第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁車聯(lián)網(wǎng)安全測(cè)試題及答案解析（含答案及解析）姓名：科室/部門/班級(jí)：得分：題型單選題多選題判斷題填空題簡(jiǎn)答題案例分析題總分得分

一、單選題（共20分）

1.在車聯(lián)網(wǎng)安全測(cè)試中，用于模擬攻擊者行為的測(cè)試方法稱為？

（）A.滲透測(cè)試

（）B.模糊測(cè)試

（）C.模型測(cè)試

（）D.威脅建模

___

2.以下哪種協(xié)議常用于車聯(lián)網(wǎng)設(shè)備間的通信，但其明文傳輸特性易被竊聽？

（）A.TLS1.3

（）B.CoAP

（）C.Zigbee

（）D.XMPP

___

3.車聯(lián)網(wǎng)安全測(cè)試中，評(píng)估系統(tǒng)在遭受拒絕服務(wù)攻擊時(shí)的可用性，屬于哪種測(cè)試類型？

（）A.數(shù)據(jù)完整性測(cè)試

（）B.魯棒性測(cè)試

（）C.認(rèn)證測(cè)試

（）D.密碼強(qiáng)度測(cè)試

___

4.根據(jù)歐洲《通用數(shù)據(jù)保護(hù)條例》（GDPR），車輛中存儲(chǔ)的駕駛員生物識(shí)別信息屬于哪種數(shù)據(jù)類型？

（）A.公開數(shù)據(jù)

（）B.敏感個(gè)人數(shù)據(jù)

（）C.公共安全數(shù)據(jù)

