Walter Cunha – Tecnologia da Informação – Segurança

ESAF 2008 em Exercícios
37 (APO MPOG 2008) - A segurança da informação tem como objetivo a preservação da a) confidencialidade, interatividade e acessibilidade das informações. b) complexidade, integridade e disponibilidade das informações. c) confidencialidade, integridade e acessibilidade das informações. d) universalidade, interatividade e disponibilidade das informações. e) confidencialidade, integridade e disponibilidade das informações. 38 (APO MPOG 2008) - Um dos objetivos da Política de Segurança é a a) eliminação de ocorrências. b) redução dos danos provocados por eventuais ocorrências. c) criação de procedimentos para sistematizar eventuais danos. d) formalização de procedimentos para eliminação de ameaças. e) redução dos custos com segurança.

1 http://www.euvoupassar.com.br

Eu Vou Passar – e você?

Analise as seguintes afirmações relacionadas à Análise e Gerenciamento de Riscos de um projeto: I. Considerando o ciclo de vida completo do projeto de desenvolvimento de um software. simultaneamente. A Análise Quantitativa de Riscos é o processo de analisar numericamente o efeito dos riscos identificados nos objetivos gerais do projeto. II. Um risco é um evento ou uma condição certa que sempre irá ocorrer e que provocará um efeito positivo ou negativo nos objetivos de um projeto. II. O serviço de confidencialidade fornece proteção. III. a) I e II b) II e III c) III e IV d) I e III e) II e IV 2 http://www. Indique a opção que contenha todas as afirmações verdadeiras. A prova da identidade das entidades que solicitam a execução de serviços é prestada pelo mecanismo de confidencialidade e. IV. garantindo a autenticação de entidades que são parceiras. Indique a opção que contenha todas as afirmações verdadeiras. Os mecanismos de controle de acesso são usados para garantir que o acesso a um recurso é limitado aos usuários devidamente autorizados. Mitigação de riscos é uma técnica de planejamento de resposta a riscos que busca reduzir a probabilidade de ocorrência ou impacto de um risco. IV.53 (PSS ESAF 2008) . é uma necessidade do mecanismo que garante a integridade das informações. III. Os mecanismos de controle de integridade devem atuar basicamente em dois níveis: controle da integridade de dados isolada e controle da integridade de uma conexão.Analise as seguintes afirmações relacionadas à segurança da informação: I.br Eu Vou Passar – e você? .euvoupassar.com. a) I e II b) II e III c) III e IV d) I e III e) II e IV 67 (PSS ESAF 2008) . a Análise Qualitativa dos Riscos do projeto ocorre ao longo da fase de Manutenção Corretiva.

a chave utilizada pelo signatário para assinar uma mensagem deve acompanhá-la obrigatoriamente para que o destinatário possa utilizála. o procedimento de verificação envolve a utilização de um método e uma chave pública para determinar se a assinatura foi produzida com a informação privada do signatário. impossibilitando a recuperação. porém os bits de correção de erros associados ao disco podem ser lidos a partir de outros discos. Indique a opção que contenha todas as afirmações verdadeiras.Analise as seguintes afirmações relacionadas à segurança em redes de computadores: I. porém podem ser utilizados códigos de correção de erros. a) I e II b) II e III c) III e IV d) I e III e) II e IV 14 (AFC/STN 2008 Infra TI) . 3 http://www. em conjunto com sua chave pública. porém o bloco de paridade pode ser usado com os blocos correspondentes de outros discos.com. III. No método de criptografia assimétrica RSA. a chave utilizada para criptografar um texto é diferente da chave utilizada para decodificar o mesmo texto. a partir de outros discos. Se ocorrer uma falha no disco. II.euvoupassar. e) perda de dados.br Eu Vou Passar – e você? . com sua chave privada. No método de assinatura digital.Considere uma implementação de arrays redundantes de discos independentes (RAID) nível 5. isto é. c) perda de dados e de paridade. para verificar a validade da assinatura da referida mensagem.68 (PSS ESAF 2008) . possibilitando a recuperação. para a recuperação. para a recuperação. No método de assinatura digital. para armazenamento de dados. IV. porém o bloco de paridade e os bits de correção de erros precisam ser lidos em conjunto. A criptografia de chave pública baseia-se na utilização de uma mesma chave tanto para codificar quanto para decodificar os dados. b) perda de dados. d) perda de dados. haverá a) perda de dados e da paridade. na qual um bloco de paridade armazena a paridade para blocos no mesmo disco. para a recuperação.

