Thứ Năm, 4 Tháng 6 2026
Blog

Phát Biểu Nào Sau Đây Đúng Về Kiểm Soát Truy Cập? Tối Ưu Bảo Mật Hệ Thống Toàn Diện

Bởi Lý Thu 33 phút đọc
thuthuatexcel.com
thuthuatexcel.com

Trong thế giới số hóa ngày nay, an toàn thông tin không chỉ là một thuật ngữ mà đã trở thành yếu tố sống còn cho mọi cá nhân và tổ chức. Từ những thao tác đơn giản trên điện thoại, máy tính cá nhân đến các hệ thống mạng phức tạp của doanh nghiệp, chúng ta luôn đối mặt với vô vàn mối đe dọa tiềm ẩn. Vậy làm thế nào để bảo vệ thông tin quý giá của mình? Hãy cùng Thủ Thuật Excel khám phá những phát biểu đúng về các khía cạnh cốt lõi của an toàn thông tin, đặc biệt là kiểm soát truy cập – “chìa khóa” giữ an toàn cho dữ liệu và hệ thống của bạn. Bài viết này sẽ giúp bạn hiểu rõ hơn về các khái niệm phức tạp, từ đó trang bị kiến thức vững chắc để tối ưu hóa bảo mật trong kỷ nguyên số.

An Toàn Thông Tin: Nền Tảng Cho Mọi Hệ Thống Số

An toàn thông tin không chỉ dừng lại ở việc bảo vệ máy tính khỏi virus, mà nó bao trùm một phạm vi rộng lớn hơn rất nhiều, là tổng hòa của các biện pháp, chính sách và công nghệ nhằm bảo vệ dữ liệu khỏi những truy cập, sử dụng, tiết lộ, sửa đổi, hoặc phá hủy trái phép.

Khái niệm và Mục tiêu của An toàn Thông tin

An toàn thông tin (Information Security) là quá trình bảo vệ thông tin khỏi những truy cập, sử dụng, tiết lộ, sửa đổi, hoặc phá hủy một cách trái phép (Câu 10 – Chương 1+2). Đây là một lĩnh vực rộng lớn, bao gồm hai mảng chính là an toàn máy tính và an ninh mạng (Câu 2 – Chương 1+2). Mục tiêu cuối cùng là đảm bảo các thuộc tính an ninh cốt lõi của thông tin và hệ thống.

Các Yêu Cầu Cơ Bản: Tam Giác CIA (Confidentiality, Integrity, Availability)

Để thông tin được coi là an toàn, chúng ta cần đảm bảo ba thuộc tính chính, thường được gọi là tam giác CIA:

  • Tính bí mật (Confidentiality): Thông tin chỉ được truy cập bởi những người dùng được ủy quyền. Nếu một thông điệp nhạy cảm bị sửa đổi trên mạng, tính bí mật đã bị vi phạm. Để đảm bảo tính bí mật, các kỹ thuật mã hóa là cực kỳ quan trọng, bên cạnh các biện pháp bảo vệ vật lý và sử dụng VPN (Câu 28 – Chương 1+2).
  • Tính toàn vẹn (Integrity): Thông tin phải chính xác, đầy đủ và không bị sửa đổi trái phép. Nếu dữ liệu bị sửa đổi, tính toàn vẹn đã bị vi phạm (Câu 31 – Chương 4).
  • Tính sẵn dùng (Availability): Thông tin và các tài nguyên hệ thống phải luôn sẵn sàng để người dùng hợp pháp truy cập khi cần.

Ba yêu cầu cơ bản này là kim chỉ nam cho mọi chiến lược bảo mật, giúp chúng ta đánh giá mức độ an toàn của một hệ thống hoặc một luồng dữ liệu.

Mối Đe Dọa và Lỗ Hổng Bảo Mật Thường Gặp

Trong môi trường công nghệ, mối đe dọa và lỗ hổng bảo mật luôn song hành.

