6-PROVA-Segurança De Infraestrutura

Prévia do material em texto

Exercícios
1) 
NÃO faz parte da estrutura de segurança do armazenamento:
A) a) Serviço de responsabilidade.
B) b) Serviço de confidencialidade.
C) c) Serviço de integridade.
D) d) Serviço de relacionamento.
E) e) Serviço de disponibilidade.
2) 
São elementos-chave da tríade de riscos:
A) a) Bens, ameaças e vulnerabilidade.
B) b) Bens, ameaças e replicação.
C) c) Bens, vulnerabilidade e compilação.
D) d) Vulnerabilidade, ameaças e hardware.
E) e) Ameaças, software e bens.
3) 
NÃO faz parte dos domínios de segurança e armazenamento:
A) a) Backup.
B) b) Recuperação.
C) c) Arquivamento.
D) d) Acesso ao aplicativo.
E) e) Acesso ao LVM.
4) 
Dentre as alternativas abaixo, qual NÃO é uma ameaça ao domínio de acesso do aplicativo?
A) a) Simular identidade.
IFSP
Realce
IFSP
Realce
IFSP
Realce
IFSP
Realce
B) b) Aumentar privilégios.
C) c) Roubo de mídia.
D) d) Forjar acesso host.
E) e) Ataque criptográfico.
5) 
Analisando a estrutura em rede, qual padrão NÃO oferece proteção à estrutura de 
armazenamento?
A) a) Utilizar SAN para armazenamento.
B) b) Deixar domínios de broadcast entre as redes que compõem a estrutura.
C) c) Efetuar controles de acesso com ACL.
D) d) Efetuar a comunicação com SSH.
E) e) Operar com VLANS.
IFSP
Realce
IFSP
Realce
Exercícios
1) Sabe-se que redes virtuais privadas oferecem mais segurança no tráfego de dados, uma vez 
que criptografam as informações da origem até o destino. Pensando nisso, avalie as 
situações a seguir e aponte aquela em que é mais relevante a implementação de uma VPN.
A) Entre um notebook e uma impressora.
B) Entre terminais bancários. 
C) Entre computadores de uma lan house.
D) Entre teclado e computador. 
E) Entre um monitor e um computador. 
2) VPNs são redes virtuais privadas que garantem a integridade e o sigilo dos dados 
transmitidos mediante técnicas de criptografia. É possível implementar uma VPN de três 
formas. Marque a alternativa que indica corretamente quais são essas formas.
A) Tunelamento, autenticação de extremidades e transporte subjacente. 
B) Tunelamento, autenticação de extremidades e criptografia. 
C) Autenticação de extremidades, transporte subjacente e latência. 
D) Autenticação de extremidades, transporte e latência.
E) Empacotamento de datagramas, transporte subjacente e latência.
3) Na implementação de uma VPN, os datagramas são encapsulados em pacotes seguros para 
serem desencriptados no destino. Isso faz com que ocorra demora no tráfego dos pacotes de 
modo geral. Como é conhecido esse tempo em que o datagrama está trafegando pelo 
caminho configurado pela VPN?
A) Sobrecarga.
B) Throughput.
IFSP
Realce
IFSP
Realce
C) Fragmentação.
D) Latência.
E) Transporte.
4) Atualmente, existem diversas tecnologias de firewall, cada uma com diferentes 
funcionalidades que garantem a proteção de uma rede. Como é chamada a tecnologia que 
analisa o tráfego por meio do monitoramento dos cabeçalhos dos pacotes? Marque a 
alternativa correta.
A) Proxy.
B) Filtro de pacotes.
C) Tunelamento.
D) Software de VPN.
E) IDS (Intrusion Detection System).
5) Os sequestros de informações representam grande parcela dos crimes virtuais registrados 
em todo o mundo. Eles ocorrem por diversos motivos, que vão desde o acesso a sites 
duvidosos até um navegador desatualizado. Nesse sentido, cada vez mais se investe em 
segurança da informação, sendo implementados sistemas e metodologias para evitar o 
roubo de dados virtuais. A partir disso, indique a alternativa que define de que forma os 
sistemas de detecção de intrusão agem em uma rede.
A) Monitoram o tráfego dos dados e alertam outros dispositivos e ferramentas sobre ameaças 
potencialmente perigosas. 
B) Filtram os pacotes da rede. 
C) Monitoram o tráfego dos dados e, ao identificarem ameaças, encapsulam os pacotes para 
protegê-los até chegarem a seu destino.
D) Monitoram o tráfego dos dados e bloqueiam ameaças potencialmente perigosas.
E) Monitoram o tráfego da rede, entretanto não alertam outras aplicações sobre possíveis 
ameaças identificadas na rede.
IFSP
Realce
IFSP
Realce
IFSP
Realce
Exercícios
1) A arquitetura de protocolos TCP/IP é dividida em camadas, que são conhecidas como pilha de 
protocolos.
Com relação às camadas de protocolos TCP/IP, avalie as questões a seguir e associe as colunas de 
acordo com as características de cada análise.
Assinale a alternativa que apresenta a associação correta entre as colunas.
A) I – 4; II – 2; III – 3; IV – 2; V – 1.
B) I – 2; II – 4; III – 2; IV – 1; V – 3.
C) I – 1; II – 2; III – 3; IV – 4; V – 1.
