av-2013
4 pág.

av-2013

Disciplina:Gestão de Segurança da Informação1.519 materiais26.321 seguidores
Pré-visualização1 página
Avaliação: CCT0185_AV_» GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Tipo de Avaliação: AV

Aluno: 2011

Professor: RENATO DOS PASSOS GUIMARAES Turma: 9001/AA

Nota da Prova: 3,6 Nota de Partic.: 1 Data: 13/11/2013 13:12:10

 1a Questão (Ref.: 201101181064)
 Pontos: 0,8 / 0,8

Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das opções abaixo Não representa um destes passos?

Obtenção de Acesso

Levantamento das Informações

Camuflagem das Evidências

Divulgação do Ataque

Exploração das Informações

 2a Questão (Ref.: 201101184066)
 Pontos: 0,0 / 0,8

Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de ¿Ativo de Informação¿?

São aqueles que constroem, dão acesso, transmitem ou armazenam informações.

São aqueles que produzem, processam, transmitem ou armazenam informações.

São aqueles que organizam, processam, publicam ou destroem informações.

São aqueles que produzem, processam, reúnem ou expõem informações.

São aqueles tratam, administram, isolam ou armazenam informações.

 3a Questão (Ref.: 201101261732)
 Pontos: 0,8 / 0,8

Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança é um aspecto importante na identificação de medidas adequadas de segurança. Qual a diferença entre análise
de vulnerabilidade, teste de vulnerabilidade e pesquisa de vulnerabilidade?

Resposta: Análise de Vulnernabilidade: onde analista realiza algumas análises e verifica quais são os risco que a empresa está tendo naquele momento e cria normas de segurança para empresa para que seja
evitado os ataques. Teste de Vulnerabilidade: O analista aplica na empresa as normas de controle de segurança pré definidas pela "Política de Segurança de Informação", assim sendo verificado se a empresa está
aplicando as diretrizes corretamente. Pesquisa de Vulnerabilidade: O analista tenta encontrar alguma brecha que a empresa possua, onde algum invasor pode entrar no sistema.

Gabarito: Análise vulnerabilidade: Verificar a existência de falhas de segurança no ambiente de TI das empresas. Teste de vulnerabilidade: Determinação de que falhas de segurança podem ser aplicadas à
máquina ou rede alvo. Pesquisa de vulnerabilidade: Significa descobrir as falhas e deficiência em um produto ou aplicação que podem comprometer a segurança.

 4a Questão (Ref.: 201101181093)
 Pontos: 0,8 / 0,8

Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados

para alcançar a estratégia definida nas diretrizes?

Diretrizes.

Relatório Estratégico.

Manuais.

Normas.

Procedimentos.

 5a Questão (Ref.: 201101184218)
 Pontos: 0,0 / 0,8

Qual das opções abaixo completa a sentença: ¿Quanto maior a probabilidade de uma determinada ameaça ocorrer e o impacto que ela trará, maior será _________.¿

O risco associado a ameaça.

O risco associado a este incidente.

A Vulnerabilidade do Ativo.

A Vulnerabilidade do Risco.

O valor do Impacto.

 6a Questão (Ref.: 201101261762)
 Pontos: 0,0 / 0,8

Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os
hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar :

Um filtro de pacotes

Um firewall com estado

Um servidor proxy

Um roteador de borda

Um detector de intrusão

 7a Questão (Ref.: 201101261756)
 Pontos: 0,8 / 0,8

Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus
clientes. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança?

ligado diretamente no roteador de borda

na Zona Desmilitarizada (DMZ) suja

na Zona Desmilitarizada (DMZ) protegida

na rede interna da organização

em uma subrede interna protegida por um proxy

 8a Questão (Ref.: 201101181033)
 Pontos: 0,0 / 0,8

A empresa ABC está desenvolvendo um política de segurança da Informação e uma de suas maiores preocupações é com as informações críticas e sigilosas da empresa. Como estas informações impressas em
papel serão descartadas. Qual o tipo de ataque está preocupando a empresa ABC?

SYN Flooding

Fraggle

Phishing Scan

Dumpster diving ou trashing

Smurf

 9a Questão (Ref.: 201101181023)
 DESCARTADA

Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de
dados de cadastro do cliente. Neste caso, foi utilizado um ataque de

Smurf

Fraggle

Buffer Overflow

SQL Injection

Fragmentação de Pacotes IP

 10a Questão (Ref.: 201101261738)
 Pontos: 0,4 / 0,8

Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque de Buffer Overflow?

Resposta: O SQL injection é um tipo de ataque que explora falhas de sistemas através de ineção de sql através de querys

Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante
consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um
programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados.

 11a Questão (Ref.: 201101184247)
 Pontos: 0,0 / 0,8

Quando uma informação é classificada como aquela que é interna, restrita a um grupo seleto dentro da organização. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro,
sendo vital para a companhia podemos então afirmar que ela possui qual nível de segurança?

Pública.

Secreta.

Proibida.

Confidencial.

Interna.

Período de não visualização da prova: desde 04/11/2013 até 22/11/2013.