1. Hình thức tấn công nào lợi dụng sự tin tưởng của con người để thu thập thông tin nhạy cảm?
A. Tấn công DDoS
B. Tấn công SQL Injection
C. Tấn công Social Engineering
D. Tấn công Brute Force
2. Biện pháp bảo mật nào sau đây giúp ngăn chặn truy cập trái phép vào hệ thống mạng bằng cách kiểm soát lưu lượng?
A. Mã hóa dữ liệu
B. Tường lửa (Firewall)
C. Xác thực đa yếu tố
D. Sao lưu dữ liệu
3. Loại phần mềm độc hại nào tự nhân bản và lây lan sang các máy tính khác trong mạng?
A. Trojan
B. Spyware
C. Virus
D. Rootkit
4. Phương pháp mã hóa nào biến đổi dữ liệu thành dạng không thể đọc được, chỉ có thể giải mã bằng khóa bí mật?
A. Mã hóa một chiều (Hashing)
B. Mã hóa đối xứng (Symmetric Encryption)
C. Mã hóa bất đối xứng (Asymmetric Encryption)
D. Mã hóa Base64
5. Trong bảo mật web, XSS là viết tắt của hình thức tấn công nào?
A. Cross-Site Scripting
B. XML Site Security
C. eXtended Server Storage
D. Cross-System Script
6. Nguyên tắc `AAA` trong bảo mật mạng bao gồm những yếu tố nào?
A. Authentication, Authorization, Accounting
B. Access, Audit, Alert
C. Application, Algorithm, Architecture
D. Availability, Anonymity, Assurance
7. Phương pháp tấn công từ chối dịch vụ (DoS) nào làm ngập hệ thống mục tiêu bằng một lượng lớn lưu lượng truy cập giả mạo từ nhiều nguồn khác nhau?