D) I – 2; II – 1; III – 4; IV – 3; V – 1.
E) I – 3; II – 4; III – 1; IV – 2; V – 3.
2) 
IFSP
Realce
O modelo de camadas TCP/IP é usado para auxiliar na visualização da interação entre 
diversos protocolos. Além disso, o modelo em camadas possui benefícios ao ser utilizado na 
rede. Em relação aos benefícios do modelo em camadas TCP/IP, analise as afirmações a 
seguir.
I – Possuem um dialeto padrão para descrever funções e habilidades de rede.
II – Modificações tecnológicas realizadas em uma camada comprometem as camadas acima 
e abaixo dela.
III – A concorrência entre os produtos de diferentes fornecedores compromete o trabalho 
em conjunto.
IV – Os protocolos atuam em uma camada específica e possuem informações definidas nas 
quais irão trabalhar.
Assinale a alternativa correta.
A) Apenas as afirmativas I e II estão corretas.
B) Apenas as afirmativas I e IV estão corretas.
C) Apenas as afirmativas II e III estão corretas.
D) Apenas a afirmativa III está correta.
E) As afirmativas I, II, III e IV estão corretas.
A camada de aplicação é composta de protocolos que oferecem funções específicas para as 
aplicações do usuário. Um exemplo são as solicitações de redes dos usuários, como as 
requisições do browser do para o servidor web. 
Em relação aos protocolos que pertencem à camada de aplicação, analise as afirmações a 
seguir:
I – O protocolo FTP (File Transfer Protocol) permite a transferência de e-mails de um servidor 
para outro.
II – O protocolo HTTP (Hipertext Transfer Protocol) é usado para navegação em sites via 
internet e realiza a interação entre um cliente e um servidor web.
III – O protocolo DNS (Domain Name System) traduz os endereços do protocolo IP em nomes 
de domínio.
3) 
IFSP
Realce
IV – O protocolo TELNET (Terminal Virtual) permite a transferência de dados de uma 
máquina para outra.
Assinale a alternativa correta.
A) Apenas as afirmativas I e II estão corretas.
B) Apenas as afirmativas I e IV estão corretas.
C) Apenas as afirmativas II e III estão corretas.
D) Apenas a afirmativa III está correta.
E) As afirmativas I, II, III e IV estão corretas.
4) O TCP/IP, na década de 1970, era apenas para uso militar, em universidades ou em centros 
de pesquisa. Hoje, é referência para a internet e se tornou o protocolo padrão de 
comunicação na rede. 
Considerando o contexto apresentado, avalie as seguintes asserções:
A arquitetura em camadas do TCP/IP é implementada por uma pilha TCP/IP nos 
equipamentos de origem e destino para a transmissão de informações de aplicações por 
meio da rede.
PORQUE
O projeto de protocolos de redes está estruturado para trabalhar com protocolos em 
camadas, facilitando a atualização dos componentes de sistema.
A respeito dessas asserções, assinale a opção correta.
A) As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
B) As asserções I e II são proposições verdadeiras, mas a II não é justificativa da I.
C) A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
D) A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
E) As asserções I e II são proposições falsas.
A camada de transporte recebe as informações dos aplicativos e as envia para a camada 
inferior com a identificação do aplicativo que fez a requisição de acesso e qual aplicação irá 
5) 
IFSP
Realce
IFSP
Realce
receber as informações.
Em relação aos conceitos e protocolosda camada de transporte, assinale a alternativa 
correta.
A) O protocolo TCP (Transmission Control Protocol) faz parte da camada de transporte e 
disponibiliza serviços orientados a conexão pouco confiável para suas aplicações.
B) A camada de transporte é responsável por conduzir as mensagens da camada de rede e 
garante a comunicação entre o cliente e o servidor de uma aplicação.
C) A camada de transporte recebe as informações dos aplicativos de apenas um computador, 
mesmo que vários aplicativos acessem a internet ao mesmo tempo.
D) Tanto o protocolo TCP quanto o protocolo UDP disponibilizam serviços orientados a conexão 
confiável para suas aplicações.
E) O protocolo UDP (User Datagram Protocol) faz parte da camada de transporte e não há 
garantias de as informações serem enviadas corretamente e sem erros.
IFSP
Realce
Exercícios
1) A Intranet é uma rede de computadores que disponibiliza um conjunto de serviços 
semelhante aos da Internet. A diferença entre elas é que a Internet é pública e a Intranet é 
privada.
Qual aplicação ou serviço a seguir deveria utilizar uma rede Internet no lugar de uma 
Intranet?
A) Mural de promoções de uma empresa.
B) Site da empresa.
C) Dados de atendimento ao cliente.
D) Listas de preços.
E) Formulários preenchidos por funcionários de uma empresa.
2) O protocolo NAT (Network Address Translation), é uma técnica que consiste em alterar os 
endereços de IP de origem de um pacote de maneira que um computador de uma rede 
interna tenha acesso ao exterior podendo se comunicar com a Internet.
Na tradução NAT, qual dos elementos a seguir é único para cada host local após a tradução?
A) Endereço de IP válido na Internet.
B) Porta visível na Internet.
C) Taxa de transmissão.
D) Espaço de tempo para transmitir.
E) Endereço de IP válido e porta visível na Internet.
