1. Phương pháp tấn công nào lợi dụng điểm yếu trong quá trình xác thực của hệ thống để truy cập trái phép?
A. Tấn công từ chối dịch vụ (DoS)
B. Tấn công leo thang đặc quyền (Privilege Escalation)
C. Tấn công SQL Injection
D. Tấn công Brute-force
2. Loại phần mềm độc hại nào tự nhân bản và lây lan qua mạng máy tính mà không cần sự can thiệp của người dùng?
A. Trojan
B. Virus
C. Sâu máy tính (Worm)
D. Phần mềm gián điệp (Spyware)
3. Hình thức tấn công nào mà kẻ tấn công giả mạo địa chỉ IP nguồn để che giấu danh tính hoặc thực hiện các cuộc tấn công từ chối dịch vụ phân tán?
A. IP Spoofing
B. Man-in-the-Middle (MITM)
C. Phishing
D. Cross-Site Scripting (XSS)
4. Nguyên tắc `AAA` trong bảo mật mạng bao gồm những yếu tố nào?
A. Authentication, Authorization, Accounting
B. Availability, Anonymity, Audit
C. Access, Application, Audit
D. Authentication, Application, Anonymity
5. Phương pháp mã hóa nào sử dụng cùng một khóa cho cả quá trình mã hóa và giải mã?
A. Mã hóa bất đối xứng (Asymmetric Encryption)
B. Mã hóa đối xứng (Symmetric Encryption)
C. Hashing
D. Steganography
6. Chứng chỉ số (Digital Certificate) được sử dụng để làm gì trong bảo mật web?
A. Ngăn chặn tấn công từ chối dịch vụ
B. Xác thực danh tính của website và mã hóa kết nối
C. Kiểm soát truy cập vào cơ sở dữ liệu
D. Phát hiện và loại bỏ phần mềm độc hại
7. tường lửa (Firewall) hoạt động ở tầng nào trong mô hình OSI?
A. Tầng Vật lý (Physical Layer)
B. Tầng Liên kết dữ liệu (Data Link Layer)
C. Tầng Mạng (Network Layer) và Tầng Giao vận (Transport Layer)
D. Tầng Ứng dụng (Application Layer)
8. VPN (Virtual Private Network) được sử dụng để làm gì?
A. Tăng tốc độ kết nối Internet
B. Tạo kết nối an toàn và riêng tư qua mạng công cộng
C. Quản lý mật khẩu
D. Chống virus
9. Kỹ thuật tấn công `watering hole` nhắm mục tiêu vào đối tượng nào?
A. Người dùng cá nhân
B. Các website phổ biến mà nhóm mục tiêu thường truy cập
C. Máy chủ DNS
D. Hệ thống email
10. Biện pháp bảo mật nào giúp ngăn chặn việc nghe lén thông tin trên đường truyền mạng không dây (Wi-Fi)?
A. Sử dụng mật khẩu mạnh cho tài khoản
B. Mã hóa Wi-Fi (ví dụ: WPA2/WPA3)
C. Tắt Wi-Fi khi không sử dụng
D. Cập nhật phần mềm diệt virus thường xuyên
11. Loại tấn công nào cố gắng làm cho hệ thống hoặc dịch vụ trở nên không khả dụng đối với người dùng hợp pháp?
A. Tấn công từ chối dịch vụ (Denial of Service - DoS)
B. Tấn công giả mạo (Spoofing)
C. Tấn công xen giữa (Man-in-the-Middle)
D. Tấn công leo thang đặc quyền (Privilege Escalation)
12. Công cụ nào thường được sử dụng để quét lỗ hổng bảo mật trên hệ thống mạng?
A. Wireshark
B. Nmap
C. Metasploit
D. Snort
13. Hình thức tấn công nào sử dụng email giả mạo để lừa người dùng cung cấp thông tin cá nhân hoặc tài chính?
A. Phishing
B. SQL Injection
C. Cross-Site Scripting (XSS)
D. Buffer Overflow
14. Biện pháp bảo mật nào giúp bảo vệ dữ liệu khi lưu trữ, ví dụ như trên ổ cứng hoặc cơ sở dữ liệu?
A. Mã hóa dữ liệu (Data Encryption)
B. Xác thực đa yếu tố (Multi-Factor Authentication)
C. Tường lửa (Firewall)
D. Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS)
15. Loại hình tấn công nào khai thác lỗ hổng trong mã nguồn ứng dụng web để chèn mã độc vào website và thực thi trên trình duyệt của người dùng?