（）D.設(shè)備日志

___

5.車聯(lián)網(wǎng)安全測(cè)試中，使用靜態(tài)代碼分析工具掃描車載軟件代碼，主要目的是發(fā)現(xiàn)？

（）A.網(wǎng)絡(luò)漏洞

（）B.邏輯錯(cuò)誤

（）C.硬件故障

（）D.操作系統(tǒng)缺陷

___

6.以下哪種加密算法常用于車聯(lián)網(wǎng)消息認(rèn)證碼（MAC）計(jì)算？

（）A.AES-256

（）B.RC4

（）C.DES

（）D.MD5

___

7.車聯(lián)網(wǎng)測(cè)試中，通過發(fā)送大量畸形幀測(cè)試系統(tǒng)防護(hù)能力，屬于哪種攻擊模擬？

（）A.重放攻擊

（）B.拒絕服務(wù)攻擊

（）C.中間人攻擊

（）D.SQL注入

___

8.根據(jù)ISO21448（SOTIF）標(biāo)準(zhǔn)，以下哪種情況屬于“不可預(yù)見的系統(tǒng)行為”？

（）A.軟件崩潰

（）B.傳感器故障

（）C.惡意代碼執(zhí)行

（）D.網(wǎng)絡(luò)延遲

___

9.車聯(lián)網(wǎng)安全測(cè)試中，評(píng)估無線通信信道的抗干擾能力，屬于哪種測(cè)試？

（）A.硬件兼容性測(cè)試

（）B.信號(hào)完整性測(cè)試

（）C.安全協(xié)議測(cè)試

（）D.數(shù)據(jù)加密測(cè)試

___

10.在車聯(lián)網(wǎng)滲透測(cè)試中，利用已知漏洞獲取設(shè)備控制權(quán)，屬于哪種測(cè)試階段？

（）A.信息收集

（）B.漏洞驗(yàn)證

（）C.權(quán)限提升

（）D.后滲透測(cè)試

___

11.車聯(lián)網(wǎng)測(cè)試中，驗(yàn)證設(shè)備固件更新過程的安全性，主要關(guān)注？

（）A.更新包簽名

（）B.網(wǎng)絡(luò)傳輸加密

（）C.版本回滾機(jī)制

（）D.以上都是

___

12.根據(jù)NISTSP800-207，車聯(lián)網(wǎng)中的多因素認(rèn)證通常結(jié)合了以下哪些因素？

（）A.知識(shí)（密碼）+擁有（令牌）

（）B.生物特征+行為模式

（）C.知識(shí)+生物特征

（）D.以上都是

___

13.車聯(lián)網(wǎng)測(cè)試中，通過模擬黑客捕獲CAN幀并重放，屬于哪種攻擊類型？

（）A.重放攻擊

（）B.篡改攻擊

（）C.離線攻擊

（）D.拒絕服務(wù)攻擊

___

14.根據(jù)GMU（全球移動(dòng)設(shè)備聯(lián)盟）安全指南，以下哪種場(chǎng)景需強(qiáng)制使用TLS1.2以上版本？

（）A.OTA更新傳輸

（）B.車載媒體播放

（）C.車輛定位服務(wù)

（）D.遠(yuǎn)程診斷接口

___

15.車聯(lián)網(wǎng)測(cè)試中，評(píng)估設(shè)備對(duì)物理攻擊的抵抗能力，屬于哪種測(cè)試？

（）A.軟件安全測(cè)試

（）B.物理安全測(cè)試

（）C.網(wǎng)絡(luò)安全測(cè)試

（）D.魯棒性測(cè)試

___

16.根據(jù)MITREATT&CK矩陣，車聯(lián)網(wǎng)中的“橫向移動(dòng)”階段主要指？

（）A.獲取初始訪問權(quán)限

（）B.擴(kuò)展攻擊范圍

（）C.數(shù)據(jù)竊取

（）D.沙箱逃逸

___

17.車聯(lián)網(wǎng)測(cè)試中，驗(yàn)證GPS信號(hào)的抗干擾能力，屬于哪種測(cè)試？

（）A.通信協(xié)議測(cè)試

（）B.定位精度測(cè)試

（）C.設(shè)備兼容性測(cè)試

（）D.硬件安全測(cè)試

___

18.根據(jù)UNECER155標(biāo)準(zhǔn)，車載TPMS（輪胎壓力監(jiān)測(cè)系統(tǒng)）數(shù)據(jù)傳輸需采用哪種加密方式？

（）A.AES-128

（）B.3DES

（）C.RSA

（）D.XOR

___

19.車聯(lián)網(wǎng)測(cè)試中，評(píng)估設(shè)備固件簽名算法的強(qiáng)度，主要關(guān)注？

（）A.算法安全性

（）B.簽名效率

（）C.硬件實(shí)現(xiàn)

（）D.以上都是

___

20.根據(jù)SAEJ3061標(biāo)準(zhǔn)，以下哪種認(rèn)證方式常用于車聯(lián)網(wǎng)設(shè)備身份驗(yàn)證？

（）A.數(shù)字證書

（）B.二次密碼

（）C.物理密鑰

（）D.以上都是

___

二、多選題（共15分，多選、錯(cuò)選不得分）

21.車聯(lián)網(wǎng)安全測(cè)試中，常見的物理攻擊手段包括？

（）A.設(shè)備拆解

（）B.信號(hào)注入

（）C.遠(yuǎn)程重置

（）D.熱插拔

___

22.根據(jù)ISO26262，車聯(lián)網(wǎng)安全測(cè)試需考慮以下哪些安全目標(biāo)？

（）A.數(shù)據(jù)保密性

（）B.功能安全

（）C.系統(tǒng)可用性

（）D.防止未授權(quán)訪問

___

23.車聯(lián)網(wǎng)測(cè)試中，評(píng)估設(shè)備對(duì)DDoS攻擊的防護(hù)能力，需關(guān)注？

（）A.入侵檢測(cè)系統(tǒng)（IDS）

（）B.流量清洗服務(wù)

（）C.網(wǎng)絡(luò)隔離機(jī)制

（）D.軟件補(bǔ)丁更新

___

24.根據(jù)GMU安全指南，車聯(lián)網(wǎng)設(shè)備需支持以下哪些安全功能？

（）A.軟件版本管理

（）B.數(shù)據(jù)加密傳輸

（）C.異常行為檢測(cè)