c) pública. e) IPSec.com. enquanto outras podem apenas acessar recursos locais à rede.Em uma dada empresa. e) one-time-pad. c) Rede privada virtual. c) Disponibilidade. d) Sistema de detecção de intrusos. 4 http://www. há máquinas que podem acessar exclusivamente o serviço Web. A solução de segurança mais adequada para o controle de acesso nesta rede deve utilizar a) Firewall de gateway de aplicação. outras que acessam a Web e o serviço de transferência de arquivos (FTP).24 (AFC/STN 2008 Infra TI) .Considere o seguinte cenário: Em certa empresa. Este é um cenário relacionado ao serviço de segurança denominado a) Confidencialidade. e) Assinatura digital.euvoupassar. b) Filtragem de pacotes. d) aleatória. b) privada. b) Integridade.A chave de criptografia utilizada para verificar a autenticidade de um usuário destinatário de mensagens é denominada chave a) secreta. 26 (AFC/STN 2008 Infra TI) .br Eu Vou Passar – e você? . 25 (AFC/STN 2008 Infra TI) . d) Controle de acesso. a política de segurança pode ser definida e modificada por um conjunto pequeno de funcionários em função de níveis de segurança.

Assinale a opção que representa o que este esquema visa garantir. c) A mensagem M não foi modificada durante a transmissão.euvoupassar. c) Análise de riscos. compreendendo inclusive o registro dos incidentes de segurança. d) A mensagem não pode ser verificada por B. cujas chaves públicas são conhecidas por ambos. b) A mensagem M é confidencial. c) chave pública. é denominado a) certificado digital. b) Política de segurança.Considere os usuários A e B. d) resumo de mensagem.br Eu Vou Passar – e você? . e) Não é possível garantir nenhum dos serviços de segurança para o contexto. deve ser estabelecida no(a) a) Processo de restauração. e) Auditoria de segurança.Ao efetuar uma compra em um site de comércio eletrônico. 5 http://www. d) Acordo de confidencialidade.27 (AFC/STN 2008 Infra TI) . a) A mensagem M está livre de ataques de negação de serviço (DoS).com. assina-a digitalmente e envia para o usuário B. e) protocolo de autenticação. o elemento que garante a autenticidade do servidor (site) e do cliente (usuário) na transação.Segundo a norma ISO BS 17799. 29 (AFC/STN 2008 Infra TI) . 28 (AFC/STN 2008 Infra TI) . b) assinatura digital. a definição das responsabilidades gerais e específicas no que se refere à gestão da segurança da informação. O usuário A gera o hash H(M) de uma mensagem M.

