Nghiên cứu ứng dụng hạ tầng cơ sở mật mã khoá công khai cho hệ thống đấu thầu qua mạng

MỞ ĐẦUTheo thống kê, việc mua sắm công của Chính phủ các nước thường chiếm khoảng từ 10% đến hơn 20% GDP, riêng đối với Việt Nam - một nước đang phát triển nên con số này thường chiếm kh

ĐẠI HỌC QUỐC GIA HÀ NỘI

ĐẠI HỌC QUỐC GIA HÀ NỘI

TS HỒ VĂN CANH

Hà Nội - 2008

MỤC LỤC

DANH MỤC CÁC HÌNH 7

BẢNG TỪ VIẾT TẮT 8

MỞ ĐẦU 9

Chương 1 TỔNG QUAN VỀ ĐẤU THẦU QUA MẠNG MÁY TÍNH 11

1.1 VẤN ĐỀ ĐẤU THẦU 11

1.1.1 Khái niệm chung về đấu thầu 11

1.1.2 Mục tiêu của đấu thầu 11

1.1.3 Quy trình đấu thầu 12

1.2 NHU CẦU VỀ ĐẤU THẦU QUA MẠNG MÁY TÍNH 15

1.2.1 Xu hướng ứng dụng CNTT trong hoạt động của Chính phủ 15

1.2.2 Những bất cập trong đấu thầu thủ công 17

1.2.3 Thực trạng ứng dụng CNTT trong đấu thầu ở Việt Nam 17

1.2.4 Xu thế ứng dụng TMĐT trong mua sắm công trên thế giới 18

1.2.5 Giới thiệu dự án Ứng dụng TMĐT trong Mua sắm công 19

1.3 MÔ HÌNH HỆ THỐNG ĐẤU THẦU QUA MẠNG MÁY TÍNH 20

1.3.1 Mô hình mô tả mối quan hệ về mặt luật pháp 20

1.3.2 Mô hình mô tả mối quan hệ về sử dụng và liên kết đến hệ thống 23 1.3.3 Mô hình chức năng hệ thống đấu thầu qua mạng 24

1.3.4 Mô hình phân lớp của hệ thống đấu thầu qua mạng 28

1.3.5 Lộ trình triển khai hệ thống đấu thầu qua mạng 30

Chương 2 - TỔNG QUAN VỀ HẠ TẦNG CƠ SỞ MẬT MÃ KHOÁ CÔNG KHAI 32

2.1 VẤN ĐỀ ĐẢM BẢO AN TOÀN THÔNG TIN 32

2.2.1 Các hiểm hoạ đối với TMĐT 33

2.2.1.1 Đối với máy khách 33

2.2.1.2 Đối với kênh truyền thông 33

2.2.1.3 Các mối hiểm hoạ đối với máy chủ 34

2.2 HỆ MÃ HOÁ 40

2.2.1 Các thuật ngữ 40

2.2.2 Định nghĩa hệ mật mã 41

2.2.3 Những yêu cầu đối với hệ mật mã 41

2.2.4 Mật mã đối xứng 42

2.2.5 Mật mã khoá công khai 44

2.2.5.1 Các nguyên lý 44

2.2.5.2 Các hệ mật mã khoá công khai 45

2.2.5.3 Các ứng dụng hệ thống khoá công khai 49

2.2.5.4 Lược đồ trao đổi khoá Diffie – Hellman 49

2.2.5.5 Lược đồ chia sẻ bí mật 50

2.2.5.6 Một số hệ mật mã khoá công khai 51

2.2.5.7 Vấn đề quản lý khoá 57

2.3 CHỮ KÝ SỐ 62

2.3.1 Các yêu cầu 62

2.3.2 Phân lớp các sơ đồ chữ ký số 64

2.3.2.1 Sơ đồ chữ ký kèm thông điệp 65

2.3.2.2 Sơ đồ chữ ký khôi phục thông điệp 66

2.3.3 Một số sơ đồ chữ ký số tiêu biểu 67

2.3.3.1 Sơ đồ chữ ký RSA 67

2.3.3.2 Sơ đồ chữ kí ELGAMAL 68

2.3.3.3 Chuẩn chữ ký số DSS 71

2.3.4 Chữ ký số và vấn đề xác thực thông điệp 75

2.3.5 Hàm băm 76

2.3.6 Tấn công chữ ký số 78

2.4 HẠ TẦNG CƠ SỞ MẬT MÃ KHOÁ CÔNG KHAI 79

2.4.1 Các yêu cầu 79

2.4.2 Các thành phần logic của PKI 80

2.4.3 Các cấu trúc quan hệ của CA 81

2.4.3.1 Cấu trúc phân cấp tổng quát 81

2.4.3.2 Cấu trúc phân cấp với liên kết bổ sung 83

2.4.3.3 Cấu trúc phân cấp top-down 83

2.4.3.4 Cơ sở hạ tầng PEM 84

2.4.3.5 Mô hình chứng thực của PGP 85

2.4.4 Chứng chỉ số 86

2.4.4.1 Giới thiệu về các chứng chỉ khoá công khai 86

2.4.4.2 Quản lý cặp khoá công khai và khoá riêng 88

2.4.4.3 Phát hành các chứng chỉ 90

2.4.4.4 Phân phối chứng chỉ 90

2.4.4.5 Thu hồi chứng chỉ 91

2.4.4.6 Chứng chỉ được ký chồng chéo nhiều lần 93

2.4.4.7 Treo chứng chỉ 93

2.4.5 Chính sách chứng chỉ 93

2.4.5.1 Khái niệm chính sách chứng chỉ 94

2.4.5.2 Các nội dung của một chính sách chứng chỉ 94

2.4.6 Tìm các đường dẫn chứng thực và phê chuẩn 94

2.4.7 Giới thiệu hai mô hình PKI 95

2.4.7.1 Cơ sở hạ tầng SET 95

2.4.7.2 Cơ sở hạ tầng DoD MISSI 97

2.5 KHUNG PHÁP LÝ CHO HẠ TẦNG CƠ SỞ MẬT MÃ KHOÁ CÔNG KHAI 99

2.5.1 Tìm hiểu Luật khung về chữ ký điện tử 100

2.5.1.1 Mục đích của Luật khung 100

2.5.1.2 Nội dung của Luật khung 101

2.5.2 Khung kháp lý cho PKI ở Việt Nam 105

2.5.2.1 Luật Giao dịch điện tử 106

2.5.2.2 Nghị định 57/2006/NĐ-CP 106

2.5.2.3 Nghị định 26/2007/NĐ-CP 106

2.5.2.4 Nghị định 27/2007/NĐ-CP 107

2.5.2.5 Nghị định 35/2007/NĐ-CP 107

Chương 3 ỨNG DỤNG HẠ TẦNG MẬT MÃ KHOÁ CÔNG KHAI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 109

3.1 KHẢ NĂNG ĐÁP ỨNG CỦA PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 109

3.1.1 Yêu cầu bảo mật đối với đấu thầu qua mạng 109

3.1.1.1 Yêu cầu bảo mật đối với công tác đấu thầu truyền thống 109

3.1.1.2 Yêu cầu về bảo mật đối với đấu thầu qua mạng 111

3.1.2 PKI đáp ứng tất cả yêu cầu về an toàn thông tin khi đấu thầu qua mạng 111

3.1.3 Các bước mã hoá khi đấu thầu qua mạng 112

3.2 ĐỀ XUẤT MÔ HÌNH CUNG CẤP VÀ QUẢN LÝ CHỨNG CHỈ

SỐ CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 114

3.2.1 Tình hình xây dựng PKI của Việt Nam 114

3.2.1.1 Mô hình kiến trúc 114

3.2.1.2 Tiến độ triển khai 114

3.2.1.3 Xây dựng khung pháp lý 115

3.2.2 Đề xuất xây dựng CA cho hệ thống đấu thầu qua mạng 115

3.2.2.1 Lựa chọn mô hình 116

3.2.2.2 Mô hình công nghệ 119

3.3 QUẢN TRỊ VẬN HÀNH PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 124

3.3.1 Quản trị hệ thống CA 124

3.3.1.1 Quản trị chính hệ thống CA 125

3.4.1.2 Quản trị viên an ninh 125

3.3.1.3 Quản trị viên 126

3.3.1.4 Quản trị hệ thống directory 126

3.3.1.5 Kiểm soát viên 126

3.3.2 Vận hành hệ thống 127

3.3.2.1 Qui trình cấp phát chứng chỉ mới 127

3.3.2.2 Qui trình cập nhật chứng chỉ 127

3.3.2.3 Qui trình hủy bỏ chứng chỉ 128

3.4 BỔ SUNG CƠ SỞ PHÁP LÝ ĐỂ ÁP DỤNG PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 129

KẾT LUẬN 133

TÀI LIỆU THAM KHẢO 134

DANH MỤC CÁC HÌNH

Hình 1.1 Quy trình đấu thầu tổng quát 14

Hình 1.2 Mô hình mối quan hệ về mặt pháp luật 20

Hình 1.3 Mô hình mối quan hệ về sử dụng và liên kết 23

Hình 1.4 Chu trình đấu thầu qua mạng điển hình 25

Hình 1.5 Mô hình chức năng hệ thống đấu thầu qua mạng 26

Hình 1.6 Mô hình phân lớp hệ thống đấu thầu qua mạng 28

Hình 1.7 Mô hình chi tiết hệ thống đấu thầu qua mạng 29

Hình 2.1 Mô hình mã hoá đối xứng 42

Hình 2.2 Mô hình hệ mật đối xứng 43

Hình 2.3 Mã hoá khoá công khai 45

Hình 2.4 minh hoạ quá trình mã hoá và xác thực khoá công khai 46

Hình 2.5 Hệ mật khoá công khai: Xác thực 47

Hình 2.6 Hệ mật khoá công khai: Bí mật và xác thực 48

Hình 2.7 Phân phối khoá công khai không kiểm soát 57

Hình 2.8 Công bố khoá công khai 58

Hình 2.9 Lược đồ phân phối khoá công khai 59

Hình 2.10 Sử dụng mã khoá công khai để thiết lập một khoá phiên 61

Hình 2.11 Phân phối khoá công khai qua các khoá bí mật 61

Hình 2.12 Phân lớp các sơ đồ chữ ký số 65

Hình 2.13 Sơ đồ chữ ký kèm thông điệp 66

Hình 2.14 Sơ đồ chữ ký khôi phục thông điệp 67

Hình 2.15 Sơ đồ chữ ký DSS 72

Hình 2.16 Các sử dụng cơ bản của hàm băm 77

Hình 2.17 Các thành phần của PKI 81

Hình 2.18 Cấu trúc phân cấp tổng quát 82

Hình 2.19 Cấu trúc phân cấp với các liên kết bổ sung 83

Hình 2.20 Cấu trúc phân cấp top-down 84

Hình 2.21 Cơ sở hạ tầng PEM 85

Hình 2.22 Danh sách các chứng chỉ bị huỷ bỏ 92

Hình 3.1 Mô hình cung cấp dịch vụ Time-stamp 113

Hình 3.2 Mô hình kiến trúc PKI áp dụng cho Việt Nam 114

Hình 3.3 Đề xuất mô hình CA cho hệ thống đấu thầu qua mạng 121

BẢNG TỪ VIẾT TẮT

5 GDP Gross Dosmetic Product (Tổng sản phẩm quốc nội)

11 MAC Message Authentication Code (Dấu xác thực)

3 PKI Hạ tầng cơ sở mật mã khoá công khai

4 CA Certificate Agency (Cơ quan Chứng thực số)

15 RA Registration Authority (quản lý đăng ký CA)

16 CRL Certificate Revocation List (danh sách chứng chỉ

bị thu hồi )

