Thiết kế kỹ thuật và tổng dự toán

Tên dự án

“Xây dựng hạ tầng kỹ thuật cho hệ thống PKI quốc gia phục vụ an toàn và bảo mật thông tin thuộc phạm vi bí mật Nhà nước”

Chủ đầu tư

Cục Quản lý Kỹ thuật Nghiệp vụ Mật mã – Ban cơ yếu chính phủ, số 5Nguyễn Chí Thanh – Hà Nội.

Đơn vị tư vấn

Viện Công nghệ Thông tin – Trung tâm KHCN – KTQS Bộ Quốc Phòng, địa chỉ 34A Trần phú Ba Đình Hà Nội.

Hình thức đầu tư

Đầu tư mua sắm trang thiết bị công nghệ, sửa sang phòng ốc, xây dựng và mua sắm các phần mềm hệ thống, phần mềm nghiệp vụ, chuyển giao công nghệ các hệ phần mềm nền tảng PKI, đào tạo cán bộ sử dụng, chuyên gia vận hành hệ thống, chuyên gia phát triển hệ thống.

Nội dung đầu tư

Đầu tư xây dựng cơ bản

Chỉnh sửa, cải tạo nhà cửa khu vực triển khai trung tâm CA (tầng 5 tòa nhà cục Quản lý kỹ thuật nghiệp vụ mật mã – Ban Cơ yếu Chính phủ - 105 Nguyễn Chí Thanh, Đống đa, Hà nội) Mua sắm các thiết bị văn phòng, lắp đặt các hệ thống bảo vệ theo tiêu chuẩn của trung tâm CA. Đầu tư xây dựng hạ tầng kỹ thuật

Xây dựng hệ thống hạ tầng mạng phần cứng tại trung tâm miền bắc:

- Máy chủ ứng dụng Web

- Máy chủ cơ sở dữ liệu

- Máy chủ CA của RootCA

- Máy chủ CA cấp 2 của các đầu mối

- Hệ thống lưu trữ online: Hệ thống ổ đĩa RAID (NAS)

- Hệ thống lưu trữ offline: Tape Backup

- Hệ thống firewall nhiều tầng đảm bảo an toàn

- Các switch, router Đầu tư mua sắm, chuyển giao, xây dựng phần mềm nền tảng, phần mềm nghiệp vụ

- Mua sắm các hệ phần mềm hệ thống: Windows 2003 Server, Redhat Linux Server , Firewall Software, Anti Virus

- Triển khai xây dựng, chuyển giao công nghệ các phần mềm nền tảng PKI.

+ Xây dựng, chuyển giao công nghệ Bộ phần mềm giải pháp PKI

+ Xây dựng, chuyển giao công nghệ Bộ phần mềm nền tảng chữ ký số

+ Xây dựng, chuyển giao công nghệ Bộ phần mềm gửi nhận tài liệu mật trên mạng

+ Xây dựng, chuyển giao công nghệ bộ công cụ phát triển ứng dụng trên nền tảng bộ giải pháp PKI

- Triển khai xây dựng các phần mềm nghiệp vụ Cơ yếu.

+ Xây dựng hệ thống đồng bộ chứng thư cho các LDAP Server

+ Xây dựng hệ thống kiểm tra tình trạng chứng thư trực tuyến

+ Xây dựng chương trình kiểm tra sản phẩm trước khi cấp cho người sử dụng

+ Xây dựng trang thông tin phục vụ cho quá trình tự động hóa điều hành hệ thống CA

+ Xây dựng chương trình bảo mật đĩa USB để bảo mật dữ liệu luân chuyển giữa các bộ phận thuộc Trung tâm CA

+ Nghiên cứu các thuật toán mật mã đặc thù trên các phần mềm nền tảng:

Bộ giải pháp PKI, Phần mềm nền tảng chữ ký số, Phần mềm gửi nhận văn bản qua mạng, Bộ công cụ phát triển ứng dụng trên nền tảng PKI. Đầu tư xây dựng các văn bản pháp lý

Xây dựng hệ thống văn bản pháp lý phục vụ triển khai chữ ký số Huấn luyện - Đào tạo

Tham quan, đào tạo, chuyển giao công nghệ

- Tham quan khảo sát nước ngoài

+ Tham quan, khảo sát khoa học công nghệ nước ngoài về PKI và hệ thống chứng thực điện tử

- Đào tạo, tập huấn trong nước:

+ Đào tạo quản trị mạng phục vụ vận hành cấp phát chứng thư

+ Đào tạo cán bộ kỹ thuật phục vụ quản lý và cấp phát chứng thư

+ Đào tạo đội ngũ phát triển phần mềm trên nền tảng PKI.

6 Các giải pháp kỹ thuật cơ bản

1) Đối với hạ tầng Khóa công khai PKI

Hệ thống gồm 01 RootCA và 06 SubCA đặt tại Trung tâm chứng thực điện tử chuyên dùng chính phủ với chức năng và nhiệm vụ như sau:

CA ĐCS: phục vụ các cơ quan Đảng

CA QĐ: phục vụ các đơn vị thuộc Bộ Quốc phòng

CA CA: phục vụ các đơn vị thuộc Bộ Công an

CA NG: phục vụ các đơn vị thuộc Bộ Ngoại giao

CA CP: phục vụ các đơn vị khác thuộc Chính phủ

CA BCY: phục vụ công tác điều hành, tác nghiệp, nghiên cứu trong lĩnh vực Cơ yếu

RootCA và 06 SubCA sử dụng chung 01 Master LDAP Server cho cả hệ thống chứng thực điện tử chuyên dùng chính phủ.

Mô hình sinh khóa được thực hiện theo nguyên tắc tập trung, sinh khóa tại trung tâm chứng thực điện tử chuyên dùng chính phủ, tại khu vực CA Offline.

2) Đối với hệ thống mạng phần cứng

- Mô hình mạng Đối với khu vực máy chủ: Sử dụng công nghệ mạng LAN với tốc độ hỗ trợ 10/100/1000 Mbps Đối với khu vực máy làm việc và quản trị: Sử dụng công nghệ mạng LAN với tốc độ hỗ trợ 10/100 Mbps

Hệ thống sử dụng vùng DMZ để phân cách ba vùng: vùng ngoài (External), vùng cung cấp dịch vụ (DMZ) và mạng trong phục vụ tác nghiệp tại khu vực RA (Internal) và vùng quản trị hệ thống.

Các khu vực được ngăn cách bởi firewall, đồng thời thời tích hợp một số dịch vụ trên firewall như antivirus, IPS,…

Hệ thống cáp mạng sử dụng loại UTP CAT5 hoặc UTP CAT6.

Sử dụng chức năng VLAN của hệ thống Switch để tiết kiệm chi phí

- Mạng LAN phục vụ khu vực CA

Mạng LAN phục vụ khu vực CA là một hệ thống độc lập, offline, không có kết nối vật lý đối với bất cứ khu vực ngoài nào để đảm bảo an toàn dữ liệu, gồm các hệ thống sau:

+ Hệ thống máy chủ phục vụ các CA, cơ sở dữ liệu, máy chủ LDAP + Hệ thống lưu trữ dữ liệu Online (SAN)

+ Hệ thống sao lưu dữ liệu ra băng từ (Tape Backup)

+ Firewall ngăn cách khu vực tác nghiệp của CA với các hệ thống máy chủ

+ Hệ thống máy tính, máy in phục vụ nhân viên CA tác nghiệp

+ Hệ thống Switch phục vụ kết nối giữa các máy chủ và máy làm việc và Firewall

- Mạng máy tính phục vụ các dịch vụ chứng thực

Mạng máy tính phục vụ các dịch vụ chứng thực gồm các thành phần chính, gồm:

- Mạng LAN phục vụ nhân viên CA tác nghiệp

- Hệ thống máy chủ phục vụ các dịch vụ chứng thực cho các đầu mối

- Hệ thống máy chủ phục vụ các ứng dụng tác nghiệp tại Trung tâm CA

- Hệ thống thiết bị truyền thông và kết nối từ xa

- Hệ thống sao lưu dữ liệu ra băng từ (Tape Backup)

3) Đối với các phần mềm nền tảng PKI

Qua phân tích các hệ thống PKI đã triển khai, dựa trên nhu cầu quy mô của dự án, trên khả năng kinh phí cũng như yêu cầu làm chủ hoàn toàn hệ thống PKI nhằm phát triển các dịch vụ, thay thế các thuật toán mã dự án lựa chọn sử dụng nền tảng công nghệ Open CA – một bộ giải pháp CA dựa trên nền tảng mã nguồn mở.

Tuy nhiên để khắc phục những hạn chế của Open CA, đảm bảo tính thành công của dự án, chúng tôi đề xuất sử dụng bộ Open CA của những đối tác đã hoàn thiện, triển khai thành công trong thực tế ở các quy mô tương đương với dự án (nhiều khả năng là đối tác nước ngoài, vì trong nước chưa có các hệ thống PKI tương tự) Đặt hàng cho đối tác phát triển các chức năng, dịch vụ cho phù hợp với yêu cầu của dự án Đồng thời thực hiện chuyển giao công nghệ phát triển hệ thống dựa trên nền tảng các sản phẩm được chuyển giao cho các chuyên gia của ta.

Các gói sản phẩm dịch vụ sẽ đặt mua gồm:

- Bộ phần mềm giải pháp PKI

- Bộ phần mềm nền tảng chữ ký số

- Bộ phần mềm gửi nhận tài liệu mật trên mạng

- Bộ công cụ phát triển các ứng dụng, dịch vụ trên nền tảng PKI.

4) Đối với các phần mềm nghiệp vụ

- Hệ thống đồng bộ chứng thư cho các LDAP Server

- Hệ thống kiểm tra tình trạng chứng thư trực tuyến

- Chương trình kiểm tra sản phẩm trước khi cấp cho người sử dụng

- Trang thông tin phục vụ cho quá trình tự động hóa điều hành hệ thống CA

- Chương trình bảo mật đĩa USB để bảo mật dữ liệu luân chuyển giữa các bộ phận thuộc Trung tâm CA

- Chương trình phần mềm nghiệp vụ cấp phát.

- Các module mật mã đặc thù trên các phần mềm nền tảng: Bộ giải pháp PKI, Phần mềm nền tảng chữ ký số, Phần mềm gửi nhận văn bản qua mạng, Bộ công cụ phát triển ứng dụng trên nền tảng PKI.

5) Một vài thay đổi so với dự án điều chỉnh được phê duyệt

Trong dự án có một số công việc xây dựng thay thế các module mật mã trong các phần mềm nền tảng PKI được chuyển giao sang sử dụng hệ mật mã, thuật toán của cơ yếu Nội dung này dự kiến giao cho các chuyên gia đủ khả năng thuộc ban cơ yếu đảm nhận

Nay xét thấy tính phức tạp của vấn đề, với quỹ thời gian ngắn, yêu cầu cao cho nên chúng tôi đề xuất việc thực hiện các nội dung này cần có sự hợp tác với các chuyên gia cung cấp các phần mềm nền tảng PKI Do đó kinh phí cho phía Việt Nam giảm xuống, tăng kinh phí cho các gói chuyển giao phần mềm nền tảng PKI lên tương ứng với sự điều chỉnh nội dung công việc mỗi bên đảm nhận Tuy nhiên tổng mức đầu tư của dự án không thay đổi.

7 Tổng mức đầu tư : 19,909,202,000 đồng

- Chi phí mua sắm trang thiết bị, lắp đặt: 5,933,702,000 đồng.

- Chi phí mua sắm, xây dựng phần mềm: 12,287,000,000 đồng.

- Chi phí xây dựng, lắp đặt thiết bị: 456,500,000 đồng

- Chi phí đào tạo, chuyển giao công nghệ: 334,000,000 đồng

- Chi phí quản lý dự án: 303,000,000 đồng

- Chi chí tư vấn đầu tư: 379,000,000 đồng

8 Nguồn vốn: Ngân sách nhà nước

PHẦN 2 TỔNG QUAN DỰ ÁN

I CƠ SỞ LẬP THIẾT KẾ KỸ THUẬT - TỔNG DỰ TOÁN

1 Các văn bản định hướng

Căn cứ vào Quyết định số 161/QĐ-BCY ngày 18/03/2008 của Trưởng ban Cơ yếu Chính phủ về việc phê duyệt điều chỉnh dự án “Xây dựng hạ tầng kỹ thuật cho hệ thống PKI quốc gia phục vụ an toàn và bảo mật thông tin thuộc phạm vi bí mật Nhà nước”.

Quyết định số 161/QĐ-BCY ngày 18/03/2008 của Trưởng ban Cơ yếu Chính phủ về việc phê duyệt điều chỉnh dự án “Xây dựng hạ tầng kỹ thuật cho hệ thống PKI quốc gia phục vụ an toàn và bảo mật thông tin thuộc phạm vi bí mật Nhà nước”.

2 Các văn bản pháp lý về đầu tư

- Căn cứ Luật Xây dựng số 16/2003/QH11 ngày 26/11/2003 của Quốc hội khoá XI, kỳ họp thứ 4;

- Căn cứ Luật Đấu thầu số 61/2005/QH11 ngày 29 tháng 11 năm 2005 của Quốc hội khoá XI;

- Căn cứ Nghị định số 111/2006/NĐ - CP ngày 29 tháng 09 năm 2006 của Chính phủ hướng dẫn thi hành luật đấu thầu và lựa chọn Nhà thầu

- Căn cứ Nghị định số 99/2007/NĐ-CP ngày 13 tháng 06 năm 2007 của Chính phủ về quản lý chi phí đầu tư xây dựng công trình ;

- Căn cứ Thông tư số 06/2007/TT-BXD ngày 25/7/2007 của Bộ Xây dựng hướng dẫn hợp đồng trong hoạt động xây dựng ;

- Căn cứ văn bản số 1751/BXD-VP ngày 14 tháng 8 năm 2007 của Bộ Xây dựng về việc quy định định mức chi phí quản lý dự án và tư vấn đầu tư xây dựng công trình;

II MỤC TIÊU ĐẦU TƯ

1 Mục tiêu tổng thể, dài hạn Đầu tư phát triển cơ sở hạ tầng và các công nghệ nền tảng (phần mềm) để đảm bảo việc cung cấp, quản lý chứng thư số, các dịch vụ bảo mật, xác thực và chữ ký số cho các cơ quan thuộc hệ thống chính trị, làm cơ sở để triển khai việc điện tử hóa điều hành tác nghiệp cho các cơ quản Đảng, Nhà nước Cụ thể:

Tổng mức đầu tư : 19,909,202,000 đồng

- Chi phí mua sắm trang thiết bị, lắp đặt: 5,933,702,000 đồng.

