Tên hoạt động ứng dụng công nghệ thông tin: Xây dựng Chuyên mục Hỗ trợ Doanh nghiệp và Chuyên mục Công bố thông tinDoanh nghiệp Nhà nước trên Cổng thông tin điện tử của UBND tỉnh Vĩnh Lo
Trang 1VĂN PHÒNG ỦY BAN NHÂN DÂN TỈNH VĨNH LONG
TRUNG TÂM TIN HỌC
ĐỀ CƯƠNG VÀ DỰ TOÁN CHI TIẾT
XÂY DỰNG CHUYÊN MỤC HỖ TRỢ DOANH NGHIỆP VÀ CHUYÊN MỤC CÔNG BỐ THÔNG TIN DOANH NGHIỆP NHÀ
NƯỚC TRÊN CỔNG THÔNG TIN ĐIỆN TỬ
CỦA UBND TỈNH VĨNH LONG
Lập dự toán
Lê Văn Hậu
GIÁM ĐỐC
Hồ Văn Chính
Trang 2CÁC TỪ VIẾT TẮT
1. UBND Ủy ban Nhân dân
Trang 3MỤC LỤC
Phần I: THÔNG TIN CHUNG 4
1 Căn cứ pháp lý: 4
2 Tên hoạt động ứng dụng công nghệ thông tin: 5
3 Tổng mức đầu tư 5
4 Chủ đầu tư 5
5 Địa điểm thực hiện 5
6 Đơn vị tư vấn lập đề cương và dự toán chi tiết 5
7 Loại nguồn vốn: Ngân sách nhà nước 6
8 Dự kiến hiệu quả đạt được 6
Phần II: SỰ CẦN THIẾT ĐẦU TƯ 7
1 Phân tích hiện trạng 7
2 Mục tiêu đầu tư: 11
Phần III: THUYẾT MINH GIẢI PHÁP KỸ THUẬT CÔNG NGHỆ 13
Phần IV: DỰ TOÁN CHI TIẾT 42
1 Căn cứ lập dự toán: 42
2 Tổng mức dự toán 43
3 Chi tiết dự toán 43
Phần V: DỰ KIẾN TIẾN ĐỘ THỰC HIỆN 48
Phần VI: PHƯƠNG ÁN TỔ CHỨC THỰC HIỆN, ĐƯA VÀO VẬN HÀNH, KHAI THÁC 50
1 Kiến nghị về hình thức quản lý dự án: 50
2 Kế hoạch đấu thầu: 51
3 Kết luận và kiến nghị: 53
3
Trang 5Phần I: THÔNG TIN CHUNG
Luật Công nghệ Thông tin số 67/2006/QH11 của Quốc hội nước Cộng hòa xã hộichủ nghĩa Việt Nam, ban hành ngày 29 tháng 06 năm 2006;
Luật Đấu thầu số 43/2013/QH13 ngày 26 tháng 11 năm 2013;
Nghị định số 63/2014/NĐ-CP ngày 26/06/2014 của Chính phủ quy định chi tiết thihành một số điều của Luật Đấu thầu về lựa chọn nhà thầu;
Nghị định số 102/2009/NĐ-CP ngày 06 tháng 11 năm 2009 của Thủ tướng Chínhphủ về quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhànước;
Nghị định số 43/2011/NĐ-CP ngày 13/6/2011 của Chính phủ quy định việc cungcấp thông tin và dịch vụ công trực tuyến trên Trang thông tin điện tử hoặc Cổng thông tinđiện tử của cơ quan nhà nước;
Thông tư số 26/2009/TT-BTTTT ngày 21/7/2009 của Bộ Thông tin và Truyềnthông Quy định về việc cung cấp thông tin và đảm bảo khả năng truy cập thuận tiện đốivới trang thông tin điện tử của cơ quan nhà nước;
Thông tư số 21/2010/TT-BTTTT ngày 08 tháng 9 năm 2010 của Bộ Thông tin vàTruyền thông Quy định về lập đề cương và dự toán chi tiết đối với hoạt động ứng dụngcông nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước nhưng không yêu cầu phảilập dự án;
Thông tư số 06/2011/TT-BTTTT ngày 28 tháng 02 năm 2011 của Bộ Thông tin vàTruyền thông Quy định về lập và quản lý chi phí đầu tư ứng dụng công nghệ thông tin vàQuyết định số 367/QĐ-BTTTT ngày 18/03/2011 của Bộ Thông tin và Truyền thông vềviệc đính chính thông tư 06/2011/TT-BTTTT;
Thông tư liên tịch số 19/2012/TTLT-BTC-BKH&ĐT-BTTTT ngày 15 tháng 02năm 2012 của Bộ Tài chính, Bộ Kế hoạch và Đầu tư và Bộ Thông tin và Truyền thông vềhướng dẫn quản lý và sử dụng kinh phí thực hiện chương trình Quốc gia về ứng dụngCNTT trong hoạt động của cơ quan Nhà nước;
Thông tư số 22/2013/TT-BTTTT ngày 23 tháng 12 năm 2013 của Bộ Thông tin vàTruyền thông về Công bố danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tintrong cơ quan nhà nước;