17 DSS Digital Signature Standard (Chuẩn chữ ký số)

18 DSA Digital Signature Algorithm (Giải thuật ký số)

19 CP Certification Policy (Bộ chính sách chứng chỉ)

20 CPS Certification Practice Statement (Bộ thủ tục thi

hành chứng chỉ)

MỞ ĐẦU

Theo thống kê, việc mua sắm công của Chính phủ các nước thường chiếm khoảng từ 10% đến hơn 20% GDP, riêng đối với Việt Nam - một nước đang phát triển nên con số này thường chiếm khoảng 40% GDP, phần lớn trong đó được thực hiện dưới hình thức đấu thầu

Công nghệ thông tin trong thời gian qua đã có bước phát triển mạnh mẽ

và tác động đến mọi mặt đời sống xã hội, làm thay đổi cách sống, cách làm việc của mọi cá nhân và tổ chức Điều này đã dặt ra vấn đề ứng dụng TMĐT trong việc mua sắm công, làm thay đổi phương thức đấu thầu truyền thống

Nó làm cho quá trình mua sắm công trở nên công khai, minh bạch và hiệu

quá Đó chính là mục đích của Dự án “Ứng dụng TMĐT trong mua sắm công” - dự án thành phần thuộc kế hoạch tổng thể phát triển phát triển TMĐT

giai đoạn 2006-2010 đã được Thủ tướng Chính phủ phê duyệt tại Quyết định

số 222/2005/QĐ-TTg ngày 27/12/2005, kết quả của Dự án là hệ thống cho phép hoạt động đấu thầu được thực qua mạng

Hệ thống đấu thầu qua mạng là một hệ thống lớn, bao gồm nhiều thành phần, trong đó thành phần không thể thiếu là hạ tầng khoá công khai Luận văn này tập trung vào việc nghiên cứu áp dụng chữ ký số, chứng thực số cho

hệ thống đấu thầu qua mạng

Do đây là một dự án thực tế, vì vậy, ngoài việc nghiên cứu về mặt công nghệ, NVLV còn xem xét trên khía cạnh khung pháp lý, triển khai thực tế trong điều kiện hiện nay của Việt Nam Vào thời điểm thực hiện luận văn này,

hệ thống đấu thầu qua mạng vẫn chưa được xây dựng, vì vậy giải pháp NVLV trình bày ở đây được đúc rút từ kinh nghiệm triển khai của các nước rất phát triển về đấu thầu qua mạng trên thế giới như Hàn Quốc, Anh, Canada, … và

từ thực tế triển khai CA cho các hệ thống có yêu cầu tương tự về bảo mật như

hệ thống ngân hàng, kho bạc

Cấu trúc luận văn chia thành 3 chương:

Chương 1 - Tổng quan về đấu thầu qua mạng máy tính Phần này giới

thiệu tổng quan về hoạt động đấu thầu, về nhu cầu xây dựng hệ thống đấu thầu qua mạng máy tính và mô hình hệ thống đấu thầu qua mạng xét trên các khía cạnh pháp luật, sử dụng, chức năng và công nghệ

Chương 2 - Tổng quan về Hạ tầng khoá công khai Phần này trình bày

các vấn đề liên quan đến đảm bảo an toàn thông tin cho TMĐT nói chung trong đó nhận diện những hiểm hoạ có thể xẩy ra đối với TMĐT và các kỹ thuật để giải quyết như hệ mật mã, chữ ký số, hàm băm, … Tiếp đó trình bày

về các vấn đề liên quan đến hạ tầng khoá công khai xét trên các khía cạnh công nghệ và khung pháp lý

Chương 3 - Ứng dụng hạ tầng khoá công khai cho hệ thống đấu thầu

qua mạng Phần này phân tích đặc thù về yêu cầu bảo mật đối với một hệ thống đấu thầu qua mạng, trên cơ sở xem xét thực tế, tiến độ xây dựng hạ tầng khoá công khai ở Việt Nam, đề xuất xây dựng hệ thống CA cho hệ thống đấu thầu qua mạng

Chương 1 TỔNG QUAN VỀ ĐẤU THẦU QUA MẠNG

ở trên) sẽ triển khai, qua đó để thấy được tầm quan trọng và vị trí của việc ứng dụng hạ tầng khoá công khai trong hệ thống đấu thầu qua mạng

1.1.1 Khái niệm chung về đấu thầu

Thuật ngữ “đấu thầu” đã xuất hiện trong xã hội từ xa xưa Theo Từ điển tiếng Việt (Viện Ngôn ngữ học xuất bản năm 1998) thì đấu thầu được giải thích là việc “đọ công khai, ai nhận làm, nhận bán với điều kiện tốt nhất thì được giao cho làm hoặc được bán hàng (một phương thức giao làm công trình hoặc mua hàng)” Như vậy bản chất của việc đấu thầu đã được xã hội thừa nhận như là một sự ganh đua (cạnh tranh) để được thực hiện một công việc, một yêu cầu nào đó

Trên thực tế đã tồn tại một số thuật ngữ về đấu thầu trong các văn bản pháp quy khác nhau Tuy nhiên, bản chất của thuật ngữ về đấu thầu xuất phát

từ một thuật ngữ có xuất xứ từ tiếng Anh là “Procurement” (nghĩa là mua sắm)

Từ khi đất nước ta tiến hành công cuộc đổi mới, nền kinh tế mở cửa với thế giới thì bắt đầu xuất hiện khái niệm “đấu thầu” Theo giải thích về thuật ngữ “đấu thầu” trong Luật Đấu thầu của Việt Nam thì đó là quá trình lựa chọn nhà thầu đáp ứng các yêu cầu của BMT để thực hiện gói thầu thuộc dự án sử dụng vốn nhà nước Kết quả của sự lựa chọn là có hợp đồng được ký kết với các điều khoản quy định chi tiết trách nhiệm của hai bên Một bên là nhà thầu phải thực hiện các nhiệm vụ như nêu trong HSMT (có thể là dịch vụ tư vấn, cung cấp hàng hoá hoặc xây lắp một công trình ), một bên là CĐT (là cơ quan chủ sở hữu vốn hoặc dùng vốn nhà nước để thực hiện dự án) có trách nhiệm giám sát, kiểm tra, nghiệm thu và thanh toán tiền Như vậy thực chất của quá trình đấu thầu ở Việt Nam đối với các dự án sử dụng vốn nhà nước là một quá trình mua sắm - chi tiêu, sử dụng vốn của Nhà nước

1.1.2 Mục tiêu của đấu thầu

Tất cả các hệ thống đấu thầu mua sắm công trong một nền kinh tế hiện đại đều nhằm đạt được tất cả hoặc hầu hết các mục tiêu sau đây:

a) Công khai, minh bạch

Một hệ thống công khai mang đến cơ hội công bằng cho tất cả các nhà thầu hợp lệ trong việc cạnh tranh để cung cấp hàng hóa, công trình và dịch vụ Một hệ thống minh bạch có các quy định và cơ chế rõ ràng để đảm bảo tuân thủ đúng các quy định đó

b) Kinh tế

Chỉ tiêu kinh tế được tập trung chủ yếu vào ”giá cả” nhưng cũng bao gồm các chỉ tiêu khác mà mang đến các lợi ích kinh tế đối với các chủ thể tham gia vào hợp đồng, cụ thể như sau:

 Phù hợp với mục tiêu (cụ thể là Chất lượng);

 Đáp ứng tiến độ và khả năng sẵn có của hàng hóa, dịch vụ; khả năng sẵn sàng cung cấp dịch vụ tư vấn, xây dựng công trình;

 Chi phí cả đời dự án (ví dụ chi phí vận hành, bảo dưỡng);

 Chi phí phù hợp (ví dụ vận tải và lưu kho);

 Quản lý chi phí đối với các hoạt động đấu thầu

Hầu hết các hợp đồng kinh tế không phải lúc nào cũng đồng nghĩa với giá

cả rẻ nhất Giá trị tốt nhất của đồng tiền (value for money- VFM) cần đạt được các mục tiêu kinh tế và có thể được tổng hợp theo "5 Đúng” (Five rights) sau đây:

 "Đúng số lượng đối với hàng hóa, Đúng con người đối với tư vấn và xây lắp”;

và các công trình được xây dựng

1.1.3 Quy trình đấu thầu

a) Hình thức lựa chọn nhà thầu:

Hình thức lựa chọn nhà thầu là cách thức mời nhiều hay ít nhà thầu tham

dự đấu thầu đối với một gói thầu tuỳ vào điều kiện cụ thể của gói thầu đó Có hình thức lựa chọn nhà thầu không hạn chế số lượng nhà thầu tham dự như hình

thức đấu thầu rộng rãi, chào hàng cạnh tranh; có hình thức chỉ giới hạn một số nhà thầu nhất định tham dự như hình thức đấu thầu hạn chế; có hình thức chỉ mời một nhà thầu tham dự như hình thức chỉ định thầu, mua sắm trực tiếp Theo quy định về đấu thầu, có 7 hình thức lựa chọn nhà thầu như sau:

- Hình thức đấu thầu rộng rãi: Hình thức đấu thầu rộng rãi (thuật

ngữ trong tiếng Anh là Open bidding hoặc Open competitive

bidding) là hình thức lựa chọn không hạn chế số lượng nhà thầu tham

dự Đây là hình thức lựa chọn nhà thầu có tính cạnh tranh cao nhất nên hình thức lựa chọn này phải được áp dụng chủ yếu trong đấu thầu

- Hình thức đấu thầu hạn chế: Hình thức đấu thầu hạn chế (thuật

ngữ trong tiếng Anh dùng là Limited bidding hoặc Selective bidding) là hình thức chỉ có một số nhà thầu nhất định được mời tham dự thầu Đối với hình thức đấu thầu này, nếu không quản lý chặt chẽ thì rất dễ thành đấu thầu hình thức, biến tướng thành chỉ định thầu

- Hình thức Chỉ định thầu: Chỉ định thầu (thuật ngữ trong tiếng

Anh dùng là Direct appointment hoặc direct contracting hoặc

procurement from single source) là việc chỉ định trực tiếp một nhà

thầu có đủ năng lực, kinh nghiệm để thực hiện gói thầu Hình thức lựa chọn này hoàn toàn không có sự cạnh tranh nên chỉ được áp dụng trong một số trường hợp nhất định

- Hình thức mua sắm trực tiếp: Hình thức mua sắm trực tiếp (thuật

ngữ trong tiếng Anh là Repeat order) là việc CĐT mời chính nhà thầu trước đó đã được lựa chọn trúng thầu để thực hiện gói thầu có nội dung tương tự Thực chất của việc áp dụng hình thức này là CĐT đã tận dụng kết quả đấu thầu trước đó để tiết kiệm thời gian và chi phí mà vẫn đáp ứng mục tiêu, hiệu quả của công tác đấu thầu

- Chào hàng cạnh tranh trong mua sắm hàng hóa: Chào hàng cạnh

tranh được áp dụng trong mua sắm hàng hóa (thuật ngữ trong tiếng

Anh là Shopping in procurement of goods) và chỉ được áp dụng khi

gói thầu có giá nhỏ, nội dung mua sắm là hàng hoá thông dụng

- Tự thực hiện: Tự thực hiện (thuật ngữ trong tiếng Anh là Force account) là hình thức mà CĐT sử dụng nhân công và phương tiện của

mình để thực hiện gói thầu thuộc dự án của mình Hình thức này được

áp dụng khi CĐT có đủ năng lực và kinh nghiệm thực hiện gói thầu thuộc dự án do mình quản lý và sử dụng

