第第頁(yè)新能源網(wǎng)絡(luò)安全測(cè)試題及答案解析（含答案及解析）姓名：科室/部門(mén)/班級(jí)：得分：題型單選題多選題判斷題填空題簡(jiǎn)答題案例分析題總分得分

一、單選題（共20分）

（請(qǐng)將正確選項(xiàng)的首字母填入括號(hào)內(nèi)）

1.在新能源汽車(chē)BMS（電池管理系統(tǒng)）網(wǎng)絡(luò)安全測(cè)試中，以下哪種攻擊方式最可能通過(guò)篡改電池電壓采樣數(shù)據(jù)來(lái)觸發(fā)系統(tǒng)過(guò)充保護(hù)？

A.惡意軟件注入

B.物理接口篡改

C.無(wú)線信號(hào)干擾

D.認(rèn)證繞過(guò)

2.依據(jù)《汽車(chē)信息安全技術(shù)數(shù)據(jù)安全指南》（GB/T36620-2018），以下哪個(gè)環(huán)節(jié)不屬于新能源汽車(chē)數(shù)據(jù)安全生命周期管理范疇？

A.數(shù)據(jù)傳輸加密

B.車(chē)輛遠(yuǎn)程升級(jí)（OTA）

C.車(chē)載終端固件版本管理

D.用戶(hù)駕駛行為分析

3.在新能源汽車(chē)CAN（控制器局域網(wǎng)）總線滲透測(cè)試中，攻擊者發(fā)現(xiàn)某車(chē)型未啟用29bit地址過(guò)濾，以下哪種場(chǎng)景最易利用該漏洞實(shí)現(xiàn)中間人攻擊？

A.短距離無(wú)線監(jiān)聽(tīng)

B.同頻段信號(hào)偽造

C.物理接口直連

D.藍(lán)牙信令注入

4.根據(jù)國(guó)際標(biāo)準(zhǔn)ISO/SAE21434（Roadvehicles—Cybersecurityengineering），以下哪項(xiàng)安全需求屬于“功能安全”范疇而非“信息安全”？

A.車(chē)輛身份認(rèn)證

B.遠(yuǎn)程控制權(quán)限管理

C.數(shù)據(jù)加密傳輸

D.車(chē)載診斷（ODX）配置

5.在新能源汽車(chē)OTA升級(jí)安全測(cè)試中，攻擊者通過(guò)截獲固件包并篡改啟動(dòng)簽名，以下哪種防御機(jī)制最能有效攔截該攻擊？

A.HMAC-SHA256校驗(yàn)

B.時(shí)間戳驗(yàn)證

C.雙因素認(rèn)證

D.安全啟動(dòng)（SecureBoot）

6.測(cè)試新能源汽車(chē)T-Box（遠(yuǎn)程信息處理終端）時(shí)，發(fā)現(xiàn)其HTTPS協(xié)議未使用TLS1.3版本，以下哪個(gè)風(fēng)險(xiǎn)最為突出？

A.數(shù)據(jù)傳輸延遲增加

B.對(duì)舊設(shè)備兼容性下降

C.易受POODLE攻擊

D.證書(shū)鏈驗(yàn)證失效

7.在新能源汽車(chē)信息安全滲透測(cè)試中，以下哪種工具最適用于檢測(cè)CAN總線通信中的未授權(quán)節(jié)點(diǎn)？

A.Wireshark

B.CANoe

C.OBD-II診斷儀

D.BurpSuite

8.根據(jù)《電動(dòng)汽車(chē)安全要求》（GB38031-2020），以下哪項(xiàng)測(cè)試不屬于新能源汽車(chē)網(wǎng)絡(luò)安全強(qiáng)制性要求？

A.車(chē)載終端漏洞掃描

B.遠(yuǎn)程控制功能測(cè)試

C.數(shù)據(jù)傳輸加密強(qiáng)度檢測(cè)

D.靜電放電抗擾度測(cè)試

9.在新能源汽車(chē)信息安全風(fēng)險(xiǎn)評(píng)估中，以下哪個(gè)場(chǎng)景屬于“不可接受風(fēng)險(xiǎn)”？

