Questões

Total de Questões Encontradas: 27

Existem duas abordagens fundamentais para criar políticas de firewall para minimizar definitivamente a vulnerabilidade em relação ao mundo externo mantendo confiável a funcionalidade desejada das máquinas na rede interna. Com relação a estas abordagens, considere as asserções a seguir.

A implementação de uma abordagem de lista branca é mais segura que a implementação de uma abordagem de lista negra para definir um conjunto de regras para o firewall

PORQUE

na abordagem de lista branca todos os pacotes podem passar, exceto aqueles que se enquadram nas regras definidas especificamente na lista.

Acerca dessas asserções, é correto afirmar: 
A
A primeira asserção é uma proposição verdadeira e a segunda é uma proposição falsa.
B
As duas asserções são proposições verdadeiras e a segunda é a justificativa correta da primeira. 
C
A primeira asserção é uma proposição falsa e a segunda uma proposição verdadeira. 
D
As duas asserções são proposições verdadeiras, mas a segunda não é a justificativa correta da primeira. 
E
Tanto a primeira quanto a segunda asserções são proposições falsas.
Qualquer ataque planejado para fazer uma máquina ou software ficar indisponível e incapaz de executar sua funcionalidade básica é conhecido como ataque de negação de serviço (Denial of Service − DOS). Há diversos tipos de ataque DOS sendo que, um deles, tira vantagem de redes mal configuradas que possuem um endereço de difusão (broadcast) pelo qual o usuário pode enviar um pacote que é recebido por todos os endereços IP da rede. Este tipo de ataque explora esta propriedade enviando pacotes ICMP com um endereço fonte configurado para o alvo e com um endereço destino configurado para o endereço de difusão da rede.

O tipo de ataque descrito acima é conhecido como
A
sniffing. 
B
inundação por SYN. 
C
ACK TCP. 
D
smurf. 
E
falsificação de IP. 
O TRF da 3a Região necessita que seus sistemas sejam monitorados e eventos de segurança da informação sejam registrados. Com relação a esses registros, é correto afirmar que
A
todos os administradores de sistemas devem ter permissão de exclusão ou desativação dos registros (log) de suas próprias atividades. 
B
registros (log) de auditoria devem incluir registros das tentativas de acesso a outros recursos e dados aceitos, mas não a dados rejeitados.  
C
o estabelecimento correto dos relógios dos computadores é importante para assegurar a exatidão dos registros (log) de auditoria.  
D
registros (log) de auditoria são úteis para a coleta e retenção de evidência, mas não podem ser guardados como parte da política de retenção de registros.  
E
os registros (log) de auditoria devem ser produzidos e mantidos por um prazo máximo de um mês.
Com relação à segurança do cabeamento de rede de dados, é correto afirmar que
A
as linhas de energia e de telecomunicações que entram nas instalações de processamento da informação devem ficar acima do piso, em lugar de fácil acesso e visualização para facilitar a manutenção. 
B
para sistemas sensíveis ou críticos, a melhor opção é utilizar cabeamento coaxial ou de par trançado.  
C
se deve passar o cabeamento de redes por áreas públicas e amplamente ventiladas e/ou refrigeradas, para preservar a conservação dos cabos.  
D
se devem passar os cabos de comunicações nos mesmos conduítes dos cabos de energia, para potencializar o campo de força e, consequentemente, melhorar a transmissão.  
E
para sistemas sensíveis ou críticos, é aconselhável instalar conduítes blindados e salas ou caixas trancadas em pontos de inspeção e pontos terminais.
Uma aplicação de reservas de passagens aéreas suporta reescrita de URL. Nesta aplicação, um usuário autenticado do site envia um e-mail do link a seguir para que seus amigos saibam que ele efetuou a compra.

                  http://abc.com/sale/saleitems;jsessionid=2P0OC2JSNDLPSKHCJUN2JV?dest=Tokio

Isso favorece principalmente um ataque de
A
Quebra de Autenticação e Gerenciamento de Sessão.
B
Injeção de código.
C
Cross-Site Scripting (XSS). 
D
Referência Insegura e Direta a Objetos. 
E
Cross-Site Request Forgery (CSRF). 
Os responsáveis pela Segurança da Informação do TRF da 3a Região foram encarregados de produzir dois documentos:
  1. Documenta procedimentos de gerenciamento, desenhados para manter ou recuperar operações de negócio, incluindo operações de computadores, no caso de eventuais emergências, desastres ou falhas de sistemas. É elaborado para situações em que exista perda de recursos, porém, esses recursos podem ser recuperados de uma forma menos traumática.  
  2. Documenta uma série de instruções ou procedimentos pré-determinados que descrevam como as funções de negócios da organização serão sustentadas durante e após uma interrupção significante. É elaborado para possibilitar que a organização funcione em um nível aceitável para sua sobrevivência e absorva possíveis impactos financeiros, operacionais e de imagem.
Os documentos 1 e 2 são, respectivamente,
A
Plano de Emergência e Política de Segurança da Informação.
B
Plano de Contingência e Plano de Continuidade de Negócios.
C
Plano de Administração de Crises e Plano de Auditoria.
D
Política de Recuperação de Desastres e Política de Segurança da Informação. 
E
Plano de Continuidade Operacional e Plano de Negócios. 
A partir da avaliação de impacto sobre os pilares confidencialidade, integridade e disponibilidade de informações, aconselha-se que sejam estabelecidos os níveis de segurança requeridos para as aplicações na forma de objetivos de segurança. Estes objetivos podem ser classificados em Gerenciais, Operacionais, Técnicos e Ambientais. Considere os objetivos apresentados a seguir:

 I. Criar, proteger e reter os registros dos eventos de segurança ou de uso indevido. Garantir que indivíduos sejam responsabilizados por suas ações.  
 II. Proteger mídias (em papel ou digitais) referentes aos sistemas da informação ou dados sensíveis, fornecendo o apropriado controle de acesso, além de garantir o descarte apropriado destas mídias.  
 III. Identificar usuários, processos ou dispositivos e verificar (autenticar) suas identidades como pré-requisito para permitir seus acessos nos sistemas.  
 IV. Estabelecer, manter e implementar controles para assegurar a perenidade dos serviços, ou atender a critérios mínimos de disponibilidade.  
 V. Desenvolver, documentar, atualizar e implantar políticas de segurança, para evitar o vazamento de informações, paradas não programadas ou alterações indevidas em dados e processos.

São objetivos Gerenciais o que consta APENAS em
A
IV e V. 
B
II e III. 
C
I, IV e V. 
D
I e II. 
E
I e V.  
Página 3 de 3