  • Mối đe dọa (Threat): Là bất kỳ hành động nào có khả năng gây hư hại đến các tài nguyên hệ thống (Câu 11 – Chương 1+2). Ví dụ phổ biến nhất là phần mềm độc hại (malware) (Câu 54 – Chương 1+2, Câu 43 – Chương 4).
  • Lỗ hổng bảo mật (Security Vulnerability): Là một điểm yếu tồn tại trong một hệ thống cho phép tin tặc khai thác nhằm gây tổn hại đến các thuộc tính an ninh của hệ thống đó (Câu 29 – Chương 1+2, Câu 40 – Chương 4). Lỗ hổng có thể xuất hiện trong cả phần cứng và phần mềm (Câu 14 – Chương 1+2), và thường tập trung nhiều nhất ở các ứng dụng (Câu 20 – Chương 1+2, Câu 36 – Chương 4). Các lỗi này có thể do khâu thiết kế, cài đặt, lập trình hoặc quản trị hệ thống (Câu 17 – Chương 1+2).

Để giảm khả năng bị tấn công, chúng ta cần tập trung giảm thiểu các lỗ hổng bảo mật (Câu 18 – Chương 1+2), vì đây là những “cửa ngõ” mà kẻ xấu có thể lợi dụng.

Các Loại Tấn Công Phổ Biến và Cách Thức Hoạt Động

Tin tặc sử dụng nhiều kỹ thuật khác nhau để khai thác lỗ hổng và gây hại cho hệ thống. Hiểu rõ về chúng giúp chúng ta xây dựng biện pháp phòng thủ hiệu quả.

Tấn Công Từ Chối Dịch Vụ (DoS/DDoS)

Tấn công từ chối dịch vụ (DoS – Denial of Service Attacks) là dạng tấn công có khả năng cản trở người dùng hợp pháp truy cập các tài nguyên hệ thống (Câu 52 – Chương 1+2, Câu 2 – Chương 4). Các cuộc tấn công DoS và DDoS (Distributed Denial of Service) thường gặp ở vùng mạng LAN-to-WAN hoặc WAN trong hạ tầng CNTT (Câu 9, 29 – Chương 1+2).

  • SYN Floods: Kỹ thuật này khai thác điểm yếu trong khâu bắt tay 3 bước của bộ giao thức TCP/IP (Câu 37 – Chương 4, Câu 1 – Chương 4), khiến máy chủ bị quá tải bởi các yêu cầu kết nối giả mạo. Một biện pháp hiệu quả để chống SYN Floods là sử dụng SYN Proxy hoặc SYN Firewall (Câu 67 – Chương 1+2, Câu 8 – Chương 4).
  • Smurf Attack: Kỹ thuật này sử dụng giao thức ICMP và cơ chế gửi Broadcast (Câu 42 – Chương 1+2, Câu 9 – Chương 4) để khuếch đại lưu lượng tấn công. Để phòng chống, cần cấu hình máy chủ và router không trả lời các yêu cầu ICMP hoặc các yêu cầu phát quảng bá (Câu 39 – Chương 1+2, Câu 20, 55 – Chương 4). Kẻ tấn công thường giả mạo địa chỉ nạn nhân làm địa chỉ nguồn của gói tin ICMP (Câu 49 – Chương 4).
  • Ping of Death: Là một kỹ thuật tấn công DoS khác (Câu 51, 23 – Chương 1+2).
  • DDoS Phản Chiếu (Reflected DDoS): Sử dụng một số lượng lớn máy chủ trên Internet không bị tin tặc chiếm quyền điều khiển, gọi là Reflectors (Câu 43, 63 – Chương 1+2, Câu 46 – Chương 4), để gửi lượng lớn phản hồi đến nạn nhân.

Sự khác biệt cơ bản giữa DoS và DDoS là phạm vi tấn công (Câu 46, 16 – Chương 1+2). DoS thường xuất phát từ một nguồn, còn DDoS là từ nhiều nguồn phân tán.

