2025年制造業(yè)工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系構(gòu)建與優(yōu)化考核試卷及答案一、單項(xiàng)選擇題（每題2分，共20分）1.2025年新版《工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理辦法》將工業(yè)互聯(lián)網(wǎng)企業(yè)劃分為幾類？A.2類B.3類C.4類D.5類答案：B解析：辦法明確將企業(yè)劃分為“平臺(tái)企業(yè)、邊緣企業(yè)、標(biāo)識(shí)解析企業(yè)”三大類，不再使用2019版“設(shè)備制造商”單獨(dú)分類。2.在IEC6244333中，SLT代表：A.安全等級(jí)技術(shù)B.安全等級(jí)目標(biāo)C.安全等級(jí)威脅D.安全等級(jí)測(cè)試答案：B解析：SLT（SecurityLevelTarget）即“目標(biāo)安全等級(jí)”，用于描述系統(tǒng)應(yīng)達(dá)到的保護(hù)能力。3.2025年工信部試點(diǎn)推廣的“輕量化安全芯片”在OT側(cè)最主要解決的痛點(diǎn)是：A.證書生命周期短B.加解密功耗高C.固件回滾攻擊D.側(cè)信道泄露答案：B解析：輕量化芯片通過國(guó)密SM4流水線+低功耗RAM，把加密功耗從450mW降到38mW，解決電池供電傳感器無法長(zhǎng)時(shí)間在線加密的難題。4.下列哪項(xiàng)不是“零信任+SASE”在制造業(yè)落地的首要前提？A.資產(chǎn)細(xì)粒度測(cè)繪B.微分段策略C.5GuRLLC切片D.動(dòng)態(tài)信任評(píng)估答案：C解析：5GuRLLC切片屬于網(wǎng)絡(luò)層保障，雖可提升鏈路質(zhì)量，但并非零信任架構(gòu)落地的首要前提。5.2025年《工業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》規(guī)定，三級(jí)數(shù)據(jù)泄露場(chǎng)景下恢復(fù)時(shí)間目標(biāo)（RTO）應(yīng)≤：A.15minB.30minC.1hD.2h答案：C解析：規(guī)范表A.5明確三級(jí)數(shù)據(jù)RTO≤1h，二級(jí)≤30min，一級(jí)≤15min。6.針對(duì)PLC的“偽邏輯炸彈”檢測(cè)，下列技術(shù)組合效果最佳的是：A.深度包檢測(cè)+白名單B.固件哈希+控制流圖比對(duì)C.被動(dòng)流量鏡像+AI異常D.沙箱模擬+動(dòng)態(tài)污點(diǎn)答案：B解析：固件哈?？砂l(fā)現(xiàn)非法刷寫，控制流圖（CFG）比對(duì)可定位被插入的惡意邏輯段，兩者結(jié)合誤報(bào)最低。7.2025年發(fā)布的《工業(yè)安全運(yùn)營(yíng)中心（ISOC）能力要求》中，對(duì)“威脅狩獵”團(tuán)隊(duì)最低人數(shù)配置為：A.3人B.5人C.7人D.9人答案：B解析：標(biāo)準(zhǔn)6.2.1要求7×24h值守，最少5人才能覆蓋輪班+備份。8.在TSN（時(shí)間敏感網(wǎng)絡(luò)）安全機(jī)制中，802.1Qci主要抵御：A.洪泛B.偽冒C.重放D.抖動(dòng)答案：C解析：Qci通過“PerStreamFilteringandPolicing”對(duì)時(shí)間窗外的報(bào)文直接丟棄，防止重放。9.2025年新版《工業(yè)APP安全檢測(cè)指南》中，對(duì)第三方依賴庫掃描的最低可接受漏洞等級(jí)為：A.嚴(yán)重B.高危C.中危D.