Cabos de fibra óptica são feixes de fios de vidro extremamente puros revestidos em 
camadas de plástico reflexivo. A transmissão é feita por meio de luzes lançadas nas 
extremidades da fibra.
3) 
IFSP
Realce
IFSP
Realce
Cabos de fibra ótica quando comparados a cabos de par trançado têm velocidade, custo e 
distância:
A) maior, maior e maior.
B) maior, menor e maior.
C) maior, maior e menor.
D) menor, menor e maior.
E) menor, menor e menor.
4) O protocolo IPsec é uma extensão do protocolo IP, o qual tem em vista ser um método para 
fornecimento de privacidade e segurança ao usuário.
Qual dos serviços a seguir o administrador de redes de uma empresa que utiliza apenas 
IPsec precisa implementar para aumentar a segurança de sua rede?
A) Codificação de cargas úteis.
B) Acordo criptográfico.
C) Integridade dos dados.
D) Autenticação da origem.
E) Rejeição de pacotes suspeitos.
5) Uma empresa com vários escritórios pode desejar interligar sua Intranet de forma que ela 
seja acessível pelos funcionários de todos os escritórios. Para isso, a empresa deseja alto 
desempenho, sem utilizar uma VPN, ou seja, a empresa não tem interesse em liberar acesso 
para Internet.
Qual tecnologia é a mais indicada para fazer este processo?
A) DSL.
B) DSLAM.
C) FTTH.
D) Wi-Fi.
IFSP
Realce
IFSP
Realce
IFSP
Realce
Exercícios
1) O IDS pode trabalhar de algumas maneiras. Sabendo disso, aponte quais são os seus modos 
de trabalho.
A) Reativa e passiva.
B) Reativa e interativa.
C) Interativa e passiva.
D) Ativa e passiva.
E) Ativa e reativa.
2) Uma das divisões utilizadas para os sistemas de detecção de intrusão é o local de atividade 
destes. Sobre o IDS de rede, qual é o tipo de ferramenta usada a fim de capturar os pacotes?
A) Sniffer.
B) DDoS.
C) Login e senha.
D) NDIS.
E) SPAM.
3) Um IDS é subdividido em algumas frentes. Quantas e quais são as suas divisões?
A) Uma divisão: mau uso.
B) Duas divisões: anomalia e especificação.
C) Três divisões: anomalia, especificação e mau uso.
D) Quatro divisões: criação, anomalia, especificação e mau uso.
E) Cinco divisões: criação, sniffer, anomalia, especificação e mau uso.
IFSP
Realce
IFSP
Realce
IFSP
Realce
4) É importante saber as siglas de cada tipo de IDS. Desse modo, o IDS de rede também é 
conhecido por qual sigla?
A) RIDS.
B) HIDS.
C) NIDS.
D) IIDS.
E) LIDS.
5) Honeypots são alvos controlados em um sistema para entender como os atacantes estão 
agindo sobre ele. Quais são as divisões de honeypots?
A) Produção e anomalias.
B) Pesquisa e testes.
C) Anomalias e pesquisa.
D) Testes e produção.
E) Pesquisa e produção.
IFSP
Realce
IFSP
Realce
Exercícios
1) Vulnerabilidades são encontradas diariamente nos mais diversos sistemas e softwares, tanto 
privados quantto globais. Toda vulnerabilidade descoberta deve ser corrigida?
A) Sim. Sempre é importante corrigir todas as falhas detectadas.
B) Sim, desde que validados os riscos e os custos de correção.
C) Sempre que solicitado pelo usuário do sistema ou pelo gerente de projetos.
D) Nunca para a versão atual; somente em virtude de novas versões, que já saiam de fábrica com 
a vulnerabilidade corrigida.
E) Sim, levando em conta somente os custos envolvidos na atividade de conserto do sistema.
2) O cross-site scripting é bem perigoso e consegue realizar um grande estrago para usuários 
dos sistemas. Ele também é conhecido por qual sigla?
A) CXS.
B) CSS.
C) XSS.
D) ZZS.
E) Nenhuma das alternativa está correta.
3) Qual a importância da validação de dados?
A) Garantir que os dados a serem gravados ou usados pelo sistema estejam corretos e sem 
valores inválidos ou que possam ser interpretados como código-fonte.
B) Ter a certeza de que a acentuação é corretamente empregada.
C) Validar se o endereço informado é realmente do cliente informante.
D) Trabalhar com nomes sem abreviações no sistema.
IFSP
Realce
IFSP
Realce
IFSP
Realce
E) Não tem importância a validação dos dados em um primeiro momento, somente depois que o 
sistema estiver em produção.
4) Qual a é ferramenta do tipo protocol analyser mais conhecida ?
A) Nmap.
B) Whois.
C) Ping.
D) Tcpdump.
E) Telnet.
5) Uma boa forma de realizar ações contra vulnerabilidades são os honeypots. O que são eles?
A) Iscas para invasores não atacarem o sistema real.
B) Vulnerabilidade do sistema.
C) Sistema sem vulnerabilidade.
D) Invasão não sucedida.
E) Invasão bem-sucedida.
IFSP
Realce
IFSP
Realce
Exercícios
1) Existem alguns tipos de vulnerabilidade de inclusão de script no servidor. É possível citar: 
A) Inclusão de arquivo remoto (RFI) — tem se tornado menos comum, pois a maioria das 
instalações PHP não permite, por padrão, que o servidor execute um código hospedado em 
um servidor separado. 