Tấn Công Chèn Mã (SQL Injection, XSS, Buffer Overflow)

Tấn công chèn mã (Code Injection) là một nhóm tấn công phổ biến, bao gồm SQLi, XSS, CSRF và Buffer Overflow (Câu 14 – Chương 4).

  • SQL Injection (SQLi): Dạng tấn công chèn mã được tin tặc sử dụng phổ biến trên các trang web nhằm vào các cơ sở dữ liệu (Câu 35 – Chương 4). Mục tiêu chính là đánh cắp, chèn, xóa hoặc sửa đổi dữ liệu (Câu 55 – Chương 1+2, Câu 59 – Chương 1+2). Công cụ như SQLmap được dùng để kiểm tra lỗ hổng này (Câu 45 – Chương 1+2, Câu 21 – Chương 4, Câu 58 – Chương 4). Để ngăn chặn triệt để SQL Injection, việc sử dụng thủ tục cơ sở dữ liệu (Stored Procedure) là hiệu quả, vì nó cho phép tách mã lệnh SQL khỏi dữ liệu người dùng (Câu 19 – Chương 4).
  • Buffer Overflow (Tràn bộ đệm): Là lỗi trong khâu lập trình phần mềm (Câu 31 – Chương 1+2, Câu 37 – Chương 4) và là dạng lỗ hổng bảo mật thường gặp trong hệ điều hành và các ứng dụng (Câu 32, 57 – Chương 1+2). Tin tặc thường chèn mã độc (shellcode dưới dạng mã máy (Câu 23, 41 – Chương 1+2)) và các lệnh NOP (No Operation) ở phần đầu mã tấn công để tăng khả năng mã được thực thi (Câu 13 – Chương 1+2, Câu 33 – Chương 4). Các vùng bộ nhớ thường bị tràn là Stack (ngăn xếp) và Heap (vùng nhớ cấp phát động) (Câu 15, 47 – Chương 1+2). Biện pháp phòng chống hiệu quả là sử dụng các thư viện lập trình an toàn hoặc cơ chế cấm thực thi mã trong dữ liệu (DEP) (Câu 12, 24, 38 – Chương 1+2). Sâu SQL Slammer từng tấn công khai thác lỗi tràn bộ đệm trong SQL Server 2000 (Câu 19 – Chương 1+2) vào năm 2003 (Câu 34 – Chương 4).

Mã Độc (Malware: Virus, Worm, Trojan)

Phần mềm độc hại (malware) là một trong những mối đe dọa an toàn thông tin thường gặp nhất (Câu 54 – Chương 1+2, Câu 43 – Chương 4).

  • Virus: Thường lây nhiễm vào các chương trình khác bằng cách sửa đổi chúng (Câu 62, 17 – Chương 1+2).
  • Worm (Sâu): Khác biệt cơ bản so với virus là sâu có khả năng tự lây lan mà không cần tương tác của người dùng (Câu 35, 51 – Chương 1+2). Một trong những phương thức lây lan phổ biến của sâu mạng là thông qua khả năng thực thi từ xa (Câu 50 – Chương 1+2).
  • Trojan Horses: Là dạng phần mềm độc hại thường giành quyền truy cập vào các file của người dùng, khai thác cơ chế điều khiển truy cập DAC (Câu 65, 18 – Chương 1+2).
  • Macro Viruses: Loại virus này thường lây nhiễm vào các file tài liệu của bộ phần mềm Microsoft Office (Câu 57, 50 – Chương 1+2). Biện pháp phòng chống hiệu quả là cấm tự động thực hiện macro trong Microsoft Office (Câu 66, 22 – Chương 1+2).

Các dạng malware có khả năng tự nhân bản gồm Virus, Worm và Zombie (Câu 61, 4 – Chương 1+2). Các máy tính Zombie (botnet) thường được tin tặc sử dụng để gửi thư rác, quảng cáo (Câu 48, 6 – Chương 1+2) hoặc thực hiện tấn công DDoS (Câu 68 – Chương 1+2).

