第第PAGE\MERGEFORMAT1頁(yè)共NUMPAGES\MERGEFORMAT1頁(yè)物聯(lián)網(wǎng)安全水平測(cè)試題及答案解析（含答案及解析）姓名：科室/部門(mén)/班級(jí)：得分：題型單選題多選題判斷題填空題簡(jiǎn)答題案例分析題總分得分

一、單選題（共20分）

1.在物聯(lián)網(wǎng)設(shè)備的安全配置中，以下哪項(xiàng)措施不屬于密碼管理的基本要求？（）

A.設(shè)備默認(rèn)密碼需在首次使用后強(qiáng)制修改

B.不同設(shè)備使用統(tǒng)一的密碼策略

C.定期更新設(shè)備密碼并記錄變更日志

D.對(duì)管理密碼采用加鹽哈希存儲(chǔ)方式

2.物聯(lián)網(wǎng)網(wǎng)關(guān)在安全防護(hù)中扮演的角色，以下描述最準(zhǔn)確的是？（）

A.直接抵御所有網(wǎng)絡(luò)攻擊的防火墻

B.作為終端與云端之間的安全中轉(zhuǎn)站

C.負(fù)責(zé)自動(dòng)修復(fù)所有設(shè)備漏洞

D.僅用于設(shè)備間的數(shù)據(jù)加密傳輸

3.根據(jù)國(guó)家《信息安全技術(shù)物聯(lián)網(wǎng)安全基本要求》（GB/T35273），以下哪種場(chǎng)景屬于物聯(lián)網(wǎng)設(shè)備個(gè)人信息保護(hù)的重點(diǎn)監(jiān)管范圍？（）

A.智能家居設(shè)備采集的匿名化環(huán)境數(shù)據(jù)

B.工業(yè)傳感器傳輸?shù)纳a(chǎn)參數(shù)數(shù)據(jù)

C.醫(yī)療可穿戴設(shè)備記錄的生理指標(biāo)數(shù)據(jù)

D.公共交通卡記錄的出行軌跡數(shù)據(jù)

4.在進(jìn)行物聯(lián)網(wǎng)設(shè)備固件安全審計(jì)時(shí)，以下哪個(gè)指標(biāo)最能反映設(shè)備代碼的復(fù)雜度？（）

A.代碼行數(shù)（LOC）

B.設(shè)備運(yùn)行內(nèi)存占用率

C.設(shè)備功耗測(cè)試數(shù)據(jù)

D.設(shè)備響應(yīng)時(shí)間

5.物聯(lián)網(wǎng)場(chǎng)景下，以下哪種認(rèn)證方式最適合資源受限的低功耗設(shè)備？（）

A.基于證書(shū)的雙因素認(rèn)證

B.消息認(rèn)證碼（MAC）

C.一次性密碼（OTP）

D.物理令牌認(rèn)證

6.根據(jù)IEC62443-3-2標(biāo)準(zhǔn)，以下哪項(xiàng)措施不屬于設(shè)備身份認(rèn)證階段的安全控制要求？（）

A.設(shè)備密鑰的預(yù)置管理

B.設(shè)備證書(shū)的吊銷(xiāo)機(jī)制

C.設(shè)備與網(wǎng)關(guān)的動(dòng)態(tài)配對(duì)

D.設(shè)備身份的主動(dòng)廣播

7.在物聯(lián)網(wǎng)協(xié)議棧中，以下哪個(gè)協(xié)議層的安全漏洞最容易導(dǎo)致中間人攻擊？（）

A.物理層

B.數(shù)據(jù)鏈路層

C.網(wǎng)絡(luò)層

D.應(yīng)用層

8.根據(jù)OWASP物聯(lián)網(wǎng)安全指南，以下哪種攻擊方式最可能利用設(shè)備固件中的邏輯缺陷？（）

A.DDoS攻擊

B.SQL注入

C.物理攻擊

D.重放攻擊

9.在工業(yè)物聯(lián)網(wǎng)（IIoT）場(chǎng)景中，以下哪項(xiàng)措施能有效降低橫向移動(dòng)攻擊的風(fēng)險(xiǎn)？（）

