SECURITY BUILDING BLOCK

Để trở thành một chuyên gia bảo mật Comptia SECURITY+ thì điều trước tiên chúng ta cần nắm vững các thành phần nền tảng trong mô hình bảo mật thông tin, bao gồm các cơ chế xác thực người dùng, phương pháp kiềm sóat truy cập và mục tiêu của an tòan thông tin. Trong bài thi thực tế của mình, tôi gặp các câu hỏi thuộc chủ đề này trong câu 1 đến câu 10. Điều này chứng tỏ các khái niệm cơ bản của an tòan thông tin rất quan trọng trong ki thi chứng chỉ quốc tế Comptia SECURITY+

CÁC MỤC TIÊU CỦA AN TÒAN THÔNG TIN LÀ GÌ : ĐÓ CHÍNH LÀ C.I.A

C.I.A là 3 mục tiêu cơ bản nhất của các tiến trình bảo mật, đây cũng là những đặc trưng thường được hỏi trong kỳ thi chứng chỉ quốc tế Comptia Security+ vì vậy các bạn cần nắm vững 3 khái niệm này và ý nghĩa của từng ký tự trong tam giác bảo mật trên.

-C: là Confidentiality nghĩa là tính riêng tư. Một trong những mục tiêu quan trọng nhất của bảo mật thông tin là bảo đảm sự riêng tư của dữ liệu. Điều này có nghĩa là dữ liệu hay thông tin của người nào thì chỉ người đó được biết và những người khác không được quyền can thiệp vào. Trong thực tế, chúng ta thường thấy khi phát lương ngoài bì thư hay đề chữ Confidentiality nhằm không cho các nhân viên biết mức lương của nhau để tránh sự đố kỵ, so sánh giữa họ. Hoặc trong những khu vực riêng của một cơ quan hay tổ chức nhằm ngăn chặn người lạ xâm nhập với bảng cấm “không phận sự miễn vào” cũng là một hình thức bảo vệ tính riêng tư. Đối với dữ liệu truyền để bảo vệ tính riêng tư (confidentiality) thì chúng thường được mã hóa hay sử dụng các giao thức truyền thông an tòan như SSH.

-I: là Integrity nghĩa là tính tòan vẹn. Mục tiêu thứ 2 trong bảo mật thông tin là bảo vệ tính tòan vẹn cho dữ liệu. Nhằm bảo đảm khi dữ liệu truyền đi không bị thay đổi bởi một tác nhân khác, ví dụ khi một email quan trọng được gởi đi thì thường được áp dụng các thuật tóan bảo vệ tính tòan vẹn như message digest (sẽ tham khảo trong chương 6) ngăn ngừa bị một tác nhân thứ 3 thay đổi bằng cách chặn bắt thông điệp trên.

-A: là Availability nghĩa là tính khả dụng, sẳn sàng đáp ứng nhu cầu người dùng. Cần đặc biệt lưu ý khi các câu hỏi của Security+ khi hỏi rằng chữ A có phải tượng trưng cho Accountant hay không. Vì nếu không nắm rõ ý nghĩa của 3 mục tiêu này các bạn sẽ dễ bị đánh lừa bởi yếu tố thứ 3 Availability, nghĩa là dữ liệu cần phải luôn luôn đáp ứng được nhu cầu của người dùng ví dụ như dịch vụ email của doanh nghiệp phải luôn luôn có khả năng phục vụ nhu cầu gởi và nhận email, nếu do sự cố nào đó mà quá trình trao đổi thông tin qua email không diễn ra được thì hệ thống bảo mật của chúng ta đã bị gãy đổ do mục tiêu A không đáp ứng được.

Non-repudiation : đây là một trong những mục tiêu thứ cấp của 3 mục tiêu chính CIA trong quá trình bảo mật thông tin. Non-repudation là tính không thể chối bỏ, nhằm bảo đảm và xác nhận nguồn gốc của thông điệp. Nếu như các bạn hay download các chương trình trên mạng thì sẽ thấy nhà cung cấp hay kèm theo một chuỗi số hàm băm MD5 hay SHA dùng để xác nhận có phải bạn đã download đúng chương trình trên từ nhà cung câp này hay không. Vì nếu như một chương trình khác được các attacker/hacker đưa lên thì chắc chắn có sự thay đổi về nội dung và khi đó giá trị MD5/SHA đã bị thay đổi, khác với giá trị mà nhà cung cấp đưa ra. Còn ngược lại, nếu giá trị MD5/SHA giống như giá trị gốc thì chương trình trên đúng là của nhà cung cấp này và khi nó gây ra các tác hại nào đó thì họ không được quyền chối bỏ trách nhiệm bằng cách nói rằng chương trình đó không phải do họ viết. Trong khóa học SCNP (một hệ thống bảo mật cao cấp hơn so với Comptia Security+) có hướng dẫn phương pháp tạo giá trị hàm băm vơi thuật tóan MD5/SHA.

