2025年工控安全培訓測試題及答案一、單項選擇題（每題2分，共20分）1.以下哪項是工業(yè)控制系統(tǒng)（ICS）中SCADA系統(tǒng)的核心功能？A.實現(xiàn)現(xiàn)場設備的邏輯控制B.對工業(yè)過程進行數(shù)據(jù)采集與監(jiān)控C.完成生產(chǎn)計劃的排程與優(yōu)化D.執(zhí)行設備間的實時通信協(xié)議答案：B2.工控系統(tǒng)中常用的Modbus協(xié)議默認使用的端口是？A.502/TCPB.102/TCPC.443/TCPD.21/TCP答案：A3.以下哪種攻擊方式屬于針對工控系統(tǒng)的典型OT層攻擊？A.對企業(yè)ERP系統(tǒng)的SQL注入B.通過惡意U盤向PLC植入病毒C.對員工郵箱的釣魚攻擊D.對辦公網(wǎng)絡的DDoS攻擊答案：B4.工控系統(tǒng)安全防護中，“白名單機制”的主要作用是？A.阻止已知惡意IP的訪問B.僅允許授權的程序或通信通過C.檢測未知的異常流量D.加密傳輸過程中的敏感數(shù)據(jù)答案：B5.根據(jù)《信息安全技術工業(yè)控制系統(tǒng)安全防護要求》（GB/T36323-2018），以下哪項不屬于“安全區(qū)域邊界”的防護要求？A.劃分安全區(qū)域并實施訪問控制B.對跨區(qū)域通信進行安全監(jiān)測C.定期更新工業(yè)控制設備固件D.部署工業(yè)防火墻實現(xiàn)流量過濾答案：C6.工控系統(tǒng)中，PLC的主要功能是？A.實現(xiàn)人機交互界面B.執(zhí)行邏輯控制與過程控制C.存儲歷史生產(chǎn)數(shù)據(jù)D.完成工業(yè)協(xié)議轉(zhuǎn)換答案：B7.以下哪種漏洞最可能導致工控系統(tǒng)被遠程控制？A.操作站操作系統(tǒng)的PDF文件解析漏洞B.PLC固件中的未授權訪問漏洞C.工程師站辦公軟件的彈窗廣告漏洞D.監(jiān)控大屏的顯示驅(qū)動兼容性漏洞答案：B8.工控系統(tǒng)應急響應中，“斷網(wǎng)隔離”的首要目的是？A.防止攻擊擴散至其他系統(tǒng)B.避免影響正常生產(chǎn)流程C.減少日志采集的干擾D.降低網(wǎng)絡帶寬消耗答案：A9.以下哪項是工控系統(tǒng)物理安全防護的關鍵措施？A.對控制機柜實施門禁管理B.為操作站安裝殺毒軟件C.對工程師站進行賬號分權管理D.對SCADA服務器進行數(shù)據(jù)備份答案：A10.工業(yè)控制系統(tǒng)中，“時間敏感網(wǎng)絡（TSN）”的主要優(yōu)勢是？A.提升數(shù)據(jù)傳輸?shù)膶崟r性與確定性B.增強網(wǎng)絡通信的加密強度C.簡化多協(xié)議轉(zhuǎn)換的復雜度D.降低工業(yè)設備的采購成本答案：A二、多項選擇題（每題3分，共15分，少選、錯選均不得分）1.以下屬于工控系統(tǒng)典型組成部分的有？A.可編程邏輯控制器（PLC）B.數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）C.人機界面（HMI）D.企業(yè)資源計劃系統(tǒng)（ERP）答案：ABC2.工控系統(tǒng)面臨的主要安全威脅包括？A.高級持續(xù)性威脅（APT）攻擊B.設備固件的老舊漏洞C.內(nèi)部人員的誤操作D.移動存儲介質(zhì)的交叉使用答案：ABCD3.工控系統(tǒng)安全防護應遵循的原則包括？A.最小權限原則B.縱深防御原則C.實時性優(yōu)先原則D.完全隔離原則答案：ABC4.