- Chi phí mua sắm, xây dựng phần mềm: 12,287,000,000 đồng.

- Chi phí xây dựng, lắp đặt thiết bị: 456,500,000 đồng

- Chi phí đào tạo, chuyển giao công nghệ: 334,000,000 đồng

- Chi phí quản lý dự án: 303,000,000 đồng

- Chi chí tư vấn đầu tư: 379,000,000 đồng

TỔNG QUAN DỰ ÁN

CƠ SỞ LẬP THIẾT KẾ KỸ THUẬT - TỔNG DỰ TOÁN

1 Các văn bản định hướng

Căn cứ vào Quyết định số 161/QĐ-BCY ngày 18/03/2008 của Trưởng ban Cơ yếu Chính phủ về việc phê duyệt điều chỉnh dự án “Xây dựng hạ tầng kỹ thuật cho hệ thống PKI quốc gia phục vụ an toàn và bảo mật thông tin thuộc phạm vi bí mật Nhà nước”.

Quyết định số 161/QĐ-BCY ngày 18/03/2008 của Trưởng ban Cơ yếu Chính phủ về việc phê duyệt điều chỉnh dự án “Xây dựng hạ tầng kỹ thuật cho hệ thống PKI quốc gia phục vụ an toàn và bảo mật thông tin thuộc phạm vi bí mật Nhà nước”.

2 Các văn bản pháp lý về đầu tư

- Căn cứ Luật Xây dựng số 16/2003/QH11 ngày 26/11/2003 của Quốc hội khoá XI, kỳ họp thứ 4;

- Căn cứ Luật Đấu thầu số 61/2005/QH11 ngày 29 tháng 11 năm 2005 của Quốc hội khoá XI;

- Căn cứ Nghị định số 111/2006/NĐ - CP ngày 29 tháng 09 năm 2006 của Chính phủ hướng dẫn thi hành luật đấu thầu và lựa chọn Nhà thầu

- Căn cứ Nghị định số 99/2007/NĐ-CP ngày 13 tháng 06 năm 2007 của Chính phủ về quản lý chi phí đầu tư xây dựng công trình ;

- Căn cứ Thông tư số 06/2007/TT-BXD ngày 25/7/2007 của Bộ Xây dựng hướng dẫn hợp đồng trong hoạt động xây dựng ;

- Căn cứ văn bản số 1751/BXD-VP ngày 14 tháng 8 năm 2007 của Bộ Xây dựng về việc quy định định mức chi phí quản lý dự án và tư vấn đầu tư xây dựng công trình;

MỤC TIÊU ĐẦU TƯ

1 Mục tiêu tổng thể, dài hạn Đầu tư phát triển cơ sở hạ tầng và các công nghệ nền tảng (phần mềm) để đảm bảo việc cung cấp, quản lý chứng thư số, các dịch vụ bảo mật, xác thực và chữ ký số cho các cơ quan thuộc hệ thống chính trị, làm cơ sở để triển khai việc điện tử hóa điều hành tác nghiệp cho các cơ quản Đảng, Nhà nước Cụ thể:

- Thiết lập mạng hệ thống chứng thực điện tử trên phạm vi toàn quốc để cung cấp chứng thư số phục vụ các dịch vụ bảo mật, xác thực cho các đối tượng tham gia giao dịch điện tử một cách an toàn trong các mạng của các cơ quan Đảng, Chính phủ, lực lượng vũ trang, các Bộ, Ban, Ngành.

- Xây dựng hệ thống chính sách CP và CPS cho hệ thống PKI quốc gia đảm bảo sự hoạt động mang tính pháp lý và công nghệ cho hệ thống chứng thực điện tử.

- Nâng cao sự hoạt động và đẩy nhanh việc ứng dụng công nghệ thông tin trong các cơ quan Đảng và Chính phủ.

- Đảm bảo đáp ứng các yêu cầu cung cấp chứng thư số toàn quốc gia với số lượng đã được dự báo đến năm 2020 là cỡ hàng triệu chứng thư số. Trên cơ sở kế thừa những yếu tố công nghệ, tổ chức hệ thống và kết quả triển khai, tạo điều kiện thuận lợi để triển khai các dịch vụ chứng thực điện tử trong những năm tiếp theo Xây dựng tiềm lực cơ sở vật chất kỹ thuật, đáp ứng cho nhu cầu phát triển hạ tầng kỹ thuật phục vụ các hoạt động cấp phát, quản lý chứng thư số, ứng dụng các sản phẩm bảo mật của Ngành, phục vụ an toàn và bảo mật thông tin thuộc phạm vi bí mật Nhà nước Để đạt được mục tiêu tổng thể này phải trải qua ba giai đoạn:

Xây dựng các cơ sở hạ tầng nền tảng cho Trung tâm chứng thực điện tử chuyên dùng, đưa ứng dụng chứng thư số vào công tác chỉ đạo, điều hành của các cơ quan Đảng, Chính quyền, …

Tiếp quản và làm chủ công nghệ được chuyển giao, đầu tư phát triển nguồn nhân lực để có thể thực hiện việc thiết lập, cài đặt, duy trì và vận hành Trung tâm chứng thực điện tử trên cơ sở đó, phát triển hệ thống chứng thực điện tử theo đặc thù phục vụ hệ thống chính trị thuộc phạm vi bí mật nhà nước.

Khai thác tối đa năng lực của hệ thống thiết bị, các hệ thống phần mềm và khả năng tích hợp chữ ký số. Đảm bảo nhu cầu trước mắt việc cung cấp chứng thư số cho các cơ quan Đảng và Nhà nước, phối hợp với các đơn vị liên quan để triển khai ứng dụng bảo mật, xác thực, tích hợp chữ ký số vào các ứng dụng phần mềm.

Giai đoạn 2010-2012: Thực hiện việc triển khai hệ thống PKI đã được trang bị hiện có, trên cơ sở đó từng bước hoàn thiện và đưa ra các giải pháp xây dựng hệ thống PKI hoàn chỉnh dưới hình thức dự án độc lập, bao gồm:

- Đầu tư các thiết bị đảm bảo an toàn vật lý, phòng lắp đặt máy và làm việc, các hệ thống an ninh vật lý và an ninh dữ liệu.

- Xây dựng trung tâm backup dữ liệu và đường truyền tốc độ cao phục vụ việc kết nối với trung tâm chính.

- Đào tạo trình độ cho các cán bộ vận hành hệ thống tại các đối tác nước ngoài.

Giai đoạn 2012-2015: Hoàn chỉnh hệ thống PKI trên cơ sở các vấn đề đã được kiểm nghiệm trong giai đoạn triển khai trước đó, đáp ứng toàn bộ các nhu cầu chứng thực điện tử trong hệ thống Chính trị bao gồm:

- Bổ sung và thay thế hệ thống các trang thiết bị, máy chủ phục vụ để đảm bảo an toàn và sẵn sàng phục vụ của hệ thống.

2 Mục tiêu cụ thể trong phạm vi dự án

Xây dựng các cơ sở hạ tầng nền tảng cho Trung tâm chứng thực điện tử chuyên dùng, đưa ứng dụng chứng thư số vào công tác chỉ đạo, điều hành của các cơ quan Đảng, Chính quyền, …

Tiếp quản và làm chủ công nghệ được chuyển giao, đầu tư phát triển nguồn nhân lực để có thể thực hiện việc thiết lập, cài đặt, duy trì và vận hành Trung tâm chứng thực điện tử trên cơ sở đó, phát triển hệ thống chứng thực điện tử theo đặc thù phục vụ hệ thống chính trị thuộc phạm vi bí mật nhà nước.

Khai thác tối đa năng lực của hệ thống thiết bị, các hệ thống phần mềm và khả năng tích hợp chữ ký số. Đảm bảo nhu cầu trước mắt việc cung cấp chứng thư số cho các cơ quan Đảng và Nhà nước, phối hợp với các đơn vị liên quan để triển khai ứng dụng bảo mật, xác thực, tích hợp chữ ký số vào các ứng dụng phần mềm.

QUY MÔ VÀ NỘI DUNG ĐẦU TƯ

1 Đầu tư xây dựng cơ bản

Chỉnh sửa, cải tạo nhà cửa khu vực triển khai trung tâm CA (tầng 5 Cục Quản lý kỹ thuật nghiệp vụ mật mã – Ban Cơ yếu Chính phủ - 105 Nguyễn Chí

Thanh, Đống đa, Hà nội) Mua sắm các thiết bị văn phòng, lắp đặt các hệ thống bảo vệ theo tiêu chuẩn của trung tâm CA.

2 Đầu tư xây dựng hạ tầng kỹ thuật

Xây dựng hệ thống hạ tầng mạng phần cứng tại trung tâm miền bắc:

- Máy chủ ứng dụng Web

- Máy chủ cơ sở dữ liệu

- Máy chủ CA của RootCA

- Máy chủ CA cấp 2 của các đầu mối

- Hệ thống lưu trữ online: Hệ thống ổ đĩa RAID (NAS)

- Hệ thống lưu trữ offline: Tape Backup

- Hệ thống firewall nhiều tầng đảm bảo an toàn

3 Đầu tư mua sắm, chuyển giao, xây dựng phần mềm nền tảng, phần mềm nghiệp vụ

- Mua sắm các hệ phần mềm hệ thống: Windows 2003 Server, Redhat Linux Server, Firewall Software, Anti Virus

- Triển khai xây dựng, chuyển giao công nghệ các phần mềm nền tảng PKI.

- Triển khai xây dựng các phần mềm nghiệp vụ Cơ yếu.

+ Nghiên cứu các thuật toán mật mã đặc thù trên các phần mềm nền tảng:

Bộ giải pháp PKI, Phần mềm nền tảng chữ ký số, Phần mềm gửi nhận văn bản qua mạng, Bộ công cụ phát triển ứng dụng trên nền tảng PKI.

4 Đầu tư xây dựng các văn bản pháp lý

Xây dựng hệ thống văn bản pháp lý phục vụ triển khai chữ ký số Huấn luyện - Đào tạo

5 Tham quan, đào tạo, chuyển giao công nghệ

- Tham quan khảo sát nước ngoài

+ Tham quan, khảo sát khoa học công nghệ nước ngoài về PKI và hệ thống chứng thực điện tử

- Đào tạo, tập huấn trong nước:

+ Đào tạo quản trị mạng phục vụ vận hành cấp phát chứng thư

+ Đào tạo cán bộ kỹ thuật phục vụ quản lý và cấp phát chứng thư

+ Đào tạo đội ngũ phát triển phần mềm trên nền tảng PKI.

Sau khi điều chỉnh dự án, các hạng mục được tập trung triển khai tại Trung tâm miền Bắc: 105 Nguyễn Chí Thanh, Đống Đa, Hà Nội.

GIẢI PHÁP KỸ THUẬT VÀ CÔNG NGHỆ

THIẾT KẾ CƠ SỞ HẠ TẦNG KHÓA CÔNG KHA

Tính sẵn sàng cao: Hệ thống được thiết kê phải luôn sẵn sàng trong khả năng cao nhất để cung cấp và phục vụ các người dùng cuối và giảm thiểu sự ngưng hoạt động hệ thống ngoài ý muốn Độ tin cậy cao: Hệ thống cần có khả năng sẵn sàng cung cấp và đáp ứng các yêu cầu với độ tin cậy và khả năng dự phòng tốt.

Yêu cầu về khả năng mở rộng: Hệ thống phải có khả năng dễ dàng cho việc mở rộng trong tương lai

Hệ thống được lựa chọn cần phải đảm bảo tính hiện đại, có thể quản lý được một cách tập trung, thống nhất.

7) Yêu cầu về an toàn và bảo mật

Hệ thống chứng thực điện tử là một hệ thống hệ thống hàm chứa tính pháp lý cao nên yêu cầu về an toàn và bảo mật dữ liệu là một trong các yêu cầu quan trọng của hệ thống Hệ thống cần được thiết kế trên nền tảng các giải pháp an toàn Dữ liệu trong hệ thống cần có cơ chế bảo vệ đặc biệt, chống mất mát dữ liệu và các truy cập bất hợp pháp Ngoài ra các hệ thống dịch vụ tiện ích cần phải đảm bảo độ sẵn sàng cao phục vụ trên hệ thống mạng ở chế độ 24/7.

Dựa vào điều kiện thực tế của Việt Nam, trên cơ sở tham khảo các mô hình xây dựng hệ thống PKI của nước ngoài, chúng tôi đề xuất sử dụng mô hình RootCA cho hệ thông chứng thực điện tử chuyên dùng phục vụ bảo mật và an toàn thông tin thuộc phạm vi bí mật nhà nước.

Hệ thống gồm 01 RootCA và 06 SubCA đặt tại Trung tâm chứng thực điện tử chuyên dùng chính phủ với chức năng và nhiệm vụ như sau:

CA ĐCS: phục vụ các cơ quan Đảng

CA QĐ: phục vụ các đơn vị thuộc Bộ Quốc phòng

CA CA: phục vụ các đơn vị thuộc Bộ Công an

CA NG: phục vụ các đơn vị thuộc Bộ Ngoại giao

CA CP: phục vụ các đơn vị khác thuộc Chính phủ

CA BCY: phục vụ công tác điều hành, tác nghiệp, nghiên cứu trong lĩnh vực Cơ yếu

RootCA và 06 SubCA sử dụng chung 01 Master LDAP Server cho cả hệ thống chứng thực điện tử chuyên dùng chính phủ.

Mô hình sinh khóa được thực hiện theo nguyên tắc tập trung, sinh khóa tại trung tâm chứng thực điện tử chuyên dùng chính phủ, tại khu vực CA Offline.

