1. Công cụ nào giúp giám sát và phân tích lưu lượng mạng để phát hiện các hoạt động đáng ngờ hoặc tấn công?
A. Tường lửa (Firewall)
B. Hệ thống phát hiện xâm nhập (IDS)
C. Phần mềm diệt virus (Antivirus)
D. Công cụ quét lỗ hổng (Vulnerability Scanner)
2. Phương pháp nào giúp đảm bảo tính toàn vẹn của dữ liệu bằng cách tạo ra một giá trị duy nhất (hash) cho mỗi tệp tin?
A. Mã hóa dữ liệu (Encryption)
B. Chữ ký số (Digital Signature)
C. Băm dữ liệu (Data Hashing)
D. Sao lưu dữ liệu (Data Backup)
3. Loại tấn công nào chèn mã độc hại vào các truy vấn SQL để truy cập hoặc sửa đổi dữ liệu trong cơ sở dữ liệu?
A. Tấn công XSS
B. Tấn công CSRF
C. Tấn công SQL Injection
D. Tấn công Directory Traversal
4. Phương pháp nào giúp bảo vệ thông tin cá nhân bằng cách ẩn danh hoặc loại bỏ các yếu tố nhận dạng khỏi dữ liệu?
A. Mã hóa dữ liệu (Encryption)
B. Che giấu dữ liệu (Data Masking)
C. Ẩn danh dữ liệu (Data Anonymization)
D. Băm dữ liệu (Data Hashing)
5. Phương pháp nào giúp bảo vệ dữ liệu trong quá trình truyền tải bằng cách thiết lập một kết nối an toàn và mã hóa giữa hai điểm cuối?
A. Tường lửa (Firewall)
B. Mạng riêng ảo (VPN)
C. Hệ thống phát hiện xâm nhập (IDS)
D. Kiểm soát truy cập (Access Control)
6. Loại tấn công nào khai thác các lỗ hổng trong quá trình xác thực để chiếm đoạt phiên làm việc của người dùng hợp lệ?
A. Tấn công Brute-Force
B. Tấn công leo thang đặc quyền
C. Tấn công chiếm đoạt phiên (Session Hijacking)
D. Tấn công từ chối dịch vụ (DoS)
7. Loại tấn công nào lợi dụng việc người dùng vô tình thực hiện các hành động không mong muốn trên một ứng dụng web mà họ đã xác thực?
A. Tấn công XSS
B. Tấn công SQL Injection
C. Tấn công CSRF
D. Tấn công Directory Traversal
8. Loại tấn công nào lợi dụng việc người dùng truy cập vào các trang web hoặc ứng dụng độc hại thông qua các liên kết hoặc quảng cáo giả mạo?
A. Tấn công Watering Hole
B. Tấn công Phishing
C. Tấn công XSS
D. Tấn công SQL Injection
9. Phương pháp nào giúp ngăn chặn việc lộ thông tin nhạy cảm bằng cách thay thế dữ liệu thực tế bằng dữ liệu giả mạo?
A. Mã hóa dữ liệu (Encryption)
B. Che giấu dữ liệu (Data Masking)
C. Băm dữ liệu (Data Hashing)
D. Sao lưu dữ liệu (Data Backup)
10. Loại tấn công nào thường sử dụng mạng máy tính bị nhiễm (botnet) để làm quá tải một hệ thống mục tiêu?
A. Tấn công Man-in-the-Middle
B. Tấn công từ chối dịch vụ phân tán (DDoS)
C. Tấn công Brute-Force
D. Tấn công Phishing
11. Công cụ nào giúp xác định các lỗ hổng bảo mật trong hệ thống hoặc ứng dụng?
A. Tường lửa (Firewall)
B. Phần mềm diệt virus (Antivirus)
C. Công cụ quét lỗ hổng (Vulnerability Scanner)
D. Hệ thống phát hiện xâm nhập (IDS)
12. Biện pháp bảo mật nào giúp kiểm soát và giám sát lưu lượng mạng giữa các vùng khác nhau trong một tổ chức hoặc giữa tổ chức và internet?
A. Tường lửa (Firewall)
B. Hệ thống phát hiện xâm nhập (IDS)
C. Hệ thống ngăn chặn xâm nhập (IPS)
D. Mạng riêng ảo (VPN)
13. Biện pháp bảo mật nào giúp giám sát và ghi lại các hoạt động của người dùng trên hệ thống để phục vụ cho việc điều tra và phân tích sự cố?
A. Kiểm soát truy cập (Access Control)
B. Ghi nhật ký (Logging)
C. Tường lửa (Firewall)
D. Mã hóa dữ liệu (Encryption)
14. Phương pháp tấn công nào lợi dụng điểm yếu trong phần mềm để thực thi mã độc hại trên hệ thống?
A. Tấn công từ chối dịch vụ (DoS)
B. Tấn công SQL Injection
C. Tấn công leo thang đặc quyền
D. Khai thác lỗ hổng (Exploit)
15. Phương pháp tấn công nào cố gắng đánh lừa người dùng cung cấp thông tin nhạy cảm bằng cách giả mạo một tổ chức hoặc cá nhân đáng tin cậy?
A. Tấn công Brute-Force
B. Tấn công Phishing
C. Tấn công SQL Injection
D. Tấn công XSS
16. Loại tấn công nào lợi dụng các lỗ hổng trong kịch bản phía máy khách (client-side scripts) để chèn mã độc hại vào trang web và thực thi trên trình duyệt của người dùng?
A. Tấn công CSRF
B. Tấn công SQL Injection
C. Tấn công XSS
D. Tấn công Directory Traversal
17. Biện pháp bảo mật nào giúp ngăn chặn việc nghe lén thông tin trên đường truyền mạng?
A. Sử dụng tường lửa (Firewall)
B. Mã hóa dữ liệu (Encryption)
C. Sử dụng hệ thống phát hiện xâm nhập (IDS)
D. Kiểm soát truy cập (Access Control)
18. Biện pháp bảo mật nào giúp ngăn chặn việc truy cập trái phép vào tài khoản người dùng bằng cách yêu cầu xác thực từ một vị trí hoặc thiết bị khác so với thông thường?
