Segurança e Privacidade
Áreas Científicas |
Classificação |
Área Científica |
OFICIAL |
Ciência de Computadores |
Ocorrência: 2022/2023 - 2S
Ciclos de Estudo/Cursos
Língua de trabalho
Português
Objetivos
Esta Unidade Curricular tem como objetivo fornecer aos estudantes uma perspetiva integrada dos fundamentos da segurança e privacidade informática; visa dotar os estudantes dos princípios de segurança de sistemas e privacidade de dados.
Resultados de aprendizagem e competências
1. Apreender os princípios fundamentais de segurança de sistemas e privacidade de dados.
2. Identificar vulnerabilidades e ameaças e à segurança dos sistemas e privacidade dos dados.
3. Adquirir competências em criptografia e suas aplicações para segurança de sistemas.
4. Compreender regulamentação de proteção de dados e o impacto dos seus requisitos na segurança e privacidade.
5. Selecionar e aplicar tecnologias de reforço de privacidade, bem como metodologias para aferição de risco.
Modo de trabalho
Presencial
Programa
1) Princípios da segurança informática: confidencialidade, integridade, disponibilidade; risco, ameaças, vulnerabilidades, vetores de ataque e mecanismos de segurança .
2) Princípios da construção de sistemas seguros: princípios do privilégio mínimo e isolamento; defesa em profundidade; segurança por construção.
3) Conceitos básicos de criptografia: criptografia simétrica e de chave pública; cifras e autenticação; assinaturas digitais; gestão de chaves; PKI.
4) Controlo de acessos: conceitos fundamentais; modelos para controlo de fluxos de dados; mecanismos de segurança ao nível do sistema operativo.
5) Introdução à programação defensiva: validação de inputs; ataques comuns; buffer overflows; race conditions; atualizações de segurança.
6) Segurança Web: modelo de segurança; gestão de sessões; autenticação; vulnerabilidades comuns.
7) Regulamentação e requisitos de privacidade de dados;
8) Ameaças e vulnerabilidades de privacidade, incluindo: ataques de correlação e ligação;
9. Avaliação de impacto na privacidade e planos de gestão de dados;
10) Algoritmos de anonimização e pseudo-anonimização, avaliação do risco de re-identificação;
11) Computação colaborativa segura e aplicação ao processamento privado de dados.
Bibliografia Obrigatória
William Stallings;
Computer security. ISBN: 1-292-22061-9
William Stallings;
Information privacy engineering and privacy by design. ISBN: 978-0-13-530215-6
Matt Bishop;
Introduction to computer security. ISBN: 0-321-24744-2
William Stallings;
Cryptography and network security. ISBN: 9780138690175
Mark Stamp;
Information security. ISBN: 9780470626399
Métodos de ensino e atividades de aprendizagem
As aulas teóricas são de exposição, complementadas com exemplos detalhados e casos de uso. Ao longo do semestre, os casos de uso servirão para consolidar os conceitos apresentados, nomeadamente permitindo exercitar as competências de segurança e privacidade na gestão de dados através de cenários concretos.
As aulas práticas serão de aplicação dos conceitos teóricos através da prática de tecnologias que permitam obter adquirir solidez técnica na aplicação de metodologias de segurança e privacidade.
Tipo de avaliação
Avaliação distribuída sem exame final
Componentes de Avaliação
Designação |
Peso (%) |
Trabalho prático ou de projeto |
10,00 |
Teste |
50,00 |
Trabalho laboratorial |
40,00 |
Total: |
100,00 |
Componentes de Ocupação
Designação |
Tempo (Horas) |
Elaboração de projeto |
24,00 |
Estudo autónomo |
41,00 |
Frequência das aulas |
52,00 |
Trabalho laboratorial |
45,00 |
Total: |
162,00 |
Obtenção de frequência
Nota mínima de 10/20 na componente de trabalho laboratorial, que corresponde à realização de tarefas propostas nas aulas TP e exercícios CTF simples e sua documentação na forma de um logbook/writeup.
Recorda-se: não cumprir este critério implica reprovar à UC sem possibilidade de realizar época de recurso.
Fórmula de cálculo da classificação final
Na época normal:
CF = 0,4 TL + 0,1 TP + 0,25 T1 + 0,25 T2 (arredondado)
onde
- CF - classificação final
- TL - classificação do trabalho laboratorial (tarefas em tutoriais seedlabs e desafios relacionados na plataforma CTF)
- TP - classificação do trabalho prático (realização de desafios adicionais na plataforma CTF)
- T1 - classificação do teste intercalar (apenas 1a parte da matéria) >= 6/20
- T2 - classificação do 2o teste realizado na época normal de exames (apenas 2a parte da matéria) >= 6/20
Todas as classificações de 0 a 20.
Na época de recurso (incluindo melhorias):
CF = 0,4 TL + 0,1 TP + 0,5 ER (arredondado)
onde
- CF - classificação final
- TL - classificação do trabalho laboratorial (tarefas em tutoriais seedlabs e desafios relacionados na plataforma CTF)
- TP - classificação do trabalho prático (realização de desafios adicionais na plataforma CTF)
- ER - classificação do exame de recurso (toda a matéria) >= 6/20
Avaliação especial (TE, DA, ...)
Consta das mesmas duas componentes dos estudantes normais.
Melhoria de classificação
As notas dos testes podem ser melhoradas na época de recurso.
A nota dos trabalhos práticos mantém-se para todas as épocas de exame.
Observações
A componente laboratorial (TL) consistirá na resolução de tutoriais propostos semanalmente em cada aula e de desafios CTF (capture the flag) simples relacionados com os tutoriais (todos os detalhes publicados semanalmente no Moodle).
A componente de projeto (TP) consistirá na resolução de desafios Capture the Flag (CTF) adicionais, de dificuldade mais elevada para simular concursos CTF reais.
A classificação final no CTF determinará (em parte) a nota TP (10% da nota final) da seguinte forma. Sejam:
- G o número de grupos que participou nos desafios CTF
- C a classificação global (1o,2o,3o, ...) do grupo a ser avaliado na plataforma CTF (reflete toda a performance durante o ano)
- N a nota atribuída pelo docente nesta componente.
A nota TP é ((K-C+1)/K)*N.
A avaliação destas duas componentes será efectuada nas aulas teorico práticas. A plataforma CTF estará aberta em permanência durante o semestre, sendo os exercícios lançados gradualmente.
Estas componentes serão realizadas em grupo (tamanho indicativo de 3 elementos): todos os elementos terão de pertencer ao mesmo turno.
Os estudantes deverão assegurar-se de que o docente das aulas TP tem oportunidade de avaliar regularmente (avaliação semanal ou, se não for possível, quinzenal) o progresso das atividades do grupo e a contribuição de cada elemento.
O teste intercalar incidirá sobre a primeira metade da matéria (a definir via Moodle) e o teste final na época normal sobre a restante matéria.
O exame de recurso estará dividido em duas partes, sendo possível realizar apenas uma delas.