1. Trong các loại tấn công nhắm vào CSDL, phishing (lừa đảo) thường được thực hiện bằng cách nào?
A. Gửi email giả mạo yêu cầu người dùng cung cấp thông tin đăng nhập CSDL.
B. Chèn mã độc vào các câu lệnh SQL.
C. Tấn công từ chối dịch vụ DDoS.
D. Sử dụng mã độc tống tiền (ransomware) để mã hóa dữ liệu.
2. Trong bối cảnh bảo mật CSDL, Data Loss Prevention (DLP) là gì?
A. Một phương pháp sao lưu dữ liệu.
B. Các công cụ và quy trình để ngăn chặn việc rò rỉ hoặc mất mát dữ liệu nhạy cảm.
C. Kỹ thuật mã hóa dữ liệu trên diện rộng.
D. Biện pháp phòng chống tấn công từ chối dịch vụ.
3. Tấn công Denial of Service (DoS) đối với hệ CSDL nhằm mục đích chính là gì?
A. Đánh cắp thông tin nhạy cảm từ CSDL.
B. Làm tê liệt hoạt động của hệ thống, khiến người dùng hợp pháp không thể truy cập.
C. Thay đổi hoặc xóa bỏ dữ liệu trong CSDL.
D. Cài đặt phần mềm độc hại lên máy chủ CSDL.
4. Khi thiết kế CSDL, việc sử dụng các ràng buộc toàn vẹn (integrity constraints) như khóa chính (primary key) và khóa ngoại (foreign key) góp phần vào bảo mật như thế nào?
A. Ngăn chặn việc xóa nhầm dữ liệu liên quan.
B. Đảm bảo tính nhất quán và chính xác của dữ liệu, hạn chế sai sót do nhập liệu.
C. Tăng tốc độ truy vấn dữ liệu.
D. Tự động sao lưu dữ liệu khi có thay đổi.
5. Tại sao việc sử dụng mật khẩu yếu hoặc mật khẩu mặc định lại tiềm ẩn rủi ro lớn cho CSDL?
A. Làm chậm quá trình đăng nhập của người dùng.
B. Dễ dàng bị đoán hoặc bẻ khóa bởi tin tặc thông qua các công cụ tự động.
C. Tăng dung lượng lưu trữ của CSDL.
D. Gây ra lỗi trong quá trình sao lưu dữ liệu.
6. Khi nói về xác thực người dùng (user authentication) trong hệ thống CSDL, điều này đề cập đến hành động nào?
A. Kiểm tra xem người dùng có quyền thực hiện một thao tác cụ thể hay không.
B. Xác minh danh tính của người dùng cố gắng truy cập hệ thống.
C. Giới hạn số lượng truy vấn mà một người dùng có thể thực hiện.
D. Theo dõi lịch sử truy cập của tất cả người dùng trong hệ thống.
7. Nếu một người dùng được cấp quyền SELECT trên một bảng, họ có thể thực hiện hành động nào?
A. Thêm bản ghi mới vào bảng.
B. Xóa toàn bộ bảng.
C. Xem dữ liệu có trong bảng.
D. Thay đổi cấu trúc của bảng.
8. Phát biểu nào sau đây mô tả đúng về Data Masking (che giấu dữ liệu)?
A. Thay đổi hoàn toàn cấu trúc bảng để bảo mật.
B. Thay thế dữ liệu nhạy cảm bằng dữ liệu giả mạo, không thật nhưng có cấu trúc tương tự.
C. Xóa bỏ hoàn toàn các bản ghi không cần thiết.
D. Mã hóa toàn bộ cơ sở dữ liệu bằng một khóa duy nhất.
9. Biện pháp nào sau đây KHÔNG phải là kỹ thuật để ngăn chặn tấn công Cross-Site Scripting (XSS) nhắm vào các ứng dụng web tương tác với CSDL?