以下哪些措施可用于防范工控系統(tǒng)的USB擺渡攻擊？A.對移動存儲設備實施注冊與白名單管理B.在工程師站安裝USB接口物理鎖C.啟用移動存儲設備的病毒掃描功能D.禁止所有USB設備連接控制設備答案：ABC5.根據(jù)《工業(yè)控制系統(tǒng)信息安全事件應急管理指南》，工控安全事件的分級依據(jù)包括？A.事件影響的設備數(shù)量B.事件導致的生產(chǎn)中斷時長C.事件造成的經(jīng)濟損失D.事件涉及的敏感數(shù)據(jù)泄露量答案：ABCD三、判斷題（每題2分，共10分，正確填“√”，錯誤填“×”）1.工控系統(tǒng)可以直接接入互聯(lián)網(wǎng)以方便遠程運維。（）答案：×2.工控設備的固件更新需在生產(chǎn)停機期間進行，以避免影響實時控制。（）答案：√3.工控網(wǎng)絡中，辦公網(wǎng)與控制網(wǎng)之間只需部署普通防火墻即可實現(xiàn)安全隔離。（）答案：×4.工控系統(tǒng)的日志應至少保留6個月，以便追溯安全事件。（）答案：√5.為提升效率，工控系統(tǒng)的操作賬號可多人共享使用。（）答案：×四、簡答題（每題8分，共32分）1.簡述工控系統(tǒng)與傳統(tǒng)IT系統(tǒng)的核心差異。答案：工控系統(tǒng)與傳統(tǒng)IT系統(tǒng)的核心差異體現(xiàn)在以下方面：（1）實時性要求：工控系統(tǒng)需保證毫秒級甚至微秒級的實時響應，傳統(tǒng)IT系統(tǒng)通常以秒級為單位；（2）協(xié)議特性：工控系統(tǒng)使用Modbus、DNP3等專用協(xié)議，注重確定性通信，傳統(tǒng)IT系統(tǒng)多使用TCP/IP等通用協(xié)議；（3）設備生命周期：工控設備通常使用10年以上，固件更新頻率低，傳統(tǒng)IT設備更新周期一般為3-5年；（4）網(wǎng)絡架構：工控網(wǎng)絡多采用星型或環(huán)網(wǎng)結構，強調(diào)冗余性，傳統(tǒng)IT網(wǎng)絡以樹形或網(wǎng)狀結構為主；（5）安全優(yōu)先級：工控系統(tǒng)以生產(chǎn)連續(xù)性為首要目標，傳統(tǒng)IT系統(tǒng)更側重數(shù)據(jù)保密性。2.列舉三種工控系統(tǒng)常見的攻擊路徑，并說明對應的防范措施。答案：（1）攻擊路徑：通過釣魚郵件向工程師站植入惡意軟件，進而滲透至控制網(wǎng)絡；防范措施：部署工業(yè)級郵件網(wǎng)關過濾惡意附件，對工程師站實施應用白名單管理。（2）攻擊路徑：利用未修復的PLC固件漏洞遠程執(zhí)行代碼；防范措施：建立工控設備漏洞庫，定期開展漏洞掃描與補丁測試，優(yōu)先采用離線方式更新固件。（3）攻擊路徑：通過未授權的USB設備向HMI傳輸病毒（如Stuxnet類似攻擊）；防范措施：對移動存儲設備實施物理管控與內(nèi)容審計，啟用HMI的USB接口禁用或只讀模式。3.簡述工控防火墻與傳統(tǒng)IT防火墻的主要區(qū)別。答案：（1）協(xié)議支持：工控防火墻需深度解析Modbus、Profinet等工業(yè)協(xié)議，傳統(tǒng)IT防火墻主要處理TCP/IP、HTTP等通用協(xié)議；（2）規(guī)則策略：工控防火墻基于“允許列表”制定通信規(guī)則（如特定PLC與SCADA服務器的固定地址、端口通信），傳統(tǒng)IT防火墻多采用“拒絕列表”；（3）性能要求：工控防火墻需支持低延遲、高確定性的流量轉(zhuǎn)發(fā)，傳統(tǒng)IT防火墻更注重吞吐量；（4）冗余設計：工控防火墻通常支持雙機熱備、環(huán)網(wǎng)冗余等工業(yè)級可靠性設計，傳統(tǒng)IT防火墻以主備模式為主；（5）管理界面：工控防火墻提供符合工業(yè)環(huán)境的操作界面（如支持工程師站本地配置），傳統(tǒng)IT防火墻側重Web或命令行遠程管理。