A.開(kāi)啟所有設(shè)備的廣域網(wǎng)直連

B.采用分布式控制系統(tǒng)（DCS）架構(gòu)

C.統(tǒng)一使用工業(yè)級(jí)操作系統(tǒng)（RTOS）

D.減少設(shè)備間的網(wǎng)絡(luò)互通頻率

10.物聯(lián)網(wǎng)設(shè)備固件升級(jí)過(guò)程中，以下哪個(gè)環(huán)節(jié)的安全防護(hù)最容易被忽視？（）

A.升級(jí)包的簽名驗(yàn)證

B.升級(jí)服務(wù)的訪(fǎng)問(wèn)控制

C.設(shè)備存儲(chǔ)的密鑰管理

D.升級(jí)過(guò)程的日志記錄

11.根據(jù)CCSAY5201-2020標(biāo)準(zhǔn)，以下哪種加密算法最適用于資源受限的物聯(lián)網(wǎng)設(shè)備？（）

A.AES-256

B.RSA-4096

C.ECC-NISTP-256

D.3DES

12.在物聯(lián)網(wǎng)場(chǎng)景下，以下哪種安全測(cè)試方法最適合驗(yàn)證設(shè)備固件的反篡改能力？（）

A.滲透測(cè)試

B.靜態(tài)代碼分析

C.動(dòng)態(tài)行為監(jiān)測(cè)

D.模糊測(cè)試

13.根據(jù)NISTSP800-82，以下哪種物聯(lián)網(wǎng)協(xié)議的漏洞最容易導(dǎo)致拒絕服務(wù)攻擊？（）

A.MQTT

B.CoAP

C.HTTP

D.Zigbee

14.在進(jìn)行物聯(lián)網(wǎng)設(shè)備漏洞掃描時(shí)，以下哪個(gè)參數(shù)設(shè)置最能提高掃描的準(zhǔn)確性？（）

A.掃描頻率

B.掃描深度

C.掃描速度

D.掃描范圍

15.根據(jù)IEC62443-3-4標(biāo)準(zhǔn)，以下哪項(xiàng)措施不屬于設(shè)備通信安全的基本要求？（）

A.數(shù)據(jù)傳輸?shù)募用?/p>

B.設(shè)備地址的隨機(jī)化

C.通信協(xié)議的標(biāo)準(zhǔn)化

D.通信日志的完整性

16.在物聯(lián)網(wǎng)場(chǎng)景中，以下哪種攻擊方式最可能利用設(shè)備組件的供應(yīng)鏈風(fēng)險(xiǎn)？（）

A.暴力破解

B.零日漏洞利用

C.物理篡改

D.社會(huì)工程學(xué)

17.根據(jù)Gartner物聯(lián)網(wǎng)安全指南，以下哪個(gè)指標(biāo)最能反映設(shè)備暴露面的大?。浚ǎ?/p>

A.設(shè)備數(shù)量

B.網(wǎng)絡(luò)端口數(shù)量

C.設(shè)備類(lèi)型數(shù)量

D.設(shè)備使用年限

18.在進(jìn)行物聯(lián)網(wǎng)設(shè)備入侵檢測(cè)時(shí)，以下哪個(gè)特征最容易被誤報(bào)？（）

A.異常流量模式

B.設(shè)備配置變更

C.常規(guī)操作日志

D.未知協(xié)議使用

19.根據(jù)ISO/IEC27036，以下哪種措施最能降低物聯(lián)網(wǎng)設(shè)備第三方攻擊的風(fēng)險(xiǎn)？（）

A.設(shè)備物理隔離

B.供應(yīng)鏈安全審核

C.預(yù)置安全基線(xiàn)