- Lựa chọn nhà thầu trong trường hợp đặc biệt: Với những gói thầu

không thể áp dụng một trong 6 hình thức lựa chọn nhà thầu đã nêu ở trên do có những đặc thù riêng biệt thì CĐT phải lập phương án lựa

chọn nhà thầu, bảo đảm tính cạnh tranh và hiệu quả kinh tế trình Thủ tướng Chính phủ xem xét, quyết định

Quy trình đấu thầu tổng quát cho một cuộc đấu thầu

Quy trình đấu thầu tổng quát cho một cuộc đấu thầu bao gồm 7 bước bắt đầu tư bước Chuẩn bị đấu thầu, tổ chức đấu thầu, đánh giá HSDT, thẩm định và phê duyệt kết quả đấu thầu, thông báo kết quả đấu thầu, thương thảo hoàn thiện hợp đồng và kết thúc là bước ký kết hợp đồng Tuỳ theo gói thầu được thực hiện theo hình thức nào trong 7 hình thức nêu trên mà có các thủ tục phải thực hiện trong từng bước khác nhau

Hình vẽ dưới đây thể hiện một quy trình đấu thầu gần như đầy đủ nhất cho một gói thầu theo quy định của pháp luật về đấu thầu:

Hình 1.1 Quy trình đấu thầu tổng quát

1.2 NHU CẦU VỀ ĐẤU THẦU QUA MẠNG MÁY TÍNH

Trong phần này, NVLV trình bày về sự cần thiết phải chuyển đổi phương thức thực hiện đấu thầu thủ công bằng văn bản giấy tờ sang thực hiện trên mạng Sự cần thiết nằm ở Xu hướng phát triển và ứng dụng CNTT nói chung, TMĐT nói riêng trong hoạt động của Chính phủ, những bất cập của đấu thầu thủ công và xu thế tất yếu xây dựng đấu thầu qua mạng của các nước trên thế giới

1.2.1 Xu hướng ứng dụng CNTT trong hoạt động của Chính phủ

TMĐT đã và đang trở thành hình thức giao dịch trao đổi trong thế kỷ

21 TMĐT không chỉ giải quyết những yêu cầu thiết yếu, cấp bách trên các lĩnh vực như hệ thống giao dịch hàng hoá, điện tử hoá tiền tệ và phương án an toàn thông tin , mà hoạt động thực tế của nó còn tạo ra những hiệu quả và lợi ích mà mô hình phát triển của thương mại truyền thống không thể sánh kịp (ví

dụ, trường hợp hiệu sách Amazon, trang web đấu giá eBay) Chính vì tiềm lực hết sức to lớn của TMĐT nên chính phủ các nước đều hết sức chú trọng vấn đề này Nhiều nước đang có chính sách và kế hoạch hành động để đẩy mạnh sự phát triển của TMĐT ở nước mình, nhằm nắm bắt cơ hội của tiến bộ công nghệ thông tin nâng cao năng lực cạnh tranh quốc tế, thúc đẩy sự phát triển kinh tế của đất nước, giành lấy vị trí thuận lợi trong xã hội thông tin tương lai

TMĐT tại Việt Nam còn chậm phát triển chưa đáp ứng được yêu cầu mong muốn của thực tế Theo đánh giá và phân tích của Vụ TMĐT - Bộ Công thương về nguyên nhân lý giải cho việc triển khai ứng dụng TMĐT chưa mang lại hiệu quả như mong muốn, trở ngại về nhận thức xã hội được các doanh nghiệp xếp lên đầu bảng Theo khá sát là các trở ngại về hệ thống thanh toán, môi trường pháp lý và tập quán kinh doanh Trở ngại về hạ tầng công nghệ thông tin - viễn thông đã tụt xuống cuối danh sách các vấn đề đáng quan ngại đối với doanh nghiệp khi triển khai ứng dụng TMĐT

Chính phủ Việt Nam đang có những bước đi, hành động và các quyết tâm của lãnh đạo cao nhất mong muốn thực hiện chính phủ điện tử Với mục tiêu là “Nâng cao năng lực điều hành, quản lý của các cơ quan nhà nước “ và

“Phục vụ người dân và doanh nghiệp “ thì việc ứng dụng CNTT là một yêu cầu bắt buộc phải được áp dụng Chính phủ đã và đang thực hiện rất nhiều dự

án thuộc các lĩnh vực khác nhau thì mà trong đó đấu thầu qua mạng chính là một trong các dịch vụ công quan trọng mà chính phủ các nước cũng như Việt Nam khi áp dụng chính phủ điện tử đều nhận thức sự cần thiết phải thực hiện

Hệ thống đấu thầu điện tử sẽ mang lại các mục tiêu cần đạt được về tính công khai, minh bạch, tiết kiệm, hiệu quả, nhanh chóng và thuận tiện cho các doanh nghiệp; cơ quan nhà nước khi thực hiện

Để cụ thể hoá quyết tâm chính trị thực hiện ứng dụng CNTT trong hoạt động của Chính phủ, cho đến thời điểm này, Chính phủ đã ban hành nhiều

văn bản trong đó đề ra các chiến lược cũng như giải pháp thực hiện nhằm từng bước xây dựng Chính phủ điện tử ở Việt Nam Dưới đây, NVLV xin liệt

kê một số văn bản định hướng phát triển và ứng dụng TMĐT ở Việt Nam nói chung và trong công tác đấu thầu mua sắm công nói riêng:

- Chỉ thị 58-CT-TW của Bộ chính trị ngày 17/10/2000 về đẩy mạnh ứng dụng và phát triển công nghệ thông tin phục vụ sự nghiệp công nghiệp hoá, hiện đại hoá;

- Luật Công nghệ thông tin số 67/2006/QH11 được Quốc hội thông qua ngày 29/06/2006

- Luật Giao dịch điện tử số 51/2005/QH11 ngày 29/11/2005;

- Luật Đấu thầu số 61/2005/QH11 ngày 19/11/2005;

- Nghị định số 26/2007/NĐ-CP ngày 15 tháng 02 năm 2007 của Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số;

- Nghị định số 27/2007/NĐ-CP về Giao dịch điện tử trong hoạt động tài chính;

- Nghị định số 35/2007/NĐ-CP về Giao dịch điện tử trong hoạt động ngân hàng;

- Quyết định số 222/2005/QĐ-TTg ngày 27/12/2005 của Thủ tướng Chính phủ về phê duyệt kế hoạch tổng thể phát triển phát triển TMĐT giai đoạn 2006-2010;

- Nghị định số 58/2008/NĐ-CP ngày 5/5/2008 của Chính phủ về việc hướng dẫn thi hành Luật đấu thầu và lựa chọn nhà thầu theo Luật Xây dựng;

- Quyết định số 179/2007/QĐ-TTg ngày 26/11/2007 của Thủ tướng Chính phủ về việc ban hành Quy chế tổ chức mua sắm tài sản, hàng hoá từ ngân sách nhà nước theo phương thức tập trung;

- Thông tư số 22/2008/TT-BTC của Bộ Tài chính ngày 10/03/2008 hướng dẫn một số nội dung của Quyết định số 179/2007/QĐ-TTg ngày 26/11/2007

- Nghị định 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;

- Quyết định 43/2008/QĐ-TTg ngày 24/3/2008 của Thủ tướng Chính phủ phê duyệt Kế hoạch ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước năm 2008;

- Thông tư liên tịch Số 43/2008/TTLT-BTC-BTTTT ngày 26/5/2008 Hướng dẫn việc quản lý và sử dụng kinh phí chi ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước

1.2.2 Những bất cập trong đấu thầu thủ công

Thời gian gần đây, mặc dù nhiều văn bản pháp lý quy định, hướng dẫn chi tiết công tác đấu thầu như Luật Đấu thầu, Nghị định 58/2008/NĐ-CP (thay thế cho Nghị đinh 111/2006/NĐ-CP) hướng dẫn thi hành Luật Đấu thầu

và hàng loạt văn bản ở mức thấp hơn đã được ban hành theo hướng phù hợp với tình hình kinh tế đất nước, thực tế triển khai và thông lê quốc tế Tuy nhiên, với việc còn phải thực hiện đấu thầu thông qua hình thức giấy tờ và thủ công như hiện nay, hoạt động đấu thầu vẫn còn một số tồn tại như sau:

- Thời gian thực hiện một hoạt động đấu thầu kéo dài, tốn thời gian

- Các địa phương chưa nhất quán trong quá trình thực hiện các quy trình, thủ tục theo Luật đấu thầu và các nghị định đã ban hành

- Các đối tượng tham gia trong hoạt động đấu thầu chưa tuân thủ các qui định cung cấp số liệu đấu thầu, kết quả đấu thầu Công tác giám sát sự tuân thủ này còn gặp khó khăn do thời gian, nhân lực kiểm tra chưa đầy đủ và không thường xuyên

- Công tác báo cáo xử lý vi phạm các nhà thầu chưa được coi trọng và thông tin đầy đủ

- Công tác tập hợp, tổng hợp thống kê đấu thầu còn gặp nhiều khó khăn, một số các đơn vị chậm và báo cáo không đầy đủ, rõ ràng, các số liệu thiếu chính xác và không tuân thủ theo mẫu quy định

- Quá trình quản lý, giám sát sau đấu thầu, đánh giá hiệu quả thực hiện gói thầu, năng lực nhà thầu chưa được quản lý, giám sát chặt chẽ

(Nguồn: trích báo cáo đấu thầu năm 2007 – Vụ QLĐT – Bộ KHĐT)

Tất cả những tồn tại nêu trên sẽ biến mất một khi triển khai thành công

hệ thống đấu thầu qua mạng ở Việt Nam

1.2.3 Thực trạng ứng dụng CNTT trong đấu thầu ở Việt Nam

Hiện nay trang web đấu thầu của Bộ Kế hoạch và Đầu tư cho phép gắn kết và hỗ trợ qua lại giữa các thông tin đăng tin Báo đấu thầu với trang web

và từng bước trở thành công cụ trợ giúp đắc lực cho báo Đấu thầu nhằm tạo ra một công cụ đăng tải thông tin về đấu thầu một cách nhanh chóng, tạo thuận lợi cho tất cả các tổ chức, cá nhân quan tâm truy nhập

Đặt biệt từ 01/6/2007 đã triển khai hình thức đăng ký thông tin đấu thầu qua mạng tại website đấu thầu, với hình thức này các chủ đầu tư thay vì phải gửi văn bản bằng Fax và đường bưu điện thì nay với một máy tính có kết nối Internet họ hoàn toàn có thể gửi thông tin về đấu thầu bộ Kế hoạch và Đầu tư

để đăng thông tin trên báo đấu thầu và trang web đấu thầu, đây là một bước quan trọng để triển khai hệ thống đấu thầu qua mạng

1.2.4 Xu thế ứng dụng TMĐT trong mua sắm công trên thế giới

Cùng với vai trò là chủ thể tạo lập ra môi trường cho TMĐT hoạt động; chính phủ đóng góp vai trò trao đổi thương mại giữa chính phủ với các doanh nghiệp (G2B) Theo các nghiên cứu khảo sát; chi tiêu chính phủ của các nước hàng năm chiếm khoảng từ 10% - 20% GDP của mỗi nước Việt Nam cũng không nằm ngoài các khảo sát này Như vậy giá trị chi tiêu công của mỗi quốc gia đều rất lớn; đây là yếu tố chính khi ứng dụng TMĐT nhằm các mục đích giảm thời gian, nguồn lực; tiết kiệm chi phí; nâng cao tính công khai, minh bạch tạo môi trường cạnh tranh lành mạnh giữa các doanh nghiệp cung cấp

