Chọn câu đúng khi nói về tính bảo mật của hệ thống thông tin:
A. Một hệ thống đảm bảo tính bí mật (confidential) là một hệ thống an toàn (secure)
B. Tính bí mật của thông tin bao gồm tính bí mật về sự tồn tại của thông tin và
tính bí mật nội dung thông tin
C. Tính bí mật của thông tin bao gồm tính bí mật về nội dung thông tin và tính bí
mật về nguồn gốc thông tin
D. Tất cả đều sai
Đáp án
Đáp án đúng: B
Câu hỏi kiểm tra kiến thức về tính bảo mật của hệ thống thông tin.
- Phương án 1 sai: Một hệ thống đảm bảo tính bí mật (confidential) KHÔNG ĐỦ để là một hệ thống an toàn (secure). An toàn thông tin bao gồm nhiều yếu tố khác như tính toàn vẹn (integrity), tính sẵn sàng (availability), v.v. - Phương án 2 đúng: Tính bí mật (confidentiality) của thông tin bao gồm việc bảo vệ cả sự tồn tại của thông tin (không cho phép người không được phép biết thông tin đó tồn tại) và nội dung của thông tin (không cho phép người không được phép đọc nội dung thông tin). - Phương án 3 sai: Tính bí mật không bao gồm tính bí mật về nguồn gốc thông tin. - Phương án 4 sai vì phương án 2 đúng.
Câu hỏi kiểm tra kiến thức về tính bảo mật của hệ thống thông tin.
- Phương án 1 sai: Một hệ thống đảm bảo tính bí mật (confidential) KHÔNG ĐỦ để là một hệ thống an toàn (secure). An toàn thông tin bao gồm nhiều yếu tố khác như tính toàn vẹn (integrity), tính sẵn sàng (availability), v.v. - Phương án 2 đúng: Tính bí mật (confidentiality) của thông tin bao gồm việc bảo vệ cả sự tồn tại của thông tin (không cho phép người không được phép biết thông tin đó tồn tại) và nội dung của thông tin (không cho phép người không được phép đọc nội dung thông tin). - Phương án 3 sai: Tính bí mật không bao gồm tính bí mật về nguồn gốc thông tin. - Phương án 4 sai vì phương án 2 đúng.
Câu hỏi này kiểm tra kiến thức về các cơ chế đảm bảo tính toàn vẹn của thông tin.
Phương án 1 đúng vì các cơ chế đảm bảo tính toàn vẹn thông tin bao gồm cả việc ngăn chặn các vi phạm (ví dụ: kiểm soát truy cập) và phát hiện các vi phạm (ví dụ: sử dụng hàm băm để kiểm tra tính toàn vẹn của dữ liệu).
Phương án 2 sai vì mật mã hóa đảm bảo tính bảo mật (confidentiality), không phải tính toàn vẹn (integrity). Mặc dù mật mã hóa có thể *góp phần* vào việc đảm bảo tính toàn vẹn (ví dụ, bằng cách sử dụng chữ ký số), nó không phải là cơ chế *duy nhất* hay *chính* để đảm bảo tính toàn vẹn.
Phương án 3 sai vì nén dữ liệu chỉ liên quan đến việc giảm kích thước lưu trữ, không liên quan trực tiếp đến việc đảm bảo tính toàn vẹn. Nén và giải nén không được thiết kế để phát hiện hay ngăn chặn các sửa đổi trái phép.
Phương án 4 sai vì không phải tất cả các cơ chế được liệt kê đều đúng (chỉ có phương án 1 đúng).
Tính khả dụng của hệ thống thông tin đề cập đến khả năng hệ thống hoạt động và cung cấp dịch vụ một cách liên tục và ổn định khi người dùng cần.
- Thiết bị không an toàn: Các thiết bị phần cứng hoặc phần mềm không được bảo trì, cấu hình hoặc bảo vệ đúng cách có thể gặp sự cố, dẫn đến gián đoạn dịch vụ. - Các tấn công từ chối dịch vụ (DoS và DDoS): Các cuộc tấn công này cố gắng làm quá tải hệ thống bằng lưu lượng truy cập độc hại, khiến hệ thống không thể đáp ứng các yêu cầu hợp lệ từ người dùng. - Virus và các loại phần mềm phá hoại khác trên máy tính: Phần mềm độc hại có thể làm hỏng hoặc vô hiệu hóa các thành phần hệ thống quan trọng, dẫn đến gián đoạn dịch vụ hoặc thậm chí ngừng hoạt động hoàn toàn.
Vì tất cả các nguy cơ trên đều có thể ảnh hưởng đến tính khả dụng của hệ thống thông tin, đáp án đúng là "Tất cả các nguy cơ trên."
Câu hỏi yêu cầu chọn câu đúng về các mô hình điều khiển truy xuất (access control). - Phương án 1: MAC (Mandatory Access Control) là cơ chế điều khiển truy cập bắt buộc, được quản lý tập trung và áp dụng cho toàn bộ hệ thống. Câu này đúng. - Phương án 2: RBAC (Role-Based Access Control) là cơ chế điều khiển truy cập dựa trên vai trò. Cơ chế quản lý theo nhóm trên Windows 2000 có thể coi là một dạng thực thi gần giống với RBAC, nhưng không hoàn toàn tương đương. Tuy nhiên, nếu xét theo nghĩa rộng, có thể chấp nhận được. - Phương án 3: DAC (Discretionary Access Control) là mô hình điều khiển truy cập tùy ý, quyền truy cập do chủ sở hữu tài nguyên quyết định. Đa số các hệ điều hành hiện đại đều có thực hiện mô hình DAC. Câu này đúng. - Phương án 4: Vì cả 3 câu trên đều đúng hoặc chấp nhận được, nên đây là đáp án chính xác nhất.
Cơ chế kiểm tra (auditing) trong hệ thống có chức năng chính là theo dõi và ghi nhận lại các sự kiện và hành vi diễn ra. Việc này bao gồm việc ghi lại ai đã truy cập vào hệ thống, khi nào, và họ đã thực hiện những hành động gì. Thông tin này rất quan trọng cho việc phát hiện và điều tra các vấn đề bảo mật, đảm bảo tuân thủ quy định và cải thiện hiệu suất hệ thống.