Questões de Concurso Para analista de informática - segurança da informação

São modelos de desenvolvimento que integram o processo do ciclo de vida de um software seguro:

I. Modelo espiral.

II. Modelo cascata.

III. Modelo interativo.

IV. Modelo ágil.

Quais estão corretas?

Conforme Baltzan (2012), o plano de continuidade deve ser elaborado com base em três pilares. Um deles é fornecer o pleno entendimento de quanto a TI pode afetar a operação de negócio, dimensionando quanto custa uma interrupção na operação da empresa. Com essa informação, é possível compreender a necessidade de investimento em TI para realmente suportar a continuidade do negócio. Qual é o pilar a que o texto se refere?

Sobre a metodologia de detecção de intrusão Misesu Detection System ou KnowledgeBased Intrusion Detection (NAKAMURA, 2007), analise as assertivas abaixo e assinale a alternativa correta.
I. O burglar alarm funciona de acordo com a política definida, em que a detecção se baseia no conhecimento da rede e do que não pode ocorrer.
II. O funcionamento desse tipo de IDS é semelhante à de um antivírus, no qual o IDS procura por um padrão de assinatura de ataque que esteja na base de dados.
III. Essa metodologia é mais lenta se comparada ao Behavior-Based Intrusion Detection.
IV. A quantidade de regras estabelecidas não impacta na sua velocidade.

Analise as seguintes asserções e a relação proposta entre elas:
I. A assinatura digital é obtida pelo algoritmo de chave pública, em que o usuário deve assinar digitalmente uma mensagem usando chave privada.
PORQUE
II. A manutenção de CA envolve a segurança da chave privada que caso seja descoberta comprometerá todo o sistema.
A respeito dessas asserções, assinale a alternativa correta.

Em relação à arquitetura do protocolo IPSec relacionados ao mecanismo de gestão de chaves, analise as assertivas abaixo e assinale V, se verdadeiras, ou F, se falsas.
( ) O IPSec não integre um mecanismo de gestão de chaves. ( ) IETF definiu como norma de gestão o protocolo híbrido ISAKMP/Oakley que também é denominado de IKE. ( ) O IKE utiliza a porta 443 para interagir com os demais mecanismos de segurança IPSec através de associações de segurança para diversos protocolos e associações de segurança.
A ordem correta de preenchimento dos parênteses, de cima para baixo, é:

Analise as seguintes asserções e a relação proposta entre elas:
I. O IPSec integra mecanismos de autenticação, gestão e distribuição de chaves. Os mecanismos de autenticação utilizados são os cabeçalhos de extensão específicos do protocolo DHCP, que são o Cabeçalho de Autenticação e o Cabeçalho de Encapsulamento de Dados de Segurança.
PORQUE
II. O IPSec utiliza o conceito de Associação de Segurança, que permite a comunicação entre duas ou mais entidades comunicantes e descreve todos os mecanismos de segurança a serem utilizados, por exemplo: algoritmo e modo de autenticação a aplicar no cabeçalho de autenticação, chaves usadas nos algoritmos de autenticação e criptografia, tempo de vida da chave, tempo de vida da associação de segurança, nível de sensibilidade dos dados protegidos, entre outros.
A respeito dessas asserções, assinale a alternativa correta.

Sobre o desenvolvimento de software seguro em uma aplicação web, analise as assertivas abaixo e assinale a alternativa correta.
I. Não se deve utilizar Javascript para implementar regras de negócio importantes e essenciais para segurança.
II. Filtrar e validar parâmetros no servidor na chegada das requisições para rejeitá-la ou eliminar o risco de SQL Injection.
III. As páginas administrativas não devem ser indexadas nos mecanismos de buscas.
IV. Manter o servidor atualizado, como Sistema Operacional, Software da web/app server e demais plugins. 

A virtualização de servidores tem como objetivo facilitar as operações de múltiplos sistemas e aplicações em um datacenter através do uso de máquinas virtuais. Nesse sentido, analise as assertivas abaixo:
I. Hypervisores são softwares livres e proprietários responsáveis por dar à máquina física a possibilidade de se hospedar outras virtuais.
II. As máquinas virtuais são partes fragmentadas do hardware principal, que têm seu estado armazenado em arquivos do sistema do hypervisor.
III. A criação de contêiners como Dockes, por exemplo, é criada a partir da técnica de paravirtualization.
IV. A full virtualization permite a execução de máquinas virtuais com diferentes sistemas operacionais, garantindo seu isolamento não necessitando da tradução binária para essas instruções.
Quais estão INCORRETAS?

Sobre o WebSeryer, analise as assertivas abaixo e assinale V, se verdadeiras, ou F, se falsas.
( ) Os servidores web estáticos enviam os arquivos de um site de volta para o navegador não contendo mudanças.
( ) Os servidores web dinâmicos atualizam os arquivos hospedados depois de entregá-los através do servidor HTTP.
( ) O serviço de log rastreia a quantidade de tempo em que um servidor da web está funcional e pode processar requisições ou entregar arquivos.
( ) A limitação de bandwidth controla a velocidade das respostas do servidor para garantir que a rede não seja sobrecarregada e consiga entregar os arquivos sem problemas.
A ordem correta de preenchimento dos parênteses, de cima para baixo, é:

Conforme Menezes, Oorschot e Vanstone (1996), cada fase do ciclo de vida das chaves criptográficas chaves passam por estágios específicos. Quais os estágios NÃO fazem parte dessa fase? 