A.遠(yuǎn)程解鎖功能被破解

B.車(chē)輛位置信息泄露

C.CAN總線數(shù)據(jù)被監(jiān)聽(tīng)

D.OTA升級(jí)被篡改

10.測(cè)試新能源汽車(chē)網(wǎng)關(guān)安全時(shí)，發(fā)現(xiàn)其默認(rèn)管理密碼為“admin”，以下哪個(gè)措施最優(yōu)先推薦？

A.增加WAF防護(hù)

B.啟用VPN加密

C.修改默認(rèn)密碼

D.更換管理協(xié)議

11.在新能源汽車(chē)信息安全攻防演練中，攻擊者通過(guò)偽造GPS信號(hào)實(shí)現(xiàn)車(chē)輛軌跡篡改，以下哪個(gè)安全機(jī)制最能有效防御該攻擊？

A.數(shù)字羅盤(pán)校準(zhǔn)

B.行駛軌跡交叉驗(yàn)證

C.藍(lán)牙信令同步

D.車(chē)載終端物理鎖

12.根據(jù)NISTSP800-207（CybersecurityFrameworkfortheInternetofThings），以下哪個(gè)安全控制措施屬于“識(shí)別”（Identify）功能范疇？

A.多因素認(rèn)證

B.日志審計(jì)

C.安全配置管理

D.數(shù)據(jù)加密

13.在新能源汽車(chē)信息安全滲透測(cè)試中，發(fā)現(xiàn)某車(chē)型未實(shí)現(xiàn)DoS防護(hù)，以下哪個(gè)場(chǎng)景最易導(dǎo)致系統(tǒng)癱瘓？

A.HTTP請(qǐng)求洪水攻擊

B.CAN總線數(shù)據(jù)注入

C.藍(lán)牙連接劫持

D.固件包篡改

14.測(cè)試新能源汽車(chē)信息安全時(shí)，以下哪個(gè)工具最適用于檢測(cè)無(wú)線通信中的信號(hào)泄露？

A.Nessus

B.AirMagnetSurveyPro

C.Metasploit

D.Aircrack-ng

15.根據(jù)《汽車(chē)信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求》（GB/T33190-2016），以下哪個(gè)級(jí)別適用于關(guān)鍵信息基礎(chǔ)設(shè)施中的新能源汽車(chē)？

A.等級(jí)I（非重要系統(tǒng)）

B.等級(jí)II（重要系統(tǒng)）

C.等級(jí)III（核心系統(tǒng)）

D.等級(jí)IV（特殊系統(tǒng)）

16.在新能源汽車(chē)信息安全滲透測(cè)試中，攻擊者通過(guò)偽造CAN報(bào)文實(shí)現(xiàn)引擎控制參數(shù)篡改，以下哪個(gè)安全需求最易被繞過(guò)？

A.認(rèn)證機(jī)制

B.數(shù)據(jù)完整性校驗(yàn)

C.訪問(wèn)控制

D.日志記錄

17.測(cè)試新能源汽車(chē)信息安全時(shí)，發(fā)現(xiàn)某車(chē)型未實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)（IDS），以下哪個(gè)風(fēng)險(xiǎn)最為突出？

A.系統(tǒng)響應(yīng)延遲增加

B.隱私數(shù)據(jù)泄露

C.車(chē)輛功能異常

D.遠(yuǎn)程控制失效

18.在新能源汽車(chē)信息安全風(fēng)險(xiǎn)評(píng)估中，以下哪個(gè)場(chǎng)景屬于“中風(fēng)險(xiǎn)”？

A.車(chē)輛控制權(quán)被接管

B.遠(yuǎn)程信息處理終端被攻破

C.數(shù)據(jù)傳輸中存在明文傳輸

D.OTA升級(jí)被篡改

19.測(cè)試新能源汽車(chē)信息安全時(shí)，發(fā)現(xiàn)某車(chē)型未實(shí)現(xiàn)安全啟動(dòng)（SecureBoot），以下哪個(gè)漏洞最易被利用？

