Questões

Total de Questões Encontradas: 70

Ano: 2016 Banca: CESPE Órgão: TRE-PI Prova: Analista Judiciário - Análise de Sistemas
No que se refere à criptografia, seus conceitos básicos, sistemas simétricos e assimétricos, certificação e assinatura digital, e protocolos criptográficos, assinale a opção correta.
A
O único sistema criptográfico matematicamente inviolável é conhecido pelo nome de One Time Pad, e o comprometimento de seu uso ocorre na eventualidade de falhas na geração de chaves aleatórias, na reutilização dessas chaves ou na sua guarda
B
No que se refere ao uso de cifradores simétricos, uma cifra de fluxo é mais adequada quando se executa a cifração de arquivos com tamanho limitado, enquanto cifras de bloco são mais adequadas para arquivos de tamanho ilimitado
C
O uso de funções oneway, ou de hash criptográfico, é opcional para a construção de assinaturas digitais convencionais
D
O protocolo de troca de chaves conhecido como Diffie-Hellman viabiliza a geração de chaves criptográficas assimétricas
E
São exemplos de primitivas criptográficas utilizadas na construção de sistemas criptográficos: Standard TLS, IPSec, Kerberos e X.509
Ano: 2016 Banca: CESPE Órgão: TRE-PI Prova: Analista Judiciário - Análise de Sistemas
Acerca de detecção e prevenção de ataques com uso de IDS e IPS, arquiteturas de firewalls e ataques e ameaças da Internet e de redes sem fio, assinale a opção correta.
A
A detecção de intrusão possível com o uso de IDS do tipo host-based em uma rede com centenas de máquinas de usuário apresenta maior facilidade de gerenciamento e instalação, quando comparada ao uso de IDS do tipo network-based
B
O uso de firewalls stateless relaciona-se a uma melhor chance de identificação de vírus, spams e intrusões em circulação na rede, quando comparado ao uso de um firewall que analisa o tráfego de uma rede com base em inspeção profunda de pacotes (deep packet inspection)
C
Tanto o firewall do tipo dual homed quanto o do tipo stateless previnem a ocorrência de ataques do tipo SYN flood
D
O emprego de assinaturas atômicas em um sistema de prevenção de intrusão permite a construção de sistemas mais simples, quando comparado com os que empregam assinaturas stateful
E
O uso de IPS do tipo network-based, quando comparado ao uso de IPS host-based, possibilita a coleção de dados mais detalhados acerca de chamadas de funções e acessos a arquivos
Ano: 2016 Banca: CESPE Órgão: TRE-PI Prova: Analista Judiciário - Análise de Sistemas
Considerando que, a fim de monitorar o tráfego na rede de computadores de determinado órgão, tenha-se empregado um sniffer de rede, entre outras ferramentas, assinale a opção correta com base nos conceitos de monitoramento de tráfego, sniffer de rede e interpretação de pacotes.