Mô hình phục vụ các yêu câu về chứng thực điện tử được xây dựng trên cơ sở mô hình như sau:

3 Các tiêu chuẩn áp dụng

- IETF RFC 2510: Certificate Management Protocols

- IETF RFC 2511: Certificate Request Message Format

- RSA PKCS#10 : Certification Request Syntax Standard

- IETF RFC 2251 : Lightweight Directory Access Protocol (v3)

- IETF RFC 2585 : PKI Operational Protocols : FTP and HTTP

- IETF RFC 3494 : PKI Operational Protocols : LDAPv2

- IETF RFC 3161 : Time Stamp Protocols(TSP)

9) Kiểm tra tình trạng chứng thư

- IETF RFC 2560 : Online Certificate Status Protocol

10) Chứng thư số và Danh sách hủy bỏ (CRL)

- IETF RFC 3280 : Certificate and Certificate Revocation List (CRL) Profile

THIẾT KẾ HẠ TẦNG THIẾT BỊ VÀ KẾT NỐI MẠNG

1) Yêu cầu về tính sẵn sàng cao (availability)

Các tài nguyên mạng phải luôn sẵn sàng trong khả năng cao nhất để cung cấp và phục vụ các người dùng cuối và giảm thiểu sự ngưng hoạt động hệ thống ngoài ý muốn Hệ thống mạng có khả năng đáp ứng về hiệu suất, có tính sẵn sàng cao.

11) Yêu cầu về độ tin cậy cao (reliability) Độ tin cậy cao được hiểu là khả năng giảm thiểu tần số xảy ra các sự cố, và nâng cao khả năng chịu đựng sai sót của hệ thống Hệ thống cần có khả năng sẵn sàng cung cấp và đáp ứng các yêu cầu với độ tin cậy và khả năng dự phòng tốt.

12) Yêu cầu về khả năng mở rộng được (scalability)

Hệ thống phải có khả năng dễ dàng cho việc nâng cấp, mở rộng trong tương lai Việc nâng cấp mở rộng bao hàm cả việc thêm các thiết bị, máy tính vào hệ thống để nâng cao chất lượng dịch vụ, cũng như việc thêm số lượng người dùng, thêm ứng dụng, dịch vụ và thêm các tài nguyên mạng khác

13) Yêu cầu về an toàn và bảo mật

- Hệ thống cần được thiết kế như một khối đồng nhất và được phân chia thành các vùng mạng khác nhau tùy theo mục đích sử dụng Các vùng mạng này có sự liên kết chặt chẽ với nhau bảo đảm tính toàn vẹn của cả hệ thống Mỗi vùng mạng được gán chính sách bảo mật khác nhau tùy theo chức năng Ngoài ra, việc phân vùng mạng còn bảo đảm tính an toàn, khi một vùng bị lỗi, dễ dàng tách vùng này ra khỏi hệ thống, bảo đảm hệ thống vẫn hoạt động tốt

- Hệ thống cần được bảo đảm an ninh bởi các bức tường lửa (Firewall),bảo đảm khả năng bảo vệ cho các hệ thống bên trong, đặc biệt là vùng máy chủ nhạy cảm

- Hệ thống cần có các cơ chế bảo vệ ở đa tầng, từ tầng ứng dụng web đến tầng truy cập vật lý, ngăn chặn hữu hiệu các cuộc tấn công và xâm nhập trái phép, đồng thời phải tương đối trong suốt đối với người sử dụng.

- Các thiết bị được sử dụng trong hệ thống phải là những thiết bị đã được chứng minh là vận hành ổn định và hiệu quả Đồng thời cần dùng các thiết bị của nhiều hãng sản xuất khác nhau đặt ở các lớp bảo vệ, tránh việc dùng cùng một dòng sản phẩm trên nhiều lớp

- Hệ thống phải đảm bảo khả năng tách biệt chức năng sử dụng của các khu vực, đảm bảo công tác bảo trì, bảo hành các hệ thống đơn giản, dễ dàng không ảnh hưởng đến hoạt động bình thường của Trung tâm.

- Hệ thống thiết bị mạng, máy chủ đáp ứng về mặt kỹ thuật, tốc độ, tính sẵn sàng

- Xây dựng hệ thống phụ trợ giúp toàn bộ hệ thống được bảo đảm vận hành tốt, phòng chống các rủi ro khách quan cho hệ thống (kiểm soát truy cập, hệ thống điện, hệ thống điều hòa nhiệt độ, hệ thống UPS, hệ thống phát hiện cháy, hệ thống sao lưu dữ liệu)

- Hệ thống sử dụng các thiết bị có thỏa mãn các tiêu chuẩn quốc tế, dễ dàng tương thích, dễ thay đổi trong trường hợp hỏng hóc

2 Lựa chọn mô hình hệ thống mạng Đối với khu vực máy chủ: Sử dụng công nghệ mạng LAN với tốc độ hỗ trợ 10/100/1000 Mbps Đối với khu vực máy làm việc và quản trị: Sử dụng công nghệ mạng LAN với tốc độ hỗ trợ 10/100 Mbps

Hệ thống sử dụng vùng DMZ để phân cách ba vùng: vùng ngoài (External), vùng cung cấp dịch vụ (DMZ) và mạng trong phục vụ tác nghiệp tại khu vực RA (Internal) và vùng quản trị hệ thống.

Các khu vực được ngăn cách bởi firewall, đồng thời thời tích hợp một số dịch vụ trên firewall như antivirus, IPS,…

Hệ thống cáp mạng sử dụng loại UTP CAT5 hoặc UTP CAT6.

Sử dụng chức năng VLAN của hệ thống Switch để tiết kiệm chi phí.

3 Thiết kế các thành phần hệ thống Đầu tư thiết bị hạ tầng mạng cho hệ thống của Trung tâm CA được xây dựng mới từ đầu gồm các thành phần sau:

- Mạng LAN tác nghiệp tại khu vực CA

- Mạng máy tính phục vụ các dịch vụ chứng thực

1) Mạng LAN phục vụ khu vực CA

Mạng LAN phục vụ khu vực CA là một hệ thống độc lập, offline, không có kết nối vật lý đối với bất cứ khu vực ngoài nào để đảm bảo an toàn dữ liệu, gồm các hệ thống sau:

- Hệ thống máy chủ phục vụ các CA, cơ sở dữ liệu, máy chủ LDAP

- Hệ thống lưu trữ dữ liệu Online (SAN)

- Firewall ngăn cách khu vực tác nghiệp của CA với các hệ thống máy chủ

- Hệ thống máy tính, máy in phục vụ nhân viên CA tác nghiệp

- Hệ thống Switch phục vụ kết nối giữa các máy chủ và máy làm việc và Firewall

MÔ HÌNH MẠNG LAN TẠI KHU VỰC CA

15) Mạng máy tính phục vụ các dịch vụ chứng thực

Mạng máy tính phục vụ các dịch vụ chứng thực gồm các thành phần chính, gồm:

- Mạng LAN phục vụ nhân viên CA tác nghiệp

- Hệ thống máy chủ phục vụ các dịch vụ chứng thực cho các đầu mối

- Hệ thống máy chủ phục vụ các ứng dụng tác nghiệp tại Trung tâm CA

- Hệ thống thiết bị truyền thông và kết nối từ xa

MÔ HÌNH MẠNG TẠI KHU VỰC RA

Dựa trên yêu cầu về khả năng sử dụng, khả năng hoạt động ổn định cũng như yêu cầu an toàn của hệ thống, cấu hình thiết bị tối thiểu phải đáp ứng các yêu cầu như sau:

CPU Intel® Xeon® 5160 Dual Core Processor 3 GHz

Khả năng nâng cấp Có khả năng nâng cấp lên 02 CPU

Bộ nhớ đệm CPU 1 x 4MB Level 2 cache

RAID Hỗ trợ RAID 0/1/5 Ổ cứng 02 x 72.8GB Hot-Plug Ổ đĩa quang DVD ROM

Giao tiếp mạng 02 x Gigabit Network Adapters

Nguồn 02 x Hot Plug AC Power Supply

Bộ nhớ RAM 256 MB Ổ cứng 80 GB Ổ đĩa quang CDROM

Giao tiếp mạng 100Mbps Network Adapters

Bàn phím PS/2 hoặc USB

Giao tiếp khác Tối thiểu phải có 04 cổng USB

CPU Intel® DualCore Centrino 3.0 GHz

Bộ nhớ RAM 512 MB Ổ cứng 80 GB Ổ đĩa quang CDRW-DVDROM

Giao tiếp mạng 100Mbps Network Adapters

Giao tiếp khác Tối thiểu phải có 02cổng USB

18) Thiết bị chuyển mạch mạng (Switch)

Loại cổng Ethernet 10Base-T/Ethernet 100Base-TX

Giao thức quản lý SNMP, RMON

Chế độ truyền Halp-duplex, full-duplex

Cổng quản lý 1 x management - console - RJ-45 Đặc tính khác Auto-sensing per device, auto-negotiation, manageable,

VLAN Tương thích với các tiêu chuẩn mạng

IEEE 802.3, IEEE 802.3u, IEEE 802.1D, IEEE 802.1Q, IEEE 802.1p, IEEE 802.3x, IEEE 802.1x

19) Thiết bị định tuyến (Router)

Số lượng cổng 2 x Ethernet 10/100 Mbps

Số lượng cổng mở rộng 4

Giao thức quản lý SNMP, RMON

Cổng quản lý 1 x management - console - RJ-45

20) Thiết bị sao lưu dữ liệu (Tape Backup)

Tốc độ truyền 3.2 MBps (native) / 6.4 MBps (compressed)

Chuẩn ghi dữ liệu DDS-3, DDS-4, DAT 72

Hỗ trợ hệ điều hành

Thiết bị này cần cung cấp giải pháp an toàn an ninh đa chức năng hỗ trợ tính năng tường lửa, mạng riêng ảo với công nghệ IPSEC hay SSL, phát hiện & phòng chống xâm nhập trái phép, phòng chống virus, phần mềm phòng chống gián điệp trên một nền tảng một ứng dụng duy nhất

AC Power 220V, 50-60Hz, có dự phòng

Network Network Address Translation (NAT),

Masquerading/port address translation Dynamic Host Configuration Protocol (DHCP) Point-to-Point Protocol over Ethernet (PPPoE) VPN Internet Protocol Security (IPSec) with Internet Key

Exchange (IKE) Layer Two Tunneling Protocol (L2TP) support Encryption algorithms: DES, 3DES, AES Authentication algorithms:MD5, SHA-1 Perfect forward secrecy (Diffie-Hellman) Groups 1,2,5 Public Key Infrastructure (PKI) support

Image analysisText analysisUser-configurable include/exclude lists

Anti-spam/virus Protects HTTP, FTP, POP3, and SMTP protocols

Anti-spyware blocks Pattern-based spyware blocking at the gateway

Blocks attacks such as DoS, port scanning, IP/ICMP/TCP-related

Blocks attacks such as DNS cache poisoning, FTP bounce, improper commands

Signature-based and protocol anomaly Performance Maximum concurrent sessions: 150.000

Secure shell (SSH) access Multiple administrators and user levels

22) Thiết bị lưu trữ dữ liệu online

THIẾT KẾ CÁC HỆ THỐNG PHẦN MỀM, DỊCH VỤ

1 Yêu cầu chung về hệ thống các phần mềm, dịch vụ

Các phần mềm xây dựng phải đạt được các tiêu chí sau:

- Hệ thống phần mềm cho phép thiết lập hệ thống chứng thực điện tử tại Trung tâm tâm miền Bắc gồm một RootCA và các Sub CA (khoảng 06 Sub CA) phục vụ cho các đầu mối thuộc hệ thống chính trị Tại Trung tâm CA sẽ có một Trung tâm RA chung phục vụ tất cả các yêu cầu cho các đầu mối các hệ.

- Hệ thống sử dụng mô hình sinh khóa tập trung, cho phép thay đổi hệ thống các module mật mã.

- Hệ thống phần mềm cho phép triển khai chữ ký số trên nền tảng hệ thống chứng thư số được cấp Ngoài ra hệ thống phần mềm này phải cho phép việc tích hợp chữ ký số vào các ứng dụng đã phát triển hoặc phát triển mới từ đầu.

- Trong quá trình triển khai, yêu cầu chi tiết về hệ thống các phần mềm phải được đặt ra bởi các các cán bộ kỹ thuật của Ban Cơ yếu.

- Hệ thống phần mềm phải được chuyển giao đầy đủ: mã nguồn, tài liệu mô tả quy trình hoạt động, tài liệu mô tả chức năng hệ thống, tài liệu kỹ thuật mô tả chi tiết các module, mô tả các phần hiệu chỉnh, bổ sung trong quá trình phát triển cho dự án Trên cơ sở đó cán bộ kỹ thuật có thể làm chủ được toàn bộ hệ thống mã nguồn, bổ sung để phục vụ việc triển khai và mở rộng hệ thống khi cần thiết.

2 Lựa chọn giải pháp công nghệ nền tảng cho hệ thống PKI

1) Phân tích các giải pháp nền tảng cho hệ thống PKI

1 - Microsoft Certification Authority (Hệ chứng thực của Microsoft) Ưu điểm:

- Giá thành rẻ, tích hợp sẵn với với Microsoft Windows 2003 Server.

- Dễ cài đặt và sử dụng, thích hợp với mô hình CA một cấp.

- Hệ thống CA chỉ làm việc tốt khi tích hợp với LDAP Server là Active Directory

- Khó khăn trong việc triển khai CA nhiều cấp.

- Tầng mật mã sử dụng cho hệ thống CA là Microsoft CryptoAPI, là hệ thống đóng kín tích hợp với hệ điều hành Windows nên khả năng thay đổi thuật toán là rất khó.

- Không có khả năng thay đổi giao diện cũng như tùy biến quy trình cho phù hợp với mô hình của Việt Nam.

2 - Third Party Certification Authority (các hệ chứng thực của hãng thứ 3)

Các đối tác tham khảo:

Cryptomathic Certificate Authority Ưu điểm:

- Là sản phẩm thương mại, đã được chứng nhận của thị trường

- Hỗ trợ các chuẩn quốc tế, phù hợp với các ứng dụng trên thị trường

- Giá thành cực kỳ đắt: tham khảo giá của hệ thống CA cho 20.000 thuê bao với 3 năm hỗ trợ có giá tới gần 4 triệu USD.

