Trắc nghiệm Kết nối Tin học 11 Tin học ứng dụng Kết nối Bài 15 Bảo mật và an toàn hệ cơ sở dữ liệu
1. Quyền hạn (privileges) trong cơ sở dữ liệu được định nghĩa là gì?
A. Khả năng truy cập vào các tệp tin hệ thống của máy chủ cơ sở dữ liệu.
B. Quyền được phép thực hiện các thao tác cụ thể trên các đối tượng của cơ sở dữ liệu (ví dụ: SELECT, INSERT, UPDATE, DELETE).
C. Khả năng thay đổi cấu trúc của hệ quản trị cơ sở dữ liệu.
D. Quyền được phép sao lưu và phục hồi toàn bộ cơ sở dữ liệu.
2. Tại sao việc sử dụng mật khẩu mạnh và duy nhất cho tài khoản truy cập cơ sở dữ liệu lại quan trọng?
A. Giúp hệ thống hoạt động nhanh hơn do giảm tải kiểm tra mật khẩu.
B. Ngăn chặn các cuộc tấn công dò mật khẩu (brute-force attacks) và hạn chế thiệt hại khi một tài khoản bị lộ.
C. Tăng cường khả năng phục hồi dữ liệu sau thảm họa.
D. Đảm bảo tính toàn vẹn của dữ liệu bằng cách ngăn chặn sửa đổi trái phép.
3. Trong mô hình bảo mật cơ sở dữ liệu, Data Integrity (Tính toàn vẹn dữ liệu) đề cập đến khía cạnh nào?
A. Khả năng truy cập dữ liệu từ mọi nơi mọi lúc.
B. Sự chính xác, đầy đủ và nhất quán của dữ liệu trong suốt vòng đời của nó.
C. Tốc độ xử lý các giao dịch trên cơ sở dữ liệu.
D. Khả năng phục hồi dữ liệu sau sự cố.
4. Khái niệm Firewall (Tường lửa) trong bảo mật cơ sở dữ liệu chủ yếu có vai trò gì?
A. Mã hóa dữ liệu khi lưu trữ.
B. Kiểm soát luồng lưu lượng mạng vào và ra khỏi máy chủ cơ sở dữ liệu, chặn các kết nối không được phép.
C. Xác thực người dùng trước khi cho phép truy cập cơ sở dữ liệu.
D. Phát hiện và loại bỏ virus trong cơ sở dữ liệu.
5. Trong bối cảnh bảo mật cơ sở dữ liệu, thuật ngữ SQL Injection đề cập đến loại tấn công nào?
A. Tấn công lợi dụng lỗ hổng trong việc xử lý dữ liệu đầu vào để thực thi các lệnh SQL không mong muốn.
B. Tấn công khai thác điểm yếu trong việc mã hóa dữ liệu để đọc trộm thông tin nhạy cảm.
C. Tấn công từ chối dịch vụ (DDoS) nhằm làm tê liệt hoạt động của hệ thống cơ sở dữ liệu.
D. Tấn công dựa trên việc đoán mật khẩu hoặc sử dụng các công cụ dò tìm mật khẩu.
6. Biện pháp nào sau đây KHÔNG được xem là một kỹ thuật phòng chống tấn công SQL Injection hiệu quả?
A. Sử dụng tham số hóa câu lệnh (Parameterized Queries) hoặc Stored Procedures.
B. Thực hiện kiểm tra và xác thực chặt chẽ mọi dữ liệu đầu vào từ người dùng.
C. Tắt hoàn toàn chức năng của cơ sở dữ liệu để tránh mọi tương tác bên ngoài.
D. Cập nhật phiên bản hệ quản trị cơ sở dữ liệu (DBMS) thường xuyên.
7. Trong ngữ cảnh bảo mật, Least Privilege liên quan trực tiếp đến việc quản lý gì trong cơ sở dữ liệu?
A. Tốc độ sao lưu.
B. Quyền hạn và quyền truy cập của người dùng hoặc các tiến trình.
C. Dung lượng lưu trữ.
D. Cấu trúc bảng dữ liệu.
8. Khái niệm auditing trong bảo mật cơ sở dữ liệu liên quan đến việc gì?
A. Thiết lập các quy tắc mã hóa cho dữ liệu.
B. Ghi lại các hoạt động truy cập và thay đổi dữ liệu để theo dõi và phân tích.
C. Phân chia các vai trò và quyền hạn cho người dùng.
D. Tối ưu hóa hiệu suất truy vấn.
9. Mục đích chính của việc sử dụng SSL/TLS (Secure Sockets Layer/Transport Layer Security) khi kết nối đến cơ sở dữ liệu là gì?
