1. Hình thức tấn công nào lợi dụng sự tin tưởng của người dùng để thu thập thông tin nhạy cảm như mật khẩu hoặc thông tin thẻ tín dụng?
A. Tấn công từ chối dịch vụ (DoS)
B. Tấn công SQL Injection
C. Tấn công lừa đảo (Phishing)
D. Tấn công Brute-force
2. Biện pháp bảo mật nào sau đây giúp mã hóa dữ liệu trên ổ cứng, ngăn chặn truy cập trái phép ngay cả khi thiết bị bị mất hoặc đánh cắp?
A. Tường lửa (Firewall)
B. Mã hóa ổ đĩa (Disk Encryption)
C. Hệ thống phát hiện xâm nhập (IDS)
D. Xác thực đa yếu tố (MFA)
3. Loại phần mềm độc hại nào tự nhân bản và lây lan sang các máy tính khác trong mạng mà không cần sự can thiệp của người dùng?
A. Virus
B. Trojan
C. Worm (Sâu máy tính)
D. Spyware
4. Phương pháp xác thực nào yêu cầu người dùng cung cấp nhiều hơn một loại thông tin xác thực để tăng cường bảo mật?
A. Xác thực một yếu tố (SFA)
B. Xác thực hai yếu tố (2FA)
C. Xác thực đa yếu tố (MFA)
D. Xác thực sinh trắc học
5. Công cụ bảo mật nào hoạt động như một `người gác cổng` giữa mạng nội bộ và mạng bên ngoài, kiểm soát lưu lượng mạng dựa trên các quy tắc được thiết lập?
A. VPN (Mạng riêng ảo)
B. Tường lửa (Firewall)
C. Hệ thống phòng chống xâm nhập (IPS)
D. Phần mềm diệt virus
6. Giao thức nào được sử dụng để thiết lập kết nối an toàn, mã hóa giữa trình duyệt web và máy chủ web, thường được nhận biết qua biểu tượng ổ khóa trên trình duyệt?
A. HTTP
B. FTP
C. SMTP
D. HTTPS
7. Hình thức tấn công mạng nào nhằm mục đích làm gián đoạn dịch vụ của một hệ thống, khiến người dùng không thể truy cập được tài nguyên?
A. Tấn công Man-in-the-Middle
B. Tấn công từ chối dịch vụ (DoS)
C. Tấn công leo thang đặc quyền
D. Tấn công Cross-Site Scripting (XSS)
8. Nguyên tắc `AAA` trong bảo mật an ninh mạng bao gồm những yếu tố nào?
A. Authentication, Authorization, Accounting
B. Availability, Anonymity, Audit
C. Access, Application, Administration
D. Algorithm, Architecture, Automation
9. Loại tấn công nào kẻ tấn công bí mật nghe lén và có thể can thiệp vào giao tiếp giữa hai bên mà không ai trong số họ biết?
A. Tấn công SQL Injection
B. Tấn công Man-in-the-Middle
C. Tấn công Brute-force
D. Tấn công Cross-Site Request Forgery (CSRF)
10. Phương pháp tấn công mật khẩu nào thử tất cả các tổ hợp ký tự có thể để tìm ra mật khẩu đúng?
A. Tấn công Dictionary
B. Tấn công Rainbow Table
C. Tấn công Brute-force
D. Tấn công Social Engineering
11. Trong bảo mật web, XSS là viết tắt của loại tấn công nào?
A. XML Site Scripting
B. Cross-Site Scripting
C. Extreme Site Scripting
D. External Style Scripting
12. Loại hình tấn công nào lợi dụng lỗ hổng bảo mật trong ứng dụng web để chèn các câu lệnh SQL độc hại vào cơ sở dữ liệu?
A. Tấn công CSRF
B. Tấn công XSS
C. Tấn công SQL Injection
D. Tấn công Directory Traversal
13. Biện pháp nào sau đây giúp bảo vệ dữ liệu khi truyền qua mạng công cộng, ví dụ như khi truy cập Wi-Fi công cộng?
A. Tường lửa cá nhân
B. VPN (Mạng riêng ảo)
C. Phần mềm diệt virus
D. Mã hóa email
14. Quy trình nào giúp tổ chức xác định, đánh giá và giảm thiểu các rủi ro an ninh mạng có thể xảy ra?
A. Kiểm toán bảo mật
B. Đánh giá rủi ro bảo mật
C. Ứng phó sự cố
D. Kiểm thử xâm nhập
15. Loại tấn công nào mà kẻ tấn công giả mạo địa chỉ IP nguồn để che giấu danh tính hoặc thực hiện tấn công từ chối dịch vụ?
A. Tấn công Spoofing
B. Tấn công Replay
C. Tấn công Smurf
D. Tấn công Fraggle
16. Trong quản lý mật khẩu, nguyên tắc nào khuyến khích người dùng sử dụng mật khẩu khác nhau cho các tài khoản trực tuyến khác nhau?
