pack de questões arquitetura de Sistemas distribuídos

Prévia do material em texto

Avaliação On-Line
Avaliação: AV2-2012.1 EAD-GESTÃO DE SEGURANÇA DA INFORMAÇÃO-CCT0185
Disciplina: CCT0185 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV2
Aluno: 201001509341 - RAPHAEL DA SILVA ROMA
Nota da Prova: 5.5 Nota do Trabalho: Nota da Participação: 0 Total: 5,5
Prova On-Line
Questão: 1 (127717) 
As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos 
por meio da exploração de vulnerabilidades . As ameaças inconscientes, quase sempre causadas pelo 
desconhecimento poderão ser classificadas como:
 Pontos da Questão: 1
Voluntárias.
Naturais.
Ocasionais.
 Involuntárias.
Inconseqüentes.
Questão: 2 (137617) 
Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o 
grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua 
capacidade de gerar efeitos adversos na organização são consideradas: Pontos da Questão: 0,5
Medidas Preventivas
Medidas Corretivas e Reativas 
Métodos Quantitativos
Métodos Detectivos
Medidas Perceptivas
Questão: AV22011CCT018505191 (137539)
3 - Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo Fraggle e do 
tipo Smurf. Pontos da Questão: 1,5
Resposta do Aluno:
Gabarito:
(pontuar 0,75 por cada resposta )Um ataque do tipo Fraggle consitem no envio de um excessivo número de 
pacotes PING para o domínio de broadcast da rede, tendo como endereço IP de origem, a vítima desejada. 
Dessa forma todos os hosts do domínio de broadcast irão responder para o endereço IP da vítima, que foi 
mascarado pelo atacante, ficando desabilitada de suas funções normais. Já um ataque do tipo smurf é idêntico 
ao atque Fraggle, alterando apenas o fato que utiliza-se de pacotes do protocolo UDP.
Fundamentação do Professor:
Pontos do Aluno: 0
Questão: 4 (137442) 
A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de 
informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi 
utilizado um ataque de: Pontos da Questão: 1
Página 1 de 3Visualização de Prova
02/07/2012https://sia.estacio.br/portal/prt0010a.asp?p1=3773886&p2=10108&p3=1135304
SQL Injection 
Smurf
Fragmentação de Pacotes IP 
Fraggle
Buffer Overflow
Questão: AV22011CCT018505181 (137609)
5 - No contexto da segurança da informação , defina os conceitos de Ativo, Vulnerabilidade e Ameaça. 
 Pontos da Questão: 1,5
Resposta do Aluno:
Ativo é tudo que tem valor para organização. Vulnerabilidade é algo ou situação que expõe um ativo da 
organização a uma ameaça, deixando este ativo como alvo de uma exploração do atacante. Ameaça é alguma 
ação ou medida que pode que pode ser explorada e trazer prejuízo ou dano para a organização.
Gabarito:
Ativo: qualquer coisa que tenha valor para a organização.Vulnerabilidade: A ausência de um mecanismo de 
proteção ou falhas em um mecanismo de proteção existente. Ameaça: Evento que tem potencial em si próprio 
para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos 
decorrentes de situações inesperadas. 
Fundamentação do Professor:
Pontos do Aluno: 1,5
Questão: 6 (137583) 
Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções 
abaixo Não representa um destes tipos de ataques? Pontos da Questão: 0,5
Ataque á Aplicação 
Ataque para Obtenção de Informações
Ataques Genéricos
Ataque de Configuração mal feita
Ataque aos Sistemas Operacionais
Questão: 7 (137500) 
Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? 
 Pontos da Questão: 0,5
ISO/IEC 27003
ISO/IEC 27002
ISO/IEC 27004
ISO/IEC 27001
ISO/IEC 27005
Questão: 8 (127671) 
Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar 
no estudo e implementação de um processo de gestão de segurança em uma organização: 
 Pontos da Questão: 0,5
 Intensidade.
Ameaça.
Vulnerabilidade.
Página 2 de 3Visualização de Prova
02/07/2012https://sia.estacio.br/portal/prt0010a.asp?p1=3773886&p2=10108&p3=1135304
 Risco.
 Impacto .
Questão: 9 (137486) 
Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a 
organização certificada: Pontos da Questão: 0,5
implementou um sistema para gerência da segurança da informação de acordo com os desejos de 
segurança dos funcionários e padrões comerciais.
implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores 
práticas de segurança reconhecidas no mercado.
implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais 
das empresas de TI.
implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado.
implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos 
de segurança dos Gerentes de TI.
Questão: 10 (127711) 
O Exploit é um termo muito utilizado em segurança da informação. Qual das opções abaixo descreve o que 
conceito de um Exploit ? 
 Pontos da Questão: 0,5
Um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das 
ameaças de um sistema computacional.
Um programa de computador, uma porção de dados ou uma sequência de comandos para reduzir as 
ameaças de um sistema computacional.
 Um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das 
vulnerabilidades de um sistema computacional.
 Um programa de computador, uma porção de dados ou uma sequência de comandos que implementa 
vulnerabilidades em um sistema computacional.
Um programa de computador, uma porção de dados ou uma sequência de comandos que deve ser 
amplamente utilizado em um sistema computacional.
Fechar 
Server IP : 192.168.10.139 Client IP: 187.67.226.236 Tempo de execução da página : 1,125
Página 3 de 3Visualização de Prova
02/07/2012https://sia.estacio.br/portal/prt0010a.asp?p1=3773886&p2=10108&p3=1135304
Avaliação On-Line 
Avaliação: AV2-2012.1 EAD-GESTÃO DE SEGURANÇA DA INFORMAÇÃO-CCT0185 
Disciplina: CCT0185 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV2 
Aluno: 201002155088 - WALLACE SILVA MORAIS 
Nota da Prova: 4.5 Nota do Trabalho: Nota da Participação: 2 Total: 6,5 
Prova On-Line 
 
