1. Trang chủ
  2. » Kinh Tế - Quản Lý

ĐỀ CƯƠNG VÀ DỰ TOÁN CHI TIẾT XÂY DỰNG CHUYÊN MỤC HỖ TRỢ DOANH NGHIỆP VÀ CHUYÊN MỤC CÔNG BỐ THÔNG TIN DOANH NGHIỆP NHÀ NƯỚC TRÊN CỔNG THÔNG TIN ĐIỆN TỬ CỦA UBND TỈNH VĨNH LONG

53 267 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 53
Dung lượng 1,73 MB

Nội dung

Tên hoạt động ứng dụng công nghệ thông tin: Xây dựng Chuyên mục Hỗ trợ Doanh nghiệp và Chuyên mục Công bố thông tinDoanh nghiệp Nhà nước trên Cổng thông tin điện tử của UBND tỉnh Vĩnh Lo

Trang 1

VĂN PHÒNG ỦY BAN NHÂN DÂN TỈNH VĨNH LONG

TRUNG TÂM TIN HỌC

ĐỀ CƯƠNG VÀ DỰ TOÁN CHI TIẾT

XÂY DỰNG CHUYÊN MỤC HỖ TRỢ DOANH NGHIỆP VÀ CHUYÊN MỤC CÔNG BỐ THÔNG TIN DOANH NGHIỆP NHÀ

NƯỚC TRÊN CỔNG THÔNG TIN ĐIỆN TỬ

CỦA UBND TỈNH VĨNH LONG

Lập dự toán

Lê Văn Hậu

GIÁM ĐỐC

Hồ Văn Chính

Trang 2

CÁC TỪ VIẾT TẮT

1. UBND Ủy ban Nhân dân

Trang 3

MỤC LỤC

Phần I: THÔNG TIN CHUNG 4

1 Căn cứ pháp lý: 4

2 Tên hoạt động ứng dụng công nghệ thông tin: 5

3 Tổng mức đầu tư 5

4 Chủ đầu tư 5

5 Địa điểm thực hiện 5

6 Đơn vị tư vấn lập đề cương và dự toán chi tiết 5

7 Loại nguồn vốn: Ngân sách nhà nước 6

8 Dự kiến hiệu quả đạt được 6

Phần II: SỰ CẦN THIẾT ĐẦU TƯ 7

1 Phân tích hiện trạng 7

2 Mục tiêu đầu tư: 11

Phần III: THUYẾT MINH GIẢI PHÁP KỸ THUẬT CÔNG NGHỆ 13

Phần IV: DỰ TOÁN CHI TIẾT 42

1 Căn cứ lập dự toán: 42

2 Tổng mức dự toán 43

3 Chi tiết dự toán 43

Phần V: DỰ KIẾN TIẾN ĐỘ THỰC HIỆN 48

Phần VI: PHƯƠNG ÁN TỔ CHỨC THỰC HIỆN, ĐƯA VÀO VẬN HÀNH, KHAI THÁC 50

1 Kiến nghị về hình thức quản lý dự án: 50

2 Kế hoạch đấu thầu: 51

3 Kết luận và kiến nghị: 53

3

Trang 5

Phần I: THÔNG TIN CHUNG

Luật Công nghệ Thông tin số 67/2006/QH11 của Quốc hội nước Cộng hòa xã hộichủ nghĩa Việt Nam, ban hành ngày 29 tháng 06 năm 2006;

Luật Đấu thầu số 43/2013/QH13 ngày 26 tháng 11 năm 2013;

Nghị định số 63/2014/NĐ-CP ngày 26/06/2014 của Chính phủ quy định chi tiết thihành một số điều của Luật Đấu thầu về lựa chọn nhà thầu;

Nghị định số 102/2009/NĐ-CP ngày 06 tháng 11 năm 2009 của Thủ tướng Chínhphủ về quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhànước;

Nghị định số 43/2011/NĐ-CP ngày 13/6/2011 của Chính phủ quy định việc cungcấp thông tin và dịch vụ công trực tuyến trên Trang thông tin điện tử hoặc Cổng thông tinđiện tử của cơ quan nhà nước;

Thông tư số 26/2009/TT-BTTTT ngày 21/7/2009 của Bộ Thông tin và Truyềnthông Quy định về việc cung cấp thông tin và đảm bảo khả năng truy cập thuận tiện đốivới trang thông tin điện tử của cơ quan nhà nước;

Thông tư số 21/2010/TT-BTTTT ngày 08 tháng 9 năm 2010 của Bộ Thông tin vàTruyền thông Quy định về lập đề cương và dự toán chi tiết đối với hoạt động ứng dụngcông nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước nhưng không yêu cầu phảilập dự án;

Thông tư số 06/2011/TT-BTTTT ngày 28 tháng 02 năm 2011 của Bộ Thông tin vàTruyền thông Quy định về lập và quản lý chi phí đầu tư ứng dụng công nghệ thông tin vàQuyết định số 367/QĐ-BTTTT ngày 18/03/2011 của Bộ Thông tin và Truyền thông vềviệc đính chính thông tư 06/2011/TT-BTTTT;

Thông tư liên tịch số 19/2012/TTLT-BTC-BKH&ĐT-BTTTT ngày 15 tháng 02năm 2012 của Bộ Tài chính, Bộ Kế hoạch và Đầu tư và Bộ Thông tin và Truyền thông vềhướng dẫn quản lý và sử dụng kinh phí thực hiện chương trình Quốc gia về ứng dụngCNTT trong hoạt động của cơ quan Nhà nước;

Thông tư số 22/2013/TT-BTTTT ngày 23 tháng 12 năm 2013 của Bộ Thông tin vàTruyền thông về Công bố danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tintrong cơ quan nhà nước;