A. Tấn công Buffer Overflow
B. Tấn công DDoS (Distributed Denial of Service)
C. Tấn công Man-in-the-Middle
D. Tấn công Zero-day
8. Chứng chỉ số (Digital Certificate) được sử dụng để làm gì trong giao tiếp trực tuyến?
A. Tăng tốc độ truyền dữ liệu
B. Xác thực danh tính và mã hóa dữ liệu
C. Ngăn chặn virus xâm nhập
D. Sao lưu dữ liệu tự động
9. Công cụ nào thường được sử dụng để kiểm thử xâm nhập (Penetration Testing) vào hệ thống mạng?
A. Microsoft Word
B. Wireshark
C. Adobe Photoshop
D. Google Chrome
10. Biện pháp bảo mật nào tập trung vào việc bảo vệ dữ liệu trong suốt vòng đời của nó, từ khi tạo ra đến khi hủy bỏ?
A. Bảo mật vật lý
B. Bảo mật ứng dụng
C. Bảo mật dữ liệu
D. Bảo mật mạng
11. Hình thức tấn công nào mà kẻ tấn công bí mật nghe lén thông tin trao đổi giữa hai bên?
A. Tấn công Replay
B. Tấn công Man-in-the-Middle (MITM)
C. Tấn công Phishing
D. Tấn công SQL Injection
12. VPN (Virtual Private Network) được sử dụng để làm gì?
A. Tăng tốc độ internet
B. Tạo kết nối mạng riêng ảo an toàn
C. Chặn quảng cáo trực tuyến
D. Quét virus và phần mềm độc hại
13. Trong quản lý rủi ro an ninh mạng, `vulnerability` (lỗ hổng) được hiểu là gì?
A. Sự cố an ninh đã xảy ra
B. Điểm yếu trong hệ thống có thể bị khai thác
C. Biện pháp phòng ngừa tấn công
D. Quy trình khôi phục sau sự cố
14. Loại tấn công nào lợi dụng lỗ hổng trong ứng dụng web để chèn mã độc vào cơ sở dữ liệu?
A. Tấn công CSRF
B. Tấn công SQL Injection
C. Tấn công Directory Traversal
D. Tấn công XXE
15. Mục tiêu chính của bảo mật thông tin là đảm bảo những yếu tố nào?
A. Tốc độ, hiệu suất, khả năng mở rộng
B. Bí mật, toàn vẹn, khả dụng (CIA Triad)
C. Tiện lợi, dễ sử dụng, giá cả phải chăng
D. Tính mới, sáng tạo, độc đáo
16. Trong lĩnh vực bảo mật, `zero-day exploit` đề cập đến điều gì?
A. Tấn công xảy ra vào ngày đầu tiên của tháng
B. Lỗ hổng bảo mật chưa được biết đến hoặc chưa có bản vá
C. Tấn công chỉ kéo dài trong một ngày
D. Phương pháp bảo mật không tốn kém
17. Biện pháp nào sau đây giúp bảo vệ chống lại tấn công Brute Force vào mật khẩu?
A. Sử dụng mật khẩu đơn giản, dễ nhớ
B. Kích hoạt xác thực đa yếu tố (MFA)
C. Tắt tường lửa
D. Mở tất cả các cổng mạng
18. Chính sách mật khẩu mạnh KHÔNG nên bao gồm yếu tố nào sau đây?
A. Độ dài tối thiểu
B. Sử dụng ký tự đặc biệt
C. Dễ đoán, liên quan đến thông tin cá nhân
D. Kết hợp chữ hoa, chữ thường và số
19. Trong an ninh mạng, `incident response` (ứng phó sự cố) là gì?
A. Ngăn chặn sự cố xảy ra
B. Phát hiện, ứng phó và khắc phục sự cố an ninh
C. Kiểm tra định kỳ hệ thống
D. Đào tạo người dùng về bảo mật
20. Loại hình tấn công nào giả mạo địa chỉ email hoặc website để lừa người dùng cung cấp thông tin cá nhân?
A. Tấn công Pharming
B. Tấn công Phishing
C. Tấn công Watering Hole
D. Tấn công Baiting
21. Biện pháp bảo mật nào giúp xác minh danh tính của người dùng trước khi cấp quyền truy cập vào hệ thống?
A. Mã hóa dữ liệu
B. Xác thực (Authentication)
C. Sao lưu dữ liệu
D. Giám sát an ninh
22. Trong ngữ cảnh bảo mật ứng dụng web, CSRF là viết tắt của?
A. Cross-Site Request Forgery
B. Cascading Style Sheet Request Failure
C. Client-Side Rendering Framework
D. Centralized Server Resource Firewall
23. Phương pháp bảo mật nào sử dụng `honeypot`?
A. Phòng ngừa xâm nhập (IPS)
B. Phát hiện xâm nhập (IDS)
C. Phản hồi sự cố (Incident Response)
D. Đánh giá rủi ro (Risk Assessment)
24. Điều gì KHÔNG phải là một loại hình tấn công Malware phổ biến?
A. Ransomware
B. Adware
C. Firmware
D. Worms
25. Tiêu chuẩn bảo mật nào tập trung vào việc bảo vệ dữ liệu thẻ thanh toán?
A. ISO 27001
B. GDPR
C. PCI DSS
D. HIPAA
26. Trong mô hình bảo mật `Defense in Depth`, nguyên tắc cốt lõi là gì?
A. Tập trung vào một lớp bảo mật mạnh nhất
B. Sử dụng nhiều lớp bảo mật khác nhau
C. Bảo mật mọi thứ một cách tuyệt đối
D. Chỉ bảo mật dữ liệu quan trọng nhất
27. Loại tấn công nào nhắm vào chuỗi cung ứng phần mềm?
A. Tấn công Race Condition
B. Tấn công Supply Chain
C. Tấn công Session Hijacking
D. Tấn công Clickjacking
28. Phương pháp nào sau đây KHÔNG phải là biện pháp bảo mật vật lý?
A. Kiểm soát truy cập bằng thẻ từ
B. Mã hóa ổ cứng
C. Camera giám sát
D. Khóa cửa phòng server
29. Trong bảo mật đám mây, mô hình `Shared Responsibility` (Trách nhiệm chung) nghĩa là gì?
A. Nhà cung cấp dịch vụ đám mây chịu trách nhiệm hoàn toàn về bảo mật
B. Khách hàng chịu trách nhiệm hoàn toàn về bảo mật
C. Trách nhiệm bảo mật được chia sẻ giữa nhà cung cấp và khách hàng
D. Không ai chịu trách nhiệm về bảo mật trong môi trường đám mây
30. Bạn nhận được một email thông báo trúng thưởng từ một chương trình mà bạn không tham gia, yêu cầu cung cấp thông tin cá nhân để nhận giải. Bạn nên làm gì?
A. Cung cấp thông tin theo yêu cầu để nhận giải
B. Chuyển tiếp email cho bạn bè để cùng tham gia
C. Xóa email và không nhấp vào bất kỳ liên kết nào
D. Báo cáo email này cho cơ quan chức năng và xóa email