Questão: 1 (127717) 
As ameaças são agentes ou condições que causam incidentes que comprometem as 
informações e seus ativos por meio da exploração de vulnerabilidades . As ameaças 
inconscientes, quase sempre causadas pelo desconhecimento poderão ser classificadas como: 
 Pontos da Questão: 1 
 Inconseqüentes. 
 Voluntárias. 
 Involuntárias. 
 Ocasionais. 
 Naturais. 
 
Questão: 2 (127707) 
A análise de vulnerabilidade permite que os profissionais de segurança e TI da empresa 
possam ter maior conhecimento do ambiente de TI e seus problemas. Qual das opções abaixo 
não é um exemplo de teste de vulnerabilidade lógica em maquinas de uma rede alvo? 
 Pontos da Questão: 0,5 
 Aplicativos instalados. 
 Ruídos elétricos na placa wireless. 
 Os Sistemas operacionais utilizados. 
 Patches e service packs aplicados. 
 Verificar as portas do protocolo TCP/IP que se encontram desprotegidas (abertas). 
 
Questão: 3 (137606) 
Qual das opções abaixo descreve melhor conceito de “Ameaça” quando relacionado com a 
Segurança da Informação: Pontos da Questão: 0,5 
 Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos 
 Tudo aquilo que tem origem para causar algum tipo de erro nos ativos 
 Tudo aquilo que tempotencial de causar algum tipo de falha aos incidentes. 
 Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos 
 Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos 
 
Questão: AV22011CCT018505183 (137621) 
4 - Dado o caráter abstrato e intangível da informação, seu valor está associado a um 
contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se 
for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. 
Neste sentido descreva o ciclo de vida da informação, identificando os momentos vividos pela 
informação. Pontos da Questão: 1,5 
Resposta do Aluno: 
Page 1 of 3Visualização de Prova
25/6/2012https://sia.estacio.br/portal/prt0010a.asp?p1=3848365&p2=10108&p3=1161283
Manuseio: Quando a informação é criada e manipulada. Armazenamento: Quando a 
informação e armazenada ou guardada para consulta posterior. Transporte: Quando a 
informação é transmitida ou transportada, via e-mail, fax, conversa telefonica. Descarte: 
Quando não é mais necessário a informação, deletada, excluida, desnecessário, o descarte de 
midias de CD''s deve ser ter cuidado com seu descarte. 
 
Gabarito: 
Manuseio: Momento em que a informação é criada e manipulada. Armazenamento: Momento 
em que a informação é armazenada. Transporte: Momento em que a informação é 
transportada. Descarte: Momento em que a informação é descartada. 
 
