工业控制系统安全防护 试卷及答案 共3套

《工业控制系统安全防护》试题（A）卷第3页共3页XXX学院20XX—20XX学年第X学期《工业控制系统安全防护》期末考试试卷（A卷）考核形式（闭卷）班级姓名学号题号一二三四总分得分得分评卷人一、填空题（每空1分，共20分）工业控制系统（ICS）是一个通用术语，涵盖多种类型的控制系统，主要包括________、________、________、以及________。PLC的硬件结构基本由以下几部分组成，分别是________、________、‌存储器、输入单元、和输出单元。________协议，是一种用于传输超文本的应用层协议，它是万维网的通信基础。系统漏洞是指计算机系统在________、软件、协议的具体实现或系统安全策略上存在的缺陷。与计算机网络类似，工业控制系统的安全漏洞也大体分为________和________两类。主流防火墙技术一般有________、________和应用层防火墙。部署入侵检测系统所在的主机网卡一般需要设为________模式。在支持硬件故障自动旁路转换（________）功能的设备中，一旦设备故障，设备会自动________，保障正常业务流量不会中断。Profinet有三种通讯方式，分别是________、________和________。入侵检测系统一般由4个核心部分构成，即________、________、响应单元和事件数据库。得分评卷人二、判断题（每小题2分，共30分）PLC和RTU都具有中央处理器和存储器，其硬件结构均与计算机相似。（）工业控制系统安全标准目前只有国际标准，没有国内标准。（）Modbus以太网传输情况下，Modbus帧里面也包含差错校验。（）系统漏洞主要分软件漏洞和协议漏洞两大类。（）Windows操作系统里自带的Windows防火墙就是典型的软件形式的防火墙。（）包过滤防火墙，一般工作在物理层。（）入侵检测系统中事件分析器的作用是接收事件，并对其进行分析。（）工业控制系统的设备安装场地应远离自然灾害高发区域，如洪水区、地震带等。（）工业防火墙系统一般会支持多种工控协议的识别与检测，比如OPC、ModbusTCP等。（）传统的工业企业在数字化转型过程中会面临诸多网络安全风险。（）我们经常需要用ping来测试工控设备的可达性，ping命令是基于ARP协议实现的。（）应用网关防火墙，它是检查数据包应用层的信息。（）物理环境安全防护是工控系统防护的基础。（）Snort就是典型的基于规则的误用入侵检测系统。（）软件漏洞指的是由于编程语言存在漏洞或者开发者疏忽，在开发的软件中引入了错误、缺陷等安全问题。（）得分评卷人三、单选题（每小题2分，共20分）以下哪种不是SCADA系统的主要架构？（）A.集中式B.分布式C.网络式D.独立式PLC按控制规模分，I/O点数在多少点以下为微型机？（）A.64B.65-128C.129-512D.513-896PLC的‌存储器存放系统程序、用户程序、逻辑变量等信息。其中系统程序存储在？（）A.RAMB.ROMC.CPUD.IO在以下的这些工业控制系统安全标准中哪一项是国内标准？（）A.ISA/IEC62443B.ISO27001C.GB/T36324-2018D.IEC62264Modbus帧又被称之为（）。A.协议数据单元（PDU）B.应用数据单元（ADU）C.MBAP报文头D.Modbus数据域下列系统漏洞中，不属于软件漏洞的是？（）A.跨站脚本攻击（XSS）B.SQL注入C.弱密码D.缓冲区溢出入侵检测系统一般由事件产生器，事件分析器，响应单元和什么组成？（）A.事件数据库B.事件处理器C.事件检测器D.事件过滤器软件防火墙运行在主机的操作系统上，性能一般会受哪些方面影响？（）A.网络环境B.主机操作系统和主机硬件配置C.网络配置D.网络带宽以下哪种协议是将IP地址解析为MAC地址？（）A.SSHB.FTPC.ARPD.HTTP以下哪一项不是nmap基本常用的功能？（）A.主机探测B.端口扫描C.病毒查杀D.系统检测得分评卷人四、简答题（共30分）TCP协议是工业互联网最主流的传输协议，是工业互联网通信的基础，下图为TCP建立连接流程中的部分状态转换图。请根据图中流程回答下面问题。图中的状态A，B，C，D，E分别为什么状态？