Trên thế giới, hiện đã có rất nhiều quốc gia đã triển khai thành công hệ thống đấu thầu điện tử, điển hình là Hàn Quốc, Nhật Bản, Anh Quốc, … Việc triển khai thành công đấu thầu qua mạng ở các nước đã chứng minh rằng, các rào cản về công nghệ không còn khi áp dụng CNTT và truyền thông vào lĩnh vực đấu thầu truyền thống hiện tại, mà ngược lại còn đem lại rất nhiều ưu điểm nổi trội mà bất kỳ một chính chủ nào cũng quan tâm, đó là: tính công khai, minh bạch, công bằng và hiệu quả

Bảng sau mô tả một số nước đã triển khai thành công hệ thống đấu thầu qua mạng:

- Procurement Improvement Programme

Bảng 1.1 Triển khai đấu thầu qua mạng trên thế giới

Các nước triển khai hệ thống đấu thầu qua mạng theo các lộ trình khác nhau, tùy thuộc vào đặc điểm và hiện trạng thực tế ở mỗi nước Tỉ lệ % tiết

kiệm cũng thay đổi trong phạm vi rất rộng từ 2 - 20% Việc lựa chọn triển khai theo hình thức bắt buộc áp dụng hoặc khuyến khích áp dụng của các nước cũng khác nhau và phụ thuộc nhiều vào môi trường kinh tế, xã hội và chính trị của mỗi nước

Lợi ích của đấu thầu điện tử mang lại là không cần bàn cãi Sau đây, NVLV xin trình bày một số kết quả thống kê về lợi ích (xét đơn thuần về khía cạnh kinh tế) của các hệ thống đấu thầu điện tử đã triển khai trên thế giới (tham khảo từ các thông tin công bố của World Bank và báo cáo của các nước):

- Tại Đức: Giảm được 10-30% giá mua và 25-75% chi phí giao dịch

- Tại Anh: 500 trường học giảm giá mua tới £100 triệu/năm

- Châu âu: Chi phí chuyển hệ sang sử dụng hệ thống simap.eu.int của Châu âu khoảng €10 triệu, việc dừng phân phối các hồ sơ tài liệu bằng giấy tiết kiệm khoảng €70 triệu/năm Thời gian từ khi có yêu cầu đến khi ký hợp đồng giảm từ 52 ngày xuống còn 10-15 ngày

- Hàn Quốc: tiết kiệm được $17.1 tỷ trong khi chi phí đầu tư cho hệ thống là US$25 triệu Trong 4 năm, Cơ quan mua sắm giảm từ 1058 xuống 935 người trong khi khối lượng mua sắm tăng tới 30% Việc thanh toán hoàn toàn tự động không chậm hơn 4 giờ

- Rumani: Trong 4 tháng của 2003, khoảng 1000 cơ quan mua sắm và

8000 nhà cung cấp tham gia với hơn 60,000 giao dịch trên hệ thống eGP đã tiết kiệm được 22% (35.5 triệu trên tổng số US$161.4 triệu)

1.2.5 Giới thiệu dự án Ứng dụng TMĐT trong Mua sắm công

Dự án: “Ứng dụng TMĐT trong mua sắm của Chính phủ” là dự án

nằm trong kế hoạch tổng thể phát triển phát triển TMĐT giai đoạn 2006-2010

đã được Thủ Tướng phê duyệt theo Quyết định số 222/2005/QĐ-TTg ngày 27/12/2005

Dự án có mục tiêu “Ứng dụng TMĐT trong mua sắm công” để triển khai trong các hoạt động mua sắm công Thông qua việc xây dựng một hệ thống đấu thầu tập trung, qua mạng, dự án sẽ làm cho quá trình đấu thầu của các cơ quan, đơn vị được công khai, minh bạch, cạnh tranh và hiệu quả kinh

tế

Phạm vi dự án là phải xây dựng một hệ thống đấu thầu qua mạng bao gồm: các cơ sở pháp lý phục vụ đấu thầu qua mạng, cải cách các quy trình nghiệp vụ đấu thầu qua mạng, xây dựng hạ tầng thông tin gồm mạng, cơ sở

dữ liệu, cổng giao tiếp, CA với độ an toàn bảo mật cao để phục vụ đấu thầu qua mạng

1.3 MÔ HÌNH HỆ THỐNG ĐẤU THẦU QUA MẠNG MÁY TÍNH

Trong chương này, NVLV xin trình bày kiến trúc tổng thể hệ thống đấu thầu qua mạng một cách toàn diện trên tất cả các khía cạnh Mô hình tổng thể của một hệ thống đấu thầu qua mạng chỉ được mô tả hoàn chỉnh và đầy đủ khi xây dựng dựa trên các mô hình về các mối quan hệ như luật pháp, sử dụng hệ thống, liên kết hệ thống, chức năng hệ thống, …

1.3.1 Mô hình mô tả mối quan hệ về mặt luật pháp

Hệ thống đấu thầu qua mạng được mô tả chi tiết tại sơ đồ dưới, đóng vai trò là trung tâm hình thành nên các mối quan hệ phối hợp giữa các cơ quan nhà nước, tổ chức liên quan trong hoạt động đấu thầu

Trong mô hình này có sự phân định rõ trách nhiệm và mối quan hệ giữa

hệ thống đấu thầu qua mạng với các cơ quan nhà nước liên quan đến đấu thầu như sau:

Hình 1.2 Mô hình mối quan hệ về mặt pháp luật

Trong mô hình trên, Chính phủ giữ vai trò ban hành các Nghị định hướng dẫn thi hành đấu thầu qua mạng (nếu cần thiết phải xây dựng Nghi định), ngoài ra còn làm nhiệm vụ liên kết các bộ, ban, ngành trong việc triển khai đồng bộ các hệ thống có liên quan đến nhau

Bộ Kế hoạch và Đầu tư thực hiện chức năng quản lý nhà nước về đấu thầu nói chung bao gồm: ban hành văn bản hướng dẫn, hướng dẫn thực hiện

và kiểm tra công tác đấu thầu nói chung và đấu thầu qua mạng nói riêng, tổ chức nghiên cứu, xây dựng và vận hành hệ thống đấu thầu qua mạng, Về lĩnh vực đấu thầu qua cụ thể như sau:

Về quản lý nhà nước về đấu thầu mua sắm hàng hóa qua mạng

- Đề xuất và tham mưu cho Chính phủ ban hành Nghị định hướng dẫn thi hành Luật đấu thầu về hoạt động đấu thầu mua sắm hàng hóa của qua mạng đấu thầu Trên cơ sở đó Bộ Kế hoạch và Đầu tư ban hành các văn bản hướng dẫn chi tiết về các nghiệp vụ và thủ tục đấu thầu mua sắm hàng hóa qua mạng đấu thầu

- Phối hợp với các cơ quan quản lý nhà nước các cấp, cơ quan liên quan như: Tài Chính, Công thương, Thông tin và Truyền thông, Ban Cơ yếu Chính phủ để ban hành các văn bản pháp lý hướng dẫn về nghiệp vụ và triển khai áp dụng hình thức đấu thầu mua sắm hàng hóa qua mạng

- Thực hiện giám sát việc triển khai áp dụng và ra văn bản quy phạm pháp luật về đấu thầu qua mạng được Quốc hội hoặc Chính phủ ban hành

- Quản lý toàn bộ các thông tin về hoạt động đấu thầu mua sắm trên hệ thống

- Đầu mối tổ chức hoạt động nghiên cứu, đánh giá hiệu quả áp dụng và thực thi Luật đấu thầu mua sắm công qua mạng để kiến nghị các biện pháp quản lý hữu hiệu Đề xuất sửa đổi, bổ sung khi cần thiết

Xây dựng mạng đấu thầu quốc gia

- Đầu mối quản lý và xây dựng mạng đấu thầu quốc gia, đề xuất mô hình quản lý, lựa chọn công nghệ

- Xây dựng quy trình đăng tải và thực hiện Quản lý các thông tin đăng tải của chủ đầu tư và nhà thầu trên hệ thống

- Xây dựng và hoàn thiện toàn bộ các nghiệp vụ và thủ tục đấu thầu qua mạng của hệ thống bao gồm: đấu thầu điện tử, ký hợp đồng điện tử, bàn giao hàng hóa, nghiệm thu, thanh toán điện tử, kê khai thuế – hải quan quản lý nhà nước đối với hệ thống đấu thầu quốc gia

- Xây dựng mẫu thủ tục kê khai, thủ tục giao dịch chuẩn áp dụng cho mọi đối tượng tham gia vào hệ thống

- Vận hành hệ thống

Tài chính, Thông tin và Truyền thông, Công thương, Ban cơ yếu Chính phủ…)

thông tin về giá cả bằng công cụ điện tử trên mạng đấu thầu mua sắm hàng hóa

- Phối hợp với Bộ Kế hoạch và Đầu tư trong việc ban hành danh mục hàng hóa của các cơ quan nhà nước sử dụng ngân sách phải áp dụng hình thức đấu thầu mua sắm theo phương thức tập trung qua mạng đấu thầu quốc gia

- Tổ chức nghiên cứu, đánh giá hiệu quả thực hiện các quy định pháp luật về: thanh toán, kê khai thuế, hải quan, quản lý thông tin giá cả bằng công cụ điện tử Đưa ra giải pháp quản lý hiệu quả, sửa đổi, bổ sung các quy định pháp lý để hoàn thiện công tác quản lý

Bộ Thông tin và Truyền thông:

- Phối hợp với Bộ Công thương để ban hành văn bản pháp luật về cấp phép cho hoạt động chứng thực chữ ký số, bảo đảm an toàn trong giao dịch điện tử cho các tổ chức và cá nhân(không thuộc khối cơ quan Nhà nước)

- Hoàn thiện các văn bản pháp luật về bảo đảm an ninh, an toàn trong các giao dịch điện tử, chứng thực chữ ký số, khai thác tài nguyên trên mạng Sửa đổi, bổ sung các văn bản pháp luật khi phát sinh các vấn đề chưa được quy định

Bộ Công thương:

- Phối hợp với Bộ Thông tin và Truyền thông, Bộ Kế hoạch và Đầu tư ban hành văn bản hướng dẫn về TMĐT trong đấu thầu, ký hợp đồng điện tử, cấp chứng nhận xuất xứ hàng hóa điện tử, công khai thông tin

về hàng hóa, giá cả, chất lượng hàng hóa trên hệ thống đấu thầu

- Ban hành văn bản pháp luật quy định và hướng dẫn về đấu giá ngược(dành cho người mua hàng hóa)

- Hoàn thiện hệ thống pháp luật về bảo đảm cung cấp và công khai các thông tin về hàng hóa, giá cả trên mạng đấu thầu mua sắm hàng hóa(chủng loại, chất lượng, số lượng, giá cả…) xử lý các tranh chấp giao dịch điện tử trong quá trình đấu thầu mua sắm hàng hóa qua mạng Sửa đổi, bổ sung các văn bản khi có phát sinh các vấn đề chưa được quy định

Ban cơ yếu Chính phủ:

- Phối hợp với Bộ Kế hoạch và Đầu tư, Bộ Thông tin và Truyền thông trong việc bảo đảm cấp chứng thực chữ ký số cho các cơ quan nhà nước là đối tượng tham gia vào mạng đấu thầu mua sắm hàng hóa

- Cấp chứng thực chữ ký số và bảo đảm giá trị pháp lý của các giao dịch điện tử của các cơ quan nhà nước tham gia đấu thầu mua sắm hàng hóa qua mạng đấu thầu mua sắm của Chính phủ.