Fundamentação do Professor: 
 
Pontos do Aluno: 1,5
 
Questão: 5 (137522) 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da 
Informação onde são detalhadas no plano operacional, as configurações de um determinado 
produto ou funcionalidade que devem ser feitas para implementar os controles e tecnologias 
estabelecidas pela norma. Pontos da Questão: 0,5 
 Diretrizes. 
 Normas. 
 Manuais. 
 Procedimentos. 
 Relatório Estratégico. 
 
Questão: 6 (137455) 
A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a 
sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de 
mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a 
realização desta análise: Pontos da Questão: 0,5 
 Os resultados das auditorias anteriores e análises críticas; 
 A avaliação das ações preventivas e corretivas; 
 A avaliação dos riscos e incidentes desejados; 
 Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de 
risco anteriores; 
 A realimentação por parte dos envolvidos no SGSI. 
 
Questão: 7 (137518) 
Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo 
atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes 
servidores indisponíveis pela sobrecarga ao invés da invasão? Pontos da Questão: 0,5 
 Phishing Scan 
 Source Routing 
 DDos 
 Shrink wrap code 
 SQL Injection 
 
Page 2 of 3Visualização de Prova
25/6/2012https://sia.estacio.br/portal/prt0010a.asp?p1=3848365&p2=10108&p3=1161283
 
Questão: 8 (127664) 
Baseado no conceito de que as proteções são medidas que visam livrar os ativos de situações 
que possam trazer prejuízo e que podemos classificá-las de acordo com a sua ação e o 
momento em que ocorre. Qual das opções abaixo não corresponde à classificação das 
proteções de acordo com a sua ação e o momento na qual ela ocorre: 
 Pontos da Questão: 0,5 
 Preventivas. 
 Destrutivas. 
 Detecção . 
 Correção. 
 Desencorajamento. 
 
Questão: 9 (137456) 
João e Pedro são administrador de sistemas de uma importante empresa e estão instalando 
uma nova versão do sistema operacional Windows para máquinas servidoras. Durante a 
instalação Pedro percebeu que existem uma série de exemplos de códigos já prontos para 
serem executados, facilitando assim o trabalho de administração do sistema. Qual o tipo de 
ataque que pode acontecer nesta situação? Pontos da Questão: 1 
 Dumpster Diving ou Trashing 
 Smurf 
 Fraggle 
 Phishing Scan 
 Shrink Wrap Code 
 
Questão: AV22011CCT018505192 (137549) 
10 - Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo 
SQL Injection e um ataque de Buffer Overflow? Pontos da Questão: 1,5 
Resposta do Aluno: 
SQL Injection: Objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas 
hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão Buffer 
Overflow: Ataque ao ao buffer para deixar o servidor sem espaço para processar as 
solicitações. 
 
Gabarito: 
Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que 
interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando 
o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) 
através da manipulação das entrada de dados de uma aplicação. Já o ataque de Buffer 
overflow consiste em enviar para um programa que espera por uma entrada de dados 
qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de 
dados. 
 
Fundamentação do Professor: 
 