Thông tư số 01/2014/TT-BTTTT ngày 20 tháng 02 năm 2014 của Bộ Thông tin vàTruyền thông về việc quy định chi tiết về Quy định chi tiết về ưu tiên đầu tư, mua sắmsản phẩm, dịch vụ công nghệ thông tin sản xuất trong nước sử dụng nguồn vốn ngân sáchnhà nước;

Trang 6

Thông tư số 09/2016/TT-BTC ngày 18 tháng 01 năm 2016 của Bộ Tài Chính vềquy định về quyết toán dự án hoàn thành thuộc nguồn vốn nhà nước;

Quyết định số 2378/QĐ-BTTTT ngày 30 tháng 12 năm 2016 của Bộ Thông tin vàTruyền thông về công bố định mức chi phí quản lý dự án, chi phí tư vấn đầu tư ứng dụngcông nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước;

Công văn số 1654/BTTTT-ƯDCNTT ngày 27 tháng 5 năm 2008 của Bộ Thông tin

và Truyền thông về Hướng dẫn các yêu cầu cơ bản về chức năng, tính năng kỹ thuật chocác dự án dùng chung theo Quyết định số 43/2008/QĐ-TTg;

Công văn số 2589/BTTTT-ƯDCNTT ngày 24 tháng 8 năm 2011 của Bộ Thông tin

và Truyền thông về hướng dẫn xác định chi phí phát triển, nâng cấp phần mềm nội bộ;

Công văn số 878/UBND-KTTH, ngày 13/3/2017 của Chủ tịch UBND tỉnh về việcphổ biến các Chương trình, chính sách ưu đãi, hỗ trợ doanh nghiệp;

Công văn số 996/UBND-KTTH, ngày 17/3/2017 của Chủ tịch UBND tỉnh về việcthực hiện công bố thông tin của doanh nghiệp Nhà nước trên Cổng thông tin điện tử củatỉnh;

Quyết định số 291/QĐ-STC ngày 30/6/2017 của Giám đốc Sở Tài chính về việc

bổ sung kinh phí dự toán ngân sách nhà nước năm 2017;

Quyết định số 80/QĐ-VPUBND ngày 28/7/2017 của Văn phòng UBND tỉnh vềviệc bổ sung dự toán năm 2017 cho Trung tâm Tin học Văn phòng UBND tỉnh VĩnhLong;

2 Tên hoạt động ứng dụng công nghệ thông tin:

Xây dựng Chuyên mục Hỗ trợ Doanh nghiệp và Chuyên mục Công bố thông tinDoanh nghiệp Nhà nước trên Cổng thông tin điện tử của UBND tỉnh Vĩnh Long

3 Tổng mức đầu tư

Tổng mức đầu tư: 289,763,000 đồng (Bằng chữ: hai trăm tám mươi chín triệu bảy

trăm sáu mươi ba nghìn đồng.)

4 Chủ đầu tư

Trung tâm Tin học Văn phòng Ủy ban nhân dân tỉnh Vĩnh Long

Địa chỉ: 88 Hoàng Thái Hiếu, Phường 1, TPVL, tỉnh Vĩnh LongĐiện thoại: 0703 825531 - Fax: 0703 823774

5 Địa điểm thực hiện

Văn phòng Uỷ ban nhân dân tỉnh Vĩnh Long

Địa chỉ: Số 88 Hoàng Thái Hiếu, Phường 1, TPVL, tỉnh Vĩnh LongĐiện thoại: 0703 825531 - Fax: 0703 823774

Trang 7

6 Đơn vị tư vấn lập đề cương và dự toán chi tiết

Trung tâm Tin học Văn phòng Ủy ban nhân dân tỉnh Vĩnh Long

Địa chỉ: 88 Hoàng Thái Hiếu, Phường 1, TPVL, tỉnh Vĩnh Long

Điện thoại: 0703 825531 - Fax: 0703 823774

7 Loại nguồn vốn: Ngân sách nhà nước.

8 Dự kiến hiệu quả đạt được

- Xây dựng Chuyên mục Hỗ trợ doanh nghiệp để đảm bảo cung cấp thông tin chocác doanh nghiệp trên địa bàn tỉnh Vĩnh Long theo quy định của pháp luật, dự kiếnkết quả đạt được như sau:

o Phổ biến thông tin về các chương trình, chính sách hỗ trợ Doanh nghiệp

o Cung cấp tư liệu, số liệu thống kê, thông báo liên quan đến Doanh nghiệp

o Cung cấp tin tức trong nước và nước ngoài về kinh tế, chính sách có liênquan,…

o Cung cấp kênh Hỏi - Đáp giữa Doanh nghiệp và các cơ quan có liên quan

o Cung cấp công cụ thăm dò ý kiến của Doanh nghiệp về các hoạt động cóliên quan đến doanh nghiệp

- Xây dựng Chuyên mục Công bố thông tin doanh nghiệp tích hợp vào Cổng thôngtin điện tử của UBND tỉnh Vĩnh Long dự kiến sẽ đat được các kết quả sau:

o Thông tin doanh nghiệp, kế hoạch và báo cáo của doanh nghiệp nhà nước trênđịa bàn tỉnh sẽ được trên Cổng thông tin điện tử của UBND tỉnh Vĩnh Longtheo định kỳ

o Người dân, đối tượng người dùng có quan tâm có thể tra cứu, tìm hiểu thôngtin về doanh nghiệp nhà nước trên Cổng thông tin điện tử của UBND tỉnhVĩnh Long

Trang 8

Phần II: SỰ CẦN THIẾT ĐẦU TƯ

1 Phân tích hiện trạng

1.1 Phạm vi và nội dung khảo sát

- Khảo sát hiện trạng về quy mô, hạ tầng kỹ thuật công nghệ Cổng thông tin điện

tử của UBND tỉnh Vĩnh Long

- Khảo sát quy trình, nghiệp vụ, nội dung thông tin Cổng thông tin điện tử củaUBND tỉnh Vĩnh Long

