2025年工業(yè)互聯(lián)網(wǎng)安全防護(hù)能力提升計(jì)劃與實(shí)施考核試卷附答案一、單項(xiàng)選擇題（每題2分，共20分）1.2025年《工業(yè)互聯(lián)網(wǎng)安全防護(hù)能力提升計(jì)劃》中，對(duì)三級(jí)以上工業(yè)互聯(lián)網(wǎng)企業(yè)提出的“雙因子”接入認(rèn)證要求，以下哪一項(xiàng)組合最符合規(guī)范？A.靜態(tài)口令+短信驗(yàn)證碼B.靜態(tài)口令+硬件令牌OTPC.生物特征+短信驗(yàn)證碼D.生物特征+靜態(tài)口令答案：B解析：規(guī)范明確“雙因子”必須包含“所知+所有”或“所知+所是”，且短信驗(yàn)證碼易被劫持，硬件令牌OTP屬于“所有”因子，安全性最高。2.在工業(yè)現(xiàn)場(chǎng)部署安全監(jiān)測(cè)探針時(shí)，為最大限度降低對(duì)OT網(wǎng)絡(luò)時(shí)延的影響，應(yīng)優(yōu)先采用的鏡像方式是：A.端口鏡像（SPAN）B.網(wǎng)絡(luò)TAP分光C.交換機(jī)ACL重定向D.代理網(wǎng)關(guān)轉(zhuǎn)發(fā)答案：B解析：TAP分光為物理層單向復(fù)制，不引入額外時(shí)延，也不向網(wǎng)絡(luò)注入任何流量，符合IEC6244333對(duì)實(shí)時(shí)性要求。3.2025版《工業(yè)數(shù)據(jù)分類分級(jí)指南》將“爐膛溫度實(shí)時(shí)曲線”劃為哪一級(jí)數(shù)據(jù)？A.一級(jí)（一般數(shù)據(jù)）B.二級(jí)（重要數(shù)據(jù)）C.三級(jí)（核心數(shù)據(jù)）D.四級(jí)（絕密數(shù)據(jù)）答案：C解析：爐膛溫度曲線直接影響工藝安全與設(shè)備壽命，一旦篡改可導(dǎo)致爆炸，屬于核心工藝參數(shù)，歸為三級(jí)。4.針對(duì)PLC固件完整性校驗(yàn)，2025年推薦使用的國密算法組合是：A.SM2+SM3B.SM4+SM9C.SM3+SMS4D.SM1+SM2答案：A解析：SM3做摘要，SM2做簽名，符合GB/T386362020《工業(yè)控制系統(tǒng)密碼應(yīng)用技術(shù)要求》。5.在“安全運(yùn)營中心（SOC）”三級(jí)值班模型中，負(fù)責(zé)7×24小時(shí)告警分診的角色是：A.L1一線分析師B.L2威脅獵手C.L3應(yīng)急響應(yīng)專家D.安全開發(fā)工程師答案：A解析：L1負(fù)責(zé)告警初篩、分診與工單派發(fā)；L2做深度溯源；L3做攻防取證與業(yè)務(wù)恢復(fù)。6.2025年工業(yè)互聯(lián)網(wǎng)安全演練“紅方”默認(rèn)不允許使用的攻擊向量是：A.偽造工程圖紙釣魚B.利用已知CVE的PLC漏洞C.物理接近燒錄惡意固件D.對(duì)OT防火墻實(shí)施DDoS答案：C解析：物理燒錄需拆機(jī)，可能引發(fā)生產(chǎn)事故，違反演練“零停產(chǎn)”紅線。7.關(guān)于“安全分區(qū)”要求，下列哪項(xiàng)描述與《GB/T222392021》沖突？A.L3.5級(jí)區(qū)域可單向接收L2級(jí)數(shù)據(jù)B.L2級(jí)區(qū)域可直接訪問企業(yè)ERPC.L1級(jí)區(qū)域禁止任何TCP/IP出向連接D.DMZ區(qū)必須部署工業(yè)級(jí)WAF答案：B解析：L2（生產(chǎn)管理層）與L3.5（辦公層）之間必須經(jīng)DMZ與防火墻隔離，禁止直接訪問ERP。8.2025年“工業(yè)互聯(lián)網(wǎng)安全漏洞庫”CVEID前綴已擴(kuò)展為：A.CVE2025B.ICVE2025C.CICS2025D.IVUL2025答案：B解析：工信部2024年12月公告，新增工業(yè)互聯(lián)網(wǎng)專屬前綴ICVE，避免與傳統(tǒng)IT漏洞混淆。9.在零信任架構(gòu)中，對(duì)工業(yè)APP進(jìn)行動(dòng)態(tài)信任評(píng)估時(shí)，首要參考的實(shí)體是：A.用戶身份B.設(shè)備指紋C.應(yīng)用哈希D.