D.定期安全培訓(xùn)

20.在物聯(lián)網(wǎng)場(chǎng)景下，以下哪種安全機(jī)制最適合防止設(shè)備被未授權(quán)控制？（）

A.訪(fǎng)問(wèn)控制列表（ACL）

B.設(shè)備簽名驗(yàn)證

C.雙因素認(rèn)證

D.安全區(qū)域劃分

二、多選題（共15分，多選、錯(cuò)選均不得分）

21.物聯(lián)網(wǎng)設(shè)備固件安全測(cè)試中，以下哪些指標(biāo)屬于靜態(tài)代碼分析的重點(diǎn)檢測(cè)內(nèi)容？（）

A.代碼注釋完整性

B.敏感函數(shù)調(diào)用

C.密鑰存儲(chǔ)方式

D.堆棧溢出防護(hù)

22.根據(jù)IEC62443-3-3標(biāo)準(zhǔn)，以下哪些措施屬于設(shè)備身份認(rèn)證階段的安全控制要求？（）

A.設(shè)備證書(shū)的交叉簽名

B.設(shè)備身份的主動(dòng)廣播

C.設(shè)備密鑰的預(yù)置管理

D.設(shè)備與網(wǎng)關(guān)的動(dòng)態(tài)配對(duì)

23.在物聯(lián)網(wǎng)場(chǎng)景下，以下哪些攻擊方式可能利用設(shè)備組件的供應(yīng)鏈風(fēng)險(xiǎn)？（）

A.嵌入惡意固件

B.物理篡改硬件

C.利用組件后門(mén)

D.重放攻擊

24.根據(jù)OWASP物聯(lián)網(wǎng)安全指南，以下哪些協(xié)議或服務(wù)最容易被攻擊者利用？（）

A.未加密的MQTT通信

B.暴露的設(shè)備管理API

C.使用默認(rèn)密碼的設(shè)備

D.未經(jīng)認(rèn)證的設(shè)備注冊(cè)

25.在工業(yè)物聯(lián)網(wǎng)（IIoT）場(chǎng)景中，以下哪些安全控制措施能有效降低橫向移動(dòng)攻擊的風(fēng)險(xiǎn)？（）

A.設(shè)備網(wǎng)絡(luò)分區(qū)

B.主機(jī)入侵檢測(cè)系統(tǒng)（HIDS）

C.統(tǒng)一身份認(rèn)證

D.設(shè)備最小權(quán)限原則

三、判斷題（共10分，每題0.5分）

26.物聯(lián)網(wǎng)設(shè)備的默認(rèn)密碼必須包含數(shù)字、字母和特殊字符的組合。（）

27.物聯(lián)網(wǎng)設(shè)備固件升級(jí)過(guò)程中，無(wú)需驗(yàn)證升級(jí)包的數(shù)字簽名。（）

28.根據(jù)IEC62443標(biāo)準(zhǔn)，設(shè)備身份認(rèn)證與設(shè)備通信安全屬于同一安全級(jí)別要求。（）

29.物聯(lián)網(wǎng)場(chǎng)景下，所有設(shè)備數(shù)據(jù)傳輸都必須使用TLS1.3加密協(xié)議。（）

30.根據(jù)NISTSP800-82，物聯(lián)網(wǎng)設(shè)備的漏洞掃描應(yīng)至少每月執(zhí)行一次。（）

31.物聯(lián)網(wǎng)設(shè)備的物理安全措施可以完全替代軟件安全防護(hù)。（）

32.根據(jù)CCSAY5201標(biāo)準(zhǔn)，物聯(lián)網(wǎng)設(shè)備必須支持AES-256加密算法。（）

33.物聯(lián)網(wǎng)場(chǎng)景下，所有設(shè)備密鑰都必須存儲(chǔ)在非易失性存儲(chǔ)器中。（）

34.根據(jù)ISO/IEC27036，物聯(lián)網(wǎng)設(shè)備的供應(yīng)鏈安全審核只需在設(shè)備采購(gòu)時(shí)進(jìn)行一次。（）