1.2 Phân tích hiện trạng

1.2.1 Phân tích hiện trạng phần mềm Cổng

- Cổng thông tin điện tử của UBND tỉnh Vĩnh Long hoạt động trên mạng Internetđược nâng cấp mở rộng năm 2013 trên nền tảng công nghệ DNNSoftware (DotNetNukePortal 7.2) bao gồm: 13 cổng, trong đó có 8 huyện thị và thành phố và 5 Cổng thông tindịch vụ ở các lĩnh vực: Thủ tục hành chính, Thông tin chỉ đạo điều hành, Công báo tỉnh,Văn bản quy phạm pháp luật và điều hành và Cổng thông tin Văn phòng UBND tỉnh

- Ngoài ra, còn có Cổng thông tin nội bộ phục vụ điều hành bao gồm các lĩnh vực:Khiếu nại tố cáo của Công dân, quản lý các chương trình viện trợ phi Chính phủ, Thi đuakhen thưởng, Văn bản chỉ đạo điều hành của UBND tỉnh và cung cấp thông tin tra cứu hồ

sơ lưu trữ, Chương trình làm việc của UBND tỉnh

Trang 9

Mô hình tổng thể toàn hệ thống Cổng thông tin tại thời điểm khảo sát:

Module chức năng cơ bản của Cổng thông tin

Module chức năng cung cấp dịch vụ và thông tin

Cổng thông tin điện tử Internet

Tra cứu Văn bản điều hành

Tra cứu Văn bản điều hành

Dự án viện trợ Phi Chính phủ

Dự án viện trợ Phi Chính phủ

Tra cứu Công báo

Tra cứu Công báo

Tra cứu HS Khiếu nại tố cáo

Tra cứu HS Khiếu nại tố cáo

Tra cứu HS Thi đua khen thưởng

Tra cứu HS Thi đua khen thưởng

Tra cứu Hồ sơ lưu trữ

Tra cứu Hồ sơ lưu trữ

Chương trình làm việc UBND tỉnh

Tra cứu Thủ tục hành chính

Tra cứu Thủ tục hành chính

Quản lý tin tức

Quản lý tin tức

CSDL Cổng thông tin Internet

Quản lý cổng con

Quản lý cổng con

Quản lý người dùng

Quản lý người dùng

Quản lý trang

Quản lý trang Quản lý giao diện

Quản lý giao diện

Quản lý truy cập

Quản lý truy cập

Quản lý khảo sát

Quản lý hỏi đáp

Quản lý hỏi đáp

Quản lý liên kết

Quản lý liên kết

Quản lý khác

Quản lý khác

Quản lý phân quyền

Quản lý phân quyền Quản lý files

Tra cứu Văn bản QPPL

Tra cứu Văn bản QPPL

Mô hình tổng thể các chức năng hệ thống Cổng thông tin điện tử của UBND tỉnh baogồm:

- Vĩnh Long Portal: Cổng thông tin điện tử của UBND tỉnh trên Internet và Cổng

thông tin điện tử điều hành nội bộ

- Các module chức năng cơ bản của Cổng thông tin:

o Quản lý tin tức: cung cấp quản lý tin bài, biểu mẫu hiển thị tin tức, quy trìnhduyệt tin và xuất bản tin…

o Quản lý cổng con: cung cấp chức năng quản lý thông tin các cổng thông tin con

o Quản lý người dùng: quản lý thông tin tất cả người dùng trong hệ thống

o Quản lý trang: quản lý thông tin trang cho từng cổng thông tin

o Quản lý giao diện: thay đổi các giao diện cổng, giao diện module

o Quản lý khảo sát: quản lý các câu hỏi khảo sát, kết quả khảo sát…

o Quản lý hỏi đáp: quản lý các câu hỏi và thông tin trả lời cho người dân

Trang 10

o Quản lý liên kết: quản lý các liên kết với các trang thông tin khác

o Quản lý phân quyền: quản lý phân quyền sử dụng các module, trang, cổngthông tin

o Quản lý files: quản lý hình ảnh, file đính kèm

- Các module chức năng cung cấp dịch vụ và thông tin:

o Thủ tục hành chính: cung cấp thông tin thủ tục hành chính, quản lý việc cậpnhật thông tin

o Chương trình làm việc UBND tỉnh, lịch xe: cung cấp thông tin chương trìnhlàm việc UBND tỉnh hàng tuần, lịch – xăng xe

o Khiếu nại tố cáo: trích xuất từ CSDL quản lý Hồ sơ Khiếu nại tố cáo và hiển thịtrên Cổng thông tin phục vụ tra cứu, báo cáo

o Thi đua khen thưởng: trích xuất từ CSDL quản lý Hồ sơ Thi đua khen thưởng

và hiển thị trên Cổng thông tin phục vụ tra cứu, báo cáo

o Tra cứu hồ sơ lưu trữ: trích xuất từ CSDL hồ sơ lưu trữ và hiển thị trên cổngthông tin phục vụ tra cứu, báo cáo

o Quy phạm pháp luật: Quản lý văn bản quy phạm pháp luật

o Chương trình viện trợ phi Chính phủ

o Văn bản điều hành: trích xuất từ CSDL quản lý Văn bản điều hành của UBNDtỉnh

- Cơ sở dữ liệu: bao gồm các CSDL của Cổng thông tin điện tử của UBND tỉnh

và Cổng thông tin điều hành nội bộ

- Hệ thống khác: chứa các CSDL từ các hệ thống có sẵn phục vụ trích xuất dữ liệu.