A. Xác thực đa yếu tố (Multi-Factor Authentication)
B. Xác thực dựa trên vị trí (Location-Based Authentication)
C. Xác thực thích ứng (Adaptive Authentication)
D. Xác thực sinh trắc học (Biometric Authentication)
19. Phương pháp nào giúp ngăn chặn việc mất dữ liệu bằng cách tạo ra các bản sao lưu định kỳ và lưu trữ chúng ở một vị trí an toàn?
A. Mã hóa dữ liệu (Encryption)
B. Kiểm soát truy cập (Access Control)
C. Sao lưu dữ liệu (Data Backup)
D. Băm dữ liệu (Data Hashing)
20. Phương pháp tấn công nào sử dụng phần mềm độc hại để mã hóa dữ liệu của nạn nhân và yêu cầu tiền chuộc để khôi phục?
A. Phishing
B. Ransomware
C. Spyware
D. Adware
21. Biện pháp nào giúp ngăn chặn việc thực thi mã độc hại bằng cách kiểm tra tính hợp lệ của mã trước khi thực thi?
A. Chữ ký số (Digital Signature)
B. Kiểm soát truy cập (Access Control)
C. Tường lửa (Firewall)
D. Mã hóa dữ liệu (Encryption)
22. Loại tấn công nào lợi dụng các lỗ hổng trong giao thức DNS để chuyển hướng người dùng đến các trang web giả mạo?
A. Tấn công Man-in-the-Middle
B. Tấn công DNS Spoofing
C. Tấn công ARP Spoofing
D. Tấn công từ chối dịch vụ (DoS)
23. Biện pháp bảo mật nào giúp bảo vệ dữ liệu khi nó được lưu trữ trên thiết bị hoặc truyền qua mạng?
A. Mã hóa dữ liệu (Encryption)
B. Kiểm soát truy cập (Access Control)
C. Tường lửa (Firewall)
D. Sao lưu dữ liệu (Data Backup)
24. Công cụ nào giúp kiểm tra và đánh giá mức độ bảo mật của một mạng hoặc hệ thống bằng cách mô phỏng các cuộc tấn công thực tế?
A. Hệ thống phát hiện xâm nhập (IDS)
B. Công cụ quét lỗ hổng (Vulnerability Scanner)
C. Kiểm tra xâm nhập (Penetration Testing)
D. Tường lửa (Firewall)
25. Loại hình bảo mật nào tập trung vào việc bảo vệ thông tin và hệ thống trong môi trường đám mây?
A. Bảo mật ứng dụng (Application Security)
B. Bảo mật đám mây (Cloud Security)
C. Bảo mật mạng (Network Security)
D. Bảo mật điểm cuối (Endpoint Security)
26. Phương pháp xác thực nào sử dụng nhiều yếu tố khác nhau (ví dụ: mật khẩu, vân tay, mã OTP) để tăng cường bảo mật?
A. Xác thực một yếu tố (Single-Factor Authentication)
B. Xác thực hai yếu tố (Two-Factor Authentication)
C. Xác thực đa yếu tố (Multi-Factor Authentication)
D. Xác thực sinh trắc học (Biometric Authentication)
27. Loại tấn công nào lợi dụng các lỗ hổng trong quá trình xử lý lỗi để tiết lộ thông tin nhạy cảm về hệ thống hoặc ứng dụng?
A. Tấn công Brute-Force
B. Tấn công leo thang đặc quyền
C. Tấn công tiết lộ thông tin (Information Disclosure)
D. Tấn công từ chối dịch vụ (DoS)
28. Loại chính sách bảo mật nào quy định cách thức người dùng được phép sử dụng tài sản và thông tin của tổ chức?
A. Chính sách mật khẩu
B. Chính sách kiểm soát truy cập
C. Chính sách sử dụng chấp nhận được (Acceptable Use Policy)
D. Chính sách ứng phó sự cố
29. Quy trình nào bao gồm các bước để xác định, phân tích, ngăn chặn và khắc phục các sự cố bảo mật?
A. Quản lý rủi ro (Risk Management)
B. Ứng phó sự cố (Incident Response)
C. Đánh giá lỗ hổng (Vulnerability Assessment)
D. Kiểm tra xâm nhập (Penetration Testing)
30. Biện pháp bảo mật nào giúp kiểm soát quyền truy cập vào tài nguyên hệ thống dựa trên vai trò và trách nhiệm của người dùng?
A. Kiểm soát truy cập dựa trên vai trò (Role-Based Access Control – RBAC)
B. Kiểm soát truy cập tùy ý (Discretionary Access Control – DAC)
C. Kiểm soát truy cập bắt buộc (Mandatory Access Control – MAC)
D. Kiểm soát truy cập theo thuộc tính (Attribute-Based Access Control – ABAC)
31. Công cụ nào thường được sử dụng để quét lỗ hổng bảo mật trên hệ thống và mạng?
A. Firewall
B. Antivirus
C. Intrusion Detection System
D. Vulnerability Scanner
32. Biện pháp nào giúp ngăn chặn việc nghe lén thông tin trên mạng Wi-Fi công cộng?
A. Sử dụng mật khẩu Wi-Fi mặc định
B. Tắt tường lửa
C. Sử dụng VPN (Mạng riêng ảo)
D. Không truy cập các trang web quan trọng
33. Phương pháp nào giúp ngăn chặn truy cập trái phép vào mạng bằng cách kiểm tra các gói tin mạng?
A. Antivirus
B. Firewall
C. Intrusion Detection System
D. VPN
34. Điều gì KHÔNG nên làm khi nhận được một email đáng ngờ?
A. Không mở các tệp đính kèm
B. Không nhấp vào các liên kết
C. Trả lời email và cung cấp thông tin cá nhân
D. Báo cáo email cho bộ phận IT hoặc nhà cung cấp dịch vụ email
35. Loại phần mềm độc hại nào thường được ngụy trang dưới dạng phần mềm hữu ích hoặc hợp pháp?
A. Virus
B. Worm
C. Trojan
D. Spyware
36. Tại sao việc cập nhật phần mềm và hệ điều hành thường xuyên lại quan trọng?
A. Để tăng tốc độ máy tính
B. Để vá các lỗ hổng bảo mật đã được phát hiện
C. Để tiết kiệm pin
D. Để thay đổi giao diện người dùng
37. VPN (Mạng riêng ảo) được sử dụng để làm gì?
A. Tăng tốc độ internet
B. Tạo kết nối an toàn và riêng tư qua mạng công cộng
C. Chặn quảng cáo
D. Quét virus
38. Chứng chỉ số (Digital certificate) được sử dụng để làm gì?
A. Tăng tốc độ internet
B. Xác thực danh tính của một trang web hoặc phần mềm
C. Chặn quảng cáo
D. Quét virus
39. Kỹ thuật tấn công nào sử dụng email giả mạo để lừa người dùng cung cấp thông tin cá nhân, chẳng hạn như mật khẩu và số thẻ tín dụng?
