SóProvas

Prova CESPE - 2011 - STM - Analista Judiciário - Análise de Sistemas - Específicos

ID
252040
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Engenharia de Software
Assuntos

A respeito de modelo de processo, que pode ser usado para indicar
quais atividades ocorrem, quando e por quem elas são realizadas,
julgue os itens a seguir.

São elementos de um processo de desenvolvimento de software: atividade, sequência, modelo de processo, recursos, controles, políticas e organização.

Alternativas
Comentários
  • Alguém poderia me dizer qual a fonte (bibliografia) desta questão?
  • eu também fico me perguntando também de onde algumas questões são extraídas...

  • Fiz a mesma pergunta!

    Ferramentas e técnicas para a modelagem do processo 
    Modelo estático: Notação de Lai (1991)

    Trata-se da "Notação de Lai" trata-se de uma ferramenta para descrever processos que conta com os seguinte elementos:
    Atividade: o que deverá ser realizado ao longo do processo
    Sequência: ordem das atividades
    modelo de processo: visão de interesse sobre o sistema
    recursos: necessários a realização das atividades, pode ser ferramenta ou pessoa
    controle: influência externa sobre a aprovação do processo, podem ser manuais/automáticos, humanos ou mecânicos.
    Política: princípios de orientação
    Organização: estrutura hierárquica dos agentes do processo

    fonte: 
    1) https://github.com/willystadnick/education/blob/master/Facvest/6%C2%AA%20Fase/Engenharia%20de%20Software/Modelagem%20do%20Processo%20e%20Ciclo%20de%20Vida.txt - Linha 152
    2) http://slideplayer.com.br/slide/295975/

  • São elementos de um processo de desenvolvimento de software: atividade, sequência, modelo de processo, recursos, controles, políticas e organização.

    Basta olharmos para os processos de desenvolvimento de software. Vamos usar o cascata e o XP, por exemplo. Eles possuem atividades bem definidas. Sequência dessas atividades (ainda que o XP não seja bem definida uma após a outra, mas não deixa de existir as atividades). Modelo de processo é um modelo adotado (no caso do cascata é um modelo mais rígido e sequencial enquanto que no XP é um modelo mais flexível e tem outros focos). Recursos são as ferramentas usadas pela metodologia no processo. Controles são as formas de se controlar os marcos. Políticas e organizações impactam e muito (dependendo da organização é possível adotar uma ou outra forma do processo como quantidade de desenvolvedores envolvidos, etc).

  • O processo de desenvolvimento de software é algo tão subjetivo que não merece uma definição específica.

ID
252043
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Modelagem de Processos de Negócio (BPM)
Assuntos

A respeito de modelo de processo, que pode ser usado para indicar
quais atividades ocorrem, quando e por quem elas são realizadas,
julgue os itens a seguir.

Um modelo de processo pode ser estático ou dinâmico. O primeiro tipo retrata o processo, mostrando como os produtos intermediários e finais são transformados e o que acontece aos recursos e artefatos enquanto as atividades ocorrem. O modelo dinâmico retrata o processo, mostrando que as entradas são transformadas em saída.

Alternativas
Comentários

  • O ciclo de vida estático representa o modelo em cascata, clássico, e os resultados obtidos na realização de cada fase gera um artefato como 
    saida que servirá de entrada para a próxima fase. Este artefato é completo, não pode ser revisado (cascata BURRO - by Pedrosa).
     
    O modelo dinâmico é o iterativo, onde a realização de cada iteração vai gerando artefatos incompletos que vão sendo construidos conforme o 
    desenvolvimento vai avançando. Pode ser revisado, replanejado. 

    Logo na questão houve uma inversão de definição.

  • É exatamente o contrário: 

    O modelo de processo DINÂMICO retrata o processo, mostrando como os produtos intermediários e finais são transformados e o que acontece aos recursos e artefatos enquanto as atividades ocorrem.

    O modelo de processo ESTÁTICO retrata o processo, mostrando que as entradas são transformadas em saída (Entrada -> Processo -> Saída)
  • Pessoal, resolvi só por interpretação. Por analogia o modelo estático é similar ao modelo da "caixa-preta", ou seja, você não enxerga o que está dentro. O modelo dinâmico seria equiparável ao modelo da "caixa-branca", no qual é possivel ver as partes funcionando internamente.

    Resumindo: se mostra as transformações é porque é o dinâmico. Se mostra apenas entrada e saída é o estático.

    Abs

  • Gente, segundo o CBOK versão 3 os modelos estáticos representam uma momento único do processo - é como se fosse uma instância de uma classe com a situação atual do que se quer observar. Já o modelo Dinâmico envolve ferramentas de simulação conforme previsto no texto abaixo:

    "Modelos ou alguns elementos de um modelo podem ser construídos com características dinâmicas. Exemplos de modelos dinâmicos incluem os concebidos para permitir interação com um ator de processo ou os que mostram o desenvolvimento de uma tendência ao longo do tempo. Em alguns casos, podem efetuar previsões de funcionamento futuro.

    Ferramentas de modelagem podem oferecer recursos de interação dinâmica. Algumas versões básicas de ferramentas de modelagem possuem recursos de simulação apropriados para a maioria dos trabalhos de modelagem..." 

  • Houve inversão de conceitos na questão.

ID
252046
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Engenharia de Software
Assuntos

Julgue os próximos itens, a respeito dos requisitos de um sistema,
que definem o que o sistema deve fazer e as restrições existentes.

São consideradas técnicas de validação de requisitos: revisões de requisitos, prototipação e geração de casos de teste.

Alternativas
Comentários

  • Técnicas de validação


    Revisões dos requisitos
    Uma equipe de revisores pode analisar sistematicamente a especificação produzida de forma a garantir que esta corresponde ao sistema pretendido; em revisões informais, a equipe de revisores pode simplesmente ter uma conversa, envolvendo o maior número possível de representantes das partes interessadas, acerca dos requisitos produzidos; em revisões formais, a equipe de revisores deve confirmar junto do cliente um conjunto de critérios que todos os requisitos devem cumprir, nomeadamente: verificabilidade, compreensibilidade (por parte dos utilizadores finais), rastreabilidade (a origem dos requisitos deve ser identificável) e adaptabilidade (capacidade de sofrer alterações sem produzir efeitos em todos os outros requisitos).
     
    Prototipificação
    (Ou prototipação) A implementação de um protótipo (por exemplo, da interface do sistema) pode ser útil para os utilizadores finais (e demais interessados), já que se trata do elemento do sistema final com o qual terão mais contacto quando o sistema estiver operacional; esta técnica também é eficaz, embora tenha desvantagens: o tempo gasto na sua implementação pode não justificar o seu uso, pode enviesar os utilizadores (levando a desilusões com a versão final do sistema, no caso de esta ser muito diferente do protótipo) e pode ainda levar os programadores a cair na tentação de usar o protótipo para continuar o desenvolvimento do sistema (pelo que, idealmente, o protótipo deva ser implementado noutra linguagem que não aquela usada pelo sistema, eliminando por completo esta tentação).
     
    Geração de casos de teste
    Uma vez que cada requisito deve ser testável, deveria ser possível criar (desenhar) os respectivos testes desde a fase de validação de requisitos; se isto não for possível, é sinónimo de que a implementação deste requisito será difícil e que este poderá ter de ser reconsiderado.
     
    Análise de consistência automática
    Através da especificação formal de modelos para o sistema é possível, recorrendo a ferramentas adequadas (como as ferramentas CASE), testar de forma automática a consistência dos modelos criados; apenas a consistência é testada nesta técnica, pelo que tem de ser complementada com uma das outras técnicas referidas.

  • Item correto.

    Técnicas de Validação de Requisitos.

    • Revisões de Requisitos: análise sistemática e manual dos requisitos.

    Um grupo de revisores é alocado para examinar a especificação dos requisitos do software: verificando que esse documento satisfaz os critérios de qualidade desejados; procurando por: erros no conteúdo ou de interpretação; hipóteses confusas ou equivocadas; falta de clareza na descrição dos requisitos; desvios em relação aos padrões estabelecidos no processo ou projeto; falta de alguma informação; inconsistências entre requisitos; requisitos não alcançáveis. 

    • Prototipação: utilização de um modelo do sistema para validar seus requisitos.

    Meio de validar a interpretação do analista de requisitos sobre os requisitos do software.
    Vantagem: as hipóteses e interpretações do analista de requisitos sobre os requisitos do software são mais facilmente visualizadas, permitindo identificar onde ele está enganado, se for o caso. Desvantagem: perigo da atenção do usuário desviar-se das funcionalidades do sistema para questões cosméticas ou problemas de qualidade do protótipo.

    • Validação do Modelo de Análise: validação dos modelos produzidos durante a Análise de Requisitos.

    A qualidade dos modelos desenvolvidos durante a Análise de Requisitos normalmente também é validada. Se notações formais foram utilizadas para especificar os requisitos do software é possível utilizar procedimentos automatizados para provar algumas características do modelo de análise.

    • Geração de Testes de Aceitação: desenvolvimento de testes para os requisitos. 

    Propriedade essencial de todo requisito de software: deve ser possível validar que o produto final o satisfaz. Essa técnica consiste em desenhar testes de aceitação que serão utilizados para verificar a conformidade do produto final com cada requisito de software. Requisitos que não podem ser validados por meio de testes de aceitação não são requisitos. 

    Bibliografia

    PRESSMAN, Roger S. Engenharia de Software. 5ª ed., Rio de Janeiro: McGraw Hill, 2002, capítulos 10 e 11.

    IEEE. SWEBOK: Guide to the Software Engineering Body of Knowledge. 2004,capítulo 2.

  • correto 

    revisões de requisitos - quando ambos os revisam. pode ser informal (conversa com stakeholders) & formal (quando ha explicações de implicações de req)

    prototipação - cliente experimenta

    geração de casos de teste - os requisitos sao testados. 

ID
252049
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Engenharia de Software
Assuntos

Julgue os próximos itens, a respeito dos requisitos de um sistema,
que definem o que o sistema deve fazer e as restrições existentes.

Requisitos não funcionais são declarações dos serviços a serem fornecidos pelo sistema, enquanto requisitos funcionais restringem tanto o sistema quanto o processo de desenvolvimento que deve ser usado. Os requisitos funcionais podem ser de produto, organizacionais ou externos.

Alternativas
Comentários
  • Requisitos funcionais são as declarações dos serviços que um sistema vai oferecer, como por exemplo, validar usuários, executar a simulação, editar variáveis etc. Já os requisitos não funcionais tem maior relação com a qualidade do software podendo restringir o desempenho, o tamanho do software, escalabilidade, usabilidade etc.
    Já a segunda setença está correta.
  • Retificando o colega,

    Os requisitos NÃO funcionais podem ser de produto, organizacionais ou externos.
  • A classificação usada na questão refere-se àquela proposta por Somerville. Para complementar o colega, cito uma referência acerca da classificação dos requisitos não funcionais:
    1)Página 82 do livro "Engenharia de software 8 edição - Somerville"
    2)http://pt.scribd.com/doc/2210932/Requisitos-Nao-Funcionais
         OBS: requisitos de processo == requisitos organizacionais
      
  • Requisitos não funcionais
    São requisitos que expressam condições que o software deve atender ou qualidades específicas que o software deve ter. Em vez de informar o que o sistema fará, os requisitos não-funcionais colocam restrições no sistema.
    Segundo Thayer (1990)  em engenharia de sistemas de software, um requisito não funcional de software é aquele que descreve não o que o sistema fará, mas COMO ele fará.
    Requisitos não funcionais são aqueles que não estão diretamente relacionados à funcionalidade de um sistema.

    Requisitos funcionais
    São requisitos diretamente ligados a funcionalidade do software, descrevem as funções que o software deve executar.
    Thayer (1990)  corrobora a definição anterior, ao especificar que requisitos funcionais é um requisito de sistema de software que especifica uma função que o sistema ou componente deve ser capas de realizar. Estes são requisitos de software que definem o comportamente do sistema, ou seja, o processo ou transformação que componentes de software ou hardware efetuam sobre as entradas para gerar as sídas. Esses requisitos capturam as funcionalidades sob o ponto de vista do usuário.
  • Requisitos não funcionais são declarações dos serviços a serem fornecidos pelo sistema, enquanto requisitos não funcionais restringem tanto o sistema quanto o processo de desenvolvimento que deve ser usado. Os requisitos não funcionais podem ser de produto, organizacionais ou externos.
ID
252052
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Engenharia de Software
Assuntos

Julgue os próximos itens, a respeito dos requisitos de um sistema,
que definem o que o sistema deve fazer e as restrições existentes.

Um processo de elicitação e análise de requisitos envolve as seguintes atividades: obtenção de requisitos, em que são coletados os requisitos e os requisitos de domínio; classificação e organização de requisitos, que agrupa e organiza os requisitos relacionados; priorização e negociação de requisitos, em que, com a participação dos stakeholders, são resolvidos os conflitos de requisitos; e documentação de requisitos, para a produção dos documentos de requisitos formais ou informais.

Alternativas
Comentários
  • A elicitação/levantamento de requisitos corresponde a identificar junto aos stakeholders quais são os objetivos do sistema ou produto de software, o que deve ser acompanhado, como o sistema ou produto se 'encaixa' no contexto das necessidades do negócio e, finalmente, como será a utilização do sistema ou produto no dia-a-dia.
    Apesar de parecer simples, trata-se de um processo extremamente complexo. Algumas das razões desta dificuldade:
    • Problemas de escopo: os limites do sistema são geralmente definidos de forma incompleta, ou os clientes/usuários especificam detalhes técnicos desnecessários;
    • Problemas de compreensão: os clientes/usuários geralmente não estão completamente certos das necessidades, têm uma compreensão pobre das capacidades e limitações de seu ambiente computacional ou do domínio do seu negócio, omitem informações que julgam óbvias e etc.
    • Problemas de volatilidade: os requisitos mudam o tempo todo.
    Para auxiliar a superar estes problemas, os engenheiros de sistema devem abordar os requisitos de maneira organizada. Alguns passos são sugeridos para elicitação de requisitos:
    •     Avaliar a viabilidade técnica e de negócio para o sistema proposto;
    •     Identificar as pessoas que vão auxiliar a especificar os requisitos e compreender seus preconceitos organizacionais;
    •     Definir o ambiente técnico no qual o sistema será instalado;
    •     Identificar regras de domínio que limitam a funcionalidade ou desempenho do sistema ou produto que será construído;
    •     Definir um ou mais métodos de elicitação de requisitos;
    •     Solicitar participação de várias pessoas para que os requisitos sejam definidos a partir de diversos pontos de vista;
    •     Identificar claramente a justificativa de existência para cada requisito registrado; Identificar requisitos ambíguos que serão candidatos a prototipação.

  • O que seriam requisitos informais?

  • Também fiquei na dúvida em relação a esses requisitos informais.


  • As atividades do processo de engenharia de requisitos são:


    1. Descoberto de requisitos. Essa é a atividade de interação com os stakeholders do sistema para descobrir seus requisitos. Os requisitos de domínio dos stakeholders e da documentação também são descobertos durante essa atividade. Existem várias técnicas complementares que podem ser usadas para descoberta de requisitos, que discuto mais adiante.


    2. Classificação e organizaçao de requisitos. Essa atividade toma a coleção de requisitos não estruturados, agrupa requisitos relacionados e os organiza em grupos coerentes. A forma mais comum de agrupar os requisitos é o uso de um modelo de arquitetura do sistema para identificar subsistemas e associar requisitos a cada subsistema. Na prática, a engenharia de requisitos e projeto da arquitetura não podem ser atividades completamente separadas.

     

    3. Priorizaçao e negociação de requisitos. Inevitavelmente, quando os vários stakeholders estão envolvidos, os re­quisitos entram em conflito. Essa atividade está relacionada com a priorização de requisitos e em encontrar eresolver os conflitos por meio da negociação de requisitos. Normalmente, os stakeholders precisam se encon­trar para resolver as diferenças e chegar a um acordo sobre os requisitos.


    4. Especificação de requisitos. Os requisitos são documentados e inseridos no próximo ciclo da espiral. Documen­tos formais ou informais de requisitos podem ser produzidos, como discutido na Seção 4.3.

     

    Na seção 4.3, Sommerville diz:

     

    Os requisitos de usuário para um sistema devem descrever os requisitos funcionais e não funcionais de modo que sejam compreensíveis para os usuários do sistema que não tenham conhecimentos técnicos deta­lhados. Idealmente, eles devem especificar somente o comportamento externo do sistema. O documento de requisitos não deve incluir detalhes da arquitetura ou projeto do sistema. Consequentemente, se você está escrevendo requisitos de usuário, não deve usar o jargão de software, notações estruturadas ou notações formais; você deve escrever os requisitos de usuário em linguagem natural, com tabelas simples, formas e diagramas intuitivos.