1.2.2 Phân tích hiện trạng hạ tầng kỹ thuật

* Mô hình kết nối hệ thống

Trang 11

Internet2 Internet1

Vùng an toàn

DC DataBase Lotus Domino

Asa 5505 Asa 5520

FW TTTHDL

DataBase Lotus Domino

Vùng Application

Mô hình chuẩn để cài đặt hệ thống Cổng thông tin bao gồm:

- Web Server: cài đặt HTTP Webserver tại vùng DMZ tiếp nhận các request từ

các trình duyệt gửi đến

- Database Server: cài đặt SQL Server 2012 tại vùng Application để lưu trữ dữ liệu.

- Portal framework: Hiện tại vào hệ thống Cổng thông tin điện tử của UBND

tỉnh đang vận hành sử dụng phiên bản DNNSoftware (NetNuke Portal) phiên bản 7.2 và

sử dụng CSDL Micrsoft SQL Server 2012 để lưu trữu dữ liệu

- Công dân: thông qua đường truyền Internet để truy cập vào Cổng thông tin điện

tử của UBND tỉnh trên Internet

- Các đơn vị sở ban ngành và các huyện, thành phố: thông qua mạng tin học củaUBND tỉnh (WAN) để truy cập vào hệ thống Cổng thông tin điều hành nội bộ để truyxuất thông tin

1.3 Đánh giá hiện trạng

Cổng thông tin điện tử của Uỷ ban nhân dân tỉnh Vĩnh Long sau khi được nângcấp, mở rộng đã đã trở thành kênh thông tin kết nối hiệu quả giữa các cơ quan nhà nước,cung cấp thông tin phục vụ người dân, doanh nghiệp; là nền tảng để xây dựng mới cácphần mềm dịch vụ công trực tuyến hoặc từng bước tích hợp thêm vào các ứng dụngchuyên ngành liên quan đến các hoạt động quản lý, chỉ đạo điều hành của Uỷ ban nhândân tỉnh; tạo nền tảng sẵn sàng cho việc xây dựng “Chính quyền điện tử” tại Tỉnh VĩnhLong

Trang 12

Tuy nhiên, hiện tại Cổng thông tin điện tử của Uỷ ban nhân dân tỉnh Vĩnh Longchưa có Chuyên mục Hỗ trợ doanh nghiệp và Chuyên mục công bố thông tin doanhnghiệp nhằm cung cấp thông tin về chương trình, chính sách hỗ trợ doanh nghiệp trên địabàn tỉnh Điều này là cần thiết để đảm bảo thông tin được truyền tải đến Doanh nghiệpmột cách nhanh chóng và kịp thời.

Về hiện trạng hạ tầng kỹ thuật của Cổng thông tin điện tử của UBND tỉnh VĩnhLong đáp ứng được nhu cầu hiện tại và có thể mở rộng xây dựng thêm Chuyên mục Hỗtrợ Doanh nghiệp trên Cổng, nhưng trong thời gian tới cần đầu tư nâng cấp trang thiết bị

để đảm bảo ổn định, hoạt động xuyên suốt và đảm bảo an ninh, an toàn thông tin

2 Mục tiêu đầu tư:

- Xây dựng Chuyên mục thuộc Cổng thông tin điện tử của UBND tỉnh Vĩnh Longnhằm phổ biến thông tin về các chương trình, chính sách hỗ trợ doanh nghiệp trên địabàn tỉnh Cung cấp các văn bản, số liệu thống kê liên quan đến hoạt động của doanhnghiệp giúp doanh nghiệp tiếp cận thông tin một cách nhanh chóng, chính xác và kịpthời

- Xây dựng Module Công bố thông tin doanh nghiệp tích hợp vào Cổng thông tinđiện tử của UBND tỉnh Vĩnh Long Các chức năng của module đáp ứng yêu cầu công

bố thông tin Doanh nghiệp nhà nước theo Nghị định số 81/2015/NĐ-CP ngày 18tháng 09 năm 2015 với các nội dung chủ yếu sau:

o Công bố thông tin doanh nghiệp nhà nước

o Công bố Chiến lược phát triển của Doanh nghiệp

o Công bố Kế hoạch sản xuất kinh doanh và đầu tư phát triển năm (05) năm củaDoanh nghiệp

o Công bố Kế hoạch sản xuất kinh doanh và đầu tư phát triển hàng năm củaDoanh nghiệp

o Công bố Báo cáo đánh giá về kết quả thực hiện kế hoạch sản xuất kinh doanhhàng năm và ba năm gần nhất tính đến năm báo cáo

o Công bố Báo cáo kết quả thực hiện các nhiệm cụ công ích và trách nhiệm xãhội khác (nếu có)

o Công bố Báo cáo tình hình thực hiện sắp xếp, đổi mới doanh nghiệp hàng năm

o Công bố Báo cáo thực trạng quản trị và cơ cấu tổ chức của doanh nghiệp

o Công bố Báo cáo tài chính sáu tháng và báo cáo tài chính năm của doanhnghiệp

Trang 13

o Công bố Báo cáo chế độ tiền lương, tiền thưởng của doanh nghiệp

Trang 14

Phần III: THUYẾT MINH GIẢI PHÁP KỸ THUẬT CÔNG NGHỆ

1 Phần thuyết minh nội dung thiết kế:

1.1 Tóm tắt các nhiệm vụ thiết kế:

- Thiết kế các trường hợp sử dụng (use-case) trong xây dựng phần mềm

- Phân tích các nội dung dịch vụ kỹ thuật phần mềm:

+ Triển khai, vận hành đưa vào sử dụng mô hình phần mềm

+ Tập huấn sử dụng phần mềm

+ Tập huấn quản trị hệ thống

+ Cập nhật cơ sở dữ liệu

+ Nâng cấp, duy trì, bảo trì phần mềm

- Các thông tin cần có của Chuyên mục hỗ trợ doanh nghiệp trên Cổng thông tin:

