Baixe o app para aproveitar ainda mais
Prévia do material em texto
Avaliação: CCT0185_AV_» GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV Aluno: 2011 Professor: RENATO DOS PASSOS GUIMARAES Turma: 9001/AA Nota da Prova: 3,6 Nota de Partic.: 1 Data: 13/11/2013 13:12:10 1a Questão (Ref.: 201101181064) Pontos: 0,8 / 0,8 Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das opções abaixo Não representa um destes passos? Obtenção de Acesso Levantamento das Informações Camuflagem das Evidências Divulgação do Ataque Exploração das Informações 2a Questão (Ref.: 201101184066) Pontos: 0,0 / 0,8 Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de ¿Ativo de Informação¿? São aqueles que constroem, dão acesso, transmitem ou armazenam informações. São aqueles que produzem, processam, transmitem ou armazenam informações. São aqueles que organizam, processam, publicam ou destroem informações. São aqueles que produzem, processam, reúnem ou expõem informações. São aqueles tratam, administram, isolam ou armazenam informações. 3a Questão (Ref.: 201101261732) Pontos: 0,8 / 0,8 Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança é um aspecto importante na identificação de medidas adequadas de segurança. Qual a diferença entre análise de vulnerabilidade, teste de vulnerabilidade e pesquisa de vulnerabilidade? Resposta: Análise de Vulnernabilidade: onde analista realiza algumas análises e verifica quais são os risco que a empresa está tendo naquele momento e cria normas de segurança para empresa para que seja evitado os ataques. Teste de Vulnerabilidade: O analista aplica na empresa as normas de controle de segurança pré definidas pela "Política de Segurança de Informação", assim sendo verificado se a empresa está aplicando as diretrizes corretamente. Pesquisa de Vulnerabilidade: O analista tenta encontrar alguma brecha que a empresa possua, onde algum invasor pode entrar no sistema. Gabarito: Análise vulnerabilidade: Verificar a existência de falhas de segurança no ambiente de TI das empresas. Teste de vulnerabilidade: Determinação de que falhas de segurança podem ser aplicadas à máquina ou rede alvo. Pesquisa de vulnerabilidade: Significa descobrir as falhas e deficiência em um produto ou aplicação que podem comprometer a segurança. 4a Questão (Ref.: 201101181093) Pontos: 0,8 / 0,8 Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes? Diretrizes. Relatório Estratégico. Manuais. Normas. Procedimentos. 5a Questão (Ref.: 201101184218) Pontos: 0,0 / 0,8 Qual das opções abaixo completa a sentença: ¿Quanto maior a probabilidade de uma determinada ameaça ocorrer e o impacto que ela trará, maior será _________.¿ O risco associado a ameaça. O risco associado a este incidente. A Vulnerabilidade do Ativo. A Vulnerabilidade do Risco. O valor do Impacto. 6a Questão (Ref.: 201101261762) Pontos: 0,0 / 0,8 Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar : Um filtro de pacotes Um firewall com estado Um servidor proxy Um roteador de borda Um detector de intrusão 7a Questão (Ref.: 201101261756) Pontos: 0,8 / 0,8 Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? ligado diretamente no roteador de borda na Zona Desmilitarizada (DMZ) suja na Zona Desmilitarizada (DMZ) protegida na rede interna da organização em uma subrede interna protegida por um proxy 8a Questão (Ref.: 201101181033) Pontos: 0,0 / 0,8 A empresa ABC está desenvolvendo um política de segurança da Informação e uma de suas maiores preocupações é com as informações críticas e sigilosas da empresa. Como estas informações impressas em papel serão descartadas. Qual o tipo de ataque está preocupando a empresa ABC? SYN Flooding Fraggle Phishing Scan Dumpster diving ou trashing Smurf 9a Questão (Ref.: 201101181023) DESCARTADA Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de Smurf Fraggle Buffer Overflow SQL Injection Fragmentação de Pacotes IP 10a Questão (Ref.: 201101261738) Pontos: 0,4 / 0,8 Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque de Buffer Overflow? Resposta: O SQL injection é um tipo de ataque que explora falhas de sistemas através de ineção de sql através de querys Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados. 11a Questão (Ref.: 201101184247) Pontos: 0,0 / 0,8 Quando uma informação é classificada como aquela que é interna, restrita a um grupo seleto dentro da organização. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro, sendo vital para a companhia podemos então afirmar que ela possui qual nível de segurança? Pública. Secreta. Proibida. Confidencial. Interna. Período de não visualização da prova: desde 04/11/2013 até 22/11/2013.
Compartilhar