Trắc nghiệm Tin học 11 Kết nối tri thức KHMT bài 15 Bảo mật và an toàn hệ cơ sở dữ liệu
1. Khi một ứng dụng web tương tác với cơ sở dữ liệu, vai trò của "tham số hóa truy vấn" (parameterized queries) hoặc "truy vấn được chuẩn bị" (prepared statements) là gì?
A. Tăng tốc độ truy xuất dữ liệu bằng cách sử dụng bộ nhớ đệm.
B. Ngăn chặn tấn công SQL Injection bằng cách tách biệt mã SQL và dữ liệu đầu vào của người dùng.
C. Tự động tạo các bản sao lưu cho các truy vấn quan trọng.
D. Giới hạn số lượng truy vấn mà một người dùng có thể thực hiện.
2. Biện pháp nào sau đây giúp tăng cường "tính bí mật" (confidentiality) của dữ liệu trong cơ sở dữ liệu?
A. Thực hiện kiểm toán (auditing) tất cả các hoạt động truy cập dữ liệu.
B. Áp dụng chính sách mật khẩu mạnh và mã hóa dữ liệu nhạy cảm.
C. Sử dụng cơ chế sao lưu định kỳ để phục hồi dữ liệu.
D. Phân loại và gán quyền truy cập dựa trên vai trò của người dùng.
3. Biện pháp nào sau đây được coi là hiệu quả nhất để chống lại các cuộc tấn công "lừa đảo" (phishing) nhằm đánh cắp thông tin đăng nhập vào cơ sở dữ liệu?
A. Thường xuyên thay đổi mật khẩu cơ sở dữ liệu.
B. Đào tạo người dùng nhận biết các email và trang web lừa đảo, yêu cầu xác thực đa yếu tố (MFA).
C. Sử dụng tường lửa mạnh mẽ.
D. Mã hóa tất cả các kết nối đến cơ sở dữ liệu.
4. Tại sao việc "phân loại dữ liệu" (data classification) lại quan trọng trong chiến lược bảo mật cơ sở dữ liệu?
A. Để xác định kích thước tối ưu cho các bảng cơ sở dữ liệu.
B. Để áp dụng các biện pháp bảo mật phù hợp với mức độ nhạy cảm và giá trị của từng loại dữ liệu.
C. Để tăng tốc độ xử lý các truy vấn phức tạp.
D. Để tự động tạo báo cáo về hiệu suất hệ thống.
5. Biện pháp nào sau đây giúp tăng cường "tính sẵn sàng" (availability) của cơ sở dữ liệu bằng cách giảm thiểu thời gian ngừng hoạt động?
A. Sử dụng các thuật toán nén dữ liệu hiệu quả.
B. Triển khai các giải pháp dự phòng (ví dụ: cơ sở dữ liệu dự phòng, cân bằng tải).
C. Áp dụng chính sách mật khẩu mạnh.
D. Phân loại và mã hóa dữ liệu nhạy cảm.
6. Một "cuộc tấn công từ chối dịch vụ" (Denial of Service - DoS attack) nhằm mục đích gì đối với hệ cơ sở dữ liệu?
A. Đánh cắp thông tin đăng nhập của người dùng.
B. Làm cho hệ thống cơ sở dữ liệu trở nên không khả dụng hoặc hoạt động rất chậm, ngăn cản người dùng hợp pháp truy cập.
C. Thay đổi hoặc xóa dữ liệu nhạy cảm.
D. Cài đặt phần mềm độc hại lên máy chủ cơ sở dữ liệu.
7. Sự khác biệt cơ bản giữa "xác thực" (authentication) và "ủy quyền" (authorization) trong quản lý truy cập cơ sở dữ liệu là gì?
A. Xác thực là việc cấp quyền, còn ủy quyền là việc kiểm tra danh tính.
B. Xác thực là quá trình kiểm tra xem "bạn có phải là người bạn nói không", còn ủy quyền là việc xác định "bạn được phép làm gì".
C. Xác thực chỉ áp dụng cho người dùng, còn ủy quyền chỉ áp dụng cho hệ thống.
D. Xác thực liên quan đến mã hóa dữ liệu, còn ủy quyền liên quan đến sao lưu dữ liệu.
8. Hành động nào sau đây được xem là một biện pháp "kiểm soát truy cập" (access control) đối với hệ cơ sở dữ liệu?
A. Thường xuyên sao lưu toàn bộ cơ sở dữ liệu vào một ổ cứng ngoài.
B. Cấp phát các quyền cụ thể (ví dụ: xem, sửa, xóa) cho từng người dùng hoặc nhóm người dùng dựa trên vai trò của họ.
C. Sử dụng thuật toán nén dữ liệu để giảm dung lượng lưu trữ.
D. Cài đặt một tường lửa (firewall) để giám sát lưu lượng mạng vào máy chủ cơ sở dữ liệu.
9. Một chính sách "mật khẩu mạnh" (strong password policy) thường bao gồm các yêu cầu nào sau đây?
A. Sử dụng các từ đơn giản, dễ nhớ.
B. Mật khẩu phải có độ dài tối thiểu, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt, không trùng lặp với các mật khẩu cũ.