（10分）简述图中TCP建立连接过程中的几个主要步骤，step1-step5。（10分）简述状态防火墙在TCP连接建立过程中的是如何工作的。（10分）XXX学院20XX—20XX学年第X学期《工业控制系统安全防护》期末考试试卷（A卷）试题答案及评分标准填空题（每空1分，共20分）监控和数据采集系统（SCADA），分布式控制系统（DCS），可编程逻辑控制器（PLC），远程终端单元（RTU）注：填中文名称或者英文简写都给分电源，中央处理单元HTTP硬件软件，硬件包过滤型防火墙，状态检测型防火墙混杂Bypass，Bypass离线基于TCP/IP通讯、ProfinetRT和ProfinetIRT注：填ProfinetTCP/IP也给分事件产生器，事件分析器判断题（每小题2分，共30分）对错错错对错对对对对错对对对对注：本题打钩打叉也给分单选题（每小题2分，共20分）DABCBCABCC简答题（每小题10分，共30分）A：CLOSEDB：LISTENC：SYN_RCVDD：SYN_SENTE：ESTABLISHED注：每个状态2分Step1：服务器启动，进行了socket、bind和listen等动作，准备接收外部连接。服务器状态从CLOSED转移到LISTEN。Step2：客户端通过connect连接服务器，发送了一个SYN包，客户端从CLOSED转移到SYN_SENT。Step3：服务器端收到客户端的SYN包，返回一个ACK，同时再发送一个SYN。服务器端状态从LISTEN转移到SYN_RCVD。Step4：客户端收到服务器的SYN后，再返回一个ACK。客户端状态从SYN_SENT转移到ESTABLISHED。Step5：服务器收到客户端的ACK，状态从SYN_RECV转移到ESTABLISHED。注：每个步骤2分，状态转移正确即可给分态防火墙在TCP连接建立过程中工作步骤：1.客户端发起连接时，防火墙创建状态表，记录五元组、连接状态、超时值等信息，状态初始为SYN_SENT。2.服务器返回SYN+ACK包，防火墙更新状态表，连接状态变为SYN_RCVD。3.客户端回ACK完成三次握手，连接状态更新为ESTABLISHED。4.连接建立后，防火墙依据状态表校验报文；异常报文（如ESTABLISHED状态下收到SYN）会被阻断。5.防火墙会创建ACL表，允许服务器的响应报文返回客户端，保障会话正常通信。注：每个步骤2分，（建立状态表，更新状态表，TCP建立完成，根据状态表阻止异常报文，创建ACL表允许正常通讯）根据表述酌情给分XXX学院20XX—20XX学年第X学期《工业控制系统安全防护》期末考试试卷（B卷）考核形式（闭卷）班级姓名学号题号一二三四总分得分得分评卷人一、填空题（每空1分，共20分）1.工业控制系统（ICS）是一个通用术语，涵盖多种类型的控制系统，主要包括________、________、________、以及________。PLC的硬件结构基本由以下几部分组成，分别是‌电源、________、________、输入单元、和输出单元。________协议是网络通信中的基础工具，允许用户通过客户端软件与服务器进行交互，实现文件的上传、下载和其他文件操作。系统漏洞是指计算机系统在硬件、________、协议的具体实现或系统安全策略上存在的缺陷。与计算机网络类似，工业控制系统的安全漏洞也大体分为________和________两类。主流防火墙技术一般有包过滤型防火墙、________和________。部署入侵检测系统所在的主机网卡一般需要设为________模式。在支持硬件故障自动旁路转换（________）功能的设备中，一旦设备故障，设备会自动________，保障正常业务流量不会中断。Profinet有三种通讯方式，分别是________、________和________。入侵检测系统一般由4个核心部分构成，即事件产生器、________、________和事件数据库。得分评卷人二、判断题（每小题2分，共30分）现场设备层是工业控制系统的最底层，主要由可编程逻辑控制器（PLC）、分布式控制系统（DCS）等控制设备组成。（）工业控制协议例如Modbus，普遍缺乏身份认证、授权、加密等安全手段。（）弱密码是配置导致的漏洞。（）硬件防火墙一般相比软件防火墙有更快的处理速度，更高的性能。