《GBT+34942-2025 网络安全技术 云计算服务安全能力评估方法》练习题试卷及参考答案.pdfVIP

《GBT+34942-2025网络安全技术云计算服务安全

能力评估方法》练习题试卷

注意：本试卷所有试题均依据GB/T34942—2025《网络安全技术云计算服务安

全能力评估方法》编制。

一、单项选择题（共15题，每题2分，共30分）

1.GB/T34942—2025规定了第三方评估机构对云服务商安全能力进行评估的原

则、流程及方法。此标准是对哪个先前标准的修订版本？

A.GB/T31168—2017

B.GB/T34942—2017

C.GB/T31167—2017

D.GB/T37972—2017

2.在现场实施阶段，第三方评估机构主要依据什么对云服务商的安全措施实施情

况进行评估？

A.客户反馈

B.云服务商提供的安全措施实施的证据

C.对评估人员的访谈

D.行业报告

3.根据标准，在单项安全要求的判定结果中，下列哪一项被视为“满足”？

A.计划满足

B.替代满足

C.部分满足

D.不适用

4.对于“网络中断”这一安全要求的评估方法，主要规定在哪个章节？

A.6.10开发商安全测试和评估

B.7.3网络中断

C.8.10未成功的登录尝试

D.9.3数据安全保护

5.标准要求对云计算平台外部访问接入点的数量进行限制。下列哪一项不是评估

该要求的方法？

A.检查边界保护策略与规程

B.访谈网络管理员

C.测试恶意代码防护机制

D.检查边界保护设备的配置信息

6.根据标准，在评估“传输保密性和完整性保护”时，以下哪项是需要检查和询

问的？

A.阻止自动执行移动代码的机制

B.传输信息流的保密性和完整性保护机制

C.会话锁定机制

D.特权账号的分配记录

7.关于“移动代码”的评估，标准在哪一级要求中规定了“阻止自动执行移动代

码的机制”的评估方法？

A.一般要求

B.增强要求

C.高级要求

D.附录A

8.标准中，“会话认证”的一般要求评估内容主要参考哪个文件？

A.GB/T31167—2023

B.GB/T31168—2023

C.GB/T37972

D.GB/T37027—2025

9.对于“恶意代码防护”的一般要求评估，覆盖了GB/T31168—2023中7.9.1

的哪些条款？

A.a)~c)

B.a)~d)

C.a)~e)

D.全部条款

10.在“访问控制”评估中，“用户标识与鉴别”增强要求部分，要求对非特权

账号和特权账号网络访问实施多因子鉴别，且至少有一个因子由什么提供？

A.与系统集成的软件

B.用户记忆的密码

C.与系统分离的设备

D.生物特征数据库

11.根据附录A（脆弱性问题示例），在“系统与通信保护”方面，“不同云服务

租户之间未实现网络隔离”属于哪个具体领域的脆弱性？

A.设备接入保护

B.网络虚拟化安全性

C.传输保密性和完整性保护

D.密码使用和管理

12.在“数据保护”评估中，要求为客户数据迁移提供技术手段，并协助完成数

据迁移。这属于哪一部分的评估内容？

A.9.1数据分类和保护策略

B.9.3数据安全保护

C.9.6数据残留防护

D.9.6.1一般要求

13.根据“配置管理”的评估，限制信息系统开发商和集成商对生产环境进行直

接变更的要求，属于哪一级要求？

A.一般要求

B.增强要求

C.高级要求

D.仅适用于自评估

14.在“维护管理”部分，要求远程维护和诊断活动记录至少保存多长时间？

A.1个月

B.3个月

C.6个月

D.12个月

15.标准在“风险评估与持续监控”的附录A中，将“未使用脆弱性扫描工具按

照定义的频率对云计算平台进行脆弱性扫描”归为哪类脆弱性问题？

A.风险评估

B.脆弱性扫描

C.持续监控

D.信息系统监测

二、多项选择题（共10题，每题3分，共30分。每题至少有2个正确选项，多

选、少选、错选均不得分）

1.GB/T34942—2025适用于以下哪些评估场景？

A.云服务商自评估

B.第三方评估机构对云服务商的评估

C.云服务客户对自身应用的评估

D.对传统IDC服务的评估

2.在分析评估阶段，云服务商安全要求实现情况的判定结果包括哪些类别？（根

据5.5及上下文）

A.满足

B.部分满足

C.替代满足

D.计划满足

E.不满足

F.不适