（）D.物理訪問控制

___

25.車聯(lián)網(wǎng)測(cè)試中，評(píng)估無線通信的脆弱性，需測(cè)試？

（）A.信號(hào)泄露范圍

（）B.頻段干擾

（）C.重放攻擊防護(hù)

（）D.加密算法強(qiáng)度

___

三、判斷題（共10分，每題0.5分）

26.車聯(lián)網(wǎng)測(cè)試中，滲透測(cè)試必須由具備資質(zhì)的安全工程師執(zhí)行。

___

27.根據(jù)GDPR，車輛中存儲(chǔ)的駕駛行為數(shù)據(jù)不屬于個(gè)人數(shù)據(jù)。

___

28.CoAP協(xié)議默認(rèn)使用UDP傳輸，因此車聯(lián)網(wǎng)測(cè)試中無需關(guān)注傳輸加密。

___

29.車聯(lián)網(wǎng)測(cè)試中，模糊測(cè)試可用于發(fā)現(xiàn)軟件內(nèi)存溢出漏洞。

___

30.根據(jù)SAEJ2945.1，所有車聯(lián)網(wǎng)設(shè)備必須使用TLS1.3進(jìn)行通信。

___

31.車聯(lián)網(wǎng)測(cè)試中，中間人攻擊主要針對(duì)有線通信協(xié)議。

___

32.根據(jù)ISO21448，所有不可預(yù)見的系統(tǒng)行為都屬于安全漏洞。

___

33.車聯(lián)網(wǎng)測(cè)試中，設(shè)備固件簽名僅用于驗(yàn)證更新來源。

___

34.根據(jù)GMU指南，車聯(lián)網(wǎng)設(shè)備必須支持遠(yuǎn)程數(shù)據(jù)擦除功能。

___

35.車聯(lián)網(wǎng)測(cè)試中，拒絕服務(wù)攻擊主要影響系統(tǒng)性能，不涉及數(shù)據(jù)泄露風(fēng)險(xiǎn)。

___

四、填空題（共10空，每空1分，共10分）

36.車聯(lián)網(wǎng)測(cè)試中，使用__________工具模擬攻擊者捕獲并重放CAN幀，驗(yàn)證篡改防護(hù)能力。

37.根據(jù)ISO26262，車聯(lián)網(wǎng)安全測(cè)試需遵循__________安全架構(gòu)設(shè)計(jì)原則。

38.車聯(lián)網(wǎng)測(cè)試中，評(píng)估設(shè)備對(duì)GPS信號(hào)干擾的抵抗能力，稱為__________測(cè)試。

39.根據(jù)NISTSP800-207，車聯(lián)網(wǎng)多因素認(rèn)證通常結(jié)合__________+__________+__________三要素。

40.車聯(lián)網(wǎng)測(cè)試中，驗(yàn)證設(shè)備固件更新過程中的__________機(jī)制，防止惡意代碼注入。

41.根據(jù)SAEJ3061，車聯(lián)網(wǎng)設(shè)備身份認(rèn)證常使用__________和__________兩種方式。

42.車聯(lián)網(wǎng)測(cè)試中，評(píng)估無線通信信道的__________能力，防止信號(hào)泄露。

43.根據(jù)GDPR，車聯(lián)網(wǎng)中存儲(chǔ)的駕駛員__________信息屬于敏感個(gè)人數(shù)據(jù)。

44.車聯(lián)網(wǎng)測(cè)試中，使用__________技術(shù)評(píng)估設(shè)備對(duì)物理攻擊的抵抗能力。

45.根據(jù)GMU指南，車聯(lián)網(wǎng)設(shè)備必須支持__________功能，防止未授權(quán)數(shù)據(jù)訪問。

五、簡(jiǎn)答題（共20分，每題5分）

46.簡(jiǎn)述車聯(lián)網(wǎng)安全測(cè)試中“滲透測(cè)試”的主要流程及關(guān)鍵步驟。

47.結(jié)合ISO21448標(biāo)準(zhǔn)，說明“不可預(yù)見的系統(tǒng)行為”的定義及測(cè)試方法。

48.在車聯(lián)網(wǎng)測(cè)試中，評(píng)估設(shè)備對(duì)DDoS攻擊的防護(hù)能力時(shí)，需關(guān)注哪些測(cè)試維度？