A. Phishing
B. Farming
C. Spoofing
D. Sniffing
40. Phương pháp xác thực đa yếu tố (Multi-Factor Authentication – MFA) là gì?
A. Chỉ sử dụng mật khẩu mạnh
B. Yêu cầu người dùng cung cấp nhiều hơn một yếu tố xác thực để chứng minh danh tính
C. Không sử dụng mật khẩu
D. Tự động đăng nhập vào tất cả các tài khoản
41. Loại tấn công nào xảy ra khi kẻ tấn công chặn và thay đổi thông tin liên lạc giữa hai bên mà không ai hay biết?
A. Tấn công SQL Injection
B. Tấn công Man-in-the-Middle
C. Tấn công từ chối dịch vụ (DoS)
D. Tấn công XSS
42. Loại tấn công nào nhắm vào việc khai thác các lỗ hổng trong cơ sở dữ liệu?
A. Cross-Site Scripting (XSS)
B. SQL Injection
C. Denial of Service (DoS)
D. Phishing
43. Điều gì KHÔNG nên chia sẻ trên mạng xã hội để bảo vệ thông tin cá nhân?
A. Sở thích cá nhân
B. Ảnh chụp với bạn bè
C. Địa chỉ nhà và số điện thoại
D. Thông tin về công việc
44. Loại phần mềm độc hại nào tự sao chép và lây lan sang các máy tính khác trong mạng?
A. Trojan
B. Virus
C. Worm
D. Spyware
45. Khi phát hiện một sự cố an ninh mạng, bước đầu tiên cần thực hiện là gì?
A. Báo cáo sự cố cho người có thẩm quyền
B. Tự mình khắc phục sự cố
C. Xóa tất cả dữ liệu liên quan
D. Thông báo cho tất cả người dùng
46. Biện pháp nào sau đây không phải là một phần của chiến lược phòng thủ theo chiều sâu (Defense in Depth)?
A. Cài đặt tường lửa
B. Sử dụng mật khẩu mạnh
C. Chỉ dựa vào một lớp bảo mật duy nhất
D. Thường xuyên cập nhật phần mềm
47. Tại sao việc phân quyền truy cập (Access Control) lại quan trọng trong an ninh mạng?
A. Để tăng tốc độ máy tính
B. Để đảm bảo rằng người dùng chỉ có quyền truy cập vào những tài nguyên cần thiết cho công việc của họ
C. Để tiết kiệm pin
D. Để thay đổi giao diện người dùng
48. Chức năng của hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là gì?
A. Ngăn chặn tất cả các cuộc tấn công
B. Phát hiện các hoạt động đáng ngờ hoặc tấn công vào hệ thống
C. Tăng tốc độ máy tính
D. Quét virus
49. Để bảo vệ dữ liệu khi truyền qua mạng không an toàn, biện pháp nào sau đây là hiệu quả nhất?
A. Sử dụng mật khẩu mạnh
B. Mã hóa dữ liệu
C. Cài đặt tường lửa
D. Thường xuyên cập nhật phần mềm
50. Giao thức nào được sử dụng để mã hóa lưu lượng web, đảm bảo an toàn cho dữ liệu truyền tải giữa trình duyệt và máy chủ?
A. HTTP
B. FTP
C. SMTP
D. HTTPS
51. Một công ty sử dụng tường lửa để bảo vệ mạng của mình. Tường lửa hoạt động bằng cách nào?
A. Tăng tốc độ truyền dữ liệu
B. Kiểm tra và chặn các gói tin mạng dựa trên các quy tắc được cấu hình
C. Quét virus trên máy tính
D. Mã hóa dữ liệu
52. Kỹ thuật tấn công Social Engineering là gì?
A. Tấn công vào hệ thống mạng bằng cách sử dụng các công cụ kỹ thuật
B. Lừa đảo người dùng để lấy thông tin cá nhân hoặc truy cập trái phép
C. Gây ra sự cố từ chối dịch vụ
D. Chèn mã độc vào trang web
53. Mục đích chính của việc kiểm tra xâm nhập (Penetration Testing) là gì?
A. Để vá các lỗ hổng bảo mật
B. Để đánh giá mức độ bảo mật của hệ thống bằng cách mô phỏng các cuộc tấn công
C. Để tăng tốc độ máy tính
D. Để cài đặt phần mềm diệt virus
54. Tại sao việc sao lưu dữ liệu thường xuyên lại quan trọng trong an ninh mạng?
A. Để tăng tốc độ máy tính
B. Để có thể khôi phục dữ liệu trong trường hợp bị mất, hỏng hoặc bị tấn công
C. Để tiết kiệm pin
D. Để thay đổi giao diện người dùng
55. Chính sách mật khẩu mạnh nên bao gồm những yếu tố nào?
A. Chỉ chữ thường và số
B. Chỉ chữ hoa và ký tự đặc biệt
C. Kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt
D. Sử dụng tên hoặc ngày sinh nhật
56. Phương pháp tấn công nào lợi dụng việc gửi lượng lớn dữ liệu đến một hệ thống để làm cạn kiệt tài nguyên và gây ra từ chối dịch vụ?
A. Tấn công SQL Injection
B. Tấn công Man-in-the-Middle
C. Tấn công từ chối dịch vụ phân tán (DDoS)
D. Tấn công XSS (Cross-Site Scripting)
57. Loại hình tấn công nào lợi dụng lỗ hổng trong ứng dụng web để chèn mã độc vào các trang web mà người dùng khác truy cập?
A. SQL Injection
B. Cross-Site Scripting (XSS)
C. Denial of Service (DoS)
D. Man-in-the-Middle
58. Hình thức tấn công nào cố gắng đoán mật khẩu bằng cách thử nhiều mật khẩu khác nhau?
A. Phishing
B. Brute-force attack
C. Social engineering
D. Denial-of-service attack
59. Biện pháp bảo mật nào giúp xác minh danh tính của người dùng trước khi cấp quyền truy cập vào hệ thống hoặc ứng dụng?
