Luật An ninh mạng năm 2018 gồm

Câu hỏi này kiểm tra kiến thức về các nguyên tắc cơ bản khi xây dựng một hệ thống bảo mật. Để xây dựng một hệ thống bảo mật hiệu quả, cần phải có một chính sách bảo mật rõ ràng và sau đó triển khai các cơ chế (ví dụ: phần mềm, phần cứng, quy trình) để thực thi chính sách đó. Việc chỉ áp dụng cơ chế an toàn phù hợp (đáp án 1) hoặc chỉ xây dựng chính sách chặt chẽ (đáp án 2) là chưa đủ. Đáp án 3 bao gồm cả hai yếu tố này, trong khi đáp án 4 bao gồm tất cả các đáp án trên, và do đó là đáp án chính xác nhất.

Phương thức tấn công DoS (Denial of Service) ngăn chặn người dùng hợp lệ truy cập tài nguyên hệ thống bằng cách làm quá tải hệ thống, khiến nó không thể đáp ứng các yêu cầu chính đáng. Sniffing là nghe lén dữ liệu, Spoofing là giả mạo danh tính, và Man-In-The-Middle là tấn công xen giữa.

Câu hỏi yêu cầu xác định phương thức tấn công *không* dựa trên bản chất của giao thức TCP/IP.

* SYN/ACK flooding: Lợi dụng quá trình bắt tay ba bước (three-way handshake) của TCP. Kẻ tấn công gửi hàng loạt gói tin SYN đến mục tiêu, làm cạn kiệt tài nguyên của hệ thống mục tiêu khi nó cố gắng đáp ứng các kết nối này. Do đó, nó dựa trên TCP.
* TCP sequence number attack: Dựa vào việc dự đoán hoặc chiếm đoạt số thứ tự TCP để chèn dữ liệu độc hại vào luồng TCP hoặc ngắt kết nối. Rõ ràng nó dựa trên TCP.
* ICMP attack: Sử dụng giao thức ICMP (Internet Control Message Protocol) để thực hiện tấn công, ví dụ như Smurf attack hoặc ICMP flooding. Mặc dù ICMP thường đi kèm với TCP/IP, nhưng nó là một giao thức riêng biệt và hoạt động ở một lớp khác.
* Software exploitation: Lợi dụng các lỗ hổng bảo mật trong phần mềm (ví dụ: lỗi tràn bộ đệm, lỗi định dạng chuỗi) để thực thi mã độc hại. Phương thức này không trực tiếp dựa vào bản chất của giao thức TCP/IP mà dựa trên lỗi trong *phần mềm*. Phần mềm này có thể sử dụng TCP/IP, nhưng lỗi bảo mật và việc khai thác nó không phải là một phần của giao thức TCP/IP.

Vì vậy, phương thức tấn công không trực tiếp dựa trên bản chất của TCP/IP là "Software exploitation".

Câu hỏi này kiểm tra kiến thức về các ứng dụng mạng và chức năng của chúng liên quan đến địa chỉ IP.

* IDS (Hệ thống phát hiện xâm nhập): IDS dùng để giám sát lưu lượng mạng để phát hiện các hoạt động đáng ngờ hoặc độc hại. Nó không thay đổi địa chỉ IP của các gói dữ liệu.
* Proxy: Proxy hoạt động như một trung gian giữa client và server. Nó nhận yêu cầu từ client, sau đó chuyển tiếp yêu cầu đó đến server và trả lại phản hồi cho client. Proxy có thể thay đổi địa chỉ IP nguồn của các gói tin đi qua nó, che giấu địa chỉ IP thực của client.
* NAT (Network Address Translation): NAT là một kỹ thuật cho phép nhiều thiết bị trong mạng riêng (LAN) chia sẻ một địa chỉ IP công cộng duy nhất để kết nối internet. NAT thực hiện việc thay đổi địa chỉ IP nguồn và/hoặc đích của các gói dữ liệu.
* Không có ứng dụng nào như vậy: Phương án này không đúng vì cả Proxy và NAT đều có chức năng thay đổi địa chỉ IP.

Như vậy, Proxy và NAT đều có khả năng thay đổi địa chỉ IP. Tuy nhiên, câu hỏi hỏi về ứng dụng thay đổi địa chỉ IP *của tất cả các gói dữ liệu đi qua nó*. NAT thường được sử dụng ở router, gateway, và thực hiện thay đổi địa chỉ IP cho *tất cả* các gói tin đi qua nó để ra ngoài internet. Proxy thì thường chỉ hoạt động cho một số giao thức nhất định (ví dụ: HTTP, HTTPS) và không phải lúc nào cũng xử lý tất cả lưu lượng.

Do đó, đáp án chính xác nhất là NAT.

Câu hỏi kiểm tra kiến thức về các mô hình điều khiển truy xuất (access control).
- MAC (Mandatory Access Control): Đúng, đây là cơ chế điều khiển truy cập bắt buộc, được áp dụng cho toàn bộ hệ thống, thường thấy trong các hệ thống yêu cầu bảo mật rất cao.
- RBAC (Role-Based Access Control): Đúng, cơ chế quản lý theo nhóm trên Windows 2000 có thể xem là một dạng thực thi tương đương với RBAC, vì nó gán quyền truy cập dựa trên vai trò của người dùng.
- DAC (Discretionary Access Control): Đúng, đa số các hệ điều hành đều có thực hiện mô hình DAC, cho phép người dùng kiểm soát quyền truy cập vào các tài nguyên mà họ sở hữu.
Vì cả ba đáp án trên đều đúng, nên đáp án "Tất cả đều đúng" là chính xác nhất.