CÁC NHÂN TỐ BẢO MẬT THÔNG TIN

Vậy để đạt được 3 mục tiêu CIA chúng ta cần phải thực hiện những điều gì? Đó chính là 4 nhân tố bảo mật thông tin sau đây:

- Authentication: (Xác thực) là một quá trình xác nhận đặc điểm nhận biết của người dùng qua đó quyết định quyền truy nhập cơ sở dữ liệu và khả năng thực hiện các giao dịch của người đó. Việc xác thực thường thông qua tên truy nhập và mật khẩu hay các phương pháp phức tạp hơn như chứng thực số. Ví dụ khi bạn đăng nhập một hệ thống máy tính thì tiến trình xác thực diễn ra khi bạn nhập vào tài khỏan bao gồm usernam và password trên màn hình logon.

-Authorization : (Ủy quyền) là tiến trình kiểm tra quyền hạn của người dùng sau khi đăng nhập hệ thống. Ví dụ một người dùng sau khi đăng nhập hệ thống cần phải trải qua tiến trình Authorization, sau đó người dùng này được phép truy cập vào máy chủ hay dữ liệu nào thì tùy thuộc vào quyền hạn mà anh ta có được do tiến trình

-Access control : là quá trình kiểm sóat truy cập có chức năng gán quyền cho người dùng hay xác nhận quyền hạn của người dùng. Khi các bạn tạo một tập tin thư mục và chia sẽ nó cho các nhân viên khác thì chúng ta thường gán các quyền như được phép đọc, ghi …Quá trình này được gọi là kiểm sóat truy cập (Access control)

-Auditing hay Accounting: (kiểm tóan) đây là quá trình ghi nhật ký hệ thống để lưu giữ lại các hành động diễn ra đối với các đối tượng hay dữ liệu. Thông thường chúng ta thường hay ghi log file các lần user đăng nhập thành công hay thất bại hệ thống của mình, hoặc sau khi đăng nhập anh ta có những thao tác gì, quá trình này được gọi là Auditing hay Accounting.

Security365 Tip : Đây là 4 yếu tố mà các bạn không được phép quên cùng với 3 mục tiêu C.I.A

CÁC PHƯƠNG PHÁP KIỂM SÓAT TRUY CẬP:

Theo nội dung do Comptia đề xuất thì phần này có tên là” Nhận Dạng Và Giải Thích Các Mô Hình Điều Khiển Truy Cập”. Vậy mô hình điều khiển truy cập là gì? Đó chính là phương pháp hay các kỹ thuật dùng để cho phép hay không cho phép người dùng sử dụng một dịch vụ hay dữ liệu nào đó trên hệ thống. Ví dụ với mô hình điều khiển truy cập DAC, các bạn có thể gán quyền cho người dùng thuộc nhóm Sale được phép Read/Write đối với thư mục dữ liệu Sale Info, còn những người khác trong công ty thì chỉ có thể Read mà không được phép thay đổi. Điều khiển truy cập là bước tiếp theo sau khi tiến trình xác thực (authentication) hòan tất. Điều này cũng giống như trong một ngôi nhà có những tiện ích sử dụng như các phòng ngủ 1,2,3. Một người dùng muốn sử dụng phòng ngủ X của họ (access control) thì trước tiên họ phải được phép vào ngôi nhà đó ví dụ phải có thẻ ra vào, hay có các chìa khóa để vào nhà – quá trình này gọi là xác thực. Và mục tiêu chính của quá trình xác thực & điều khiển truy cập chính là ngăn ngừa những trường hợp truy cập, sử dụng trái phép tài nguyên hệ thống, đó chính là yếu tố cơ bản của bảo mật thông tin.