    Fonte: Sommerville, 9ª Edição, Capítulo 2.

ID
252055
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Engenharia de Software
Assuntos

A técnica de análise de pontos de função é considerada uma
técnica de medição funcional de tamanho, segundo a ISO/IEC
20926. A esse respeito, e considerando que a sigla IFPUG se
refere ao International Function Point Users Group, julgue os
itens subsequentes.

O conceito de projeto de melhoria do IFPUG envolve as manutenções evolutivas, corretivas e preventivas da aplicação.

Alternativas
Comentários
  • Tipos de manutenção:

    Corretiva:referente ao reparo de defeitos, não envolve mudanças às funcionalidades do negócio

    Perfectiva: Também  chamada preventiva.  Mudanças  no  hardware  ou  software executadas  para  prevenir  defeitos  futuros  ou  falhas. Pode  incluir  modificações  para  atualização  de plataforma  de  suporte  ou  software  de  sistema, otimização de performance e outras atividades afins à manutenção  de  acordos  de  nível  de  serviço.  Não existem  modificações  na  funcionalidade  de  negócio associada  com este  trabalho.

    AdaptativaInclui modificações  para atender  novos  requisitos  de  negócio,  requisitos  de negócio em processo de mudança, ou para adicionar funcionalidade não presente em uma versão anterior . Pode  também  incluir  modificações  necessárias  ao atendimento  de  requisitos  técnicos.  É  iniciada  por solicitações de negócio para adicionar , modificar e/ou excluir  funcionalidades  de  negócio.  É  sinônimo  do conceito de uma  "melhoria"  como definido pelo  IFPUG.

    O erro da questão é porque não tem manutenção evolutiva
  • Discordo do colega que afirma que o problema da questão é que não existem manutenções evolutivas.

    O erro da questão é o fato de mencionar que o projeto de melhoria do IFPUG abrange manutenções corretivas e preventiva:

    "O governo brasileiro reconheceu que a função do IFPUG "Métrica Point" fornece uma medida objetiva de tamanho funcional para o desenvolvimento e aprimoramento de projetos. O governo também adotou um documento "Diretrizes Software Metrics" para lidar com situações não abordadas pelo IFPUG Counting Practices Manual, por exemplo, manutenção corretiva." (Fonte: http://www.teclogica.com.br/?n=176)

    "...nem toda intervenção em uma aplicação será objeto de medição em pontos de função como, por exemplo, as intervenções que envolvam apenas requisitos não funcionais - as manutenções perfectivas. Tão pouco a manutenção corretiva é objeto de medição em pontos de função..." (Fonte: http://www.lg.com.br/maisti/artigos/artigos.aspx?titulo=aspectos-gerais-da-apf&id=47)
  • As manutençoes evolutivas não são consideradas no projeto de MELHORIA.

    Em APF só é considerada manutenção melhoria a adição, remoção ou modificação de alguma funcionalidade (FUNÇÃO lógica) do software.

    Já as manutenções corretivas correspondem ao esforço empregado para corrigir defeitos inseridos com manuteções de melhoria que inseriram defeitos.

    Por fim, as melhorias evolutivas são por exemplo incremento da performance, refactoring de código, adaptaçoes para conexão com o novo driver de banco de dados etc, ou seja, em termos de funcionalidade nada muda.Fonte:http://www.fattocs.com.br/faq.asp
  • Pessoal, no livro do Vazquez (Anális de Pontos de Função: Medição, Estimativas e Gerenciamento de Projetos de Software, 8ª edição) ele diz, na página 133, "O conceito de projeto de melhoria do IFPUG envolve apenas manutenções evolutivas na aplicação, ou seja, alterações na aplicação para atender aos novos requisitos de negócio do usuário. Não estão contempladas manutenções corretivas e preventivas (exemplo: adaptações para migração de plataforma ou codificação em uma nova linguagem)" .
  • São milhões de fontes falando cada um uma coisa. Na minha fonte de estudos, cita somente manutenção corretiva e evolutiva. Nada é relatado sobre preventiva.

    QUE DEUS NOS ILUMINE DIANTE DE TANTAS FONTES ERRADAS.

    Abraços.
  • Caros, tentando colaborar com o esclarecimento da questão

    É possível aplicar Análise de Pontos de Função (APF) para projetos de manutenção de sistemas, porém nem todas as manutenções em um software são passíveis de serem medidas com a APF. Apenas as manutenções que alteram os requisitos funcionais de um software podem ser medidas pela APF, neste caso o IFPUG usa o termo "melhoria" em vez de "manutenção", exatamente para deixar destacada que a melhoria não é qualquer manutenção. No conceito do IFPUG a melhoria mede todas as funções que serão adicionadas, alteradas ou excluídas da aplicação, bem como as eventuais funções de conversão de dados. 

    Manutenções para correção de defeitos ou para manter apenas requisitos não funcionais não são medidas pela APF.
    fonte: http://www.fattocs.com.br/faq.asp#P41

  • De acordo com o manual do IFPUG:

    3.37
    projeto de melhoria
    projeto para desenvolver e entregar manutenção adaptativa.

    NOTA Um projeto de melhoria também pode desenvolver e entregar manutenção corretiva e perfectiva, porém estes não contribuem para o tamanho funcional do projeto de melhoria.
    3.31
    manutenção adaptativa
    modificação de um produto de software, executada após a entrega, a fim de manter o mesmo utilizável em um ambiente alterado ou em alteração
    3.32
    manutenção corretiva
    modificação reativa de um produto de software, executada após a entrega para corrigir problemas descoberto
    3.33
    manutenção perfectiva
    modificação de um produto de software após a entrega, a fim de detetar e corrigir defeitos latentes no mesmo antes que se manifestem como falhas
     






     

  • Caros, a questão foi extraída do próprio manual da IFPUG.
    Projeto de Melhoria - IFPUG, pág. 133
    O conceito de projeto de melhoria do IFPUG envolve apenas manutenções evolutivas na aplicação, ou seja, alterações na aplicação para atender aos novos requisitos de negócio do usuário. Não estão contempladas manutenções corretivas e preventivas (exemplo: adaptações para migração de plataforma ou codificação em uma nova linguagem).
ID
252058
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Engenharia de Software
Assuntos

A técnica de análise de pontos de função é considerada uma
técnica de medição funcional de tamanho, segundo a ISO/IEC
20926. A esse respeito, e considerando que a sigla IFPUG se
refere ao International Function Point Users Group, julgue os
itens subsequentes.

O padrão ISO/IEC 20926 considera a técnica até a determinação dos pontos de função não ajustados. As características gerais de sistema utilizadas para a determinação do fator de ajuste e dos pontos de função ajustado contêm requisitos tecnológicos e de qualidade.

Alternativas
Comentários
  • Olá, pessoal!

    Essa questão foi anulada pela organizadora.

    Justificativa da banca:  O conteúdo abordado no item extrapola os objetos de avaliação previstos no edital. Dessa forma, opta-se pela sua anulação.

    Bons estudos!
ID
252061
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Engenharia de Software
Assuntos

A técnica de análise de pontos de função é considerada uma
técnica de medição funcional de tamanho, segundo a ISO/IEC
20926. A esse respeito, e considerando que a sigla IFPUG se
refere ao International Function Point Users Group, julgue os
itens subsequentes.

A NESMA (Netherlands Software Metrics Users Association) tem objetivos e ações bem próximos aos do IFPUG; ambos apresentam abordagens semelhantes para a aplicação da análise de pontos de função em projetos de melhoria de software e na fase inicial do desenvolvimento do produto de software.

Alternativas
Comentários
  • Um possível erro da questão está em:
    "fase inicial do desenvolvimento do produto de software". A IFPUG, pelo menos, pode ser usada não só na fase inicial de desenvolvimento. É possível se contar os pontos de função de um software já finalizado.
    Só não lembro de uma referência para isso :/
  • Tirado do livro do Vazquez, p. 38:

    "Ambos manuais utilizam a mesma filosofia, conceitos, termos e regras, com algumas diretrizes diferentes, [...] Ambas possuem abordagens distintas para a aplicação da análise de pontos de função em projetos de melhoria de software."
  • "...Nesma utiliza a mesma filosofia, conceitos, termos e regras do IFPUG, com algumas diretrizes diferentes. A medição de um projeto de desenvolvimento ou de uma aplicação produz resultados bem próximos tanto na abordagem do IFPUG quanto da NESMA. Entretanto ambas organizações possuem abordagens distintas para a aplicação da análise de pontos de função em projetos de melhoria de software."

    Fonte:     http://www.fattocs.com.br/faq.asp
  • A diferença entre as regras mantidas pela NESMA e as mantidas pelo IFPUG é que a NESMA reconhece três tipos de contagem de pontos de função: Detalhada, Estimada e Indicativa.

    A técnica detalhada é similar a do IFPUG, as demais foram desenvolvidos para permitir que uma contagem de pontos de função seja feita nos momentos iniciais do ciclo de vida de um sistema, onde ainda não é possível identificar com precisão a quantidade de campos e arquivos envolvidos.

    Outra diferença é que para projetos de melhoria, é aplicado um Fator de Impacto sobre o tamanho em pontos de função, cujo objetivo é amortizar o tamanho das funções envolvidas na melhoria.

    Exemplo: Se a melhoria envolve a exclusão de uma função de 10 pontos de função, aplicando-se as regras da NESMA elas valem 4 pontos de função ao invés dos 10 conforme a contagem do IFPUG, ou seja, o fator de impacto para esse caso é de 40% do tamanho original.

    A aplicação das regras da NESMA é bastante adequada para projetos de melhoria, pois proporciona uma melhor relação entre tamanho e esforço do projeto.

    Para maiores informações sobre a NESMA, acesse o site: www.nesma.nl/section/home/
  • A técnica detalhada é similar a do IFPUG, as demais (estimativa e indicativa) foram desenvolvidos para permitir que uma contagem de pontos de função seja feita nos momentos iniciais do ciclo de vida de um sistema, onde ainda não é possível identificar com precisão a quantidade de campos e arquivos envolvidos.

  • IFPUG e NESMA são praticamente idênticos para cálculo em projetos de desenvolvimento e aplicação, mas não de Melhoria.

  • Como julgar objetivamente a expressão "abordagens semelhantes"?

     

     

ID
252064
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Engenharia de Software
Assuntos

Julgue os itens seguintes, a respeito de diferentes abordagens
para o processo de desenvolvimento de software.

As diferentes abordagens para o desenvolvimento rápido de software compartilham algumas características fundamentais, tais como: não há especificação detalhada de sistema e, na documentação do projeto, são definidas somente as características mais importantes do sistema; o sistema é desenvolvido em uma série de incrementos, em que os usuários finais e outros stakeholders participam da especificação e avaliação de cada incremento.

Alternativas
Comentários
  • Olá, pessoal!

    Essa questão foi anulada pela organizadora.

    Justificativa da banca:  A redação do item prejudicou o seu julgamento objetivo, induzindo os candidatos ao erro, razão pela qual se opta por sua anulação.

    Bons estudos!
ID
252067
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Engenharia de Software
Assuntos

Julgue os itens seguintes, a respeito de diferentes abordagens
para o processo de desenvolvimento de software.

O extreme programming (XP), que se inclui entre os métodos ágeis, apresenta, entre outras, as seguintes características: pequenos releases, projeto simples, refactoring, programação em pares e propriedade coletiva.

Alternativas
Comentários
  • Práticas do XP:
    Cliente presente
    Jogo do planejamento
    Stand Up meeting
    Programação em par
    Desenvolvimento guiado pelos testes
    Refactoring
    Código coletivo
    Código padronizado
    Design simples
    Metáfora
    Ritmo sustentável
    Integração contínua
    Releases Curtos

    Fonte: Extreme Programming Vinicius Magalhaes Teles, Pag 23.

  • Certíssimo, todo o texto correto, é a base do XP, são as práticas, a vida do XP.

ID
252070
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Engenharia de Software
Assuntos

Julgue os itens seguintes, a respeito de diferentes abordagens
para o processo de desenvolvimento de software.

O RUP (rational unified process) é um modelo de processo de desenvolvimento genérico e moderno, organizado em fases - concepção, elaboração, construção e implantação -, que separa as atividades em requisitos, análise e projeto.

Alternativas
Comentários
  • As fases do RUP são:

    1 - Concepção
    2 - Elaboração
    3 - Construção
    4 - Transição

    O erro da questão é informar que implantação é uma das fases.
     
  • Fases do RUP:
    1- Concepção
    2- Elaboração
    3- Construção
    4- Transição

    Disciplinas do RUP
    1- Modelagem de Negócio
    2- Requisitos
    3- Design (Análise e Projeto)
    4- Implementação
    5- Testes
    6- Implantação

    Disciplinas de apoio:
    7- Ambiente
    8- Config. e Gerência de Mudanças
    9- Gerência de Projeto
  • além de conter um erro em uma das fases, também há um problema no trecho "que separa as atividades em requisitos, análise e projeto", pois o modelo é iterativo.
  • Eu diria que há dois erros nessa questão. 

    O primeiro está ao citar a fase de Implantação como uma das fases do RUP, como disse o colega anteriormente.

    O segundo está na forma com que o RUP separa as suas atividades. As atividades do RUP são separadas em suas 9 disciplinas e não somente nas duas (Requisitos e Análise e Projeto) citadas. 

  • Questão chata.... Pq dizer que o erro está em dizer que é por conta da fase de Implantação, que deveria ser Transição, é o mesmo que dizer que estaria errado dizer que as fases são: Iniciação(ao invés de Concepção), Elaboração, Construção e Transição. E notem que tem muita banca usando a nomenclatura de Iniciação, ao invés de Concepção... Aí para ter que adivinhar na hora da prova são outros 500.

     

    Dizer que o erro está no trecho: "...que separa as atividades em requisitos, análise e projeto." Ao meu ver é complicado, pois o examinador não disse SOMENTE. Seria o mesmo que que é errado dizer que:  o RUP possui duas disciplinas. Sabe-se que ele possui 9 disciplinas, logo possui duas disciplinas SIM. Se a afirmação fosse: o RUP só possui duas disciplinas, estaria errada, mas o examinador, ao citar requisitos, análise e projeto não usou nenhum termo excluindo as outras disciplinas....

     

    Complicado!!!!!!!

  • Análise do gráfico de baleias:

    Fases: Iniciação, elaboração, contrução e transição.

    Disciplinas: Modelagem de Negócio; Requisitos; Análise e Design; Implementação; Teste; Implantação; Gerneciamento de Config. e Mudanças; Gerenciamento de Projetos e AMbiente.

     

  • po, ele não restringiu as atividades do RUP a essas 3

     

    eu fui de Certa facil

     

     

    e transição por implantação... já vi tanta questao tratar isso como sinonimo

  • Fases do RUP: concepção; elaboração; construção; transição.

     

    Diciplinas do RUP: modelo de negócios; requisistos; analise e design; implementação; testes; implantação; gerenciamento de configurações e mudanças; gerenciamento de projeto; gerenciamento de ambiente.

  • Outro erro é dizer que o RUP é um "processo de desenvolvimento genérico". Ele é um processo de desenvolvimento de Software guiado por caso de uso, orientado a objetos. Portanto não é tão generico assim.

ID
252073
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Governança de TI
Assuntos

Julgue os itens subsecutivos, referentes ao CMMI (capability
maturity model integration), cujo objetivo é servir de guia
para a melhoria de processos na organização.

As representações por estágios e contínua, no CMMI, utilizam conceitos como áreas de processo, objetivos específicos, práticas específicas, objetivos genéricos e práticas genéricas. Áreas de processo são um conjunto de práticas que, quando executadas coletivamente, satisfazem um conjunto de objetivos. Os objetivos genéricos são aplicados para cada área de processo e identificam características únicas que descrevem o que deve ser implementado para satisfazer a área de processo.

Alternativas
Comentários
  • O erro na questão está no último período:

    Os objetivos genéricos ESPECÍFICOS  são aplicados para cada área de processo e identificam características únicas que descrevem o que deve ser implementado para satisfazer a área de processo
  • Arrisco também a dizer que tem erro em:
    "Áreas de processo são um conjunto de práticas que, quando executadas coletivamente, satisfazem um conjunto de objetivos." essa não me parece uma boa definição de área de processo.
  • Essa é uma definição de Área de processo aceitável.

    O problema é justamente o que o colega lá de cima colocou, eles misturaram.

    Dica: Objetivo Genérico = Geral, portanto, não pode ser aplicado a cada área de processo e identificar características únicas. Eles se aplicam a várias áreas de processo, justamente por isso são GENÉRICOS.