Như vậy, có thể nói, xét về khía cạnh hạ tầng khóa công khai áp dụng cho mạng đấu thầu quốc gia, các đơn vị có liên quan trực tiếp là Bộ Công thương và Ban cơ yếu Chính phủ với chức năng đã được liệt kê ở trên Trong phần III, NVLV sẽ trình bày chi tiết về sự kết hợp của các bên trong việc áp dụng PKI cho hệ thống mạng đấu thầu như thế nào

1.3.2 Mô hình mô tả mối quan hệ về sử dụng và liên kết đến hệ

thống

Hình 1.3 Mô hình mối quan hệ về sử dụng và liên kết

Trong mô hình trên, các đối tượng tham gia có vai trò như sau:

a Các chủ đầu tư (bên mời thầu) là cơ quan mua sắm công

- Các chủ đầu tư (bên mời thầu) là những cơ quan nhà nước có hoạt động mua sắm nằm trong danh mục hàng hóa bắt buộc phải mua sắm tập trung trên mạng đấu thầu mua sắm hàng hóa của Chính phủ Vì vậy, các cơ quan này phải đăng ký tham gia sử dụng mạng đấu thầu mua sắm hàng hóa và tuân thủ quy trình thủ tục đấu thầu theo Luật đấu thầu

và văn bản hướng dẫn thi hành của Chính phủ về đấu thầu mua sắm hàng hóa qua mạng

- Phối hợp với Bộ Kế hoạch và Đầu tư, Bộ Công thương và Cơ quan vận hành mạng đấu thầu để cung cấp và đăng tải công khai các thông tin: giới thiệu về chủ đầu tư, thông tin về mua sắm hàng hóa, giá cả, yêu cầu về chủng loại, kỹ thuật để các nhà thầu tìm hiểu trong quá trình đấu thầu hoặc khi cần tham khảo

- Phối hợp với Ban Cơ yếu Chính phủ trong việc đăng ký chữ ký số để

sử dụng trong các hoạt động giao dịch điện tử trong đấu thầu qua mạng

b Các nhà thầu tham gia đấu thầu cung cấp hàng hoá

- Là các tổ chức, cá nhân tham gia cung cấp hàng hóa cho các cơ quan nhà nước bằng phương thức đấu thầu qua mạng đấu thầu của Chính phủ

- Các nhà thầu phải đăng ký tham gia vào hệ thống đấu thầu mua sắm hàng hóa của Chính phủ và tuân thủ các điều kiện và yêu cầu về trình

tự, thủ tục đấu thầu theo Luật đấu thầu và văn bản hướng dẫn thi hành của Chính phủ về đấu thầu mua sắm hàng hóa qua mạng

- Các nhà thầu phải đăng ký chứng thực chữ ký số tại Cơ quan có thẩm quyền do Bộ Thông tin và Truyền thông cấp phép và bảo đảm giá trị pháp lý về các giao dịch điện tử theo hướng dẫn của Bộ Thông tin và Truyền thông

- Các nhà thầu phải cung cấp thông tin cho Cơ quan vận hành mạng đấu thầu mua sắm và đăng tải công khai các thông tin: giới thiệu về nhà thầu, các hồ sơ pháp lý về nhà thầu, năng lực tài chính – kỹ thuật, giới thiệu về các sản phẩm hàng hóa(chủng loại, chất lượng, giá cả, bảo hành, hỗ trợ khách hàng ) và các điều kiện thương mại có liên quan trên mạng đấu thầu mua sắm của Chính phủ

1.3.3 Mô hình chức năng hệ thống đấu thầu qua mạng

Với hạ tầng công nghệ thông tin hiện tại ở Việt Nam, thì các quy trình và thủ tục đấu thầu mua sắm hàng hóa qua mạng có thể áp dụng TMĐT đối với một số thủ tục trong giai đoạn triển khai 2008 đến 2015

Mô hình các quy trình thủ tục mua sắm hàng hóa qua mạng tại việt nam như sau:

a) Chu trình mua sắm hàng hóa, dịch vụ, xây lắp

Tại Việt Nam, giai đoạn đấu thầu hiện tại chỉ được coi như một phần trong dự án, tuy nhiên, một hệ thống đấu thầu qua mạng theo chuẩn mực quốc

tế phải được thực hiện qua tuần tự các bước như sau:

Hình 1.4 Chu trình đấu thầu qua mạng điển hình

Trong đó:

Bước chuẩn bị: Bao gồm các công việc từ khi phát sinh nhu cầu mua

sắm, lên kế hoạch mua sắm, quyết định mua sắm

Bước lựa chọn nhà thầu: Bước lựa chọn nhà thầu có thể thông qua

một trong các hình thức là đấu thầu hoặc mua sắm trực tiếp, hai hình thức này

áp dụng với đối tượng hàng hóa khác nhau nhằm mục đích để lựa chọn ra nhà cung cấp hàng hóa, dịch vụ hoặc xây lắp phù hợp để tiến hành ký hợp đồng mua bán

Bước thực hiện hợp đồng: Bao gồm các công việc thực hiện hợp đồng

đối với bên bán và giám sát thực hiện hợp đồng đối với bên mua để đảm bảo hợp đồng được thực hiện đúng chất lượng và tiến độ quy định như trong hợp đồng

Bước Thanh toán: Sau khi hoàn tất các hạng mục công việc theo hợp

đồng, hai bên sẽ tiến hành nghiệm thu và thanh toán

b) Mô hình chức năng đấu thầu qua mạng

Các thành phần tương tác với hệ thống đấu thầu qua mạng:

- Bên bán: là bên cung cấp hàng hóa, dịch vụ và xây lắp Bên bán được gọi là nhà thầu khi tham gia vào một gói thầu

- Bên mua: là các đơn vị sử dụng ngân sách nhà nước trong mua sắm công Bên mua được gọi là Chủ đầu tư là người sở hữu vốn hoặc được giao trách nhiệm thay mặt chủ sở hữu trực tiếp quản lý và thực hiện dự

án mua sắm

- Bộ phần vận hành hệ thống: Là bộ phần quản lý vận hành hệ thống đấu thầu qua mạng

Hệ thống đấu thầu qua mạng hay hệ thống ứng dụng TMĐT trong mua sắm công cũng phải đảm bảo đáp ứng được các yêu cầu chức năng như trong chu trình mua sắm như trên, do đó hệ thống đấu thầu qua mạng có 4 phân hệ chức năng chính sau đây:

- Phân hệ đấu thầu qua mạng (e-Tendering)

- Phân hệ quản lý hợp đồng qua mạng (e-Contracting)

- Phân hệ mua bán qua mạng (e-Shopping)

- Phân hệ thanh toán qua mạng (e-Payment)

Hình 1.5 Mô hình chức năng hệ thống đấu thầu qua mạng

Trong đó lần lượt các phân hệ có các chức năng sau:

Phân hệ đấu thầu qua mạng:

- Đăng ký người dùng và phát hành chứng chỉ chữ ký số: Cho phép đăng

ký sử dụng hệ thống, cấp phát định danh, mật khẩu và phát hành chứng chỉ chữ ký số cho tất cả người dùng trong hệ thống

- Chức năng chuẩn bị đấu thầu qua mạng

- Chức năng nộp hồ sơ dự thầu qua mạng

- Chức năng mở thầu qua mạng

- Chức năng đánh giá hồ sơ dự thầu qua mạng

- Chức năng công bố kết quả đấu thầu qua mạng

- Chức năng tìm kiếm thông tin đấu thầu qua mạng

- Chức năng quản lý nhà thầu

Phân hệ quản lý hợp đồng:

- Chức năng soạn thảo hợp đồng

- Chức năng xem xét hợp đồng: Cho phép các bên xem xét lại các điều khoản của hợp đồng, chỉnh sửa nội dung trong hợp đồng để thống nhất hợp đồng thông qua môi trường mạng

- Chức năng ký kết hợp đồng: Cho phép kiểm tra các điều khoản bảo đảm thực hiện hợp đồng và ký kết hợp đồng qua mạng

- Quản lý thực hiện hợp đồng: Cho phép kiểm tra giám sát quá trình thực hiện hợp đồng qua môi trường mạng

Phân hệ mua bán qua mạng (e-Shopping)

- Chức năng tìm kiếm hàng hóa qua mạng: Cho phép các đơn vị thực hiện mua sắm công tìm kiếm chủng loại hàng hóa, giá cả và các thông tin chi tiết về hàng hóa

- Chức năng đăng ký hàng hóa:

o Chức năng đăng ký, xóa, duyệt danh mục các loại hàng hóa cần mua qua mạng

o Chức năng đăng tải hình ảnh, tài liệu đính kèm và các thông tin cần thiết cho các sản phẩm (e-Catalogue)

o Chức năng duyệt mua các sản phẩm đăng ký

- Chức năng yêu cầu gửi hàng: Các đơn vị thực hiện mua sắm công lựa chọn nhà cung cấp, đăng ký số lượng và yêu cầu gửi hàng

- Chức năng quản lý gửi hàng: Quản lý các hàng hóa được gửi

Phân hệ thanh toán qua mạng

- Chức năng quản lý nhận/kiểm tra:Chức năng cho phép kiểm tra tiến độ thực hiện Hợp đồng/Đơn hàng như đã thực hiện hay chưa, đang thực hiện hay đã hoàn thành

- Chức năng quản lý thanh toán trong quá trình thực hiện hoặc sau khi hoàn thành thực hiện Hợp đồng/Đơn hàng

o Quản lý yêu cầu thành toán

o Quản lý dóa đơn thanh toán trong quá trình thực hiện hoặc sau khi hoàn thành thực hiện Hợp đồng/Đơn hàng

o Tích hợp với các hệ thống thông tin tài chính, kiểm tra các loại thuế liên quan

- Quản lý việc hoàn tiền: Quản lý việc hoàn trả tiền trong trường hợp giá thực hiện Hợp đồng/Đơn hàng thay đổi

1.3.4 Mô hình phân lớp của hệ thống đấu thầu qua mạng

Kiến trúc hệ thống đấu thầu qua mạng được thể hiện theo mô hình phân lớp như hình dưới:

LỚP GIAO DIỆN NGƯỜI DÙNG

LỚP XỬ LÝ NGHIỆP VỤ

LỚP CƠ SỞ DỮ LIỆU

BÊN BÁN

HỆ THỐNG ĐẤU THẦU QUA MẠNG

Hình 1.6 Mô hình phân lớp hệ thống đấu thầu qua mạng

Qua đó, kiến trúc của hệ thống bao gồm ba lớp là: Lớp giao diện người dùng, Lớp xử lý nghiệp vụ và cuối cùng là lớp cơ sở dữ liệu Chi tiết các phân lớp và tương tác với nhau thể hiện trong hình dưới

Hạ tầng Công nghệ thông tin và dịch vụ web

ĐẤU THẦU QUA MẠNG

Hình 1.7 Mô hình chi tiết hệ thống đấu thầu qua mạng

Lớp giao tiếp người dùng: Hỗ trợ giao tiếp giữa hệ thống mua sắm

qua mạng với các đối tượng sử dụng hệ thống như Bên bán (Nhà thầu), Bên mua (Chủ đầu tư), và Bộ phận vận hành hệ thống, các đối tượng giao tiếp với

hệ thống được mã hóa bảo mật bằng mã hóa SSL và chứng thực sử dụng chứng chỉ chữ ký số Lớp giao tiếp với người dùng bao gồm các thành phần chức năng sau:

- Cổng thông tin điện tử (Portal): Hỗ trợ tất cả các tính năng của cổng

thông tin (quản lý tài liệu, nội dung, làm việc nhóm, thông báo) cho người dùng hoặc nhóm người dùng để họ tương tác với các chức năng được hệ thống cấp phép theo vai trò

- Module đăng ký người dùng: Quản lý đăng ký người dùng cho phép

đăng ký sử dụng hệ thống, cấp phát định danh, mật khẩu và phát hành chứng chỉ chữ ký số cho tất cả người dùng trong hệ thống

- Giao diện cá nhân hóa cho người dùng/nhóm người dùng: Tính năng

cá nhân hóa giao diện của cổng thông tin cho người dùng

- Bảo mật/ chứng thực/ Quản lý luồng công việc: Thực hiện chức năng

bảo mật, chứng thực và quản lý luồng công việc của toàn bộ hệ thống với các đối tượng sử dụng như trên

Lớp xử lý nghiệp vụ: Là lớp ứng dụng xử lý tất cả các nghiệp vụ trong

hệ thống mua sắm qua mạng bao gồm các thành phần chức năng chính:

- Đấu thầu qua mạng: Thực hiện tất cả các nghiệp vụ về đấu thầu trên

môi trường mạng

- Quản lý hợp đồng qua mạng: Chức năng quản lý các nghiệp vụ về

thương thảo hợp đồng, ký kết và thực hiện hợp đồng trên môi trường mạng

- Mua bán qua mạng: Chức năng thực hiện việc mua sắm hàng hóa trên

môi trường mạng

- Thanh toán qua mạng: Chức năng thực hiện các giao dịch thanh toán

trên môi trường mạng

Lớp cơ sở dữ liệu: Là lớp trong cùng nơi chứa cơ sở dữ liệu của toàn

bộ hệ thống phục vụ cho việc xác thực người dùng, dữ liệu cho các nghiệp vụ ứng dụng ở trên Đối với hệ thống đấu thầu qua mạng, lớp CSDL tối thiểu phải có những thành phần dữ liệu sau:

- CSDL về các văn bản quy phạm pháp luật về đấu thầu;

- CSDL về các văn bản quy phạm pháp luật về TMĐT;

- CSDL về hàng hoá;

- CSDL về chủ đầu tư, bên mời thầu;

- CSDL về nhà thầu;

- CSDL về Dự án, Kế hoạch đấu thầu, Thông báo mời thầu, …

…

1.3.5 Lộ trình triển khai hệ thống đấu thầu qua mạng

Như trên đã trình bày, dự án “Ứng dụng TMĐT trong mua sắm

công” phục vụ việc triển khai hoạt động mua sắm công qua mạng nhằm đảm

bảo các quá trình đấu thầu trong mua sắm công được công khai, minh bạch, cạnh tranh và hiệu quả kinh tế Dự án có các mục tiêu tổng quát theo lộ trình

từ nay đến 2015 như sau:

- Xây dựng hệ thống văn bản pháp lý về hoạt động đấu thầu qua mạng tại Việt nam nhằm tạo ra môi trường pháp lý thuận lợi thúc đẩy ứng dụng TMĐT vào quá trình đấu thầu mua sắm công

- Xây dựng và kiện toàn bộ máy quản lý đấu thầu qua mạng, quy trình đấu thầu qua mạng, các quy định liên quan phục vụ cho công tác đấu thầu qua mạng tại Việt nam

- Đảm bảo các điều kiện về hạ tầng, cơ sở vật chất phục vụ quá trình triển khai ứng dụng đấu thầu qua mạng

- Triển khai hệ thống nghiệp vụ đấu thầu qua mạng gồm các modul : eTendering, eShopping, eContract, ePayment cũng như các hệ thống giá trị gia tăng trên hệ thống này Sẵn sàng kết nối và tích hợp với các

hệ thống quản lý khác của Chính phủ điện tử Việt nam

- Triển khai xây dựng tổ chức đào tạo nghiệp vụ đầu thầu qua mạng cho các cơ quan quản lý đấu thầu, các chủ đầu tư và cộng đồng các doanh nghiệp tham gia hệ thống đấu thầu qua mạng

- Triển khai các chương trình nâng cao nhận thức với cộng đồng trong và ngoài nước về hệ thống đấu thầu điện tử tại Việt nam

Để đạt được các mục tiêu trên, lộ trình triển khai từ nay đến 2015 chi thành 2 giai đoạn như sau:

Giai đoạn 1 (từ 2008 – 2010) với các mục tiêu cụ thể như sau:

- Về các cơ sở pháp lý: Hoàn thiện hệ thống cơ sở pháp lý để thực hiện

mô hình thí điểm bao gồm: Quyết định của Thủ tướng đồng ý cho phép thực hiện thí điểm đấu thầu qua mạng, hướng dẫn của Bộ kế hoạch đầu

tư về quy trình đấu thầu qua mạng, phân cấp các bên tham gia, Quyết định của Bộ KHĐT về hình thành đơn vị tổ chức vận hành đấu thầu qua mạng,

- Về quy trình đấu thầu: xây dựng quy trình chi tiết đấu thầu qua mạng cho giai đoạn thử nghiệm

- Về hạ tầng thông tin phục vụ công tác đấu thầu qua mạng bao gồm

o Xây dựng một trung tâm dữ liệu hiện đại đảm bảo phục vụ trước mắt và lâu dài các hoạt động đấu thầu qua mạng

o Xây dựng và áp dụng hệ thống chứng thực số (CA) và chữ ký số nhằm đảm bảo việc bảo mật dữ liệu cho viê ̣c thực hiê ̣n ở mức giao di ̣ch trong TMĐT Hệ thống này sẽ phối hợp chặt chẽ với

Bộ Thông tin và Truyền thông để đưa vào ứng dụng hệ thống Root CA của quốc gia tại Bộ Kế hoạch và Đầu tư để phục vụ công tác chứng thực cho hoạt động mua sắm công Nó giúp đẩy mạnh việc sử dụng chữ ký số và dịch vụ chứng thực chữ ký số trong công tác mua sắm qua mạng

o Xây dựng cổng thông tin điện tử phục vụ đấu thầu qua mạng (Portal) nhằm cung cấp thông tin về đầu thầu của Chính phủ trên mạng Internet; đồng thời đáp ứng yêu cầu truy xuất thông tin phục vụ quá trình đấu thầu qua mạng

o Trang bị một số các thiết bị, phương tiện khác phục vụ công tác triển khai và vận hành đấu thầu qua mạng

- Về thực hiện đấu thầu qua mạng, sẽ triển khai mô hình thử nghiệm Tendering với 3 đơn vị là EVN, VNPT và Hà Nội Hệ thống thử nghiệm bao gồm 7 chức năng:

e Về tiếp thu và chuyển giao công nghệ: trong phạm vi giai đoạn thử nghiệm sẽ kết hợp với dự án KoiCa để tiếp nhận công nghệ đấu thầu qua mạng Phía Việt Nam phải đảm bảo tiếp nhận toàn bộ kiến thức công nghệ bao gồm kiến trúc, tổ chức dữ liệu, phân tích thiết kế hệ thống, mã nguồn để đảm bảo khả năng làm chủ và phát triển hệ thống

- Về đào tạo bao gồm đào tạo đội ngũ vân hành hệ thống và đào tạo sử dụng hệ thống cho các cơ quan và doanh nghiệp

- Thực hiện công tác truyền thông nâng cao nhận thức của xã hội, đặc biệt của các cơ quan nhà nước và doanh nghiệp về lợi ích, hiệu quả của đấu thầu qua mạng

Giai đoạn 2 (từ 2010 – 2015): Mở rộng phạm vi áp dụng cho toàn quốc,

triển khai thêm các modul eShopping, eContract và ePayment

Chương 2 - TỔNG QUAN VỀ HẠ TẦNG CƠ SỞ MẬT

MÃ KHOÁ CÔNG KHAI

_

2.1 VẤN ĐỀ ĐẢM BẢO AN TOÀN THÔNG TIN

TMĐT đã và đang trở thành hình thức giao dịch trao đổi trong thế kỷ

21 TMĐT không chỉ giải quyết những yêu cầu thiết yếu, cấp bách trên các lĩnh vực như hệ thống giao dịch hàng hoá, điện tử hoá tiền tệ và phương án an toàn thông tin , mà hoạt động thực tế của nó còn tạo ra những hiệu quả và lợi ích mà mô hình phát triển của thương mại truyền thống không thể sánh kịp (ví

dụ, trường hợp hiệu sách Amazon, trang web đấu giá eBay) Tuy nhiên, khi một đối thủ cạnh tranh có thể truy nhập trái phép vào các thông tin trong quá

trình giao dịch thì hậu quả sẽ rất nghiêm trọng Có thể nói trong TMĐT thì các mối quan tâm về an toàn thông tin luôn phải được đặt lên hàng đầu

Dự án đấu thầu điện tử thực chất là việc Ứng dụng TMĐT trong mua sắm công, vì vậy vấn đề an toàn trong hệ thống mạng đấu thầu điện tử, ngoài những yêu cầu bảo mật đặc thù đối với công tác đấu thầu, còn lại chính là các vấn đề an toàn trong TMĐT nói chung Trước hết, ta xem xét vấn đề an toàn trong phạm vi TMĐT và đưa ra một cái nhìn tổng quan đồng thời nêu lên các giải pháp khắc phục

Theo các chuyên gia, an toàn máy tính được chia thành 3 loại sau: loại

đảm bảo tính bí mật (secrecy), loại đảm bảo tính toàn vẹn (integrity) và loại bảo đảm tính sẵn sàng (availability) Trong đó:

- Tính bí mật ngăn chặn việc khám phá trái phép dữ liệu và đảm bảo xác thực nguồn gốc dữ liệu

- Tính toàn vẹn ngăn chặn sửa đổi trái phép dữ liệu

- Tính sẵn sàng ngăn chặn, không cho phép làm trễ dữ liệu và chống chối

bỏ

Để bảo vệ các tài sản TMĐT, cần có các chính sách an toàn phù hợp, trong đó phải công bố những tài sản cần được bảo vệ và tại sao phải bảo vệ chúng, người chịu trách nhiệm bảo vệ, hoạt động nào được hoặc không được chấp nhận

Một chính sách an toàn bao gồm những yếu tố đặc trưng sau:

- Tính xác thực: Phải nhận diện được ai là người đang cố gắng truy

nhập?

- Khả năng kiểm soát truy nhập: Quy định ai là người được phép truy

nhập?

- Tính bí mật: Ai là người được phép xem các thông tin có chọn lọc?

- Tính toàn vẹn dữ liệu: Quy định ai là người được (không được) phép

thay đổi dữ liệu?

- Kiểm toán: Thống kê được tác nhân gây ra các biến cố, biến cố gì, xảy

ra khi nào?