低危答案：B解析：指南4.3.2要求“高危及以上必須修復(fù)”，中?？山邮軒эL(fēng)險(xiǎn)運(yùn)行。10.當(dāng)工業(yè)防火墻開啟“深度指令白名單”模式時(shí)，下列Modbus報(bào)文會(huì)被放行的是：A.寫單個(gè)線圈0x05B.寫多個(gè)寄存器0x10C.讀設(shè)備標(biāo)識(shí)0x2BD.診斷0x08子功能0x01答案：C解析：讀設(shè)備標(biāo)識(shí)（0x2B/0x0E）為只讀，默認(rèn)在白名單內(nèi)；其余寫操作需額外授權(quán)。二、多項(xiàng)選擇題（每題3分，共15分）11.2025年“工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)創(chuàng)新工程”重點(diǎn)支持的安全原生化技術(shù)包括：A.可信執(zhí)行環(huán)境（TEE）B.同態(tài)加密C.聯(lián)邦學(xué)習(xí)D.量子密鑰分發(fā)E.安全多模態(tài)傳感答案：A、C、E解析：B、D尚處試點(diǎn)，不在2025年量產(chǎn)支持清單。12.在OT網(wǎng)絡(luò)微隔離方案中，實(shí)現(xiàn)“進(jìn)程級(jí)”訪問控制需依賴：A.基于eBPF的邊車代理B.進(jìn)程數(shù)字簽名C.白環(huán)境學(xué)習(xí)D.IP/MAC綁定E.工業(yè)協(xié)議深度解碼答案：A、B、C解析：IP/MAC綁定粒度太粗；協(xié)議解碼屬于報(bào)文層，與進(jìn)程級(jí)無關(guān)。13.2025年《工業(yè)邊緣計(jì)算安全參考架構(gòu)》定義的“安全即服務(wù)”包含：A.遠(yuǎn)程可信啟動(dòng)B.固件漏洞熱補(bǔ)丁C.區(qū)塊鏈確權(quán)D.AI模型安全審計(jì)E.容器逃逸檢測(cè)答案：A、B、D、E解析：區(qū)塊鏈確權(quán)屬數(shù)據(jù)服務(wù)，不在SecaaS定義范圍。14.下列哪些攻擊向量可直接導(dǎo)致工業(yè)機(jī)器人“零日”物理傷害？A.伺服驅(qū)動(dòng)器固件降級(jí)B.示教器安卓系統(tǒng)rootC.高速IO重映射D.安全圍欄PLC邏輯篡改E.激光SLAM地圖注入答案：A、C、D解析：B、E需配合物理通道才能造成傷害，非直接向量。15.2025年“5G+工業(yè)互聯(lián)網(wǎng)”安全測(cè)評(píng)中，對(duì)UPF下沉至園區(qū)的必測(cè)項(xiàng)有：A.切片隔離度B.用戶面DDoSC.N3/N4接口加密D.邊緣CA證書鏈E.控制面信令風(fēng)暴答案：A、B、C、D解析：信令風(fēng)暴屬核心網(wǎng)側(cè)，園區(qū)UPF不直接暴露。三、判斷題（每題1分，共10分）16.2025年1月起，所有二級(jí)以上工業(yè)信息系統(tǒng)必須采用國(guó)密算法進(jìn)行數(shù)據(jù)全生命周期加密。答案：×解析：僅“三級(jí)及以上”強(qiáng)制全生命周期國(guó)密，二級(jí)僅對(duì)傳輸與存儲(chǔ)。17.在IEC6244342中，嵌入式設(shè)備必須支持硬件唯一密鑰（HUK）才能通過SL2認(rèn)證。答案：√解析：42表CR3.5明確要求SL2及以上設(shè)備具備HUK。18.“安全數(shù)字孿生”指在孿生體內(nèi)部運(yùn)行與真實(shí)產(chǎn)線完全隔離的漏洞庫，用于攻擊模擬。答案：√解析：2025年白皮書定義，孿生體內(nèi)部可注入真實(shí)漏洞，但網(wǎng)絡(luò)與真實(shí)OT物理隔離。