 
Inclusão de arquivo local (LFI) — faz o servidor executar um código injetado que, de outro 
modo, não seria executado (normalmente para um propósito malicioso). 
B) Inclusão de arquivo remoto (RFI) — tem se tornado mais comum, pois a minoria das 
instalações PHP não permite, por padrão, que o servidor execute um código hospedado em 
um servidor separado.
 
Inclusão de arquivo local (LFI) — faz o servidor executar um código injetado que, de mesmo 
modo, seria executado (normalmente para um propósito não malicioso).
C) Inclusão de arquivo remoto (RFI) — tem se tornado menos comum, pois a maioria das 
instalações PHP permite, por padrão, que o servidor execute um código hospedado em um 
servidor separado. 
 
Inclusão de arquivo local (LFI) — faz o servidor executar um código injetado que, de outro 
modo, seria executado (normalmente para um propósito não malicioso). 
D) Inclusão de arquivo remoto (RFI) — tem se tornado mais comum, pois a maioria das 
instalações PHP permite, por padrão, que o servidor execute um código hospedado em um 
servidor separado. 
 
Inclusão de arquivo local (LFI) — faz o servidor executar um código injetado que, de outro 
modo, não seria executado (normalmente para um propósito malicioso). 
Inclusão de arquivo remoto (RFI) — tem se tornado mais comum, pois a maioria das 
instalações PHP permite, por padrão, que o servidor não execute um código hospedadoem 
E) 
IFSP
Realce
IFSP
Realce
IFSP
Realce
um servidor separado. 
 
Inclusão de arquivo local (LFI) — faz o servidor executar um código injetado que, de outro 
modo, seria executado (normalmente para um propósito não malicioso). 
2) A maioria dos ataques de negação de serviço não pode ser executada a partir de uma única 
máquina. Qual tipo de negação de serviço podemos identificar a partir dessa afirmação?
A) Negação de serviço distribuída, utilizando mais de uma máquina atacante.
B) Ataque otimista ACK TCP, utilizando mais de uma máquina atacante. 
C) SYN.
D) Fragle.
E) Smurf, utilizando mais de uma máquina atacante.
3) Sobre sequestro de sessão, pode-se citar algumas técnicas utilizadas. Em relação a essas 
técnicas, assinale a alternativa correta.
A) Brute - Forçando um ID: O invasor nunca teve o conhecimento do intervalo de IDs.
B) Roubando um ID: um invasor irá roubar um ID utilizando sniffing ou outros meios.
C) Cálculo de ID: o invasor tentará adivinhar um ID. Geralmente, ele conhece o intervalo de IDs.
D) Brute - Forçando um ID: roubo de ID utilizando o cálculo de um ID de sessão válido.
E) Roubando um ID: o invasor rouba um ID utilizando cross-site scripting ou malware.
4) O nome Cavalo de Tróia surgiu em alusão ao conto grego, pelo fato desse vírus vir 
escondido dentro de outro programa, como se fosse inofensivo. O que o Cavalo de Tróia faz 
em um computador?
A) Oferece, ao hacker, acesso ao computador vitimado, passando diversos tipos de informações.
B) Técnica utilizada para encontrar fraquezas em um servidor.
C) Ataque que tenta adivinhar senhas relacionadas ao usuário, sabendo um pouco sobre ele.
IFSP
Realce
IFSP
Realce
IFSP
Realce
D) Ataque que aproveita a vulnerabilidade nas comunicações das vítimas.
E) Ataque em que o invasor se passar por outro aparelho ou usuário de uma rede.
5) “É conhecido como uma requisição forjada de sites. Explora a confiança de uma página com 
um usuário específico. Neste ataque, um site malicioso faz com que o usuário execute, sem 
saber, comandos em um terceiro site, que ele confia”. Em relação a essa afirmação, assinale a 
alternativa correta.
A) Ataques a clientes, cross-site request forgery.
B) Ataques a servidores, cross-site request forgery.
C) Ataques a clientes, cross-site scripting.
D) Ataques a servidores, cross-site scripting.
E) Ataques a clientes, sequestro de clique.
IFSP
Realce
Exercícios
1) Pentest também é considerado:
A) testes de desenvolvimento.
B) testes de acesso.
C) testes de intrusão.
D) testes de atividade.
E) testes de aceitação.
2) Um Pentest pode ser direcionado a quais alvos?
A) Somente a sistemas.
B) A qualquer alvo.
C) Somente a redes de computadores.
D) A qualquer alvo, exceto sistemas.
E) A redes de computadores e sistemas.
3) Sobre a certificação Ethical Hacker, qual é a alternativa correta?
A) A taxa mínima de acerto na prova é de 85%. 
B) Para tirar a certificação, é pré-requisito ser aprovado na certificação em sniffing de rede.
C) O conteúdo da prova não compreende hackeamento de redes sem fio. 
D) A certificação inclui os tópicos hackeando redes sem fio, penetração de sistemas e hackeando 
plataforma Web.
E) A prova é realizada anualmente na sede do Exin. 
IFSP
Realce
IFSP
Realce
IFSP
Realce
4) Quais são os tipos disponíveis de Pentest?
A) Black Box.