A.固件包篡改

B.數(shù)據(jù)傳輸加密失效

C.藍(lán)牙信令注入

D.CAN總線監(jiān)聽(tīng)

20.根據(jù)ISO26262（Roadvehicles—Functionalsafety），以下哪個(gè)安全等級(jí)適用于新能源汽車(chē)信息安全？

A.ASILA

B.ASILB

C.ASILC

D.ASILD

二、多選題（共15分，多選、錯(cuò)選均不得分）

（請(qǐng)將正確選項(xiàng)的首字母填入括號(hào)內(nèi)）

21.在新能源汽車(chē)信息安全滲透測(cè)試中，以下哪些技術(shù)可用于檢測(cè)CAN總線通信中的未授權(quán)節(jié)點(diǎn)？

A.CAN報(bào)文解碼

B.信號(hào)注入分析

C.頻譜掃描

D.機(jī)器學(xué)習(xí)異常檢測(cè)

22.根據(jù)《汽車(chē)信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求》，以下哪些措施屬于“物理安全”范疇？

A.車(chē)載終端物理鎖

B.數(shù)據(jù)傳輸加密

C.遠(yuǎn)程訪問(wèn)控制

D.防火墻配置

23.在新能源汽車(chē)信息安全風(fēng)險(xiǎn)評(píng)估中，以下哪些因素屬于“威脅”要素？

A.黑客攻擊

B.設(shè)備漏洞

C.操作人員失誤

D.自然災(zāi)害

24.測(cè)試新能源汽車(chē)信息安全時(shí)，以下哪些場(chǎng)景屬于“數(shù)據(jù)安全”范疇？

A.遠(yuǎn)程診斷數(shù)據(jù)傳輸

B.車(chē)輛位置信息存儲(chǔ)

C.OTA升級(jí)固件包

D.藍(lán)牙配對(duì)記錄

25.在新能源汽車(chē)信息安全攻防演練中，攻擊者通過(guò)偽造GPS信號(hào)實(shí)現(xiàn)車(chē)輛軌跡篡改，以下哪些安全機(jī)制最能有效防御該攻擊？

A.數(shù)字羅盤(pán)校準(zhǔn)

B.行駛軌跡交叉驗(yàn)證

C.車(chē)載終端物理鎖

D.多源定位驗(yàn)證

三、判斷題（共10分，每題0.5分）

（請(qǐng)將正確打“√”，錯(cuò)誤打“×”）

26.根據(jù)《電動(dòng)汽車(chē)安全要求》（GB38031-2020），新能源汽車(chē)必須實(shí)現(xiàn)CAN總線通信加密。

27.測(cè)試新能源汽車(chē)信息安全時(shí)，發(fā)現(xiàn)某車(chē)型未實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)（IDS），屬于合規(guī)性風(fēng)險(xiǎn)。

28.在新能源汽車(chē)信息安全滲透測(cè)試中，攻擊者通過(guò)截獲固件包并篡改啟動(dòng)簽名，屬于拒絕服務(wù)攻擊。

29.根據(jù)ISO/SAE21434，新能源汽車(chē)信息安全要求必須高于功能安全要求。

30.測(cè)試新能源汽車(chē)信息安全時(shí)，發(fā)現(xiàn)某車(chē)型默認(rèn)管理密碼為“admin”，屬于設(shè)計(jì)缺陷。

31.在新能源汽車(chē)信息安全風(fēng)險(xiǎn)評(píng)估中，不可接受風(fēng)險(xiǎn)必須立即整改。

32.測(cè)試新能源汽車(chē)信息安全時(shí)，發(fā)現(xiàn)某車(chē)型未實(shí)現(xiàn)多因素認(rèn)證，屬于中風(fēng)險(xiǎn)。

33.根據(jù)NISTCSF，數(shù)據(jù)加密屬于“保護(hù)”（Protect）功能范疇。

34.在新能源汽車(chē)信息安全滲透測(cè)試中，攻擊者通過(guò)偽造CAN報(bào)文實(shí)現(xiàn)引擎控制參數(shù)篡改，屬于拒絕服務(wù)攻擊。