49.根據(jù)NISTSP800-207，車聯(lián)網(wǎng)多因素認(rèn)證通常包含哪些要素？請(qǐng)舉例說明。

六、案例分析題（共15分）

案例背景：某車企推出新款智能車，支持OTA遠(yuǎn)程更新、車聯(lián)網(wǎng)遠(yuǎn)程控制（空調(diào)、座椅調(diào)節(jié)）、GPS定位等功能。測(cè)試團(tuán)隊(duì)發(fā)現(xiàn)以下問題：

1.固件更新過程中未使用簽名驗(yàn)證，攻擊者可篡改更新包；

2.車載Wi-Fi使用WPA2-Personal加密，但預(yù)置密碼為“123456”；

3.GPS信號(hào)在隧道內(nèi)易受干擾，導(dǎo)致定位漂移。

問題：

1.分析案例中涉及的安全風(fēng)險(xiǎn)及潛在影響。

2.針對(duì)上述問題，提出具體的安全測(cè)試措施及改進(jìn)建議。

3.結(jié)合案例，總結(jié)車聯(lián)網(wǎng)安全測(cè)試的常見風(fēng)險(xiǎn)點(diǎn)及應(yīng)對(duì)策略。

參考答案及解析

一、單選題（共20分）

1.A（滲透測(cè)試是模擬攻擊者行為的測(cè)試方法，符合車聯(lián)網(wǎng)安全測(cè)試需求。）

2.B（CoAP協(xié)議常用于車聯(lián)網(wǎng)，但默認(rèn)使用明文傳輸。）

3.B（魯棒性測(cè)試評(píng)估系統(tǒng)在異常條件下的穩(wěn)定性。）

4.B（生物識(shí)別信息屬于敏感個(gè)人數(shù)據(jù)，根據(jù)GDPR需嚴(yán)格保護(hù)。）

5.B（靜態(tài)代碼分析主要發(fā)現(xiàn)軟件邏輯錯(cuò)誤。）

6.A（AES-256常用于車聯(lián)網(wǎng)消息認(rèn)證碼計(jì)算。）

7.B（發(fā)送大量畸形幀屬于拒絕服務(wù)攻擊。）

8.B（不可預(yù)見的系統(tǒng)行為指超出設(shè)計(jì)范圍的異常表現(xiàn)。）

9.B（信號(hào)完整性測(cè)試評(píng)估無線通信抗干擾能力。）

10.C（漏洞驗(yàn)證階段確認(rèn)已知漏洞是否可利用。）

11.D（固件更新測(cè)試需關(guān)注簽名、傳輸加密、回滾機(jī)制。）

12.D（多因素認(rèn)證結(jié)合知識(shí)、擁有、生物特征三要素。）

13.A（重放攻擊指捕獲并重放CAN幀。）

14.A（OTA更新傳輸需強(qiáng)制使用TLS1.2以上版本。）

15.B（物理安全測(cè)試評(píng)估設(shè)備對(duì)物理攻擊的抵抗能力。）

16.B（橫向移動(dòng)指攻擊者在系統(tǒng)內(nèi)擴(kuò)展權(quán)限。）

17.B（定位精度測(cè)試評(píng)估GPS信號(hào)抗干擾能力。）

18.A（TPMS數(shù)據(jù)傳輸需使用AES-128加密。）

19.D（固件簽名需關(guān)注算法、效率、硬件實(shí)現(xiàn)。）

20.D（車聯(lián)網(wǎng)設(shè)備常支持?jǐn)?shù)字證書、二次密碼、物理密鑰認(rèn)證。）

二、多選題（共15分）

21.ABC（物理攻擊包括拆解、信號(hào)注入、遠(yuǎn)程重置。）