Tấn Công Kỹ Thuật Xã Hội (Social Engineering, Phishing, Pharming)

Kỹ thuật xã hội (Social Engineering) là dạng tấn công khai thác yếu tố con người, tức người dùng, trong hệ thống (Câu 58, 44 – Chương 1+2). Loại tấn công này có thể cho phép tin tặc đánh cắp thông tin nhạy cảm của người dùng (Câu 69, 15 – Chương 1+2, Câu 42 – Chương 4).

  • Phishing: Là một dạng của tấn công sử dụng kỹ thuật xã hội (Câu 60 – Chương 1+2), lừa đảo để lấy thông tin.
  • Pharming: Là kiểu tấn công vào máy khách/trình duyệt web (Câu 44, 5 – Chương 1+2), chuyển hướng người dùng đến các trang web giả mạo.

Các kiểu tấn công khác bao gồm:

  • Tấn công nghe lén (Eavesdropping/Interception): Là kiểu tấn công thụ động (Câu 37, 10 – Chương 1+2, Câu 25 – Chương 4). Nó là dạng tấn công chặn bắt thông tin truyền trên mạng để sửa đổi hoặc lạm dụng (Câu 38, 12 – Chương 1+2).
  • Tấn công giả mạo thông tin (Fabrications): Nhằm đánh lừa người dùng (Câu 41, 45 – Chương 1+2).
  • Tấn công giả mạo địa chỉ IP (IP Spoofing): Mục đích chính là để vượt qua các hàng rào kiểm soát an ninh (Câu 47, 64, 52 – Chương 1+2).

Mật Mã Học: “Lá Chắn” Bảo Vệ Dữ Liệu

Mật mã học (Cryptography) là khoa học về bảo mật thông tin bằng cách mã hóa và giải mã dữ liệu, là một phần không thể thiếu trong an toàn thông tin.

Mã Hóa Đối Xứng và Bất Đối Xứng

Hệ mật mã (cryptosystem) được cấu thành từ hai thành phần chính gồm giải thuật mã hóa và giải mã (Câu 5, 83 – Chương 3, Câu 117 – Chương 4).

  • Mã hóa đối xứng (Symmetric Key Cryptography): Sử dụng một khóa chung cho cả quá trình mã hóa và giải mã (Câu 17, 82 – Chương 3). Các giải thuật phổ biến: DES, 3-DES, AES (Câu 91 – Chương 3).
    • DES (Data Encryption Standard): Có kích thước khóa hiệu dụng là 56 bit (Câu 81 – Chương 3) và sử dụng 16 vòng lặp chính để xáo trộn dữ liệu theo hàm Feistel (Câu 19 – Chương 3). Hộp thay thế S-box của DES có đầu vào 6 bit và đầu ra 4 bit (Câu 20, 126 – Chương 3).
    • AES (Advanced Encryption Standard): Kích thước khối dữ liệu xử lý là 128 bit (Câu 7, 93, 120 – Chương 3). Với khóa 192 bit, AES thực hiện 12 vòng lặp chuyển đổi (Câu 26, 118 – Chương 3). AES được thiết kế dựa trên mạng hoán vị-thay thế (Câu 24, 96 – Chương 3) và vận hành dựa trên một ma trận 4×4 gọi là “State” (Câu 106 – Chương 4). Trật tự các khâu xử lý chính của AES là SubBytes, ShiftRows, MixColumns, AddRoundKey (Câu 116 – Chương 4).
    • Điểm yếu chính của mã hóa đối xứng là khó khăn trong quản lý và phân phối khóa (Câu 25, 85 – Chương 3).
  • Mã hóa bất đối xứng (Asymmetric Key Cryptography/Public Key Cryptography): Sử dụng một khóa cho quá trình mã hóa và một khóa khác cho giải mã (Câu 16, 78 – Chương 3).
    • RSA: Độ an toàn của hệ mật mã RSA dựa trên tính khó của việc phân tích số nguyên rất lớn (Câu 14, 79, 112 – Chương 3). Khi sinh cặp khóa RSA, các số nguyên tố p và q nên được chọn với kích thước bằng khoảng một nửa kích thước của modulo n (Câu 15, 86 – Chương 3). Trong RSA, khóa riêng d là modulo nghịch đảo của khóa công khai e (Câu 95 – Chương 3), và e cùng với Phi(n) là hai số nguyên tố cùng nhau (Câu 89 – Chương 3).
    • Điểm yếu chính của mã hóa bất đối xứng là tốc độ chậm hơn so với mã hóa đối xứng (Câu 11, 87 – Chương 3).