35.測(cè)試新能源汽車(chē)信息安全時(shí)，發(fā)現(xiàn)某車(chē)型未實(shí)現(xiàn)安全啟動(dòng)（SecureBoot），屬于高優(yōu)先級(jí)漏洞。

四、填空題（共15分，每空1分）

（請(qǐng)將答案填入橫線處）

36.在新能源汽車(chē)信息安全測(cè)試中，______是檢測(cè)CAN總線通信中未授權(quán)節(jié)點(diǎn)的常用方法。

37.根據(jù)《汽車(chē)信息安全技術(shù)數(shù)據(jù)安全指南》，______是保護(hù)車(chē)載敏感數(shù)據(jù)的核心措施。

38.測(cè)試新能源汽車(chē)信息安全時(shí)，發(fā)現(xiàn)某車(chē)型未實(shí)現(xiàn)______，易導(dǎo)致遠(yuǎn)程控制功能被接管。

39.在新能源汽車(chē)信息安全風(fēng)險(xiǎn)評(píng)估中，______是衡量威脅發(fā)生可能性的關(guān)鍵指標(biāo)。

40.測(cè)試新能源汽車(chē)信息安全時(shí)，發(fā)現(xiàn)某車(chē)型未實(shí)現(xiàn)______，易導(dǎo)致固件包被篡改。

41.根據(jù)ISO26262，新能源汽車(chē)信息安全要求必須滿(mǎn)足______安全原則。

42.在新能源汽車(chē)信息安全滲透測(cè)試中，攻擊者通過(guò)______技術(shù)可檢測(cè)無(wú)線通信中的信號(hào)泄露。

43.測(cè)試新能源汽車(chē)信息安全時(shí)，發(fā)現(xiàn)某車(chē)型未實(shí)現(xiàn)______，易導(dǎo)致數(shù)據(jù)傳輸中存在明文傳輸。

44.根據(jù)NISTCSF，______是識(shí)別和記錄安全事件的關(guān)鍵步驟。

45.在新能源汽車(chē)信息安全攻防演練中，攻擊者通過(guò)______技術(shù)可偽造車(chē)輛軌跡。

五、簡(jiǎn)答題（共25分）

46.簡(jiǎn)述新能源汽車(chē)信息安全滲透測(cè)試的主要流程及關(guān)鍵步驟。

47.結(jié)合實(shí)際案例，分析新能源汽車(chē)信息安全風(fēng)險(xiǎn)評(píng)估中的“威脅”要素及應(yīng)對(duì)措施。

48.根據(jù)《汽車(chē)信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求》，簡(jiǎn)述新能源汽車(chē)信息安全等級(jí)保護(hù)的核心要求。

49.測(cè)試新能源汽車(chē)信息安全時(shí)，發(fā)現(xiàn)某車(chē)型未實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)（IDS），分析可能存在的安全風(fēng)險(xiǎn)及整改建議。

六、案例分析題（共15分）

案例背景：某新能源汽車(chē)品牌車(chē)型發(fā)生信息安全事件，攻擊者通過(guò)偽造CAN報(bào)文，篡改車(chē)輛電池管理系統(tǒng)的充電參數(shù)，導(dǎo)致部分車(chē)輛出現(xiàn)電池過(guò)充現(xiàn)象。經(jīng)調(diào)查，該車(chē)型存在以下問(wèn)題：