- Khi có yêu cầu về Việt hóa hệ thống hoặc tùy biến giao diện, tiến trình phải phụ thuộc vào đối tác và trả thêm kinh phí hỗ trợ

- Khi có yêu cầu về thay đổi mật mã cần phải thỏa thuận riêng với chính hãng Việc thay đổi mật mã cũng chỉ là tạo ra giao diện mở để nạp thuật toán, không quản lý cũng như đảm bảo được toàn bộ hệ thống mã nguồn của phần mềm.

3 - Open Certification Authority (Open CA - Hệ chứng thực mã nguồn mở) Ưu điểm:

- Là phần mềm mã nguồn mở dựa trên nền tảng OpenSSL OpenSSL cung cấp toàn bộ các chức năng của CA và RA như: sinh khóa, phát hành chứng thư, quản lý, hủy bỏ và công bố chứng thư OpenCA là giao diện Web để thực hiện các chức năng của OpenSSL nên vấn đề an toàn hệ thống phụ thuộc vào OpenSSL OpenSSL đã được kiểm chứng bởi Viện tiêu chuẩn và công nghệ quốc gia Mỹ (NIST) và Tổ chức an toàn truyền thông của Chính phủ Canada đạt chứng nhận FIPS 140-2

- OpenSSL hiện đang là một trong những lớp mật mã được sử dụng rộng rãi trên thế giới.

- Mã nguồn có thể thay đổi và tùy biến theo người dùng.

- Hỗ trợ các chuẩn quốc tế.

- Không phụ thuộc vào hệ điều hành Chạy ổn định trên môi trường Linux.

- Đã có nhiều nhà phát triển thứ cấp phát triển hoàn thiện sản phẩm Open CA để ứng dụng vào các hệ thống lớn (qua khảo sát nước ngoài cho thấy).

- Nếu sử dụng bản mã nguồn mở được công bố trên mạng thì một số các chức năng chưa đạt đến sự hoàn thiện như các sản phẩm PKI thương mại nhưEntrust, RSA,

- Chưa được kiểm định đã được triển khai cho một hệ thống tầm cỡ tương đương với dự án.

- Là sản phẩm mã nguồn mở nên cần được hoàn thiện và kiểm soát mã nguồn một cách chặt chẽ

Dựa trên các phân tích nêu trên, trên cơ sở về kinh phí của dự án cũng như khả năng can thiệp về mật mã đối với hệ thống phần mềm CA, chúng tôi đề xuất sử dụng phần mềm OpenCA Tuy nhiên để phát huy mặt mạnh và khắc phục những nhược điểm của Open CA chúng ta sẽ không sử dụng bản Open CA miễn phí mà mua bản Open CA đã được hoàn thiện chức năng bởi một công ty uy tín, đã triển khai thành công trong thực tế ở các trung tâm CA mức độ tương đương Sau đó hợp tác với đối tác để xây dựng sản phẩm cho phù hợp với bài toán của mình và chuyển giao công nghệ lập trình cho các cán bộ kỹ thuật của ta làm chủ hoàn toàn trong quá trình vận hành và phát triển sau này

3 Các hệ phần mềm cần xây dựng, triển khai Để xây dựng một trung tâm CA trên nền tảng Open CA, chúng ta phải xây dựng các hệ phần mềm sau:

Các phần mềm nền tảng:

+ Bộ phần mềm giải pháp PKI

+ Bộ phần mềm nền tảng chữ ký số

+ Bộ phần mềm gửi nhận tài liệu mật trên mạng

Các phần mềm đặc thù:

+ Hệ thống đồng bộ chứng thư cho các LDAP Server

+ Hệ thống kiểm tra tình trạng chứng thư trực tuyến

+ Chương trình kiểm tra sản phẩm trước khi cấp cho người sử dụng

+ Trang thông tin phục vụ cho quá trình tự động hóa điều hành hệ thống CA

+ Chương trình bảo mật đĩa USB để bảo mật dữ liệu luân chuyển giữa các bộ phận thuộc Trung tâm CA

+ Chương trình phần mềm nghiệp vụ cấp phát.

+ Các module mật mã đặc thù trên các phần mềm nền tảng: Bộ giải pháp PKI, Phần mềm nền tảng chữ ký số, Phần mềm gửi nhận văn bản qua mạng, Bộ công cụ phát triển ứng dụng trên nền tảng PKI.

4 Thiết kế các phần mềm, dịch vụ

1) Thiết kế phần mềm giải pháp PKI

Bao gồm các module CA, RA, Time Stamp Authority và OCSP Responder, quản lý một cách thống nhất và tổng thể hệ thống CA theo phân cấp bao gồm Root CA và các Sub CA

Hệ thống phải đảm bảo việc quản lý số lượng lớn chứng thư số được cấp phát (từ 300 ngàn đến 500 ngàn) với các dịch vụ trực tuyến OCSP, TimeStamp, Directory Server cho phép phục vụ truy cập đồng thời số lượng lớn người dùng (hàng ngàn) Các dịch vụ trực tuyến có thể phân tách theo từng SubCA hoặc sử dụng chung trên cùng một hệ thống đồng thời cho phép các giải pháp đảm bảo độ sẵn sàng cao trong triển khai như cluster, load blancing.

Các chức năng chính của giải pháp:

+ Có khả năng tùy biến mẫu chứng thư số

+ Tạo trường mới cho chứng thư số

+ Đặt thời gian hiệu lực cho chứng thư số

+ Hỗ trợ xác minh thực thể

+ Định danh thuê bao theo tên duy nhất

+ Chứng thư số tương thích với các ứng dụng: SSL, IPSec, S/MIME,

… + Có phương án bảo vệ khóa bí mật của CA

+ Quản lý vòng đời của chứng thư số

+ Sao lưu dữ liệu và có phương án phục hồi dữ liệu khi gặp sự cố + Tương thích và tích hợp với hệ thống thư mục theo chuẩn X.500 với LDAP v3

+ Hệ thống RA trực tuyến và không trực tuyến phục vụ cho tất cả các SubCA trên một giao diện thống nhất.

+ Quản lý danh sách chứng thư hủy bỏ CRL

+ Kiểm tra hiệu lực chứng thư số bằng OCSP

Việc triển khai giải pháp PKI phải đảm bảo:

+ Giải pháp xây dựng theo mô hình phân cấp, một Root CA và các Sub CA.

+ Mở rộng thông qua phương pháp xác thực chéo

+ Sử dụng mô hình CA offline

+ Sử dụng các chính sách ký khác nhau

+ Cho phép tích hợp với Bridge CA

+ Hỗ trợ các tiêu chuẩn về chứng thư số: X.509 cho chứng thư số và danh sách hủy bỏ, PKIX-CMP, PKSC#7/10

+ Tương tác với thư mục LDAP, thẻ thông minh, OCSP Responder, HSM

+ Hỗ trợ các thuật toán mật mã sau: RSA (đến 4096 bit), DSA 1024, SHA-1, SHA-256, DES, Triple-DES, AES-256

+ Tương thích với hệ điều hành Red Hat Linux

OCSP Responder ( Online Certificate Status Protocol)

+ Cho phép kiểm tra tình trạng chứng thư số trực tuyến với số lượng lớn

+ Có giải pháp cân bằng tải cho phép 02 OCSP Responder chạy song song

+ Tiết kiệm băng thông trên đường truyền

+ Tuân thủ theo RFC 2560 - X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP

+ Có hệ thống ghi nhật ký thực hiện kiểm tra chứng thư số

+ Có giao diện để nạp CRL hoặc tự động tích hợp

+ Có giao diện Web sử dụng để cấu hình và quản trị hệ thống

+ Hỗ trợ CRLv1, CRLv2 và Delta CRLs

+ Hỗ trợ nhiều CRL, nhiều CA

+ Hỗ trợ RSA (2048) và DSA (1024)

+ Hỗ trợ nhiều dịch vụ Time Stamp độc lập trên một máy tính, mỗi dịch vụ sử dụng khóa ký và chính sách khác nhau

+ Hỗ trợ thời gian hệ thống, NTP hoặc GPS

+ Có thể sử dụng HSM để thực hiện các tác vụ mật mã

+ Ghi nhật ký sử dụng và hoạt động

+ Tương thích với các chuẩn cơ sở của Certificate Authority

24) Thiết kế phần mềm nền tảng chữ ký số

HUẤN LUYỆN ĐÀO TẠO

MỤC TIÊU

Việc ứng dụng chứng thực điện tử dựa trên nền tảng khóa công khai (PKI) trong các giao dịch trong các cơ quan đảng, chính trị, an ninh quốc phòng… đang là điều mới mẻ Ngay cả việc triển khai hệ thống CA cũng là dự án đầu tiên được triển khai ở Việt Nam, đa số các công nghệ được xác định là chuyển giao từ các nước tiên tiến, có kinh nghiệm triển khai các hệ thống tương đương Do đó vấn đề đào tạo sẽ được đặt ra trên các cấp độ:

- Tổ chức tham quan, học tập kinh nghiệm triển khai các hệ thống PKI ở cấp độ tương đương tại các nước tiên tiến.

- Đào tạo người sử dụng sử dụng các dịch vụ PKI trong công việc hàng ngày.

- Đào tạo các cán bộ trực tiếp vận hành, quản trị dịch vụ.

- Đào tạo các chuyên gia thuộc trung tâm CA làm chủ và phát triển các dịch vụ PKI dựa trên hệ thống được chuyển giao.

Trong các nội dung đào tạo trên, nội dung “Đào tạo các chuyên gia thuộc trung tâm CA làm chủ và phát triển các dịch vụ PKI dựa trên hệ thống được chuyển giao” được ghép vào gói các phần mềm, dịch vụ nền tảng, sẽ do các chuyên gia phát triển và chuyển giao các phần mềm, dịch vụ PKI trực tiếp đào tạo và chuyển giao cho các cán bộ, chuyên gia của ta như một phần của nội dung hợp đồng.

NỘI DUNG ĐÀO TẠO

Xuất phát từ quan điểm chủ đạo là nội dung đào tạo phải phù hợp với nhiệm vụ và vị trí khác nhau của từng đối tượng và phải phục vụ trực tiếp ngay trong việc triển khai và sử dụng kết quả dự án Một số kiến thức về phương pháp luận, về công nghệ sẽ cần trang bị cho tất cả các đối tượng tham gia vào dự án nhưng tùy thuộc vào vị trí khác nhau mà nội dung, mức độ chuyên sâu khác nhau.

Phục vụ cán bộ, chuyên gia tham gia xây dựng dự án

- Tổ chức chuyến tham quan, khảo sát, học tập kinh nghiệm triển khai PKI thành công tại một số nước tiên tiến

Phục vụ những đối tượng sử dụng thành quả dự án trong công việc hàng ngày

- Bồi dưỡng kiến thức cơ bản về công nghệ thông tin, tin học văn phòng, Internet – Web…

- Bồi dưỡng kiến thức về PKI, chứng thực điện tử.

- Đào tạo sử dụng các dịch vụ do dự án cung cấp vào công việc hàng ngày.

Phục vụ các cán bộ trực tiếp vận hành, quản trị trung tâm CA

- Kiến thức chuyên sâu về hệ điều hành, mạng, bảo mật

- Kỹ thuật cài đặt các ứng dụng, dịch vụ cho trung tâm CA

- Kỹ thuật vận hành các dịch vụ được triển khai.

- Kỹ năng xử lý các sự cố trong quá trình vận hành.

TỔ CHỨC ĐÀO TẠO

Căn cứ vào nhu cầu, mục đích và nội dung đã trình bày ở trên Căn cứ vào đặc thù hoạt động và nhu cầu ứng dụng dịch vụ chứng thực điện tử trong hoạt động của từng đơn vị, chương trình huấn luyện đào tạo dự kiến như sau:

- Tổ chức chuyến tham quan, khảo sát, học tập kinh nghiệm triển khai PKI thành công tại một số nước tiên tiến: 1 đoàn, 1 chuyến

- Cán bộ, nhân viên sử dụng các dịch vụ: 5 lớp – tại các đơn vị triển khai dự án.

- Cán bộ, trợ lý quản trị, vận hành hệ thống – 2 lớp.

DỰ TOÁN KINH PHÍ

TỔNG KINH PHÍ

Tổng kinh phí đầu tư: 19,909,202,000 đồng.

Bằng chữ: Mười chín tỷ chín trăm linh chín triệu hai trăm linh hai ngàn đồng.

PHÂN CHIA THEO HẠNG MỤC

Theo các hạng mục đầu tư, kinh phí được phân chia theo bảng:

STT Các hạng mục đầu tư

I Mua sắm trang thiết bị phần cứng, lắp đặt 5,933,702

- Máy tính và thiết bị mạng trung tâm CA 4,190,739

- Thiết bị văn phòng cho trung tâm CA 357,534

- Thiết bị nghiệp vụ USB Token 1,040,000

II Phần mềm, CSDL, văn bản tài liệu 12,287,000

- Phần mềm hệ thống, CSDL mua của nước ngoài 182,400

- Phần mềm nền tảng PKI 11,047,600

Tăng so với dự án do tăng thêm phần hợp tác thay khóa mã.

- Phần mềm xây dựng trong nước 927,000

Giảm kinh phí các nội dung thay mã trong các PM do có hợp tác với nước ngoài một số nội dung. -

Xây dựng văn bản pháp lý cho việc ứng dụng

III Chi phí xây dựng, xây lắp thiết bị 456,500

- Sửa chữa, xây dựng khu vực triển khai trung tâm

- Chi phí lắp đặt thiết bị, cấu hình hệ thống 104,000

IV Đào tạo, chuyển giao công nghệ 334,000

- Đào tạo huấn luyện, hội thảo, hội nghị trong nước 112,000

- Khảo sát và học tập về PKI ở nước ngoài 222,000

V Chi phí quản lý dự án 303,000

VI Chi phí tư vấn đầu tư 379,000

- Lập thiết kế và tổng dự toán 106,000

- Thẩm định thiết kế và tổng dự toán 41,000

- Lập hồ sơ yêu cầu, hồ sơ mời thầu và xét thầu 34,000

- Giám sát lắp đặt thiết bị 108,000

- Thẩm tra, phê duyệt quyết toán vốn đầu tư 16,000

VIII Chi phí phát sinh dự phòng 200,000

Tổng (I+II+III+IV+V+VI+VII+VIII) 19,909,202

Bằng chữ: Mười chín tỷ chín trăm linh chín triệu hai trăm linh hai ngàn đồng

Giải trình các hạng mục kinh phí.