A. Mã hóa
B. Xác thực
C. Kiểm toán
D. Sao lưu
60. Biện pháp nào sau đây giúp bảo vệ dữ liệu trên thiết bị di động khi bị mất hoặc đánh cắp?
A. Sử dụng mật khẩu yếu
B. Tắt chức năng khóa màn hình
C. Mã hóa thiết bị
D. Không cài đặt phần mềm diệt virus
61. Biện pháp nào sau đây giúp bảo vệ dữ liệu khi thiết bị di động bị mất hoặc đánh cắp?
A. Cài đặt phần mềm diệt virus.
B. Sử dụng mật khẩu mạnh.
C. Mã hóa dữ liệu trên thiết bị.
D. Tắt Bluetooth khi không sử dụng.
62. Điều gì KHÔNG phải là một biện pháp bảo mật vật lý?
A. Sử dụng khóa và thẻ từ để kiểm soát truy cập vào tòa nhà.
B. Triển khai hệ thống phát hiện xâm nhập (IDS).
C. Lắp đặt camera giám sát.
D. Sử dụng hệ thống báo động.
63. Một người dùng nhận được một email yêu cầu họ nhấp vào một liên kết và nhập thông tin tài khoản ngân hàng. Đây là một ví dụ của loại tấn công nào?
A. Tấn công DDoS.
B. Tấn công lừa đảo (Phishing).
C. Tấn công SQL injection.
D. Tấn công man-in-the-middle.
64. Trong bảo mật mạng, thuật ngữ ‘least privilege’ (đặc quyền tối thiểu) có nghĩa là gì?
A. Người dùng nên được cấp tất cả các quyền cần thiết để hoàn thành công việc của họ.
B. Người dùng chỉ nên được cấp quyền truy cập vào thông tin mà họ cần để thực hiện công việc của họ.
C. Tất cả người dùng nên có quyền quản trị viên.
D. Người dùng nên được cấp nhiều quyền hơn mức họ cần để dự phòng cho các tình huống phát sinh.
65. Một công ty phát hiện một cuộc tấn công ransomware. Bước đầu tiên nên làm gì?
A. Trả tiền chuộc để lấy lại dữ liệu.
B. Cách ly các hệ thống bị ảnh hưởng khỏi mạng để ngăn chặn sự lây lan.
C. Thông báo cho khách hàng về vụ tấn công.
D. Cài đặt lại hệ điều hành trên tất cả các máy tính.
66. Để bảo vệ thông tin cá nhân trên mạng xã hội, bạn nên làm gì?
A. Sử dụng cài đặt quyền riêng tư để kiểm soát ai có thể xem thông tin của bạn.
B. Chấp nhận lời mời kết bạn từ tất cả mọi người.
C. Chia sẻ mật khẩu của bạn với bạn bè.
D. Đăng tải tất cả thông tin cá nhân của bạn lên mạng xã hội.
67. Để đảm bảo an toàn thông tin khi không còn sử dụng thiết bị lưu trữ (ổ cứng, USB…), bạn nên làm gì?
A. Xóa các tập tin thông thường.
B. Format (định dạng) thiết bị.
C. Sử dụng phần mềm xóa dữ liệu an toàn (data wiping) hoặc phá hủy vật lý thiết bị.
D. Cất giữ thiết bị ở nơi an toàn.
68. Loại tấn công nào lợi dụng điểm yếu trong phần mềm để thực thi mã độc từ xa?
A. Tấn công brute-force
B. Tấn công SQL injection
C. Tấn công zero-day
D. Tấn công man-in-the-middle
69. Giao thức nào thường được sử dụng để mã hóa dữ liệu truyền qua mạng, đặc biệt là cho các giao dịch trực tuyến?
A. HTTP
B. FTP
C. SMTP
D. HTTPS
70. Điều gì là quan trọng nhất khi tạo một chính sách mật khẩu mạnh?
A. Sử dụng mật khẩu ngắn và dễ nhớ.
B. Sử dụng thông tin cá nhân như ngày sinh hoặc tên thú cưng.
C. Sử dụng mật khẩu dài, phức tạp, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt.
D. Sử dụng cùng một mật khẩu cho tất cả các tài khoản.
71. Điều gì là quan trọng nhất khi xử lý một sự cố bảo mật?
A. Giữ bí mật về sự cố để tránh gây hoang mang.
B. Nhanh chóng khôi phục hệ thống và dữ liệu.
C. Xác định nguyên nhân gốc rễ của sự cố và thực hiện các biện pháp phòng ngừa để tránh tái diễn.
D. Đổ lỗi cho người khác về sự cố.
72. Phương pháp nào sau đây giúp ngăn chặn tấn công brute-force vào tài khoản người dùng?
A. Sử dụng mật khẩu mạnh.
B. Giới hạn số lần đăng nhập sai.
C. Sử dụng xác thực đa yếu tố (MFA).
D. Tất cả các đáp án trên.
73. Biện pháp nào sau đây giúp bảo vệ người dùng khỏi tấn công lừa đảo (phishing)?
A. Sử dụng mật khẩu mạnh và thay đổi thường xuyên.
B. Cài đặt phần mềm diệt virus.
C. Kiểm tra kỹ địa chỉ email và nội dung trước khi cung cấp thông tin cá nhân hoặc nhấp vào liên kết.
D. Tắt chức năng tự động đăng nhập vào các trang web.
74. Một công ty muốn đảm bảo rằng chỉ những nhân viên được ủy quyền mới có thể truy cập vào một khu vực nhất định trong văn phòng. Biện pháp nào sau đây là phù hợp nhất?