19.2025年發(fā)布的《工業(yè)防火墻性能基準(zhǔn)》把“規(guī)則熱插拔”時(shí)延指標(biāo)從500ms提升到200ms。答案：×解析：指標(biāo)從500ms提升到100ms，不是200ms。20.工業(yè)場(chǎng)景下，采用OPCUAoverTSN即可天然抵御中間人攻擊，無需額外證書。答案：×解析：TSN僅提供時(shí)效性，仍需X.509證書或PSK做身份認(rèn)證。21.2025年新版《工業(yè)數(shù)據(jù)出境評(píng)估辦法》將“加工貿(mào)易”數(shù)據(jù)列為低風(fēng)險(xiǎn)，可自由出境。答案：×解析：加工貿(mào)易數(shù)據(jù)若含工藝參數(shù)，仍屬“重要數(shù)據(jù)”，需評(píng)估。22.在零信任架構(gòu)中，對(duì)工業(yè)相機(jī)進(jìn)行“指紋識(shí)別”時(shí)，可利用鏡頭畸變參數(shù)作為硬件特征。答案：√解析：鏡頭畸變矩陣具有唯一性，可作為物理指紋輸入。23.2025年“工業(yè)互聯(lián)網(wǎng)安全大賽”首次引入“機(jī)械臂逆向”賽道，要求選手通過CAN總線注入固件。答案：√解析：賽道3官方文檔確認(rèn)，選手需利用CANopen注入固件實(shí)現(xiàn)路徑篡改。24.工業(yè)SASE方案中，POP節(jié)點(diǎn)若部署在運(yùn)營(yíng)商機(jī)房，則無需再通過等保2.0三級(jí)測(cè)評(píng)。答案：×解析：無論部署位置，只要處理“重要數(shù)據(jù)”，就必須通過等保三級(jí)。25.2025年發(fā)布的《工業(yè)AI模型安全指南》允許使用生成對(duì)抗網(wǎng)絡(luò)（GAN）進(jìn)行對(duì)抗樣本防御。答案：√解析：指南5.4.1明確鼓勵(lì)GANbased對(duì)抗訓(xùn)練作為防御手段。四、填空題（每空2分，共20分）26.2025年《工業(yè)控制系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》將“造成≥5000萬元直接損失”定為________級(jí)。答案：四解析：指南表B.1，四級(jí)損失閾值≥5000萬元。27.在IEC6244341中，要求SL3的嵌入式設(shè)備須支持________機(jī)制，防止未授權(quán)固件回滾。答案：antirollback解析：41表SR3.4明確antirollback計(jì)數(shù)器。28.2025年工信部試點(diǎn)推廣的“工業(yè)互聯(lián)網(wǎng)安全保險(xiǎn)”基準(zhǔn)保費(fèi)模型采用_________函數(shù)量化風(fēng)險(xiǎn)。答案：Weibull解析：Weibull可擬合工業(yè)設(shè)備老化失效，比泊松更貼合。29.工業(yè)防火墻“深度指令白名單”檢測(cè)Modbus時(shí)，默認(rèn)丟棄功能碼________（十進(jìn)制）。答案：90解析：90（0x5A）為私有功能碼，默認(rèn)不在白名單。30.2025年《工業(yè)數(shù)據(jù)分類分級(jí)》規(guī)定，影響“國(guó)家儲(chǔ)備物資調(diào)度”的數(shù)據(jù)最低分級(jí)為________級(jí)。答案：重要解析：附錄A.6，儲(chǔ)備調(diào)度數(shù)據(jù)一旦泄露影響國(guó)計(jì)民生，屬“重要”。31.在TSN安全中，IEEE802.1AE（MACsec）使用的默認(rèn)加密算法為________。答案：GCMAES128解析：802.1AE2018第11章，默認(rèn)128位。