Theo định nghĩa được đăng trên bộ bách khoa tòan thư http://vi.wikipedia.org thi nhiệm vụ điều khiển truy cập được mô tả như sau “Nhiệm vụ điều khiển truy cập trong an ninh máy tính (computer security access control) bao gồm các nhiệm vụ xác thực (authentication), ủy quyền (authorization) và kiểm toán (audit). Nhiệm vụ này còn bao gổm cả việc sử dụng những phương pháp bổ xung như phương pháp sử dụng các thiết bị phần cứng - chẳng hạn như các máy quét lướt sinh trắc học (biometric scans) và bằng cách dùng các khóa bằng kim loại (metal locks) - hoặc các phương pháp xử lý phần mềm như việc sử dụng "đường dẫn ẩn" (hidden path), chữ ký điện tử (digital signatures), mã hóa (encryption), các rào cản (social barriers), và theo dõi hoạt động của hệ thống bằng sức người hoặc bằng các hệ thống tự động. Sự ủy quyền có thể được thực thi dùng phương pháp điều khiển truy cập trên cơ sở vai trò (role based access control), hay bằng cách dùng các danh sách điểu khiển truy cập (access control list).
Điều khiển truy cập tạo nên khả năng cho chúng ta có thể ban phép hoặc từ chối một chủ thể - một thực thể chủ động, chẳng hạn như một người hay một quy trình nào đó - sử dụng một đối tượng - một thực thể thụ động, chẳng hạn như một hệ thống, một tập tin - nào đấy trong hệ thống.
Các hệ thống điều khiển truy cập cung cấp những dịch vụ thiết yếu như dịch vụ nhận dạng và xác minh (identification and authentication - I&A), dịch vụ ủy quyền (authorization) và dịch vụ quy trách nhiệm (accountability) đối với người dùng hoặc đối với quy trình. Trong khi dịch vụ nhận dạng và xác minh nhằm xác định ai là người được đăng nhập vào một hệ thống, thì dịch vụ ủy quyền xác định những gì mà một người dùng đã được xác thực có thể thi hành, và dịch vụ quy trách nhiệm nhận dạng và chứng thực những hành vi hay hoạt động mà người dùng đã thi hành trong khi họ sử dụng hệ thống.”

Đối với các thí sinh tham dự kỳ thi chứng chỉ Comptia Security + các bạn cần nằm vững các mô hình điều khiển truy cập sau

1. Mandatory Access Control (MAC)
2. Discretionary Access Control (DAC
3. Role Based Access Control (RBAC).

Các mô hình này thường được phối hợp sử dụng trong một hệ thống để gia tăng mức độ an tòan.

Mandatory Access Control (MAC) – Điều Khiển Truy Cập Bắt Buộc

Điều khiển truy cập bắt buộc (mandatory access control - MAC) là một chính sách truy cập không do cá nhân sở hữu tài nguyên quyết định, mà do hệ thống quyết định. MAC được dùng trong các hệ thống đa tầng cấp, là những hệ thống xử lý các loại dữ liệu nhạy cảm, như các thông tin được phân hạng về mức độ bảo mật trong chính phủ và trong quân đội. Một hệ thống đa tầng cấp là một hệ thống máy tính duy nhất chịu trách nhiệm xử lý bội số các phân loại dưới nhiều tầng cấp giữa các chủ thể và các đối tượng.

• Nhãn hiệu nhạy cảm (sensitivity label): Trong hệ thống dùng điểu khiển truy cập bắt buộc, hệ thống chỉ định một nhãn hiệu cho mỗi chủ thể và mỗi đối tượng trong hệ thống. Nhãn hiệu nhạy cảm của một chủ thể xác định mức tin cẩn cần thiết để truy cập. Để truy cập một đối tượng nào đấy, chủ thể phải có một mức độ nhạy cảm (tin cẩn) tương đồng hoặc cao hơn mức độ của đối tượng yêu cầu.
• Xuất và nhập dữ liệu (Data import and export): Điều khiển việc nhập nội thông tin từ một hệ thống khác và xuất ngoại thông tin sang các hệ thống khác (bao gồm cả các máy in) là một chức năng trọng yếu trong các hệ thống sử dụng điều khiển truy cập bắt buộc. Nhiệm vụ của việc xuất nhập thông tin là phải đảm bảo các nhãn hiệu nhạy cảm được giữ gìn một cách đúng đắn và nhiệm vụ này phải được thực hiện sao cho các thông tin nhạy cảm phải được bảo vệ trong bất kỳ tình huống nào.