A. Mã hóa dữ liệu trong CSDL.
B. Lọc và làm sạch (sanitize) dữ liệu đầu vào và đầu ra của ứng dụng.
C. Sử dụng cơ chế Content Security Policy (CSP).
D. Sử dụng các thẻ HttpOnly và Secure cho cookie.
10. Biện pháp kiểm soát truy cập (access control) trong CSDL có vai trò gì?
A. Đảm bảo dữ liệu luôn có sẵn khi người dùng cần.
B. Phân quyền cho người dùng, xác định ai có thể truy cập vào những dữ liệu nào và thực hiện thao tác gì.
C. Tự động sao lưu dữ liệu định kỳ để phòng ngừa mất mát.
D. Tăng cường hiệu suất hoạt động của hệ thống CSDL.
11. Khái niệm least privilege (nguyên tắc đặc quyền tối thiểu) trong bảo mật CSDL khuyên người dùng nên làm gì?
A. Cấp cho mọi người dùng quyền truy cập đầy đủ vào mọi dữ liệu.
B. Chỉ cấp cho người dùng những quyền hạn cần thiết để thực hiện công việc của họ, không hơn.
C. Tắt hết các quyền truy cập mặc định để tăng cường bảo mật.
D. Sử dụng một tài khoản quản trị chung cho tất cả người dùng.
12. Một thủ tục định kỳ quan trọng để bảo vệ CSDL khỏi các lỗ hổng bảo mật đã biết là gì?
A. Thường xuyên thay đổi cấu trúc bảng dữ liệu.
B. Cài đặt các phần mềm diệt virus trên máy trạm người dùng.
C. Áp dụng các bản vá lỗi (patches) và cập nhật cho hệ quản trị CSDL và hệ điều hành.
D. Sao lưu toàn bộ CSDL sang một ổ đĩa ngoài mỗi giờ.
13. Mục đích chính của việc sử dụng mã hóa dữ liệu (data encryption) trong bảo mật CSDL là gì?
A. Tăng tốc độ truy vấn dữ liệu từ CSDL.
B. Ngăn chặn truy cập trái phép bằng cách biến đổi dữ liệu thành dạng không đọc được.
C. Giảm dung lượng lưu trữ của cơ sở dữ liệu.
D. Tự động sao lưu và phục hồi dữ liệu khi có sự cố.
14. Biện pháp nào sau đây KHÔNG phải là kỹ thuật phòng chống tấn công SQL Injection hiệu quả?
A. Sử dụng tham số hóa câu lệnh (parameterized queries) hoặc stored procedures.
B. Xác thực và lọc (validate and sanitize) tất cả dữ liệu đầu vào từ người dùng.
C. Thường xuyên cập nhật phiên bản hệ quản trị cơ sở dữ liệu (DBMS).
D. Chỉ sử dụng các truy vấn SELECT và tránh các câu lệnh INSERT, UPDATE, DELETE.
15. Biện pháp nào sau đây là quan trọng nhất để phòng chống tấn công Buffer Overflow trong các ứng dụng tương tác với CSDL?
A. Sử dụng các câu lệnh SQL được tham số hóa.
B. Giới hạn quyền truy cập của người dùng CSDL.
C. Kiểm tra và giới hạn kích thước dữ liệu đầu vào để tránh ghi đè bộ đệm.
D. Thường xuyên sao lưu CSDL.
16. Một biện pháp quan trọng để bảo vệ CSDL khỏi các mối đe dọa từ bên trong (ví dụ: nhân viên bất mãn) là gì?
A. Chỉ cho phép truy cập CSDL từ mạng nội bộ.
B. Thực hiện kiểm soát truy cập chặt chẽ, phân quyền tối thiểu và giám sát hoạt động người dùng.
C. Mã hóa toàn bộ dữ liệu CSDL.
D. Cài đặt tường lửa mạnh mẽ.
17. Việc thường xuyên kiểm tra và cập nhật các bản vá bảo mật cho hệ điều hành của máy chủ CSDL là hành động quan trọng để:
A. Tăng tốc độ xử lý của CSDL.
B. Giảm thiểu rủi ro bị tấn công khai thác các lỗ hổng đã biết trong hệ điều hành.
C. Tự động tạo bản sao lưu dữ liệu.
D. Giới hạn số lượng người dùng truy cập cùng lúc.
18. Trong các tình huống sau, tình huống nào minh họa rõ nhất cho việc cần áp dụng Data Masking?
A. Cần sao lưu toàn bộ CSDL để phục vụ mục đích khôi phục.
B. Cần cung cấp một bản sao CSDL cho đội ngũ phát triển để kiểm thử ứng dụng.
C. Cần mã hóa dữ liệu nhạy cảm để bảo vệ khi lưu trữ.
D. Cần giới hạn quyền truy cập của người dùng chỉ xem dữ liệu.
19. Hành động nào sau đây KHÔNG được khuyến khích trong việc quản lý mật khẩu CSDL?
A. Sử dụng mật khẩu phức tạp và thay đổi định kỳ.
B. Chia sẻ mật khẩu tài khoản CSDL cho nhiều người.
C. Kích hoạt khóa tài khoản sau nhiều lần đăng nhập sai.
D. Phân quyền truy cập dựa trên vai trò của người dùng.
20. Mục đích của việc phân quyền truy cập chi tiết (ví dụ: quyền xem, sửa, xóa trên từng bảng hoặc cột cụ thể) là gì?
A. Giúp người dùng dễ dàng hơn trong việc truy xuất dữ liệu.
B. Thực thi nguyên tắc đặc quyền tối thiểu và bảo vệ dữ liệu nhạy cảm.
C. Tăng cường hiệu suất hoạt động của hệ thống.
D. Tự động tạo báo cáo về hoạt động người dùng.
21. Tấn công Brute Force vào hệ thống CSDL liên quan đến việc gì?
A. Sử dụng mã độc để phá hủy dữ liệu.
B. Thử nghiệm liên tục tất cả các tổ hợp mật khẩu có thể để đoán đúng mật khẩu.
C. Gửi lượng lớn yêu cầu truy cập để làm quá tải hệ thống.
D. Khai thác lỗ hổng trong mã nguồn của ứng dụng truy cập CSDL.
22. Trong các khái niệm về bảo mật CSDL, audit trail (dấu vết kiểm toán) có vai trò gì?
A. Tự động sao lưu dữ liệu để phục hồi.
B. Ghi lại lịch sử các hoạt động, truy cập và thay đổi dữ liệu trong CSDL.
C. Mã hóa toàn bộ dữ liệu nhạy cảm.
D. Xác định người dùng có quyền truy cập cao nhất.
23. Trong mô hình bảo mật CSDL, ai là người chịu trách nhiệm chính cho việc thiết lập và quản lý các chính sách bảo mật?
A. Người dùng cuối.
B. Nhà phát triển ứng dụng.
C. Quản trị viên cơ sở dữ liệu (DBA) hoặc đội ngũ an ninh thông tin.
D. Nhà cung cấp phần cứng máy chủ.
24. Trong bối cảnh bảo mật cơ sở dữ liệu, thuật ngữ SQL Injection ám chỉ loại tấn công nào?
A. Tấn công từ chối dịch vụ (DoS) nhằm làm quá tải máy chủ CSDL.
B. Chèn mã SQL độc hại vào các truy vấn để thao túng CSDL.
C. Truy cập trái phép vào các bản ghi nhạy cảm bằng cách đoán mật khẩu.
D. Sử dụng virus để mã hóa toàn bộ dữ liệu trong CSDL.
25. Yếu tố nào sau đây là quan trọng nhất để thiết lập mật khẩu mạnh cho tài khoản truy cập CSDL?
A. Sử dụng tên người dùng làm mật khẩu.
B. Mật khẩu chỉ chứa các ký tự số.
C. Mật khẩu có độ dài đủ lớn, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt.
D. Mật khẩu dễ nhớ và có thể đoán được.