T Khoản mục ĐV SL Đơn giá (x1000 đ)

I Chi phí sửa chữa văn phòng 352,500

Phá tường, ngăn phòng, quây cabin thành các khu vực theo như thiết kế m2 250 450 112,500 2

Hệ thống khoang kính kiểm tra an ninh (cửa tự động) Bộ 2 40000 80,000

Hệ thống cửa + Khóa nhận dạng vân tay Bộ 14 10000 140,000

I Chi phí xây lắp trung tâm CA 104,000

1 Chi phí vật liệu lắp đặt mạng 20,000

2 Chi phí nhân công lắp đặt thiết bị, mạng 25,000

Chi phí nhân công cấu hình hệ thống 40,000

3 Chi phí máy thi công 15,000

Bằng chữ: Bốn trăm năm mươi sáu triệu năm trăm ngàn đồng

2 Kinh phí trang thiết bị phần cứng, thiết bị văn phòng

STT Các hạng mục đầu tư ĐV

T SL Đơn giá ước (x1000 VNĐ)

I Máy tính và thiết bị mạng trung tâm

Máy chủ HP DL380-G4 (Rack) 02 CPU

U320, 02xNIC, 02xPower Supply (hoặc tương đương)

Máy tính xách tay Intel Centrino Duo

CoreT2400(2x1.83GHz), 2 MB L2 cache, 667 MHz front-side bus , 512MB

RAM,60GB 5400rpm HDD, 14.1in

950,CDRW/DVDRW, Intel 802.11abg wireless, Bluetooth/Modem, 1Gb

Fingerprint reader, 6c (hoặc tương đương).

Router Cisco 2801 có tích hợp bảo mật và module 4 cổng Async (Cisco 2801

Security Bundle with IOS Advanced

Security Image, 64 MB Flash/256 MB

4 Switch Cisco 3560G-24TS-E 24 ports, layer 3 (hoặc tương đương) Cái 1 84,000 84,000

- 02 máy chủ HP DL380 G5 cấu hình như sau:

CPU: Quad-Core Intel Xeon

HDD Controller: HP Smart Array

SAN G2 Kit (AG525A) cấu hình như sau:

Module with 2 Gb SFP SW

Pluggable Power Supply/blower assemblies;

1 x Rack shelf for installation of

Universal Rack-mounting Kit for

HA Upgrade G2 Kit (AG526A) cấu hình như sau:

14 ổ cứng 72G Hotswap sử dụng cho MSA 1000

6 HP StorageWork DAT72 USB Ext Tape

Drive (hoặc tương đương) Bộ 2 31,500 63,000

7 HP DAT 72 72GB 170m Data Cartridge Bộ 20 420 8,400

Rack AMP 42u + KVM Aten KL9108 (8 cổng đã bao gồm màn hình LCD 17", bàn phím, chuột) Bộ 4 52,500 210,000

CheckPoint UTM-1 2050 hoặc thiết bị tương đương (Hệ thống đặt mua phải có sẵn bản quyền phần mềm của hệ thống quản lý tập trung thông qua giao diện thống nhất, hệ thống IPS , hệ thống dịch vụ antivirus và URL filter)

Modem US Robotic, 56K, V92, USB port, Chip US Robotics.(hoặc tương đương)

11 Ổ ghi CD/DVD Ext PLEXTOR- (model:

750UF) (hoặc tương đương) Cái 1 4,250 4,250

12 Thiết bị mật mã lưu khóa bí mật (HSM) cho RootCA và 06 SubCA Bộ 1 720,403 720,403

14 Đầu ghi hình kỹ thuật số 80GB DSR-

15 Màn hình LCD 20 inch Cái 4 20,000 80,000

16 Màn hình plasma 50 inch Cái 1 135,000 135,000

17 UPS Smart 5KVA APC Cái 4 44,709 178,836

1 Card mạng cho máy chủ PCIX Cái 5 4,200 21,000

2 Card mạng cho máy trạm Cái 5 672 3,360

3 Hộp đầu mạng RJ45 hộp 2 672 1,344

4 Dây cable mạng (Krone, AMP hoặc tương đương) hộp 5 1,575 7,875

III Thiết bị bảo vệ

1 Hệ thống kiểm soát vào ra Bộ 1 84,000 84,000

2 Camera màu, quan sát ngày đêm VCC-

4 Ống kính tiêu cự 5mm-50mm VA-

5 Hệ thống báo cháy Bộ 1 52,500 52,500

IV Thiết bị văn phòng cho trung tâm CA

1 Máy in HP LaserJet 5200TN hoặc tương đương Cái 1 43,869 43,869

2 Máy in HP LaserJet 1320 hoặc tương đương Cái 2 8,400 16,800

3 Máy photocopy kỹ thuật số RICOH

Aficio 3090 hoặc tương đương Cái 1 84,000 84,000

4 Máy quét HP ScanJet 8250 hoặc tương đương Cái 1 20,000 20,000

5 Máy chiếu Sony VPL CX76 hoặc tương đương Cái 1 50,000 50,000

Tổng đài điện thoại Panasonic KX - TES

824 +Cạc DISA KX-TES82491 + Bàn lập trình KXT 7633 hoặc tương đương Cái 1 10,500 10,500

7 Điện thoại bàn Panasonic Cái 8 630 5,040

8 Máy điều hoà Mitsubishi 12000 BTU, 2 chiều, 2 cục hoặc tương đương Bộ 6 15,000 90,000

9 Flash Memory 1GB nhận dạng vân tay

10 Máy hút bụi REAMAC hoặc tương đương Cái 2 5,250 10,500

11 Máy hủy tài liệu HSM 104.3C hoặc tương đương Cái 2 10,000 20,000

Tổng cộng: 4,983,702,000 VNĐ (Bốn tỷ chín trăm tám mươi ba triệu bảy trăm linh hai ngàn đồng)

TT Nội dung công viêc Đơn vị SL Đơn giá

I Phần mềm hệ thống mua nước ngoài 182,400

1 HĐH Linux Red hat server Bộ 3 28,800 86,400

II, Phần mềm nền tảng PKI 11,047,600

Xây dựng, chuyển giao công nghệ Bộ phần mềm giải pháp

Xây dựng, chuyển giao công nghệ Bộ phần mềm nền tảng chữ ký số Bộ 1 2,947,70

Xây dựng, chuyển giao công nghệ Bộ phần mềm gửi nhận tài liệu mật trên mạng Bộ 1 2,079,30

Xây dựng, chuyển giao công nghệ bộ công cụ phát triển ứng dụng trên nền tảng bộ giải pháp PKI

III Phần mềm xây dựng trong nước 927,000

1 Hệ thống đồng bộ chứng chỉ số cho LDAP Server Bộ 1 128,000 128,000

2 Hệ thống kiểm tra tình trạng chứng chỉ trực tuyến Bộ 1 121,000 121,000

Trang thông tin phục vụ quá trình tự động hoá điều hành hệ thống CA Bộ 1 116,000 116,000

4 Kiểm tra sản phẩm trước khi cấp cho người sử dụng Bộ 1 80,000 80,000

5 Bảo mật đĩa USB để bảo mật dữ liệu luân chuyển giữa các bộ phận thuộc Trung tâm CA

Thay thế, tích hợp hệ thống thuật toán mật mã cho hệ thống phần mềm CA chuyển giao

Thay thế, tích hợp hệ thống thuật toán mật mã cho hệ thống phần mềm nền tảng chữ ký số chuyển giao

Thay thế, tích hợp hệ thống thuật toán mật mã cho hệ thống phần mềm gửi nhận văn bản mật được chuyển giao

Thay thế, tích hợp hệ thống thuật toán mật mã cho bộ công cụ PKI (PKI SDK) chuyển giao

10 Phần mềm nghiệp vụ quản lý cấp phát Bộ 1 40,000 40,000

IV Văn bản pháp lý 130,000

Xây dựng hệ thống văn bản pháp lý phục vụ triển khai chữ ký số

Tổng cộng: 12,278,000,000 VNĐ (Mười hai tỷ hai trăm tám mươi bảy triệu đồng)

Stt Đối tượng đào tạo Số lớp

(đoàn) Định mức kinh phí

1 Tham quan học tập nước ngoài 1 222,000 222,000

2 Đào tạo người sử dụng 5 16,000 80,000

3 Đào tạo người sử dụng 2 16,000 32,000

Tổng cộng: 334,000,000 VNĐ (Ba trăm ba mươi tư triệu đồng)

5 Giải trình chi tiết chi phí chuyển giao, xây dựng các phần mềm nền tảng

Dự toán kinh phí xây dựng, chuyển giao Phần mềm

“Bộ phần mềm giải pháp PKI”

Nội dung công viêc ĐV SL Đơn giá

I Mua bản quyền phần mềm Bộ 1 1,030,500 1,030,500

II Thiết kế, xây dựng các dịch vụ

Khảo sát hệ thống thực, khảo sát nhu cầu, khảo sát các chính sách, quy trình Tài liệu 1 664,100 664,100

Phân tích thiết kế hệ thống, xây dựng các dịch vụ PKI theo yêu cầu của dự án.

Triển khai các dịch vụ PKI trên

Plot Project hệ thống 1 1,000,100 1,000,100 IV

Đào tạo, chuyển giao công nghệ 1 732,800 732,800

- Đào tạo sử dụng phần mềm.

- Đào tạo phát triển phần mềm.

Hợp tác với chuyên gia Việt Nam trong việc thay thế các module mật mã 1 351,000 351,000

Tổng cộng: 4,800,600,000 VNĐ (Bốn tỷ tám trăm triệu sáu trăm ngàn đồng)

“Bộ phần mềm nền tảng chữ ký số”

TT Nội dung công viêc ĐV SL Đơn giá

I Mua bản quyền phần mềm "Bộ phần mềm nền tảng chữ ký số" Bộ 1 1,200,000 1,200,000

Thiết kế, xây dựng các dịch vụ, chức năng phần mềm theo yêu cầu

- Khảo sát hệ thống thực, khảo sát nhu cầu, khảo sát các chính sách, quy trình.

Phân tích thiết kế hệ thống, xây dựng các chức năng phần mềm theo yêu cầu của dự án.

Triển khai phần mềm Nền tảng chữ ký số trên Plot Project hệ thống 1 587,700 587,700

IV Đào tạo, chuyển giao công nghệ 1 360,000 360,000

Hợp tác với chuyên gia Việt Nam trong việc thay thế các module mật mã

Tổng cộng: 2, 947,700,000 VNĐ (Hai tỷ chín trăm bốn mươi bảy triệu bảy trăm ngàn đồng)

“Bộ phần mềm gửi nhận tài liệu mật trên mạng”

Mua bản quyền phần mềm "Bộ phần mềm gửi nhận tài liệu mật trên mạng"

Thiết kế, xây dựng các dịch vụ, chức năng phần mềm theo yêu cầu

Khảo sát hệ thống thực, khảo sát nhu cầu, khảo sát các chính sách, quy trình.

- Phân tích thiết kế hệ thống, xây dựng các chức năng phần mềm theo yêu cầu của dự án.

Triển khai phần mềm Bộ phần mềm gửi nhận tài liệu mật trên mạng trên Plot Project hệ thống 1 400,000 400,000

V Hợp tác với chuyên gia Việt Nam trong việc thay thế các module mật mã

Tổng cộng: 2,079,300,000 VNĐ (Hai tỷ không trăm bảy mươi chín triệu ba trăm ngàn đồng)

“Bộ công cụ phát triển ứng dụng trên nền tảng bộ giải pháp PKI”

Mua bản quyền phần mềm "Bộ phần mềm gửi nhận tài liệu mật trên mạng"

II Đào tạo, chuyển giao công nghệ 1 240,000 240,000

III Hợp tác với chuyên gia Việt Nam trong việc thay thế các module mật mã

Tổng cộng: 1,220,000,000 VNĐ (Một tỷ hai trăm hai mươi triệu đồng chẵn)

6 Giải trình chi tiết chi phí xây dựng các phần mềm nghiệp vụ

Dự toán kinh phí xây dựng Phần mềm

“Hệ thống đồng bộ chứng chỉ số cho LDAP Server”

Khảo sát các quy trình sinh, lưu trữ chứng chỉ Tài liệu 1

Khảo sát quy trình sinh dữ liệu chứng chỉ số tại trung tâm CA 1

Khảo sát mô hình dữ liệu, quan hệ dữ liệu chứng chỉ được sinh tại trung tâm CA và được lưu tại máy chủ LDAP 1

Khảo sát mô hình lưu trữ chứng chỉ tại máy RA 1

Khảo sát các phương pháp đồng bộ giữa máy chủ LDAP của CA với LDAP của RA 1

Phân tích yêu cầu của chương trình Tài liệu 1 17,500

Phân tích yêu cầu xây dựng mô hình phần mềm 1

Phân tích yêu cầu về chức năng phần mềm 1 2,500 2,500

Phân tích yêu cầu về công nghệ 1 2,500 2,500

Phân tích yêu cầu về giao tiếp người sử dụng 1

Phân tích yêu cầu về độ chính xác khi đồng bộ 1

Phân tích yêu cầu về thời gian đồng bộ 1 2,500 2,500

Phân tích yêu cầu về phối ghép hệ thống 1 2,500 2,500

Phân tích chức năng của phần mềm Tài liệu 1

Phân tích chức năng kiểm soát hệ thống chứng chỉ mới cấp, chứng chỉ gia hạn 1

Phân tích chức năng kết xuất danh sách chứng chỉ số mới cấp, chứng chỉ mới gia hạn 1

Phân tích mô hình cây thư mục

LDAP, vị trí của các chứng chỉ số mới cấp trên mô hình này 1

Phân tích chức năng kết xuất chứng chỉ số ra tệp để chuyển sang RA 1

Phân tích chức năng kết xuất thông tin CRL 1 3,000 3,000

Phân tích chức năng quét thông tin từ danh sách và cập nhật vào cây LDAP của khu vực RA 1