A. Nguyên tắc mật khẩu mạnh
B. Nguyên tắc đa dạng mật khẩu
C. Nguyên tắc thay đổi mật khẩu định kỳ
D. Nguyên tắc không chia sẻ mật khẩu
17. Phương pháp mã hóa nào sử dụng cùng một khóa cho cả quá trình mã hóa và giải mã?
A. Mã hóa bất đối xứng (Asymmetric Encryption)
B. Mã hóa đối xứng (Symmetric Encryption)
C. Mã hóa Hash
D. Mã hóa muối (Salt)
18. Trong mô hình OSI, lớp nào liên quan đến bảo mật truyền tải dữ liệu đầu cuối, ví dụ như giao thức TLS/SSL?
A. Lớp Mạng (Network Layer)
B. Lớp Vận chuyển (Transport Layer)
C. Lớp Phiên (Session Layer)
D. Lớp Ứng dụng (Application Layer)
19. Kỹ thuật `hardening` hệ thống là gì trong bảo mật an ninh mạng?
A. Tăng cường khả năng chịu lỗi của hệ thống
B. Giảm thiểu bề mặt tấn công của hệ thống
C. Tối ưu hóa hiệu suất hệ thống
D. Sao lưu và phục hồi dữ liệu hệ thống
20. Trong ứng phó sự cố an ninh mạng, giai đoạn nào tập trung vào việc khôi phục hệ thống và dịch vụ trở lại trạng thái hoạt động bình thường?
A. Giai đoạn Phát hiện (Detection)
B. Giai đoạn Ứng phó (Response)
C. Giai đoạn Phục hồi (Recovery)
D. Giai đoạn Bài học kinh nghiệm (Lessons Learned)
21. Loại hình kiểm thử bảo mật nào mô phỏng các cuộc tấn công thực tế vào hệ thống để đánh giá khả năng phòng thủ?
A. Kiểm thử hộp đen (Black Box Testing)
B. Kiểm thử hộp trắng (White Box Testing)
C. Kiểm thử xâm nhập (Penetration Testing)
D. Kiểm thử đơn vị (Unit Testing)
22. Trong ngữ cảnh bảo mật đám mây, mô hình trách nhiệm chung (Shared Responsibility Model) phân chia trách nhiệm bảo mật giữa nhà cung cấp dịch vụ đám mây và khách hàng như thế nào?
A. Nhà cung cấp chịu trách nhiệm hoàn toàn về bảo mật
B. Khách hàng chịu trách nhiệm hoàn toàn về bảo mật
C. Nhà cung cấp chịu trách nhiệm bảo mật hạ tầng, khách hàng chịu trách nhiệm bảo mật dữ liệu và ứng dụng trên đám mây
D. Trách nhiệm bảo mật được chia sẻ đều giữa nhà cung cấp và khách hàng
23. Phương pháp nào sử dụng để chuyển đổi dữ liệu rõ (plaintext) thành dữ liệu không thể đọc được (ciphertext) nhằm bảo vệ tính bảo mật của thông tin?
A. Nén dữ liệu (Data Compression)
B. Mã hóa dữ liệu (Data Encryption)
C. Sao lưu dữ liệu (Data Backup)
D. Phân mảnh dữ liệu (Data Fragmentation)
24. Loại tấn công nào lợi dụng điểm yếu trong giao thức xác thực Kerberos để đánh cắp vé xác thực và truy cập trái phép vào tài nguyên mạng?
A. Tấn công Pass-the-Hash
B. Tấn công Replay
C. Tấn công Golden Ticket
D. Tấn công Brute-force Kerberos
25. Trong bảo mật ứng dụng web, Content Security Policy (CSP) được sử dụng để làm gì?
A. Ngăn chặn tấn công SQL Injection
B. Giảm thiểu rủi ro tấn công DDoS
C. Hạn chế nguồn tài nguyên mà trình duyệt web được phép tải
D. Mã hóa dữ liệu truyền tải giữa trình duyệt và máy chủ
26. Biện pháp nào sau đây giúp phát hiện và ngăn chặn các hành vi bất thường hoặc độc hại trong hệ thống mạng dựa trên việc phân tích lưu lượng mạng?
A. Tường lửa (Firewall)
B. Hệ thống phát hiện xâm nhập (IDS)
C. Phần mềm diệt virus
D. VPN (Mạng riêng ảo)
27. Trong quản lý rủi ro bảo mật thông tin, `ma trận rủi ro` thường được sử dụng để làm gì?
A. Xác định các lỗ hổng bảo mật
B. Đánh giá và ưu tiên rủi ro dựa trên mức độ nghiêm trọng và khả năng xảy ra
C. Lập kế hoạch ứng phó sự cố
D. Theo dõi và giám sát rủi ro
28. Loại tấn công nào cố gắng đánh sập một hệ thống bằng cách gửi một lượng lớn yêu cầu giả mạo từ nhiều nguồn khác nhau, làm quá tải hệ thống mục tiêu?
A. Tấn công DoS
B. Tấn công DDoS
C. Tấn công Man-in-the-Browser
D. Tấn công Drive-by Download
29. Trong bối cảnh an ninh mạng cho thiết bị IoT, thách thức bảo mật nào sau đây là đặc biệt quan trọng do số lượng lớn thiết bị và tài nguyên hạn chế?
A. Bảo mật phần cứng
B. Quản lý bản vá và cập nhật phần mềm
C. Bảo mật giao tiếp không dây
D. Tất cả các đáp án trên
30. Khi một nhân viên vô tình làm mất thẻ USB chứa dữ liệu nhạy cảm của công ty, sự cố này thuộc loại rủi ro bảo mật nào?
A. Rủi ro từ bên ngoài
B. Rủi ro từ bên trong
C. Rủi ro vật lý
D. Rủi ro kỹ thuật