A. Sử dụng mật khẩu mạnh cho tất cả các máy tính trong văn phòng.
B. Lắp đặt camera giám sát và sử dụng thẻ từ để kiểm soát truy cập vào khu vực đó.
C. Yêu cầu tất cả nhân viên ký một thỏa thuận bảo mật.
D. Tổ chức đào tạo về an ninh mạng cho nhân viên.
75. Trong bảo mật ứng dụng web, XSS là viết tắt của?
A. XML Site Scripting
B. Cross-Site Scripting
C. eXecutable System Script
D. Extra Security System
76. Trong bảo mật, ‘hardening’ (tăng cường bảo mật) hệ thống là gì?
A. Quá trình tăng tốc độ xử lý của hệ thống.
B. Quá trình giảm thiểu các lỗ hổng bảo mật và tăng cường cấu hình an ninh của hệ thống.
C. Quá trình sao lưu dữ liệu hệ thống.
D. Quá trình cài đặt phần mềm diệt virus.
77. DNS poisoning là gì?
A. Một loại virus tấn công máy chủ DNS.
B. Một kỹ thuật tấn công thay đổi bản ghi DNS để chuyển hướng người dùng đến một trang web giả mạo.
C. Một phương pháp để tăng tốc độ phân giải tên miền.
D. Một công cụ để kiểm tra tính bảo mật của máy chủ DNS.
78. Phương pháp tấn công nào sử dụng kỹ thuật chèn mã độc vào một ứng dụng hợp pháp để đánh lừa người dùng?
A. Tấn công từ chối dịch vụ (DoS)
B. Tấn công lừa đảo (Phishing)
C. Tấn công Watering Hole
D. Tấn công Trojan
79. Điều gì KHÔNG phải là một loại tấn công từ chối dịch vụ (DoS)?
A. SYN flood
B. Ping of Death
C. SQL injection
D. UDP flood
80. Trong bảo mật đám mây, điều gì là trách nhiệm của nhà cung cấp dịch vụ đám mây (Cloud Provider)?
A. Bảo mật dữ liệu và ứng dụng của khách hàng.
B. Bảo mật cơ sở hạ tầng đám mây.
C. Tuân thủ các quy định về bảo mật dữ liệu.
D. Tất cả các đáp án trên.
81. Một quản trị viên mạng phát hiện lưu lượng truy cập bất thường từ một máy chủ trong mạng. Đây có thể là dấu hiệu của điều gì?
A. Máy chủ đang được nâng cấp.
B. Máy chủ bị nhiễm phần mềm độc hại hoặc đang tham gia vào một cuộc tấn công.
C. Máy chủ đang sao lưu dữ liệu.
D. Máy chủ đang được bảo trì.
82. Điều gì KHÔNG phải là một lợi ích của việc sử dụng VPN (Virtual Private Network)?
A. Tăng tốc độ kết nối internet.
B. Mã hóa lưu lượng truy cập internet.
C. Ẩn địa chỉ IP thực.
D. Truy cập nội dung bị chặn địa lý.
83. Điều gì KHÔNG phải là một yếu tố xác thực đa yếu tố (MFA)?
A. Mật khẩu.
B. Mã OTP (One-Time Password) được gửi đến điện thoại.
C. Dấu vân tay.
D. Câu hỏi bảo mật.
84. Khi một nhân viên nghỉ việc, điều gì quan trọng nhất cần thực hiện để bảo vệ an ninh mạng?
A. Thu hồi tất cả quyền truy cập và tài khoản của nhân viên đó ngay lập tức.
B. Gửi lời chúc tốt đẹp đến nhân viên.
C. Giữ lại tài khoản của nhân viên để tham khảo sau này.
D. Yêu cầu nhân viên ký một thỏa thuận bảo mật mới.
85. Trong ngữ cảnh bảo mật, ‘honeypot’ là gì?
A. Một hệ thống được thiết kế để thu hút và đánh lừa kẻ tấn công, cho phép theo dõi và phân tích hành vi của chúng.
B. Một phần mềm diệt virus mạnh mẽ.
C. Một công cụ để kiểm tra độ mạnh của mật khẩu.
D. Một phương pháp để mã hóa dữ liệu.
86. Trong bảo mật dữ liệu, ‘data masking’ (che dấu dữ liệu) là gì?
A. Quá trình xóa vĩnh viễn dữ liệu.
B. Quá trình mã hóa dữ liệu.
C. Quá trình thay thế dữ liệu nhạy cảm bằng các giá trị giả mạo hoặc vô nghĩa.
D. Quá trình nén dữ liệu để tiết kiệm không gian lưu trữ.
87. Mục đích chính của việc sử dụng tường lửa (firewall) trong một mạng máy tính là gì?
A. Tăng tốc độ kết nối internet.
B. Ngăn chặn truy cập trái phép vào hoặc ra khỏi mạng.
C. Quản lý địa chỉ IP của các thiết bị trong mạng.
D. Sao lưu dữ liệu quan trọng.
88. Kỹ thuật ‘social engineering’ (kỹ nghệ xã hội) là gì?
A. Một phương pháp để cải thiện hiệu suất của mạng xã hội.
B. Một kỹ thuật tấn công sử dụng sự tương tác của con người để lừa đảo và khai thác thông tin.
C. Một loại phần mềm quản lý quan hệ khách hàng.
D. Một quy trình để phát triển ứng dụng mạng xã hội.
89. Điều gì KHÔNG phải là một phương pháp để bảo vệ chống lại tấn công SQL injection?
A. Sử dụng các truy vấn tham số (parameterized queries) hoặc prepared statements.
B. Kiểm tra và lọc đầu vào của người dùng.
C. Sử dụng mật khẩu mạnh cho tài khoản cơ sở dữ liệu.
D. Tắt thông báo lỗi chi tiết của cơ sở dữ liệu.
90. Trong bảo mật không dây, WPA2 là gì?
A. Một tiêu chuẩn mã hóa cũ và không an toàn.
B. Một giao thức bảo mật để bảo vệ mạng Wi-Fi.
C. Một loại phần mềm diệt virus cho thiết bị di động.
D. Một phương pháp để tăng cường tín hiệu Wi-Fi.
91. Loại tấn công nào liên quan đến việc tạo ra các yêu cầu giả mạo để làm quá tải một hệ thống hoặc mạng, dẫn đến từ chối dịch vụ cho người dùng hợp pháp?
A. SQL injection.
B. Phishing.
C. Denial-of-service (DoS).
D. Cross-site scripting (XSS).
92. Giao thức nào thường được sử dụng để thiết lập một kết nối VPN (Virtual Private Network) an toàn?
A. HTTP.
B. FTP.
C. IPsec.
D. SMTP.
93. Điều gì là quan trọng nhất trong việc ứng phó với một sự cố bảo mật?
