Chọn câu sai khi nói về các nguy cơ đối với sự an toàn của hệ thống thông tin:

Mục tiêu của chính sách bảo mật hệ thống bao gồm việc xác định các trạng thái an toàn cần đảm bảo, ngăn chặn các nguy cơ và hạn chế các rủi ro đối với hệ thống. Do đó, đáp án "Tất cả các câu trên" là chính xác nhất vì nó bao hàm đầy đủ các mục tiêu quan trọng của chính sách bảo mật.

Câu 1: Đúng. Một rủi ro luôn xuất phát từ một hoặc nhiều nguy cơ. Nguy cơ là điều kiện hoặc hành động có khả năng gây ra tác động tiêu cực, dẫn đến rủi ro. Câu 2: Sai. Ngăn chặn nguy cơ có thể giảm thiểu rủi ro, nhưng không phải lúc nào cũng loại bỏ hoàn toàn rủi ro. Vẫn có thể có các nguy cơ khác hoặc yếu tố bên ngoài dẫn đến rủi ro. Câu 3: Sai. Mục tiêu của an toàn hệ thống là giảm thiểu rủi ro đến mức chấp nhận được, chứ không phải loại bỏ tất cả các rủi ro. Việc loại bỏ hoàn toàn rủi ro thường là không khả thi hoặc quá tốn kém. Vì câu 1 đúng, và các câu còn lại sai nên đáp án đúng là "Tất cả các rủi ro đều có ít nhất một nguy cơ đi kèm với nó.".

Mục tiêu của chính sách bảo mật hệ thống là đảm bảo an toàn cho hệ thống bằng cách xác định các trạng thái an toàn cần thiết, ngăn chặn các nguy cơ tiềm ẩn và hạn chế các rủi ro có thể xảy ra. Do đó, đáp án "Tất cả các câu trên" là đáp án chính xác nhất vì nó bao gồm tất cả các khía cạnh quan trọng của chính sách bảo mật hệ thống.

Mục tiêu của an toàn hệ thống, theo thứ tự ưu tiên giảm dần, là: **Ngăn chặn** (prevent), **Phát hiện** (detect), và **Phục hồi** (recover). * **Ngăn chặn:** Đây là ưu tiên hàng đầu. Việc ngăn chặn sự cố xảy ra là cách hiệu quả nhất để đảm bảo an toàn. * **Phát hiện:** Nếu không thể ngăn chặn hoàn toàn, việc phát hiện sự cố sớm là rất quan trọng để giảm thiểu thiệt hại. * **Phục hồi:** Khi sự cố đã xảy ra, việc phục hồi hệ thống trở lại trạng thái bình thường một cách nhanh chóng và hiệu quả là cần thiết.

Câu hỏi yêu cầu chọn câu đúng về các kiểu tấn công và tác động của chúng đến các đặc tính của hệ thống thông tin (bí mật, toàn vẹn, sẵn sàng). * **Phương án 1:** Sai. Tấn công kiểu Interception (chặn bắt) tác động vào đặc tính **bí mật** (confidentiality) của hệ thống thông tin, không phải toàn vẹn. * **Phương án 2:** Sai. Modification (sửa đổi) là kiểu tấn công vào đặc tính **toàn vẹn** (integrity) của hệ thống thông tin, không phải bí mật. * **Phương án 3:** Đúng. Tấn công bằng hình thức giả danh (fabrication) là tạo ra thông tin hoặc đối tượng giả mạo, điều này rõ ràng làm ảnh hưởng đến tính toàn vẹn của thông tin. * **Phương án 4:** Sai. Phủ nhận hành vi (repudiation) không phải là một hình thức tấn công kiểu Interruption (gián đoạn). Repudiation liên quan đến việc một bên chối bỏ hành động hoặc giao dịch mà họ đã thực hiện.