2.2.1 Các hiểm hoạ đối với TMĐT

Để nhận diện một cách toàn diện những nguy cơ có thể xẩy ra đối với TMĐT, ta hãy xem xét quy trình thực hiện: bắt đầu với khách hàng, qua môi trường mạng và kết thúc với máy chủ Như vậy, một cách tự nhiên có thể thấy rằng các nguy cơ có thể đến từ những điểm như máy khách, kênh truyền thông, và máy chủ phục vụ

2.2.1.1 Đối với máy khách

Nguy cơ bị tấn công thường đến từ một chương trình ẩn trong các chương trình khác hoặc trong các trang Web mà máy khách này truy cập (gọi

là con ngựa Tơ roa) Bằng cách này, nó có thể thâm nhập vào máy khách và gửi các thông tin bí mật ngược trở lại đối tượng nào đó (xâm phạm tính bí mật) Thậm chí, nguy hiểm hơn, nó có thể sửa đổi và xoá bỏ thông tin trên máy khách đó (xâm phạm tính toàn vẹn)

2.2.1.2 Đối với kênh truyền thông

Kênh truyền thông được sử dụng để kết nối các máy khách và máy chủ , trong TMĐT, kênh truyền thông chủ yếu là internet)

Như ta đã biết, các thông điệp trên Internet được gửi đi theo một đường dẫn ngẫu nhiên, từ nút nguồn tới nút đích Không có gì đảm bảo rằng tất cả các máy tính mà thông báo đi qua trên Internet đều tin cậy, an toàn Vì không thể kiểm soát được đường dẫn và vị trí các gói của thông báo, những đối tượng trung gian có thể đọc, sửa đổi, hoặc thậm chí có thể loại bỏ hoàn toàn các thông báo ra khỏi Internet Và như vậy, tính bí mật, tính toàn vẹn và tính sẵn sàng bị vi phạm Sau đây, NVLV sẽ trình bày chi tiết các mối hiểm hoạ đối với an toàn kênh trên Internet dựa vào sự phân loại này

Các mối hiểm hoạ đối với tính bí mật, tính riêng tư

Xâm phạm tính bí mật và tính riêng tư là hai trong những mối hiểm hoạ hàng đầu và rất phổ biến Tính bí mật và tính riêng tư là hai vấn đề khác nhau Đảm bảo bí mật là ngăn chặn khám phá trái phép thông tin Đảm bảo tính riêng tư là bảo vệ các quyền cá nhân trong việc chống khám phá

Một trong những phương pháp xâm phạm tính bí mật là sử dụng một phần mềm đặc biệt, gọi là chương trình đánh hơi (sniffer) tức là đưa ra các cách móc nối vào Internet và ghi lại các thông tin đi trên đường đi từ nguồn tới đích

Các hiểm hoạ đối với tính toàn vẹn

Mối hiểm hoạ đối với tính toàn vẹn là khi một thành viên trái phép có thể sửa đổi các thông tin trong một thông báo

Giả mạo (Masquerading) hoặc đánh lừa (spoofing) là một trong những cách phá hoại Web site Ví dụ, bằng cách sử dụng kẽ hở trong hệ thống tên miền (DNS), hacker có thể thay thế vào đó các địa chỉ Web site giả của chúng Khi đó khách hàng sẽ gửi thông tin về giao dịch (trong đó chứa nhiều thông tin quan trọng như mật khẩu, tài khoản, ) của mình đến website giả mạo kia

Các hiểm hoạ đối với tính sẵn sàng

Mục đích của việc xâm phạm tính sẵn sàng là phá vỡ quá trình xử lý thông thường của máy tính, hoặc chối bỏ toàn bộ quá trình xử lý Một máy tính khi vấp phải hiểm hoạ này, quá trình xử lý của nó thường bị chậm lại với một tốc độ khó chấp nhận

Các tấn công chối bỏ có thể xoá bỏ toàn bộ hoặc loại bỏ một phần các thông tin trong một file hoặc một cuộc liên lạc

2.2.1.3 Các mối hiểm hoạ đối với máy chủ

Máy chủ là liên kết thứ 3 trong bộ ba máy khách - Internet - máy chủ (Client – Internet – Server), bao gồm đường dẫn TMĐT giữa một người sử dụng và một máy chủ thương mại

Một trong những hiểm hoạ lớn nhất là lộ file chứa mật khẩu và tên người dùng của máy chủ Web Bên cạnh đó là khả năng dễ bị lộ mật khẩu khi người sử dụng đặt mật khẩu theo một số quy luật hoặc dùng thông tin về những người thân của mình làm mật khẩu

Tiếp đến là hiểm hoạ đối với CSDL được lưu trữ trên máy chủ, hầu hết các hệ thống cơ sở dữ liệu có quy mô lớn và hiện đại sử dụng các đặc tính an toàn cơ sở dữ liệu dựa vào mật khẩu và tên người dùng Tính bí mật luôn sẵn sàng trong các cơ sở dữ liệu, thông qua các đặc quyền được thiết lập trong cơ

sở dữ liệu Một trong những mối đe doạ là thực hiện giáng cấp các thông tin quan trọng (tức là đưa những thông tin quan trọng ra ngoài vùng ít được bảo

vệ, khi đó người dùng bình thường cũng có thể truy cập những thông tin này)

Như vậy có thể nói, an toàn TMĐT vô cùng quan trọng Để thực thi an toàn cho TMĐT, chúng ta phải bảo vệ cả 3 thành phần có thể bị xâm phạm ở trên

Việc bảo vệ các máy khách có thể thực hiện thông qua việc nhúng Chứng chỉ số vào trong các thông báo hoặc một trang Web nào đó Khi một chương trình được tải xuống có chứa một chứng chỉ số, nó nhận dạng nhà phát hành phần mềm và thông báo thời hạn hợp lệ của chứng chỉ

Để thực thi an toàn cho kênh truyền thông, trước hết phải cung cấp tính riêng tư cho các giao dịch Để thực thi yêu cầu này, không gì tốt hơn là sử

dụng các phương pháp mã hoá

Chi tiết về mã hoá NVLV xin trình bày ở chương sau Hiện nay có một

số thuật toán mã hoá và giải mã thường được sử dụng như DES, 3DES, AES, ECC, IDEA, RC5, RC6, RSA, SHA1, và digest (Hash)

Một máy chủ hoặc trình duyệt an toàn sử dụng một hoặc nhiều thuật toán này khi nó mã hoá thông tin Câu hỏi ở đây là Tại sao có nhiều hơn một thuật toán? Liệu một thuật toán có thể thoả mãn tất cả các yêu cầu an toàn không? Lý do là các thuật toán khác nhau có độ mạnh khác nhau và cần thay đổi cho phù hợp với yêu cầu cũng như năng lực tính toán của các máy tính ngày nay

Ngoài biện pháp mã hoá ở trên, có thể sử dụng các giao thức truyền thông an toàn như giao thức Secure Socket Layer (SSL) của Netscape và giao thức truyền siêu văn bản an toàn (S-HTTP) của CommerceNet Đây là hai giao thức cho phép truyền thông tin an toàn qua Internet SSL và SHTTP cho phép các máy khách và máy chủ quản lý các hoạt động mã hoá và giải mã trong một phiên Web an toàn

SSL đảm bảo kết nối an giữa hai máy tính, S-HTTP gửi các thông báo riêng lẻ an toàn Việc mã hoá các thông báo gửi đi và giải mã các thông báo nhận diễn ra tự động và trong suốt đối với cả SSL và S-HTTP SSL làm việc

ở tầng vận tải (transportation), còn S-HTTP làm việc ở tầng ứng dụng (Application)

SSL cung cấp một bắt tay (thoả thuận ban đầu, còn gọi là thủ tục handshake) an toàn, trong đó các máy khách và máy chủ trao đổi một khối dữ liệu ngắn gọn các thông báo Trong các thông báo này, máy khách và máy chủ thoả thuận mức an toàn được sử dụng để trao đổi các chứng chỉ số Mỗi máy luôn luôn phải nhận dạng được máy kia Các máy khách và máy chủ nên

có chứng chỉ hợp lệ khi tiến hành kinh doanh Sau khi nhận dạng, SSL mã hoá và giải mã luồng thông tin giữa hai máy Điều này có nghĩa là thông tin trong yêu cầu HTTP và đáp ứng HTTP đều được mã hoá.Tất cả truyền thông (giữa các máy khách và các máy chủ sử dụng SSL) được mã hoá Khi SSL mã hoá tất cả dòng thông tin giữa máy khách và máy chủ, đối tượng nghe trộm chỉ có thể nhận được các thông tin không thể hiểu được

Do SSL nằm ở đỉnh tầng TCP/IP của giao thức Internet, SSL có thể đảm bảo các kiểu truyền thông khác nhau giữa các máy tính, bổ xung thêm cho HTTP Ví dụ, SSL có thể đảm bảo các phiên FTP, cho phép đưa lên hoặc tải xuống một cách riêng lẻ các tài liệu nhạy cảm, các bảng tính và các dữ liệu điện tử khác SSL có thể đảm bảo các phiên Telnet an toàn, trong đó người sử dụng máy tính từ xa có thể đăng nhập vào các máy host của công ty hoặc gửi

đi mật khẩu và tên người sử dụng Giao thức (thực hiện SSL) là một phiên bản an toàn của HTTP, được gọi là HTTPS

SSL có hai độ dài là 40 bít và 128 bít Chúng chỉ ra độ dài của khoá phiên riêng, được sinh ra cho mọi giao dịch có mã hoá Thuật toán mã hoá sử dụng khoá phiên để tạo ra văn bản mã (từ văn bản rõ) trong một phiên giao dịch an toàn Khi phiên giao dịch kết thúc, các khoá phiên bị loại bỏ hoàn toàn, không tái sử dụng cho các phiên giao dịch tiếp theo

Tuy nhiên, giao thức truyền thông an toàn SSL có nhiều lỗ hổng mà một hacker hoặc kẻ phá hoại có thể lợi dụng Chẳng hạn, SSL thực hiện việc bắt tay rất chậm, làm cho hacker có thể lợi dụng lỗ hổng này để ăn cắp tin SSL khi dùng độ dài khoá là 40 bits thì quá ngắn, không đủ đảm bảo an toàn cho các thông điệp Ngoài ra chúng ta còn không biết được còn có “cửa sập” nào nữa không vì đó là chuẩn của Mỹ

Sau đây, chúng ta có thể xem xét cách SSL làm việc Chú ý rằng, SSL phải xác thực site thương mại (tối thiểu) và mã hoá mọi cuộc truyền giữa 2 máy tính Khi trình duyệt của một máy khách đến một Web site bí mật của một máy chủ, máy chủ gửi một lời chào tới trình duyệt Trình duyệt đáp lại bằng một lời chào Việc tiến hành trao đổi lời chào, hoặc bắt tay cho phép 2 máy tính quyết định các chuẩn mã hoá và nén (mà chúng cùng hỗ trợ) Tiếp theo, trình duyệt (bên máy khách) yêu cầu máy chủ đưa ra một chứng chỉ số, giống như việc yêu cầu nhận dạng ảnh: "Chứng minh cho tôi biết anh có phải

là www.gateway.com hay không?" Đáp lại, máy chủ gửi cho trình duyệt một chứng chỉ Một CA (được công nhận) đã ký chứng chỉ này Trình duyệt kiểm tra chữ ký số có trên chứng chỉ của máy chủ, dựa vào khoá công khai của CA, khoá này được lưu giữ trong trình duyệt