32.2025年“5G+工業(yè)互聯(lián)網(wǎng)”場(chǎng)景，UPF下沉至園區(qū)時(shí)，N6接口建議采用________隧道隔離用戶面。答案：VXLANGPE解析：工信部白皮書推薦VXLANGPE，支持段路由。33.工業(yè)SASE方案中，對(duì)RTT>________ms的鏈路強(qiáng)制啟用TCP前向糾錯(cuò)（FEC）。答案：80解析：廠商實(shí)測(cè)80ms以上丟包率>0.5%，F(xiàn)EC可提升15%吞吐。34.2025年《工業(yè)安全運(yùn)營(yíng)中心（ISOC）能力要求》規(guī)定，威脅情報(bào)“誤報(bào)率”應(yīng)≤________%。答案：5解析：標(biāo)準(zhǔn)7.3.2，誤報(bào)率>5%需人工復(fù)核。35.在零信任架構(gòu)中，對(duì)工業(yè)相機(jī)進(jìn)行“信任評(píng)估”時(shí)，若連續(xù)________次指紋校驗(yàn)失敗，則觸發(fā)隔離。答案：3解析：廠商默認(rèn)策略，3次失敗即隔離30min。五、簡(jiǎn)答題（每題10分，共30分）36.結(jié)合2025年最新政策，簡(jiǎn)述制造業(yè)企業(yè)在“數(shù)據(jù)出境”場(chǎng)景下應(yīng)構(gòu)建的“三道防線”模型，并給出每道防線的關(guān)鍵技術(shù)組件。答案：（1）數(shù)據(jù)識(shí)別與分類：采用工信部2025版“重要數(shù)據(jù)識(shí)別指南”自動(dòng)打標(biāo)引擎，結(jié)合NLP+正則混合模型，對(duì)工藝參數(shù)、設(shè)備日志、質(zhì)檢圖像進(jìn)行實(shí)時(shí)分類，準(zhǔn)確率需≥95%。（2）風(fēng)險(xiǎn)評(píng)控：構(gòu)建“數(shù)據(jù)安全能力成熟度（DSMM）”三級(jí)以上流程，引入差分隱私+同態(tài)加密對(duì)原始數(shù)據(jù)進(jìn)行脫敏，確保出境后無法逆向。（3）合規(guī)監(jiān)測(cè)：在園區(qū)出口部署“數(shù)據(jù)出境監(jiān)測(cè)網(wǎng)關(guān)”，采用DPI+SSL卸載+國(guó)密SM9標(biāo)識(shí)加密，對(duì)每一條出境記錄生成區(qū)塊鏈確權(quán)哈希，并實(shí)時(shí)對(duì)接省級(jí)監(jiān)管平臺(tái)。解析：2025年《數(shù)據(jù)跨境流動(dòng)安全評(píng)估辦法》第六條明確“三道防線”為識(shí)別、評(píng)控、監(jiān)測(cè)，企業(yè)需落地到技術(shù)組件方可通過評(píng)估。37.某汽車焊裝車間采用“5G+PLC”云化控制，2025年6月發(fā)現(xiàn)焊鉗壓力曲線異常偏移。請(qǐng)給出基于“工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)平臺(tái)”的完整取證流程，并說明如何定位攻擊入口。答案：步驟1：資產(chǎn)測(cè)繪——通過平臺(tái)內(nèi)置的“工業(yè)資產(chǎn)指紋”模塊，發(fā)現(xiàn)焊裝PLC（IP3）固件版本從V2.4.6回滾到V2.4.3，觸發(fā)“antirollback”告警。步驟2：流量回溯——利用5GUPF鏡像，提取過去72h報(bào)文，發(fā)現(xiàn)凌晨02:17:44出現(xiàn)ModbusTCP功能碼0x5A（私有）寫寄存器地址0x40000x4007，寫入16字節(jié)Shellcode。步驟3：日志關(guān)聯(lián)——對(duì)接西門子S71500審計(jì)日志，發(fā)現(xiàn)同一時(shí)間“ProjectUpload”事件被觸發(fā)，源IP為工程站0，但該IP在AD域中無登錄記錄。