-CAN總線通信未實(shí)現(xiàn)加密；

-未實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)（IDS）；

-遠(yuǎn)程診斷功能存在未授權(quán)訪問(wèn)漏洞。

問(wèn)題：

1.分析該案例中的核心安全問(wèn)題及攻擊路徑。

2.提出針對(duì)該案例的整改措施及預(yù)防建議。

3.總結(jié)該案例對(duì)新能源汽車(chē)信息安全測(cè)試的啟示。

參考答案及解析部分

一、單選題（共20分）

1.B

解析：物理接口篡改最易直接修改電池電壓采樣數(shù)據(jù)，其他選項(xiàng)攻擊方式較間接。

2.D

解析：用戶(hù)駕駛行為分析屬于數(shù)據(jù)分析范疇，其他選項(xiàng)均屬于數(shù)據(jù)安全生命周期管理。

3.B

解析：同頻段信號(hào)偽造可繞過(guò)29bit地址過(guò)濾，其他選項(xiàng)需物理接觸或長(zhǎng)距離干擾。

4.A

解析：身份認(rèn)證屬于信息安全范疇，其他選項(xiàng)均屬于功能安全要求。

5.A

解析：HMAC-SHA256校驗(yàn)可驗(yàn)證固件包完整性，其他選項(xiàng)無(wú)法防止簽名篡改。

6.C

解析：TLS1.3可防御POODLE攻擊，其他選項(xiàng)與協(xié)議版本無(wú)關(guān)。

7.B

解析：CANoe可模擬和分析CAN總線通信，其他選項(xiàng)功能有限。

8.D

解析：靜電放電抗擾度測(cè)試屬于電磁兼容測(cè)試，不屬于網(wǎng)絡(luò)安全測(cè)試。

9.D

解析：OTA升級(jí)被篡改會(huì)導(dǎo)致系統(tǒng)功能異常，屬于不可接受風(fēng)險(xiǎn)。

10.C

解析：修改默認(rèn)密碼是最優(yōu)先措施，其他選項(xiàng)需配合實(shí)施。

11.B

解析：行駛軌跡交叉驗(yàn)證可檢測(cè)異常軌跡，其他選項(xiàng)無(wú)法直接防御信號(hào)偽造。

12.B

解析：日志審計(jì)屬于識(shí)別功能，其他選項(xiàng)屬于保護(hù)或響應(yīng)功能。

13.A

解析：HTTP請(qǐng)求洪水攻擊易導(dǎo)致DoS，其他選項(xiàng)攻擊方式較間接。

14.B

解析：AirMagnetSurveyPro可檢測(cè)無(wú)線信號(hào)泄露，其他選項(xiàng)功能有限。

15.C

解析：核心系統(tǒng)屬于等級(jí)III，其他級(jí)別風(fēng)險(xiǎn)較低。

16.B

解析：數(shù)據(jù)完整性校驗(yàn)易被繞過(guò)，其他選項(xiàng)需配合實(shí)現(xiàn)。

17.B

解析：未實(shí)現(xiàn)IDS會(huì)導(dǎo)致隱私數(shù)據(jù)泄露，其他選項(xiàng)影響較輕。

18.C

解析：數(shù)據(jù)傳輸中存在明文傳輸屬于中風(fēng)險(xiǎn)，其他選項(xiàng)屬于高風(fēng)險(xiǎn)。

19.A

解析：未實(shí)現(xiàn)SecureBoot易被固件篡改，其他選項(xiàng)影響較輕。

20.B

解析：ASILB適用于信息安全要求，其他ASIL等級(jí)過(guò)高或過(guò)低。

二、多選題（共15分，多選、錯(cuò)選均不得分）

21.ABC

解析：CAN報(bào)文解碼、信號(hào)注入分析、頻譜掃描可檢測(cè)未授權(quán)節(jié)點(diǎn)，機(jī)器學(xué)習(xí)異常檢測(cè)不直接適用。