Analise as seguintes asserções e a relação proposta entre elas:
I. O SCP consiste em um plano detalhado que define o processo que as organizações usam para construir aplicativos seguros.
PORQUE
II. Atividades como teste de penetração, revisão de código e análise de arquitetura são aplicadas em todas as etapas do processo do desenvolvimento de softwares seguros.
A respeito dessas asserções, assinale a alternativa correta. 

Relacione a Coluna 1 à Coluna 2, associando as metodologias de desenvolvimento de sistemas com os seus respectivos conceitos.
Coluna 1 1. Metodologia estruturada. 2. Metodologia orientada a objetos.
Coluna 2 ( ) O modelo de desenvolvimento desenhado para atender às necessidades do desenvolvimento nessa metodologia é o Processo Unificado.
( ) A UML foi definida como padrão para documentação de projetos dessa metodologia.
( ) Nessa metodologia de desenvolvimento, o sistema é visualizado no modelo entrada-processosaída, onde os dados são considerados separadamente das funções.
( ) Nessa metodologia, o mundo real é composto por objetos os quais protegem a sua estrutura de dados junto ao seu comportamento funcional.
( ) Existe uma clara separação entre funções e dados, em que as primeiras são ativas e implementam a lógica da aplicação, enquanto os dados são entidades de informação passivas, normalmente estruturados em repositórios.
A ordem correta de preenchimento dos parênteses, de cima para baixo, é: 

Analise o código e verifique se as técnicas de programação segura foram implementadas:
... $ id = $ _GET['id']; $ query = mysql query ('SELECT table.field FROM table WHERE id =' .$ GET ['id']); ...
Com base no código apresentado, analise as assertivas abaixo:
I. Vulnerabilidade e dependência de pacotes externos. II. Autenticação segura. III. Higienização das entradas de dados. IV. Princípio do menor privilégio.
Quais estão INCORRETAS? 

O backup é uma cópia de segurança, o objetivo da ação é o usuário se resguardar de uma ocasional perda de arquivos originais, seja por ações despropositadas do usuário como perder um CD/DVD e ter um problema com o HD, ou ainda mau funcionamento dos sistemas. Ter uma cópia de segurança permite restaurar os dados perdidos. Essa prática é a adotada em quais dos planos? 

Sobre a segurança física de redes, analise as assertivas abaixo e assinale a alternativa correta.
I. O objetivo da segurança física é de obter a integridade dos equipamentos e dispositivos que estão dentro da rede da empresa.
II. Ter sistema de refrigeração dentro da sala de servidores é uma medida de segurança física.
III. Utilizar parafusos com cabeça lisa para prender roteadores e switches não pode ser considerada uma medida de segurança física.
IV. O servidor redundante pode ser instalado e configurado para o único propósito de acesso à Internet.

O servidor ______ mantém um pool de ________ e concede um endereço a qualquer cliente habilitado para o _______ quando ele é iniciado na rede.
Assinale a alternativa que preenche, correta e respectivamente, as lacunas do trecho acima.

Sobre segurança de redes, analise as assertivas abaixo e assinale V, se verdadeiras, ou F, se falsas.
( ) Conforme o conceito de segurança física, para todos os dispositivos de uma rede, há uma maneira de se fazer segurança.
( ) Equipamentos e dispositivos que ficam perto dos colaboradores da empresa devem ser filmados e monitorados por sistemas de segurança.
( ) Sobre a atualização das versões dos softwares, quando homologados, os testes são dispensados.
( ) Embora o cabeado esteja internamente no piso ou na parede, devem ser testados periodicamente.
A ordem correta de preenchimento dos parênteses, de cima para baixo, é:

Sobre o Active Directory, analise as assertivas abaixo e assinale V, se verdadeiras, ou F, se falsas.
( ) Armazena informações sobre objetos na rede e torna essas informações de grande complexidade de serem encontradas e usadas por administradores e usuários.
( ) Fornece os métodos necessários para armazenar dados de diretório e disponibilizá-los para administradores e usuários de rede.
( ) Os objetos incluem recursos compartilhados, como servidores, volumes, impressoras, além das contas de usuário e de computador da rede.
( ) A administração baseada em política dificulta o gerenciamento de redes mais complexas.
A ordem correta de preenchimento dos parênteses, de cima para baixo, é:

Sobre o TCP/IP, analise as assertivas abaixo e assinale V, se verdadeiras, ou F, se falsas.
( ) As camadas no conjunto de protocolos TPCP/IP não correspondem exatamente àquelas do modelo OSI.
( ) Sobre a camada de transporte, o TCP/IP define dois protocolos: Transmission Control Protocol e Internetworking Protocol.
( ) O modelo OSI foi desenvolvido antes do TCP/IP.
( ) Na camada física e de enlace, o TCP/IP não define nenhum protocolo específico. Ele suporta todos os protocolos-padrão e proprietário.
A ordem correta de preenchimento dos parênteses, de cima para baixo, é:

O protocolo que consiste em uma coleção de bancos de dados que traduz nomes de host para endereços únicos de IP é chamado de: