1. Đâu là mục tiêu chính của tấn công từ chối dịch vụ (DDoS)?
A. Đánh cắp dữ liệu nhạy cảm
B. Mã hóa dữ liệu để đòi tiền chuộc
C. Làm gián đoạn dịch vụ trực tuyến, khiến người dùng không thể truy cập
D. Cài đặt phần mềm độc hại vào hệ thống của người dùng
2. Phương pháp bảo mật nào sử dụng quy tắc để kiểm soát lưu lượng mạng dựa trên địa chỉ IP, cổng và giao thức?
A. Mã hóa đầu cuối (End-to-end encryption)
B. Tường lửa (Firewall)
C. Hệ thống phát hiện xâm nhập (IDS)
D. Xác thực đa yếu tố (MFA)
3. Loại phần mềm độc hại nào tự sao chép và lây lan sang các máy tính khác trong mạng mà không cần sự can thiệp của người dùng?
A. Trojan
B. Virus
C. Sâu máy tính (Worm)
D. Phần mềm gián điệp (Spyware)
4. Phương thức tấn công nào khai thác lỗ hổng bảo mật trong ứng dụng web để chèn mã độc vào cơ sở dữ liệu?
A. Tấn công XSS (Cross-Site Scripting)
B. Tấn công CSRF (Cross-Site Request Forgery)
C. Tấn công SQL Injection
D. Tấn công Man-in-the-Middle
5. Nguyên tắc `AAA` trong an ninh mạng đề cập đến điều gì?
A. Authentication, Authorization, Accounting
B. Availability, Accuracy, Auditability
C. Access, Authentication, Anti-malware
D. Application, Authorization, Anonymity
6. Loại tấn công nào mà kẻ tấn công nghe lén giao tiếp giữa hai bên để đánh cắp thông tin?
A. Tấn công Phishing
B. Tấn công Brute-force
C. Tấn công Man-in-the-Middle (MITM)
D. Tấn công Social Engineering
7. Biện pháp nào giúp bảo vệ dữ liệu khi truyền qua mạng công cộng, ví dụ như Internet?
A. Sao lưu dữ liệu thường xuyên
B. Mã hóa dữ liệu (Encryption)
C. Kiểm soát truy cập vật lý
D. Cập nhật phần mềm định kỳ
8. Hình thức tấn công nào lợi dụng tâm lý con người để lừa đảo và khai thác thông tin?
A. Tấn công Brute-force
B. Tấn công Social Engineering
C. Tấn công Zero-day
D. Tấn công Buffer Overflow
9. Công cụ nào thường được sử dụng để kiểm tra và đánh giá mức độ bảo mật của hệ thống hoặc ứng dụng bằng cách mô phỏng các cuộc tấn công?
A. Hệ thống quản lý nhật ký (SIEM)
B. Phần mềm diệt virus (Antivirus)
C. Công cụ quét lỗ hổng bảo mật (Vulnerability Scanner)
D. Tường lửa cá nhân (Personal Firewall)
10. Đâu là biện pháp bảo mật quan trọng để bảo vệ tài khoản trực tuyến khỏi bị truy cập trái phép?
A. Sử dụng mật khẩu mặc định
B. Sử dụng mật khẩu mạnh và duy nhất cho mỗi tài khoản
C. Chia sẻ mật khẩu với đồng nghiệp
D. Lưu mật khẩu trong file văn bản không mã hóa
11. Khái niệm `Zero-day vulnerability` đề cập đến điều gì?
A. Lỗ hổng bảo mật đã được vá lỗi ngay lập tức
B. Lỗ hổng bảo mật chưa được công khai và chưa có bản vá
C. Lỗ hổng bảo mật chỉ tồn tại trong 24 giờ
D. Lỗ hổng bảo mật không thể bị khai thác
12. Loại tấn công nào sử dụng nhiều máy tính bị nhiễm mã độc (botnet) để tạo ra lượng truy cập lớn, làm sập hệ thống mục tiêu?
A. Tấn công Phishing
B. Tấn công SQL Injection
C. Tấn công DDoS (Distributed Denial of Service)
D. Tấn công Man-in-the-Middle
13. Phương pháp xác thực nào yêu cầu người dùng cung cấp hai hoặc nhiều yếu tố xác thực khác nhau để chứng minh danh tính?