C. Chia sẻ mật khẩu với đồng nghiệp để tiện hỗ trợ.
D. Chỉ sử dụng tên người dùng làm mật khẩu.
10. Tại sao việc cập nhật thường xuyên hệ quản trị cơ sở dữ liệu (DBMS) và hệ điều hành lại quan trọng cho an toàn?
A. Để tăng tốc độ xử lý dữ liệu.
B. Để vá các lỗ hổng bảo mật đã biết mà kẻ tấn công có thể khai thác.
C. Để giảm chi phí bản quyền phần mềm.
D. Để thay đổi giao diện người dùng của cơ sở dữ liệu.
11. Trong trường hợp xảy ra một cuộc tấn công mạng nhắm vào cơ sở dữ liệu, vai trò của "nhật ký kiểm toán" (audit logs) là gì trong quá trình điều tra?
A. Tự động khôi phục dữ liệu đã bị mất.
B. Cung cấp bằng chứng về các hành động đã xảy ra, giúp xác định nguồn gốc, thời điểm và phạm vi của cuộc tấn công.
C. Chặn tất cả các kết nối mạng đến máy chủ cơ sở dữ liệu.
D. Mã hóa lại toàn bộ dữ liệu trong cơ sở dữ liệu.
12. Tại sao việc sử dụng "chỉ các tài khoản có quyền tối thiểu cần thiết" (principle of least privilege) là một thực hành bảo mật tốt?
A. Để tăng tốc độ truy cập của người dùng.
B. Để giảm thiểu rủi ro và thiệt hại có thể xảy ra nếu tài khoản bị xâm phạm hoặc người dùng mắc lỗi.
C. Để đơn giản hóa việc quản lý người dùng.
D. Để đảm bảo tất cả người dùng có quyền truy cập như nhau.
13. Trong mô hình ACID (Atomicity, Consistency, Isolation, Durability) cho các giao dịch cơ sở dữ liệu, thuộc tính "Tính nhất quán" (Consistency) đảm bảo điều gì?
A. Tất cả các thao tác trong một giao dịch đều được thực hiện hoặc không có thao tác nào được thực hiện.
B. Các giao dịch diễn ra độc lập với nhau, không ảnh hưởng lẫn nhau.
C. Mọi giao dịch phải đưa cơ sở dữ liệu từ một trạng thái hợp lệ sang một trạng thái hợp lệ khác.
D. Dữ liệu được lưu trữ bền vững ngay cả khi hệ thống gặp sự cố.
14. Tại sao việc "kiểm tra định kỳ và cập nhật các chính sách bảo mật" lại cần thiết cho hệ cơ sở dữ liệu?
A. Để đảm bảo chính sách luôn phù hợp với các mối đe dọa mới và công nghệ thay đổi.
B. Để làm cho chính sách bảo mật trở nên phức tạp hơn.
C. Để giảm bớt trách nhiệm của người quản trị cơ sở dữ liệu.
D. Để có thể dễ dàng bỏ qua các quy tắc bảo mật khi cần.
15. Trong bảo mật cơ sở dữ liệu, "tính toàn vẹn" (integrity) đề cập đến khía cạnh nào?
A. Khả năng hệ thống hoạt động liên tục mà không bị gián đoạn.
B. Đảm bảo dữ liệu là chính xác, đầy đủ và không bị thay đổi trái phép.
C. Khả năng truy cập dữ liệu bởi những người dùng được ủy quyền.
D. Khả năng bảo vệ dữ liệu khỏi việc truy cập trái phép.
16. Trong các tùy chọn sau, đâu là ví dụ về "phần mềm độc hại" (malware) có thể ảnh hưởng đến an toàn hệ cơ sở dữ liệu?
A. Một công cụ giám sát hiệu năng cơ sở dữ liệu.
B. Một phần mềm diệt virus đã được cập nhật thường xuyên.
C. Một ransomware cố gắng mã hóa các tệp dữ liệu và đòi tiền chuộc.
D. Một trình duyệt web được sử dụng để truy cập giao diện quản lý cơ sở dữ liệu.
17. Trong các tình huống sau, tình huống nào minh họa rõ nhất nguy cơ về "lỗ hổng bảo mật" (security vulnerability) trong hệ cơ sở dữ liệu?
A. Người quản trị cơ sở dữ liệu (DBA) có mật khẩu mạnh và thay đổi định kỳ.
B. Cơ sở dữ liệu được thiết kế với các ràng buộc toàn vẹn (integrity constraints) chặt chẽ.
C. Một người dùng có quyền truy cập vào bảng "Thông tin Khách hàng" nhưng lại có thể thực thi các lệnh SQL tùy ý để xem các bảng khác không được phép.