35.物聯(lián)網(wǎng)設(shè)備的入侵檢測(cè)系統(tǒng)可以完全替代防火墻的防護(hù)作用。（）

四、填空題（共10空，每空1分，共10分）

36.物聯(lián)網(wǎng)設(shè)備的安全配置中，默認(rèn)密碼管理的基本原則是：_________、_________、_________。

37.根據(jù)IEC62443標(biāo)準(zhǔn)，物聯(lián)網(wǎng)安全分為四個(gè)等級(jí)，設(shè)備認(rèn)證屬于_________等級(jí)的安全要求。

38.物聯(lián)網(wǎng)場(chǎng)景下，基于令牌的認(rèn)證方式通常包括_________和_________兩種形式。

39.根據(jù)OWASP物聯(lián)網(wǎng)安全指南，設(shè)備固件安全測(cè)試應(yīng)重點(diǎn)關(guān)注_________、_________和_________三個(gè)維度。

40.物聯(lián)網(wǎng)設(shè)備的入侵檢測(cè)方法主要包括_________和_________兩種技術(shù)類(lèi)型。

五、簡(jiǎn)答題（共25分）

41.簡(jiǎn)述物聯(lián)網(wǎng)設(shè)備固件安全測(cè)試的主要步驟及關(guān)鍵指標(biāo)。（10分）

42.結(jié)合實(shí)際案例，分析物聯(lián)網(wǎng)場(chǎng)景下設(shè)備身份認(rèn)證過(guò)程中常見(jiàn)的風(fēng)險(xiǎn)點(diǎn)及應(yīng)對(duì)措施。（10分）

43.在工業(yè)物聯(lián)網(wǎng)（IIoT）場(chǎng)景中，如何設(shè)計(jì)有效的設(shè)備通信安全策略？（5分）

六、案例分析題（共30分）

案例背景：某智能工廠部署了500臺(tái)工業(yè)物聯(lián)網(wǎng)傳感器用于實(shí)時(shí)監(jiān)測(cè)生產(chǎn)線(xiàn)溫度、壓力等參數(shù)。近期發(fā)現(xiàn)部分設(shè)備存在異常數(shù)據(jù)上報(bào)行為，經(jīng)排查發(fā)現(xiàn)該設(shè)備固件存在邏輯缺陷，導(dǎo)致在特定條件下會(huì)隨機(jī)篡改數(shù)據(jù)。工廠采用MQTT協(xié)議傳輸數(shù)據(jù)，所有設(shè)備使用默認(rèn)的設(shè)備ID，且未配置任何安全防護(hù)措施。

問(wèn)題：

（1）分析該案例中物聯(lián)網(wǎng)設(shè)備存在的安全風(fēng)險(xiǎn)。（10分）

（2）提出針對(duì)該案例的設(shè)備安全改進(jìn)措施。（10分）

（3）總結(jié)該案例對(duì)工業(yè)物聯(lián)網(wǎng)安全管理的啟示。（10分）

參考答案及解析

一、單選題

1.B

解析：不同設(shè)備應(yīng)采用差異化密碼策略，避免通用密碼風(fēng)險(xiǎn)，因此B選項(xiàng)錯(cuò)誤。

2.B

解析：網(wǎng)關(guān)作為終端與云端之間的安全中轉(zhuǎn)站，負(fù)責(zé)設(shè)備接入認(rèn)證、數(shù)據(jù)加密等安全功能，但并非直接防御所有攻擊，因此A選項(xiàng)錯(cuò)誤。

3.C

解析：醫(yī)療可穿戴設(shè)備記錄的生理指標(biāo)數(shù)據(jù)屬于個(gè)人敏感信息，根據(jù)《個(gè)人信息保護(hù)法》需重點(diǎn)監(jiān)管，因此C選項(xiàng)正確。