A. Che giấu sự cố để tránh làm tổn hại đến danh tiếng của công ty.
B. Báo cáo sự cố cho các bên liên quan, thu thập bằng chứng và thực hiện các biện pháp khắc phục.
C. Đổ lỗi cho một cá nhân hoặc bộ phận cụ thể.
D. Không làm gì cả và hy vọng sự cố sẽ tự biến mất.
94. Tiêu chuẩn bảo mật nào được thiết kế để bảo vệ thông tin thẻ tín dụng khi được lưu trữ, xử lý và truyền tải bởi các doanh nghiệp?
A. HIPAA.
B. GDPR.
C. PCI DSS.
D. ISO 27001.
95. Phương pháp nào giúp ngăn chặn việc một kẻ tấn công chặn và đọc thông tin truyền giữa hai bên?
A. Tường lửa (firewall).
B. Mã hóa (encryption).
C. Hệ thống phát hiện xâm nhập (IDS).
D. Xác thực đa yếu tố (MFA).
96. Điều gì là quan trọng nhất khi tạo một mật khẩu mạnh?
A. Sử dụng tên của bạn.
B. Sử dụng ngày sinh của bạn.
C. Sử dụng một chuỗi ký tự ngẫu nhiên, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt.
D. Sử dụng mật khẩu giống nhau cho tất cả các tài khoản.
97. Biện pháp nào giúp bảo vệ dữ liệu khi nó được lưu trữ trên ổ cứng hoặc thiết bị lưu trữ khác?
A. Mã hóa (encryption).
B. Tường lửa (firewall).
C. Hệ thống phát hiện xâm nhập (IDS).
D. Xác thực đa yếu tố (MFA).
98. Phương pháp nào được sử dụng để kiểm tra và đánh giá các lỗ hổng bảo mật trong một hệ thống hoặc ứng dụng?
A. Mã hóa (encryption).
B. Kiểm tra xâm nhập (penetration testing).
C. Tường lửa (firewall).
D. Xác thực đa yếu tố (MFA).
99. Mục tiêu chính của việc sử dụng tường lửa (firewall) trong một hệ thống mạng là gì?
A. Ngăn chặn tất cả các kết nối mạng.
B. Giám sát hiệu suất của hệ thống mạng.
C. Kiểm soát và lọc lưu lượng mạng dựa trên các quy tắc bảo mật đã được cấu hình.
D. Tăng tốc độ truyền dữ liệu trong mạng.
100. Phương pháp nào giúp đảm bảo rằng dữ liệu không bị thay đổi trong quá trình truyền tải hoặc lưu trữ?
A. Mã hóa (encryption).
B. Tính toàn vẹn dữ liệu (data integrity).
C. Xác thực (authentication).
D. Ủy quyền (authorization).
101. Biện pháp nào giúp hạn chế quyền truy cập của người dùng vào các tài nguyên hệ thống dựa trên vai trò và trách nhiệm của họ?
A. Mã hóa (encryption).
B. Kiểm soát truy cập dựa trên vai trò (RBAC).
C. Tường lửa (firewall).
D. Xác thực đa yếu tố (MFA).
102. Loại phần mềm độc hại nào tự sao chép và lây lan sang các máy tính khác trong mạng?
A. Trojan.
B. Virus.
C. Spyware.
D. Ransomware.
103. Kỹ thuật tấn công nào mà kẻ tấn công chèn mã độc vào các truy vấn SQL để truy cập hoặc sửa đổi dữ liệu trong cơ sở dữ liệu?
A. Cross-site scripting (XSS).
B. SQL injection.
C. Denial-of-service (DoS).
D. Brute-force attack.
104. Loại tấn công nào cố gắng làm cho một hệ thống hoặc dịch vụ không khả dụng đối với người dùng hợp pháp?
A. Phishing.
B. Malware.
C. Denial-of-service (DoS).
D. Social engineering.
105. Biện pháp bảo mật nào giúp bảo vệ chống lại việc nghe lén thông tin truyền qua mạng bằng cách mã hóa dữ liệu?
A. Tường lửa (firewall).
B. Mã hóa (encryption).
C. Hệ thống phát hiện xâm nhập (IDS).
D. Xác thực đa yếu tố (MFA).
106. Phương pháp tấn công nào sử dụng một mạng lưới các máy tính bị nhiễm mã độc để thực hiện một cuộc tấn công từ chối dịch vụ (DoS) quy mô lớn?
A. Phishing.
B. SQL injection.
C. Botnet.
D. Man-in-the-middle.
107. Trong bảo mật ứng dụng web, ‘OWASP Top Ten’ là gì?
A. Một danh sách các ngôn ngữ lập trình web phổ biến nhất.
B. Một danh sách các nhà cung cấp dịch vụ hosting web hàng đầu.
C. Một tài liệu xác định mười lỗ hổng bảo mật web quan trọng nhất.
D. Một tập hợp các công cụ để kiểm tra hiệu suất ứng dụng web.
108. Trong mô hình bảo mật Zero Trust, nguyên tắc cốt lõi là gì?
A. Luôn tin tưởng và cho phép tất cả các thiết bị và người dùng truy cập.
B. Không tin tưởng bất kỳ ai hoặc thiết bị nào theo mặc định và luôn xác minh trước khi cấp quyền truy cập.
C. Chỉ bảo vệ các tài sản quan trọng nhất của tổ chức.
D. Chỉ sử dụng tường lửa để bảo vệ mạng.
109. Loại tấn công nào cố gắng tìm mật khẩu bằng cách thử tất cả các kết hợp có thể?
A. SQL injection.
B. Phishing.
C. Brute-force attack.
D. Cross-site scripting (XSS).
110. Chính sách bảo mật nào quy định cách một tổ chức thu thập, sử dụng và bảo vệ thông tin cá nhân của người dùng?
A. Chính sách mật khẩu.
B. Chính sách bảo mật.
C. Chính sách sử dụng chấp nhận được.
D. Chính sách ứng phó sự cố.
111. Loại phần mềm độc hại nào mã hóa dữ liệu của nạn nhân và yêu cầu một khoản tiền chuộc để khôi phục dữ liệu?
A. Virus.
B. Trojan.
C. Spyware.
D. Ransomware.
112. Loại tấn công nào cố gắng đánh cắp thông tin đăng nhập của người dùng bằng cách tạo ra một trang web giả mạo giống hệt trang web thật?
