1. Chính sách mật khẩu mạnh nên bao gồm những yếu tố nào?
A. Chỉ chữ cái thường và số.
B. Độ dài ngắn, dễ nhớ.
C. Kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt, độ dài đủ lớn.
D. Sử dụng lại mật khẩu cũ để dễ quản lý.
2. Trong bối cảnh bảo mật web, XSS là viết tắt của loại tấn công nào?
A. Cross-site Scripting.
B. XML Site Security.
C. eXtended Server Storage.
D. External System Security.
3. Loại phần mềm độc hại nào tự sao chép và lây lan sang các máy tính khác trong mạng?
A. Trojan.
B. Virus.
C. Spyware.
D. Adware.
4. Kỹ thuật 'social engineering' (kỹ nghệ xã hội) khai thác yếu tố nào để tấn công?
A. Lỗ hổng phần mềm.
B. Sức mạnh tính toán của máy tính.
C. Yếu tố con người và tâm lý.
D. Sự cố phần cứng.
5. Loại tấn công nào lợi dụng điểm yếu trong cấu hình hoặc thiết kế của hệ thống mạng?
A. Tấn công brute-force.
B. Tấn công cấu hình sai (Misconfiguration attack).
C. Tấn công zero-day.
D. Tấn công DDoS.
6. Cơ chế bảo mật nào thường được sử dụng để kiểm soát quyền truy cập vào tài nguyên dựa trên vai trò của người dùng?
A. Kiểm soát truy cập tùy ý (DAC).
B. Kiểm soát truy cập bắt buộc (MAC).
C. Kiểm soát truy cập dựa trên vai trò (RBAC).
D. Kiểm soát truy cập theo thuộc tính (ABAC).
7. Điều gì là lỗ hổng bảo mật 'zero-day'?
A. Lỗ hổng đã được công khai và có bản vá.
B. Lỗ hổng trong phần mềm đã quá cũ.
C. Lỗ hổng chưa được biết đến hoặc chưa có bản vá từ nhà cung cấp.
D. Lỗ hổng chỉ tồn tại trong phần cứng.
8. Trong bảo mật ứng dụng web, CSRF là viết tắt của loại tấn công nào?
A. Cross-Site Request Forgery.
B. Client-Side Resource Fetching.
C. Cascading Style Sheet Redirection.
D. Centralized Security Reporting Framework.
9. Chứng chỉ số (Digital certificate) được sử dụng để làm gì trong bảo mật web?
A. Tăng tốc độ tải trang web.
B. Xác thực danh tính của trang web và mã hóa kết nối (HTTPS).
C. Chặn quảng cáo trên trang web.
D. Quản lý cookie của trang web.
10. Hình thức tấn công mạng nào cố gắng làm cho hệ thống hoặc dịch vụ không khả dụng đối với người dùng hợp pháp?
A. Tấn công lừa đảo (Phishing).
B. Tấn công từ chối dịch vụ (DoS/DDoS).
C. Tấn công SQL Injection.
D. Tấn công Man-in-the-Middle.
11. Tại sao việc giám sát nhật ký hệ thống (system logs) lại quan trọng trong an ninh mạng?
A. Để tăng tốc độ hệ thống.
B. Để phát hiện các hoạt động bất thường hoặc dấu hiệu xâm nhập.
C. Để tự động vá lỗi phần mềm.
D. Để mã hóa dữ liệu.
12. Điều gì KHÔNG phải là một biện pháp bảo mật vật lý?
A. Khóa cửa phòng máy chủ.
B. Tường lửa (Firewall).
C. Camera giám sát.
D. Kiểm soát truy cập sinh trắc học.
13. Chức năng chính của hệ thống phát hiện xâm nhập (IDS) là gì?
A. Ngăn chặn tất cả các cuộc tấn công mạng.
B. Phát hiện các hoạt động đáng ngờ hoặc độc hại trong mạng.
C. Mã hóa dữ liệu truyền tải trên mạng.
D. Xác thực người dùng truy cập vào hệ thống.
14. Trong mô hình bảo mật 'Defense in Depth' (Phòng thủ chiều sâu), điều gì là quan trọng?
A. Chỉ sử dụng một lớp bảo mật mạnh nhất.
B. Sử dụng nhiều lớp bảo mật khác nhau.
C. Bảo mật mọi thứ bằng mật khẩu phức tạp.
D. Không kết nối internet để an toàn tuyệt đối.
15. Phishing (lừa đảo) thường được thực hiện qua phương tiện nào?
A. Tấn công vật lý.
B. Email, tin nhắn văn bản, hoặc trang web giả mạo.
C. Tấn công từ chối dịch vụ.
D. Khai thác lỗ hổng phần mềm.
16. Biện pháp nào giúp bảo vệ dữ liệu khi truyền qua mạng công cộng (ví dụ: Internet)?
A. Sử dụng mật khẩu mạnh.
B. Mã hóa dữ liệu.
C. Sao lưu dữ liệu thường xuyên.
D. Cập nhật phần mềm diệt virus.
17. Điều gì KHÔNG nên được chia sẻ qua email không mã hóa?