d) protocolo extensível de autenticação ou EAP (Extensible Authentication Protocol). o conteúdo da comunicação.euvoupassar.com.br Eu Vou Passar – e você? . e) os recursos necessários à comunicação devem estar disponíveis e acessíveis aos usuários. d) cada usuário deve provar que uma dada mensagem foi enviada pela outra parte envolvida na comunicação. d) N. e) WAP2. c) vetor de inicialização. de forma confidencial e eficiente. c) 2N.Considerando uma comunicação segura entre os usuários A e B. garantir confidencialidade indica que a) cada usuário deve confirmar a identidade da outra parte envolvida na comunicação. 40 (AFC/CGU 2008 Infra TI) . intencionalmente ou não. aos demais usuários no mesmo grupo. b) 2N + 1.O mecanismo de segurança para redes sem fio IEEE 802. b) privacidade equivalente sem fio ou WEP (Wired Equivalent Privacy). 41 (AFC/CGU 2008 Infra TI) . e) N – 1. 6 http://www. Suponha que um usuário deste grupo deseja enviar uma mensagem M. c) apenas A e B devem compreender o conteúdo da comunicação.30 (AFC/STN 2008 Infra TI) .1i que define os formatos de mensagens fim-a-fim utilizadas nas interações entre clientes e servidor de autenticação é denominado a) protocolo de aplicação sem fio ou WAP (Wireless Application Protocol).Considere um grupo de N usuários e um esquema de criptografia combinada – baseada em criptografia simétrica e assimétrica. O número total de encriptações necessárias para o envio da mensagem M é a) 1. b) apenas A e B podem modificar.

euvoupassar.com.br Eu Vou Passar – e você? .7 http://www.

com.Um plano de contingência não compreende a) respostas imediatas a desastres. 44 (AFC/ CGU 2008 Infra TI) . d) autenticar adequadamente os usuários em conexões externas. b) a criptografia.br Eu Vou Passar – e você? . c) analisar criticamente os registros (logs) de falhas. c) a função de hash. d) a assinatura digital. b) identificação e compreensão do problema (desastre). e) análise crítica dos direitos de acesso dos usuários.Um mecanismo de segurança considerado adequado para garantir controle de acesso é a) o firewall. e) o certificado digital.42 (AFC/CGU 2008 Infra TI) . 43 (AFC/ CGU 2008 Infra TI) . 8 http://www. e) estabelecer um processo formal disciplinar para funcionários em casos de violação da segurança da informação. b) monitorar e analisar criticamente os serviços terceirizados. é correto considerar a seguinte recomendação a fim de garantir uma adequada segurança em Recursos Humanos: a) documentar procedimentos operacionais. d) contenção de danos e a eliminação das causas.euvoupassar.Segundo a Norma ABNT NBR ISO/IEC 17799: 2005. c) processo de restauração.

com. a análise de riscos de segurança. É recomendável efetuar. II e III são falsas. É recomendável estabelecer responsabilidades e procedimentos de gestão para assegurar respostas rápidas e efetivas a incidentes de segurança. a) Apenas I e II são verdadeiras. analise as afirmações a seguir e assinale a opção correta. recomenda-se implantar a) acordo de termos e condições de contratação de funcionários.45 (AFC/ CGU 2008 Infra TI) . a fim de evitar a interrupção de serviços e das atividades do negócio e proteger os processos críticos de desastres. vulnerabilidades e impactos em função dos negócios da organização. III. b) Apenas II e III são verdadeiras. II. d) acordo de confidencialidade. em tempo hábil.De acordo com a ISO/IEC 17799:2005. criticamente. e) I. II e III são verdadeiras. 9 http://www.Considerando uma adequada gestão de riscos para a segurança da informação. e) política para a troca de informações com partes externas. c) Apenas I e III são verdadeiras. d) I.euvoupassar. É recomendável estabelecer regras para o uso aceitável de ativos associados aos recursos de processamento da informação.br Eu Vou Passar – e você? . b) política de uso de controles criptográficos. uma vez que esta considera ameaças. c) plano de continuidade do negócio. 46 (AFC/ CGU 2008 Infra TI) . I.