B) Black Box e Blue Box.
C) Black Box e White Box.
D) White Box e Blue Box.
E) Blue Box.
5) O que ocorre na fase de reconhecimento do Pentest?
A) Reconhecer as falhas do alvo.
B) Levantamento do máximo de informações sobre a empresa que será analisada.
C) Criar o cenário para o cliente dar o aceite nos testes.
D) Iniciar efetivamente os testes.
E) Gerar os relatórios finais dos testes.
IFSP
Realce
IFSP
Realce
Exercícios
1) A ISO 27001 é dividida em 11 seções, sendo elas:
A) introdução, escopo, referência normativa, termos e definições, contexto da organização, 
liderança, planejamento, apoio, operação, avaliação do desempenho, melhoria e anexo B.
B) introdução, referência normativa, termos e definições, contexto da organização, liderança, 
planejamento, apoio, operação, avaliação do desempenho, melhoria, anexo e anexo A.
C) introdução, escopo, referência bibliográfica, termos e definições, contexto da organização, 
liderança, planejamento, apoio, operação, avaliação do desempenho, melhoria e anexo A.
D) introdução, escopo, referência normativa, termos e definições, contexto da organização, líder, 
planejamento, apoio, operação, avaliação do desempenho, melhoria e anexo A.
E) introdução, escopo, referência normativa, termos e definições, contexto da organização, 
liderança, planejamento, apoio, operação, avaliação do desempenho, melhoria e anexo A.
2) Assinale a alternativa que melhor descreve o objetivo da ISO 27001.
A) Disponibilizar um conjunto de requisitos, processos e controles à segurança da informação, 
diminuindo os seus riscos.
B) Compartilhar um conjunto de requisitos, processos e controles à segurança da informação, 
diminuindo os seus riscos.
C) Disponibilizar um conjunto objetos, processos e controles à segurança da informação, 
diminuindo os seus riscos.
D) Disponibilizar um conjunto de requisitos, processos verificando os seus riscos.
E) Disponibilizar um conjunto de requisitos, processos e falta de controles à segurança da 
informação.
3) A norma 27001 é internacional e publicada pela: 
A) International Start Organization (ISO).
IFSP
Realce
IFSP
Realce
B) International Standardization Organization (ISO).
C) International Save Organization (ISO).
D) Internal Start Organization (ISO).
E) Internal Security Organization (ISO).
4) Assinale a alternativa que apresenta um dos benefícios da ISO 27001 para as organizações.
A) Obtenção de vantagem de Marketing: existem cada vez mais leis, regulamentações e 
requisitos contratuais relacionados à segurança da informação, e a metologia da ISO 27001 
está em conformidade com todos esses requisitos.
B) Conformidade com requisitos legais: o principal objetivo da ISO 27001 é prevenir incidentes 
de segurança. Ao prevenir incidentes, a empresa economizará o valor significativo.
C) Melhor organização: se sua organização obtém a certificação, e seus competidores não, ela 
terá vantagem sobre eles na visão de clientes sensíveis à questão de segurança das 
informações.
D) Redução decustos: se sua organização obtém a certificação, e seus competidores não, ela terá 
vantagem sobre eles na visão de clientes sensíveis à questão de segurança das informações.
E) Conformidade com requisitos legais: há cada vez mais leis, regulamentações e requisitos 
contratuais relacionados à segurança da informação, e a metologia da ISO 27001 está em 
conformidade com todos esses requisitos.
5) A certificação para ISO 27001 pode ser retirada de duas formas. Quais são elas?
A) Certificação individual e certificação para organizações.
B) Certificação própria e certificação para organizações.
C) Certificação para gestores e certificação para empregados.
D) Certificação para estudantes e certificação para TI.
E) Certificação individual e certificação para gestores.
IFSP
Realce
IFSP
Realce
IFSP
Realce
Exercícios
1) Conforme Fontes (2008), devem-se considerar algumas etapas para elaborar política de 
segurança. Assinale a alternativa que apresenta tais fases corretamente.
A) Inicialização do projeto; desenvolvimento; comunicação e treinamento do produto; definição 
dos processos de manutenção e atualização.
B) Início do projeto; desenvolvimento; entrega, comunicação e treinamento do produto; 
definição dos processos.
C) Inicialização do projeto; entrega, comunicação e treinamento do produto; definição dos 
processos de manutenção e atualização.
D) Inicialização do projeto; desenvolvimento; entrega, comunicação e treinamento do produto; 
definição dos processos de manutenção e atualização.
E) Inicialização do projeto; desenvolvimento; entrega do produto; definição dos processos de 
manutenção e atualização.
2) Em relaçãoà gerência de confiança, é possível citar conceitos como:
Ações: operações com consequências relacionadas à segurança do sistema.
Política: regras escritas precisamente que determinam as principais autorizadas e quais 
ações realizar.
Quais são os outros dois conceitos que faltam?
A) Principais: usuários, processos ou outras entidades que podem realizar ações no sistema; 
credenciais: documentos assinados digitalmente que associam as identidades principais a 
ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a 
outros principais.
B) Princípios: usuários, processos ou outras entidades que podem realizar ações no sistema; 
credenciais: documentos assinados digitalmente que associam as identidades principais a 
ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a 
outros principais.