Có hai phương pháp được dùng phổ biến để áp dụng nguyên tắc điều khiển truy cập bắt buộc:

• Điều khiển truy cập dùng chính sách (rule-based access control): Việc điều khiển thuộc loại này định nghĩa thêm những điều kiện cụ thể đối với việc truy cập một đối tượng mà chúng ta yêu cầu. Tất cả các hệ thống dùng điều khiển truy cập bắt buộc đều thực hiện một hình thức đã được đơn giản hóa của thể loại điều khiển truy cập dùng chính sách, nhằm quyết định cho phép hay từ chối yêu cầu truy cập, bằng cách đối chiếu:
• Nhãn hiệu nhạy cảm của đối tượng
• Nhãn hiệu nhạy cảm của chủ thể
• Điều khiển truy cập dùng bố trí mắt lưới (lattice-based access control): Đây là phương pháp người ta sử dụng đối với những quyết định phức tạp trong điều khiển truy cập với sự liên quan bội số các đối tượng và/hay các chủ thể. Mô hình mắt lưới là một cấu trúc toán học, nó định nghĩa các giá trị cận dưới lớn nhất (greatest lower-bound) và cận trên nhỏ nhất (least upper-bound) cho những cặp nguyên tố, chẳng hạn như cặp nguyên tố bao gồm một chủ thể và một đối tượng.

Security365 Tip: Đối với Comptia Security+ thì các bạn cần nhớ kỹ các thuật ngữ rule-base access control và lattice-based acecess control thuộc dạng điều khiển truy cập bắt buộc (MAC)
Lưu ý: các bạn cần phân biệt thuật ngữ MAC (Mandatory Access Control ) và thuật ngữ MAC (địa chỉ vật lý card mạng).
Các bạn có thể tham khảo một số hệ thống thực thi cơ chế điều khiển truy cập bắt buộc trên các hệ điều hành như:

• Một đề án nghiên cứu của NSA gọi là SELinux (Linux với nâng cấp về an ninh (Security-Enhanced Linux)) xây dựng thêm kiến trúc điều khiển truy cập bắt buộc vào trong bộ điều hành trung tâm của hệ thống điều hành Linux. Trong phiên bản 4 của Linux cấp kinh doanh của Red Hat (Red Hat Enterprise Linux - viết tắt là RHEL) và cả trong những phiên bản sau này, các nhân viên sản xuất phần mềm đã cho biên dịch SELinux vào trong bộ điều hành trung tâm của nó. Bộ mã nguồn tiêu chuẩn của bộ điều hành trung tâm tại kernel.org đều có chứa mã nguồn của SE Linux trong nội dung của nó. SE Linux có khả năng hạn chế tất cả các quy trình trong hệ thống, song do muốn đảm bảo tính sử dụng dễ dàng của hệ điều hành, RHEL chỉ hạn chế những chương trình ứng dụng dễ bị tấn công nhất mà thôi.
• Hệ điều hành Trusted Solaris (Solaris Tin cẩn) của công ty Sun sử dụng một cơ chế điều khiển truy cập bắt buộc và được thi hành ở cơ sở hạ tầng của hệ thống (mandatory and system-enforced access control mechanism - MAC), trong đó sự cho phép sử dụng thông tin bí mật (clearance) và các nhãn hiệu được dùng để đảm bảo hiệu lực của chính sách an ninh. Những chương trình ứng dụng mà người dùng vận hành được phối hợp với mức độ an ninh của phiên giao dịch mà người dùng đang làm việc. Truy cập vào thông tin, vào chương trình ứng dụng, và vào các thiết bị đều được quản lý và chỉ có thể được ban phép cho tầng cấp an ninh tương đồng hoặc thấp hơn mà thôi. MAC ngăn chặn người dùng quyền viết vào các tập tin ở các tầng thấp hơn (writing to files at lower levels) và đảm bảo hiệu lực của việc này bằng các chính sách an ninh tại cơ sở, địa điểm. Không ai có quyền vượt qua trừ khi họ được ủy quyền đặc biệt hoặc có những đặc quyền.”

Discretionary Access Control (DAC) - Điều Khiển Truy Cập Tùy Quyền 
Định nghĩa những chính sách điều khiển truy cập cơ bản đối với các đối tượng trong một hệ thống tập tin (filesystem). Một ví dụ thực tế của DAC là việc phân quyền cho người dùng trên hệ thống tập tin của hệ điều hành Windows dựa trên danh sách đều khiển truy cập (Access Control List – ACL) , với mục đích hạn chế truy cập các đối tượng trên cơ sở nhận dạng (identity) và nhu cầu cần biết (need-to-know) của nhiều người dùng hay của các nhóm mà đối tượng trực thuộc. Phương pháp điều khiển được coi là 'tuỳ quyền' vì lý do một chủ thể với một phép truy cập nào đấy có thể chuyển nhượng phép truy cập (trực tiếp hay gián tiếp) sang bất cứ một chủ thể nào khác trong hệ thống."

