Prévia do material em texto
Avaliação On-Line Avaliação: AV2-2012.1 EAD-GESTÃO DE SEGURANÇA DA INFORMAÇÃO-CCT0185 Disciplina: CCT0185 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV2 Aluno: 201002155088 - WALLACE SILVA MORAIS Nota da Prova: 4.5 Nota do Trabalho: Nota da Participação: 2 Total: 6,5 Prova On-Line Questão: 1 (127717) As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades . As ameaças inconscientes, quase sempre causadas pelo desconhecimento poderão ser classificadas como: Pontos da Questão: 1 Inconseqüentes. Voluntárias. Involuntárias. Ocasionais. Naturais. Questão: 2 (127707) A análise de vulnerabilidade permite que os profissionais de segurança e TI da empresa possam ter maior conhecimento do ambiente de TI e seus problemas. Qual das opções abaixo não é um exemplo de teste de vulnerabilidade lógica em maquinas de uma rede alvo? Pontos da Questão: 0,5 Aplicativos instalados. Ruídos elétricos na placa wireless. Os Sistemas operacionais utilizados. Patches e service packs aplicados. Verificar as portas do protocolo TCP/IP que se encontram desprotegidas (abertas). Questão: 3 (137606) Qual das opções abaixo descreve melhor conceito de “Ameaça” quando relacionado com a Segurança da Informação: Pontos da Questão: 0,5 Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos Tudo aquilo que tem origem para causar algum tipo de erro nos ativos Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos Questão: AV22011CCT018505183 (137621) 4 - Dado o caráter abstrato e intangível da informação, seu valor está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Neste sentido descreva o ciclo de vida da informação, identificando os momentos vividos pela informação. Pontos da Questão: 1,5 Resposta do Aluno: Page 1 of 3Visualização de Prova 25/6/2012https://sia.estacio.br/portal/prt0010a.asp?p1=3848365&p2=10108&p3=1161283 Manuseio: Quando a informação é criada e manipulada. Armazenamento: Quando a informação e armazenada ou guardada para consulta posterior. Transporte: Quando a informação é transmitida ou transportada, via e-mail, fax, conversa telefonica. Descarte: Quando não é mais necessário a informação, deletada, excluida, desnecessário, o descarte de midias de CD''s deve ser ter cuidado com seu descarte. Gabarito: Manuseio: Momento em que a informação é criada e manipulada. Armazenamento: Momento em que a informação é armazenada. Transporte: Momento em que a informação é transportada. Descarte: Momento em que a informação é descartada. Fundamentação do Professor: Pontos do Aluno: 1,5 Questão: 5 (137522) Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são detalhadas no plano operacional, as configurações de um determinado produto ou funcionalidade que devem ser feitas para implementar os controles e tecnologias estabelecidas pela norma. Pontos da Questão: 0,5 Diretrizes. Normas. Manuais. Procedimentos. Relatório Estratégico. Questão: 6 (137455) A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise: Pontos da Questão: 0,5 Os resultados das auditorias anteriores e análises críticas; A avaliação das ações preventivas e corretivas; A avaliação dos riscos e incidentes desejados; Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores; A realimentação por parte dos envolvidos no SGSI. Questão: 7 (137518) Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão? Pontos da Questão: 0,5 Phishing Scan Source Routing DDos Shrink wrap code SQL Injection Page 2 of 3Visualização de Prova 25/6/2012https://sia.estacio.br/portal/prt0010a.asp?p1=3848365&p2=10108&p3=1161283 Questão: 8 (127664) Baseado no conceito de que as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo e que podemos classificá-las de acordo com a sua ação e o momento em que ocorre. Qual das opções abaixo não corresponde à classificação das proteções de acordo com a sua ação e o momento na qual ela ocorre: Pontos da Questão: 0,5 Preventivas. Destrutivas. Detecção . Correção. Desencorajamento. Questão: 9 (137456) João e Pedro são administrador de sistemas de uma importante empresa e estão instalando uma nova versão do sistema operacional Windows para máquinas servidoras. Durante a instalação Pedro percebeu que existem uma série de exemplos de códigos já prontos para serem executados, facilitando assim o trabalho de administração do sistema. Qual o tipo de ataque que pode acontecer nesta situação? Pontos da Questão: 1 Dumpster Diving ou Trashing Smurf Fraggle Phishing Scan Shrink Wrap Code Questão: AV22011CCT018505192 (137549) 10 - Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque de Buffer Overflow? Pontos da Questão: 1,5 Resposta do Aluno: SQL Injection: Objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão Buffer Overflow: Ataque ao ao buffer para deixar o servidor sem espaço para processar as solicitações. Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados. Fundamentação do Professor: Pontos do Aluno: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste 1 Fechar Server IP : 192.168.10.137 Client IP: 164.85.6.4 Tempo de execução da página : 2,094 Page 3 of 3Visualização de Prova 25/6/2012https://sia.estacio.br/portal/prt0010a.asp?p1=3848365&p2=10108&p3=1161283