（）包过滤防火墙，一般工作在物理层。（）基于误用的入侵检测也能检测未知的入侵。（）工业控制系统的设备安装场地应远离自然灾害高发区域，如洪水区、地震带等。（）工业防火墙系统一般会支持多种工控协议的识别与检测，比如OPC、ModbusTCP等。（）传统的工业企业在数字化转型过程中会面临诸多网络安全风险。（）我们经常需要用ping来测试工控设备的可达性，ping命令是基于ICMP协议实现的。（）应用网关防火墙，它是检查数据包网络层的信息。（）物理环境安全防护是工控系统防护的基础。（）入侵检测系统获取所有通过这个网络的数据包的副本用来进行分析和入侵检测。（）nmap可以支持设备扫描，但是不支持web扫描。（）软件漏洞指的是由于编程语言存在漏洞或者开发者疏忽，在开发的软件中引入了错误、缺陷等安全问题。（）得分评卷人三、单选题（每小题2分，共20分）分布式控制系统（DCS）其主要特点是具有什么样的架构？（）A.集中式B.分布式C.网络式D.独立式以下哪种是DCS系统的核心？（）A.工程师站B.操作员站C.现场控制站D.系统网络PLC的‌存储器存放系统程序、用户程序、逻辑变量等信息。其中系统程序存储在？（）A.RAMB.ROMC.CPUD.IO在工业控制系统的层次体系中，以下属于监控层的是？（）A.DCS控制系统B.PLCC.RTUD.工程师站以下不属于Modbus常用的协议版本的是？（）A.ModbusRTUB.ModbusASCIIC.ModbusTCPD.ModbusMBAP下列系统漏洞中，不属于软件漏洞的是？（）A.跨站脚本攻击（XSS）B.SQL注入C.弱密码D.缓冲区溢出软件防火墙运行在主机的操作系统上，性能一般会受哪些方面影响？（）A.网络环境B.主机操作系统和主机硬件配置C.网络配置D.网络带宽Web应用程序漏洞扫描不能发现以下哪些漏洞？（）A.跨站脚本攻击（XSS）B.跨站请求伪造（CSRF）C.SQL注入D.操作系统漏洞Ping命令是基于什么协议实现的？（）A.ICMPB.ARPC.FTPD.HTTP在工业控制系统安全防护方案中，什么是工控系统防护的基础？（）A.物理环境安全防护B.网络通信安全防护C.主机和设备安全防护D.数据安全防护得分评卷人四、简答题（共30分）在工业控制系统里，入侵检测系统（IDS）应用非常广泛，是工业控制系统安全的必备设备。下图为入侵检测系统（IDS）部署示意图，请根据该示意图回答下面问题。该部署方式下，部署IDS的服务器网卡需要设置成什么模式？（4分）请写出IDS的核心工作流程。（12分）请分析这种IDS部署方式的优点和缺点。（8分）若攻击者对图中的服务器发起DDoS（分布式拒绝服务）攻击，IDS能否直接阻断攻击？为什么？（6分）XXX学院20XX—20XX学年第X学期《工业控制系统安全防护》期末考试试卷（B卷）试题答案及评分标准填空题（每空1分，共20分）监控和数据采集系统（SCADA），分布式控制系统（DCS），可编程逻辑控制器（PLC），远程终端单元（RTU）注：填中文名称或者英文简写都给分中央处理单元，存储器‌FTP软件软件，硬件状态检测型防火墙，应用层防火墙混杂Bypass，Bypass离线基于TCP/IP通讯、ProfinetRT和ProfinetIRT注：填ProfinetTCP/IP也给分事件分析器，响应单元判断题（每小题2分，共30分）错对对对错错对对对对错对对错对注：本题打钩打叉也给分单选题（每小题2分，共20分）BCBDDCBCAA简答题（每小题10分，共30分）混杂模式（4分）核心工作流程：1.流量数据采集（2分）；2.协议解析与特征匹配（2分）；3.异常行为分析（2分）；4.告警与日志记录（2分）；注：每个步骤2分，回答了关键点即可给分优点：不影响原有网络拓扑（2分）部署简单，无需修改现有设备配置（2分）缺点：只能检测攻击，无法主动阻断攻击（2分）流量过大，会导致IDS漏检（2分）注：每个点2分，回答了关键点即可给分若攻击者对图中的服务器发起DDoS（分布式拒绝服务）攻击，IDS不能直接阻断攻击（2分）因为部署IDS的服务器网卡设置的是混杂模式，IDS获取到的数据包是真实数据包的副本。（2分）仅被动监听和分析流量，无法直接丢弃或阻断真实的攻击报文（2分）。