Pontos do Aluno: 
Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que 
interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o 
atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através 
da manipulação das entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste 
1
 Fechar 
Server IP : 192.168.10.137 Client IP: 164.85.6.4 Tempo de execução da página : 2,094 
Page 3 of 3Visualização de Prova
25/6/2012https://sia.estacio.br/portal/prt0010a.asp?p1=3848365&p2=10108&p3=1161283
08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22650%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%225%22%… 1/3
   Fechar
Avaliação: CCT0059_AV2_201308093081 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV2
Aluno: 201308093081 ­ DANIELA BOMFIM MALOPER
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9012/L
Nota da Prova: 4,5 de 8,0         Nota do Trab.: 0        Nota de Partic.: 2        Data: 13/06/2015 11:06:35
  1a Questão (Ref.: 201308260548) Pontos: 1,0  / 1,5
A segurança da informação está relacionada com proteção dos ativos, no sentido de preservar o valor que
possuem para um indivíduo ou uma organização. Defina com suas palavras o que é um Ativo para a Segurança
das Informações:
Resposta: Ativo é a informação que possuia valor econômico, para alavancar competitividade.
Gabarito: Um ativo é qualquer coisa que tenha valor para a organização.
  2a Questão (Ref.: 201308253626) Pontos: 0,0  / 1,5
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem
ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura
do programa de GCN e o esforço gasto., explique o elemento "Determinando a estratégia" do GCN:
Resposta:
Gabarito: A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja
escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos
e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
  3a Questão (Ref.: 201308164319) Pontos: 0,5  / 0,5
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de
tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao
conceito de "Informação"?Possui valor e deve ser protegida;
Pode habilitar a empresa a alcançar seus objetivos estratégicos;
  Por si só não conduz a uma compreensão de determinado fato ou situação;
É dado trabalhado, que permite ao executivo tomar decisões;
É a matéria­prima para o processo administrativo da tomada de decisão;
08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22650%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%225%22%… 2/3
  4a Questão (Ref.: 201308164510) Pontos: 0,0  / 0,5
Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade
quanto pela de disponibilidade¿. Esta afirmação é:
  falsa, pois a informação não deve ser avaliada pela sua disponibilidade.
  verdadeira, pois a classificação da informação pode ser sempre reavaliada.
verdadeira desde que seja considerada que todas as informações são publicas.
falsa, pois não existe alteração de nível de segurança de informação.
verdadeira se considerarmos que o nível não deve ser mudado.
  5a Questão (Ref.: 201308330886) Pontos: 0,0  / 0,5
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode
dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades
de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a
Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física:
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
  Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
  Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações,
perda de dados ou indisponibilidade de recursos quando necessários.
  6a Questão (Ref.: 201308161292) Pontos: 0,5  / 0,5
Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi
projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá
ser melhor descrito como sendo um:
vírus
active­x
exploit
worm
  cavalo de tróia (trojan horse)
  7a Questão (Ref.: 201308161347) Pontos: 0,0  / 0,5
Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes
PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço
IP da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço
IP , que foi mascarado pelo atacante.
Smurf
  Shrink Wrap Code
Phishing Scan
Dumpster Diving ou Trashing
  Fraggle
08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22650%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%225%22%… 3/3
  8a Questão (Ref.: 201308347567) Pontos: 0,5  / 0,5
Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra um determinado
risco está muito além das possibilidades da organização e portanto não vale a pena tratá­lo. Neste caso você:
Ignora o risco
Trata o risco a qualquer custo
Rejeita o risco
Comunica o risco
  Aceita o risco
  9a Questão (Ref.: 201308161739) Pontos: 1,0  / 1,0
A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a
que tipo de proteção ?
Reação.
Limitação.
Recuperação .
  Preventiva.
Correção.
  10a Questão (Ref.: 201308242032) Pontos: 1,0  / 1,0
Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ?
Planejamento, estudo e implementação do programa
Manutenção, desenvolvimento e implementação do programa
  Planejamento, desenvolvimento e implementação do programa
Planejamento, maturação e desenvolvimento
Manutenção, implementação do programa e maturação
Observação: Eu, DANIELA BOMFIM MALOPER, estou ciente de que ainda existe(m) 1 questão(ões) não