22.AB

解析：物理鎖、防火墻配置屬于物理安全，其他選項(xiàng)屬于網(wǎng)絡(luò)安全。

23.AC

解析：黑客攻擊、操作人員失誤屬于威脅，設(shè)備漏洞屬于脆弱性。

24.ABC

解析：遠(yuǎn)程診斷數(shù)據(jù)傳輸、車(chē)輛位置信息存儲(chǔ)、OTA固件包均屬于數(shù)據(jù)安全范疇。

25.BD

解析：行駛軌跡交叉驗(yàn)證、多源定位驗(yàn)證可有效防御軌跡篡改，其他選項(xiàng)較無(wú)效。

三、判斷題（共10分，每題0.5分）

26.×

解析：GB38031-2020僅要求關(guān)鍵數(shù)據(jù)傳輸加密，未強(qiáng)制要求所有CAN總線加密。

27.√

解析：未實(shí)現(xiàn)IDS屬于合規(guī)性風(fēng)險(xiǎn)，需按等級(jí)保護(hù)要求整改。

28.×

解析：篡改充電參數(shù)屬于拒絕服務(wù)攻擊，但攻擊路徑是CAN總線篡改。

29.×

解析：信息安全要求必須高于或等于功能安全要求。

30.√

解析：默認(rèn)密碼屬于設(shè)計(jì)缺陷，需立即修改。

31.√

解析：不可接受風(fēng)險(xiǎn)必須立即整改，否則需停用相關(guān)功能。

32.×

解析：未實(shí)現(xiàn)多因素認(rèn)證屬于高風(fēng)險(xiǎn)，而非中風(fēng)險(xiǎn)。

33.√

解析：數(shù)據(jù)加密屬于保護(hù)功能范疇，其他選項(xiàng)屬于檢測(cè)或響應(yīng)功能。

34.×

解析：篡改引擎參數(shù)屬于拒絕服務(wù)攻擊，但攻擊路徑是CAN總線篡改。

35.√

解析：未實(shí)現(xiàn)SecureBoot屬于高優(yōu)先級(jí)漏洞，需立即修復(fù)。

四、填空題（共15分，每空1分）

36.CAN報(bào)文解碼

37.數(shù)據(jù)傳輸加密

38.遠(yuǎn)程訪問(wèn)控制

39.威脅發(fā)生可能性

40.安全啟動(dòng)（SecureBoot）

41.安全完整

42.頻譜掃描

43.數(shù)據(jù)傳輸加密

44.日志審計(jì)

45.偽造GPS信號(hào)

五、簡(jiǎn)答題（共25分）

46.新能源汽車(chē)信息安全滲透測(cè)試主要流程及關(guān)鍵步驟

答：

①測(cè)試準(zhǔn)備（1分）：確定測(cè)試范圍、環(huán)境搭建、工具準(zhǔn)備；

②漏洞掃描（3分）：使用Nessus、BurpSuite等工具掃描車(chē)載終端、無(wú)線通信、遠(yuǎn)程接口漏洞；

③滲透測(cè)試（5分）：模擬攻擊路徑，如CAN總線注入、藍(lán)牙劫持、固件篡改、無(wú)線信號(hào)偽造等；

④風(fēng)險(xiǎn)評(píng)估（4分）：根據(jù)漏洞嚴(yán)重性、攻擊路徑復(fù)雜度、影響范圍評(píng)估風(fēng)險(xiǎn)等級(jí)；

⑤報(bào)告撰寫(xiě)（2分）：記錄測(cè)試過(guò)程、漏洞詳情、整改建議。

47.新能源汽車(chē)信息安全風(fēng)險(xiǎn)評(píng)估中的“威脅”要素及應(yīng)對(duì)措施

答：

威脅要素包括（3分）：

①黑客攻擊（1分）：如拒絕服務(wù)攻擊、中間人攻擊；

②設(shè)備漏洞（1分）：如未修復(fù)的CVE；

③操作人員失誤（1分）：如默認(rèn)密碼未修改。

應(yīng)對(duì)措施（4分）：

①防御措施（2分）：如加密通信、入侵檢測(cè)、多因素認(rèn)證；

②預(yù)防措施（2分）：如定期漏洞掃描、安全培訓(xùn)、最小權(quán)限原則。

48.新能源汽車(chē)信息安全等級(jí)保護(hù)核心要求

答：

①安全策略（3分）：制定數(shù)據(jù)安全管理制度、應(yīng)急響應(yīng)預(yù)案；

②訪問(wèn)控制（4分）：實(shí)現(xiàn)用戶(hù)身份認(rèn)證、權(quán)限管理；

③數(shù)據(jù)保護(hù)（4分）：加密傳輸、加密存儲(chǔ)、數(shù)據(jù)脫敏；

④日志審計(jì)（4分）：記錄關(guān)鍵操作、安全事件。

49.未實(shí)現(xiàn)IDS的安全風(fēng)險(xiǎn)及整改建議

答：

風(fēng)險(xiǎn)