A. Tăng tốc độ truyền dữ liệu.
B. Mã hóa dữ liệu trong quá trình truyền tải giữa ứng dụng và cơ sở dữ liệu, ngăn chặn nghe lén.
C. Xác thực tính toàn vẹn của dữ liệu trên đĩa.
D. Tự động hóa việc sao lưu cơ sở dữ liệu.
10. Trong bảo mật cơ sở dữ liệu, Data Encryption (Mã hóa dữ liệu) có thể được áp dụng ở những cấp độ nào?
A. Chỉ ở cấp độ tệp tin.
B. Ở cấp độ tệp tin, cột dữ liệu, hoặc toàn bộ cơ sở dữ liệu.
C. Chỉ ở cấp độ người dùng.
D. Chỉ khi dữ liệu đang được truyền đi.
11. Biện pháp Input Validation (Kiểm tra dữ liệu đầu vào) giúp bảo vệ cơ sở dữ liệu như thế nào?
A. Giúp tăng tốc độ truy vấn dữ liệu.
B. Ngăn chặn việc nhập dữ liệu không hợp lệ hoặc có chứa mã độc, giảm thiểu nguy cơ tấn công như SQL Injection.
C. Tự động hóa quá trình sao lưu cơ sở dữ liệu.
D. Mã hóa dữ liệu trên đường truyền.
12. Biện pháp nào giúp bảo vệ cơ sở dữ liệu khỏi tấn công Buffer Overflow?
A. Sử dụng các công cụ quét lỗ hổng.
B. Thực hiện kiểm tra và giới hạn kích thước dữ liệu đầu vào một cách nghiêm ngặt.
C. Tắt quyền truy cập mạng của cơ sở dữ liệu.
D. Mã hóa toàn bộ dữ liệu.
13. Khi nói đến Data Masking, mục đích chính của kỹ thuật này là gì?
A. Tăng tốc độ truy xuất dữ liệu nhạy cảm.
B. Thay thế dữ liệu nhạy cảm bằng dữ liệu giả mạo hoặc đã được làm xáo trộn để bảo vệ quyền riêng tư trong môi trường phát triển, thử nghiệm.
C. Mã hóa toàn bộ cơ sở dữ liệu để bảo vệ khỏi tấn công mạng.
D. Kiểm tra tính toàn vẹn của dữ liệu sau khi sao lưu.
14. Đâu là một ví dụ về tấn công Denial of Service (DoS) nhắm vào cơ sở dữ liệu?
A. Chèn các câu lệnh SQL độc hại vào các trường nhập liệu.
B. Gửi một lượng lớn các yêu cầu truy vấn hoặc hoạt động tốn tài nguyên một cách liên tục, làm hệ thống quá tải và không thể phục vụ các yêu cầu hợp lệ.
C. Sử dụng các công cụ để dò tìm và đoán mật khẩu.
D. Truy cập vào các tệp tin cấu hình của hệ quản trị cơ sở dữ liệu.
15. Tại sao việc cập nhật hệ quản trị cơ sở dữ liệu (DBMS) và các thành phần liên quan lên phiên bản mới nhất lại quan trọng cho an toàn?
A. Để tăng tốc độ xử lý các truy vấn phức tạp.
B. Để vá các lỗ hổng bảo mật đã được phát hiện và công bố.
C. Để thêm các tính năng mới cho người dùng cuối.
D. Để giảm dung lượng bộ nhớ mà cơ sở dữ liệu sử dụng.
16. Nguyên tắc Phân quyền tối thiểu (Principle of Least Privilege) trong quản lý cơ sở dữ liệu có nghĩa là gì?
A. Cung cấp cho mỗi người dùng quyền truy cập vào tất cả các dữ liệu trong cơ sở dữ liệu.
B. Cấp cho người dùng chỉ những quyền hạn cần thiết để thực hiện công việc của họ, không hơn.
C. Cho phép người dùng có quyền thay đổi bất kỳ dữ liệu nào mà không cần sự cho phép.
D. Giao toàn bộ quyền quản trị cho một người dùng duy nhất để dễ dàng quản lý.
17. Trong cơ sở dữ liệu, Transaction Isolation Levels (Mức độ cô lập giao dịch) ảnh hưởng đến khía cạnh nào của bảo mật?
A. Khả năng mã hóa dữ liệu.
B. Ngăn chặn các vấn đề như đọc bẩn (dirty reads), đọc không lặp lại (non-repeatable reads) và đọc ảo (phantom reads), góp phần duy trì tính nhất quán và toàn vẹn của dữ liệu.