Phân tích chức năng nạp thông tin

CRL vào máy chủ LDAP của khu vực RA 1

4 Thiết kế chương trình Tài liệu 1 17,000

Thiết kế chương trình quét và kết xuất thông tin tại khu vực CA offline 1

Thiết kế chương trình cập nhật thông tin tại khu vực RA 1

Thiết kế các chức năng giao tiếp với người sử dụng 1

Thiết kế danh sách chứng chỉ số mới cấp, chứng chỉ số gia hạn 1

Thiết kế nhật ký lấy dữ liệu từ CA 1 3,000 3,000

Xây dựng chương trình quét và kết xuất thông tin tại khu vực

Xây dựng module kiểm tra chứng chỉ mới cấp 1

Xây dựng module kiểm tra chứng chỉ mới gia hạn 1

Xây dựng module phân tích cây

LDAP lấy vị trí của các chứng chỉ mới sinh, chứng chỉ mới gia hạn 1

Xây dựng module kết xuất thông tin danh sách chứng chỉ số mới được cấp, vị trí trên cây LDAP 1

Xây dựng module kết xuất chứng chỉ số ra tệp 1

Xây dựng module ghi nhật ký lấy dữ liệu từ CA 1

Xây dựng modlue giao tiếp với người quản trị 1 5,000 5,000

6 Xây dựng chương trình cập nhật thông tin tại khu vực RA chương trình 1

Xây dựng module đọc danh sách chứng chỉ số mới được cấp, gia 1

5,000 5,000 hạn chuyển sang từ khu vực CA

Xây dựng module phân tích cây

LDAP để chèn các vị trí chứng chỉ mới cấp từ khu vực CA 1

Xây dựng module để nhập chứng chỉ số mới được cấp phát, gia hạn 1

Xây dựng module giao tiếp với người quản trị 1 5,000 5,000

7 Ghép nối các module chương trình, đóng gói chương trình 1

Ghép nối các module xây dựng hai chương trình 1

2,500 2,500 Đóng gói các chương trình, tạo file cài đặt 1

8 Viết tài liệu hướng dẫn sử dụng tài liệu 1 2,000 2,000

Tổng cộng: 128,000,000 VNĐ (một trăm hai tám triệu đồng chẵn)

“Hệ thống kiểm tra tình trạng chứng chỉ trực tuyến”

1 Khảo sát yêu cầu kiểm tra chứng chỉ trực tuyến Tài liệu 1 6,000

Khảo sát các yêu cầu kiểm tra chứng chỉ trực tuyến của người sử dụng

Khảo sát hạ tầng, đường truyền từ các nơi cần kiểm tra trực tuyến về khu vực RA 1 3,000 3,000

2 Phân tích hệ thống kiểm tra chứng chỉ trực tuyến Tài liệu 1 15,000

Phân tích yêu cầu xây dựng hệ thống kiểm tra chứng chỉ trực tuyến 1 3,000 3,000

Phân tích yêu cầu về chức năng hệ thống kiểm tra phân tán 1 3,000 3,000

Phân tích yêu cầu về công nghệ, đồng bộ, tương tranh, phân tán 1 3,000 3,000

Phân tích yêu cầu về giao tiếp người sử dụng 1 3,000 3,000

Phân tích yêu cầu về thời gian kiểm tra 1 3,000 3,000

3 Phân tích chức năng của hệ thống kiểm tra chứng chỉ trực tuyến

Phân tích giao thức OCSP phục vụ cho kiểm tra chứng chỉ trực tuyến 1 4,000 4,000

Phân tích các yêu cầu OCSP 1 3,000 3,000

Phân tích các đáp ứng yêu cầu

Phân tích chức năng của chương trình chạy trên máy chủ Linux chờ các yêu cầu kiểm tra từ người dùng phân tán

Phân tích chức năng của chương trình giao tiếp với người sử dụng, gửi yêu cầu kiểm tra tới RA 1 3,000 3,000

Thiết kế các phần mềm, giao thức phục vụ kiểm tra chứng chỉ trực tuyến Tài liệu 1 20,000

Thiết kế tổng thể hệ thống kiểm tra chứng chỉ trực tuyến và phân tán 1 4,000 4,000

Thiết kế chương trình chạy ngầm trên máy chủ Linux của khu vực

RA chờ các yêu cầu kiểm tra từ người dùng

Thiết kế các kết nối từ máy chủ

Linux tới hệ thống LDAP tại khu vực RA để kiểm tra tình trạng chứng chỉ

Thiết kế chương trình giao tiếp với người dùng chạy trên nền

Thiết kế các pha giao tiếp của chương trình người dùng với chương trình chạy ngầm trên máy chủ Linux khu vực RA

5 Xây dựng chương trình chạy ngầm trên máy chủ LDAP của khu vực RA chương trình 1 15,000

Nghiên cứu bộ giao thức OCSP 1 5,000 5,000

Thiết lập hệ thống OCSP trên máy chủ Linux đặt tại khu vực RA 1 5,000 5,000

Kết nối máy chủ Linux OCSP với máy chủ LDAP tại khu vực RA để kiểm tra tình trạng chứng chỉ

Xây dựng chương trình giao tiếp với người dùng chạy trên nền

Xây dựng chương trình demo sử dụng giao thức OCSP trên nền

Xây dựng các đoạn mã chương trình mẫu sử dụng dịch vụ OCSP 1 5,000 5,000

Xây dựng giao diện chương trình giao tiếp với người sử dụng 1 5,000 5,000

7 Tạo thư viện DLL các hàm API thư viện dll 1 25,000

Xây dựng hàm lấy CRL từ máy chủ LDAP đặt tại khu vự RA qua giao thức OCSP 1 5,000 5,000

Xây dựng hàm đọc CRL để lấy các chứng chỉ đã bị huỷ 1 5,000 5,000

Xây dựng hàm xác thực CRL bằng chứng chỉ RootCA 1 5,000 5,000

Xây dựng hàm đọc chứng chỉ người dùng theo chuẩn X509 để so sánh với các chứng chỉ trong CRL 1 5,000 5,000

Xây dựng hàm kiểm tra toàn bộ chứng chỉ trong danh sách của người dùng, những chứng chỉ nào không hợp lệ, cảnh báo cho người dùng để xoá, hoặc đánh dấu

8 Ghép nối các module và đóng gói sản phẩm 1 8,000 Đóng gói bộ cài đặt dịch vụ OCSP cho máy chủ Linux đặt tại RA 1 2,000 2,000

Viết tài liệu hướng dẫn cài đặt và cấu hình 1 2,000 2,000 Đóng gói chương trình demo sử dụng các hàm API để kiểm tra chứng chỉ

Viết tài liệu hướng dẫn sử dụng các hàm API 1 2,000 2,000

Tổng cộng: 121,000,000 VNĐ (một trăm hai mốt triệu đồng chẵn)

“Trang thông tin phục vụ quá trình tự động hoá điều hành hệ thống CA”

TT Nội dung công viêc Đơn vị Số lượng Đơn giá

1 Khảo sát yêu cầu tự động hoá điều hành hệ thống CA

Khảo sát hiên trạng điều hành hệ thống

Khảo sát yêu cầu tự động hoá một số qui trình hoạt động chính của trung tâm CA 1 3,000 3,000 Khảo sát xác định các loại dữ liệu cần lưu trữ 1 3,000 3,000

Khảo sát các luồng dữ liệu luân chuyển trong Trung tâm 1 3,000 3,000

2 Phân tích hệ thống tự động hoá Tài liệu 1 15,000

Phân tích các yêu cầu về hệ thống của phần mềm 1 3,000 3,000

Phân tích các yêu cầu về chức năng của chương trình 1 3,000 3,000

Phân tích qui trình cấp mới, gia hạn 1 3,000 3,000

Phân tích qui trình huỷ bỏ, qui trình cập nhật CRL 1 3,000 3,000

Phân tích yêu cầu về giao tiếp người sử dụng qua web 1 3,000 3,000

3 Phân tích các chứng năng của qui trình cần tự động hoá 1 21,000

Phân tích chức năng nhập liệu 1 4,000 3,000

Phân tích chức năng xử lý yêu cầu 1 4,000 4,000

Phân tích chức năng cập nhật xử lý 1 4,000 4,000

Phân tích chức năng theo dõi quá trình xử lý yêu cầu 1 4,000 4,000

Phân tích chức năng nhắc việc 1 3,000 3,000

Phân tích chức năng thống kê, báo cáo định kỳ, đột xuất 3,000 3,000

4 Thiết lập cơ sở dữ liệu CSDL 1 4,000 4,000

5 Xây dựng chương trình phục vụ quá trình tự động hoá chương trình

Xây dựng lược đồ dữ liệu tài liệu 1 4,000 4,000

Xác định công nghệ và ngôn ngữ lập trình phù hợp sử dụng để phát triển hệ 1 4,000 4,000 thống

Xây dựng trang Web giao tiếp với người điều hành 1 4,000 4,000

Xây dựng module giao tiếp với USB

Token để đọc khoá lưu trữ trong Token 1 4,000 4,000

Xây dựng module xác thực người dùng 1 4,000 4,000

Xây dựng molude nhập liệu 1 4,000 4,000

Xây dựng module xử lý yêu cầu 1 4,000 4,000

Xây dựng module cập nhật tình trạng xử lý 1 4,000 4,000

Xây dựng module theo dõi quá trình xử lý yêu cầu 1 4,000 4,000

Xây dựng module nhắc việc 1 4,000 4,000

Xây dựng module thống kê, báo cáo định kỳ, đột xuất 1 4,000 4,000

Xây dựng module quản lý các yêu cầu được gửi tới trung tâm CA thông qua dạng văn bản, thông báo tình trạng của yêu cầu (đã xử lý hay chưa) 1 4,000 4,000

Xây dựng module giao tiếp cho phép lãnh đạo trung tâm theo dõi tình hình xử lý yêu cầu về chứng thực điện tử 1 4,000 4,000

6 Thử nghiệm phần mềm tài liệu 1 4,000 4,000

7 Hoàn thiện phần mềm, khắc phục các lỗi xẩy ra

Tổng cộng: 116,000,000 VNĐ (một trăm mười sáu triệu đồng chẵn)

“Kiểm tra sản phẩm trước khi cấp cho người sử dụng”

T Nội dung công viêc ĐV SL Đơn giá

1 Khảo sát các sản phẩm mật mã được cấp phát tới người sử dụng từ trung tâm CA Tài liệu 1 1,000 1,000

2 Khảo sát các quy trình sản xuất sản phẩm mật mã tại trung tâm CA Tài liệu 7,000

Khảo sát quy trình sinh dữ liệu chứng chỉ số tại trung tâm CA 1 1,000 1,000

Khảo sát mô hình dữ liệu, quan hệ dữ liệu được sinh tại trung tâm CA 1 1,000 1,000

Khảo sát quy trình phân phối chứng chỉ số theo danh sách yêu cầu cấp phát 1 1,000 1,000

Khảo sát cấu trúc dữ liệu được cấp phát tới người sử dụng 1 1,000 1,000

Khảo sát quy trình định dạng, thiết lập mật khẩu mặc định chống format Etoken 1 1,000 1,000

Khảo sát quy trình ghi dữ liệu chứng chỉ số lên Etoken 1 1,000 1,000

Khảo sát các dữ liệu phần mềm ứng dụng chứng chỉ số và quy trình sản xuất đĩa CD phần mềm cài đặt

3 Phân tích yêu cầu hệ thống Tài liệu 1 8,000

Phân tích yêu cầu nghiệp vụ của phần mềm 1 1,000 1,000 Phân tích yêu cầu xây dựng mô hình phần mềm 1 1,000 1,000

Phân tích yêu cầu về chức năng phần mềm 1 1,000 1,000

Phân tích yêu cầu về công nghệ 1 1,000 1,000

Phân tích yêu cầu về giao diện phần mềm 1 1,000 1,000

Phân tích yêu cầu về bảo mật 1 1,000 1,000

Phân tích yêu cầu giao tiếp giữa hệ thống và

Phân tích yêu cầu về phối ghép hệ thống 1 1,000 1,000

4 Phân tích chức năng của hệ thống phần mềm

Phân tích chức năng quản lý danh mục yêu cầu kiểm tra 1 1,200 1,200

Phân tích chức năng kiểm tra khởi tạo các vùng nhớ chứa dữ liệu 1 1,200 1,200

Phân tích chức năng kiểm tra dữ liệu chứng chỉ 1 1,200 1,200

Phân tích chức năng kiểm tra chứng chỉ theo định dạng PKCS#12 1 1,200 1,200

Phân tích chức năng kiểm soát bảo mật dữ liệu được ghi trên Etoken 1 1,200 1,200

Phân tích chức năng kiểm tra sản phẩm phần mềm ghi trên đĩa CD 1 1,200 1,200

Phân tích chức năng kiểm soát truy nhập

Phân tích chức năng kết xuất dữ liệu phối hợp với phòng Nghiệp vụ quản lý sản phẩm cấp phát 1 1,200 1,200

5 Thiết kế cơ sở dữ liệu Tài liệu 1 6,000

Thiết kế tổng thể cơ sở dữ liệu hệ thống 1 1,200 1,200 Thiết kế mô hình quản lý dữ liệu kiểm tra 1 1,200 1,200 Thiết kế cấu trúc lưu trữ dữ liệu kiểm tra sản phẩm 1 1,200 1,200

Thiết kế cấu trúc nhật ký ghi sản phẩm kiểm tra 1 1,200 1,200

Thiết kế cấu trúc kết xuất dữ liệu phối hợp với Phòng Nghiệp vụ trong quản lý sản phẩm

6 Xây dựng modul kiểm tra các thành phần dữ liệu được ghi lên Etoken module 1 8,000

Xây dựng Modul giao tiếp giữa chương trình với USB Token 1 1,200 1,200

Xây dựng Modul kiểm tra chứng chỉ số trên

EToken theo định dạng PKCS#12 1 1,200 1,200

Xây dựng Modul kiểm tra dữ liệu RootCA 1 1,400 1,400 Xây dựng Modul kiểm tra khóa bí mật