    Abraços
  • Questão: As representações por estágios e contínua, no CMMI, utilizam conceitos como áreas de processo, objetivos específicos, práticas específicas, objetivos genéricos e práticas genéricas. Áreas de processo são um conjunto de práticas que, quando executadas coletivamente, satisfazem um conjunto de objetivos. Os objetivos genéricos são aplicados para cada área de processo e identificam características únicas que descrevem o que deve ser implementado para satisfazer a área de processo.

    Explicação.: Onde ele escreve objetivos, o certo é "metas". Na observação em vermelho, o correto seria "metas específicas". Logo a questão está ERRADA.

    Abraço e bons estudos!!!

    Marcelo
  • Meu entendimento é o seguinte: Os objetivos genéricos são aplicados para cada área de processo e identificam características gerais que descrevem o que deve ser implementado para satisfazer o nível de capacidade.
  • Pessoal, o erro está em usar o termo "objetivo". O CMMI-Dev, publicado pelo SEI na versão em português do Brasil, usa o termo "metas", não "objetivos".
  • O erro está na última parte da afirmação, quando ele diz: ""...Os objetivos genéricos são aplicados para cada área de processo e identificam características únicas que descrevem o que deve ser implementado para satisfazer a área de processo."

    Na verdade sáo os objetivos ou metas específicas ou e não genéricos

  • Dava pra resolver só com o português, sem nunca ter ouvido falar de CMMI:

    Os objetivos genéricos são aplicados para cada área de processo e identificam características únicas que descrevem o que deve ser implementado para satisfazer a área de processo.

    Como uma coisa genérica identifica características únicas?

  • Do jeito que a CESPE é, se não fosse o erro no final citado por Felipe Guedes, ela estaria correta mesmo chamando "METAS" de "OBJETIVOS",  a banca adora esse joguinho de palavras.

  • Errada.
    Objetivos genéricos (ou metas genéricas) são comuns a todas as áreas de
    processo e referem-se ao estágio de institucionalização dos processos, e não aos
    resultados específicos de cada área de processo.
    CMMI – Principais componentes:
    Metas Específicas: se aplicam a cada área de processo e descrevem os
    resultados que devem ser alcançados para satisfazer a área de processo.
    Práticas Específicas: atividades consideradas importantes para alcançar as metas específicas de uma área de processo.
    Metas Genéricas: são associadas aos níveis de capacidade e recebem essa denominação porque a mesma afirmação de meta se aplica a todas as áreas de processo.
    Práticas Genéricas: atividades para garantir que os processos sejam
    efetivos, repetíveis e duradouros.

    FONTE: TECNOLOGIA DA INFORMAÇÃO – Questões comentadas Cespe/UnB  - Questão 452

ID
252076
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Governança de TI
Assuntos

Julgue os itens subsecutivos, referentes ao CMMI (capability
maturity model integration), cujo objetivo é servir de guia
para a melhoria de processos na organização.

O nível de maturidade 2 do CMMI apresenta as seguintes áreas de processo: gerência de requisitos, planejamento do processo, gerência e controle do projeto, gerência de acordo com fornecedores, medição e análise, garantia da qualidade do processo e produto e gerência de configuração.

Alternativas
Comentários
  • Não sei se o gabarito foi alterado pelo CESPE, mas não existe Planejamento de Processo e sim Planejamento de Projeto.

    Nível 2: Gerenciado
    • Gerenciamento de Requisitos - REQM (Requirements Management)
    Planejamento de Projeto - PP (Project Planning)
    • Acompanhamento e Controle de Projeto - PMC (Project Monitoring and Control)
    • Gerenciamento de Acordo com Fornecedor - SAM (Supplier Agreement Management)
    • Medição e Análise - MA (Measurement and Analysis)
    • Garantia da Qualidade de Processo e Produto - PPQA (Process and Product Quality Assurance)
    • Gerência de Configuração - CM (Configuration Management)
  • Descordo desta questão estar certa, pois no CMMI nível 2 não existe planejamento de processo, e sim planejamento de projeto.
  • Olá, pessoal!
     
    O gabarito foi atualizado para "E", após recursos, conforme edital publicado pela banca, e postado no site.

    Justificativa da banca:      Onde se lê-se “planejamento de processo”, deveria ler-se “planejamento de projeto”. Dessa forma, opta-se pela alteração do gabarito.
     
    Bons estudos!
  • O nível 2 é o único nível do modelo cmmi-dev 1.2 que não possui processos alocados na categoria Gerenciamento de Processo. Conceitualmente o nível 2 não tem um processo definido e padrão, essa é uma características quem vem a partir do nível 3. Os demais níveis todos possuem processos nessa categoria.
  • O nível de maturidade 2 do CMMI apresenta as seguintes áreas de processo: gerência de requisitos, planejamento do processo (projeto), gerência(Monitoramento)e controle do projeto, gerência de acordo com fornecedores, medição e análise, garantia da qualidade do processo e produto e gerência de configuração.
  • O nível de maturidade 2 só tem processos nas categorias PROJETOS e SUPORTE.
  • "O nível de maturidade 2 do CMMI apresenta as seguintes áreas de processo: gerência de requisitos, planejamento do processo, gerência e controle do projeto, gerência de acordo com fornecedores, medição e análise, garantia da qualidade do processo e produto e gerência de configuração"


    Só está errado o termo em negrito. O correto é "Planejamento do Projeto". 

    Pura sacanagem!
ID
252079
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Governança de TI
Assuntos

Julgue os itens subsecutivos, referentes ao CMMI (capability
maturity model integration), cujo objetivo é servir de guia
para a melhoria de processos na organização.

O CMMI possui representações por estágios e contínua. A representação por estágios permite a seleção da sequência de melhorias que convém aos objetivos dos negócios da organização. A abordagem contínua segue a mesma estrutura do SW-CMM, com níveis de maturidade, progredindo por um caminho predefinido de níveis, cada um servindo de base para o próximo.

Alternativas
Comentários
  • ERRADO. A questão simplesmente inverteu a abordagem contínua e por estágio.
  • O CMMI possui representações por estágios e contínua. A representação por estágios contínua permite a seleção da sequência de melhorias que convém aos objetivos dos negócios da organização. A abordagem contínua  por estágio segue a mesma estrutura do SW-CMM, com níveis de maturidade, progredindo por um caminho predefinido de níveis, cada um servindo de base para o próximo.
  • Basta lembrar que quando se fala em representação contínua usa-se a palavra "capacidade" e na representação por estágios a palavra "maturidade".
  • Dica que vi em outro comentário:
    Continua
    Capacidade

  • Raphael Lacerda isso mesmo, perigoso esse ponto da assertiva...

ID
252082
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Governança de TI
Assuntos

Julgue os itens subsecutivos, referentes ao CMMI (capability
maturity model integration), cujo objetivo é servir de guia
para a melhoria de processos na organização.

No CMMI, na representação por estágios, as áreas de processo são organizadas em cinco níveis de capacitação: incompleto, gerenciado, definido, gerenciado quantitativamente e otimizado; na representação contínua, são definidos seis níveis de maturidade: inicial, realizado, gerenciado, definido, gerenciado quantitativamente e otimizado.

Alternativas
Comentários
  • Contínuo
    • Nível 0: Incompleto (Ad-hoc)
    • Nível 1: Executado (Definido)
    • Nível 2: Gerenciado / Gerido
    • Nível 3: Definido
    • Nível 4: Quantitativamente gerenciado / Gerido quantitativamente
    • Nível 5: Em otimização (ou Optimizado)

    Estagio
    • Nível 1: Inicial (Ad-hoc)
    • Nível 2: Gerenciado / Gerido
    • Nível 3: Definido
    • Nível 4: Quantitativamente gerenciado / Gerido quantitativamente
    • Nível 5: Em otimização
  • Lendo a primeira linha não precisa ler o resto da questão: "estágios" refere-se à maturidade e não à capacitação
    "... na representação por estágios, as áreas de processo são organizadas em cinco níveis de capacitação ..."

    portanto, questão errada.
  • Errado.
    A questão simplesmente trocou as posições das palavras maturidade e capacidade.
    No CMMI, na representação por estágios, as áreas de processo são organizadas em cinco níveis de capacitação: incompleto, gerenciado, definido, gerenciado quantitativamente e otimizado; na representação contínua, são definidos seis níveis de maturidade: inicial, realizado, gerenciado, definido, gerenciado quantitativamente e otimizado.
  • No CMMI 1.3 a coisa muda um pouco:
     
     
    Níveis de Capacidade
     
    0 - Incompleto
    1 - Executado
    2 - Gerenciado
    3 - Definido
     
     
    Níveis de Maturidade
     
    1 - Inicial
    2 - Gerenciado
    3 - Definido
    4 - Gerenciado Quantitativamente
    5 - Em Otimização

  • Contínuo -> Capacidade

    Estágios -> Maturidade

  • Se a assertiva utiliza "contínua" ao invés de "por estágios" ai o bixo ia pegar para saber qual a versão...

  • Lembrando que os níveis de capacidade são 4 e não 5.

ID
252085
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Gerência de Projetos
Assuntos

A respeito do gerenciamento de projeto de software, julgue os
itens que se subseguem.

Diagramas de barras e redes de atividades são notações gráficas usadas para ilustrar o cronograma e o custo de um projeto. Enquanto o diagrama de barras mostra a duração das atividades, as redes de atividades mostram os interrelacionamentos entre as atividades.

Alternativas
Comentários
  • O erro da questão está em dizer que os diagramas citados tratam do custo do projeto.
  • O Diagrama de barras(a exemplo do gráfico de gantt) -  Mostra as atividades, os responsáveis e o tempo necessário  para executá-las

    O Diagrama de redes de atividades - Mostra a relacionamentos entre as atividades do projeto(É isto mesmo? Quase não achei informação sobre este diagrama)

    Não entendi bem por que a questão está errada. A questão está errada por que nenhum dos diagramas se refere a custos? e não me engano já li alguma coisa falando que a partir do gráfico de Gantt é possível se estimar custos.
  • Questão está errado por que afirma que as respectivas notações são usadas para ilustrar o custo do projeto.
  • Pessoal,

    Se eu sei a quantidade de pessoas envonvidas, o tempo, e o "custo" por hora, posso apresentar o cursto total do projeto pelo diagrama.

    Não é a maneira mais prática para isso, mas colocando em uma ferramenta este cálculo é automático.

    Desta forma, achei que seria correta.
  • PMBok 2008 6.5.3 Desenvolver o cronograma: saídas. (breve resumo)

    Gráfico de barras: esses gráficos, onde as barras representas as atividades, mostram as dadatas de início e términio da atividade, assim como as durações esperadas. 

    Diagramas de rede: com iformações sobrea as datas das atividades, mostra tanto a lógica da rede como as atividades do caminho crítico. Exibe tb as atividades relacionadas.

    Em nenhum momento se fala em custo. Portanto questão ERRADA.

  • tambem pensei q nem o Edward.. mas temos que levar ao pé da letra do livro...

  • Lembrar do MS Project, as barras nas atividades mostram a duração, inicio e fim definidos, também apresentam as atividades paralelas e conflitantes.

    O de rede, mostra o caminho crítico, como ser possível reduzir o prazo do projeto, rodando atividades paralelas etc.

ID
252088
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Gerência de Projetos
Assuntos

A respeito do gerenciamento de projeto de software, julgue os
itens que se subseguem.

O plano de projeto estabelece os recursos disponíveis para o projeto, a estrutura analítica do projeto e um cronograma para realizar o trabalho. No plano, constam as seguintes informações: organização do projeto, análise de riscos, requisitos de recursos de hardware e software, estrutura analítica, cronograma do projeto e mecanismos de monitoração e elaboração de relatórios.

Alternativas
Comentários
  • Olá, pessoal!

    Essa questão foi anulada pela organizadora.

    Justificativa da banca:  O termo "plano de Projeto" causou ambiguidade, prejudicando o julgamento objetivo do item. Dessa forma, opta-se pela sua anulação.

    Bons estudos!
ID
252091
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Algoritmos e Estrutura de Dados
Assuntos

Com relação a algoritmos e lógica de programação, julgue os
itens a seguir.

Procedimento ou sub-rotina é um conjunto de instruções que realiza determinada tarefa. As funções são criadas da mesma maneira que os procedimentos; a diferença é que as funções podem ser utilizadas em expressões, como se fossem variáveis, pois elas retornam valores associados ao seu nome.

Alternativas
Comentários
  • Olá, pessoal!
     
    O gabarito foi atualizado para "E", após recursos, conforme edital publicado pela banca, e postado no site.

    Justificativa da banca:      As funções podem não ser criadas da mesma maneira que os procedimentos. Portanto, opta-se pela alteração do gabarito.
     
    Bons estudos!

  • Em que situações é possível ter uma diferença do modo como é criada a função do procedimento?

    A questão foi tirada desse site:
    https://juliobattisti.com.br/artigos/livrologica/capitulo1/08.asp

    Assim fica difícil acreditar na licitude do processo da CESPE.


     

  • Depois de pensar um pouco vi que o Julio Batist está errado mesmo. Não podemos dizer que uma função é criada da mesma maneira que um procedimento porque: a começar da declaração da função que tem retorno e do procedimento que NUNCA retorna nada. Logo, eles são diferentes.

ID
252094
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Programação
Assuntos

Com relação a algoritmos e lógica de programação, julgue os
itens a seguir.

Na passagem de parâmetros por referência, o valor do parâmetro real é copiado para o parâmetro formal do módulo, preservando, assim, o valor original do parâmetro. Na passagem de parâmetros por valor, toda alteração feita nos parâmetros formais reflete-se nos parâmetros reais.

Alternativas
Comentários
  • Parâmetros por referência - modifica o parâmetro real.
    Parâmetros por valor - nâo modifica o parâmetro real.
  • Os conceitos estao invertidos.

    Na passagem de parâmetros por referência, o valor do parâmetro real é copiado para o parâmetro formal do módulo, preservando, assim, o valor original do parâmetro. Na passagem de parâmetros por valor, toda alteração feita nos parâmetros formais reflete-se nos parâmetros reais.

    o certo seria:

    Na passagem de parâmetros por valor, o valor do parâmetro real é copiado para o parâmetro formal do módulo, preservando, assim, o valor original do parâmetro. Na passagem de parâmetros por referência, toda alteração feita nos parâmetros formais reflete-se nos parâmetros reais.

  • Me dá mais R$ 1,00 pelos conceitos invertidos cespe...

  • Inversão de conceitos! “Na passagem de parâmetros por valor, o valor do parâmetro real é copiado para o parâmetro formal do módulo, preservando, assim, o valor original do parâmetro. Na passagem de parâmetros por referência, toda alteração feita nos parâmetros formais reflete-se nos parâmetros reais.”.

    Resposta: Errado

  • Errada.  Inversão de conceitos! “Na passagem de parâmetros por valor, o valor do parâmetro real é copiado para o parâmetro formal do módulo, preservando, assim, o valor original do parâmetro. Na passagem de parâmetros por referência, toda alteração feita nos parâmetros formais reflete-se nos parâmetros reais.

  • Pessoal, na verdade é ao contrário, por isso o erro na questão.

    Resposta: Errado

  • GABARITO: ERRADO

    Inversão de conceitos! “Na passagem de parâmetros por valor, o valor do parâmetro real é copiado para o parâmetro formal do módulo, preservando, assim, o valor original do parâmetro. Na passagem de parâmetros por referência, toda alteração feita nos parâmetros formais reflete-se nos parâmetros reais.”.

  • Na passagem de parâmetros por valor, a variável passada como parâmetro passa apenas o seu valor para o outro módulo, não sofrendo modificações no seu módulo de origem.

    Na passagem de parâmetros por referênciao parâmetro passado é, na verdade, um ponteiro (endereço de memória) que aponta para a própria variável. Ou seja, caso o parâmetro passado sofra modificações, a variável também muda o seu valor.

ID
252097
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Algoritmos e Estrutura de Dados
Assuntos

Com relação a algoritmos e lógica de programação, julgue os
itens a seguir.

Nas estruturas de controle, tais como as estruturas de seleção simples, compostas ou encadeadas, é necessário verificar as condições para a realização de uma instrução ou sequência de instruções.

Alternativas
Comentários
  • estruturas de seleção simples: IF

    compostas: IF/ELSE

    encadeadas: CASE

    é necessário verificar as condições para a realização de uma instrução ou sequência de instruções
  • Um if dentro do outro não seria uma instrução encadeada?

  • correto -

    simples estruturas condicional - if then endif

    composta if-then-else

    encadeada - if-then-else-if-then-else... endif

  • Isso aí. A verificação das condições ocorre no comando if.

    Resposta: Certo

  • Correta. A verificação das condições ocorre no comando if.

  • Correto, pois para que o algoritmo realiza uma seleção, é necessário que ele verifique uma condição.

    Resposta: Certo

  • A verificação das condições ocorre no comando if.