A. Xác thực một yếu tố (Single-factor Authentication)
B. Xác thực đa yếu tố (Multi-factor Authentication - MFA)
C. Xác thực sinh trắc học (Biometric Authentication)
D. Xác thực dựa trên chứng chỉ (Certificate-based Authentication)
14. Trong ngữ cảnh bảo mật dữ liệu, `Tính toàn vẹn` (Integrity) có nghĩa là gì?
A. Đảm bảo dữ liệu luôn sẵn sàng khi cần thiết
B. Đảm bảo dữ liệu được bảo mật khỏi truy cập trái phép
C. Đảm bảo dữ liệu chính xác và không bị sửa đổi trái phép
D. Đảm bảo dữ liệu được sao lưu thường xuyên
15. Quy trình ứng phó sự cố an ninh mạng thường bao gồm các giai đoạn nào theo thứ tự?
A. Phát hiện -> Ngăn chặn -> Phục hồi -> Bài học kinh nghiệm
B. Chuẩn bị -> Phát hiện -> Ngăn chặn -> Phục hồi -> Bài học kinh nghiệm
C. Chuẩn bị -> Phát hiện -> Ngăn chặn -> Phục hồi
D. Phát hiện -> Phục hồi -> Ngăn chặn -> Bài học kinh nghiệm
16. Loại tấn công nào giả mạo địa chỉ MAC để đánh lừa switch và chuyển hướng lưu lượng mạng?
A. Tấn công ARP poisoning
B. Tấn công DNS spoofing
C. Tấn công SYN flood
D. Tấn công Smurf
17. Trong bảo mật web, `HTTPS` khác với `HTTP` chủ yếu ở điểm nào?
A. HTTPS nhanh hơn HTTP
B. HTTPS sử dụng mã hóa để bảo mật dữ liệu truyền tải
C. HTTPS có thể hiển thị hình ảnh và video
D. HTTPS chỉ dành cho trang web thương mại điện tử
18. Biện pháp nào giúp ngăn chặn kẻ tấn công lợi dụng các phiên bản phần mềm cũ có lỗ hổng bảo mật?
A. Tắt tường lửa
B. Cập nhật phần mềm thường xuyên
C. Sử dụng mật khẩu yếu
D. Mở tất cả các cổng mạng
19. Loại hình tấn công nào mà kẻ tấn công cố gắng đoán mật khẩu bằng cách thử tất cả các tổ hợp có thể?
A. Tấn công từ điển (Dictionary attack)
B. Tấn công Brute-force
C. Tấn công Phishing
D. Tấn công Watering Hole
20. Trong an ninh mạng, `Endpoint Security` tập trung vào việc bảo vệ đối tượng nào?
A. Máy chủ web
B. Thiết bị đầu cuối (máy tính cá nhân, laptop, điện thoại)
C. Cơ sở dữ liệu
D. Hệ thống mạng
21. Tiêu chuẩn bảo mật nào được thiết kế đặc biệt để bảo vệ thông tin thẻ thanh toán?
A. ISO 27001
B. PCI DSS (Payment Card Industry Data Security Standard)
C. HIPAA (Health Insurance Portability and Accountability Act)
D. GDPR (General Data Protection Regulation)
22. Trong mô hình CIA Triad, `Confidentiality` (Tính bảo mật) đề cập đến điều gì?
A. Đảm bảo hệ thống luôn hoạt động ổn định
B. Đảm bảo dữ liệu chỉ được truy cập bởi người được ủy quyền
C. Đảm bảo dữ liệu không bị sửa đổi trái phép
D. Đảm bảo dữ liệu được sao lưu an toàn
23. Phương pháp tấn công nào lợi dụng lỗ hổng tràn bộ đệm (Buffer Overflow) để thực thi mã độc?
A. Tấn công SQL Injection
B. Tấn công Buffer Overflow
C. Tấn công XSS
D. Tấn công CSRF
24. Hệ thống phát hiện xâm nhập (IDS) hoạt động chủ yếu dựa trên cơ chế nào?
A. Ngăn chặn chủ động các cuộc tấn công
B. Giám sát và phát hiện các hoạt động đáng ngờ hoặc tấn công
C. Mã hóa dữ liệu để bảo vệ thông tin
D. Quản lý mật khẩu người dùng
25. Trong bối cảnh an ninh mạng, `Threat intelligence` (Thông tin tình báo về mối đe dọa) mang lại lợi ích gì?
A. Tăng tốc độ xử lý dữ liệu
B. Cung cấp thông tin về các mối đe dọa mới nhất và xu hướng tấn công
C. Giảm chi phí phần mềm bảo mật
D. Tự động vá lỗi hệ thống
26. Bạn nhận được email yêu cầu xác nhận thông tin tài khoản ngân hàng bằng cách nhấp vào liên kết. Đây có thể là dấu hiệu của hình thức tấn công nào?
A. Tấn công DDoS
B. Tấn công Phishing
C. Tấn công SQL Injection
D. Tấn công Man-in-the-Middle
27. Một nhân viên vô tình làm mất USB chứa dữ liệu nhạy cảm của công ty. Rủi ro an ninh mạng nào có thể xảy ra?
A. Tấn công DDoS
B. Rò rỉ dữ liệu (Data breach)
C. Tấn công Ransomware
D. Tấn công Zero-day
28. Để bảo vệ mạng Wi-Fi gia đình, biện pháp bảo mật nào sau đây là quan trọng nhất?
A. Tắt Wi-Fi khi không sử dụng
B. Sử dụng giao thức mã hóa WPA3 và mật khẩu mạnh
C. Để Wi-Fi ở chế độ công khai
D. Không thay đổi tên Wi-Fi mặc định
29. Trong an ninh ứng dụng web, `Cross-Site Scripting (XSS)` là loại tấn công nhắm vào đâu?
A. Máy chủ web
B. Trình duyệt web của người dùng
C. Cơ sở dữ liệu
D. Hệ thống mạng
30. Khi một tổ chức bị tấn công Ransomware, mục tiêu chính của kẻ tấn công là gì?
A. Phá hủy hệ thống
B. Mã hóa dữ liệu và đòi tiền chuộc để giải mã
C. Đánh cắp thông tin khách hàng
D. Làm gián đoạn dịch vụ