e) I. II e III são falsas. III. Registros de falhas são aqueles que mantêm as atividades dos administradores e operadores dos sistemas de processamento da informação. 10 http://www. c) gestores devem garantir que os procedimentos de segurança são executados em conformidade com tal documento. Registros (logs) de auditoria devem ser mantidos por um período de tempo adequado para futuras investigações. e) no caso de mudanças.47 (AFC/ CGU 2008 Infra TI) . b) deve ser analisado regularmente ou na ocorrência de mudanças significativas. d) deve incluir informações quanto à tecnologia a ser empregada para a segurança da informação.Analise as seguintes afirmações em relação à auditoria de segurança da informação e assinale a opção correta. II e III são verdadeiras. II.br Eu Vou Passar – e você? . a) Apenas I e II são verdadeiras. é necessário que os relógios dos sistemas de processamento da informação estejam sincronizados de acordo com uma hora oficial. d) I.com. I. b) Apenas II e III são verdadeiras.euvoupassar.A respeito do documento da Política de Segurança da Informação de uma dada Organização. c) Apenas I e III são verdadeiras. deve-se assegurar a sua contínua pertinência e adequação. é incorreto afirmar que a) deve ser aprovado pela direção antes de ser publicado e divulgado. Para fins de auditoria. 48 (AFC/ CGU 2008 Infra TI) .

assim como os recursos.49 (AFC/ CGU 2008 Infra TI) . 11 http://www.Analise as seguintes afirmações a respeito de cópias de segurança (backups) e assinale a opção correta. Políticas de backup devem ser testadas regularmente para garantir respostas adequadas a incidentes. e) I. II e III são verdadeiras. II e III são falsas. deve-se declarar a abordagem empregada (completa ou incremental) e periodicidade das cópias. cuidar do local de armazenamento de cópias e manter cópias remotas como medida preventiva são recomendados para a continuidade dos negócios. infra-estrutura e demais procedimentos necessários. Registrar o conteúdo e data de atualização.br Eu Vou Passar – e você? .euvoupassar. III. a) Porta UDP (User Datagram Protocol) destino. a) Apenas I e II são verdadeiras. II. e) Linha de requisição de uma mensagem de pedido HTTP (HyperText Transfer Protocol). b) Apenas II e III são verdadeiras. c) Apenas I e III são verdadeiras. I. b) Tipo de mensagem ICMP (Internet Control Message Protocol). d) Datagramas de inicialização de conexão usando bits TCP SYN. d) I.Assinale a opção que não compreende uma informação relevante a decisões em filtragem de pacotes. c) Endereço IP do gateway de aplicação. Em uma política de backup. 50 (AFC/ CGU 2008 Infra TI) .com.

euvoupassar. d) criptografia assimétrica. é correto aplicar a) gateway de aplicação FTP. c) falsificação de IP. 52 (AFC/ CGU 2008 Infra TI) . com endereço correto no nível IP (Internet Protocol).51 (AFC/ CGU 2008 Infra TI) . e) inundação TCP (Transmission Control Protocol) SYN.br Eu Vou Passar – e você? . Neste contexto. b) sistema de detecção de intrusos. 12 http://www. é útil para a) varredura de portas.A informação de que um dado host respondeu a um datagrama ICMP (Internet Control Message Protocol) de eco.com. b) analisador de pacotes (sniffers). e) serviço NAT (Network Address Translation). de modo que estes sejam autenticados antes de iniciarem as sessões FTP.Considere uma Organização que deseja disponibilizar o serviço FTP (File Transfer Protocol) a um conjunto restrito de usuários internos. porém com o endereço MAC (Media Access Control) incorreto. d) negação de serviço. c) filtragem de pacotes.

c) negociação (Handshake Protocol).53 (AFC/ CGU 2008 Infra TI) . c) Keyloggers. e) falsificação DNS. a) Redes privadas virtuais ou VPN (Virtual Private Networks). d) ação de um vírus. b) negação de serviço. d) Trapdoors. b) Adwares.com.Assinale a opção que constitui um mecanismo de segurança para redes de computadores. 54 (AFC/ CGU 2008 Infra TI) . o responsável por negociar os algoritmos e chaves de criptografia a serem aplicados na comunicação é o protocolo de a) registro (Record Protocol). e) Inundação (flooding). d) alerta (Alert Protocol).Uma máquina isolada devido a um ataque DNS (Domain Name System) representa a) ação de spywares. b) mudança de especifi cação de cifra (Change Cipher Spec Protocol). e) controle de transmissão (Transmission Control Protocol).br Eu Vou Passar – e você? .Ao considerar a camada de soquete segura ou SSL (Secure Socket Layer).euvoupassar. 55 (AFC/ CGU 2008 Infra TI) . 13 http://www. c) varredura de portas.