數(shù)據(jù)標(biāo)簽答案：D解析：工業(yè)場(chǎng)景“數(shù)據(jù)優(yōu)先”，先判數(shù)據(jù)敏感度，再逆推用戶、設(shè)備、應(yīng)用的權(quán)限，符合NISTSP800207擴(kuò)展草案。10.2025年強(qiáng)制要求的三級(jí)等保工業(yè)系統(tǒng)，日志留存期限不少于：A.3個(gè)月B.6個(gè)月C.12個(gè)月D.36個(gè)月答案：D解析：等保2.0修訂稿第7.2.4條明確，涉及國計(jì)民生的三級(jí)系統(tǒng)日志留存3年，以備溯源。二、多項(xiàng)選擇題（每題3分，共15分，多選少選均不得分）11.以下哪些屬于2025版“工業(yè)互聯(lián)網(wǎng)安全關(guān)鍵資產(chǎn)清單”必須列示的字段？A.資產(chǎn)物理位置GPS坐標(biāo)B.固件編譯時(shí)間戳C.供應(yīng)商應(yīng)急聯(lián)系人加密手機(jī)號(hào)D.最后一次滲透測(cè)試報(bào)告摘要E.資產(chǎn)在區(qū)塊鏈上的哈希指紋答案：ABCE解析：D為過程性文檔，不要求寫入資產(chǎn)清單鏈上指紋。12.在工業(yè)邊緣網(wǎng)關(guān)部署輕量級(jí)入侵檢測(cè)時(shí)，可采用的特征檢測(cè)技術(shù)包括：A.ModbusTCP深度包檢測(cè)B.S7commplus協(xié)議狀態(tài)機(jī)校驗(yàn)C.基于SM3的哈希黑名單D.DNS隧道流量長度異常E.基于SM4的流加密答案：ABC解析：D屬于網(wǎng)絡(luò)層隧道檢測(cè)，E為加密算法，非特征檢測(cè)。13.2025年“工業(yè)互聯(lián)網(wǎng)安全保險(xiǎn)”理賠觸發(fā)條件包含：A.因勒索病毒導(dǎo)致產(chǎn)線停機(jī)超過4小時(shí)B.第三方滲透測(cè)試發(fā)現(xiàn)高危漏洞C.數(shù)據(jù)泄露記錄超10萬條D.國家級(jí)APT組織攻擊E.被保險(xiǎn)人未在24小時(shí)內(nèi)報(bào)案答案：ACD解析：B為預(yù)防性成本，不觸發(fā)理賠；E為拒賠條件，非觸發(fā)條件。14.關(guān)于“工業(yè)AppStore”安全審核，以下做法正確的是：A.強(qiáng)制開發(fā)者提交源代碼到托管庫B.使用國密SM2代碼簽名C.動(dòng)態(tài)沙箱模擬OT環(huán)境運(yùn)行D.允許閉源但提供SBOM清單E.對(duì)更新包采用差分熱補(bǔ)丁答案：BCDE解析：A違反商業(yè)保密條款，不要求強(qiáng)制源碼公開。15.2025年“工業(yè)互聯(lián)網(wǎng)安全人才能力矩陣”中，L3級(jí)專家必須掌握：A.逆向分析IEC611313標(biāo)準(zhǔn)PLC固件B.編寫基于Rust的RTOS安全驅(qū)動(dòng)C.利用SM9標(biāo)識(shí)密碼實(shí)現(xiàn)跨域認(rèn)證D.完成黑盒模糊測(cè)試用例設(shè)計(jì)E.具備CISSP證書答案：ABC解析：D為L2要求；E為通用證書，非強(qiáng)制。三、判斷題（每題1分，共10分，正確打“√”，錯(cuò)誤打“×”）16.2025年起，所有工業(yè)交換機(jī)必須支持基于國密SM4的MACsec。答案：√解析：工信部2024年第38號(hào)公告，新增強(qiáng)制條款。17.在工業(yè)防火墻規(guī)則中，優(yōu)先級(jí)數(shù)字越大越先匹配。答案：×解析：與多數(shù)廠商實(shí)現(xiàn)相反，數(shù)字越小越優(yōu)先。18.2025版《工業(yè)數(shù)據(jù)出境安全評(píng)估辦法》允許三級(jí)數(shù)據(jù)通過VPN加密后出境。答案：×解析：三級(jí)數(shù)據(jù)原則上不出境，確需出境須報(bào)中央網(wǎng)信辦專項(xiàng)評(píng)估。19.工業(yè)場(chǎng)景下，Docker容器逃逸漏洞CVE20249483的CVSSv4評(píng)分為9.8，屬于極危。答案：√解析：評(píng)分≥9.0為極危，符合事實(shí)。20.2025年“工業(yè)互聯(lián)網(wǎng)安全月”定于每年5月舉辦。答案：√解析：工信部辦公廳2024年通知明確。21.在零信任架構(gòu)中，工業(yè)現(xiàn)場(chǎng)攝像頭可被歸入“ManagedDevice”類別。