+ Giới thiệu về Chuyên mục Hỗ trợ doanh nghiệp

+ Tin tức trong và ngoài nước

+ Thông báo thông tin đến doanh nghiệp+ Chính sách hỗ trợ doanh nghiệp

+ Chương trình hỗ trợ doanh nghiệp

+ Tư liệu có liên quan

+ Số liệu thống kê

+ Đối thoại với doanh nghiệp (hỏi - đáp)

+ Thăm dò ý kiến

+ Thông tin liên hệ hỗ trợ

+ Liên kết đến các trang thông tin của các cơ quan nhà nước

- Các kênh thông tin cần có của Chuyên mục Công bố thông tin doanh nghiệp trênCổng thông tin:

+ Công bố Chiến lược phát triển của Doanh nghiệp+ Công bố Kế hoạch sản xuất kinh doanh và đầu tư phát triển năm (05) nămcủa Doanh nghiệp

Trang 15

+ Công bố Kế hoạch sản xuất kinh doanh và đầu tư phát triển hàng nămcủa Doanh nghiệp

+ Công bố Báo cáo đánh giá về kết quả thực hiện kế hoạch sản xuất kinhdoanh hàng năm và ba năm gần nhất tính đến năm báo cáo

+ Công bố Báo cáo kết quả thực hiện các nhiệm cụ công ích và tráchnhiệm xã hội khác (nếu có)

+ Công bố Báo cáo tình hình thực hiện sắp xếp, đổi mới doanh nghiệphàng năm

+ Công bố Báo cáo thực trạng quản trị và cơ cấu tổ chức của doanh nghiệp + Công bố Báo cáo tài chính sáu tháng và báo cáo tài chính năm của doanhnghiệp

+ Công bố Báo cáo chế độ tiền lương, tiền thưởng của doanh nghiệp

1.2 Các văn bản áp dụng trong thiết kế:

Nghị định số 43/2011/NĐ-CP ngày 13 tháng 06 năm 2011 của Chính phủ Quyđịnh về việc cung cấp thông tin và dịch vụ công trực tuyến trên trang thông tin điện tửhoặc cổng thông tin điện tử của cơ quan nhà nước;

Thông tư số 26/2009/TT-BTTTT ngày 31 tháng 07 năm 2009 của Bộ Thông tin vàTruyền thông Quy định về việc cung cấp thông tin và đảm bảo khả năng truy cập thuậntiện đối với trang thông tin điện tử của cơ quan nhà nước;

Thông tư số 22/2013/TT-BTTTT ngày 23 tháng 12 năm 2013 của Bộ Thông tin vàTruyền thông Ban hành danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tintrong cơ quan nhà nước;

Công văn số 1654/BTTTT-ƯDCNTT ngày 27 tháng 05 năm 2008 của Bộ Thôngtin và Truyền thông về hướng dẫn các yêu cầu cơ bản về chức năng, tính năng kỹ thuậtcủa Cổng thông tin điện tử;

Một số yêu cầu khác trong thiết kế, xây dựng:

- Quản lý cơ sở dữ liệu tập trung

- Quản lý thông tin đa cấp, đa ngành, phù hợp cho các loại hình cơ quan với nhiềuphòng ban, đơn vị trực thuộc

- Giao diện thân thiện, dễ sử dụng, hướng dẫn chi tiết trong từng chức năngchương trình

- Phân quyền, phân cấp bảo mật dữ liệu, phân quyền sử dụng đến từng chức năng,phân quyền cập nhật truy xuất dữ liệu theo phân cấp quản lý của người dùng

Trang 16

- Cung cấp chức năng lưu trữ dự phòng và phục hồi dữ liệu khi có sự cố.

- Hệ thống có cấu trúc mở, sử dụng các công nghệ mới để có thể dễ dàng bổ sungnâng cấp các chức năng mà không phá vỡ hay xây dựng lại hệ thống

- Khả năng liên kết, tích hợp chia sẻ thông tin

1.3 Danh mục quy chuẩn, tiêu chuẩn kỹ thuật áp dụng

Phần mềm phải đáp ứng theo các tiêu chuẩn kỹ thuật về ứng dụng CNTT trong cơquan nhà nước (Ban hành kèm theo Thông tư số 22/2013/TT-BTTTT ngày 23 tháng 12năm 2013 của Bộ trưởng Bộ Thông tin và Truyền thông):

tiêu chuẩn

Ký hiệu tiêu chuẩn

Tên đầy đủ của tiêu chuẩn

HTTP v1.1 Hypertext Transfer

Protocol version 1.1

WebDAV Web-based Distributed

Authoring and Versioning

Khuyến nghị ápdụng

1.4 Truyền thư điện

tử

SMTP/MIME Simple Mail Transfer

Protocol/MultipurposeInternet MailExtensions

Access Protocol version 4 , revision 11.6 Truy cập

thư mục

LDAP v3 Lightweight Directory

Access Protocolversion 3

Bắt buộc áp dụng

1.7 D/vụ tên miền DNS Domain Name System Bắt buộc áp dụng

Trang 17

1.12 Mạng cục bộ

không dây

IEEE 802.11g Institute of Electrical

and ElectronicsEngineers Standard(IEEE) 802.11g

Bắt buộc áp dụng

IEEE 802.11n Institute of Electrical

and Electronics Engineers Standard (IEEE) 802.11n

Khuyến nghị ápdụng

1.13 Truy cập Internet

với thiết bị

không dây

WAP v2.0 Wireless Application

Protocol version 2.0 Bắt buộc áp dụng

ba tiêu chuẩnWSDL v1.1 Web Services

Description Language version 1.1

UDDI v3 Universal Description,

Discovery and Integration version 3WMS v1.3.0 OpenGIS Web Map

Service version 1.3.0 Bắt buộc áp dụng1.15 Dịch vụ đồng bộ

Trang 18

2.1 Ngôn ngữ định

dạng văn bản

XML v1.0(5thEdition)