A. Lịch họp.
B. Thông tin đăng nhập tài khoản ngân hàng.
C. Thông báo về sự kiện công ty.
D. Lời mời tham gia dự án.
18. Giao thức nào thường được sử dụng để thiết lập kết nối VPN an toàn?
A. HTTP.
B. FTP.
C. IPsec.
D. SMTP.
19. Điều gì KHÔNG phải là một mục tiêu của phản ứng sự cố an ninh mạng?
A. Xác định và ngăn chặn sự cố.
B. Khôi phục hoạt động bình thường nhanh nhất có thể.
C. Che giấu sự cố để tránh gây hoang mang.
D. Giảm thiểu thiệt hại và chi phí do sự cố gây ra.
20. Nguyên tắc 'Least Privilege' (Đặc quyền tối thiểu) trong bảo mật có nghĩa là gì?
A. Cung cấp cho tất cả người dùng quyền truy cập đầy đủ vào hệ thống.
B. Chỉ cấp cho người dùng quyền truy cập tối thiểu cần thiết để thực hiện công việc của họ.
C. Từ chối mọi quyền truy cập cho người dùng để đảm bảo an toàn.
D. Cấp quyền truy cập ngẫu nhiên cho người dùng.
21. Chứng thực đa yếu tố (MFA) tăng cường bảo mật bằng cách nào?
A. Thay thế hoàn toàn mật khẩu.
B. Yêu cầu nhiều hơn một loại thông tin xác thực để xác minh danh tính.
C. Tự động cập nhật phần mềm.
D. Mã hóa toàn bộ ổ cứng.
22. Điều gì KHÔNG phải là một loại tường lửa (firewall) phổ biến?
A. Tường lửa gói tin (Packet filtering firewall).
B. Tường lửa mạch (Circuit-level firewall).
C. Tường lửa ứng dụng (Application-level firewall).
D. Tường lửa vật lý (Physical firewall).
23. SQL Injection là loại tấn công nhắm vào thành phần nào?
A. Máy chủ web.
B. Cơ sở dữ liệu.
C. Trình duyệt web.
D. Hệ điều hành.
24. Phương pháp tấn công 'Man-in-the-Middle' hoạt động như thế nào?
A. Gửi hàng loạt email lừa đảo.
B. Chặn và có khả năng sửa đổi giao tiếp giữa hai bên mà họ không hề hay biết.
C. Khai thác lỗ hổng trong cơ sở dữ liệu.
D. Làm quá tải hệ thống bằng lưu lượng truy cập giả mạo.
25. Mục tiêu chính của bảo mật an ninh mạng là gì?
A. Tăng tốc độ truy cập internet.
B. Bảo vệ tính bí mật, tính toàn vẹn và tính khả dụng của thông tin.
C. Giảm chi phí phần mềm.
D. Nâng cao hiệu suất phần cứng máy tính.
26. Phương pháp bảo mật nào liên quan đến việc biến dữ liệu thành định dạng không thể đọc được để bảo vệ tính bí mật?
A. Mã hóa (Encryption).
B. Xác thực (Authentication).
C. Ủy quyền (Authorization).
D. Kiểm toán (Auditing).
27. Tại sao việc cập nhật phần mềm và hệ điều hành thường xuyên lại quan trọng đối với an ninh mạng?
A. Để tăng tốc độ máy tính.
B. Để có thêm tính năng mới.
C. Để vá các lỗ hổng bảo mật đã biết.
D. Để giảm dung lượng ổ cứng sử dụng.
28. Mục đích chính của kiểm tra xâm nhập (penetration testing) là gì?
A. Cải thiện hiệu suất hệ thống.
B. Đánh giá và xác định các lỗ hổng bảo mật trong hệ thống.
C. Đảm bảo tuân thủ các quy định pháp lý.
D. Cài đặt phần mềm bảo mật.
29. Điều gì KHÔNG phải là một biện pháp phòng ngừa malware?
A. Cài đặt phần mềm diệt virus và cập nhật thường xuyên.
B. Mở tất cả các email và tệp đính kèm từ người lạ.
C. Cẩn trọng khi tải xuống phần mềm từ internet.
D. Sử dụng tường lửa.
30. Sao lưu dữ liệu thường xuyên quan trọng nhất để đối phó với loại rủi ro an ninh mạng nào?
A. Tấn công lừa đảo.
B. Tấn công từ chối dịch vụ.
C. Mã độc tống tiền (Ransomware).
D. Tấn công SQL Injection.