答案：√解析：只要納入資產(chǎn)臺(tái)賬并安裝Agent，即可視為托管設(shè)備。22.2025年起，工業(yè)SOC必須接入國家工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)。答案：√解析：為部省聯(lián)動(dòng)提供數(shù)據(jù)支撐，強(qiáng)制接入。23.工業(yè)App使用第三方開源組件，無需在SBOM中標(biāo)注具體版本號(hào)。答案：×解析：必須標(biāo)注版本及哈希，確保可追溯。24.2025年“安全演練”評(píng)分中，紅方得分高即代表企業(yè)安全水平低。答案：×解析：評(píng)分采用“防守方得分/紅方得分”加權(quán)模型，非簡單反向。25.工業(yè)邊緣計(jì)算節(jié)點(diǎn)使用TPM2.0芯片存儲(chǔ)SM2私鑰，符合國密要求。答案：√解析：TPM2.0已支持國密算法擴(kuò)展。四、填空題（每空2分，共20分）26.2025年工業(yè)互聯(lián)網(wǎng)安全“三同步”原則是指：同步規(guī)劃、同步建設(shè)、________。答案：同步運(yùn)行解析：出自《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理指南（2025年修訂）》。27.在IEC62443中，安全等級(jí)SL2對(duì)應(yīng)的能力是“抵抗________意圖的故意攻擊”。答案：低水平解析：SL2定義文本原文。28.2025年工業(yè)防火墻規(guī)則集最大長度限制為________K條，以防性能抖動(dòng)。答案：128解析：基于國內(nèi)主流廠商硬件規(guī)格實(shí)測(cè)。29.工業(yè)數(shù)據(jù)出境評(píng)估中，個(gè)人信息超過________條即觸發(fā)重要數(shù)據(jù)認(rèn)定。答案：10萬解析：《數(shù)據(jù)出境安全評(píng)估辦法》第4條。30.2025年“工業(yè)互聯(lián)網(wǎng)安全漏洞賞金計(jì)劃”單個(gè)漏洞最高獎(jiǎng)勵(lì)為________萬元人民幣。答案：500解析：由國家級(jí)平臺(tái)“IVDP”發(fā)布。31.在OT網(wǎng)絡(luò)中，使用________協(xié)議可實(shí)現(xiàn)毫秒級(jí)時(shí)鐘同步，滿足日志審計(jì)時(shí)序要求。答案：IEEE1588（PTP）解析：替代NTP，精度達(dá)亞毫秒。32.2025年強(qiáng)制要求：工業(yè)云平臺(tái)必須每________個(gè)月完成一次滲透測(cè)試。答案：6解析：等保2.0擴(kuò)展要求。33.工業(yè)App在發(fā)布前必須通過________檢測(cè)，確保無硬編碼密碼。答案：靜態(tài)代碼掃描解析：SBOM+SAST雙重檢查。34.2025年“工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)基金”首期規(guī)模為________億元人民幣。答案：100解析：由財(cái)政部、工信部聯(lián)合設(shè)立。35.工業(yè)SOC告警分級(jí)中，P1級(jí)告警要求________分鐘內(nèi)響應(yīng)。答案：15解析：SLA紅線指標(biāo)。五、簡答題（每題10分，共30分）36.簡述2025年工業(yè)互聯(lián)網(wǎng)安全“零改造”接入技術(shù)的核心思路，并給出兩種實(shí)現(xiàn)方案。答案：核心思路：在不改變現(xiàn)有PLC、DCS源碼與硬件的前提下，通過旁路代理與協(xié)議轉(zhuǎn)換實(shí)現(xiàn)安全能力疊加。方案一：部署“工業(yè)安全前置機(jī)”，以雙冗余TAP接入OT網(wǎng)絡(luò)，利用FPGA硬邏輯實(shí)現(xiàn)Modbus/S7協(xié)議深度解析，動(dòng)態(tài)注入白名單策略，對(duì)寫操作實(shí)施國密SM2簽名驗(yàn)證；PLC側(cè)無需升級(jí)。方案二：采用“安全帽”模塊，即插即用串接在PLC以太網(wǎng)口，內(nèi)置Rust語言實(shí)現(xiàn)的協(xié)議代理，將原始報(bào)文封裝成OPCUAoverTLS1.3，再上送MES，實(shí)現(xiàn)傳輸層加密與身份認(rèn)證，PLC端零配置。