Extensible MarkupLanguage version 1.0(5th Edition)

Bắt buộc áp dụng

XML v1.1 Extensible Markup

Language version 1.12.2 Ngôn ngữ định

XML Schema version1.0

2.6 Mô tả tài nguyên

dữ liệu

RDF Resource Description

Framework

Khuyến nghị ápdụng

2.7 Trình diễn bộ kí

tự

UTF-8 8-bit Universal

Character Set (UCS)/

Unicode Transformation Format

Khuyến nghị ápdụng

truy cập

Trang 19

Bắt buộc áp dụngmột trong hai tiêu chuẩnXSL v1.1 Extensible Stylesheet

Language version 1.13.4 Văn bản (.txt) Định dạng Plain Text

(.txt): Dành cho các tàiliệu cơ bản không cócấu trúc

Bắt buộc áp dụng

(.rtf) v1.8,v1.9.1

Định dạng Rich Text(.rtf) phiên bản 1.8,1.9.1: Dành cho cáctài liệu có thể trao đổigiữa các nền khácnhau

Bắt buộc áp dụng

(.pdf) v1.4,v1.5, v1.6, v1.7

Định dạng PortableDocument (.pdf) phiênbản 1.4, 1.5, 1.6, 1.7:

Dành cho các tài liệuchỉ đọc

Bắt buộc áp dụngmột, hai hoặc cả

ba tiêu chuẩn

(.doc) Định dạng văn bản

Word của Microsoft(.doc) phiên bảnWord 1997-2003(.odt) v1.0 Định dạng Open

Document Text (.odt)phiên bản 1.0

Trang 20

3.5 Ảnh đồ họa JPEG Joint Photographic

Expert Group (.jpg)

Bắt buộc áp dụngmột, hai, ba hoặc

cả bốn tiêu chuẩnGIF v89a Graphic Interchange

(.gif) version 89aTIFF Tag Image File (.tif)PNG Portable Network

Graphics (.png)3.6 Bộ ký tự và

mã hóa

ASCII American Standard

Code for InformationInterchange

TCVN 6909:2001

“CNTT - Bộ mã ký tựtiếng Việt 16-bit”

Bắt buộc áp dụng

3.8 Nén dữ liệu Zip Zip (.zip) Bắt buộc áp dụng

một hoặc cả hai tiêu chuẩn

GNU Zip v4.3 GNU Zip (.gz) version

Bắt buộc áp dụng

Open PGP Open PGP Khuyến nghị áp

dụng4.2 An toàn tầng giao

vận

SSH v1.0 Secure Shell version

1.0

Bắt buộc áp dụngmột trong hai tiêu chuẩnSSH v2.0 Secure Shell version

2.0SSL v3.0 Secure Socket Layer

version 3.0

Bắt buộc áp dụngmột trong hai tiêu chuẩnTLS v1.2 Transport Layer

Trang 21

Security version 1.24.3 An toàn truyền

over Secure SocketLayer

4.4 An toàn truyền

thư điện tử

SMTPS Simple Mail Transfer

Protocol over SecureSocket Layer

Bắt buộc áp dụng

4.5 An toàn dịch vụ

truy cập

hộp thư

POPS Post Office Protocol

over Secure Socket Layer

Bắt buộc áp dụngmột hoặc cả hai tiêu chuẩnIMAPS Internet Message

Access Protocol over Secure Socket Layer4.6 An toàn dịch vụ

DNS

DNSSEC Domain Name System

Security

Khuyến nghị ápdụng

4.7 An toàn

tầng mạng

IPsec - IP ESP Internet Protocol

security với IP ESP

Bắt buộc áp dụng

4.8 An toàn TT mạng

không dây Wi-fi

WPA2 Wi-fi Protected

Encryption Standard

Khuyến nghị ápdụng

RSA

Rivest-Shamir-Adleman

Khuyến nghị ápdụng

2 Tiêu chuẩn kỹ thuật, công nghệ và đề xuất sử dụng trong hoạt động ứng

Trang 22

- Giao diện được trình bày khoa học, hợp lý và đảm bảo mỹ thuật hài hòa với mụcđích của Chuyên mục hỗ trợ Doanh nghiệp và Chuyên mục công bố thông tin doanhnghiệp, tuân thủ các chuẩn về truy cập thông tin.

- Tương thích với các trình duyệt Web thông dụng

- Hỗ trợ hiển thị trên các thiết bị di động như: Mobile, Tablet

Yêu cầu về kết nối, tích hợp dữ liệu và truy cập thông tin

- Đảm bảo tính tương thích, kế thừa về kết nối và tích hợp thông tin hệ thốngCổng thông tin điện tử bằng tiếng Việt của UBND tỉnh đang vận hành

- Thống nhất tiêu chuẩn tích hợp dữ liệu và truy cập thông tin:

từ xa SOAP v1.2 , WSDL v1.1 , UDDI v3, chuẩn về tích hợp dữ liệu XML v1.0

- Khả năng thiết lập các kênh thông tin dễ dàng lên cổng

o Kênh thông tin xuất bản dựa trên tiêu chuẩn trao đổi và chia sẻ

o Kênh thông tin trao đổi sử dụng dịch vụ web (Web Services, WSRP1.0/WSRP 2.0)

o Có cơ chế tự động phân tích cấu trúc trang Web trên Internet đang cung cấpchính thức các dịch vụ tiện ích và cập nhật tự động các tiện ích

- Có cơ chế tự động tổng hợp (trích và bóc tách) thông tin từ các cổng/trang thôngtin của đơn vị trực thuộc, các cổng/trang thông tin trên Internet, đồng thời cũng có khảnăng chia sẻ thông tin trên cổng cho các cổng/trang thông tin khác