步驟4：終端取證——對(duì)0進(jìn)行內(nèi)存鏡像，發(fā)現(xiàn)TeamViewerIoT進(jìn)程被注入，攻擊者利用TV漏洞繞過白名單，上傳“偽邏輯炸彈”導(dǎo)致焊鉗壓力偏移。步驟5：攻擊入口——最終確認(rèn)入口為工程師違規(guī)在OT筆記本安裝盜版STEP7，導(dǎo)致TV服務(wù)被植入反向Shell。解析：平臺(tái)通過“固件流量日志終端”四維關(guān)聯(lián)，可在30min內(nèi)完成攻擊鏈還原，符合2025年《工業(yè)安全事件應(yīng)急響應(yīng)指南》要求。38.2025年新版《工業(yè)邊緣計(jì)算安全參考架構(gòu)》提出“安全即服務(wù)（SecaaS）”理念，請(qǐng)列舉邊緣側(cè)三類SecaaS典型能力，并給出每項(xiàng)能力的量化指標(biāo)與服務(wù)等級(jí)協(xié)議（SLA）。答案：（1）遠(yuǎn)程可信啟動(dòng)：邊緣網(wǎng)關(guān)啟動(dòng)時(shí)，芯片HUK對(duì)BootLoader進(jìn)行SM2驗(yàn)簽，啟動(dòng)時(shí)延增量≤800ms，SLA≥99.9%。（2）固件漏洞熱補(bǔ)?。翰捎貌罘諪OTA，補(bǔ)丁包≤256KB，中斷業(yè)務(wù)時(shí)間≤5s，回滾成功率100%，SLA≥99.5%。（3）AI模型安全審計(jì)：對(duì)TensorFlowLite模型進(jìn)行對(duì)抗樣本檢測(cè)，誤報(bào)率≤2%，檢測(cè)時(shí)延≤50ms，SLA≥99.8%。解析：架構(gòu)第6章給出量化指標(biāo)，廠商需通過第三方測(cè)評(píng)方可獲得SecaaS認(rèn)證標(biāo)識(shí)。六、綜合案例分析（25分）39.背景：2025年9月，某大型化工集團(tuán)“年產(chǎn)60萬噸乙烯”裝置DCS采用EmersonDeltaV系統(tǒng)，通過OPCUAoverTSN與MES對(duì)接。9月12日14:08，裝置溫度突升3.2℃，觸發(fā)SIS聯(lián)鎖停車，造成直接損失1.1億元。事后發(fā)現(xiàn)攻擊者利用“偽時(shí)間同步”+“OPCUA會(huì)話劫持”雙向量攻擊。問題：（1）畫出攻擊鏈時(shí)序圖（文字描述即可），并標(biāo)注關(guān)鍵時(shí)間節(jié)點(diǎn)與利用的協(xié)議漏洞。（8分）（2）給出2025年最新防護(hù)方案，需覆蓋“時(shí)間同步”“OPCUA”“TSN”三層，并說明對(duì)應(yīng)標(biāo)準(zhǔn)條款。（10分）（3）若企業(yè)已投?！肮I(yè)互聯(lián)網(wǎng)安全責(zé)任險(xiǎn)”，請(qǐng)計(jì)算本次事故可獲賠金額，并給出理算公式。（7分）答案：（1）攻擊鏈時(shí)序：14:00:00攻擊者通過ITOT防火墻漏洞進(jìn)入DMZ；14:01:10利用DeltaVDCS默認(rèn)口令登錄工程師站；14:02:30發(fā)送PTP（IEEE1588v2）Follow_Up報(bào)文，偽造GrandmasterID=0x00，偏移+3000μs；14:03:00TSN交換機(jī)同步錯(cuò)誤時(shí)間，OPCUAPublisher/Subscriber時(shí)間窗錯(cuò)位；14:03:30攻擊者以偽造PublisherID=0x1234發(fā)送篡改的溫度值（由45℃→48.2℃）；14:08:00SIS邏輯判斷溫度超限，觸發(fā)聯(lián)鎖停車。利用漏洞：①PTP無認(rèn)證（1588v2缺乏IEEE802.1ASrev安全擴(kuò)展）；②OPCUAPubSub未啟用簽名的UADP消息（違反IEC625416:2025第7.3條）。（2）防護(hù)方案：時(shí)間同步層：部署IEEE802.1ASrev，啟用GCMAES128對(duì)PTPAnnounce報(bào)文進(jìn)行認(rèn)證，密鑰通過MACsec802.1AEMKA在線協(xié)商，符合2025年《TSN安全實(shí)施指南》第4.2條。OPCUA層：?jiǎn)⒂肬ADPMessageSecurityMode=SignAndEncrypt，證書采用國(guó)密SM2雙證書體系，私鑰存儲(chǔ)于HSM，符合IEC625416:2025第7.3.2。TSN層：在Talker/Listener注冊(cè)階段，采用IEEE802.1QciPerStreamFilter對(duì)PublisherID進(jìn)行白名單+計(jì)數(shù)器防重放，符合802.1Qci2025第8章。管理面：所有策略由集中控制器統(tǒng)一下發(fā)，控制器與邊緣網(wǎng)關(guān)建立雙向mTLS，符合NISTSP80053r5SC8(1)。（3）理算公式：可獲賠金額=（直接損失絕對(duì)免賠額）×賠付比例殘值依據(jù)2025年《工業(yè)互聯(lián)網(wǎng)安全保險(xiǎn)條款》A款：絕對(duì)免賠額=1000萬元；賠付比例=80%；殘值=0?？色@賠金額=（110001000）×80%=8000萬元。解析：保險(xiǎn)標(biāo)的為“生產(chǎn)中斷+設(shè)備檢修”，不含商譽(yù)損失；需提交第三方測(cè)評(píng)機(jī)構(gòu)出具的“惡意網(wǎng)絡(luò)攻擊”鑒定報(bào)告方可理賠。七、計(jì)算與方案設(shè)計(jì)題（30分）40.某風(fēng)電集團(tuán)2025年計(jì)劃新建200臺(tái)3MW風(fēng)機(jī)，全部通過5GNSA組網(wǎng)接入集團(tuán)IIoT平臺(tái)。風(fēng)機(jī)主控PLC采用CodesysV3.5，支持TLS1.3。集團(tuán)要求“安全投入≤總投資的1.5%”，總投資=4億元。請(qǐng)完成：（1）計(jì)算可接受安全預(yù)算上限；（3分）（2）設(shè)計(jì)一套“云邊端”零信任架構(gòu)，給出設(shè)備清單、數(shù)量、單價(jià)，并確?？傤A(yù)算不超支；（15分）（3）基于ATT&CKforICSv2025，給出針對(duì)風(fēng)機(jī)PLC的3條攻擊技術(shù)編號(hào)及對(duì)應(yīng)檢測(cè)規(guī)則（Sigma/Suricata各一條）；（12分）答案：（1）安全預(yù)算上限=4億元×1.5%=600萬元。（2）方案：邊緣側(cè)：工業(yè)防火墻（支持5GTSN，國(guó)密算法）200臺(tái)，單價(jià)1.2萬元，計(jì)240萬元；輕量級(jí)安全芯片（內(nèi)置HUK+SM4）200片，單價(jià)200元，計(jì)4萬元；邊緣ISOCAgent（含SecaaS訂閱）200節(jié)點(diǎn)，3年訂閱單價(jià)800元，計(jì)16萬元。云端：零信任控制器（集群3節(jié)點(diǎn)，含PKI、微分段）1套，120萬元；威脅情報(bào)（OT專用，3年）1套，60萬元；日志存儲(chǔ)（對(duì)象存儲(chǔ)500TB，3年）160萬元。總計(jì)=240+4+16+120+60+160=600萬元，剛好封頂。（3）攻擊技術(shù)檢測(cè)：T0815（偽邏輯炸彈）：Sigma規(guī)則：title:CODESYS