A. SQL Injection
B. Cross-Site Scripting (XSS)
C. Denial of Service (DoS)
D. Man-in-the-Middle (MITM)
16. Khái niệm `least privilege` (đặc quyền tối thiểu) có nghĩa là gì trong bảo mật?
A. Cung cấp cho người dùng quyền truy cập cao nhất có thể
B. Cung cấp cho người dùng chỉ những quyền truy cập cần thiết để thực hiện công việc của họ
C. Hạn chế quyền truy cập của tất cả người dùng
D. Yêu cầu tất cả người dùng phải có mật khẩu mạnh
17. Phương pháp tấn công nào lợi dụng lỗi tràn bộ đệm để ghi đè lên bộ nhớ và thực thi mã độc?
A. SQL Injection
B. Buffer Overflow
C. Cross-Site Scripting (XSS)
D. Phishing
18. Hệ thống IDS (Intrusion Detection System) hoạt động như thế nào?
A. Ngăn chặn tất cả các cuộc tấn công mạng
B. Giám sát lưu lượng mạng và hệ thống để phát hiện các hoạt động đáng ngờ hoặc tấn công
C. Mã hóa dữ liệu
D. Quản lý mật khẩu
19. Trong bối cảnh bảo mật ứng dụng web, CORS (Cross-Origin Resource Sharing) được sử dụng để làm gì?
A. Ngăn chặn tấn công SQL Injection
B. Kiểm soát việc chia sẻ tài nguyên giữa các nguồn gốc khác nhau (domain, protocol, port)
C. Mã hóa dữ liệu truyền tải giữa client và server
D. Xác thực người dùng
20. Phương pháp nào thường được sử dụng để kiểm tra mức độ bảo mật của hệ thống bằng cách mô phỏng các cuộc tấn công thực tế?
A. Kiểm thử xâm nhập (Penetration Testing)
B. Đánh giá rủi ro (Risk Assessment)
C. Kiểm toán bảo mật (Security Audit)
D. Phân tích mã tĩnh (Static Code Analysis)
21. Điều gì KHÔNG phải là một biện pháp bảo mật vật lý?
A. Khóa cửa phòng máy chủ
B. Mã hóa ổ cứng
C. Camera giám sát
D. Kiểm soát truy cập bằng thẻ từ
22. Trong bảo mật mật khẩu, `salt` được sử dụng để làm gì?
A. Tăng độ phức tạp của mật khẩu
B. Làm cho quá trình băm mật khẩu (hashing) trở nên an toàn hơn trước các cuộc tấn công rainbow table
C. Mã hóa mật khẩu
D. Khôi phục mật khẩu đã quên
23. Loại tấn công nào lợi dụng các lỗ hổng trong giao thức DNS để chuyển hướng người dùng đến các website giả mạo?
A. DNS Spoofing (DNS Cache Poisoning)
B. ARP Spoofing
C. IP Spoofing
D. BGP Hijacking
24. Framework bảo mật nào tập trung vào việc đánh giá và cải thiện tư thế bảo mật tổng thể của một tổ chức, bao gồm con người, quy trình và công nghệ?
A. ISO 27001
B. NIST Cybersecurity Framework
C. PCI DSS
D. GDPR
25. Điều gì KHÔNG phải là mục tiêu chính của an ninh mạng?
A. Tính bí mật (Confidentiality)
B. Tính toàn vẹn (Integrity)
C. Tính khả dụng (Availability)
D. Tính ẩn danh (Anonymity)
26. Trong ngữ cảnh bảo mật web, CSRF (Cross-Site Request Forgery) là loại tấn công nào?
A. Tấn công chèn mã SQL
B. Tấn công giả mạo yêu cầu
C. Tấn công từ chối dịch vụ
D. Tấn công leo thang đặc quyền
27. Biện pháp nào KHÔNG giúp bảo vệ chống lại phần mềm độc hại?
A. Cài đặt và cập nhật phần mềm diệt virus
B. Mở các email và liên kết từ nguồn không xác định
C. Cập nhật hệ điều hành và phần mềm thường xuyên
D. Sử dụng tường lửa
28. Loại tấn công nào nhắm mục tiêu vào chuỗi cung ứng phần mềm, bằng cách xâm nhập vào hệ thống của nhà cung cấp phần mềm và chèn mã độc vào phần mềm trước khi nó được phân phối đến người dùng cuối?
A. Tấn công zero-day
B. Tấn công chuỗi cung ứng (Supply Chain Attack)
C. Tấn công brute-force
D. Tấn công phishing
29. Khi một nhân viên vô tình tiết lộ thông tin nhạy cảm của công ty qua email cá nhân, đây được xem là vi phạm nào?
A. Tấn công nội bộ (Insider Threat)
B. Tấn công từ bên ngoài (External Threat)
C. Tấn công phi kỹ thuật (Social Engineering)
D. Vi phạm chính sách mật khẩu
30. Trong quản lý rủi ro an ninh mạng, `Risk Appetite` (Khẩu vị rủi ro) đề cập đến điều gì?
A. Mức độ rủi ro mà tổ chức sẵn sàng chấp nhận
B. Mức độ rủi ro tối đa mà tổ chức có thể chịu đựng
C. Mức độ rủi ro trung bình của tổ chức
D. Mức độ rủi ro thấp nhất mà tổ chức mong muốn