Role-Based Access Control  (RBAC) - Điều Khiển Truy Cập Trên Cơ Sở Vai Trò

Trong an ninh đối với các hệ thống máy tính, điều khiển truy cập trên cơ sở vai trò là một trong số các phương pháp điều khiển và đảm bảo quyền sử dụng cho người dùng. Đây là một phương pháp có thể thay thế Điều khiển truy cập tùy quyền (discretionary access control - DAC) và Điều khiển truy cập bắt buộc (mandatory access control - MAC).
Điều khiển truy cập trên cơ sở vai trò (RBAC) khác với hình thức MAC và DAC truyền thống. MAC và DAC trước đây là hai mô hình duy nhất được phổ biến trong điều khiển truy cập. Nếu một hệ thống không dùng MAC thì người ta chỉ có thể cho rằng hệ thống đó dùng DAC, hoặc ngược lại. Song cuộc nghiên cứu trong những năm 1990 đã chứng minh rằng RBAC không phải là MAC hoặc DAC.
Trong nội bộ một tổ chức, các vai trò (roles) được kiến tạo để đảm nhận các chức năng công việc khác nhau. Mỗi vai trò được gắn liền với một số quyền hạn cho phép nó thao tác một số hoạt động cụ thể ('permissions'). Các thành viên trong lực lượng cán bộ công nhân viên (hoặc những người dùng trong hệ thống) được phân phối một vai trò riêng, và thông qua việc phân phối vai trò này mà họ tiếp thu được một số những quyền hạn cho phép họ thi hành những chức năng cụ thể trong hệ thống.
Vì người dùng không được cấp phép một cách trực tiếp, song chỉ tiếp thu được những quyền hạn thông qua vai trò của họ (hoặc các vai trò), việc quản lý quyền hạn của người dùng trở thành một việc đơn giản, và người ta chỉ cần chỉ định những vai trò thích hợp cho người dùng mà thôi. Việc chỉ định vai trò này đơn giản hóa những công việc thông thường như việc cho thêm một người dùng vào trong hệ thống, hay đổi ban công tác (department) của người dùng.
RBAC khác với các danh sách điểu khiển truy cập (access control list - ACL) được dùng trong hệ thống điều khiển truy cập tùy quyền (DAC), ở chỗ, nó chỉ định các quyền hạn tới từng hoạt động cụ thể với ý nghĩa trong cơ quan tổ chức, thay vì tới các đối tượng dữ liệu hạ tầng. Lấy ví dụ, một danh sách điều khiển truy cập có thể được dùng để cho phép hoặc từ chối quyền truy cập viết một tập tin hệ thống (system file), song nó không nói cho ta biết phương cách cụ thể để thay đổi tập tin đó. Trong một hệ thống dùng RBAC, một thao tác có thể là việc một chương trình ứng dụng tài chính kiến tạo một giao dịch trong 'tài khoản tín dụng' (credit account transaction), hay là việc một chương trình ứng dụng y học khởi thủy một bản ghi 'thử nghiệm nồng độ đường trong máu' (blood sugar level test). Việc chỉ định quyền hạn cho phép thi hành một thao tác nhất định là một việc làm đầy ý nghĩa, vì các thao tác đã được phân định tinh tế và mỗi cá nhân thao tác có một ý nghĩa riêng trong chương trình ứng dụng.