IFSP
Realce
IFSP
Realce
C) Principais: usuários, processos ou outras entidades que podem realizar ações no sistema; 
acessibilidade: documentos assinados digitalmente que associam as identidades principais a 
ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a 
outros principais.
D) Principais: documentos assinados digitalmente que associam as identidades principais a ações 
permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros 
principais; credenciais: usuários, processos ou outras entidades que podem realizar ações no 
sistema.
E) Principais: gerentes, processos ou outras entidades que podem realizar ações no sistema; 
credenciais: assinatura virtual que associa as identidades principais a ações permitidas, 
incluindo a autoridade de permitir que principais deleguem autoridade a outros principais.
3) A política de segurança da informação é o pilar da eficácia da segurança da informação. 
Sobre seu conceito, assinale a alternativa correta.
A) A política de segurança da informação é um manual de procedimentos que descreve como os 
recursos de TI da empresa devem manter privilégios e serem utilizados. Se não existirem 
regras preestabelecidas, a segurança desejada se torna inconsistente e inúmeras 
vulnerabilidades podem surgir.
B) A política de segurança da informação é basicamente um manual de procedimentos que 
descreve como os recursos de TI da empresa devem ser protegidos e utilizados. Se não 
existirem regras preestabelecidas, a segurança desejada se torna inconsistente e inúmeras 
vulnerabilidades podem surgir.
C) A política de segurança da informação é apenas um manual de procedimentos que descreve 
como os recursos da empresa devem ser protegidos e utilizados. Se não existirem regras 
preestabelecidas, a segurança desejada se torna inconsistente e inúmeras vulnerabilidades 
podem surgir.
D) A política de segurança da informação é basicamente um manual de procedimentos que 
descreve como os recursos de TI da empresa não devem ser protegidos.
E) A política de segurança da informação é basicamente um manual de procedimentos que 
descreve como os recursos de TI da empresa devem ser protegidos e utilizados. Se existirem 
regras preestabelecidas, a segurança desejada se torna inconsistente e inúmeras 
vulnerabilidades não irão surgir.
4) 
IFSP
Realce
Um sistema de gerenciamento de confiança consiste em dois componentes principais: 
linguagem de política e verificador de conformidade. Assinale a alternativa que melhor 
define o KeyNote.
A) O sistema KeyNote é um software que especifica termos de política de segurança da 
informação. Além de implementar esses itens definidos, também indica uma aplicação como 
sendo programa ou sistema que usa KeyNote.
B) O sistema KeyNote é uma linguagem que especifica termos de TI. Além de implementar os 
termos definidos, também indica uma aplicação como sendo programa ou sistema que usa 
KeyNote.
C) O sistema KeyNote é uma linguagem que especifica termos de política de segurança da 
informação. Além de implementar os termos definidos, também indica uma aplicação como 
sendo programa ou sistema que usa KeyNote.
D) O sistema KeyNote é uma linguagem que especifica apenas termos de política de segurança 
da informação.
E) O sistema KeyNote é um software que implementa os termos de TI e também define uma 
aplicação como sendo programa ou sistema que usa KeyNote.
5) A política de segurança da informação tem como objetivo proteger os pilares da segurança 
da informação. Quais são esses pilares?
A) Seguridade, integridade e disponibilidade.
B) Confidencialidade, integralidade e disponibilidade.
C) Confidencialidade, seguridade e disposição.
D) Confidencialidade, integridade e disposição de arquivos.
E) Confidencialidade, integridade e disponibilidade.
IFSP
Realce
IFSP
Realce
Exercícios
1) Quanto às principais formas de ataque, assinale a alternativa correta a respeito do 
Distributed Denial of Service:
A) É um ataque voltado para a Internet das Coisas; é também conhecido como ataque de 
navegação de serviço.
B) É um malware que criptografa informações; é também conhecido como ataque de navegação 
de serviço.
C) É um ataque que se utiliza da vulnerabilidade de BYOD; é também conhecido como ataque 
de navegação.
D) É um ataque cujos invasores se utilizam da engenharia social; é também conhecido como 
ataque de navegação.
E) É um ataque que utiliza máquinas zumbis; é também conhecido como ataque de navegação 
de serviço.
2) Sobre firewall, é correto afirmar que:
A) Firewall é um software de proteção contra vírus, ou seja, um antivírus.
B) Firewall é um software que não funciona como barreira à qualquer tipo de conteúdo.
C) O firewall pode ser implementado somente por meio de hardware.
D) O firewall pode ser implementado apenas por aplicativo.
E) O firewall pode ser implementado por meio de aplicativo e de hardaware. Ele funciona como 
barreira a conteúdos maliciosos.
3) Assinale a alternativa correta a respeito da segurança EndPoint.
A) Consiste em proteger o nó de cada extremidade de uma rede contra ataques e invasões.
B) Consiste em proteger o nó de cada extremidade de uma rede contra ataques e invasões, 
como, por exemplo, o firewall.
IFSP
Realce
IFSP
Realce
IFSP
Realce
C) É um software que protege a rede.
D) É um software de proteção contra ataques maliciosos, protegendo a rede como um antivírus.
E) É um software de proteção contra ataques maliciosos.
4) Assinale a alternativa correta a respeito dos ataques autenticados.
A) São ataques que têm como finalidade acessar a conta do administrador da rede, um software 
ou um servidor.