(PrivateKey) được ghi trên Etoken 1 1,400 1,400

Xây dựng Modul kiểm tra dữ liệu người sử dụng được lưu trên Etoken 1 1,400 1,400

Xây dựng Modul kiểm tra định dạng các loại dữ liệu ghi trên Etoken 1 1,400 1,400

7 Xây dựng Modul chương trình kiểm tra tính hợp lệ của chứng chỉ số ghi trên

Modul kiểm tra dữ liệu trên Etoken có phải do RootCA cấp không 1 1,500 1,500

Modul kiểm tra tính hợp lệ của khóa bí mật

Modul kiểm tra tính hợp lệ của dữ liệu

8 Xây dựng modul chương trình kiểm tra tính hiệu lực của chứng chỉ số được ghi trong Etoken module 1 3,000

Modul kiểm tra thời hạn sử dụng của chứng chỉ số 1 1,500 1,500

Modul kiểm tra chứng chỉ số có thuộc danh sách hủy bỏ hoặc thu hồi 1 1,500 1,500

9 Xây dựng modul kiểm tra mức độ an toàn của dữ liệu được ghi trên Etoken module 1 5,800

Modul xác định dữ liệu có được mã hóa hay không 1 1,400 1,400

Modul kiểm tra tính an toàn dữ liệu

Modul kiểm tra tính an toàn dữ liệu khóa bí mật Private Key 1 1,500 1,500

Modul kiểm tra tính an toàn dữ liệu thông tin người sử dụng 1 1,400 1,400

10 Xây dựng modul kiểm tra các quyền truy xuất các vùng nhớ chứa dữ liệu chứng chỉ số, dữ liệu người dùng module 1 7,300

Modul kiểm tra các thiết lập truy cập bộ nhớ Etoken 1 1,400 1,400

Modul kiểm tra quyền truy xuất bộ nhớ

Modul kiểm tra khả năng truy xuất dữ liệu chứng chỉ số theo định dạng PKCS #12 1 1,500 1,500

Modul kiểm tra khả năng truy xuất dữ liệu chứng chỉ số được lưu ở mức thấp (low level)

Modul kiểm tra khả năng truy xuất thông tin người sử dụng được lưu trên Etoken 1 1,500 1,500

11 Xây dựng modul kiểm soát nghiệp vụ đối với Etoken 1 4,500

Modul kiểm tra số hiệu Etoken (Số hiệu chứng chỉ) ghi trên Eoken 1 1,500 1,500

Modul kiểm tra mật khẩu (Được cấp bởi trung tâm CA) 1 1,500 1,500

Modul kiểm tra khả năng bị định dạng lại

12 Xây dựng modul kiểm tra các chức năng sử dụng của chứng chỉ số được lưu trên thiết bị nghiệp vụ Etoken 1 6,000

Modul kiểm tra mã hóa dữ liệu sử dụng chứng chỉ số 1 1,500 1,500

Modul kiểm tra giải mã dữ liệu sử dụng 1 1,500 1,500 chứng chỉ số

Modul ký dữ liệu sử dụng chứng chỉ số 1 1,500 1,500

Modul xác thực dữ liệu 1 1,500 1,500

13 Xây dựng modul chương trình kiểm tra các phần mềm ứng dụng sử dụng chứng chỉ số ghi trên đĩa CD cấp phát 3,000

Modul tóm lược dữ liệu phần mềm sử dụng chứng chỉ số ghi trên đĩa CD 1 1,500 1,500

Modul kiểm tra tính toàn vẹn dữ liệu phần mềm sử dụng chứng chỉ số được ghi trên đĩa CD 1 1,500 1,500

14 Xây dựng modul chương trình phối hợp với Phòng nghiệp vụ trong việc quản lý nghiệp vụ các thiết bị mật mã đã được kiểm tra

Xây dựng Modul tìm kiếm dữ liệu quản lý 1 1,400 1,400 Xây dựng Modul kết xuất dữ liệu để ghép vào chương trình quản lý của Phòng nghiệp vụ 1 1,400 1,400

15 Ghép nối các modul chương trình, đóng gói chương trình 3,500

Gép nối tổng thể các Modul chương trình, đóng gói chương trình 1 1,500 1,500

Ghép nối dữ liệu kết xuất với chương trình quản lý cấp phát của Phòng Nghiệp vụ 1 1,000 1,000

Viết tài liệu hướng dẫn sử dụng 1 1,000 1,000

Tổng cộng: 8,000,000 VNĐ (Tám mươi triệu đồng chẵn)

“Bảo mật đĩa USB để bảo mật dữ liệu luân chuyển giữa các bộ phận thuộc

1 Tổng quan về việc bảo mật dữ liệu lưu trên ổ USB

Khái quát một số hình thức bảo mật ổ

Tính cấp thiết của việc bảo mật ổ USB 01 1,000 1,000

Phân tích một số yêu cầu của hệ thống 01 1,000 1,000

2 Phân tích cách thức tổ chức và lưu trữ dữ liệu trên USB

Lối vào File và thư mục 01 500 500

Một số cấu trúc lưu trữ thông tin hệ thống 01 1,000 1,000

Một số cấu trúc liên quan đến việc quản lý file thư mục 01 1,500 1,500

3 Xây dựng giải pháp bảo mật dữ liệu trên ổ USB

Phân tích kiến trúc tổ chức của hệ thống Win32 01 1,500 1,500

Phân tích không gian thực thi các tiến trình 01 1,500 1,500

Phân tích quá trình thực thi các tiến trình điều khiển 01 1,500 1,500

Xây dựng phương án thiết lập các modun mật mã 01 1,500 1,500

GiảI pháp tạo ra các file mã lệnh phù hợp với không gian nhớ 4GB 01 1,500 1,500

4 Module định dạng phi chuẩn module 01 12,000

4.1 Theo kiểu FAT (FAT32, FAT16)

Lối vào File và thư mục 01 1,000 1,000

Tạo ra vùng hệ thống 01 1,500 1,500

Tổ chức dữ liệu vùng hệ thống 01 1,500 1,500

Tạo một số cấu trúc lưu trữ file, thư mục 01 1,500 1,500

Tổ chức quản lý và lưu trữ dữ liệu 01 1,500 1,500

5 Module bảo mật dữ liệu module 01 6,000

5.1 Thuật toán mã dữ liệu AES

Hàm thiết lập khoá ban đầu 01 1,000 1,000

Thủ tục sinh các chuỗi khoá con 01 1,000 1,000

Thủ tục mã hoá dữ liệu với chuỗii khoá con 01 1,000 1,000

5.2 Các hàm mã hoá và giảI mã

Hàm mã hoá dữ liệu theo từng Sector 01 1,500 1,500

Hàm giảI mã dữ liệu theo từng Sector 01 1,500 1,500

Một số nội dung của hàm một chiều

Xây dựng các hàm & thủ tục của hàm một chiều SHA 01 1,500 1,500

6.2 Các hàm ký và xác thực

Hàm tóm lược dữ liệu 01 1,500 1,500

Hàm xác thực dữ liệu 01 1,000 1,000

7 Module quản lý và sử dụng khoá module 01 4,000

Các hàm sinh ngẫu nhiên 01 1,000 1,000

Sử dụng mật khẩu người dùng 01 1,000 1,000

Lưu thông tin về khoá (dùng để kiểm tra tính hợp lệ của khoá) 01 1,000 1,000

Lưu nội dung khoá trong Etoken 01 1,000 1,000

8 Xây dựng modun xác thực người dùng module 01 6,000

Nhận mật khẩu từ phía người dùng 01 1,000 1,000

Biến đổi nội dung và lấy thông tin xác thực 01 1,000 1,000

8.2 Sử dụng khoá cứng Etocken 01

Kiểm tra sự tồn tại của khoá trong hệ thống 01 1,000 1,000 Đọc các thông tion về khoá, kiểm tra tính hợp lệ của khoá với hệ thống 01 1,500 1,500 Đọc nội dung khoá 01 1,500 1,500

9 Xây dựng modun chặn bắt dòng dữ liệu (2 chiều) giữa chương trình ứng dụng và ổ đĩa vật lý tại RING0 của hệ thống module 01 9,000

Các tín hiệu điều khiển 01 1,500 1,500

Các tín hiệu lấy thông tin về ổ đĩa 01 1,000 1,000

Các tín hiệu lấy thông tin về file và thư mục 01 1,000 1,000

Các tín hiệu tạo file và thư mục 01 1,000 1,000

Tín hiệu đọc file, thư mục 01 1,000 1,000

Tín hiệu ghi file thư mục 01 1,000 1,000

Các tín hiệu đóng mở file 01 1,000 1,000

Lấy thông tin từ ngăn xếp của hệ thống 01 1,500 1,500

10 Tích hợp các modun mật mã vào trong hệ thống module 01 8,000

Phân tích, đăng ký đối tượng bảo mật vào trong hệ thống 01 1,500 1,500

Quy trình nạp các modun mã lệnh, dữ liệu vào RING0 của hệ thống 01 1,500 1,500

Phân tích mã lệnh chạy tại RING3 01 1,000 1,000

Phân tích mã lệnh chay tại RING0 01 1,500 1,500

Phân tích phần xử lý dữ liệu tại RING3 01 1,000 1,000

Phân tích phần xử lý dữ liệu tại RING0 01 1,500 1,500

11 Xây dựng modun tạo ổ logic mật mã module 01 6,000

Lấy thông tin định dạng ổ 01 1,500 1,500

Tạo ổ logic theo cấu trúc 01 1,500 1,500

Lấy thông tin định dạng 01 1,500 1,500

12 Gỡ bỏ chương trình module 01 1,000

Ra khỏi không gian nhớ 01 500 500

13 Đóng gói sản phẩm module 01 500 500

14 Thử nghiệm trong các hệ thống

15 Đánh giá và kết luận module 01 500 500

Tổng cộng: 75,000,000 VNĐ (Bảy mươi lăm triệu đồng chẵn)

“Thay thế, tích hợp hệ thống thuật toán mật mã cho hệ thống phần mềm

1 Khảo sát hệ thống phần mềm CA được chuyển giao

2 Phân tích bộ phần mềm CA chuyển giao

3 Xây dựng các thư viện mật mã chương trình 1 45,000

4 Tích hợp các thư viện mật mã chương trình

5 Viết tài liệu hướng dẫn sử dụng tài liệu 1 7,000

6 Kiểm tra, chạy thử, đóng gói 8,000

Tổng cộng: 120,000,000 VNĐ (Một trăm hai mươi triệu đồng)

“Thay thế, tích hợp hệ thống thuật toán mật mã cho hệ thống phần mềm nền tảng chữ ký số chuyển giao”

TT Nội dung công viêc Đơn vị Số lượng Đơn giá (x1000) VNĐ

1 Khảo sát hệ thống phần mềm nền tảng chữ ký số được giao

2 Phân tích hệ thống phần mềm chữ ký số được chuyển giao Tài liệu 1 5,000

3 Xây dựng các thư viện mật mã phù hợp với platform của phần mềm chữ ký số được chuyển giao chương trình

4 Tích hợp các thư viện mật mã chương trình 1 30,000

5 Viết tài liệu hướng dẫn sử dụng tài liệu

Tổng cộng: 85,000,000 VNĐ (tám mươi lăm triệu đồng)

“Thay thế, tích hợp hệ thống thuật toán mật mã cho hệ thống phần mềm gửi nhận văn bản mật được chuyển giao”

1 Khảo sát hệ thống phần mềm truyền nhận văn bản mật trên mạng Tài liệu 1 5,000

2 Phân tích hệ thống phần mềm truyền nhận văn bản mật trên mạng

3 Xây dựng các thư viện mật mã phù hợp với platform của phần mềm truyền nhận văn bản mật trên mạng chương trình

4 Tích hợp các thư viện mật mã tài liệu 1 35,000

Tổng cộng: 87,000,000 VNĐ (tám mươi bảy triệu đồng)

“Thay thế, tích hợp hệ thống thuật toán mật mã cho bộ công cụ PKI (PKI

1 Khảo sát hệ thống PKI SDK Tài liệu 1 5,000

2 Phân tích hệ thống PKI SDK Tài liệu 1 6,000

3 Xây dựng các thư viện mật mã phù hợp với platform của phần mềm PKI SDK chương trình 1 25,000

4 Tích hợp các thư viện mật mã tài liệu 1 30,000

Tổng cộng: 75,000,000 VNĐ (Bảy mươi lăm triệu đồng)

“Phần mềm nghiệp vụ quản lý cấp phát”

Nội dung công viêc Đơn vị SL Đơn giá

1 Khảo sát, phân tích và xây dựng cơ sở dữ liệu Tài liệu 1 5,000

Khảo sát quy trình cấp phát chứng chỉ số 1 2,000 2,000

Phân tích và xây dựng cơ sở dữ liệu 1 2,000 2,000

Thiết kế và xây dựng chương trình 1 1,000 1,000

2 Modulo đăng nhập và quản lý thông tin người dùng 3,000

Cập nhật thông tin về người dùng chương trình Module 1 1,000 1,000

Thực hiện các giao tác xoá, sửa, cập nhật mới Module 1 1,000 1,000

Trên cơ sở quản lý để phân quyền người dùng Module 1 1,000 1,000

3 Modulo cập nhật dữ liệu thông tin về eTocken (chứng chỉ) Module 5,000

Cập nhật thông tin từ file được Trung tâm CA giao cho Module 1 2,000 2,000

Kiểm tra các thông tin đưa vào Module 1 2,000 2,000 Đưa các thông tin cần thiết vào quản lý

(họ tên, chức vụ, eTockenSN, ) Module 1 1,000 1,000

4 Modulo quản lý cơ sở dữ liệu cho từng bộ ngành Module 1

Cập nhật thông tin về bộ ngành (mới, xoá, sửa) Module

Chia tách dữ liệu cụ thể của từng Bộ,

Ngành để quản lý Module 1 2,000 2,000

Cập nhật thông tin của các đơn vị trong từng Bộ, Ngành Module 1 1,000 1,000

5 Modulo quản lý và gán mã vạch tự động cho từng eTocken (chứng chỉ) Module 1

Thực hiện việc quản lý mã vạch và gán mã vạch tự động Module 1 2,000 2,000

Hiệu chỉnh mã vạch, chuẩn bị mã vạch cho quy trình in ấn Module 1 2,000 2,000

Thiết lập tình trạng của thiết bị Module 1 1,000 1,000

6 Modulo nhập, xuất thiết bị Module 1 4,000

Nhập, xuất thiế bị và in phiếu nhập, Module 1 2,000 2,000 xuất

Trong khi nhập từ đơn vị về thực hiện kiểm tra tính hợp lệ của thiết bị Module 1 2,000 2,000

Thực hiện vệc tìm kiếm theo nhiều yêu cầu trên thông tin xuất, nhập Module 1 3,000 3,000

In báo cáo kết quả tìm kiếm Module 1 2,000 2,000

8 Modulo In ấn thẻ Module 1 4,000

Thực hiện in in mặt sau thẻ trên máy in thẻ Module

In mã vạch của eTocken lên thẻ nhựa trên máy in thẻ Module

10 Đóng gói sản phẩm Ch.tr 1 2,000 2,000

Tổng cộng: 40,000,000 VNĐ (Bốn mươi triệu đồng chẵn)

“Bộ phần mềm giải pháp PKI”

I Mua bản quyền phần mềm Bộ 1 1,030,500 1,030,500

II Thiết kế, xây dựng các dịch vụ PKI theo yêu cầu 1,686,200

Khảo sát hệ thống thực, khảo sát nhu cầu, khảo sát các chính sách, quy trình.