注：每个点2分，回答了关键点即可给分XXX学院20XX—20XX学年第X学期《工业控制系统安全防护》期末考试试卷（C卷）考核形式（闭卷）班级姓名学号题号一二三四总分得分得分评卷人一、填空题（每空1分，共20分）1.工业控制系统（ICS）是一个通用术语，涵盖多种类型的控制系统，主要包括________、________、________、以及________。PLC的硬件结构基本由以下几部分组成，分别是‌电源、中央处理单元、________、________、和输出单元。________协议，是一种用于传输超文本的应用层协议，它是万维网的通信基础。系统漏洞是指计算机系统在硬件、软件、________的具体实现或系统安全策略上存在的缺陷。与计算机网络类似，工业控制系统的安全漏洞也大体分为________和________两类。主流防火墙技术一般有________、________和应用层防火墙。部署入侵检测系统所在的主机网卡一般需要设为________模式。在支持硬件故障自动旁路转换（________）功能的设备中，一旦设备故障，设备会自动________，保障正常业务流量不会中断。Profinet有三种通讯方式，分别是________、________和________。入侵检测系统一般由4个核心部分构成，即事件产生器、事件分析器、________和________。得分评卷人二、判断题（每小题2分，共30分）Modbus以太网传输情况下，Modbus帧里面也包含差错校验。（）PLC和RTU都具有中央处理器和存储器，其硬件结构均与计算机相似。（）系统漏洞主要分软件漏洞和协议漏洞两大类。（）硬件防火墙一般相比软件防火墙有更快的处理速度，更高的性能。（）包过滤防火墙，一般工作在物理层。（）基于误用的入侵检测也能检测未知的入侵。（）工业控制系统的设备安装场地应远离自然灾害高发区域，如洪水区、地震带等。（）一旦支持硬件故障自动旁路转换（Bypass）功能的设备出现故障，网络中正常的业务也会被中断。（）传统的工业企业在数字化转型过程中会面临诸多网络安全风险。（）我们经常需要用ping来测试工控设备的可达性，ping命令是基于ICMP协议实现的。（）应用网关防火墙，它是检查数据包网络层的信息。（）物理环境安全防护是工控系统防护的基础。（）Snort就是典型的基于规则的误用入侵检测系统。（）入侵检测系统获取所有通过这个网络的数据包的副本用来进行分析和入侵检测。（）nmap可以支持设备扫描，也支持web扫描。（）得分评卷人三、单选题（每小题2分，共20分）以下哪种不是SCADA系统的主要架构？（）A.集中式B.分布式C.网络式D.独立式以下哪种是DCS系统的核心？（）A.工程师站B.操作员站C.现场控制站D.系统网络PLC按控制规模分，I/O点数在多少点以下为微型机？（）A.64B.65-128C.129-512D.513-896在工业控制系统的层次体系中，以下属于监控层的是？（）A.DCS控制系统B.PLCC.RTUD.工程师站以下哪种协议是将IP地址解析为MAC地址？（）A.SSHB.FTPC.ARPD.HTTP下列系统漏洞中，属于配置漏洞的是？（）A.跨站脚本攻击（XSS）B.SQL注入C.弱密码D.缓冲区溢出以下哪一项不是nmap基本常用的功能？（）A.主机探测B.端口扫描C.病毒查杀D.系统检测Web应用程序漏洞扫描不能发现以下哪些漏洞？（）A.跨站脚本攻击（XSS）B.跨站请求伪造（CSRF）C.SQL注入D.操作系统漏洞Ping命令是基于什么协议实现的？（）A.ICMPB.ARPC.FTPD.HTTP在工业控制系统安全防护方案中，什么是工控系统防护的核心？（）A.物理环境安全防护B.网络通信安全防护C.主机和设备安全防护D.数据安全防护得分评卷人四、简答题（共30分）CA证书配置流程应用广泛，是工业控制系统安全防护的主流技术方向之一，下图为CA证书配置流程图，请根据图中流程回答下面问题。根据图中的步骤编号，请分别说明步骤1-5的核心目的是什么？（15分）为什么主机B必须先安装CA证书，才能正常通过HTTPS访问主机A？（5分）若主机B在访问主机A的HTTPS服务时，浏览器提示“此网站的安全证书不受信任”，请写出一种可能的原因及对应的解决方法。（5分）简述HTTPS访问过程中，CA证书如何防止中间人攻击？（5分）XXX学院20XX—20XX学年第X学期《