B) É um ataque também conhecido como ataque de usuários comuns.
C) É um ataque em que o invasor tentará apenas acessar a rede por usuários comuns, a fim de 
invadir toda rede da empresa.
D) É um ataque que permite ao invasor acessar a rede apenas de forma presencial.
E) É uma forma de descobrir e de explorar falhas de segurança, tendo acesso a uma conta de 
usuário comum.
5) Para evitar ataques autenticados e não autenticados, é possível fazer:
A) o bloqueio de contas, após certa quantidade de tentativas de acesso, e a desinstalação do 
antivírus.
B) o bloqueio de contas, após certa quantidade de tentativas de acesso, e a configuração da 
segurança do nível de senha.
C) a auditoria, o event log e a não padronização da segurança do nível de senha.
D) a auditoria, não bloqueando usuários após certa quantidade de tentativas de acesso.
E) o event log e a desconfiguração do firewall.
IFSP
Realce
IFSP
Realce
Exercícios
1) Sobre a diferença entre uma análise estática e uma análise dinâmica, em relação ao antivírus, 
assinale a alternativa correta.
A) Na análise estática, as definições de antivírus são atualizadas regularmente à medida que 
novos malwares são identificados pelos fornecedores. Já a análise dinâmica traz soluções mais 
sofisticadas de antivírus que também testam atividades maliciosas.
B) Na análise dinâmica, as definições de antivírus são atualizadas regularmente à medida que 
novos malwares são identificados pelos fornecedores. Jáa análise estática traz soluções mais 
sofisticadas de antivírus que também testam atividades maliciosas.
C) Na análise estática, as definições de antivírus são atualizadas regularmente à medida que 
novos spams são identificados pelos fornecedores. Já a análise dinâmica traz soluções mais 
sofisticadas de antivírus que também testam atividades maliciosas.
D) Na análise estática, as definições de antivírus são atualizadas regularmente à medida que 
novos malwares são identificados pelos usuários. Já a análise dinâmica traz soluções mais 
comuns de antivírus que também testam atividades maliciosas.
E) Na análise dinâmica, as definições de antivírus são atualizadas regularmente à medida que 
novos spams são identificados pelos fornecedores. Já a análise estática traz soluções mais 
comuns de antivírus que também testam atividades maliciosas.
2) Sobre os métodos de antispam, aponte a alternativa que os indica corretamente.
A) Lista negra, lista branca e filtragem de conteúdo.
B) Lista negra, lista cinza e filtragem de conteúdo.
C) Lista cinza, lista branca e filtragem de conteúdo.
D) Lista negra, antivírus e filtragem de conteúdo.
E) Lista cinza, antivírus e lista negra.
3) Em relação às quatro fases de um vírus, assinale a alternativa que contenha a descrição 
correta.
IFSP
Realce
IFSP
Realce
A) Fase dormente: o vírus é replicado.
B) Fase de ativação: o vírus apenas existe.
C) Fase de ação: o vírus realiza a ação maliciosa para qual ele foi concebido.
D) Fase de propagação: o vírus está em funcionamento com seus objetivos.
E) Fase de ativação: o vírus realiza a ação maliciosa.
4) Sobre antivírus corporativo, assinale a alternativa correta.
A) Antivírus corporativos são diferentes dos antivírus para uso pessoal, pois existe uma 
quantidade simbólica de utilização (por usuário), deve-se pagar uma licença de aquisição por 
uso e têm uma execução descentralizada.
B) Antivírus corporativos são diferentes dos antivírus para uso pessoal, pois existe uma 
quantidade elevada de utilização (por usuário), pode-se ou não pagar uma licença de aquisição 
por uso e têm uma execução descentralizada.
C) Antivírus corporativos são diferentes dos antivírus para uso pessoal, pois existe uma 
quantidade elevada de utilização (por usuário), deve-se pagar uma licença de aquisição por 
uso e têm uma execução centralizada.
D) Antivírus corporativos são iguais aos antivírus para uso pessoal, pois existe a mesma 
quantidade elevada de utilização (por usuário), deve-se pagar uma licença de aquisição por 
uso e têm uma execução descentralizada.
E) Antivírus corporativos são diferentes dos antivírus para uso pessoal, pois existe uma 
quantidade elevada de utilização (por usuário), deve-se pagar uma licença de aquisição por 
uso e têm uma execução descentralizada.
5) Sobre a quarentena do antispam, assinale a alternativa correta.
A) Normalmente, vão para quarentena os e-mails que são identificados como spams, mas nunca 
os e-mails legítimos.
B) Normalmente, vão para quarentena os e-mails que não são identificados como spams. 
Também podem ir e-mails legítimos considerados como spams por engano.
C) Normalmente, vão para quarentena os e-mails que são identificados como spams. Também 
podem ir e-mails legítimos considerados como spams por engano.
IFSP
Realce
IFSP
Realce
IFSP
Realce
Exercícios
1) Com o crescente número de usuários na web, cada vez mais surgem criminosos que tentam 
tirar proveito da situação para roubar alguma informação, utilizando-se de conversas falsas, 
links mal-intencionados, mensagens fraudulentas, spam e malwares. Ao observar os variados 
os problemas de segurança que podem ocorrer na internet, qual das alternativas é a que 
descreve corretamente uma ameaça? 