  • Estruturas de repetição:

    Estruturas de repetição com verificação antecipada - WHILE

    Estruturas de repetição com verificação no final – REPEAT UNTIL

    Estruturas de repetição com variável de controle - FOR

ID
252109
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Banco de Dados
Assuntos

Acerca de bancos de dados relacionais e SQL, julgue os itens
que se seguem.

Os comandos do grupo DDL (data definition language) do SQL permitem gerar os dados das tabelas que formam um banco de dados.

Alternativas
Comentários
  • ERRADO, pois DDL permite gerar as tabelas em si, e não seus dados.

    DDL: CREATE TABLE (criar tabelas)

    DML: INSERT INTO TABLE (gerar dados)
  • Linguagem de Definição de Dados (DDL):
    usada para especificar o esquema conceitual.
    Linguagem de Definição de Armazenamento (SDL):
    usada para especificar o esquema interno, mas na maioria dos SGBDsa DDL é usada para definir este esquema.
    Linguagem de Definição de Visões (VDL):
    usada para especificar as visões dos usuários e os seus mapeamentos para o esquema conceitual, mas na maioria dos SGBDsa DDL é usada para definir ambos os esquemas, o conceitual e o externo.
    Linguagem de Manipulação de Dados (DML):
    usada para manipular os dados em um banco de dados. As manipulações típicas são a recuperação, inserção, remoção e modificação dos dados.
  • Olá, pessoal!
     
    O gabarito foi atualizado para "C", após recursos, conforme edital publicado pela banca, e postado no site.

    Justificativa da banca:      Os comandos do grupo DDL - Data Definition Language - do SQL permitem gerar tabelas que formam um banco de dados, porém, as estruturas e os conteúdos das tabelas devem ser definidos anteriormente. Dessa forma, opta-se pela alteração do gabarito.
     
    Bons estudos!
  • Alguém pode dar um exemplo de comando ddl q gera dados ? eu pensei numa view, mas a view não gera dados ... ela restringe as colunas , ou seja executa um select para o usuário.
  • DDL (Data Definition Language - Linguagem de Definição de Dados) permite ao utilizador definir tabelas novas e elementos associados. A maioria dos bancos de dados de SQL comerciais tem extensões proprietárias no DDL.

    Os comandos básicos da DDL são poucos:

    • CREATE: cria um objeto (uma Tabela, por exemplo) dentro da base de dados.
    • DROP: apaga um objeto do banco de dados.

    Alguns sistemas de banco de dados usam o comando ALTER, que permite ao usuário alterar um objeto, por exemplo, adicionando uma coluna a uma tabela existente.

    Outros comandos DDL:

    • ALTER TABLE
    • CREATE INDEX
    • ALTER INDEX
    • DROP INDEX
    • CREATE VIEW
    • DROP VIEW

    Fonte:http://pt.wikipedia.org
  • Pessoal,

    Está fugindo um pouco o contexto na resposta de vocês.

    Na questão se lê: "... permitem gerar os dados..." portanto, o grupo DDL (Data Definition Language) criam as tabelas permitindo assim gerar os dados das tabelas.

    Acertiva Correta.
  • Eu entendi a questão como sendo os metadados, por isso marquei C, e acertei....rs
  • Pessoal,

    Criar visões(views) é possível através de DDL, ok ?!

    Sendo assim,  imagine que um dos campos criados na view seja a idade de uma pessoa(calculada com base no atributo data de nascimento) ou o resultado da soma de dois atributos numéricos, ou seja, um DADO GERADO com base em outros já existentes nas tabelas envolvidas na criação da view.

    Se isso é possível, então a questão está correta.

  • Eu marquei ERRADO, mas concordo com a alteração do gabarito para certo, seguindo o seguinte "contorcionismo intelectual":

    Quando você roda um CREATE TABLE, no ORACLE, por exemplo, você está inserindo registros nas tabelas de dicionário (tabelas de sistema que contém os nomes de todas as tabelas, colunas, índices e por aí vai...).

    No caso, insere um registro na tabela de SYS.TABLES e, para cada coluna definida, um registro relacionado na tabela SYS.COLUMNS...ou seja, cada item da estrutura da tabela é inserido e descrito como um registro de uma tabela.

    Óbvio que a CESPE não pensou nisso ANTES de jogar a questão na prova.
  • questão SEM RESPOSTA. O cesp não quis anular a questão e a alteração do gabarito ficou mais errado ainda.
    DDL NUNCA vai gerar dados. O exemplo dado pelo colega acima, que citou que VIEWS são geradas por DDL esta parcialmente correto. As views realmente são geradas por DDL, porém os DADOS da view serão gerados pela SELECT (DML)  que esta na view.

  • Se você interpretou a afirmativa da seguinte forma, eu tenho certeza que acertou a questão:

    Comandos do grupo DDL permitem gerar METADADOS das tabelas que formam um banco de dados.

  • Absurdo! Ridículo! Desmotivador! No mínimo a questão deveria ter sido anulada!

ID
252112
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Banco de Dados
Assuntos

A respeito de bancos de dados textuais, julgue o item a seguir.

Bancos de dados textuais auxiliam a tomada de decisão nos níveis gerenciais, uma vez que tratam de dados históricos. Na mineração de dados para um data >warehouse, é necessária a montagem de um banco de dados textual, tal que as pesquisas possam ser realizadas por meio de dados históricos.

Alternativas
Comentários
  • O banco de dados não precisa ser NECESSARIAMENT textual. Pode ser um banco de dados de sons, imagens, vídeos, .... um DW não é necessariamente textual.
  • A questão misturou 2 coisas que são independentes. Datawarehouse são base de dados multidimensionais usadas para apoio a decisão (geralmente através de ferramentas OLAP) .

    Banco de dados textual é um banco de dados especializado em armazenamento e busca de campos texto. Sua estrutura é bem parecida com um banco de dados relacional que usamos normalmente, mas contém adicionalmente uma engine de indexação e busca de textos baseado no idioma definido para o banco.

    Ex.Quando busco questões de concursos, o banco de dados textual já busca pelos termos questão, questao, questoes, questões, questionamento, concurso, concursos. Logo a engine textual já remove as preposições da lingua portuguesa, conjuga os verbos, flexiona palavras e etc.

    Logo, um banco textual não tem nenhum relação com um DW, apenas se este for uma fonte de dados para o DW, o qual passará por um processo de ETL antes de ser dada a carga no DW.

    Espero ter sido claro. Bons estudos a todos.
  • Banco de dados textuais não necessáriamente tratam de dados históricos.
    Não há necessidade de um banco textual para efetuar a mineração de dados.
ID
252115
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Arquitetura de Software
Assuntos

Com relação à arquitetura de aplicações web, julgue os itens
a seguir.

Aplicações web que não requerem controle de segurança podem ser construídas utilizando-se a arquitetura conhecida como modelo 1 ou MVC (model control view).

Alternativas
Comentários
  • "A terminologia (MVC1 e MVC2) pareceu nos primeiros dos esboços da especificação de JSP, e descreveu dois padrões básicos para o uso das páginas JSP. Os termos desaparecerem da especificação, mas permanecem no uso comum."

    "O modelo 1 e o modelo 2 indicam simplesmente à ausência ou à presença (respectivamente) de um servlet controlador que reencaminha as requisições da camada cliente e seleciona as views."

    Fonte:     http://javafree.uol.com.br/topic-849941-Diferenca-entre-MVC1-e-MVC2.html
  • Com relação a questão, acho que é CERTA mesmo. Agora ela deve ser ANULADA pela descrição errada de "MVC (model control view)".

    Muita gente marcou errado por causa deste erro acredito.
  • Bom dia, concordo com a Ana Paula, não consegui encontrar referências confiáveis para sustentar esse argumento da banca. Busquei com Pressman e ele faz uma separação clara entre os conceitos de modelos, para ele modelo 1 não é MVC tão pouco existiria a distinção entre MVC modelo1 ou 2. O livro Designing Enterprise Application with J2EE Plataform publicado pela Sun Microsystem deixa claro a separação desses conceitos na sessão 4.4 Web-Tier Application Framework Design*, abaixo há um trecho do livro mas dado limite de comentário não está completo, recomendo a leitura completa da sessão além de Pressman e Sommerville nos respectivos capítulos sobre MVC.

    "An MVC application framework can greatly simplify implementing a Model 2 application. Application frameworks such as Apache Struts and JavaServer FacesTM (see Section 4.4.5 on page 114) include a configurable front controller servlet, and provide abstract classes that can be extended to handle request dispatches."
    Referência
    *http://java.sun.com/blueprints/guidelines/designing_enterprise_applications_2e/web-tier/web-tier5.html
  • O servlet controlador do modelo 2 fornece um ponto único de controle para a segurança e o log da aplicação, e encapsula os dados enviados pela página em um formulário utilizável pelo back-end do modelo MVC.

    O que o CESPE quis dizer na assertiva: Precisa de segurança use o Model 2, não precisa use o MVC. Eles só esqueceram de um termo chave ai (controle de segurança CENTRALIZADO).

    Da onde eles tiraram isso:

    The Model 1 architecture can provide a more lightweight design for small, static applications. Model 1 architecture is suitable for applications that have very simple page flow, have little need for centralized security control or logging, and change little over time. Model 1 applications can often be refactored to Model 2 when application requirements change.

    http://java.sun.com/blueprints/guidelines/designing_enterprise_applications_2e/web-tier/web-tier5.html
ID
252118
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Arquitetura de Software
Assuntos

Com relação à arquitetura de aplicações web, julgue os itens
a seguir.

O modelo de componentes para computação distribuída DCOM (distributed component object model) utiliza o mecanismo proprietário OLE (object linking and embedding) e implementa o mecanismo RPC em sua arquitetura para a troca de mensagens entre aplicações na Internet.

Alternativas
Comentários

  • Quando a aplicação cliente chama um método do objeto remoto, o objeto proxy precisa efetuar a serialização dos parâmetros para que eles possam ser transmitidos pela rede. Os parâmetros podem ser tipos simples, mas também podem ser vetores ou objetos complexos, compostos de vários objetos (inclusive com referências circulares).

    No servidor, um objeto proxy (chamado de stub) realiza a "desserialização" dos parâmetros, chama o método do objeto, serializa os parâmetros de saída e transmite-os para o computador cliente. No cliente, o objeto proxy "desserializa" o retorno do método e repassa esses dados para a aplicação cliente. O mecanismo de serialização do DCOM foi construído a partir da infraestrutura de chamada de procedimento remoto definida no padrão Distributed Computing Environment (DCE).

    Se uma aplicação cliente (no computador A) realiza uma chamada remota a um método (de um objeto no computador B) que retorna um ponteiro para um objeto em execução em outro computador (C), após a desserialização a aplicação cliente pode chamar remotamente métodos do objeto no computador C.

  • ALGUÉM PODE EXPLICAR PORQUE A QUESTÃO ESTÁ ERRADA? OBRIGADA.
  • Complementando os comentários acima:
           OLE é um sistema de obejtos distribuídos e um protocolo desenvolvido pela Microsoft. Ele permite a um editor disponibilizar parte de um documento para outro editor, e então reimportá-lo. Por exemplo, um sistema de editoração eletrônica pode enviar texto para um processador de texto ou uma figura para um editor gráfico usando OLE. O maior benefício em usar essa tecnologia, além de reduzir o tamanho do arquivo do documento, é a habilidade em criar um arquivo mestre. Referências para dados nesse arquivo podem ser feitas, e o arquivo mestre pode então modificar os dados, que serão atualizados nos respectivos documentos referenciados.
              A OLE posteriormente evoluiu para tornar-se uma arquitetura para componentes de software conhecida como Component Object Model (COM), e posteriormente DCOM.
  • Resumindo de forma bem simples OLE não tem nada haver com DCOM.

  • De acordo com um estudo feito na Univerdade Federal do Rio Grande do Sul, na seção 6.2, página 31, diz que o DCON implementa o ORPC (Object Remote Procedure Call) para realizar as chamadas remotas.

    ftp://ftp.inf.ufrgs.br/pub/geyer/POD/slides/Slides-alunos/Geral/t01-objetosDistribuidos-POD-junho2003-texto1.pdf

ID
252121
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Arquitetura de Software
Assuntos

A respeito de SOA, de web services e do modelo de
acessibilidade do governo eletrônico, julgue os itens
subsequentes.

O modelo de acessibilidade do governo eletrônico adota o XML como padrão primário de intercâmbio de dados para todos os sistemas do setor público, além disso, versa sobre formas de utilização do XML para garantir a acessibilidade aos sistemas do governo.

Alternativas
Comentários
  • O erro está em "acessibilidade", na verdade é o modelo de interoperabilidade que adota o XML.
  • Esta questão está errada, pois o uso de XML não garante a acessibilidade,
    apenas torna mais fácil alcançá-la.
  • Acho que o grande problema da questão está na parte "adota o XML como padrão primário de intercâmbio de dados para todos os sistemas do setor público".

    Veja a definição do e-Ping: "A arquitetura e-PING – Padrões de Interoperabilidade de Governo Eletrônico – define um conjunto mínimo de premissas, políticas e especificações técnicas que regulamentam a utilização da Tecnologia de Informação e Comunicação (TIC) no governo federal, estabelecendo as condições de interação com os demais Poderes e esferas de governo e com a sociedade em geral."
  • ePing
    Dimensão técnica: Adoção do XML como padrão primário de intercâmbio de dados para todos os sistemas do setor público.
      Adoção de navegadores (browsers) como principal meio de acesso: todos os sistemas de informação de governo deverão ser acessíveis, preferencialmente, por meio de tecnologia baseada em browser; outras interfaces são permitidas em situações específicas, como em rotinas de atualização e captação de dados onde não haja alternativa tecnológica disponível baseada em navegadores.

    O modelo de acessibilidade interoperabilidade do governo eletrônico adota o XML como padrão primário de intercâmbio de dados para todos os sistemas do setor público, além disso, e o de acessibilidade versa sobre formas de utilização do XML de padrões web e diretrizes de acessibilidade para garantir a acessibilidade aos sistemas do governo.
ID
252124
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Arquitetura de Software
Assuntos

A respeito de SOA, de web services e do modelo de
acessibilidade do governo eletrônico, julgue os itens
subsequentes.

Web services pode ser visto como uma possível realização dos aspectos técnicos do paradigma SOA. No entanto, o uso de web services introduz alguns problemas, além de não ser capaz de resolver todos os problemas técnicos, já que suas diversas especificações ainda não são maduras o suficiente para garantir a interoperabilidade entre todos os sistemas.

Alternativas
Comentários
  • "...Web Services em si introduzem alguns problemas. Primeiro, os padrões ainda não estão suficientemente maduros para garantir a interoperabilidade. Segundo, Web Services são, por natureza, insuficientes para conseguir a qtde desejada de acoplamento fraco."

    Fonte: SOA na Prática (pg. 8)

    No gabarito definitivo, o CESPE anulou esta questão...
  • Olá, pessoal!

    Essa questão foi anulada pela organizadora.

    Justificativa da banca:  Por haver divergência na literatura da área sobre o assunto abordado no item, opta-se por sua anulação.

    Bons estudos!
ID
252145
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Governança de TI
Assuntos

A respeito de planejamento estratégico de tecnologia da
informação (TI), gerenciamento de serviços, gestão de
segurança da informação e governança de TI, julgue os itens
a seguir. Nesse sentido, considere que o ITIL, sempre que
citado, refere-se à versão 3.

Na publicação Operação de Serviço do ITIL, é descrito o processo de gerenciamento financeiro de TI, no qual se gerencia o ciclo financeiro dos serviços de TI, para prover os recursos necessários para a adequada operação dos serviços de TI.

Alternativas
Comentários
  • Gerenciamento Financeiro ocorre na Estratégia de Serviços que é compõe-se:

    Estraégia de Serviços:

    1 - Geração da estratégia;
    2 - Gerência de Portfólio;
    3 - Gerência Financeira;
    4 - Gerência de Demanda.
  • ESTRATÉGIA DO SERVIÇO

    Gerenciamento Financeiro de TI
    Gerenciamento do Portifólio de Serviços
    Gerenciamento de Demandas
    Criação da Estratégia
  • O unico erro que se encontra na questão é "gerenciamento ficanceiro de TI" que no caso seria somente GERENCIAMENTO FINANCEIRO.

  • Errado. O erro é que esse processo está em ESTRATÉGIA, não OPERAÇÃO

  • O gerenciamento financeiro é um processo da Estratégia de Serviços.

  • Estratégia de Serviço:

    Gestão Financeira

    Portfólio

    Custos

    Gestão de Negócios

    Gestão de Demanda

ID
252148
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Governança de TI
Assuntos

A respeito de planejamento estratégico de tecnologia da
informação (TI), gerenciamento de serviços, gestão de
segurança da informação e governança de TI, julgue os itens
a seguir. Nesse sentido, considere que o ITIL, sempre que
citado, refere-se à versão 3.