Mã hóa dòng (stream cipher) xử lý dữ liệu theo từng bit hoặc từng byte/ký tự (Câu 84 – Chương 3). Một phương pháp mã hóa phổ biến là XOR (Câu 6, 90 – Chương 3).

Hàm Băm và Ứng Dụng

Hai thuộc tính cơ bản quan trọng nhất của một hàm băm là nén và một chiều (Câu 13, 119 – Chương 3). Hàm băm thường được dùng để tạo chuỗi Checksum (Câu 21, 94 – Chương 3) và mã hóa mật khẩu (Câu 28, 80, 111 – Chương 3).

  • MD5: Số lượng thao tác trong mỗi vòng xử lý là 16 (Câu 2, 114 – Chương 3).
  • SHA1: Số lượng vòng xử lý trong quá trình tạo chuỗi băm là 80 (Câu 23 – Chương 3). Kích thước của “state” trong SHA1 là 160 bit (Câu 110 – Chương 4).

Điểm khác nhau chính giữa hai loại hàm băm MDC (không khóa) và MAC (có khóa) là MDC là loại hàm băm không khóa, còn MAC là loại hàm băm có khóa (Câu 8, 93 – Chương 3).

Chữ Ký Số và Chứng Chỉ Số

  • Chữ ký số (Digital Signature): Là một chuỗi dữ liệu liên kết với một thông điệp và thực thể tạo ra thông điệp đó (Câu 12, 27 – Chương 3). Chữ ký số thường được dùng để đảm bảo tính không chối bỏ và tính toàn vẹn của thông điệp (Câu 9 – Chương 3). Trong hệ chữ ký số RSA, việc tạo chữ ký số cho một thông điệp cần sử dụng khóa riêng của người gửi (Câu 10 – Chương 3).
  • Chứng chỉ số kháo công khai (Public Key Digital Certificate): Các thuộc tính cơ bản gồm khóa công khai của chủ thể, thông tin định danh chủ thể và chữ ký của nhà cung cấp CA (Câu 4 – Chương 3).
  • PGP (Pretty Good Privacy) là một ứng dụng phổ biến của mã hóa (Câu 108 – Chương 4), đảm bảo tính bí mật thông điệp bằng cách mã hóa khóa đối xứng sử dụng khóa phiên (Câu 1, 22 – Chương 3) và đảm bảo tính xác thực thông điệp bằng cách tạo và kiểm tra chữ ký số (Câu 30 – Chương 3).
  • Giao thức SSL sử dụng giao thức con SSL Handshake để khởi tạo phiên làm việc, thực hiện việc trao đổi các khóa phiên dựa trên mã hóa khóa công khai (Câu 3 – Chương 3) và xác thực thực thể dựa trên chứng chỉ số khóa công khai (Câu 29 – Chương 3).

Sử dụng kết hợp chứng chỉ số khóa công khai và chữ ký số có thể đảm bảo xác thực thực thể và toàn vẹn thông tin truyền (Câu 18 – Chương 3).

Kiểm Soát Truy Cập: Ai Được Vào, Vào Cái Gì và Bằng Cách Nào?