respondida(s) ou salva(s) no sistema, e que mesmo assim desejo finalizar DEFINITIVAMENTE a avaliação.
Data: 13/06/2015 11:36:07
08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22650%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%225%22%… 1/3
   Fechar
Avaliação: CCT0059_AV2_201308093081 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV2
Aluno: 201308093081 ­ DANIELA BOMFIM MALOPER
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9012/L
Nota da Prova: 4,5 de 8,0         Nota do Trab.: 0        Nota de Partic.: 2        Data: 13/06/2015 11:06:35
  1a Questão (Ref.: 201308260548) Pontos: 1,0  / 1,5
A segurança da informação está relacionada com proteção dos ativos, no sentido de preservar o valor que
possuem para um indivíduo ou uma organização. Defina com suas palavras o que é um Ativo para a Segurança
das Informações:
Resposta: Ativo é a informação que possuia valor econômico, para alavancar competitividade.
Gabarito: Um ativo é qualquer coisa que tenha valor para a organização.
  2a Questão (Ref.: 201308253626) Pontos: 0,0  / 1,5
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem
ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura
do programa de GCN e o esforço gasto., explique o elemento "Determinando a estratégia" do GCN:
Resposta:
Gabarito: A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja
escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos
e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
  3a Questão (Ref.: 201308164319) Pontos: 0,5  / 0,5
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de
tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao
conceito de "Informação"?
Possui valor e deve ser protegida;
Pode habilitar a empresa a alcançar seus objetivos estratégicos;
  Por si só não conduz a uma compreensão de determinado fato ou situação;
É dado trabalhado, que permite ao executivo tomar decisões;
É a matéria­prima para o processo administrativo da tomada de decisão;
08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22650%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%225%22%… 2/3
  4a Questão (Ref.: 201308164510) Pontos: 0,0  / 0,5
Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade
quanto pela de disponibilidade¿. Esta afirmação é:
  falsa, pois a informação não deve ser avaliada pela sua disponibilidade.
  verdadeira, pois a classificação da informação pode ser sempre reavaliada.
verdadeira desde que seja considerada que todas as informações são publicas.
falsa, pois não existe alteração de nível de segurança de informação.
verdadeira se considerarmos que o nível não deve ser mudado.
  5a Questão (Ref.: 201308330886) Pontos: 0,0  / 0,5
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode
dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades
de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a
Classificação das Vulnerabilidades podemos citar como exemplos deVulnerabilidade Física:
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
  Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
  Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações,
perda de dados ou indisponibilidade de recursos quando necessários.
  6a Questão (Ref.: 201308161292) Pontos: 0,5  / 0,5
Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi
projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá
ser melhor descrito como sendo um:
vírus
active­x
exploit
worm
  cavalo de tróia (trojan horse)
  7a Questão (Ref.: 201308161347) Pontos: 0,0  / 0,5
Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes
PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço
IP da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço
IP , que foi mascarado pelo atacante.
Smurf
  Shrink Wrap Code
Phishing Scan
Dumpster Diving ou Trashing
  Fraggle
08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22650%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%225%22%… 3/3
  8a Questão (Ref.: 201308347567) Pontos: 0,5  / 0,5
Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra um determinado
risco está muito além das possibilidades da organização e portanto não vale a pena tratá­lo. Neste caso você:
Ignora o risco
Trata o risco a qualquer custo
Rejeita o risco
Comunica o risco
  Aceita o risco
  9a Questão (Ref.: 201308161739) Pontos: 1,0  / 1,0
A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a
que tipo de proteção ?
Reação.
Limitação.
Recuperação .
  Preventiva.
Correção.
  10a Questão (Ref.: 201308242032) Pontos: 1,0  / 1,0
Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ?
Planejamento, estudo e implementação do programa
Manutenção, desenvolvimento e implementação do programa
  Planejamento, desenvolvimento e implementação do programa
Planejamento, maturação e desenvolvimento
Manutenção, implementação do programa e maturação
Observação: Eu, DANIELA BOMFIM MALOPER, estou ciente de que ainda existe(m) 1 questão(ões) não
respondida(s) ou salva(s) no sistema, e que mesmo assim desejo finalizar DEFINITIVAMENTE a avaliação.
Data: 13/06/2015 11:36:07
Avaliação On-Line
Avaliação: AV2-2012.1 EAD-GESTÃO DE SEGURANÇA DA INFORMAÇÃO-CCT0185
Disciplina: CCT0185 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV2
Aluno: 201101069678 - HELDER FUCKNER DOS SANTOS
Nota da Prova: 4.5 Nota do Trabalho: Nota da Participação: 2 Total: 6,5
Prova On-Line