22.ACD（安全目標(biāo)包括數(shù)據(jù)保密性、系統(tǒng)可用性、防止未授權(quán)訪問。）

23.ABC（DDoS防護(hù)需關(guān)注IDS、流量清洗、網(wǎng)絡(luò)隔離。）

24.ABCD（安全功能包括軟件版本管理、數(shù)據(jù)加密、異常檢測(cè)、物理訪問控制。）

25.ABCD（無線通信脆弱性測(cè)試包括信號(hào)泄露、頻段干擾、重放防護(hù)、加密強(qiáng)度。）

三、判斷題（共10分）

26.√（滲透測(cè)試需由專業(yè)安全工程師執(zhí)行。）

27.×（駕駛行為數(shù)據(jù)屬于個(gè)人數(shù)據(jù)。）

28.×（CoAP需測(cè)試傳輸加密。）

29.√（模糊測(cè)試可發(fā)現(xiàn)內(nèi)存溢出漏洞。）

30.×（SAEJ2945.1未強(qiáng)制要求TLS1.3。）

31.×（中間人攻擊主要針對(duì)無線通信。）

32.×（不可預(yù)見行為不一定是漏洞。）

33.×（固件簽名還用于完整性驗(yàn)證。）

34.×（GMU指南未強(qiáng)制要求遠(yuǎn)程數(shù)據(jù)擦除。）

35.√（拒絕服務(wù)攻擊主要影響性能，不直接導(dǎo)致數(shù)據(jù)泄露。）

四、填空題（共10空）

36.CAN分析儀

37.安全最小化、縱深防御

38.GPS抗干擾

39.知識(shí)、擁有、生物特征

40.簽名驗(yàn)證

41.數(shù)字證書、預(yù)置密碼

42.信號(hào)衰減

43.生物識(shí)別

44.理想攻擊

45.數(shù)據(jù)訪問控制

五、簡(jiǎn)答題（共20分）

46.滲透測(cè)試流程：

①信息收集（網(wǎng)絡(luò)掃描、設(shè)備信息獲?。?；

②漏洞驗(yàn)證（利用已知漏洞工具驗(yàn)證可利用性）；

③權(quán)限提升（獲取更高權(quán)限）；

④數(shù)據(jù)竊?。?yàn)證數(shù)據(jù)泄露風(fēng)險(xiǎn)）；

⑤后滲透測(cè)試（驗(yàn)證持久化控制能力）。

47.不可預(yù)見系統(tǒng)行為：指系統(tǒng)在非預(yù)期輸入或環(huán)境條件下產(chǎn)生的異常表現(xiàn)（如崩潰、功能異常），需通過測(cè)試模擬邊緣場(chǎng)景（如極端溫度、信號(hào)干擾）評(píng)估系統(tǒng)穩(wěn)定性。

48.DDoS防護(hù)測(cè)試維度：

①入侵檢測(cè)能力（測(cè)試IDS對(duì)攻擊流量的識(shí)別率）；

②流量清洗效果（驗(yàn)證清洗服務(wù)對(duì)惡意流量的過濾能力）；

③網(wǎng)絡(luò)隔離機(jī)制（測(cè)試防火墻對(duì)攻擊源的限制效果）；

④系統(tǒng)彈性（評(píng)估系統(tǒng)在攻擊下的可用性下降程度）。

49.多因素認(rèn)證要素：

①知識(shí)（如密碼）；

②擁有（如安全令牌）；

③生物特征（如指紋）；

舉例：車載系統(tǒng)要求駕駛員輸入密碼（知識(shí)）+使用手機(jī)APP確認(rèn)（擁有）+指紋識(shí)別（生物特征）才能解鎖高級(jí)功能。

六、案例分析題（共15分）

1.