Khi nói đến bảo mật hệ thống, “kiểm soát truy cập” (access control) là một trong những khái niệm quan trọng nhất. Đây chính là việc quyết định ai được phép truy cập tài nguyên nào, và với quyền hạn ra sao. Vậy phát biểu nào sau đây đúng về access trong ngữ cảnh bảo mật này? Đó là việc đảm bảo các thuộc tính an ninh của thông tin, hệ thống và các tài nguyên, bao gồm tính bí mật, tính toàn vẹn và tính sẵn dùng (Câu 27, 66 – Chương 4).

Tổng quan về Kiểm soát Truy cập

Một hệ thống kiểm soát truy cập bao gồm hai dịch vụ quan trọng nhất: xác thực (Authentication) và ủy quyền (Authorization) (Câu 30, 65 – Chương 4).

  • Xác thực (Authentication): Là quá trình xác minh tính chân thực của thông tin nhận dạng người dùng cung cấp (Câu 32, 64 – Chương 4). Nó xác minh nhận dạng của chủ thể yêu cầu truy cập đối tượng.
  • Ủy quyền (Authorization): Là quá trình cấp phát quyền hạn cho chủ thể sau khi đã được xác thực.

Một hệ thống kiểm soát truy cập có thể được cấu thành từ các dịch vụ xác thực, ủy quyền và kiểm toán (auditing) (Câu 104, 122 – Chương 4).

Một điểm yếu điển hình trong hệ thống kiểm soát truy cập là việc sử dụng mật khẩu dễ đoán hoặc mật khẩu được lưu ở dạng rõ. Đây là điểm yếu thuộc khâu xác thực và trao quyền (Câu 39 – Chương 4).

Các Cơ Chế Kiểm Soát Truy Cập Phổ Biến (DAC, MAC, RBAC)

Ba cơ chế kiểm soát truy cập thông dụng nhất gồm DAC, MAC và RBAC (Câu 26, 100 – Chương 4).

  • DAC (Discretionary Access Control – Kiểm soát truy cập tùy ý): DAC cho phép người tạo ra đối tượng có thể cấp quyền truy cập cho người dùng khác (Câu 10, 62 – Chương 4). Trojan horse là một loại tấn công chiếm quyền truy cập tài nguyên lợi dụng cơ chế DAC (Câu 33, 74 – Chương 4).
  • MAC (Mandatory Access Control – Kiểm soát truy cập bắt buộc): MAC cấp quyền truy cập dựa trên tính nhạy cảm của thông tin và chính sách quản trị (Câu 17, 63 – Chương 4). MAC quản lý quyền truy cập chặt chẽ hơn các cơ chế khác và được sử dụng trong các hệ thống yêu cầu bảo mật cực cao (ví dụ: quân đội). Nguyên tắc bảo mật tài nguyên của mô hình Bell-La Padula (một mô hình MAC) là “đọc xuống và ghi lên” (no read up, no write down) (Câu 1 – Chương 4).
  • RBAC (Role-Based Access Control – Kiểm soát truy cập dựa trên vai trò): RBAC cấp quyền truy cập dựa trên vai trò của người dùng trong tổ chức (Câu 9, 102 – Chương 4). Đây là cơ chế được sử dụng rộng rãi nhất trong các hệ thống doanh nghiệp hiện đại.

Danh sách điều khiển truy cập (ACL) thực hiện việc quản lý quyền truy cập đến các đối tượng cho người dùng bằng cách gán cho mỗi đối tượng một danh sách người dùng kèm theo quyền truy cập (Câu 12, 77 – Chương 4).

Kiểm soát truy cập dựa trên luật (Rule-based access control) được sử dụng phổ biến trong Firewall (Câu 59 – Chương 4).

Phương Pháp Xác Thực Hiệu Quả

Độ an toàn của kỹ thuật kiểm soát truy cập sử dụng mật khẩu dựa trên độ khó đoán và tuổi thọ của mật khẩu (Câu 2, 105 – Chương 4).
Mật khẩu an toàn hiện tại cần có độ dài từ 8 ký tự trở lên, gồm chữ cái hoa, thường, chữ số và ký tự đặc biệt (Câu 53, 13 – Chương 1+2).