4.A

解析：代碼行數(shù)（LOC）是衡量代碼復(fù)雜度的常用指標(biāo)，設(shè)備運(yùn)行內(nèi)存占用率等指標(biāo)與代碼復(fù)雜度關(guān)聯(lián)性較低，因此A選項(xiàng)最準(zhǔn)確。

5.B

解析：MAC協(xié)議適用于資源受限的低功耗設(shè)備，無(wú)需復(fù)雜的狀態(tài)管理，因此B選項(xiàng)最合適。

6.C

解析：設(shè)備認(rèn)證階段需確保設(shè)備身份的真實(shí)性，但動(dòng)態(tài)配對(duì)屬于設(shè)備通信階段的安全控制，因此C選項(xiàng)錯(cuò)誤。

7.D

解析：應(yīng)用層協(xié)議（如MQTT、CoAP）的漏洞最容易導(dǎo)致中間人攻擊，因此D選項(xiàng)最符合題意。

8.B

解析：設(shè)備固件中的邏輯缺陷可能被利用進(jìn)行SQL注入，其他選項(xiàng)屬于常見(jiàn)的攻擊類(lèi)型但與固件缺陷關(guān)聯(lián)性較低，因此B選項(xiàng)正確。

9.B

解析：分布式控制系統(tǒng)通過(guò)邏輯隔離可以有效防止橫向移動(dòng)攻擊，其他選項(xiàng)措施與橫向移動(dòng)攻擊關(guān)聯(lián)性較低，因此B選項(xiàng)最符合題意。

10.C

解析：設(shè)備存儲(chǔ)的密鑰管理容易被忽視，因?yàn)楣碳?jí)過(guò)程中密鑰的預(yù)置和存儲(chǔ)通常缺乏足夠的安全控制，因此C選項(xiàng)最符合題意。

11.C

解析：ECC-NISTP-256在資源受限設(shè)備中性能優(yōu)于其他選項(xiàng)，因此C選項(xiàng)最符合題意。

12.B

解析：靜態(tài)代碼分析可以檢測(cè)固件中的邏輯缺陷和硬編碼密鑰，其他選項(xiàng)與固件反篡改能力關(guān)聯(lián)性較低，因此B選項(xiàng)最符合題意。

13.C

解析：HTTP協(xié)議的無(wú)加密特性最容易導(dǎo)致拒絕服務(wù)攻擊，其他選項(xiàng)屬于常見(jiàn)攻擊類(lèi)型但與協(xié)議漏洞關(guān)聯(lián)性較低，因此C選項(xiàng)最符合題意。

14.B

解析：掃描深度越高越能檢測(cè)隱藏的漏洞，其他選項(xiàng)與漏洞檢測(cè)準(zhǔn)確性關(guān)聯(lián)性較低，因此B選項(xiàng)最符合題意。

15.C

解析：通信協(xié)議標(biāo)準(zhǔn)化屬于功能需求，不屬于設(shè)備通信安全的基本要求，因此C選項(xiàng)錯(cuò)誤。

16.C

解析：物理篡改可以植入惡意組件，供應(yīng)鏈風(fēng)險(xiǎn)是物理攻擊的主要來(lái)源之一，其他選項(xiàng)與供應(yīng)鏈風(fēng)險(xiǎn)關(guān)聯(lián)性較低，因此C選項(xiàng)最符合題意。

17.B

解析：網(wǎng)絡(luò)端口數(shù)量直接反映設(shè)備暴露面的大小，其他選項(xiàng)與暴露面關(guān)聯(lián)性較低，因此B選項(xiàng)最符合題意。