 
A
O payload de um datagrama de consulta ao DNS possui tamanho fixo de 32 baites, sendo os dois primeiros baites indicadores do transaction id da consulta
B
Para a captura e análise de tráfego de um computador individual na rede, com vistas ao diagnóstico de problemas de desempenho nesse computador, é suficiente posicionar outro computador com sniffer de rede junto a qualquer porta do switch ao qual o primeiro se conecta por meio cabeado
C
Na inspeção de um frame Ethernet II capturado por um sniffer de rede, tal com o Wireshark, é possível identificar os seis primeiros baites do frame, que representam o endereço IP do host destino, bem como os seis baites seguintes, que representam o endereço IP do host origem
D
O payload de um frame Ethernet II que transporta um pacote IPv4 se inicia com o valor 0×4
E
O payload de um frame Ethernet II que transporta um pedido ARP (request) em uma rede IPv4 possui o tamanho de 28 baites, sendo os 20 últimos baites relativos a endereçamentos MAC e(ou) IP, dos hosts origem e destino de comunicações posteriores
Ano: 2016 Banca: CESPE Órgão: TRE-PI Prova: Analista Judiciário - Análise de Sistemas
Considerando os conceitos de segurança de redes, ataques, malwares e monitoramento de tráfego, assinale a opção correta.
A
Um ataque de engenharia social bem-sucedido constrói situações fictícias que manipulam psicologicamente uma pessoa, conduzindo-a a realizar ações indevidas
B
Um rootkit é um tipo de malware facilmente detectável pelos administradores de uma rede
C
Os ataques de spamming em geral são precedidos por ataques de phishing
D
Screenloggers são programas de computador que geram incidentes ou problemas de segurança na rede por meio da geração de alto consumo da sua banda
E
O payload de um malware é um programa de computador que captura indevidamente o tráfego de pacotes TCP/IP que circulam na rede
Ano: 2016 Banca: CESPE Órgão: TRE-PI Prova: Analista Judiciário - Análise de Sistemas
Considerando que um conjunto de malwares de computador tenha sido detectado no ambiente computacional de um órgão público do Judiciário brasileiro, assinale a opção correta.
A
Se um adware é detectado em ampla circulação na rede, no parque das máquinas de usuário final, então isso indica a existência de vulnerabilidades nos sistemas de gerenciamento de bancos de dados do órgão
B
Se um worm (verme) é detectado em ampla circulação na rede, no parque de máquinas de usuário final, isso indica que é necessário tornar as regras de firewalls internos à rede menos restritivas
C
Se um vírus é detectado em circulação na rede do órgão, então é altamente provável que ele tenha sido injetado na rede por meio de outro malware do tipo keylogger
D
Se um keylogger é detectado em ampla circulação na rede do órgão, então, de forma proporcional ao índice de infestação, os dados pessoais dos usuários da rede correm o risco de serem indevidamente copiados
E
Se um ransomware é detectado em circulação na rede, no parque das máquinas de usuário final, então isso indica iminente risco de consumo indevido de banda passante na rede de computadores do órgão
Ano: 2016 Banca: CESPE Órgão: TRE-PI Prova: Analista Judiciário - Análise de Sistemas
Um inquérito administrativo foi aberto para a apuração de responsabilidades pelos impactos da paralisação das atividades de determinado órgão do Judiciário brasileiro, em decorrência de um desastre ocorrido na área de TI. Uma equipe, composta por pessoal interno ao órgão e por investigadores independentes, contratados para assessorar as investigações, inquiriu a equipe que atua na área de segurança da informação, entre outras pessoas, tendo realizado entrevistas, coletado evidências e apresentado pareceres sobre a fragilidade dos planos de continuidade de negócios do órgão, bem como sobre os controles de becape, tratamento de incidentes e problemas. Foram evidenciadas algumas falhas conceituais, tanto operacionais quanto estratégicas, entre várias outras evidências de comportamento consistente.

Considerando essa situação e os conceitos de planos de continuidade de negócio, becape, recuperação de dados e tratamento de incidentes e problemas, assinale a opção que apresenta evidência de comportamento consistente.

 
A
Suponha que o órgão tenha adotado uma política de continuidade que não estava baseada na análise de seus riscos próprios, mas sim baseada na cópia do documento de política obtido de outro órgão do Judiciário. Nessa situação, a política adotada está coerente com a estratégia de simplificação, uniformização e redução de custos no levantamento de requisitos de segurança para o negócio, prescrito na norma ISO/IEC 27002
B
Considerando-se que, após o desastre, uma greve e a consequente falta de funcionários na área de TI tenha implicado uma demora excessiva para recuperação de dados e operações essenciais do órgão, é correto afirmar que não havia erro no plano de recuperação, pois não existe prescrição para a observância do elemento pessoas na implementação da continuidade de negócios na norma ISO/IEC 27001
C
Considere que não havia contratação de seguro contra a perda de dados no órgão. Nesse caso, a ausência do seguro não seria evidência de que havia problemas com o plano de continuidade
D
Considere que não existiam no órgão pessoas de nível hierárquico elevado com responsabilidade pela coordenação do processo de gestão de continuidade de negócios. Nesse caso, não há indicação de que existiam problemas com o plano de continuidade de negócios
E
Considerando que o órgão não mantinha uma cópia de segurança das chaves criptográficas usadas no resguardo do sigilo de algumas informações armazenadas nos seus computadores, o que permitiu a recuperação apenas parcial de dados do becape, é correto afirmar que ocorreu um incidente, mas não um problema, com o sistema de becape
Ano: 2016 Banca: CESPE Órgão: TRE-PI Prova: Analista Judiciário - Análise de Sistemas
A equipe de analistas de segurança da informação de um órgão do judiciário federal participou de uma atividade de capacitação conduzida por uma empresa de consultoria em controle de acessos, tendo sido submetida a uma avaliação preliminar de seus conhecimentos sobre esse tema. A avaliação baseou-se em debate mediado pelos membros da consultoria, durante o qual os membros da equipe de segurança discutiram com os usuários de TI um conjunto de afirmações acerca da melhor forma de aprimorar o controle de acessos no órgão. Várias ponderações conduzidas pelos consultores eram deliberadamente errôneas, e algumas, verdadeiras. A equipe de analistas de segurança e os usuários de TI deveriam identificar as ponderações erradas e as verdadeiras.

