2025年信息系统安全专家工控协议安全审计与日志分析专题试卷及解析.pdfVIP

2025年信息系统安全专家工控协议安全审计与日志分析专题试卷及解析1

2025年信息系统安全专家工控协议安全审计与日志分析专

题试卷及解析

2025年信息系统安全专家工控协议安全审计与日志分析专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在ModbusTCP协议中，功能码0x10的主要作用是什么？

A、读取线圈状态

B、写入多个保持寄存器

C、读取输入寄存器

D、诊断功能

【答案】B

【解析】正确答案是B。功能码0x10对应”WriteMultipleRegisters”功能，用于写

入多个保持寄存器。A选项0x01是读取线圈状态，C选项0x04是读取输入寄存器，D

选项0x08是诊断功能。知识点：ModbusTCP功能码分类。易错点：容易混淆0x06

（写单个寄存器）和0x10（写多个寄存器）。

2、在工控系统日志审计中，以下哪个指标最能反映异常通信行为？

A、数据包大小

B、通信频率

C、源IP地址

D、协议版本

【答案】B

【解析】正确答案是B。通信频率的异常变化（如突然激增或长时间静默）往往是

攻击行为的重要指标。A选项数据包大小变化可能由正常操作引起，C选项源IP地址

需要结合白名单分析，D选项协议版本相对固定。知识点：工控系统异常检测指标。易

错点：过度关注静态特征而忽略动态行为模式。

3、DNP3协议中的安全认证机制主要解决什么问题？

A、数据加密传输

B、防止重放攻击

C、压缩数据传输

D、提高传输效率

【答案】B

【解析】正确答案是B。DNP3安全认证通过序列号和时间戳防止重放攻击。A选

项加密需要额外配置，C选项压缩不是主要功能，D选项效率提升是次要效果。知识

点：DNP3安全机制。易错点：混淆认证与加密功能。

4、在OPCUA通信中，以下哪种证书验证方式最安全？

2025年信息系统安全专家工控协议安全审计与日志分析专题试卷及解析2

A、无验证

B、自签名证书

C、CA签发证书

D、跳过验证

【答案】C

【解析】正确答案是C。CA签发证书提供完整的信任链验证。A和D完全不安全，

B选项自签名证书缺乏第三方验证。知识点：OPCUA安全模型。易错点：认为自签名

证书足够安全。

5、S7协议分析中，哪个功能码最需要重点监控？

A、0x04（读取）

B、0x05（写入）

C、0x1a（启动/停止）

D、0x1c（下载）

【答案】C

【解析】正确答案是C。0x1a功能码涉及PLC启停操作，风险最高。A和B是常

规操作，D是维护操作。知识点：S7协议危险功能码。易错点：忽视启停操作的严重

性。

6、工控系统日志中，以下哪个时间戳格式最便于关联分析？

A、本地时间

B、UTC时间

C、相对时间

D、系统时间

【答案】B

【解析】正确答案是B。UTC时间便于跨时区关联分析。A本地时间需要转换，C

相对时间难以关联，D系统时间可能不同步。知识点：日志时间标准化。易错点：忽视

时间同步的重要性。

7、在ProfinetIO设备诊断中，哪个通道状态表示严重故障？

A、GOOD

B、BAD

C、UNCERTAIN

D、MAINTENANCE

【答案】B

【解析】正确答案是B。BAD状态表示设备严重故障。A是正常，C是可疑，D是

维护状态。知识点：Profinet诊断状态码。易错点：混淆BAD和UNCERTAIN的严重

程度。

2025年信息系统安全专家工控协议安全审计与日志分析专题试卷及解析3

8、EtherCAT协议中的分布式时钟（DC）主要用于解决什么问题？

A