18.C

解析：常規(guī)操作日志最容易誤報(bào)為入侵行為，其他選項(xiàng)屬于異常特征，因此C選項(xiàng)最符合題意。

19.B

解析：供應(yīng)鏈安全審核可以降低第三方攻擊風(fēng)險(xiǎn)，其他選項(xiàng)措施與供應(yīng)鏈風(fēng)險(xiǎn)關(guān)聯(lián)性較低，因此B選項(xiàng)最符合題意。

20.A

解析：訪(fǎng)問(wèn)控制列表（ACL）可以有效防止未授權(quán)控制，其他選項(xiàng)屬于輔助措施，因此A選項(xiàng)最符合題意。

二、多選題

21.B、C、D

解析：靜態(tài)代碼分析關(guān)注敏感函數(shù)調(diào)用、密鑰存儲(chǔ)方式、緩沖區(qū)溢出防護(hù)，因此A選項(xiàng)錯(cuò)誤。

22.A、C、D

解析：設(shè)備認(rèn)證階段的安全控制包括交叉簽名、預(yù)置密鑰管理、動(dòng)態(tài)配對(duì)，因此B選項(xiàng)錯(cuò)誤。

23.A、B、C

解析：供應(yīng)鏈風(fēng)險(xiǎn)可能涉及嵌入惡意固件、物理篡改硬件、利用組件后門(mén)，因此D選項(xiàng)與供應(yīng)鏈攻擊關(guān)聯(lián)性較低。

24.A、B、C

解析：未加密的MQTT通信、暴露的設(shè)備管理API、默認(rèn)密碼是最常見(jiàn)的攻擊點(diǎn)，因此D選項(xiàng)錯(cuò)誤。

25.A、B、D

解析：設(shè)備網(wǎng)絡(luò)分區(qū)、主機(jī)入侵檢測(cè)系統(tǒng)、最小權(quán)限原則能有效降低橫向移動(dòng)攻擊風(fēng)險(xiǎn)，因此C選項(xiàng)錯(cuò)誤。

三、判斷題

26.√

27.×

解析：固件升級(jí)必須驗(yàn)證數(shù)字簽名以防止惡意篡改，因此錯(cuò)誤。

28.×

解析：設(shè)備認(rèn)證屬于IEC62443-3-2標(biāo)準(zhǔn)，設(shè)備通信安全屬于IEC62443-3-3標(biāo)準(zhǔn)，因此錯(cuò)誤。

29.×

解析：物聯(lián)網(wǎng)場(chǎng)景下應(yīng)根據(jù)設(shè)備類(lèi)型選擇合適的加密協(xié)議，并非所有設(shè)備都必須使用TLS1.3，因此錯(cuò)誤。

30.√

31.×

解析：物理安全與軟件安全需協(xié)同防護(hù)，不能完全替代，因此錯(cuò)誤。

32.×

解析：CCSAY5201標(biāo)準(zhǔn)允許根據(jù)設(shè)備能力選擇加密算法，并非必須支持AES-256，因此錯(cuò)誤。

33.×

解析：部分場(chǎng)景下密鑰可以存儲(chǔ)在易失性存儲(chǔ)器中，因此錯(cuò)誤。

34.×

解析：供應(yīng)鏈安全審核應(yīng)貫穿設(shè)備全生命周期，因此錯(cuò)誤。

35.×

解析：入侵檢測(cè)系統(tǒng)需與防火墻協(xié)同工作，不能完全替代防火墻，因此錯(cuò)誤。

四、填空題

36.強(qiáng)制修改、差異化策略、定期更新

37.3

38.一次性密碼（OTP）、基于令牌的認(rèn)證

39.代碼質(zhì)量、安全漏洞、邏輯缺陷

40.異常檢測(cè)、基于簽名的檢測(cè)

五、簡(jiǎn)答題

41.

答：

①靜態(tài)代碼分析：檢測(cè)代碼質(zhì)量、安全漏洞、硬編碼密鑰等，常用工具包括SonarQube、Checkmarx。

②動(dòng)態(tài)行為監(jiān)測(cè)