C. Tốc độ xử lý của các giao dịch đồng thời.
D. Khả năng phục hồi dữ liệu sau thảm họa.
18. Ma trận kiểm soát truy cập (Access Control Matrix) là gì trong ngữ cảnh bảo mật cơ sở dữ liệu?
A. Một sơ đồ mô tả cấu trúc vật lý của cơ sở dữ liệu.
B. Một bảng liệt kê các chủ thể (người dùng, tiến trình) và các đối tượng (bảng, trường) cùng với các hành động được phép thực hiện.
C. Một thuật toán mã hóa dữ liệu nhạy cảm.
D. Một công cụ để kiểm tra tốc độ truy xuất dữ liệu.
19. Tại sao việc sao lưu cơ sở dữ liệu thường xuyên và kiểm tra tính toàn vẹn của bản sao lưu lại quan trọng?
A. Để tăng tốc độ truy vấn dữ liệu.
B. Để đảm bảo khả năng phục hồi dữ liệu trong trường hợp xảy ra sự cố như lỗi phần cứng, tấn công mạng hoặc xóa nhầm dữ liệu.
C. Để giảm dung lượng lưu trữ của cơ sở dữ liệu.
D. Để phân tích hiệu suất hoạt động của hệ thống.
20. Biện pháp nào giúp bảo vệ dữ liệu khỏi truy cập trái phép khi dữ liệu đang được lưu trữ trên đĩa?
A. Mã hóa dữ liệu (Data Encryption) ở tầng lưu trữ.
B. Áp dụng các quy tắc xác thực người dùng mạnh mẽ.
C. Thường xuyên kiểm tra nhật ký hoạt động (audit logs).
D. Sử dụng tường lửa (firewall) để chặn truy cập mạng.
21. Biện pháp nào sau đây giúp ngăn chặn tấn công Cross-Site Scripting (XSS) nhắm vào các ứng dụng có sử dụng cơ sở dữ liệu?
A. Thực hiện mã hóa dữ liệu trên đường truyền (SSL/TLS).
B. Sử dụng các kỹ thuật lọc và mã hóa (sanitization and encoding) dữ liệu đầu vào và đầu ra.
C. Áp dụng nguyên tắc phân quyền tối thiểu cho người dùng cơ sở dữ liệu.
D. Thường xuyên sao lưu cơ sở dữ liệu.
22. Tại sao việc áp dụng các chính sách mật khẩu mạnh (ví dụ: yêu cầu độ dài, ký tự phức tạp, thay đổi định kỳ) lại cần thiết cho cơ sở dữ liệu?
A. Để đảm bảo dữ liệu luôn được mã hóa.
B. Để tăng khả năng phục hồi dữ liệu.
C. Để làm cho mật khẩu khó bị đoán hoặc bẻ khóa hơn bởi các cuộc tấn công dò mật khẩu.
D. Để giảm dung lượng lưu trữ của cơ sở dữ liệu.
23. Tại sao việc phân tích và giám sát nhật ký truy cập (access logs) lại quan trọng đối với bảo mật cơ sở dữ liệu?
A. Để xác định người dùng nào có quyền truy cập cao nhất.
B. Để phát hiện các hoạt động đáng ngờ, truy cập trái phép hoặc các dấu hiệu của một cuộc tấn công đã xảy ra.
C. Để tối ưu hóa hiệu suất của các câu lệnh SQL.
D. Để tự động cập nhật các bản vá bảo mật.
24. Biện pháp nào giúp bảo vệ cơ sở dữ liệu khỏi các cuộc tấn công nhắm vào việc khai thác lỗi trong các stored procedures?
A. Sử dụng tham số hóa (parameterized queries) hoặc mã hóa đầu vào/đầu ra.
B. Tắt hoàn toàn tính năng của stored procedures.
C. Thường xuyên thay đổi tên của các stored procedures.
D. Chỉ cho phép người dùng có quyền quản trị truy cập stored procedures.
25. Tại sao việc giới hạn quyền truy cập vào các bảng nhạy cảm (ví dụ: bảng chứa thông tin thẻ tín dụng) lại là một thực hành bảo mật quan trọng?
A. Để đảm bảo rằng chỉ những người dùng có vai trò cụ thể mới có thể xem hoặc sửa đổi dữ liệu đó.
B. Để tăng tốc độ truy vấn các bảng nhạy cảm.
C. Để giảm thiểu dung lượng lưu trữ của các bảng nhạy cảm.
D. Để tự động hóa quá trình sao lưu các bảng nhạy cảm.