  • Mật khẩu một lần (OTP – One Time Password): Có ưu điểm là chống được tấn công phát lại (replay attack) so với mật khẩu truyền thống (Câu 36, 121 – Chương 4).
  • Xác thực đa yếu tố:
    • Thẻ thông minh (Smartcard): Sử dụng 2 yếu tố xác thực (ví dụ: thẻ và mã PIN) (Câu 28, 75 – Chương 4).
    • Token (Thẻ bài): Ưu điểm so với smartcard là có chi phí rẻ hơn (Câu 23, 76 – Chương 4). E-token là một dạng khóa mã (encrypted key) được sử dụng rộng rãi trong điều khiển truy cập (Câu 21, 124 – Chương 4). Ví điện tử Paypal là một dạng Token (Câu 19, 99 – Chương 4).
    • Sinh trắc học (Biometrics – như vân tay): Ưu điểm là bảo mật cao và luôn đi cùng với chủ thể (Câu 6, 68 – Chương 4). Nhược điểm chính là chi phí đắt (Câu 35, 61 – Chương 4). Phương pháp xác thực sử dụng vân tay hoặc chứng chỉ số có độ an toàn cao nhất (Câu 24, 71 – Chương 4).

Dạng xác thực sử dụng thẻ ATM và số PIN hoặc tên truy cập và mật khẩu sẽ đảm bảo độ an toàn cao hơn (Câu 20, 70 – Chương 4).

Tường Lửa (Firewall), IDS/IPS: Công Cụ Quan Trọng

  • Tường lửa (Firewall): Kiểm soát dịch vụ và hướng (Câu 25, 97 – Chương 4) các gói tin ra vào mạng.
    • Tường lửa không thể chống lại các hiểm họa từ bên trong hoặc tấn công giả mạo địa chỉ (Câu 13 – Chương 4).
    • Tường lửa lọc gói có thể lọc cả thông tin trong header và payload của gói tin (Câu 15, 101 – Chương 4).
    • Ưu điểm của tường lửa có trạng thái (stateful firewall) so với tường lửa không trạng thái (stateless firewall) là phân biệt được các gói tin thuộc về các kết nối mạng khác nhau (Câu 7, 125 – Chương 4).
    • Application-level gateway là một loại tường lửa (Câu 18, 73 – Chương 4).
  • IDS (Intrusion Detection System – Hệ thống phát hiện xâm nhập): Giám sát lưu lượng mạng hoặc các hành vi trên một hệ thống để nhận dạng các dấu hiệu của tấn công, xâm nhập (Câu 29, 123 – Chương 4).
  • IPS (Intrusion Prevention System – Hệ thống ngăn chặn xâm nhập): Khác biệt chính giữa IPS và IDS là IPS có khả năng chủ động ngăn chặn xâm nhập (Câu 14, 103 – Chương 4).
  • IDS/IPS có thể thu thập dữ liệu đầu vào từ mạng và các host (Câu 69 – Chương 4).

Hệ thống phát hiện xâm nhập dựa trên chữ ký không thể phát hiện các tấn công, xâm nhập mới do chữ ký của chúng chưa tồn tại trong hệ thống (Câu 22, 67 – Chương 4). Ngược lại, phát hiện tấn công dựa trên bất thường có tiềm năng phát hiện các loại tấn công, xâm nhập mới vì không yêu cầu biết trước thông tin về chúng (Câu 3, 127 – Chương 4). Phương pháp này dựa trên giả thuyết rằng các hành vi tấn công, xâm nhập thường có quan hệ chặt chẽ với các hành vi bất thường (Câu 5, 60 – Chương 4). Tuy nhiên, nhược điểm của nó là tỷ lệ cảnh báo sai cao (Câu 4 – Chương 4). Các phương pháp xử lý dữ liệu trong phát hiện bất thường gồm thống kê, học máy, khai phá dữ liệu (Câu 8, 98 – Chương 4).