- Hỗ trợ hai phương thức tích hợp đối với dịch vụ ứng dụng trực tuyến:

o Tích hợp nguyên vẹn: tích hợp toàn bộ trang thông tin của ứng dụng vàoCổng (hay còn gọi là Web-cliping)

Trang 23

o Tích hợp dữ liệu: Cổng có khả năng tổng hợp thông tin (có cấu trúc và địnhdạng tuân thủ theo tiêu chuẩn về chia sẻ và trao đổi thông tin) do ứng dụng trực tuyếncông bố; Phương thức này yêu cầu trang web/dịch vụ được tích hợp phải xuất ra cácthông tin trao đổi theo chuẩn thống nhẩt

Yêu cầu về an toàn, bảo mật

- Hệ thống phải đáp ứng khả năng an toàn, bảo mật theo nhiều mức: mức mạng,mức xác thực người sử dụng, mức CSDL

- Có cơ chế chứng thực giữa các máy chủ trong hệ thống

- Cung cấp các báo cáo vận hành hệ thống

- Hỗ trợ người sử dụng trao đổi thông tin, dữ liệu với cổng trên mạng Internet theocác chuẩn về an toàn thông tin như S/MINE v3.0, SSL v3.0, HTTPS,

- Có cơ chế theo dõi và giám sát, lưu vết tất cả các hoạt động cho mỗi kênh thôngtin và toàn hệ thống

- Toàn bộ các dữ liệu cần quản lý, phải được lưu trong CSDL được mã hóa vàphân quyền truy cập chặt chẽ

Yêu cầu về sao lưu, phục hồi dữ liệu

- Phải có cơ chế sao lưu dữ liệu định kỳ, đột xuất đảm bảo nhanh chóng đưa hệthống hoạt động trở lại trong trường hợp có sự cố xảy ra:

- Các dữ liệu cần sao lưu:

o Dữ liệu cấu hình hệ thống (Quản lý người sử dụng; cấu hình thiết lập kênhthông tin…)

o Cơ sở dữ liệu lưu trữ nội dung

o Các dữ liệu liên quan khác

- Có cơ chế phục hồi dữ liệu khi hệ thống gặp sự cố

2.2 Yêu cầu về thiết kế CSDL

CSDL được thiết kế phải đảm bảo đầy đủ về chức năng và có đầy đủ các tài liệuphân tích hoặc mô tả kèm theo

- Các ràng buộc toàn vẹn trong CSDL phải được thiết kế đầy đủ và chặt chẽ, đồngthời đảm bảo được tính nhất quán cao

- Việc cập nhật CSDL nên sử dụng các thủ tục bên trong (Stored Procedures) đốivới các giao dịch có số lượng người sử dụng tương đối thấp

Trang 24

- Phải có cơ chế ghi lại nhật ký của tất cả các quá trình thao tác trên CSDL, đồngthời phải có cơ chế giám sát mọi truy cập vào CSDL.

- Nên sử dụng cơ chế lập chỉ mục (Index) hoặc phân mảnh CSDL để tăng cườngtốc độ truy xuất CSDL

- CSDL phải được thiết kế đảm bảo được tính phân quyền truy cập theo từng cấp

- Thiết kế cơ sở dữ liệu phải đạt chuẩn 3NF

- Phải đáp ứng được sự mở rộng trong tương lai

- Phải tính đến mức độ gia tăng dữ liệu của hệ thống

2.3 Cơ chế bảo mật

Ngăn chặn SQL Injection

- Tham số hoá dữ liệu nhập của người dùng vào câu lệnh SQL, sau đó binding dữliệu; trường hợp ngôn ngữ lập trình không hỗ trợ thì khắc phục bằng cách xử lý câu lệnhSQL trước khi thực thi

- Không được truyền trực tiếp câu lệnh SQL trên các tham số GET hoặc POST

- Các thông báo lỗi nên hạn chế chứa các thông tin truy xuất dữ liệu

- Hạn chế tối thiểu các quyền của các account truy xuất dữ liệu, đảm bảo cácaccount này chỉ có những quyền cơ bản và cần thiết để truy cập CSDL

Ngăn chặn OS Command Injection

- Tránh sử dụng các hàm có gọi đến các shell command (OS command)

- Khi sử dụng hàm có gọi lệnh shell, kiểm tra tất cả các biến là thông số của lệnhnày, và đảm bảo rằng chỉ thực thi các hàm được hỗ trợ

Ngăn chặn Unchecked PathName

- Không cho phép chỉ định trực tiếp tên của tập tin được lưu trữ trên máy chủ bằngcách sử dụng tham số GET, POST

- Sử dụng một thư mục cố định để xử lý tên tập tin và kiểm tra các ký tự đặc biệt:

“.”, “ ” trong trường hợp cho phép chỉ định tên file thông qua tham số GET hoặc POST

Improper Session Management

- Tạo session ID khó đoán

- Không dùng các tham số trên URL để lưu trữ session ID

- Đặt các thuộc tính bảo mật cho cookie khi dùng HTTPs

Trang 25

- Tạo session ID mới sau khi đăng nhập; tạo ra một mật mã sau khi đăng nhập vàchứng thực người dùng bằng mật mã này bất cứ khi nào người dùng duyệt web.