Adquirir e manter a infraestrutura tecnológica é o processo do ITIL que descreve as etapas para aquisição, implementação e atualização da infraestrutura, incluindo o gerenciamento de todos os programas e projetos de tecnologia da informação.

Alternativas
Comentários
  • Não existe esse processo no ITIL
  • A questão se refere a um processo do modelo Cobit.
  • Só complementando os colegas, ele se refero ao processo CobiT AI3 - Adquirir e manter a infraestrutura de tecnlogia.
  • Domínio: AI - Adquirir e Implementar


    ·         AI3 – Adquirir e manter infraestrutura tecnológica
    o   As organizações devem ter processos de aquisição, implementação e atualização da infraestrutura de tecnologia.
    o   Isso requer uma abordagem planejada de aquisição, manutenção e proteção da infraestrutura em alinhamento com as estratégias tecnológicas acordadas e o fornecimento de ambientes de desenvolvimento e teste.

    Fonte: Fernando Pedrosa - Curso COBIT
ID
252151
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Governança de TI
Assuntos

A respeito de planejamento estratégico de tecnologia da
informação (TI), gerenciamento de serviços, gestão de
segurança da informação e governança de TI, julgue os itens
a seguir. Nesse sentido, considere que o ITIL, sempre que
citado, refere-se à versão 3.

O planejamento estratégico de TI deve estar alinhado com os objetivos do planejamento estratégico empresarial da organização.

Alternativas
Comentários
  • Correto. A TI suporta os objetivos de negócio. O negócio não pergunta à TI o que fazer. No máximo busca junto à TI informações para subsidiar tomadas de decisões estratégicas.
  • Xará, só acho que deva se tomar cuidado com o detalhe no qual é dito "o negócio não pergunta a TI o que fazer".
    Conforme é dito pelo Aragon, "atualmente o alinhamento estratégico é bidirecional, ou seja, da estratégia do negócio para a estratégia de TI e vice-versa, pois a TI pode potencializar estratégias de negócio que seriam impossíveis de serem implantadas sem o auxílio da tecnologia da informação.

    http://www.revistasusp.sibi.usp.br/img/revistas/jistem/v6n2/05f03.gif

    http://www.scielo.br/img/revistas/cebape/v7n2/a06fig01.gif

  • Muito bem apontado Leonardo!. Um exemplo disso é a Visão agressiva, quando a TI passa a ser reconhecida como alavancadora de novas realizações organizacionais e  na geração de novos produtos.
ID
252154
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de planejamento estratégico de tecnologia da
informação (TI), gerenciamento de serviços, gestão de
segurança da informação e governança de TI, julgue os itens
a seguir. Nesse sentido, considere que o ITIL, sempre que
citado, refere-se à versão 3.

Segundo a norma NBR ISO/IEC 27002, em uma organização, não é conveniente que a coordenação de segurança da informação seja exercida por representantes importantes de diferentes áreas, mesmo que a participação deles seja relevante para a organização.

Alternativas
Comentários
  • Segundo a norma NBR ISO/IEC 27002, em uma organização, não é conveniente que a coordenação de segurança da informação seja exercida por representantes importantes de diferentes áreas

    Todos devem participar mas é a gerência deve aprovar o plano de segurança.
  • De acordo com a norma ISO 27002:

    "6 Organizando a segurança da informação
    (..)

    6.1 Infra-estrutura da segurança da informação
    (..)

    6.1.2 Coordenação da segurança da informação

    Controle

    Convém que as atividades de segurança da informação sejam coordenadas por representantes de diferentes partes da organização, com funções e papéis relevantes."

ID
252157
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Governança de TI
Assuntos

A respeito de planejamento estratégico de tecnologia da
informação (TI), gerenciamento de serviços, gestão de
segurança da informação e governança de TI, julgue os itens
a seguir. Nesse sentido, considere que o ITIL, sempre que
citado, refere-se à versão 3.

O processo de gerenciamento de incidentes do framework ITIL deve priorizar a descoberta da causa-raiz do problema, encaminhá-la ao processo de gerenciamento de problemas e, após essa etapa, solucionar o incidente.

Alternativas
Comentários
  • O gerenciamento de incidentes deve priorizar a resolução do mesmo e o retorno do serviço à suas atividades normais. Se não através da base de erros conhecidos, através de uma solução provisória. O gerenciamento de problemas é que se preocupa com a descoberta da causa raiz e documenta isso na base de erros conhecidos.
  • Acredito que o erro está quando ele diz que a solução do incidente é após a descoberta da causa-raiz do problema.
  • 2- Gerenciamento de Incidentes (Incident Management)
    Objetivo: Restaurar o serviço ao seu nível normal o mais rápido possível. Minimizar o impacto negativo dos incidentes sobre as operações do negócio.

  • Assertiva ERRADA. 

     

    1. Pegou fogo;

    2. Gerenciamento de Incidentes apaga o fogo;

    3. Gerenciamento de Problemas investiga para descobrir a causa do incêndio e propor algo para evitar a reincidência. 

ID
252160
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação à arquitetura TCP/IP, julgue os itens
subsequentes.

Na utilização do protocolo TCP, que é orientado à conexão, ocorre o three-way handshake antes de se iniciar a transferência de dados, e, após esta, a conexão é encerrada, com a liberação dos recursos inicialmente alocados.

Alternativas
Comentários
  • CERTO. Quando um cliente tenta começar uma conexão TCP com um servidor, o cliente e o servidor trocam um série de mensagens, que normalmente são assim: O cliente requisita uma conexão enviando um SYN (synchronize) ao servidor. O servidor confirma esta requisição mandando um SYN-ACK(acknowledge) de volta ao cliente. O cliente por sua vez responde com um ACK, e a conexão está estabelecida.

    Isto é o chamado aperto de mão em três etapas (Three-Way Handshake).

    Abraço e bons estudos
     

  • Questão mal redigida, e merecedora de anulação, segundo minha humilde opinião.

    O problema está no trecho destacado:  "ocorre o three-way handshake antes de se iniciar a transferência de dados, e, após esta, a conexão é encerrada, com a liberação dos recursos inicialmente alocados."

    A conexão não é encerrada após a transferência dos dados ser concluida, como indica o enunciado. Uma solicitação explicita de desconexão, através da flag FIN, deve ser emitida.

  • exatamente, Adelvardo...pensei exatamente assim. Alias, o 3whs tem a funcao de acordar uma comunicacao com o servidor, e, nesse acordo, sao alocados recursos para esta comunicacao q permanace durante toda a fase de conversacao entre cliente e servidor.

    A conexão so encerra com o FIN-ACK de ambas as partes. A questão claramente MENTE!

  • Pegar uma questão dessa em um simulado para Agente federal é ridículo. Nem o cespe faria essa palhaçada.

  • Kkkk nunca nem vi. Socorro.

  • Pelo amor de God!

    Que questão é essa!!? #chorei!

  • Three-way Handshake (Handshake de três vias).ou aperto de mão de 3 vias

    Handshake de três vias, é responsável pelo estabelecimento de conexões  .

    Informações Importantes

    ACK = Acknowledgement (Reconhecimento)

    SYN = Synchronize (Sincronizar)

    Mãos à obra!

    Estabelecimento de conexões

    1. O cliente envia um pacote com a flag SYN ativa;

    2. O servidor responde com um pacote com as flags SYN + ACK;

    3. O cliente reponde com um pacote ACK.

    Traduzindo

    1. Cliente: Servidor, estou enviando a mensagem 100 (Número de sequência do cliente). Dá pra sincronizar (SYN)?

    2. Servidor: Claro, sincroniza a mensagem 200 (Número de sequência do servidor) que estou enviando (SYN). Prossiga com a mensagem 101 (ACK).

    3. Cliente: Ok, estou enviando a mensagem 101. Prossiga com a mensagem 201 (ACK).

    O cliente e o servidor, possuem números de sequência distintos, por este motivo faz-se necessária a sincronização em ambos os sentidos.

    Feita a sincronização, começam a troca de pacotes com base em números de sequência, que tem o objetivo de enumerar as pacotes de cada um.

  • Three Way Handshake= 2 máquinas afirmam uma a outra que a reconheceu e está pronta para iniciar a comunicação. Sabem previamente quantos pacotes irão receber, o tamanho dos pacotes e confirmam o recebimento.

  • Questão que na prova deixaria em branco.

ID
252163
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação à arquitetura TCP/IP, julgue os itens
subsequentes.

O protocolo SNMP inclui mecanismos de segurança para a cifração e verificação de integridade das mensagens.

Alternativas
Comentários
  • Vale lembrar que o SNMP possui mais de uma versão, que a questão nem menciona cita. O SNMPv2 possui várias deficiências quanto a segurança como autenticação(identificação da origem, integridade da mensagem), privacidade(confidencialidade), autorização e controle de acesso. Porém o SNMPv3 soluciona vários problemas de segurança, inclusive os citados na questão.

    [1] http://www.gta.ufrj.br/grad/10_1/snmp/versoes.htm
    [2] http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/snmpv3/snmpDif.htm
  • Questão dúbia... não cita a versão do SNMP. De modo geral, hoje, o SNMP provê essas funcionalidades... mais espeficicamente a versão 3.
  • Na época que a questão foi aplicada (2011), a versão corrente do SNMP (v3) já apresentava as caracterísitcas de segurança. Logo, se o candidato respondesse que estava errada a questão, então estaria afirmando que o SNMP não provê segurança, quando, na verdade, provê(na versão 3) =\
  • SNMPv3 fornece funcionalidades de segurança importantes:
    • A integridade da mensagem para garantir que um pacote não foi alterado em trânsito.
    • Autenticação para verificar se a mensagem é de uma fonte válida.
    • Criptografia de pacotes para evitar espionagem por uma fonte não autorizada.
  • Acredito que o erro está na "verificação de integridade das mensagens" já que as mensagens são trocadas via UDP e o cheksum no UDP é opcional.

  • Simple Network Management Protocol Version 3 (SNMPv3) is an interoperable standards-based protocol for network management. SNMPv3 provides secure access to devices by a combination of authenticating and encrypting packets over the network. The security features provided in SNMPv3 are:

     
    •Message integrity—Ensuring that a packet has not been tampered with in-transit.

     
    •Authentication—Determining the message is from a valid source.

     
    •Encryption—Scrambling the contents of a packet prevent it from being seen by an unauthorized source.

     

     

    http://www.cisco.com/en/US/docs/ios/12_0t/12_0t3/feature/guide/Snmp3.html


    Ou seja, a questão deveria ser considerada CERTA. 

  • questão horrível
  • Pessoal, no meu resumo tem a informação de que SNMP v3 possui integridade, mas no resumo do professor (Mário Aquino) não fala nada a respeito de integridade.
    Então fui atrás de algumas RFCs que tratam da SNMPv3 (RFCs 2571 e 2273), e para meu espanto, em nenhuma delas é mencionado a palavra INTEGRITY, mas tem as palavras PRIVACY e AUTHENTICATION.
    Logo, concluo que tenho de corrigir o meu resumo.  Kkkkkkk
    Se alguém encontrar alguma RFC que diga o contrário, favor informar.
    Bons estudos a todos.

  • As funcionalidades de segurança implementadas no SNMPv3 são as seguintes:

  • Confidencialidade: Os pacotes são criptografados para evitar espionagem dos dados transmitidos.
  • Integridade: Mensagem de integridade para garantir que o pacote não foi violado durante o transito, e também inclui opcionalmente um mecanismo de proteção com um pacote de resposta.
  • Autenticação: Verificar se a mensagem é de uma fonte válida.

    • Se falasse que era SNMPv3 , aí sim a questão estaria certa

  • A questão está confusa mesmo. Se levar em consideração a versão mais atual, a resposta será outra. 

  • Wagner,

    Procurei saber e são 20 RFCS que se referem a SMNP versão 3, então é meio inviável procurar nelas. Mas vi um resumo de um professor da ufrj e ele cita integridade como uma das propriedades do SMNP v3. Então seus resumos estão certos.

    E no edital não especifica a versão do SNMP, e como a SNMPv3 é de 1999 e foi atualizada em 2002, acredito que a questão era passível de recurso.

    Referência: http://www.gta.ufrj.br/grad/11_1/snmp/cap4p2.html

    Acessado em: 20/03/2015 às 14:40.

  • Se a questão não especifica a versão, está implícito que se refere a primeira versão. Basta lembrar que quando o SNMP surgiu, ninguém se referia a ele como SNMPv1, mas apenas SNMP.

    O mesmo pensamento é válido para outros protocolos como IP, ICMP etc. Se a assertiva não diz qual versão, logicamente está se referindo à versão original e não à última...(ex.: IP para IPv4 e ICMP para ICMPv4)
    Desta forma, a questão realmente tem o gabarito ERRADO, pois os SNMP, em sua versão original, não possui mecanismos de segurança para a cifração e verificação de integridade das mensagens.

  • Que questão bosta! A CESPE às vezes se supera.

  • Questão da CESPE tipo a questão e minha eu escolho a resposta!.

    "Colocarei em minhas mãos, levemente fechadas, um pequeno pássaro vivo e perguntarei ao sábio se o pássaro está vivo ou morto. Se ele responder que está morto, eu abrirei as mãos e o libertarei para o vôo. Se ele responder que está vivo, eu o apertarei com os dedos e o matarei.

  • Confesso que me causa espanto ler certos comentários, até mesmo de pessoas que se dizem concurseiras. Meus nobres, não há necessidade alguma de ler RFCs pra responder questões de concurso. Nem mesmo as bancas fazem isso. Pra que complicar?

    É por isso que existem autores renomados que fazem isso pra gente. Quando vc paga R$ 200,00 em um livro do Tanenbaum(como eu) é justamente na esperança de lhe poupar esforços. Ora, pra que eu vou ler RFC ou manual técnico se o Tanenbaum já fez isso pra mim. E outra, se autores renomados não mencionam nada em seus livros, é pq o conceito procurado não existe. Simples assim. Pra que procurar pelo em ovo? Olha, sinceramente...

    Depois desse desabafo, vamos ao que interessa:

    O SNMPv3 possui, sim, integridade. Trago duas fontes confiáveis sobre o tema:

    Para[1][2], o SNMPv3 should be used whenever possible because it provides authenticity, integrity and confidenciality

    Possui integridade, sim, em sua versão 3 e zé fini! A questão que se deve levantar é a qual versão ele se refere no edital do concurso. Dei uma olhada no edital e menciona apenas SNMP. Logo, gabarito OK(questão errada). Concordo que a banca não deveria cobrar uma versão que não está mais em uso, mas essa é uma outra estória.

    Fonte:

    [1] Implementing Cisco IP Routing (ROUTE) Foundation Learning Guide, Diane Teare, Bob Vachon, Rick Graziani

    [2] Networking Essentials: Networking Essentials, Jeffrey S. Beasley, Piyasat Nilkaew

  • Gabarito: Errado

    Sendo um protocolo de camada de aplicação, o SNMP tem como função básica facilitar a troca de informações de gerenciamento entre os dispositivos de rede sendo, o protocolo mais utilizado no gerenciamento de redes TCP/IP. Ele faz uso do protocolo UDP que possui uma DPU mais simples, se comparado ao TCP.

    Justamente por utilizar o UDP, não possui mecanismos de segurança para a cifração e verificação de integridade das mensagens.

    O protocolo UDP é considerado não confiável devido ao fato de não ser orientado à conexão.

ID
252166
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação à arquitetura TCP/IP, julgue os itens
subsequentes.

A SMI define a linguagem ASN.1 para especificar módulos, objetos e notificações, que são os objetos gerenciados que residem na MIB.

Alternativas
Comentários
  • Ele inverteu os conceitos ai, e eu acabei errando por falta de atenção. Na verdade, os objetos gerenciados não residem nas MIBs, as MIBs é que residem nos objetos gerenciados. Cada Equipamento de rede tem internamente as MIBs que já são fornecuidas pelo fabricante.
  • O erro é dizer que a SMI define a ASN.1. A SMI é um subconjunto da ASN.1
    http://en.wikipedia.org/wiki/Structure_of_Management_Information
  • Carlos,
           Essa é uma dúvida que eu tenho. A MIB é mantida apenas pelo gerente ou há realmente uma MIB em cada agente da rede? Alguém mais pode me tirar essa dúvida?

     Grato... e bons estudos a todos!!
  • Pelo que entendi, na versão 1 do SNMP só existe um único MIB para toda a rede e na versão 2 existe um para cada agente.

  • SMI - Structure of Management Information: define os tipos de dados usados em variáveis da MIB -

    funciona como um schema para o que poderá ser armazenado na MIB. A SMI é definida utilizando-se o ASN.1

    e orienta a sintaxe e o acesso das variáveis gerenciadas.