Chiến Lược Phòng Chống và Tăng Cường Bảo Mật Tổng Thể

Để đảm bảo an toàn cho hệ thống thông tin, việc quản lý và khắc phục lỗ hổng bảo mật cần được thực hiện theo nguyên tắc cân bằng giữa An toàn, Hữu dụng và Rẻ tiền (Câu 53 – Chương 4).

Quản Lý Lỗ Hổng và Cập Nhật Thường Xuyên

  • Cập nhật định kỳ các bản vá và nâng cấp hệ điều hành (Câu 54 – Chương 4) là biện pháp cụ thể để tăng cường khả năng đề kháng cho hệ thống.
  • Quản lý các bản vá và cập nhật phần mềm thuộc lớp an ninh hệ điều hành và phần mềm trong mô hình tổng thể đảm bảo an toàn hệ thống thông tin (Câu 33 – Chương 1+2).
  • Không nên sử dụng nhiều hơn 1 phần mềm quét virus chạy ở chế độ quét theo thời gian thực trên một máy tính vì các phần mềm quét virus chiếm nhiều tài nguyên và có thể xung đột với nhau (Câu 16, 128 – Chương 4).

Tối Ưu Cấu Hình và Quy Trình Vận Hành

  • Mô hình tổng quát đảm bảo an toàn thông tin và hệ thống thông tin thường gồm các lớp: An ninh tổ chức, An ninh mạng và An toàn hệ điều hành và ứng dụng (Câu 1 – Chương 1+2).
  • An toàn hệ thống thông tin là việc đảm bảo các thuộc tính an ninh, an toàn của hệ thống thông tin (Câu 4 – Chương 1+2).
  • Việc thực thi quản lý an toàn thông tin cần theo chu trình lặp lại do các điều kiện bên trong và bên ngoài hệ thống thay đổi theo thời gian (Câu 25 – Chương 1+2).
  • Không dùng tài khoản có quyền quản trị để chạy các chương trình ứng dụng (Câu 48 – Chương 4) là một biện pháp hiệu quả để phòng chống.
  • Luôn cần đầu tư vào trang thiết bị và chuyên gia để đảm bảo an toàn.

Máy tính, hệ điều hành và các ứng dụng được nâng cấp nhanh chóng, trình độ tin tặc và công cụ tấn công ngày càng phổ biến, cùng với số lượng và khả năng phá hoại của các phần mềm độc hại ngày càng tăng, đòi hỏi chúng ta phải không ngừng cập nhật và cải thiện các biện pháp bảo mật.

Kết Luận

Kiểm soát truy cập là một phần không thể tách rời của một chiến lược an toàn thông tin toàn diện. Từ việc hiểu rõ các loại tấn công, cách thức hoạt động của mật mã, cho đến việc áp dụng các cơ chế kiểm soát truy cập như DAC, MAC, RBAC và các công cụ như tường lửa, IDS/IPS, tất cả đều góp phần xây dựng một “pháo đài” vững chắc cho dữ liệu của bạn.

Trong bối cảnh công nghệ thay đổi không ngừng, việc duy trì cảnh giác, cập nhật kiến thức và áp dụng các biện pháp bảo mật phù hợp là điều tối quan trọng. Hãy nhớ rằng, bảo mật là một quá trình liên tục, không phải là một đích đến.

Tài Liệu Tham Khảo

  • CISSP. (2018). Official (ISC)² CISSP Study Guide. Sybex.
  • Stallings, W. (2017). Cryptography and Network Security Principles and Practice. Pearson.
  • Phần đuôi của tên tập tin trong access là
  • Nền vàng chữ màu gì (Mặc dù đây không phải là tài liệu học thuật trực tiếp về bảo mật, nhưng nó nhấn mạnh tầm quan trọng của việc trình bày thông tin một cách rõ ràng và dễ đọc, kể cả thông báo bảo mật, giúp người dùng hiểu và tương tác hiệu quả.)
Đọc tiếp

Bài viết liên quan

Để lại bình luận

Email của bạn sẽ không được công khai. Các trường bắt buộc được đánh dấu *.