Considerando que as opções a seguir apresentam ponderações dos consultores, assinale a opção que apresenta ponderação correta, com base nos conceitos do controle de acessos e nas normas da ISO/IEC 27001, 27002 e 27005.
A
A segregação de regras de controle de acessos no órgão é fundamentada na ideia de que o atendimento a pedidos de acesso, a autorização dos acessos propriamente ditos e a administração dos acessos são realizados por uma mesma pessoa no órgão
B
A abordagem e o desenho dos controles de acesso físico e lógico no órgão deve ser feita de forma independente
C
A autenticação baseada em três fatores é válida unicamente para sistemas de controle de acesso lógico, e não para sistemas de controle de acesso físico
D
Em aderência aos controles previstos pela norma ISO/IEC 27001, faz-se necessário utilizar a autenticação baseada em dois fatores, tanto no acesso de origem externa à rede quanto no acesso de qualquer usuário ao sistema operacional, desde que esses ativos estejam incluídos em um escopo de implantação de um sistema de gestão da segurança da informação
E
Para que os controles de acessos físico e lógico sejam implementados de forma consistente em diferentes sistemas e redes do órgão, é recomendada a prévia classificação, quanto à segurança necessária, dos ativos de informação a eles relacionados
Ano: 2016 Banca: CESPE Órgão: TRE-PI Prova: Analista Judiciário - Análise de Sistemas
Considere que a equipe composta por quatro analistas de sistemas de um órgão do judiciário federal brasileiro deva desenvolver um plano de implantação da gerência de riscos de segurança da informação nesse órgão. Acerca das atividades que podem ser realizadas pela equipe, e considerando os conceitos de gerência de riscos, de classificação e controle dos ativos de informação, e a norma ISO/IEC 27005, é correto afirmar que essa equipe
A
deve produzir ou obter a lista de processos de negócios aos quais estarão vinculados os demais ativos de informação a serem identificados na atividade de identificação de riscos
B
deve particionar entre os quatro membros a responsabilidade pelo desempenho dos seguintes papéis, entre outros: identificação e análise das partes interessadas, estabelecimento de ligações com as funções de gerência de riscos de alto nível, especificação dos critérios para a avaliação dos riscos, estimativa de impactos e aceitação do risco para a organização
C
deve aplicar uma metodologia de análise quantitativa de riscos, excluindo a aplicação de uma metodologia qualitativa
D
deve implantar o sistema de gestão de segurança da informação, antes de desenvolver o plano de gestão de riscos
E
deve particionar entre seus quatro membros a responsabilidade da execução simultânea das seguintes atividades: definição do escopo, identificação dos riscos, tratamento dos riscos e comunicação do risco
Ano: 2016 Banca: CESPE Órgão: TRE-PI Prova: Analista Judiciário - Análise de Sistemas
Considerando um SGBD Oracle, MySQL ou PostgreSqQL que contém uma tabela pessoa com mais de 3 registros, assinale a opção que apresenta a declaração de um comando SQL (que está entre aspas duplas) que permite selecionar o campo nome dos três primeiros registros dessa tabela segundo a ordem ascendente do campo idade.
A
O comando “SELECT nome FROM pessoa ORDER BY idade LIMIT 3” será executado corretamente no SGBD PostgreSQL
B
O comando “SELECT nome FROM pessoa WHERE ROWNUM<3” será executado corretamente no SGBD MySQL
C
O comando “SELECT nome FROM pessoa WHERE ROWNUM<3” será executado corretamente no SGBD PostgreSQL
D
O comando “SELECT TOP 3 nome FROM pessoa ORDER BY idade” será executado corretamente no SGBD PostgreSQL
E
O comando “SELECT TOP 3 nome FROM pessoa ORDER BY idade” será executado corretamente no SGBD MySQL
Ano: 2016 Banca: CESPE Órgão: TRE-PI Prova: Analista Judiciário - Análise de Sistemas
Existem dois esquemas lógicos para a implementação de um modelo de BI que envolve tabelas de fato e tabelas de dimensões: o esquema estrela (star schema) e o floco-de-neve (snow-flake schema). Acerca do esquema estrela, assinale a opção correta.
A
No esquema estrela, diversas tabelas de dimensão se relacionam tanto com diversas tabelas fato como com outras tabelas de dimensão, apresentando chaves ligando todas essas tabelas
B
No esquema estrela, as tabelas de dimensão são organizadas em uma hierarquia por meio da sua normalização, com vistas a diminuir o espaço ocupado, eliminando-se, assim, quaisquer redundâncias
C
O esquema estrela exige o uso de tabelas normalizadas
D
No esquema estrela, cada tabela de dimensão está relacionada a várias tabelas de fato, formando uma estrutura na qual a tabela de dimensão se relaciona com várias tabelas de fato obrigatoriamente
E
O esquema estrela consiste em uma tabela de fato com várias tabelas para cada dimensão e propõe uma visão cuja principal característica é a presença de dados redundantes nas tabelas de dimensão
Página 1 de 7