Phân tích thiết kế hệ thống, xây dựng các dịch vụ PKI theo yêu cầu của dự án.

III Triển khai các dịch vụ

PKI trên Plot Project hệ thống 1 1,351,100 1,351,100

V Hỗ trợ kỹ thuật Năm 1

Tổng cộng: 4,800,600,000 VNĐ (Bốn tỷ tám trăm triệu sáu trăm ngàn dồng chẵn)

TỔ CHỨC THỰC HIỆN

TỔ CHỨC CHUNG

1 Lập ban quản lý dự án

Sau khi dự án được phê duyệt, Cục quản lý Kỹ thuật Nghiệp vụ Mật mã – Ban

Cơ yếu Chính phủ đã thành lập ban quản lý dự án ban quản lý dự án chịu trách nhiệm lập kế hoạch, diều hành việc triển khai dự án dưới sự chỉ đạo trực tiếp của Chủ đầu tư là Cục quản lý Kỹ thuật Nghiệp vụ Mật mã – Ban Cơ yếu Chính phủ.

2 Lập tổ chuyên gia kỹ thuật

Việc ra yêu cầu kỹ thuật chi tiết được thực hiện bởi các cán bộ kỹ thuật của Ban

Cơ yếu Chính phủ trên cơ sở thành lập tổ chuyên gia kỹ thuật, gồm: Cục QLKTNVMM, Học viện KTMM, Vụ KH-CN, TTCNTT

3 Các đơn vị tham gia phối hợp

Bộ kế hoạch đầu tư, Ban cơ yếu chính phủ, Cục tài chính, học viện Mật mã, Đơn vị tư vấn thiết kế, giám sát thi công

4 Lựa chọn đối tác xây dựng các phần mềm nền tảng

Việc lựa chọn đối tác triển khai xây dựng các phần mềm nền tảng PKI trên cơ sở đảm bảo các yêu cầu sau:

+ Đã có kinh nghiệm triển khai các hệ thống PKI cấp độ tương đương thành công trên nền tảng bộ phần mềm Open CA.

+ Phù hợp với quy mô, kiến trúc và hạ tầng kỹ thuật của hệ thống PKI.

+ Có đủ năng lực đảm bảo triển khai toàn bộ nội dung trong năm 2008.

+ Có trình độ khoa học, công nghệ hiện đại trong lĩnh vực PKI.

+ Đảm bảo hệ thống các phần mềm nền chuyển giao phải có tính ổn định, khả năng phục vụ với số lượng lớn đa truy cập.

5 Chuẩn bị lực lượng tiếp nhận, vận hành và phát triển hệ thống

- Chuẩn bị nhân lực để đảm bảo việc tiếp nhận chuyển giao công nghệ Do dự án thuộc phạm vi bí mật nhà nước nên hệ thống cần được triển khai bởi cán bộ của Cơ yếu Việc tổ chức hội thảo, đào tạo, chuyển giao có yếu tố nước ngoài cần tuân thủ và đảm bảo bí mật các thông tin thuộc hệ thống CA của Ban Cơ yếu đang triển khai.

- Căn cứ vào các đợt chuyển giao công nghệ và đào tạo, các cán bộ tiếp thu công nghệ từ phải tự thực hiện việc tổ chức hệ thống, quản lý, khai thác, vận hành và chủ động phát triển các phần mềm theo yêu cầu thực tế …

- Chuẩn bị các phương án để có thể thay thế các tham số hệ thống khi được chuyển giao: thuật toán sinh số nguyên tố, thuật toán ký, hàm băm

PHƯƠNG THỨC THỰC HIỆN

Do đặc điểm của dự án thuộc phạm vi bí mật nhà nước cho nên chủ đầu tư sẽ trực tiếp quản lý thực hiện dự án, phương thức thực hiện cụ thể cho từng hạng mục của dự án như sau:

- Sửa chữa nhà cửa, trang thiết bị văn phòng: Chỉ định đơn vị thực hiện.

- Mua sắm thiết bị và phần mềm hệ thống: Đấu thầu rộng rãi giữa các đơn vị cung ứng.

- Xây dựng, chuyển giao các phần mềm nền tảng PKI: Đấu thầu hạn chế giữa các doanh nghiệp trong nước, đại diện các doanh nghiệp nước ngoài ở Việt Nam để lựa chọn đối tác triển khai phù hợp với yêu cầu của dự án.

- Xây dựng các phần mềm đặc thù: Tự xây dựng hoặc chỉ định thầu đơn vị thuộc phạm vi an ninh quốc phòng thực hiện.

- Xây lắp thiết bị, triển khai hệ thống:

TIẾN ĐỘ VÀ KINH PHÍ THỰC HIỆN

Đây là dự án tương đối lớn, lại trong một lĩnh vực hoàn toàn mới mẻ cả về mặt kỹ thuật công nghệ lẫn mặt tổ chức các quy trình nghiệp vụ, các văn bản pháp lý Do đó trong quá trình triển khai phải chia thành các giai đoạn để vừa làm vừa rút kinh nghiệm cho các bước tiếp theo, hạn chế đến mức thấp nhất những sai sót, lãng phí có thể xảy ra.

Kinh phí: Nguồn vốn tập trung từ ngân sách nhà nước.

Thời gian thực hiện: 3 năm 2007-2009 Với nội dung đầu tư trong từng năm như sau:

- Tổ chức xây dựng, thẩm định dự án.

- Tổ chức đoàn khảo sát, học tập kinh nghiệm triển khai các hệ thống PKI từ nước ngoài.

- Triển khai cải tạo khu vực lặp đặt thiết bị, văn phòng làm việc Trung tâm

CA Miền bắc tại tòa nhà Cục kỹ thuật nghiệp vụ Mật mã.

- Triển khai đấu thầu, mua sắm thiết bị theo nội dung đã được phê duyệt cho năm 2007.

- Triển khai hạ tầng kỹ thuật mạng tại Trung tâm CA Miền bắc.

- Tổ chức xây dựng một số nội dung phần mềm.

Cải tạo phòng lắp đặt thiết bị và khu vực làm việc Trung tâm CA Miền Bắc 352,500

II Chi phí thiết bị 3,036,934

1 Mua sắm thiết bị, phần mềm hệ thống 2,958,312

- Trang thiết bị phục vụ Trung tâm CA Miền Bắc 1,735,912

- Thiết bị nghiệp vụ USB Token 1,040,000

- HĐH Linux Red hat server 86,400

III Chi phí xây dựng phần mềm 520,000

Xây dựng hệ thống đồng bộ chứng thư cho các LDAP

- Xây dựng hệ thống kiểm tra tình trạng chứng thư trực tuyến 120,000

- Xây dựng chương trình kiểm tra sản phẩm trước khi cấp cho người sử dụng 80,000

Xây dựng trang thông tin phục vụ cho quá trình tự động hóa điều hành hệ thống CA 115,000

- Xây dựng chương trình bảo mật đĩa USB để bảo mật dữ liệu luân chuyển giữa các bộ phận thuộc Trung tâm CA 75,000

IV Khảo sát nước ngoài 222,000

- Khảo sát và học tập về PKI ở nước ngoài 222,000

V Chi phí tư vấn đầu tư 56,058

- Lập dự án, thiết kế kỹ thuật và tổng dự toán 40,000

- Thẩm định thiết kế kỹ thuật và tổng dự toán 16,058

Bằng chữ: Bốn tỷ một trăm tám mươi bảy triệu bốn trăm chín mươi hai ngàn đồng

- Xây dựng dự án điều chỉnh, thiết kế kỹ thuật tổng dự toán.

- Triển khai đấu thầu, mua sắm thiết bị, phần mềm hệ thống theo nội dung đã được phê duyệt cho năm 2008.

- Triển khai đấu thầu, lựa chọn đối tác thực hiện việc xây dựng, chuyển giao các phần mềm nền tảng cho hệ thống PKI.

- Tổ chức xây dựng một số nội dung phần mềm chuyên dụng.

+ Xây dựng Phần mềm nghiệp vụ quản lý cấp phát

+ Nghiên cứu các thuật toán mật mã đặc thù trên các phần mềm nền tảng: Bộ giải pháp PKI, Phần mềm nền tảng chữ ký số, Phần mềm gửi nhận văn bản qua mạng, Bộ công cụ phát triển ứng dụng trên nền tảng PKI.

- Đào tạo, chuyển giao công nghệ

TT Nội dung Kinh phí

I Kinh phí mua sắm, lắp đặt thiết bị, phần mềm hệ thống 3,183,168

- Trang thiết bị phục vụ Trung tâm CA Miền Bắc 3,157,790

II Kinh phí xây dựng, chuyển giao công nghệ các phần mềm nền tảng cho hệ thống PKI

- Xây dựng, chuyển giao công nghệ Bộ phần mềm giải pháp PKI 4,800,600

- Xây dựng, chuyển giao công nghệ Bộ phần mềm nền tảng chữ ký số 2,947,700

Xây dựng, chuyển giao công nghệ Bộ phần mềm gửi nhận tài liệu mật trên mạng 2,079,300

Xây dựng, chuyển giao công nghệ bộ công cụ phát triển ứng dụng trên nền tảng bộ giải pháp PKI 1,220,000

III Kinh phí xây dựng các phần mềm chuyên dụng 407,000

- Xây dựng Phần mềm nghiệp vụ quản lý cấp phát 40,000

Xây dựng các module thuật toán mật mã đặc thù cho Bộ phần mềm giải pháp PKI 120,000

Xây dựng các module thuật toán mật mã đặc thù cho Phần mềm nền tảng chữ ký số 85,000

Xây dựng các module thuật toán mật mã đặc thù cho Phần mềm gửi nhận văn bản qua mạng 87,000

Xây dựng các module thuật toán mật mã đặc thù cho bộ công cụ phát triển ứng dụng trên nền tảng PKI 75,000

IV Đào tạo và chuyển giao công nghệ 32,000

V Chi phí quản lý dự án 150,000

VI Chi phí tư vấn đầu tư 322,942

- Lập dự án điều chỉnh 35,000

- Thẩm định dự án điều chỉnh 15,000

- Lập thiết kế và tổng dự toán cho dự án điều chỉnh 106,000

- Thẩm định thiết kế và tổng dự toán cho dự án điều chỉnh 24,942

- Giám sát lắp đặt thiết bị 108,000

Bằng chữ: Mười lăm tỷ một trăm bốn mươi hai triệu bảy trăm mười ngàn đồng

- Xây dựng hệ thống văn bản pháp lý phục vụ triển khai chữ ký số

- Đào tạo đội ngũ vận hành, sử dụng các dịch vụ PKI.

- Nghiệm thu, quyết toán dự án.

TT Nội dung Kinh phí

I Chi phí nghiên cứu xây dựng văn bản pháp lý 130,000

Xây dựng hệ thống văn bản pháp lý phục vụ triển khai chữ ký số 130,000

II Chi phí đào tạo 80,000

III Chi phí quản lý dự án 153,000

- Thẩm tra, phê duyệt quyết toán vốn đầu tư 16,000

Bằng chữ: Năm trăm bảy mươi chín triệu đồng.

HIỆU QUẢ ĐẦU TƯ

Với mô hình quản lý, tập trung thống nhất một Trung tâm chứng thực gốc (RootCA), dự án triển khai sẽ thiết lập một hạ tầng cơ sở khóa công khai phục vụ cho công tác cung cấp và quản lý chứng thư số cho các cơ quan, tổ chức, cá nhân thuộc hệ thống chính trị được thống nhất; đảm bảo thành công việc điện tử hóa công tác điều hành tác nghiệp của các cơ quan nhà nước.

Việc hợp tác và chuyển giao một số công nghệ nền tảng, quan trọng của hạ tầng PKI từ phía đối tác nước ngoài là một hướng đi đúng đắn, đảm bảo cả về công nghệ hiện đại, kinh nghiệm triển khai cũng như các yêu tố về nhân lực vận hành hệ thống, cụ thể:

1/ Đối tác nước ngoài được lựa chọn để triển khai sẽ tư vấn về bài học thành công trong việc triển khai hạ tầng PKI.

2/ Cùng với các chuyên gia PKI của đối tác xây dựng hệ thống các tài liệu, chính sách và định hướng trong việc xây dựng hành lang pháp lý cho chữ ký điện tử.

3/ Cách thức tổ chức hệ thống và triển khai các dịch vụ chứng thực điện tử.

4/ Áp dụng các các tiêu chuẩn quốc tế về chữ ký số và dịch vụ chứng thực chữ ký số.

5/ Nắm bắt, chuyển giao, phát triển các công nghệ nền của hệ thống PKI

6/ Về nhân lực: đảm bảo có một đội ngũ chuyên gia có đầy đủ kinh nghiệm,kiến thức, trình độ đáp ứng việc tư vấn, phát triển, triển khai các dịch vụ chứng thực điện tử trên cơ sở các kết quả hợp tác, đào tạo và chuyển giao công nghệ với nước ngoài.

Tiêu đề	Thiết Kế Kỹ Thuật Và Tổng Dự Toán
Trường học	Viện CNTT – Trung tâm KHKT&CNQS/BQP
Thể loại	Tài Liệu
Năm xuất bản	2007 - 2009

Định dạng
Số trang	97
Dung lượng	542,69 KB