Questão: 1 (137452) 
Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque 
externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de 
cadastro do cliente. Neste caso, foi utilizado um ataque de Pontos da Questão: 1
Fraggle
Fragmentação de Pacotes IP
Buffer Overflow
Smurf 
SQL Injection
Questão: 2 (127673) 
Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de 
proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? 
 Pontos da Questão: 0,5
 Risco.
 Vulnerabilidade.
 Impacto.
 Ameaça.
Valor.
Questão: 3 (137629) 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são 
utilizados termos com menções mais subjetivas, tais como alto, médio e baixo: Pontos da Questão: 0,5
Método Quantitativo.
Método Exploratório.
Método Classificatório.
Método Subjetivo.
Método Qualitativo.
Questão: 4 (127712) 
Qual das opções abaixo refere-se ao conceito definido pela RFC 2828 do Internet Security Glossary : “Potencial 
para violação da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a 
segurança e causar danos” .
Pontos da Questão: 0,5
Impacto.
Incidente.
Ameaça.
Confidencialidade.
Vulnerabilidade.
Questão: 5 (137455) 
A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua 
22/06/2012https://sia.estacio.br/portal/prt0010a.asp?p1=3763430&p2=10108&p3=1195698
pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções 
abaixo Não poderá ser considerada como um elemento para a realização desta análise: Pontos da Questão: 0,5
A avaliação dos riscos e incidentes desejados;
Os resultados das auditorias anteriores e análises críticas;
Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores;
A realimentação por parte dos envolvidos no SGSI.
A avaliação das ações preventivas e corretivas;
Questão: 6 (132412) 
Você está trabalhando em um projeto de segurança e deseja implementar mecanismos de segurança contra as 
ameaças que são capazes de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos 
em que o mouse é clicado. Neste caso podemos classificar esta ameaça como sendo um:
 Pontos da Questão: 1
Screenloggers
Keyloggers
Screenware
Screensavers
Cavalo de tróia
Questão: 7 (137535) 
Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente segue para 
realizar um Ataque de Segurança : Pontos da Questão: 0,5
Levantamento, Exploração, Obtenção, Manutenção e Camuflagem
Levantamento, Obtenção, Exploração, Manutenção e Camuflagem
Obtenção, Levantamento, Exploração, Manutenção e Camuflagem
Obtenção, Exploração, Levantamento, Manutenção e Camuflagem
Exploração, Levantamento, Obtenção, Manutenção e Camuflagem
Questão: AV22011CCT018505191 (137539)
8 - Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo Fraggle e do 
tipo Smurf. Pontos da Questão: 1,5
Resposta do Aluno:
Gabarito:
(pontuar 0,75 por cada resposta )Um ataque do tipo Fraggle consitem no envio de um excessivo número de 
pacotes PING para o domínio de broadcast da rede, tendo como endereço IP de origem, a vítima desejada. 
Dessa forma todos os hosts do domínio de broadcast irão responder para o endereço IP da vítima, que foi 
mascarado pelo atacante, ficando desabilitada de suas funções normais. Já um ataque do tipo smurf é idêntico 
ao atque Fraggle, alterando apenas o fato que utiliza-se de pacotes do protocolo UDP.
Fundamentação do Professor:
Pontos do Aluno: 0
Questão: AV22011CCT018505182 (137612)
9 - Cada empresa ao tratar a segurança da informação e independentemente de sua área de negócio e dos 
objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios fundamentais da 
segurança da informação. Fale sobre cada um dos três princípios. Pontos da Questão: 1,5
Resposta do Aluno:
Integridade Segurança Disponibilidade Ao termos uma informação (foto, documento ou arquivo qualquer), seja 
pouco ou muito relevante, seja pessoal ou empresarial, todos querem que esta informação completa, que não 
esteja corrompido, assim como que esta informação seja segura, somente pessoas selecionadas tenham 
acesso, e que essa(s) informação(ções) estejam disponíveis para qualquer destas pessoas previamente 
selecionadas, estejam aonde estiver.
22/06/2012https://sia.estacio.br/portal/prt0010a.asp?p1=3763430&p2=10108&p3=1195698Gabarito:
Disponibilidade: Garantia de que só usuários autorizados obtêm acesso à informação e aos ativos 
correspondentes sempre que necessário. Integridade: Salvaguardar a exatidão e completeza da informação e 
dos métodos de processamento. Confidencialidade: Garantia de que os usuários autorizados obtém acesso à 
informação e aos ativos correspondentes sempre que necessários 
Fundamentação do Professor:
Pontos do Aluno:
Disponibilidade: Garantia de que só usuários autorizados obtêm acesso à informação e aos ativos 
correspondentes sempre que necessário. Integridade: Salvaguardar a exatidão e completeza da 
informação e dos métodos de processamento. Confidencialidade: Garantia de que os usuários 
autorizados obtém acesso à informação e aos ativos correspondentes sempre que necessários 
0
Questão: 10 (137500) 
Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? 
 Pontos da Questão: 0,5
ISO/IEC 27002
ISO/IEC 27004
ISO/IEC 27001
ISO/IEC 27005
ISO/IEC 27003
Fechar 
Server IP : 192.168.10.137 Client IP: 189.89.41.103 Tempo de execução da página : 1,844
22/06/2012https://sia.estacio.br/portal/prt0010a.asp?p1=3763430&p2=10108&p3=1195698