A. SQL injection.
B. Phishing.
C. Denial-of-service (DoS).
D. Cross-site scripting (XSS).
113. Công cụ nào thường được sử dụng để giám sát lưu lượng mạng và phát hiện các hoạt động đáng ngờ?
A. Tường lửa (firewall).
B. Hệ thống phát hiện xâm nhập (IDS).
C. Phần mềm diệt virus.
D. VPN.
114. Giao thức nào được sử dụng để truyền tải email một cách an toàn qua Internet?
A. HTTP.
B. SMTP.
C. SFTP.
D. S/MIME.
115. Loại phần mềm độc hại nào bí mật thu thập thông tin về hoạt động trực tuyến của người dùng mà họ không hề hay biết?
A. Virus.
B. Trojan.
C. Spyware.
D. Ransomware.
116. Loại tấn công nào sử dụng các phương tiện truyền thông xã hội để thu thập thông tin cá nhân và sử dụng nó để lừa đảo hoặc xâm nhập vào tài khoản trực tuyến?
A. SQL injection.
B. Phishing.
C. Social engineering.
D. Denial-of-service (DoS).
117. Kỹ thuật tấn công nào liên quan đến việc lừa người dùng tiết lộ thông tin nhạy cảm bằng cách giả mạo một tổ chức hoặc cá nhân đáng tin cậy?
A. SQL injection.
B. Phishing.
C. Denial-of-service (DoS).
D. Cross-site scripting (XSS).
118. Biện pháp bảo mật nào giúp ngăn chặn việc truy cập trái phép vào một hệ thống bằng cách yêu cầu người dùng xác thực danh tính của họ?
A. Mã hóa (encryption).
B. Xác thực (authentication).
C. Tường lửa (firewall).
D. Hệ thống phát hiện xâm nhập (IDS).
119. Loại tấn công nào khai thác lỗ hổng bảo mật trong một ứng dụng web để chèn mã độc vào trang web, sau đó được thực thi trên trình duyệt của người dùng khác?
A. SQL injection.
B. Cross-site scripting (XSS).
C. Denial-of-service (DoS).
D. Brute-force attack.
120. Phương pháp nào thường được sử dụng để xác minh danh tính của người dùng bằng cách yêu cầu họ cung cấp nhiều hơn một hình thức xác thực?
A. Mã hóa (encryption).
B. Xác thực một yếu tố (SFA).
C. Xác thực đa yếu tố (MFA).
D. Tường lửa (firewall).
121. Phương pháp nào sau đây giúp phát hiện và ngăn chặn các cuộc tấn công mạng bằng cách phân tích lưu lượng truy cập mạng và tìm kiếm các mẫu đáng ngờ?
A. Hệ thống phát hiện xâm nhập (IDS) và Hệ thống ngăn chặn xâm nhập (IPS)
B. Tường lửa (Firewall)
C. Mã hóa (Encryption)
D. Kiểm soát truy cập (Access Control)
122. Loại tấn công nào mà kẻ tấn công chặn và thay đổi thông tin liên lạc giữa hai bên mà không ai trong số họ biết?
A. Tấn công Brute-Force
B. Tấn công Man-in-the-Middle
C. Tấn công DDoS
D. Tấn công SQL Injection
123. Loại phần mềm độc hại nào ẩn mình dưới dạng một phần mềm hữu ích để lừa người dùng cài đặt?
A. Trojan
B. Virus
C. Worm
D. Spyware
124. Loại tấn công nào mà kẻ tấn công cố gắng tìm ra thông tin nhạy cảm bằng cách khai thác lỗi trong cách một ứng dụng web xử lý các yêu cầu HTTP?
A. Clickjacking
B. SQL Injection
C. Cross-Site Scripting (XSS)
D. HTTP Response Splitting
125. Trong bảo mật, ‘Zero-Day Exploit’ là gì?
A. Một lỗ hổng bảo mật đã được vá
B. Một cuộc tấn công xảy ra vào ngày 1 tháng 1
C. Một lỗ hổng bảo mật chưa được biết đến hoặc chưa được vá
D. Một phương pháp mã hóa dữ liệu
126. Chính sách mật khẩu mạnh nên bao gồm những yếu tố nào sau đây?
A. Chỉ sử dụng chữ thường và số
B. Sử dụng thông tin cá nhân dễ đoán
C. Độ dài tối thiểu, chữ hoa, chữ thường, số và ký tự đặc biệt
D. Sử dụng lại mật khẩu cũ
127. Phương pháp nào sau đây giúp ngăn chặn các cuộc tấn công brute-force bằng cách giới hạn số lần thử đăng nhập sai?
A. Mã hóa (Encryption)
B. Khóa tài khoản (Account lockout)
C. Xác thực đa yếu tố (Multi-Factor Authentication)
D. Kiểm soát truy cập (Access Control)
128. Phương pháp tấn công nào sử dụng kỹ thuật chèn mã độc vào các quảng cáo trực tuyến?
A. SQL Injection
B. Cross-Site Scripting (XSS)
C. Malvertising
D. DoS (Denial of Service)
129. Trong bảo mật, ‘Xác thực đa yếu tố’ (Multi-Factor Authentication – MFA) là gì?
A. Một phương pháp mã hóa dữ liệu
B. Một phương pháp kiểm soát truy cập
C. Một phương pháp xác thực yêu cầu nhiều hơn một yếu tố xác minh
D. Một phương pháp phát hiện xâm nhập
130. Kỹ thuật tấn công nào lợi dụng việc người dùng truy cập vào một trang web độc hại thông qua một liên kết được chia sẻ trên mạng xã hội hoặc email?