4.說明工控系統(tǒng)安全培訓的重點對象及培訓內(nèi)容。答案：重點對象包括：（1）運維人員：負責設備日常操作與維護的一線人員；（2）管理人員：負責安全策略制定的生產(chǎn)主管、安全主管；（3）開發(fā)人員：參與工控系統(tǒng)集成與程序開發(fā)的技術人員。培訓內(nèi)容：（1）基礎認知：工控系統(tǒng)架構、典型協(xié)議、常見安全威脅；（2）操作規(guī)范：賬號管理、移動存儲使用、遠程運維的安全流程；（3）應急處置：攻擊識別、斷網(wǎng)隔離、日志采集的具體步驟；（4）法規(guī)標準：《工業(yè)控制系統(tǒng)信息安全防護指南》《GB/T36323》等要求；（5）案例分析：Stuxnet、Triton等經(jīng)典攻擊事件的技術復盤與經(jīng)驗教訓。五、案例分析題（共23分）某石化企業(yè)下屬煉油廠的DCS系統(tǒng)（分散控制系統(tǒng)）在凌晨2點突然出現(xiàn)異常：操作員站顯示的溫度、壓力數(shù)據(jù)劇烈波動，部分調(diào)節(jié)閥自動切換至手動模式，導致生產(chǎn)線被迫停機。經(jīng)初步排查，工程師發(fā)現(xiàn)DCS控制器與操作站之間的通信流量中存在大量非法Modbus寫指令，且操作站的殺毒軟件日志顯示當日17點曾運行過一個未知可執(zhí)行文件。問題：1.分析該攻擊可能的入侵路徑（5分）。2.說明攻擊造成的直接影響與潛在風險（8分）。3.提出應急響應的具體步驟（10分）。答案：1.可能的入侵路徑：（1）操作站感染惡意軟件：未知可執(zhí)行文件可能為釣魚郵件附件或移動存儲設備傳播的木馬，該木馬通過監(jiān)聽操作站與DCS控制器的通信，學習Modbus協(xié)議格式后偽造非法寫指令；（2）網(wǎng)絡邊界防護缺失：DCS控制網(wǎng)與辦公網(wǎng)之間未部署工業(yè)防火墻或訪問控制策略松弛，導致惡意流量從操作站（可能連接辦公網(wǎng)）滲透至控制網(wǎng)；（3）設備身份認證缺失：DCS控制器未對Modbus指令的發(fā)送方進行身份驗證，允許任意源地址的寫操作。2.直接影響與潛在風險：直接影響：（1）生產(chǎn)中斷：調(diào)節(jié)閥異常導致生產(chǎn)線停機，造成產(chǎn)能損失；（2）數(shù)據(jù)誤導：顯示數(shù)據(jù)波動可能導致操作員誤判工況，引發(fā)誤操作；（3）設備損壞：若溫度、壓力實際值與顯示值偏差過大，可能超出設備承受極限（如反應器超壓）。潛在風險：（1）攻擊擴散：惡意軟件可能通過控制網(wǎng)傳播至其他DCS控制器或PLC；（2）數(shù)據(jù)泄露：木馬可能竊取生產(chǎn)工藝參數(shù)、設備配置等敏感信息；（3）二次攻擊：攻擊者可能利用此次滲透建立持久化控制通道，實施后續(xù)破壞。3.應急響應步驟：（1）快速隔離：立即斷開DCS控制網(wǎng)與辦公網(wǎng)的連接，關閉操作站的非必要網(wǎng)絡接口，防止攻擊擴散；（2）保留證據(jù)：對操作站內(nèi)存、硬盤進行鏡像備份，采集DCS控制器的通信日志與操作日志，使用工業(yè)協(xié)議分析工具捕獲異常流量；（3）恢復控制：切換至DCS系統(tǒng)的應急手動控制模式（若支持），由操作