Security365 Tip:
- Mandatory Access Control (MAC) họat động dựa trên các sự phân lọai các quy tắc (classification rule). Những object (đối tượng) được gán các nhãn nhạy cảm (sensitivity label) còn các subject (chủ thể) được gán các clearance label, và người dùng truy cập dựa trên các quyền mà học được gán cho một tài nguyên cụ thể và quá trình phân lọai này họat động theo cơ chế phân cấp.
Một số hệ thống MAC thông dụng như các bộ máy hành chính hay quân sự MAC sử dụng các mức phân lọai: unclassified, sensitive but unclassified, confidential, secret, và top secret. Hay mô hình MAC trong các tổ chức kinh tế sử áp dụng cơ chế phân lọai dựa trên: public, sensitive, private, và confidential.
- Discretionary Access Control (DAC) họat động trên định danh của người dùng (user identity), trong mô hình này người dùng được gán quyền truy cập đối tượng (object) như file, folder thông qua danh sách truy cập (ACL) , dựa trên sự phân quyền của chủ thể (owner) hay người tạo ra đối tượng (creator).
- Role-Based Access Control (RBAC) : RBAC họat động dựa trên công việc của người dùng. Người dùng được cấp quyền tùy theo vai trò và công việc. đây là mô hình rất thích hợp cho các môi trường làm việc mà nhân sự có nhiều thay đổi.

Privilege Management :
Quản trị phân quyền là tiến trình  sử dụng các kỹ thuật authentication and authorization để tạo nên các mô hình quả lý phân tán hay tập trung đối với người dùng hay một nhóm người dùng. Quá trình này cũng có thể bao gồm cả việc ghi nhật ký hệ thống (Audit.Accounting) hoặc cung cấp những cơ chế xác thực SSO (Single Sign On).

Quá trình quản lý phân quyền
-SSO là một thuật ngữ và đặc điểm mà bất kỳ thí sinh chuẩn bị thi Security+ nào cũng không được quyền quên. SSO là gì? Là Single Sign On : nghĩa là người dùng chỉ cần xác nhận một lần nhưng vẫn có thể sử dụng được nhiều dịch vụ khác nhau. Giống như khi các bạn đăng nhập hệ thống ứng dụng Google với 1 tài khỏan duy nhất nhưng vẫn có thể sử dụng được mail, docs hay calendar, webmaster tool…Trên hệ thống Windows chúng ta triển khai SSO bằng cách xây dựng các hệ thống Domain Controller.
Lệnh nào dùng để nâng cấp một máy tính bình thường (standalone server thành domain controller trên Windows 2000/2003? Đó chính là lệnh dcpromo!

Các câu hỏi của Topic 1A:
- Lưu ý là chúng tôi sẽ không dịch các câu hỏi sang tiếng Việt, vì điều này sẽ không có lợi cho các bạn do trong các kỳ thi các câu  hỏi hoàn toàn bằng tiếng Anh. Cho nên việc hiểu các câu hỏi và trang bị cho mình một vốn từ cần và đủ là yêu cầu bắt buộc đối với tất cả các bạn.

1. The three common goals of computer security are:
a) Confidentiality
b) Auditing
c) Integrity
d) Independence
e) Availability

2. Katie works in a high-security government facility. When she comes to work in the
morning, she places her hand on a scanning device in her building’s lobby, which reads
her handprint and compares it to a master record of her handprint in a database to
verify her identity. This is an example of:
a) Authentication
b) Authorization
c) Access control
d) Auditing

3. Once Katie’s identity is verified, the system checks and confirms that she is allowed to
leave the lobby and enter the secure areas of the facility. The electronic door lock is
released. This is an example of:
a) Authentication
b) Authorization
c) Access Control
d) Auditing

4. Katie’s handprint is matched against a record in the system that indicates that she has
been assigned clearance to view the contents of Secret documents. Later, at her desk,
she tries to connect to a folder that is marked Top Secret, and her access is denied.
This is an example of:
a) Mandatory access control.
b) Discretionary access control.
c) Role-based access control.
d) Rule-based access control.

5. At the end of the day, security personnel can view electronic log files that record the
identities of everyone who entered and exited the building along with the time of day.
This is an example of:
a) Authentication
b) Authorization
c) Access control
d) Auditing

6. An administrator of a large multinational company has the ability to assign object
access rights and track users’ resource access from a central administrative console.
Users throughout the organization can gain access to any system after providing a
single user name and password. This is an example of:
a) Auditing
b) Security labels
c) Privilege management
d) Confidentiality

Câu hỏi của Security365: Các bạn hãy giải thích một cách ngắn gọn và đầy đủ về khái niệm need-to-know, và cho biết khái niệm tương tự của need-to-know mà Security+ hay đề cập là gì?

Đáp án gởi về cho các giảng viên của Security365 tại địa chỉ Địa chỉ email này đang được bảo vệ khỏi chương trình thư rác, bạn cần bật Javascript để xem nó , tất cả các học viên phải hòan tất những câu hỏi này trước khi chuyển qua bài tiếp theo.