A. Phishing
B. Clickjacking
C. Watering Hole Attack
D. Cross-Site Scripting (XSS)
131. Trong ngữ cảnh bảo mật mạng, ‘DMZ’ là viết tắt của thuật ngữ nào?
A. Data Management Zone
B. Demilitarized Zone
C. Digital Media Zone
D. Dynamic Memory Zone
132. Trong bảo mật, thuật ngữ ‘Principle of Least Privilege’ (Nguyên tắc Đặc quyền Tối thiểu) có nghĩa là gì?
A. Người dùng nên có quyền truy cập không giới hạn vào tất cả các tài nguyên
B. Người dùng chỉ nên có quyền truy cập tối thiểu cần thiết để thực hiện công việc của họ
C. Tất cả người dùng nên có quyền quản trị hệ thống
D. Quyền truy cập nên được cấp dựa trên mức độ tin cậy của người dùng
133. Trong bảo mật ứng dụng, ‘OWASP Top Ten’ là gì?
A. Một danh sách các ngôn ngữ lập trình phổ biến nhất
B. Một danh sách các lỗ hổng bảo mật ứng dụng web hàng đầu
C. Một danh sách các công cụ bảo mật ứng dụng tốt nhất
D. Một danh sách các tiêu chuẩn bảo mật ứng dụng
134. Phương pháp tấn công nào mà kẻ tấn công sử dụng nhiều máy tính để làm quá tải một hệ thống hoặc mạng, gây ra sự gián đoạn dịch vụ?
A. SQL Injection
B. Cross-Site Scripting (XSS)
C. Man-in-the-Middle
D. DDoS (Distributed Denial of Service)
135. Biện pháp bảo mật nào sau đây giúp bảo vệ dữ liệu khi nó được truyền qua mạng?
A. Mã hóa (Encryption)
B. Kiểm soát truy cập (Access Control)
C. Firewall
D. Phát hiện xâm nhập (Intrusion Detection)
136. Kỹ thuật tấn công nào sử dụng email giả mạo để lừa người dùng cung cấp thông tin cá nhân, chẳng hạn như mật khẩu hoặc số thẻ tín dụng?
A. Phishing
B. SQL Injection
C. Cross-Site Scripting (XSS)
D. DDoS (Distributed Denial of Service)
137. Loại tấn công nào mà kẻ tấn công sử dụng các kỹ thuật tâm lý để lừa người dùng tiết lộ thông tin nhạy cảm?
A. Social Engineering
B. SQL Injection
C. Cross-Site Scripting (XSS)
D. DDoS (Distributed Denial of Service)
138. Trong bảo mật ứng dụng web, kỹ thuật nào giúp ngăn chặn tấn công Cross-Site Scripting (XSS) bằng cách làm sạch dữ liệu đầu vào và đầu ra?
A. Mã hóa dữ liệu
B. Kiểm soát truy cập
C. Input Validation và Output Encoding
D. Audit Logging
139. Biện pháp nào sau đây giúp bảo vệ hệ thống khỏi các phần mềm độc hại bằng cách quét và loại bỏ chúng?
A. Tường lửa (Firewall)
B. Phần mềm diệt virus (Antivirus software)
C. Mã hóa (Encryption)
D. Kiểm soát truy cập (Access Control)
140. Phương pháp tấn công nào cố gắng đoán mật khẩu bằng cách thử tất cả các tổ hợp có thể?
A. Tấn công từ chối dịch vụ (DoS)
B. Tấn công Brute-Force
C. Tấn công SQL Injection
D. Tấn công Cross-Site Scripting (XSS)
141. Trong bảo mật không dây, ‘WPA3’ là gì?
A. Một loại virus máy tính
B. Một giao thức mã hóa cho mạng không dây
C. Một phương pháp tấn công mạng
D. Một loại tường lửa
142. Trong bảo mật, ‘Defense in Depth’ (Phòng thủ chiều sâu) là gì?
A. Một phương pháp mã hóa dữ liệu
B. Một chiến lược bảo mật sử dụng nhiều lớp bảo vệ
C. Một phương pháp kiểm soát truy cập
D. Một phương pháp phát hiện xâm nhập
143. Biện pháp nào sau đây giúp bảo vệ dữ liệu trên thiết bị di động trong trường hợp bị mất hoặc đánh cắp?
A. Tắt Bluetooth
B. Mã hóa thiết bị
C. Sử dụng mật khẩu đơn giản
D. Gỡ bỏ tất cả các ứng dụng
144. Phương pháp tấn công nào mà kẻ tấn công chèn mã SQL độc hại vào các trường nhập liệu của ứng dụng web để truy cập hoặc sửa đổi dữ liệu cơ sở dữ liệu?
A. Phishing
B. SQL Injection
C. Cross-Site Scripting (XSS)
D. DDoS (Distributed Denial of Service)
145. Quy trình nào sau đây giúp xác minh danh tính của người dùng hoặc thiết bị trước khi cấp quyền truy cập vào hệ thống hoặc tài nguyên?
A. Mã hóa (Encryption)
B. Xác thực (Authentication)
C. Ủy quyền (Authorization)
D. Kiểm toán (Auditing)
146. Loại phần mềm độc hại nào tự sao chép và lây lan sang các máy tính khác mà không cần sự can thiệp của người dùng?
A. Trojan
B. Virus
C. Worm
D. Spyware
147. Trong bảo mật cơ sở dữ liệu, kỹ thuật nào giúp ngăn chặn tấn công SQL Injection bằng cách xử lý dữ liệu đầu vào như là dữ liệu chứ không phải là một phần của câu lệnh SQL?
A. Mã hóa dữ liệu (Data Encryption)
B. Sử dụng Prepared Statements (Câu lệnh được chuẩn bị)
C. Kiểm soát truy cập (Access Control)
D. Audit Logging
148. Phương pháp nào sau đây giúp bảo vệ hệ thống khỏi các cuộc tấn công từ chối dịch vụ (DoS) bằng cách lọc lưu lượng truy cập độc hại?
A. Mã hóa (Encryption)
B. Firewall
C. Xác thực đa yếu tố (Multi-Factor Authentication)
D. Kiểm soát truy cập (Access Control)
149. Loại tấn công nào mà kẻ tấn công cố gắng chiếm quyền điều khiển tài khoản của người dùng bằng cách sử dụng thông tin đăng nhập bị đánh cắp hoặc giả mạo?
A. Tấn công DDoS
B. Tấn công Man-in-the-Middle
C. Account Takeover
D. Tấn công Brute-Force
150. Trong bảo mật đám mây, trách nhiệm bảo mật thường được chia sẻ giữa nhà cung cấp dịch vụ đám mây và khách hàng. Mô hình này được gọi là gì?
A. Mô hình bảo mật toàn diện
B. Mô hình bảo mật chia sẻ
C. Mô hình bảo mật tập trung
D. Mô hình bảo mật phân tán