    MIB - Management Information Base - Um dos componentes conceituais de importância nos sistemas de

    gerenciamento é a forma com que as informações sobre os elementos básicos que se quer

    monitorar/gerenciar/administrar são armazenados. Estas informações precisam estar disponíveis de forma

    padronizada, para que qualquer aplicação de gerenciamento possa resgatá-las e torná-las úteis. Objetos

    gerenciados são armazenados localmente (e acessados) em uma estrutura de dados, denominada Base de

    Informação Gerencial (Management Information Base) ou MIB. Objetos de uma MIB são especificados

    usando a Notação Sintática Abstrata (Abstract Syntax Notation One - ASN.1).

  • ASN.1 não é linguagem, é um padrão de codificação das mensagens utilizadas no SNMP.
  • O erro esta em dizer que o SMI define a linguagem ASN.1!
  • A SMI (Structure of Managment Information - Estrutura de Gerenciamento de Informações) é um subconjunto da ASN.1, e assim sendo é a ASN.1 que define a SMI, e não o inverso como apontou a questão.

    Fonte: http://en.wikipedia.org/wiki/Structure_of_Management_Information
  • SMI = linguagem para a definição de dados para objetos das MIB.
    ASN.1 = linguagem ou padrão - dependendo da literatura -  responsável pela especificação do formato dos dados.

    O SMI não define o ASN.1. Trata-se de padrões independentes, dasacoplados. Porém, o SMI pode utilizar o ASN.1 ou BER (outro padrão) para definir a codificação e apresentação dos dados.

  • SMI (Structure of Management Information - Estrutura de Informações de Gerenciamento) -> é a linguagem usada para definir as informações de gerenciamento que residem em uma entidade gerenciada de rede. Essa linguagem é necessária para assegurar que a sintaxe e a semântica dos dados de gerenciamento de rede sejam bem definidas e não apresentem ambiguidade. Note que a SMI não define uma instância específica para os dados em uma entidade gerenciada de rede, mas a linguagem na qual a informação está especificada.

    Embora a SMI seja baseada na linguagem de definição de objetos ASN.1, tantos foram os tipos de dados específicos da SMI acrescentados que esta deve ser considerada uma linguagem de definição de dados por direito próprio.

    Fonte: Redes de Computadores e a Internet - KUROSE - 5ª edição - capítulo 9

  • A SMI define a linguagem ASN.1 para especificar módulos, objetos e notificações, que são os objetos gerenciados que residem na MIB.

    A SMI baseou-se na linguagem ASN.1

    As MIBs residem nos objetos gerenciados

  • As MIBs, para uso com o protocolo SNMP, são definidas em uma linguagem chamada SMI. Esta linguagem é baseada em um subconjunto adaptado do ASN.1.

    Ou seja, o erro está em afirmar que a SMI define a linguagem ASN.1, quando a SMI é a própria linguagem, que tem como base a ASN.1

  • Bora curtir o comentario da Rita de Cassia e lança-lo ao topo...é o unico q responde à questao com propriedade.

    [1] O segundo atributo de um objeto é o tipo de dado que pode ser armazenado. Para definir o tipo de dado, o SMI usa as definições padronizadas pelo ASN.1 (Abstract Syntax Notation 1 — notação de sintaxe abstrata 1) e acrescenta algumas definições novas. Em outras palavras, o SMI é tanto um subconjunto como um superconjunto do ASN.1.

    Dizer q o SMI define o ASN.1, está errado em todos os sentidos q vc tentar interpretar a citação do autor acima!

    Fonte:

    [1] Forouzan, CDRC

ID
252169
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação à arquitetura TCP/IP, julgue os itens
subsequentes.

Entre as características dos protocolos IP e UDP, está a de garantir a entrega ordenada dos dados; por isso, eles são utilizados em aplicações VoIP.

Alternativas
Comentários
  • Errado.

    Tanto o protocolo IP como o UDP, oferecem o serviço de transmissão não orientado à conexão, ou seja, sem controle de erros. Fazendo com que os pacotes possam chegar ao destino desordenados, se perderem por inteiro e até mesmo duplicado.

    No caso de aplicações que utilizam VOIP, ao utilizar esses protocolos, irão ter problemas de latência e jittler (variações de atrasos).

    Sendo assim nas aplicações VOIP (Voice Over Internet Protocol) trabalha com pacotes orientados a conexão e com controle de erros, que é o caso do protocolo TCP.
  • Acho que vc se enganou Rafael. Todos seus argumentos estão corretos, mas o VOIP utiliza UDP e não TCP (assim como a maioria de serviços de streaming em tempo real).

    Nós seres humanos já fazemos o trabalho de controle de erros e sequenciamento de trafego, pois qnd chega uma palavra estranha pelo telefone falamos    :

    "O que? Repete por favor?", então já fazemos o trabalho do protocolo TCP.

    Logo usa-se UDP e tiramos todo o overhead do TCP (Não é apenas por esse kmotivo que se utiliza UDP em vez de TCP em VOIP, mas com esse raciocinio já é o suficiente pra matar a questão)
  • O comentário do Rafael Antunes está errado, concordo com o Tiago Martins.

    VOIP usa UDP, NÃO ORIENTADO A CONEXÃO e SEM CONTROLE DE ERROS. Lembre-se do overhead do TCP, three way handshake e etc ....

    Sendo assim nas aplicações VOIP (Voice Over Internet Protocol) trabalha com pacotes orientados a conexão e com controle de erros, que é o caso do protocolo TCP.
  • Mais uma pequena correção ao comentário do Rafael.

    Ele relacionou serviço orientando à conexão ao conceito de controle de erros (serviço confiável).

    Deve-se tomar muito cuidado com esses conceitos. Serviço orientado à conexão é diferente de serviço confiável. Você pode ter um serviço orientado à conexão que não seja confiável, como também pode ter um serviço confiável que não seja orientado á conexão.

    Em suma,

    Serviço orientado à conexão: só irei falar quando o destinatário me garatir que está apto a escutar. É o famoso handshake de 3 vias;
    Serviço confiável: garantirei uma comunicaçao livre de erros.

  • GABARITO ERRADO!

    .

    .

    O IP É UM PROTOCOLO DE MELHOR ESFORÇO, OU SEJA, ELE NÃO POSSUI CAPACIDADE DE GERENCIAR E RECUPERAR PACOTES CORROMPIDOS OU NÃO ENTREGUES.

ID
252172
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Julgue os itens que se seguem, a respeito das redes sem fio.

O padrão WPA2 utiliza a cifra AES no modo de operação CCMP e apresenta conformidade com o padrão IEEE 802.11i.

Alternativas
Comentários
  • O WAP2 também conhecido como 802.11i utiliza o protocolo CCMP para cripitografia e checar integridade. O CCMP é baseado no AES.
  • Counter Cipher Mode with Block Chaining Message Authentication Code Protocol or CCMP (CCM mode Protocol) is an encryption protocol designed for Wireless LAN products that implement the standards of the IEEE 802.11i amendment to the original IEEE 802.11 standard. CCMP is an enhanced data cryptographic encapsulation mechanism designed for data confidentiality and based upon the Counter Mode with CBC-MAC (CCM) of the AES standard. It was created to address the vulnerabilities presented by WEP, a dated, insecure protocol.

    Questão retirada do wikipedia en: http://en.wikipedia.org/wiki/CCMP
  • Questão mais escrota essa, porém correta!

    A     cifra AES - Advanced Encryption Standard (Padrão de Criptografia Avançada, em português), também conhecido por Rijndael, é uma cifra de bloco adotada como padrão de criptografia pelo governo dos Estado Unidos. Ela utiliza, o que é considerado hoje, um dos melhores metodos de encriptação de informação do mundo.   O protocolo CCMP (Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol) é o responsável pela integridade e a confidência do WPA2.
    Já o padrão 802.11i foi criado para aperfeiçoar as funções de segurança do protocolo 802.11.

  • c-

    O protocolo WPA2 suporta o algoritmo de criptografia AES com 128 bits.

    O WPA/WPA2 PSK é vulnerável a ataques de dicionário, diferentemente do WEP que é suscetível a ataques de força bruta.

    A segurança WPA2, utilizada na comunicação sem fio na família do padrão 802.11, no modo Personal (chave pré-compartilhada), faz uso do algoritmo de criptografia de chave simétrica AES. key: 256 bits

ID
252175
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Julgue os itens que se seguem, a respeito das redes sem fio.

O tamanho máximo dos pacotes de dados transferidos nas redes no padrão IEEE 802.11 tem o mesmo valor que nas redes ethernet.

Alternativas
Comentários
  • Errado

    O padrão IEEE 802.11 destinado a redes sem fio tem as velocidades de 11, 22, 72, 54, 108 e 300 Mbps este último atribuído ao padrão 802.11N.

    As redes ethernet tem as velocidades 10, 100, 1000 Mbps. Por terem valores diferente em suas taxas de transmissão, calculadas em megabits, possuem transmissões diferenciadas de pacotes.

  • ERRADO.
    Tamanhos de pacotes:

    802.3 (Ethernet)
    "Total de 1518 bytes transmitidos para cada pacote TCP/IP de 1500 bytes, incluído agora os 14 bytes do cabeçalho ethernet e os 4 bytes de CRC (checagem de erro). Se considerarmos também os 8 bytes iniciais que formam o preâmbulo, presente apenas durante o processo de sincronização, este número sobe para 1526 bytes. Considerando que cada pacote contém apenas 1460 bytes de carga útil (informação da camada de aplicação), teremos 66 bytes de overhead (dados de controle), que corresponde a quase 5% do volume de dados transmitidos por quadro!"

    802.11
    2346 bytes sendo 30 de cabeçalho, 2312 de payload e 4 de checksum
  • 802.11 frame:
    header    |   data          | FCS
    (30)           (0-2312)        (4)  bytes

    802.11 c/WEP frame:
    header    | IV   |  EIV    |  data          | FCS
    (30)           (4)     (4)      (0-2312)        (4)  bytes

    802.11 c/WPA  frame:
    header    | IV   |  EIV    |  data          | MIC     |   ICV    |   FCS
    (30)           (4)     (4)      (0-2312)        (8)           (4)       (4)  bytes

  • Eu chutei na base de: Rede 802.111 é rede wi-fi, quando estamos no roteador mexendo na configuração etc... E rede ethernet é rede cabeada, logicamente que rede cabeada é mais rápida que rede wi-fi.

     

    Obs.: Não sou da área de infra/redes, sou da área de processos de negócios

  • ·        MTU – 2304 / Ethernet 1500

  • Se for pra gravar, grava isso:

    MTU IDEAL

    ethernet -> 1500

    O quadro de ethernet tem tamanho mínimo de 64 bytes e máximo de 1522

    Para aumentar o tamanho do quadro são adicionado os Pads, que servem só para aumentar o tamanho

    Se algum quadro não tiver dentro desse padrão ele será descartado

    802.11 -> 1492

    fonte: CIsco Treinamentos de redes

  • MTU no padrão LAN sem fio é maior.

ID
252178
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a sistemas criptográficos, assinaturas e
certificados digitais, julgue os itens subsecutivos.

AES é uma cifra de bloco simétrica, com blocos de 128 bits e chaves de 128, 192 e 256 bits, e RSA é um sistema assimétrico que tem por base a fatoração de grandes números inteiros.

Alternativas
Comentários

  •  

    Algoritmos simétricos

    AES: 128 bits

    DES; 56bits

    3DES; 112 ou 168 bits

    IDEA; 128 bits

    Blowfish; 32 a 448 bits

    RC2; 8 a 1024 bits

     

    Algoritmos assimétricos:

     

    RSA; Princípio da fatoração;

    ElGamal; Logaritmo discreto;

    Diffie-Hellman; Logaritmo discreto;

    Curvas Elipticas; Uso das curvas elípticas

  • O examinador misturou conceitos...
    O tamanho das chaves e dos blocos estão corretos, mas a base do algoritmo não é a fatoração de números inteiros grandes, mas baseia-se em s-box e algumas outras técnicas para embaralhar o texto (transposições e mesclagens) e uma etapa final onde cada byte do estado é combinado com a subchave própria do turno (RoundKey), cada subchave é derivada da chave principal usando o algoritmo de escalonamento de chaves.

    Fonte: http://pt.wikipedia.org/wiki/Advanced_Encryption_Standard
  • A questão está certa, para mim o pega está em dizer que o RSA baseia-se na fatoração de grandes números inteiros, porque o que está nas bibliografias é que ele se baseia na fatoração de grandes números primos, e lendo rapidamente da vontade de marcar errado, mas lembre-se que números primos podem ser números inteiros.
    O restante da questão está todo certo.

  • CERTO

    Segundo Stallings(2008,p.91),"O AES é uma cifra de bloco cujo objetivo é substituir o DES para aplicações comerciais. O AES usa um tamanho de bloco de 128 bits e um tamanho de chave de 128,192 ou 256 bits."

    Segundo Tanenbaum(2011,p.499),"A segurança do método RSA se baseia na dificuldade de fatorar números extensos."

    Bibliografia:

    CRIPTOGRAFIA E SEGURANÇA DE REDES-WILLIAN STALLINGS-4 EDIÇÃO

    REDES DE COMPUTADORES-TANENBAUM-5 EDIÇÃO

  • Todo primo é inteiro!!!

ID
252181
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a sistemas criptográficos, assinaturas e
certificados digitais, julgue os itens subsecutivos.

VPN, uma aplicação típica de sistemas criptográficos, pode ser descrita como um fluxo de dados tunelado, em que os dados são cifrados e o túnel é estabelecido após autenticação das extremidades.

Alternativas
Comentários
  • CERTORede Privada Virtual é uma rede de comunicações privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituições, construída em cima de uma rede de comunicações pública. O tráfego de dados é levado pela rede pública utilizando protocolos padrão, não necessariamente seguros.VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade, autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicações seguras através de redes inseguras.Soluções de VPN mal implementadas, mesmo com o uso de criptografia, não garantem plenamente a confidencialidade dos dados e, do ponto de vista de segurança, se estas trocarem mensagens com seus cabeçalhos IP abertos, podem permitir a quebra do sigilo do protocolo criptográfico.
  • CERTO

    Segue um complemento ao estudo de v6.

    Segundo Nakamura (2010,p.334),"A criptografia é utilizada para garantir a autenticidade, o sigilo e a integridade das conexões, e é a base da segurança dos túneis VPN."
    Segundo Nakamura (2010,p.334),"[...] uma VPN é formada pelo conjunto do tunelamento, o qual permite o tráfego em uma rede pública, e da criptografia, que visa garantir a segurança dessa conexão."


    Fonte:
    SEGURANÇA DE REDES EM AMBIENTE COOPERATIVOS
    AUTOR: NAKAMURA

  • Básico de Windows... Ao criar uma VPN no PC, explica isso tudo. Que é uma rede privada virtual, que cria um túnel entre as partes etc, caminho seguro de acesso.

  • Pode sim, por exemplo, se o IPsec for usado no tunelamento, será possível

    agregar todo o tráfego entre dois escritórios quaisquer em uma única SA

    autenticada e criptografada, fornecendo assim controle de integridade,

    sigilo e até mesmo uma considerável imunidade à análise de tráfego.

    Gabarito: Certo.

  • VPN - Virtual Private Network

    ➥ Do Português - Rede privada virtual - é uma rede de comunicações privada construída sobre uma rede de comunicações pública. O tráfego de dados é levado pela rede pública utilizando protocolos padrões, não necessariamente seguros.

    VPN É um tunelamento criptografado, E não necessita de um firewall!

    • VPN é o caminho, firewall é o pedágio;
    • Logo, é possível uma estrada sem pedágio!

    [...]

    MODO DE ATIVAÇÃO:

    Ela utiliza a Internet para se conectar a uma determinada localidade e assim poder usar seus serviços

    É necessário ter pelo menos dois computadores conectados à internet, além de um programa de gerenciamento de rede VPN instalado em cada máquina.

    [...]

    Como funciona o envio dos dados pela VPN?

    Para enviar os dados, o programa criptografa e encapsula as informações, além de adicionar o número de IP da máquina remetente para que o computador de destino possa identificar quem enviou os dados. Por meio do sistema de tunelamento, os dados percorrem o caminho até chegar à máquina receptora que identifica imediatamente as informações de IP que foram enviadas pela máquina remetente. Após isso, o processo inverso é realizado, com a "descriptografação" e armazenamento dos dados no computador de destino.

    [...]

    ► CARACTERÍSTICAS:

    • Utiliza criptografia nas informações e nas comunicações entre hosts;
    • Utiliza sistema de tunelamento para envio dos dados. (IPSec - IPSecurity Protocol)

    Logo, o uso de IPSec como protocolo de tunelamento permite que cada pacote IP seja criptografado.

    [...]