- Dùng thuật toán tạo session ID ngẫu nhiên

- Đặt thời gian hết hạn cookie thật cẩn thận khi lưu trữ session ID trên cookie

An toàn cho máy chủ Web

- Loại bỏ toàn bộ các dịch vụ không cần thiết khỏi Webserver như dịch vụ truyềntệp FTP (chỉ giữ lại nếu thật cần thiết) Mỗi dịch vụ không cần thiết sẽ bị lợi dụng để tấncông hệ thống nếu không có chế độ bảo mật tốt

- Giới hạn số người có quyền quản trị hay truy cập mức tối cao (root)

- Tạo các log file theo dõi hoạt động của người sử dụng và duy trì các log file nàybằng cách mã hoá

- Hệ thống điều khiển log file thông thường được sử dụng cho bất kỳ hoạt độngnào Cài đặt các bẫy chính sách kiểm soát để xem các tấn công vào máy chủ Khi có bất

kỳ thay đổi nào được kiểm tra hệ thống sẽ gửi một email tới nhà quản lý hệ thống đểthông báo

- Đăng ký và cập nhật định kỳ các bản sửa lỗi mới nhất về an toàn, bảo mật từ cácnhà cung cấp

- Nếu hệ thống phải được quản trị từ xa nên sử dụng kết nối bảo mật được mã hóa.Không sử dụng telnet hay ftp với user là anynomous (đòi hỏi một username và passwordcho việc truy cập) từ bất cứ site không được chứng thực nào Tốt hơn, hãy giới hạn số kếtnối trong các hệ thống bảo mật và các hệ thống bên trong mạng Intranet

- Chạy webserver trong các thư mục đã được đặt quyền truy cập và quyền sửdụng, vì vậy chỉ có người quản trị mới có thể truy cập hệ thống thực

- Thực hiện toàn bộ việc cập nhật từ mạng Intranet Thường xuyên backup dữ liệu

và phần mềm cổng thông tin để kịp thời cập nhật và khắt phục sự cố

- Quét Webserver theo định kỳ với các công cụ như ISS (RealSecure ServerSensor) hay nmap (Network Mapper, phần mềm nguồn mở) để tìm kiếm lỗ hổng bảomật

- Trang bị phần mềm phát hiện truy nhập trái phép tới các máy chủ, đặt phần mềmnày cảnh báo các hành động nguy hiểm và bắt các session của chúng lại để xem Thôngtin này có thể giúp lấy được thông tin về cách thức phá hoại mạng, cũng như mức độ bảomật trong hệ thống

- Trang bị phần mềm antivirus cho server đặt chế độ autoprotect và quét định kỳ

để phát hiện kịp thời các file nhiễm virus do người dùng upload lên server

Trang 26

- Trang bị firewall cho server (thường đi kèm theo phần mềm antivirus), hoặckhông có điều kiện thì dùng firewall sẵn có trên server (windows) Dùng firewall hạn chếtối thiểu các đường ra vào Chỉ cấu hình đúng cho những dịch vụ server đang chạy, tránh

bị các phần mềm giám điệp lợi dụng phát tán thông tin ra ngoài

- Cấu hình an toàn cho thư mục upload: thông thường thư mục upload là nơi cónhiều khả năng để bị tấn công, vì nơi này cho phép upload dữ liệu từ client lên server,nếu cấu hình không chặt, kiểm soát upload lỏng lẻo (lập trình) thì có thể bị tin tặc tấncông Vì vậy cấu hình trên webserver không cho thực thi các file trong thư mục upload(nếu hacker may mắn upload file thực thi được thì cũng không thể chạy)

- Cấu hình Isolate: Nếu trên server có nhiều website cùng chạy thì nên cấu hìnhngười dùng riêng biệt cho từng website Sau đó cấp quyền cụ thể cho người dùng nàytrên folder chứa website để có thể tránh bị lợi dụng hack local Thêm 1 điều lợi khi sửdụng user riêng biệt chúng ta dễ dàng kiểm soát process dựa vào user để biết website nàođang hoạt động quá tải do tấn công, hoặc nguyên nhân khác

- Phân quyền truy cập theo người dùng trên từng module chức năng, chỉ nhữngngười có quyền truy cập mới xem được nội dung tương ứng

Chính sách an toàn cho mật khẩu sử dụng

- Nâng cao tính an toàn của mật khẩu: Để dễ nhớ người dùng thường sử dụng cácthông tin liên quan đến cá nhân để đặt mật khẩu như ngày sinh, ngày kỷ niệm, tên ngườithân, Hacker thường có thể lần ra được các thông tin cá nhân bằng cách sử dụng “mánhkhóe” (social engineering) và dùng thông tin đó để bẻ mật khẩu Đặt mật khẩu bằng các

từ tối nghĩa có thể ngăn chặn được nguy cơ này

- Việc đặt mật khẩu không có các từ vẫn dùng hàng ngày và bằng các ký tự khácnhau là rất quan trọng, nhưng vẫn phải đảm bảo tính dễ nhớ Nên kết hợp các mẫu tự (cảthường và hoa) với chữ số và ký hiệu khi đặt mật khẩu Có thể làm được điều này bằngcách trộn lẫn nhiều nhóm ký tự vào nhau gồm: mẫu tự hoa như (như A, B, C, Z); mẫu

tự thường (như a, b, c, z); chữ số (như 0, 1, 2, 3, 9); ký tự đặc biệt (như $, #,? , &);các ký tự điều khiển (như µ, £ )

- Thường xuyên thay đổi mật khẩu bên cạnh việc tạo các mật khẩu khó đoán, việcthường xuyên thay đổi mật khẩu cũng có tầm quan trọng không kém Điều này rất cầnthiết trong trường hợp ai đó đã hoặc đang tìm cách dò mật khẩu

- Mật khẩu và chính sách an ninh mật khẩu kém có thể dẫn đến dữ liệu của mọi người

bị xâm phạm Chính sách an ninh của tổ chức bắt buộc phải đề cập đến mọi khía cạnh đểđảm bảo an toàn mật khẩu Trong đó, không chỉ nhấn mạnh đến tầm quan trọng tuyệt đối củacác mật khẩu chắc chắn, an toàn và trách nhiệm của từng người dùng trong việc bảo vệ mậtkhẩu của mình, mà còn phải vạch ra các bước người quản trị hệ thống cần tuân thủ để bảođảm tính bảo mật của hệ thống khi sử dụng cách bảo vệ bằng mật khẩu

Ngày đăng: 27/03/2019, 14:26

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w