Hoạt động này xác thực máy chủ thương mại Máy khách và máy chủ thoả thuận rằng mọi trao đổi phải được giữ bí mật Để thực hiện bí mật, SSL

sử dụng mã hoá khoá công khai (không đối xứng) và mã hoá khoá riêng (đối xứng) Mã hoá khoá công khai dễ sử dụng nhưng chậm hơn rất nhiều so với

mã hoá khoá riêng Đó chính là lý do tại sao SSL sử dụng mã hoá khoá riêng cho hầu hết các cuộc truyền thông an toàn của mình Máy khách và máy chủ chia sẻ một khoá riêng cho nhau như thế nào để đối tượng nghe trộm không thể phát hiện được? Câu trả lời là trình duyệt sinh ra một khoá riêng dùng chung cho cả hai Sau đó, trình duyệt mã hoá khoá riêng bằng khoá công khai của máy chủ Khoá công khai của máy chủ được lưu giữ trong chứng chỉ số, máy chủ gửi chứng chỉ này cho trình duyệt trong quá trình xác thực Một khi khoá được mã hoá, trình duyệt gửi nó cho máy chủ Ngược lại, máy chủ giải

mã thông báo bằng khoá riêng của nó và tìm ra khoá riêng dùng chung Tất cả các thông báo giữa máy khách và máy chủ được mã hoá bằng khoá riêng dùng chung (cũng được biết đến như là một khoá phiên)

Sau khi kết thúc phiên giao dịch, khoá phiên bị huỷ bỏ Một kết nối mới (giữa một máy khách và một máy chủ bí mật) lại bắt đầu tương tự Tuỳ thuộc vào những gì đã thoả thuận, máy khách và máy chủ có thể sử dụng mã

40 bít hoặc 128 bit Thuật toán mã hoá có thể là DES, hoặc RSA

Máy khách và máy chủ có thể thoả thuận trước việc sử dụng kết hợp các thuật toán Sau quá trình bắt tay, máy khách và máy chủ trao đổi khoá riêng với nhau và khoá này được sử dụng để mã hoá thông tin trong thời gian còn lại của phiên giao dịch an toàn

Yêu cầu tiếp theo của việc thực thi an toàn cho kênh truyền thông là đảm bảo tính toàn vẹn của dữ liệu được truyền trên internet Để làm được việc này, cần có các biện pháp để đối tượng muốn xâm nhập nhận ra rằng việc sửa đổi thông báo là rất khó và tốn kém Hiện đã có các kỹ thuật an toàn cho phép người nhận phát hiện mọi sửa đổi trên thông báo

Để pháp hiện một thông báo có bị sửa đổi hay không, có thể dùng các thuật toán băm là các hàm một chiều, có nghĩa là, rất khó để chuyển đổi từ giá trị băm ngược trở lại thông báo ban đầu Khi đó bằng việc so sánh giá trị băm này với giá trị băm khác ta có thể phát hiện sự sai khác giữa chúng MD5 là một ví dụ về thuật toán băm, nó được sử dụng rộng rãi trong TMĐT an toàn Một thuật toán băm có các đặc điểm như sau: nó sử dụng khoá không bí mật, tóm lược thông báo mà nó tạo ra không thể chuyển ngược lại thông tin ban đầu Để truyền một thông báo, trước hết tính toán giá trị băm của thông báo này và gắn kèm vào thông báo Tại nơi nhận, người nhận tính toán tóm lược của thông báo nhận được, so sánh nó với tóm lược thông báo đi kèm và biết được thông báo có bị sửa đổi hay không

Tuy nhiên, ở đây cũng nảy sinh một vấn đề khác Do thuật toán băm được biết rộng rãi và công khai, bất kỳ ai cũng có thể chặn lấy một đơn đặt hàng, sửa đổi địa chỉ gửi hàng và số lượng hàng yêu cầu, tạo ra một tóm lược mới, gửi thông báo (đã bị sửa đổi) cùng với tóm lược mới cho một thương gia Thương gia tính toán tóm lược của thông báo nhận được, so sánh tóm lược này với tóm lược đính kèm và thấy chúng trùng khớp Thương gia tin rằng thông báo nhận được chính là thông báo ban đầu Để ngăn chặn kiểu gian lận này, người gửi mã hoá tóm lược thông báo bằng khoá riêng của mình

Chữ ký số là tóm lược thông báo được mã hoá Đơn đặt hàng có đi kèm chữ ký số cung cấp nhận dạng xác thực người gửi và đảm bảo thông báo không bị sửa đổi Một chữ ký cung cấp tính toàn vẹn thông báo và xác thực máy khách như thế nào? Khi tóm lược thông báo được mã hoá nhờ dùng các

kỹ thuật khoá công khai, có nghĩa là chỉ người chủ sở hữu của cặp khoá công khai/khoá riêng mới có thể mã hoá tóm lược thông báo Vì vậy, khi thương gia giải chữ ký số bằng khoá công khai, tính toán tóm lược của thông báo

nhận được, sự trùng khớp của các tóm lược thông báo là kết quả chứng minh tính đích thực của người gửi

Thành phần cần thực thi an toàn cuối cùng nhưng rất quan trọng đó là các máy chủ thương mại Các biện pháp áp dụng chủ yếu là Kiểm soát truy nhập và xác thực

Kiểm soát truy nhập và xác thực nhằm kiểm soát ai và cái gì truy nhập vào máy chủ thương mại Xác thực là kiểm tra nhận dạng của thực thể muốn truy nhập vào máy tính thông qua các chứng chỉ số Khi máy chủ yêu cầu nhận dạng rõ ràng một máy khách và người sử dụng của nó, máy chủ yêu cầu máy khách gửi cho nó một chứng chỉ Máy chủ có thể xác thực người sử dụng theo nhiều cách Thứ nhất, nếu máy chủ không thể giải mã chữ ký số (có trong chứng chỉ) bằng cách sử dụng khoá công khai, điều này chứng tỏ rằng chứng chỉ không có nguồn gốc từ người sở hữu tin cậy Thủ tục này ngăn chặn, không cho phép các chứng chỉ gian lận chui vào một máy chủ an toàn Thứ hai, máy chủ kiểm tra tem thời gian (có trên chứng chỉ) để đảm bảo rằng chứng chỉ chưa quá hạn Máy chủ sẽ loại bỏ các chứng chỉ đã hết hạn và không cung cấp thêm dịch vụ Thứ ba, máy chủ có thể sử dụng một hệ thống gọi lại, trong đó địa chỉ máy khách và tên người sử dụng được kiểm tra, dựa vào danh sách tên người dùng và địa chỉ máy khách được gán trước

Ngoài ra, để bảo về các máy chủ thương mại có thể sử dụng các bước tường lửa (có thể cả phần cứng và phần mềm) Bức tường lửa có tác dụng như

là một hàng rào giữa một mạng (cần được bảo vệ) và Internet hoặc mạng khác (có khả năng gây ra mối đe doạ) Mạng và các máy tính cần được bảo vệ nằm bên trong bức tường lửa, các mạng khác nằm ở bên ngoài Các bức tường lửa

có các đặc điểm sau đây:

- Tất cả các luồng thông tin từ trong ra ngoài, từ ngoài vào trong đều phải chịu sự quản lý của nó;

- Chỉ có các luồng thông tin được phép (do chính sách an toàn cục bộ xác định) đi qua nó;

- Bức tường lửa tự bảo vệ nó

Các mạng bên trong bức tường lửa được gọi là các mạng tin cậy, các mạng bên ngoài được gọi là các mạng không tin cậy Đóng vai trò như một bộ lọc, bức tường lửa cho phép các thông báo (có chọn lọc) đi vào, hoặc ra khỏi các mạng được bảo vệ Bức tường lửa ngăn chặn, không cho phép truy nhập trái phép vào các mạng bên trong bức tường lửa

Các bức tường lửa hoạt động ở tầng ứng dụng Chúng cũng có thể hoạt động ở tầng mạng và tầng vận tải

Các bức tường lửa được chia thành 3 loại, bao gồm:

- Packet filter firewall (Loại lọc gói) để kiểm tra tất cả các luồng dữ

liệu vào ra, giữa mạng tin cậy và mạng không tin cậy Nó kiểm tra các địa chỉ nguồn và đích, các cổng, từ chối hoặc cho phép các gói vào khi thoả mãn tập các quy tắc được lập trình trước

- Gateway server firewall được sử dụng để lọc các luồng thông tin, tuỳ

thuộc vào ứng dụng mà chúng yêu cầu Gateway server firewall hạn chế truy nhập vào các ứng dụng xác định, chẳng hạn như Telnet, FTP

và HTTP Khác với loại bức tường lửa đã trình bày ở trên, bức tường lửa mức ứng dụng lọc và ghi nhật ký tất cả các yêu cầu Gateway server firewall cung cấp một điểm trung tâm, tất cả các yêu cầu được phân loại, ghi lại và phân tích tại điểm này

- Proxy server firewall (Loại dùng máy uỷ quyền) thay mặt cho mạng

riêng, truyền thông với mạng ngoài

2.2 HỆ MÃ HOÁ

Việc gửi một thông báo qua Internet giống như việc gửi một bưu thiếp qua thư, nó có thể đến được đích nhưng những người chuyển thư có thể đọc bưu thiếp, do đó chỉ có cách mã hoá nó trước khi gửi lên Internet

Mã hoá là quá trình mã các thông tin, bằng cách sử dụng một phương pháp toán học và một khoá bí mật để sinh ra một chuỗi các ký tự khó hiểu Thực chất là việc che dấu các thông báo, chỉ người gửi và người nhận có thể đọc nó Khoa học nghiên cứu mã hoá được gọi là mật mã học

Chương trình chuyển đổi văn bản rõ sang văn bản mã được gọi là chương trình mã hoá Các thông báo được mã hoá ngay trước khi chúng được gửi lên mạng hoặc Internet Khi tới đích hợp lệ, thông báo được giải mã nhờ chương trình giải mã

Các thuật toán hoặc các chương trình mã hoá có tính chất là một người

có thể biết chi tiết chương trình mã hoá nhưng vẫn không có khả năng giải mã thông báo nếu không biết khoá được sử dụng trong quá trình mã hoá Khoá có dài hơn sẽ đảm bảo an toàn tốt hơn Với một khoá đủ dài, các thông báo khó

bị phát hiện

Sau đây NVLV xin trình bày chi tiết các vấn đề liên quan đến mã hoá

dữ liệu, bắt đầu bằng các thuật ngữ và định nghĩa chính tắc của một hệ mật

mã, cũng như các phương pháp mã hoá và các ứng dụng của chúng trong việc đảm bảo an toàn cho TMĐT

2.2.1 Các thuật ngữ

1 Hệ mật mã là tập hợp các thuật toán và các thủ tục kết hợp để che dấu

thông tin cũng như làm rõ nó

2 Mật mã học nghiên cứu mật mã bởi các nhà mật mã học, người viết mật

mã và các nhà phân tích mã

3 Mã hoá là quá trình chuyển thông tin có thể đọc gọi là bản rõ thành thông

tin không thể đọc gọi là bản mã

4 Giải mã là quá trình chuyển ngược lại thông tin được mã hoá thành bản rõ

5 Thuật toán mã hoá là các thủ tục tính toán sử dụng để che dấu và làm rõ

thông tin Thuật toán càng phức tạp thì bản mã càng an toàn

6 Một khoá là một giá trị làm cho thuật toán mã hoá chạy theo cách riêng

biệt và sinh ra bản rõ riêng biệt tuỳ theo khoá Khoá càng lớn thì bản mã kết quả càng an toàn Kích thước của khoá được đo bằng bit Phạm vi các

giá trị có thể có của khoá được gọi là không gian khoá

7 Phân tích mã là quá trình hay nghệ thuật phân tích hệ mật mã mà không

cho trước khoá mã hoặc kiểm tra tính toàn vẹn của nó hoặc phá nó vì những lý do bí mật