    VANTAGENS

    É bem mais barata que os links dedicados;

    Permite acesso remoto a recursos de uma rede local;

    Escalabilidade e Flexibilidade;

    Garante a privacidade.

    Mas atenção!

    O nível de custo-benefício das redes VPN em comparação com os links dedicados aumenta à medida que as distâncias entre as conexões também aumentam.

    [...]

    DESVANTAGENS

    Depende da velocidade da Internet disponível;

    Ocasiona perda de desempenho;

    Falha no envio local;

    NÃO disponibiliza um alto nível de confiabilidade e segurança.

    [...]

    QUESTÕES PRA FIXAR!

    VPN, uma aplicação típica de sistemas criptográficos, pode ser descrita como um fluxo de dados tunelado, em que os dados são cifrados e o túnel é estabelecido após autenticação das extremidades. (CERTO)

    As VPNs (virtual private network) são túneis criados em redes públicas para que essas redes apresentem nível de segurança equivalente ao das redes privadas. Na criação desses túneis, utilizam-se algoritmos criptográficos, devendo o gerenciamento de chaves criptográficas ser eficiente, para garantir-se segurança. (CERTO)

    Uma VPN é uma conexão estabelecida sobre uma infraestrutura pública ou compartilhada, usando tecnologias de tunelamento e criptografia para manter seguros os dados trafegados. (CERTO)

    [...]

    ____________

    Fontes: Wikipédia; Canaltech; Questões da CESPE; Colegas do QC; Professor do Projetos Missão; Techtudo.

  • OUTRAS QUESTÕES DO CESPE SOBRE O ASSUNTO:

    (CESPE - Q756444) O uso de VPN permite a redução do custo de comunicação em corporações. CERTO

    (CESPE - Q298412) O recurso VPN (virtual private network), utilizado para interligar de forma segura dois pontos através de um meio público como a Internet, pode fazer uso de IPSEC, que recorre ao ESP (encapsulating security payload) para manter a confidencialidade dos dados e à AH (authentication header) para garantir a integridade dos dados. CERTO

    (CESPE - Q69676) Uma VPN é uma conexão estabelecida sobre uma infraestrutura pública ou compartilhada, usando tecnologias de tunelamento e criptografia para manter seguros os dados trafegados. CERTO

    (CESPE - Q840580) VPN, uma aplicação típica de sistemas criptográficos, pode ser descrita como um fluxo de dados tunelado, em que os dados são cifrados e o túnel é estabelecido após autenticação das extremidades. CERTO

  • "...túnel é estabelecido após autenticação das extremidades." Há alguns (ou todos, não sei dizer) VPN que possuem a função kill-switch, que basicamente se sua conexão for interrompida a sua conexão segura é encerrado para que diminua a probabilidade desses dados serem comprometidos

ID
252184
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a sistemas criptográficos, assinaturas e
certificados digitais, julgue os itens subsecutivos.

Uma assinatura digital confere autenticidade, integridade e sigilo a uma mensagem.

Alternativas
Comentários
  • A assinatura Digital em si não confere sigilo a mensagem pois pelo fato de ser cifrada com a chave privada do remetente, qualquer pessoa poderá decriptá-la com a chave pública do mesmo remetente (visto que ela é pública). Para que possa existir o sigilo, o remetente deverá fazer o seguinte:
    1 - Criptografa(cifra) a mensagem com sua chave privada; (é o que caracteriaza a assinatura digital);
    2 - Criptografa (cifra) a mensagem usando a chave pública do destinatário;

    Agora sim a mensagem só poderá ser descriptografada com a chave secreta do destinatário, e ele terá a ceterza de que ninguém mais teve acesso ao conteúdo da mensagem.

    Espero que tenha ficado claro.
  • Em resumo, a assinatura digital confere o não-repúdio (irretratabilidade). Sendo assim o emissor não pode negar a autenticidade da mensagem.
  • A assinatura digital busca resolver dois problema: a ntegridade e a procedencia. Ela utiliza uma chave one-way has function e essa função gera uma sequencia de símbolos únicos (hash) sobreuma informação, se essa valor for o  mesmo tanto no remetente quanto no destinatário, significa que a informaçaõ não foi alterada.
    Uma assinatura digital deve ter as seguintes propriedades:
    1. Autenticidade: o receptor deve poder confirmar que a assinatura foi feita pelo receptor.
    2. Integridade:  qualquer alteração da mensagem faz com que a assin atura não corresponda ao documento.
    3. Não repudio ou irretratabilidade: o emissor não pode negar a autenticidade da mensagem.
  • ERRADO

    Segundo Forouzan (2008,p,737),"A assinatura digital pode fornecer autenticação, integridade e não rejeição para um mensagem."

    Segundo Forouzan(2008,p.738),"A assinatura digital não fornece privacidade(sigilo). Se houver necessidade de privacidade, outra camada de encriptação/decifração deve ser aplicada."

    **Portanto, o erro da questão está em afirmar que a assinatura digital provê o serviço de segurança de sigilo a uma mensagem, quando na verdade não fornece esse serviço. 

    FOROUZAN, B. A.; FEGAN, S. C. Protocolo TCP/IP. 3. ed. São Paulo: McGraw-Hill, 2008.

  • Pra não esquecer mais..

    assINAtura Digital

    I - integridade

    N - não repúdio

    A - Autenticidade


  • SIGILO NÃO !!!!!!!!

  • GABARITO: ERRADO

    SIGILO = CONFIDENCIALIDADE

    A assinatura digital NÃO GARANTE A CONFIDENCIALIDADE da informaçãomas tão somente: a AUTENTICIDADE, a INTEGRIDADE e o NÃO REPÚDIO.

  • Não confere sigilo, pois a forma de criptografia assimétrica do algoritmo HASH é por meio da chave privada do remetente e, após enviada a assinatura digital ao destinatário, decifrada por sua respectiva chave pública. Logo este processo, cifra com chave privada e decifra com chave pública, confere apenas autenticidade e não confidencialidade(sigilo) da informação.

  • sigilo não.

ID
252187
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a sistemas criptográficos, assinaturas e
certificados digitais, julgue os itens subsecutivos.

Os sistemas assimétricos usam duas chaves com funções complementares: se uma é usada para cifração, a outra é usada na decifração; além disso, uma delas deve ser mantida secreta, enquanto a outra pode ser pública.

Alternativas
Comentários
  • Chave pública é usada para cifração e chave privada (que deve ser mantida em segredo): decifração.
  • EXATAMENTE, e depende se o usuário quer obter:
    -Autenticidade -> cifra a chave privada / chave publica usada para descriptografar
    -Confidencialidade->cifra a chave publica / apenas o dono da chave privada pode descriptografá-la

    Abraço e bons estudos
    Marcelo

  • CERTO

    Segundo Stallings(2008,p.181),"A criptografia assimétrica é uma forma de criptossistema em que a criptografia e a decriptografia são realizadas usando chaves diferentes-uma chave pública e uma chave privada. A criptografia assimétrica transforma o texto claro em texto cifrado usando uma de duas chaves e um algoritmo de criptografia. Usando a outra chave associada e um algoritmo de decriptografia, o texto claro é recuperado a partir do texto cifrado."

    O.B.S: Lembrando que:

    - se a cifração for feita com a chave privada(assinatura), a decifração é realizada com a chave pública.(verificação da assinatura)

    - se a cifração for feita com a chave pública, a decifração é realizada com a chave privada.

    Bibliografia:

    CRIPTOGRAFIA E SEGURANÇA DE REDES-WILLIAN STALLINGS-4 EDIÇÃO

  • Gabarito Certo

    Certinho... perfeita a questão;

    Criptografia de chave pública, também conhecida como criptografia assimétrica, é uma classe de protocolos de criptografia baseados em algoritmos que requerem duas chaves, uma delas sendo secreta (ou privada) e a outra delas sendo pública. Apesar de diferentes, as duas partes desse par de chaves são matematicamente ligadas. A chave pública é usada, por exemplo, para encriptar purotexto ou para verificar uma assinatura digital; já a chave privada é usada para a operação oposta, nesses exemplos para decriptar uma informação previamente criptografada ou para criar uma assinatura digital. O termo assimétrica vem do uso de diferentes chaves para realizar essas funções opostas, cada uma a inversa da outra – como contrapartida da criptografia ("simétrica") convencional, a qual depende da mesma chave para realizar ambos.

    Algoritmos de chave pública são baseados em problemas matemáticos que atualmente não admitem solução eficiente e são inerentes em determinados relacionamentos de fatoração inteira, logaritmo discreto, e curva elíptica. É computacionalmente fácil para um usuário gerar um par de chaves, uma pública e uma privada, e usá-lo para encriptação e decriptação. A força está na "impossibilidade" (computacionalmente impraticável) para uma chave privada gerada apropriadamente ser determinada pela sua chave pública correspondente. Assim, a chave pública pode ser publicada sem comprometer a segurança. Segurança depende apenas de manter secreta a chave privada, isto é, a chave privada nunca deve ser descoberta. Algoritmos de chave pública, diferente de algoritmos de chave simétrica, não exigem um canal seguro para a troca inicial de uma (ou mais) chave secreta entre as partes.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
252190
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da prevenção e do tratamento de incidentes, julgue
os itens seguintes.

A resposta inicial a um incidente inclui, entre outras atividades, a revisão de relatórios de detecção de intrusão e logs de rede, para identificar os dados que corroboram a ocorrência de um incidente.

Alternativas
Comentários

  • Prezados,

    Essa questão não é fácil nem trivial, a resposta dela pode ser encontrada nesse handbook da SEI que trata de times de resposta a incidentes de informação.

    Vejamos o que esse manual fala na página 25 que trata de serviços reativos

    CSIRTs that perform this service review existing IDS logs, analyze and initiate a response for any events that meet their defined threshold, or forward any alerts according to a pre-defined service level agreement or escalation strategy. Intrusion detection and analysis of the associated security logs can be a daunting task—not only in determining where to locate the sensors in the environment, but collecting and then analyzing the large amounts of data  captured.

    Portanto, questão correta.

    Fonte : Handbook for computer security incident response teams http://www.sei.cmu.edu/reports/03hb002.pdf


    A alternativa correta é : CERTO.


  • O termo "entre outras atiidades" deixa a questão correta, mas deve-se, principalmente, minimizar os danos causados pelo incidente e depois revisá-lo.

  • "a revisão de relatórios de detecção de intrusão e logs de rede, para identificar os dados que corroboram a ocorrência de um incidente." não seria na fase de análise forense? após a fase de resposta ao incidente?

  • CORRETO

    Cinthia em um primeiro momento devemos confirmar que o incidente realmente aconteceu, e é isso que é dito na questão neste trecho.

  • digo mais concurseiro de TI...nao apenas para identificar, mas tb para saber como responder à este incidente...

ID
252193
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da prevenção e do tratamento de incidentes, julgue
os itens seguintes.

Os achados da fase de resposta inicial devem ser apresentados aos gestores e tomadores de decisão com todos os detalhes técnicos, para fundamentar a escolha da estratégia de resposta.

Alternativas
Comentários
  • Estas são pegadinhas recorrentes nas questões de segurança:

    - Dizer que a TI defini o plano de segurança. ERRADO
    - Dizer que os gestores recebem relatórios técnicos detalhados. ERRADO
    - Dizer que o plano de segurança só é divulgado para algumas pessoas da organização. ERRADO
    - Dizer que o plano deve incluir detalhes técnicos e de implementação. ERRADO

    Mesmo sem saber as ISO27* dá pra matar um monte de questão tendo estas informações aí.
    Abraços e boa sorte.
ID
252196
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da prevenção e do tratamento de incidentes, julgue
os itens seguintes.

Uma medida preventiva é a realização periódica de avaliações de vulnerabilidade, com a prospecção ativa destas, na forma de testes de penetração e intrusão.

Alternativas
Comentários
  • ASSERTIVA CORRETA

    Testes de penetração
    As invasões “reais” são realizadas por pessoas com alto nível de conhecimento técnico, com focos específicos em determinadas instalações ou empresas. Existe vários motivos pessoal,  por questões financeiras, na intenção de cometer fraudes ou até mesmo contratados por empresas concorrentes para espionagem ou sabotagem.



    Testando o sistema de detecção de intrusão ( IDS )

    Sistema de Detecção de Intrusão ( IDS – Intrusion Detection Systems ) permite a notificação quando da ocorrência de tentativas de intrusão segundo a verificação de certos padrões de ataque que podem ser configurados dependendo da ferramenta que se está utilizando.

     

  • Complentando o comentário abaixo, o teste de penetração pode ser feito para fins benéficos. Uma organização pode contratar uma empresa para realizar um teste de penetração no sistema. Após os testes é entregue um relatório com sugestões para melhorar a segurança
ID
252199
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos ataques e aos dispositivos de segurança,
julgue os itens subsequentes.

IDS e IPS detectam intrusões com alta precisão, porém diferem pelo fato de o segundo atuar bloqueando o tráfego, quando algum evento relevante é detectado.

Alternativas
Comentários
  • Questão esquisita, tanto IDS quanto IPS detectam intrusão, sendo o IPS ativo ao contrario do IDS, no meu conceito a questao deveria ser marcada como correta.
  • A questão afirma que a diferença do IPS para o IDS é que o IPS bloqueia tráfegos. Não é essa a única diferença. A ação tomada pelo IPS pode ser outra: alteração de regras de firewall, alteração de regras do QoS, mudança de rotas, etc...

    Por ser restritiva, a questão está ERRADA
  • Concordo com o Marques. Será que esse já é o gabarito definitivo?
  • Eu marquei essa questão como errada, pois para mim IDS e IPS não tem alta precisão (eles tem boa precisão). O que falar do problema do alto número de falso-postiivos qnd utilizado o método de behavior-detection. Essa foi minha linha de raciocínio. 

    Bons estudos a todos!!
  • Com certeza marcaria essa questão como certa, afinal o que define a precisão ou não (tanto de um IDS quanto IPS) é a configurção do  mesmo.
  • O IDS é uma ferramenta passiva, que somente monitora o tráfego e alerta o adm no caso de intrusão. Alguns IDS são reativos, ou seja, se algo de errado for detectado ele encerra a sessão (bloqueia o tráfego). Já o IPS é ativo e possui um conjunto de regras que serão usadas quando uma intrusão ocorrer.
  • O erro está ao afirmar que apenas o segundo é capaz de bloquear o tráfego.
    O IDS no modo passivo apenas gera logs. Mas no modo reativo, é capaz de finalizar sessões de usuário ou reconfigurar o firewall, bloqueando o tráfego também.

    Fonte: http://www.npd.ufes.br/node/87
  • O erro não seria que o IDS DETECTA e o IPS Previne? Assim os dois não detectam... já que um deles teroricamente nem deixa que a intrusão ocorra. Eu segui essa linha de raciocinio.
  • Os sistemas IDS e IPS não são altamente eficazes, tampouco altamente precisos, por causa da existência de falsos positivos e falsos negativos.
  • Na prática, basta ver a quantidade de falsos positivos geradas por esses dois tipos de sistema: se fossem de alta precisão não haveria tantos e  seriam muito mais automatizados. Obviamente, esses sistemas melhoram a cada dia, implementando funções como correlação de eventos mais confiáveis, mas ainda longe de serem altamente precisas. Exemplo disso é a evolução dos módulos de segurança e gerência de redes do IBM Tivoli. 
  • O erro realmente deve estar quando a acertiva afirmar que a diferença está no fato de o IPS bloquear o trafego e o IDS não. Essa não é a diferença, conforme já foi mencionado acima. O IDS em modo reativo pode/vai trabalhar em conjunto com um firewall, bloquando trafego. A questão é que o IDS REAJE ao ataque, enquanto que o IPS pode bloquear de imediato, sendo, portanto, ATIVO e não REATIVO.

  • acho que o erro está em dizer que o ips bloqueia quando detecta algum evento relevante. neste caso ele estaria sendo reativo, quando na verdade ele é proativo, age antes do ataque. e outro detalhe, eu notei que o cespe considera o IDS somente passivo, ou seja, capaz de notificar e agir pós ataque

  • IPS não detecta somente o que é relevante não, é uma das desvantagens dele o que resolve a questão, ele bloqueia qualquer coisa que aparecer no farol.


    Há tecnologias no mercado que trabalham com IPS de forma diferenciada do que a questão afirma.

  • GABARITO ERRADO!

    .

    .

    Um IDS (Sistema de Detecção de Intrusão) pode ser dividido em:

    - Baseado em assinatura: onde existe uma lista com assinaturas de alguns vírus e esta assinatura precisa estar pré-configurada no host para que seja detectada um ataque. (ESSE AQUI É UMA DESVANTAGEM EM RELAÇÃO AO BASEADO EM ANOMALIAS).

    - Baseado em anomalias: onde é feito um perfil de um host com um comportamento padrão para aquele host. Assim se no monitoramento for detectado um comportamento anormal será gerado um alerta.