A) Força Bruta: ocorre quando alguém busca adivinhar, por tentativa e erro, um nome de usuário 
e senha para ter acesso aos seus privilégios, em sites, computadores ou serviços.
B) Misrepresentation: acontece quando se tem a intenção de adquirir dados pessoais, como 
dados bancários e senhas, imitando um site confiável ou conhecidos.
C) Phishing: acontece quando um intruso obtém o controle do computador de um usuário e o 
utiliza para cometer um crime.
D) Perda do Controle: quando um computador é utilizado para tirar de operação um serviço, um 
site da Internet ou uma rede conectada à Internet, sendo um ataque realizado principalmente 
para impedir ou dificultar atividades de negócios e comércio.
E) E-mail Spoofing: consiste em uma técnica onde o atacante enche a caixa de entrada do 
usuário com e-mails aleatórios e falsos.
2) Uma política de segurança da informação deve prever a proteção de dados de uma 
organização tanto quanto as organizações protegem o acesso aos seus recursos físicos, por 
exemplo, a entrada em suas dependências. Sabendo que uma organização pode definir 
diversas políticas que compreendem a segurança de seus dados, marque a alternativa que 
colabora com a política de identificação dos privilégios dos usuários em uma rede de dados.
A) Política de acesso à Internet.
B) Política de autenticação.
C) Política de compartilhamento de dados.
D) Política de monitoração.
E) Política de postura e prática.
IFSP
Realce
IFSP
Realce
3) Em se tratando de uma rede de dados, é possível que as mensagens trafegadas entre os 
dispositivos de uma rede sejam interceptadas por espiões, ocasionando o acesso indevido ou 
até a modificação dessas mensagens. Em relação às técnicas existentes nas políticas de 
segurança, identifique a que tem relação com a garantia de que uma mensagem chegou 
íntegra e sem modificação intencional ao seu destinatário.
A) Bits de paridade.
B) Checksum.
C) Código de Hamming.
D) CRC.
E) Hashing.
4) Uma das técnicas mais utilizadas para garantir a privacidade e a integridade dos dados 
trafegados em uma rede é a criptografia. Por meio da criptografia, as mensagens são 
embaralhadas de modo que apenas o destinatário consiga decifrar algo que foi enviado por 
um determinado remetente. Com base nos padrões de criptografia existentes, identifique 
aquele em que o sistema utiliza um par de chaves, que são utilizadas tanto pelo remente 
quanto pelo destinatário, para cifrar e decifrar as mensagens que são trocadas em uma rede.
A) Criptografia de chave dupla.
B) Criptografia de chave individual.
C) Criptografia de chave privada.
D) Criptografia de chave pública.
E) Criptografia de chave única.
5) Um certificado digital atua na confirmação de que determinado agente de comunicação, seja 
um remente ou um destinatário, é realmente quem ele afirma que é. Sabendo que um 
certificado digital utiliza métodos de criptografia, marque a alternativa que representa como 
um remetente deve conseguir a chave pública de um destinatário de maneira confiável.
A) O remente obtém a chave pública de um destinatário por meio de uma autoridade de chaves 
(autoridade certificadora – AC).
IFSP
Realce
IFSP
Realce
IFSP
Realce
Exercícios
1) O método criptográfico, também conhecido como criptografia de chave secreta ou única, 
utiliza uma mesma chave tanto para codificar como para decodificar informações, sendo 
usada principalmente para garantir a confidencialidade dos dados. Essas características 
referem-se a qual método criptográfico? 
A) Criptografia assimétrica.
B) Criptografia dessimétrica.
C) Criptografia simétrica.
D) Criptografia RSA.
E) Criptografia DSA.
2) Um dos principais conceitos envolvidos em criptografia é o uso de chaves. Essas chaves 
podem ser de diferentes tipos, e no uso de criptografia assimétrica a chave a ser utilizada 
para codificação depende da proteção que se deseja: confidencialidade ou autenticação, 
integridade e não repúdio. Identifique nas alternativas abaixo quais os tipos de chaves que 
são utilizados na criptografia assimétrica. 
A) Chaves pública e privada.
B) Somente chave secreta.
C) Chave secreta e pública.
D) Somente chave privada.
E) Chave privada e secreta.
3) Sobre o método de chave simétrica adotado pelo governo dos Estados Unidos, suafunção 
tem quatro componentes: permutação por expansão, operação XOR, S-boxes e Permutação 
direta. Qual das cifras modernas possui essas características? 
A) S-box.
IFSP
Realce
IFSP
Realce
B) P-box.
C) AES.
D) DES.
E) XOR.
4) O modo assimétrico utiliza duas chaves criptográficas: uma privada e uma pública. O modo 
de criptografia assimétrico baseia-se em dois principais algoritmos, que são: 
A) AES e Blowfish.
B) RC4 e 3DES.
C) RSA e Diffie-Hellman.
D) Diffie-Hellman e Blowfish.
E) RSA e AES.
5) Qual o principal algoritmo assimétrico usado em assinaturas digitais e outros criptossistemas 
que normalmente precisam criptografar uma pequena mensagem sem ter acesso a uma 
chave simétrica e em que também é usada autenticação? 
A) RSA.
B) Diffie-Hellman.
C) Blowfish.
D) CAST-128.
E) RC5.
IFSP
Realce
IFSP
Realce
IFSP
Realce