D. Dữ liệu trong cơ sở dữ liệu được mã hóa bằng thuật toán AES-256.
18. Nếu một người dùng cố gắng truy cập vào một bản ghi mà họ không có quyền xem, hệ thống cơ sở dữ liệu sẽ phản hồi như thế nào?
A. Hệ thống sẽ tự động cấp quyền tạm thời để người dùng xem.
B. Hệ thống sẽ từ chối yêu cầu truy cập và có thể ghi lại sự kiện này vào nhật ký kiểm toán.
C. Hệ thống sẽ hiển thị một thông báo lỗi chung chung không tiết lộ nguyên nhân.
D. Hệ thống sẽ yêu cầu người dùng nhập lại mật khẩu.
19. Biện pháp nào sau đây không phải là một phương pháp hiệu quả để bảo vệ cơ sở dữ liệu khỏi việc truy cập trái phép?
A. Sử dụng mật khẩu mạnh và xác thực đa yếu tố.
B. Mã hóa dữ liệu nhạy cảm cả khi lưu trữ và khi truyền.
C. Thiết lập tường lửa và quy tắc truy cập mạng chặt chẽ.
D. Chỉ sử dụng các câu lệnh SELECT để truy xuất dữ liệu, không bao giờ sử dụng các lệnh INSERT, UPDATE, DELETE.
20. Trong bối cảnh bảo mật hệ cơ sở dữ liệu, khái niệm "mã hóa dữ liệu" (data encryption) chủ yếu nhằm mục đích gì?
A. Ngăn chặn truy cập trái phép vào dữ liệu bằng cách biến đổi dữ liệu thành dạng không đọc được nếu không có khóa giải mã phù hợp.
B. Tăng tốc độ truy xuất dữ liệu bằng cách sắp xếp lại các bản ghi một cách tối ưu.
C. Đảm bảo tính toàn vẹn của dữ liệu bằng cách kiểm tra lỗi trong quá trình truyền hoặc lưu trữ.
D. Giới hạn quyền truy cập của người dùng vào các phần cụ thể của cơ sở dữ liệu.
21. Tại sao việc "sao lưu và phục hồi" (backup and recovery) dữ liệu lại là một phần thiết yếu của an toàn hệ cơ sở dữ liệu?
A. Để tăng dung lượng lưu trữ của cơ sở dữ liệu.
B. Để đảm bảo khả năng khôi phục dữ liệu về trạng thái trước đó khi xảy ra sự cố (ví dụ: lỗi phần cứng, tấn công, lỗi người dùng).
C. Để mã hóa toàn bộ dữ liệu một cách an toàn.
D. Để kiểm tra hiệu năng hoạt động của hệ thống cơ sở dữ liệu.
22. Yếu tố nào sau đây là quan trọng nhất để đảm bảo "tính sẵn sàng" (availability) của hệ cơ sở dữ liệu?
A. Sử dụng các thuật toán nén dữ liệu tiên tiến.
B. Triển khai các biện pháp chống tấn công DDoS (Distributed Denial of Service).
C. Thực hiện kiểm soát truy cập nghiêm ngặt.
D. Mã hóa tất cả dữ liệu trong cơ sở dữ liệu.
23. Một "tấn công SQL Injection" (SQL Injection attack) nhằm mục đích gì?
A. Thực hiện việc nén dữ liệu hiệu quả hơn.
B. Chèn các đoạn mã SQL độc hại vào các truy vấn dữ liệu để thao túng hoặc truy cập trái phép vào cơ sở dữ liệu.
C. Phân tích hành vi truy cập của người dùng để cải thiện trải nghiệm.
D. Tự động cập nhật các bản vá bảo mật cho hệ quản trị cơ sở dữ liệu.
24. Khi nói về "kiểm toán cơ sở dữ liệu" (database auditing), mục đích chính của nó là gì?
A. Tăng cường hiệu suất truy vấn dữ liệu.
B. Theo dõi và ghi lại các hoạt động truy cập, thay đổi dữ liệu và các sự kiện quan trọng khác trong cơ sở dữ liệu.
C. Tự động sửa lỗi cú pháp trong các câu lệnh SQL.
D. Giảm thiểu dung lượng lưu trữ của cơ sở dữ liệu.
25. Khi thực hiện việc "xóa dữ liệu nhạy cảm" (deleting sensitive data) khỏi cơ sở dữ liệu, biện pháp nào sau đây là quan trọng để đảm bảo an toàn?
A. Chỉ đơn giản là xóa bản ghi khỏi bảng.
B. Sử dụng các công cụ xóa dữ liệu an toàn (secure deletion tools) hoặc ghi đè dữ liệu để nó không thể phục hồi.
C. Sao lưu dữ liệu trước khi xóa để có thể khôi phục lại.
D. Thông báo cho người dùng về việc xóa dữ liệu.