  •  "Um dispositivo que gera alertas quando observa tráfegos potencialmente mal-intencionados é chamado de sistema de detecção de invasão (IDS, do inglês intrusion detection system). Um dispositivo que filtra o tráfego suspeito é chamado de sistema de prevenção de invasão (IPS, do inglês intrusion prevention system)." Kurose, Redes de computadores, ED6, p. 544.

    vai entender essa cespe... ¯\_(ツ)_/¯

  • Baita questão subjetiva.

  • O erro é que o IPS é PROATIVO, por tratar comportamento, acaba gerando muitos falsos positivos, logo ele não tem uma alta precisão.

  • Como a maioria dos IPS utilizam o método baseado em comportamento, isso implica em uma taxa mais elevada de falso positivos e negativos, o que contraria a afirmação de alta precisão.

    Fonte: Estratégia Concursos.

ID
252202
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação aos ataques e aos dispositivos de segurança,
julgue os itens subsequentes.

Uma proteção eficaz contra ataques de buffer overflow pode ser obtida com o emprego de firewalls.

Alternativas
Comentários
  • Bound checkings podem evitar buffer overflow, assim como também o uso de processadores e S.O. que suporte NxBit (ou Execute Disable Bit) (Fonte: http://en.wikipedia.org/wiki/Buffer_overflow)
  • O Buffer Overflow consiste em enviar pacotes de determinado tipo em quantidades absurdamente grandes, ao ponto de causar indisponibilidade do serviço. Como o serviço é disponbilizado para fora da rede, o firewall não poderá bloqueá-lo. Para evitar este tipo de ataque será necessário um IDS ou IPS para verificar alterações no coportamento da rede.
  • Segundo o livro do Nakamura:
    Neste tipo de atque, o hacker explora bugs de implementação, nos quais o controle do buffer não é feito adequadamente. Assim, o hacker pode enviar mais dados do que o buffer pode manipular e com isso os dados podem ser perdidos ou excluidos e, quando isso acontece, o hacker pode fazer com que comandos arbitrários sejam executados.
    Portanto, qualquer programa pode estar sujeito a falhas de buffer overflow, inclusive os firewalls.
  • Já existem tecnologias integradas a firewalls avançadas com funcionalidades que permitem bloquer/negar ataques que exploram falhas buffer overflow.
  • "Já existem tecnologias integradas a firewalls avançadas com funcionalidades que permitem bloquer/negar ataques que exploram falhas buffer overflow."

    Sem dúvida! O mais complicado nesse tipo de questão é que temos que tentar pensar com a cabeça do nego da banca que elaborou ...triste, mas tem que ser assim.
  • "Uma proteção eficaz contra ataques de buffer overflow pode ser obtida com o emprego de firewalls."

    Alguns firewalls podem prover mecanismos para detectar buffer overflow, mas esse tipo de detecção pode apresentar falsos negativos ou ser impotente  quando se está diante de um DDos.

    Cuidados com qualificadores como: deve-se, eficaz, é necessário, etc. O CESPE adora usar esse tipo de expressões para "dar uma rasteira" no candidato.

  • Segundo Nakamura (2010, p. 272),"O sistema de detecção de intrusão baseado em rede (NIDS) é eficiente principalmente contra ataques como port scanning, IP spoofing ou Syn flooding e é também capaz de detectar ataques de buffer overflow [...]."


    Bibliografia:

    Segurança de redes em ambientes cooperativos
    Autor: Nakamura
    Editora: Novatec

  • Checagem de limites...

ID
252205
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos ataques e aos dispositivos de segurança,
julgue os itens subsequentes.

A filtragem de tráfego egresso e ingressante é uma das medidas aplicáveis na proteção a ataques de negação de serviço, distribuídos ou não, como o syn flooding e o icmp flooding.

Alternativas
Comentários
  • O CESPE adora dificultar as coisas:

    A filtragem de tráfego egresso e ingressante, ou seja, o tráfego de pacotes que saem e entram.

    ... é uma das medidas aplicáveis na proteção a ataques de negação de serviço, distribuídos ou não, como o syn flooding e o icmp flooding.

    Questão correta.

    Bons estudos.
  • CERTO

    Segundo Stallings (2008,p.439),"O ataque distribuído de inundação de SYN e o ataque distribuído de ICMP são exemplos de ataques de DDoS simples."

    Segundo Stallings (2008,p.441),
    "Contramedidas para DDoS

    Em geral, existem três linhas de defesa contra ataques de DDoS[SÓ mencionarei uma]: Detecção e filtragem do ataque(durante o ataque)-  [...] A resposta envolve a filtragem de pacotes que provavelmente fazem parte do ataque."

    O.b.s: para maiores informações busquem no livro do Stallings. bom estudo galera.

    Bibliografia:

    CRIPTOGRAFIA E SEGURANÇA DE REDES-4 EDIÇÃO-2008
    AUTOR: WILLIAN STALLINGS

  • GABARITO: CERTO.

ID
252208
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Acerca de cloud computing e virtualização, julgue os itens
seguintes.

Cloud computing pode ser vista como a evolução e convergência das tecnologias de virtualização e das arquiteturas orientadas a serviços.

Alternativas
Comentários
  • Tendência atual da computação, a Cloud computing (computação nas nuvens) já oferece soluções para construção de nuvens privativas, usando o Windows Server 2008 R2 SP1 - http://technet.microsoft.com/pt-br/gg578594
  • Segundo Manoel Veras(2009,p.196),"A virtualização também é peça-chave do modelo de computação em nuvem (cloud computing). A computação em nuvem depende do funcionamento de um conjunto de DATACENTERS dinâmicos que para funcionar sob demanda precisam da virtualização como tecnologia essencial."


    Bibliografia:

    Datacenter-Componente Central da Infraestrutura de TI
    Autor: Manoel Veras

  • GABARITO CORRETO!

    .

    .

    EXPANDINDO UN POKITO MAIS, COMO DIRIAM OS ROLUDOS, OPS, BOLUDOS.

    Virtualização e Cloud Computing são conceitos que estão relacionados, mas isso não significa que eles dizem respeito à mesma coisa. A interligação deles ocorre porque na implantação atual de cloud, geralmente ocorre a virtualização de servidores. Entretanto, essa não é uma regra. É possível obter uma solução de cloud computing utilizando apenas máquinas físicas, mas não é o mais comum, nem o mais eficiente e vantajoso.

ID
252211
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Acerca de cloud computing e virtualização, julgue os itens
seguintes.

Cloud computing é uma instância direta da computação autônoma, em que os sistemas se autogerenciam.

Alternativas
Comentários
  • Cloud computing - Computação em nuvem.  Refere-se à utilização da memória e das capacidades de armazenamento e cálculo de computadores e servidores compartilhados e interligados por meio da Internet, seguindo o princípio da computação em grade. O armazenamento de dados é feito em serviços que poderão ser acessados de qualquer lugar do mundo, a qualquer hora, não havendo necessidade de instalação de programas x ou de armazenar dados. O acesso a programas, serviços e arquivos é remoto, através da Internet - daí a alusão à nuvem. O uso desse modelo (ambiente) é mais viável do que o uso de unidades físicas.
    Num sistema operacional disponível na Internet, a partir de qualquer computador e em qualquer lugar, pode-se ter acesso a informações, arquivos e programas num sistema único, independente de plataforma. O requisito mínimo é um computador compatível com os recursos disponíveis na Internet. O PC torna-se apenas um chip ligado à Internet—a "grande nuvem" de computadores—sendo necessários somente os dispositivos de entrada (teclado e mouse) e saída (monitor).

     FFFFonte: Wikipédia
     
  • Este trecho "em que os sistemas se autogerenciam" que esta errado?

    Esse mini-curso parece ser legal:
    http://www.eventoexpress.com.br/cdsbrc/pdfs/minicurso4.pdf
  • Acredito que em cloud computing os sistemas não se autogerenciam, precisa de gerenciamento.

  • complementando - ERRADO

    Eles não se auto gerenciam.

  • Gerenciamento = Fornecedor da aplicação (backup, segurança, atualização, armazenamento, escalonamento).

  • Errado.

    Os sistemas nas nuvem não são autogerenciáveis, e necessitam de gerenciamento. Refere-se à utilização da memória e das capacidades de armazenamento e cálculo de computadores e servidores compartilhados e interligados por meio da internet, seguindo o princípio da computação em grade.

    Fonte: Fernando Nishimura

  • Apenas complementando e resumindo o que eu pesquisei...

    A questão está errada, como foi dito anteriormente, porque a nuvem precisa de um gerenciamento dos profissionais de TI. Ademais, sempre haverá controle, ou por parte dos fornecedores do serviço ou por parte do cliente.

    A computação autônoma surgiu em analogia ao sistema nervoso autônomo, que dispensa ação do ser humano para funcionar (batimento cardíaco, respiração, homeostase hormonal...). Surgiu da necessidade dos sistemas regularem-se na escassez de profissionais da área.

    Algumas características do sistema autônomo são:

    - Autoconfiguração

    - Auto-otimização

    - Autocura - detecta e repara falhas sozinho

    - Autoproteção

    ________

    Fonte: https://www.teses.usp.br/teses/disponiveis/55/55134/tde-31072017-114219/publico/LuisHideoVasconcelosNakamura_revisada.pdf

  • ALGUÉM PRECISA GERENCIAR NÉ? SENÃO VIRA ZONA (CASA DAS PRIMAS).

ID
252214
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Julgue os itens que se seguem, relativos às tecnologias de
armazenamento de dados.

SAN (storage area network) é uma rede de armazenamento de dados de alto desempenho, que transfere dados entre servidores e dispositivos de armazenamento, separada da rede local.

Alternativas
Comentários
  • Certo.

    Vejam a diferença entre SAN e NAS.
    SAN NAS Utiliza fibra óptica nas ligações, tendo umarede própria separada do rede local,possui uma grande dimensão Utiliza ligações TCP/IP, esta ligado a própria rede local,pequena dimensão Oferece apenas armazenamento de dados, deixando o sistema de ficheiros ao cargo do cliente Oferece armazenamento e sistema de ficheiros, oferece e gere tudo que é necessário para a correcta disponibilização dos dados de forma totalmente autónoma O acesso aos dados é de“baixo nível”idêntico ao usado em discos ATA, pois o servidor pede blocos de dados, é portanto “block-level” O acesso aos dados é de “alto nível” pois os clientes pedem uma porção de um determinado ficheiro abstracto em vez de um bloco de dados de um disco, é“file-level” Caro e complexo de implementar e gerir, necessita de mão obra especializada. Só justificada em grandes organizações com grandes redes de computadores Simples e barato, fácil de gerir,normalmente é possível gerir um sistema NAS por uma interface WEB de forma simples e rápida
    cuidado com a sopa de letrinhas!
  • SAN (Storage Area Network) poderia ser definida como uma rede de 
    alta velocidade, comparada à LAN (Local Area Network), que 
    permite o estabelecimento de conexões diretas entre os dispositivos de 
    armazenamento e processadores (servidores) centralizados à extensão 
    suportada pela distância das fibras óticas.  
     
    A SAN pode ser vista como uma extensão do conceito que permite que os 
    dispositivos de armazenamento sejam compartilhados entre servidores e 
    interconectados entre si. Uma SAN pode ser compartilhada entre servidores ou 
    dedicada a um servidor local ou remoto. 
     
    A SAN (Storage Area Network), basicamente, é uma arquitetura que permite 
    conectar dispositivos de armazenamento de dados remotos de diferentes tipos, 
    a servidores, de maneira a que os dispositivos pareçam que estão ligados 
    fisicamente ao servidor.  

  • Gabarito Certo

    Os storage networks, ou redes de armazenamento, diferenciam-se de outras formas de armazenamento em rede pelo método de acesso em baixo nível que eles apresentam. O tráfego de dados nessas redes é bastante similar àqueles usados internamente em discos, como ATA e SCSI.

    Em uma rede de armazenamento, o servidor envia pedidos por blocos específicos ou segmentos de dados de discos específicos. Esse método é conhecido como block storage(armazenamento de blocos). O dispositivo age similarmente a um drive interno, acessando o bloco e e enviando a resposta através da rede.

    Em alguns métodos de acessos de arquivos mais tradicionais, como SMB/CIFS ou NFS, o servidor envia pedidos para um arquivo abstrato como o componente de um grande sistema de arquivos, gerenciados por um computador intermediário. O intermediário, então, determina o local físico do tal arquivo abstrato, obtém acesso a um dos drives internos e, por fim, envia o arquivo completo pela rede.

    A maioria das SANs usam o protocolo iSCSI para a comunicação entre servidores e dispositivos, embora não usem o baixo nível da interface SCSI 444 e também 4450.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
252217
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Julgue os itens que se seguem, relativos às tecnologias de
armazenamento de dados.

DAS (direct-attached storage) é um dispositivo especial composto de discos rígidos e software de gerenciamento, destinado a atuar exclusivamente como servidor de arquivos em uma rede.

Alternativas
Comentários
  • Esse conceito pode se referir ao NAS (Network Attached Storage).

    O NAS é um servidor de arquivos, geralmente sem periféricos, que roda um sistema operacional ( pode ser embarcado ), e serve a vários computadores de rede, como se fosse uma impressora compartilhada. Qualquer usuário com permissão de acesso pode utilizá-lo.
  • a questão trocou "NAS" por "DAS".

    A  sigla DAS é abreviação de "Direct Attached Storage". Ela se refere a dispositivos de armazenamento externo ligados diretamente ao servidor (ou a qualquer outro micro da rede), como no caso das gavetas de HD ligadas a portas eSATA (o eSATA é uma versão externa das portas SATA, que mantém a mesma velocidade de 150 ou 300 MB/s, mas permite o uso de um cabo externo) ou a portas USB, por exemplo.

    Tambem temos o SAN. Vejam a diferença entre SAN e NAS.
    SAN NAS
    Utiliza fibra óptica nas ligações, tendo umarede própria separada do rede local, possui uma grande dimensão Utiliza ligações TCP/IP, esta ligado a própria rede local,pequena dimensão
    Oferece apenas armazenamento de dados, deixando o sistema de ficheiros ao cargo do cliente Oferece armazenamento e sistema de ficheiros, oferece e gere tudo que é necessário para a correcta disponibilização dos dados de forma totalmente autónoma
    O acesso aos dados é de“baixo nível” idêntico ao usado em discos ATA, pois o servidor pede blocos de dados, é portanto “block-level” O acesso aos dados é de “alto nível” pois os clientes pedem uma porção de um determinado ficheiro abstracto em vez de um bloco de dados de um disco, é“file-level”
    Caro e complexo de implementar e gerir, necessita de mão obra especializada. Só justificada em grandes organizações com grandes redes de computadores Simples e barato, fácil de gerir,normalmente é possível gerir um sistema NAS por uma interface WEB de forma simples e rápida

    cuidado com a sopa de letrinhas!
  • DAS(direct-attached storage) NAS (Network Attached Storage) é um dispositivo especial composto de discos rígidos e software de gerenciamento, destinado a atuar exclusivamente como servidor de arquivos em uma rede.

    O termo  NAS (Network Attached Storage) refere-se, basicamente, a um  computador dedicado a compartilhamento de arquivos através de NFS, CIFS ou  DAFS (Direct Access Files). Cabe ressaltar que é um dispositivo dedicado  exclusivamente ao compartilhamento de arquivos, centralizando a  responsabilidade de servir os arquivos em uma rede e desse modo libera  recursos de outros servidores. 
      Um dispositivo NAS combina a tecnologia dos arrays de discos com a  inteligência de uma pequena unidade de processamento. Nesse sentido, é  possível adicionar armazenamento na rede sem ser necessário desligar o  servidor.  
      Em outras palavras, o termo NAS (Network Attached Storage) refere-se,  basicamente, a um servidor de discos capaz de exportar áreas por protocolos  como o NFS, CIFS ou até mesmo o HTTP. Para isto, é utilizada a rede local, o  que traz a vantagem de permitir que qualquer host da rede tenha acesso a  dados comuns, porém possui as desvantagens de congestionar o tráfego da  rede, bem como uma velocidade de acesso pequena, se comparada à de uma  SAN.

  • Basta lembrar do HD externo... Ele é um DAS. com isso ele não a função de trabalhar em ambientes distribuidos.

  • Direto ao ponto!

    erro = vermelho

    correto = azul

    DAS (NAS) (direct-attached storage) é um dispositivo especial composto de discos rígidos e software de gerenciamento, destinado a atuar exclusivamente como servidor de arquivos em uma rede.

    Prof. Rani - Projeto 70 pts.

    GABARITO: ERRADO

    Olá, estou corrigindo redações para concurso, para mais informações envie email para fuvio10@outlook.com ou chame aqui! Experiência comprovada, por meio de provas corrigidas por bancas.