Prova de Segurança da Informação - Analista TI (DATAPREV)

No contexto dos padrões relativos ao protocolo SNMP, a definição da base de informações de gerência MIB-II inclui um grupo de variáveis com informações básicas dos sistemas gerenciados (MIB-II system group). Essas informações são consideradas de grande valor, pois uma estação de gerência pode consultar os sistemas gerenciados e automaticamente gerar uma base de dados de configuração da rede. Acerca dessas informações, julgue os itens abaixo.

Entre as sete informações do grupo-sistema, as variáveis sysContact, sysName e sysLocation apresentam característica de acesso do tipo read-write, enquanto as demais variáveis têm acesso do tipo read-only.

A complexidade sempre crescente das redes de comunicação vem exigindo cada vez mais o emprego de ferramentas automatizadas de gerência de redes. Isso motivou esforços para a padronização de arquiteturas de gerência, incluindo a definição de protocolos e bancos de dados específicos de gerência de redes e sistemas. O protocolo padronizado de gerência de redes mais popular da atualidade é o SNMP (simple network management protocol), que tem três versões oficialmente publicadas em RFC (SNMPv1, SNMPv2 e SNMPv3), todas conservando alguns princípios básicos comuns, mas com diferenças no que se refere ao comportamento do protocolo, tipos de mensagens e mecanismos de segurança. Acerca do protocolo SNMP nas versões v1 e v2, julgue os itens a seguir.

Em SNMPv1, a mensagem get-request possibilita que um gerente obtenha o conteúdo de uma variável ou de um conjunto de variáveis da base de informações de gerência (management information base - MIB) de um agente.

As técnicas, os protocolos e os sistemas de criptografia são um dos pilares para a organização de proteções contra ataques à segurança dos sistemas de informática e comunicação. Por melhor que seja a técnica de criptografia e a robustez do algoritmo, um sistema não pode ser considerado seguro sem os meios, os procedimentos e a política para gerenciar as chaves criptográficas empregadas. Acerca das técnicas, dos protocolos e dos sistemas de gerência de chaves de criptografia existentes, julgue os itens seguintes.

A dimensão da faixa de valores possíveis para as chaves (key space) é um sério problema no processo de geração de chaves criptográficas. Em DES, por exemplo, a faixa de valores pode reduzir-se radicalmente, caso, para facilitar a interação com o usuário, seja permitido empregar apenas chaves com caracteres ASCII ou caso as letras sejam sempre convertidas de minúsculas para maiúsculas.

Estão disponíveis via Internet ferramentas voltadas para a segurança de redes, distribuídas gratuitamente e, em geral, com código fonteaberto. Acerca das ferramentas de segurança e suas aplicações, julgue os itens que se seguem.

Escâneres, como o SAINT e o NESSUS, são úteis para a auditoria de segurança, em especial na realização de inventários de serviços e na identificação de vulnerabilidades a eles associadas.

A complexidade sempre crescente das redes de comunicação vem exigindo cada vez mais o emprego de ferramentas automatizadas de gerência de redes. Isso motivou esforços para a padronização de arquiteturas de gerência, incluindo a definição de protocolos e bancos de dados específicos de gerência de redes e sistemas. O protocolo padronizado de gerência de redes mais popular da atualidade é o SNMP (simple network management protocol), que tem três versões oficialmente publicadas em RFC (SNMPv1, SNMPv2 e SNMPv3), todas conservando alguns princípios básicos comuns, mas com diferenças no que se refere ao comportamento do protocolo, tipos de mensagens e mecanismos de segurança. Acerca do protocolo SNMP nas versões v1 e v2, julgue os itens a seguir.

Em SNMPv2, a mensagem get-bulk-request é especificada para que um gerente possa solicitar de uma só vez um grande volume de dados da MIB de um outro gerente.

A estruturação da arquitetura de segurança de informações de uma organização necessita da definição e da aplicação de uma política de segurança que englobe aspectos tecnológicos e humanos. Acerca da definição e da aplicação de uma política de segurança, julgue os itens a seguir.

Uma política de segurança deve nortear a definição dos parâmetros para a configuração das principais ferramentas de proteção, tais como sistemas firewall, antivírus e detectores de intrusão.

O governo federal brasileiro vem tomando uma série de medidas que pouco a pouco estão definindo o arcabouço de uma legislação relativa à segurança dos sistemas de informação. Entre tais medidas, citam-se o Decreto n.º 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da administração pública federal, o Decreto n.º 3.587, de 5 de setembro de 2000, que estabelece normas para a Infra-Estrutura de Chaves Públicas do Poder Executivo Federal – ICP-Gov, e a Medida Provisória n.º 2.200, de 28 de junho de 2001, que institui a Infra- Estrutura de Chaves Públicas Brasileira – ICP-Brasil. Acerca dessa legislação, julgue os seguintes itens.

A ICP-Brasil, tal como proposta, estabelece que as empresas do governo DATAPREV, DATASUS e SERPRO devem, cada uma, implantar sua própria AC e que as três ACs, assim estruturadas, devem ter uma certificação cruzada, de modo a, conjuntamente, constituir a AC-raiz da Infra-Estrutura de Chaves Públicas Brasileira.

Acerca de infra-estruturas de chaves públicas (ICP), suas características tecnológicas e aplicações, julgue os itens abaixo.

Uma autoridade certificadora (AC) é uma entidade responsável por gerar, assinar e distribuir certificados digitais.