e) a confidencialidade de mensagens baseia-se.A respeito de software PGP (Pretty Good Privacy).56 (AFC/ CGU 2008 Infra TI) . usa-se o Radix-64.euvoupassar. que mapeia cada grupo de 4 octetos para 3 caracteres ASC II. 14 http://www. para fins de segurança em correio eletrônico. b) a compressão ZIP é aplicada após a assinatura e antes da encriptação de mensagens.br Eu Vou Passar – e você? . d) a autenticação baseia-se nos algoritmos CAST-128 e RSA.com. c) para compatibilidade de e-mails. em criptografia assimétrica. exclusivamente. é correto afirmar que a) não utiliza o algoritmo SHA-1 (Secure Hash Algorithm) para o processamento de resumo de mensagem.

509. b) pública do emissor. a) Versão. c) Período de validade. d) privada do receptor.Em assinaturas digitais.euvoupassar. c) pública do receptor.br 27 (AFC/STN 2008 Infra TI) – A 28 (AFC/STN 2008 Infra TI) – B 29 (AFC/STN 2008 Infra TI) – C 30 (AFC/STN 2008 Infra TI) – E 40 (AFC/CGU 2008 Infra TI) – D 41 (AFC/ CGU 2008 Infra TI) – C 42 (AFC/ CGU 2008 Infra TI) – A 43 (AFC/ CGU 2008 Infra TI) . 60 (AFC/ CGU 2008 Infra TI) .B 53 (PSS ESAF 2008) – D 67 (PSS ESAF 2008) – E 68 (PSS ESAF 2008) – E 14 (AFC/STN 2008 Infra TI) – C 24 (AFC/STN 2008 Infra TI) – C 25 (AFC/STN 2008 Infra TI) – D 26 (AFC/STN 2008 Infra TI) – A 15 http://www. a chave criptográfica usada para a verificação da autenticidade de um dado emissor por um receptor é a chave a) privada do emissor.E 44 (AFC/ CGU 2008 Infra TI) .59 (AFC/ CGU 2008 Infra TI) . Seqüência de Respostas: 37 (APO MPOG 2008) – E 38 (APO MPOG 2008) .com. e) Chave pública do sujeito. d) Soma de verificação.E Eu Vou Passar – e você? .Assinale a opção que não contempla um campo existente nos certificados digitais baseados na recomendação X. b) Número de série. e) simétrica compartilhada entre emissor e receptor.

B 54 (AFC/ CGU 2008 Infra TI) .C 47 (AFC/ CGU 2008 Infra TI) .E 51 (AFC/ CGU 2008 Infra TI) .D 46 (AFC/ CGU 2008 Infra TI) .B 57 (AFC/ CGU 2008 Infra TI) .A 58 (AFC/ CGU 2008 Infra TI) .br Eu Vou Passar – e você? .B 60 (AFC/ CGU 2008 Infra TI) – D 16 http://www.D 48 (AFC/ CGU 2008 Infra TI) .A 55 (AFC/ CGU 2008 Infra TI) .com.B 52 (AFC/ CGU 2008 Infra TI) .B 59 (AFC/ CGU 2008 Infra TI) .euvoupassar.45 (AFC/ CGU 2008 Infra TI) .C 56 (AFC/ CGU 2008 Infra TI) .A 49 (AFC/ CGU 2008 Infra TI) .D 50 (AFC/ CGU 2008 Infra TI) .A 53 (AFC/ CGU 2008 Infra TI) .