核形式（闭卷）班级姓名学号题号一二三四总分得分得分评卷人一、填空题（每空1分，共20分）工业控制系统（ICS）是一个通用术语，涵盖多种类型的控制系统，主要包括________、________、________、以及________。PLC的硬件结构基本由以下几部分组成，分别是________、________、‌存储器、输入单元、和输出单元。________协议，是一种用于传输超文本的应用层协议，它是万维网的通信基础。系统漏洞是指计算机系统在________、软件、协议的具体实现或系统安全策略上存在的缺陷。与计算机网络类似，工业控制系统的安全漏洞也大体分为________和________两类。主流防火墙技术一般有________、________和应用层防火墙。部署入侵检测系统所在的主机网卡一般需要设为________模式。在支持硬件故障自动旁路转换（________）功能的设备中，一旦设备故障，设备会自动________，保障正常业务流量不会中断。Profinet有三种通讯方式，分别是________、________和________。入侵检测系统一般由4个核心部分构成，即________、________、响应单元和事件数据库。得分评卷人二、判断题（每小题2分，共30分）PLC和RTU都具有中央处理器和存储器，其硬件结构均与计算机相似。（）工业控制系统安全标准目前只有国际标准，没有国内标准。（）Modbus以太网传输情况下，Modbus帧里面也包含差错校验。（）系统漏洞主要分软件漏洞和协议漏洞两大类。（）Windows操作系统里自带的Windows防火墙就是典型的软件形式的防火墙。（）包过滤防火墙，一般工作在物理层。（）入侵检测系统中事件分析器的作用是接收事件，并对其进行分析。（）工业控制系统的设备安装场地应远离自然灾害高发区域，如洪水区、地震带等。（）工业防火墙系统一般会支持多种工控协议的识别与检测，比如OPC、ModbusTCP等。（）传统的工业企业在数字化转型过程中会面临诸多网络安全风险。（）我们经常需要用ping来测试工控设备的可达性，ping命令是基于ARP协议实现的。（）应用网关防火墙，它是检查数据包应用层的信息。（）物理环境安全防护是工控系统防护的基础。（）Snort就是典型的基于规则的误用入侵检测系统。（）软件漏洞指的是由于编程语言存在漏洞或者开发者疏忽，在开发的软件中引入了错误、缺陷等安全问题。（）得分评卷人三、单选题（每小题2分，共20分）以下哪种不是SCADA系统的主要架构？（）A.集中式B.分布式C.网络式D.独立式PLC按控制规模分，I/O点数在多少点以下为微型机？（）A.64B.65-128C.129-512D.513-896PLC的‌存储器存放系统程序、用户程序、逻辑变量等信息。其中系统程序存储在？（）A.RAMB.ROMC.CPUD.IO在以下的这些工业控制系统安全标准中哪一项是国内标准？（）A.ISA/IEC62443B.ISO27001C.GB/T36324-2018D.IEC62264Modbus帧又被称之为（）。A.协议数据单元（PDU）B.应用数据单元（ADU）C.MBAP报文头D.Modbus数据域下列系统漏洞中，不属于软件漏洞的是？（）A.跨站脚本攻击（XSS）B.SQL注入C.弱密码D.缓冲区溢出入侵检测系统一般由事件产生器，事件分析器，响应单元和什么组成？（）A.事件数据库B.事件处理器C.事件检测器D.事件过滤器软件防火墙运行在主机的操作系统上，性能一般会受哪些方面影响？（）A.网络环境B.主机操作系统和主机硬件配置C.网络配置D.网络带宽以下哪种协议是将IP地址解析为MAC地址？（）A.SSHB.FTPC.ARPD.HTTP以下哪一项不是nmap基本常用的功能？（）A.主机探测B.端口扫描C.病毒查杀D.系统检测得分评卷人四、简答题（共30分）TCP协议是工业互联网最主流的传输协议，是工业互联网通信的基础，下图为TCP建立连接流程中的部分状态转换图。请根据图中流程回答下面问题。图中的状态A，B，C，D，E分别为什么状态？（10分）简述图中TCP建立连接过程中的几个主要步骤，step1-step5。（10分）简述状态防火墙在TCP连接建立过程中的是如何工作的。（10分）XXX学院20XX—20XX学年第X学期《工业控制系统安全防护》期末考试试卷（A卷）试题答案及评分标准填空题（每空1分，共20分）监控和数据采集系统（SCADA），分布式控制系统（DCS），可编程逻辑控制器（PLC），远程终端单元（RTU）注：填中文名称或者英文简写都给分电源，中央处理单元HTTP硬件软件，硬件包过滤型防火墙，状态检测型防火墙混杂Bypass，Bypass离线基于TCP/IP通讯、ProfinetRT和ProfinetIRT注：填ProfinetTCP/IP也给分事件产生器，事件分析器判断题（每小题2分，共30分）对错错错对错对对对对错对对对对注：本题打钩打叉也给分单选题（每小题2分，共20分）DABCBCABCC简答题（每小题10分，共30分）A：CLOSEDB：LISTENC：SYN_RCVDD：SYN_SENTE：ESTABLISHED注：每个状态2分Step1：服务器启动，进行了socket、bind和listen等动作，准备接收外部连接。服务器状态从CLOSED转移到LISTEN。Step2：客户端通过connect连接服务器，发送了一个SYN包，客户端从CLOSED转移到SYN_SENT。Step3：服务器端收到客户端的SYN包，返回一个ACK，同时再发送一个SYN。服务器端状态从LISTEN转移到SYN_RCVD。Step4：客户端收到服务器的SYN后，再返回一个ACK。客户端状态从SYN_SENT转移到ESTABLISHED。Step5：服务器收到客户端的ACK，状态从SYN_RECV转移到ESTABLISHED。注：每个步骤2分，状态转移正确即可给分态防火墙在TCP连接建立过程中工作步骤：1.客户端发起连接时，防火墙创建状态表，记录五元组、连接状态、超时值等信息，状态初始为SYN_SENT。2.服务器返回SYN+ACK包，防火墙更新状态表，连接状态变为SYN_RCVD。3.客户端回ACK完成三次握手，连接状态更新为ESTABLISHED。4.连接建