解析：兩種方案均滿足“零改造”定義，已在石化、電力試點(diǎn)，停機(jī)時(shí)間為0分鐘。37.說明2025年“工業(yè)互聯(lián)網(wǎng)安全保險(xiǎn)”中的“免賠額階梯”機(jī)制，并計(jì)算案例：某車企因勒索病毒停機(jī)6小時(shí)，每小時(shí)損失200萬元，保單免賠額階梯為4小時(shí)，賠償比例80%，求實(shí)際賠付金額。答案：機(jī)制：損失≤4小時(shí)部分免賠；＞4小時(shí)部分按80%賠付。計(jì)算：6小時(shí)損失共1200萬元，扣除4小時(shí)免賠額800萬元，剩余400萬元×80%=320萬元。解析：該機(jī)制鼓勵(lì)企業(yè)先強(qiáng)化自身防護(hù)，減少小額理賠，降低道德風(fēng)險(xiǎn)。38.繪制“2025年工業(yè)數(shù)據(jù)跨境傳輸安全評(píng)估”流程圖（文字描述即可），并指出其中“國密算法”應(yīng)用的三處關(guān)鍵節(jié)點(diǎn)。答案：流程描述：1.企業(yè)自評(píng)→2.省級(jí)初審→3.國家評(píng)估→4.出具通行證→5.邊檢放行→6.持續(xù)監(jiān)督。國密應(yīng)用節(jié)點(diǎn)：①數(shù)據(jù)分類分級(jí)階段使用SM3計(jì)算敏感數(shù)據(jù)指紋，生成鏈上存證；②傳輸隧道采用SM4GCM加密，密鑰由SM2數(shù)字信封協(xié)商；③日志審計(jì)使用SM2簽名+時(shí)間戳，確保不可抵賴。解析：全流程12個(gè)工作日，國密算法為剛性要求，替代RSA/AES。六、綜合案例分析（共25分）39.背景：2025年6月，某大型煉化企業(yè)“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”平臺(tái)遭遇APT組織“DarkFurnace”攻擊。攻擊者通過魚叉郵件植入Rust語言編寫的遠(yuǎn)控木馬“FurnaceRat”，利用合法更新通道下發(fā)惡意插件，篡改DCS設(shè)定值，導(dǎo)致加氫裂化裝置溫度異常上升，觸發(fā)SIS緊急停車。事后溯源發(fā)現(xiàn)：1.惡意插件攜帶有效SM2簽名，系盜用開發(fā)商私鑰；2.企業(yè)SOC曾產(chǎn)生P1告警“未知Rust二進(jìn)制下載”，但L1分析師誤判為“開發(fā)測(cè)試”；3.安全分區(qū)防火墻規(guī)則允許L2到L3.5的TCP443端口雙向通信；4.備份PLC固件未做SM3完整性校驗(yàn)，恢復(fù)時(shí)再次感染。問題：（1）指出本次事件暴露的4個(gè)關(guān)鍵安全缺陷；（8分）（2）給出2025年規(guī)范下的整改措施，需包含技術(shù)、管理、運(yùn)營三條線；（9分）（3）若企業(yè)已投?！肮I(yè)互聯(lián)網(wǎng)安全險(xiǎn)”，請(qǐng)?jiān)u估是否滿足理賠條件并說明理由。（8分）答案：（1）關(guān)鍵缺陷：①代碼簽名私鑰未托管于HSM，導(dǎo)致被盜用；②告警分診機(jī)制失效，L1缺乏Rust惡意樣本知識(shí)庫；③防火墻策略違反最小權(quán)限原則，L2與L3.5之間應(yīng)單向隔離；④備份固件未做完整性校驗(yàn)，恢復(fù)過程無“干凈啟動(dòng)”驗(yàn)證。（2）整改措施：技術(shù)線：①私鑰遷入國密HSM，簽名時(shí)觸發(fā)雙因子+審計(jì)；②在工業(yè)EDR中內(nèi)置“Rust二進(jìn)制信譽(yù)+AI語義”檢測(cè)模塊，P1告警自動(dòng)上傳國家IVDP沙箱；③防火墻策略改為“白名單+單向網(wǎng)閘”，L2到L3.5僅允許OPCUAPub/SuboverSM4加密且端口隨機(jī)化；④備份固件寫入一次性的TPMNVRAM，恢復(fù)前強(qiáng)制SM3校驗(yàn)，失敗則阻斷啟動(dòng)。管理線：①修訂《開發(fā)商密鑰管理辦法》，實(shí)行“一人掌握一部分”Shamir秘密共享；②建立“Rust語言惡意代碼”紅藍(lán)對(duì)抗案例庫，納入年度培訓(xùn)；③備份恢復(fù)納入變更管理，必須雙人雙崗、錄像存檔。運(yùn)營線：①SOC告警升級(jí)：Rust二進(jìn)制