Thông tư số 01/2014/TT-BTTTT ngày 20 tháng 02 năm 2014 của Bộ Thông tin vàTruyền thông về việc quy định chi tiết về Quy định chi tiết về ưu tiên đầu tư, mua sắmsản phẩm, dịch vụ công nghệ thông tin sản xuất trong nước sử dụng nguồn vốn ngân sáchnhà nước;
Trang 6Thông tư số 09/2016/TT-BTC ngày 18 tháng 01 năm 2016 của Bộ Tài Chính vềquy định về quyết toán dự án hoàn thành thuộc nguồn vốn nhà nước;
Quyết định số 2378/QĐ-BTTTT ngày 30 tháng 12 năm 2016 của Bộ Thông tin vàTruyền thông về công bố định mức chi phí quản lý dự án, chi phí tư vấn đầu tư ứng dụngcông nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước;
Công văn số 1654/BTTTT-ƯDCNTT ngày 27 tháng 5 năm 2008 của Bộ Thông tin
và Truyền thông về Hướng dẫn các yêu cầu cơ bản về chức năng, tính năng kỹ thuật chocác dự án dùng chung theo Quyết định số 43/2008/QĐ-TTg;
Công văn số 2589/BTTTT-ƯDCNTT ngày 24 tháng 8 năm 2011 của Bộ Thông tin
và Truyền thông về hướng dẫn xác định chi phí phát triển, nâng cấp phần mềm nội bộ;
Công văn số 878/UBND-KTTH, ngày 13/3/2017 của Chủ tịch UBND tỉnh về việcphổ biến các Chương trình, chính sách ưu đãi, hỗ trợ doanh nghiệp;
Công văn số 996/UBND-KTTH, ngày 17/3/2017 của Chủ tịch UBND tỉnh về việcthực hiện công bố thông tin của doanh nghiệp Nhà nước trên Cổng thông tin điện tử củatỉnh;
Quyết định số 291/QĐ-STC ngày 30/6/2017 của Giám đốc Sở Tài chính về việc
bổ sung kinh phí dự toán ngân sách nhà nước năm 2017;
Quyết định số 80/QĐ-VPUBND ngày 28/7/2017 của Văn phòng UBND tỉnh vềviệc bổ sung dự toán năm 2017 cho Trung tâm Tin học Văn phòng UBND tỉnh VĩnhLong;
2 Tên hoạt động ứng dụng công nghệ thông tin:
Xây dựng Chuyên mục Hỗ trợ Doanh nghiệp và Chuyên mục Công bố thông tinDoanh nghiệp Nhà nước trên Cổng thông tin điện tử của UBND tỉnh Vĩnh Long
3 Tổng mức đầu tư
Tổng mức đầu tư: 289,763,000 đồng (Bằng chữ: hai trăm tám mươi chín triệu bảy
trăm sáu mươi ba nghìn đồng.)
4 Chủ đầu tư
Trung tâm Tin học Văn phòng Ủy ban nhân dân tỉnh Vĩnh Long
Địa chỉ: 88 Hoàng Thái Hiếu, Phường 1, TPVL, tỉnh Vĩnh LongĐiện thoại: 0703 825531 - Fax: 0703 823774
5 Địa điểm thực hiện
Văn phòng Uỷ ban nhân dân tỉnh Vĩnh Long
Địa chỉ: Số 88 Hoàng Thái Hiếu, Phường 1, TPVL, tỉnh Vĩnh LongĐiện thoại: 0703 825531 - Fax: 0703 823774
Trang 76 Đơn vị tư vấn lập đề cương và dự toán chi tiết
Trung tâm Tin học Văn phòng Ủy ban nhân dân tỉnh Vĩnh Long
Địa chỉ: 88 Hoàng Thái Hiếu, Phường 1, TPVL, tỉnh Vĩnh Long
Điện thoại: 0703 825531 - Fax: 0703 823774
7 Loại nguồn vốn: Ngân sách nhà nước.
8 Dự kiến hiệu quả đạt được
- Xây dựng Chuyên mục Hỗ trợ doanh nghiệp để đảm bảo cung cấp thông tin chocác doanh nghiệp trên địa bàn tỉnh Vĩnh Long theo quy định của pháp luật, dự kiếnkết quả đạt được như sau:
o Phổ biến thông tin về các chương trình, chính sách hỗ trợ Doanh nghiệp
o Cung cấp tư liệu, số liệu thống kê, thông báo liên quan đến Doanh nghiệp
o Cung cấp tin tức trong nước và nước ngoài về kinh tế, chính sách có liênquan,…
o Cung cấp kênh Hỏi - Đáp giữa Doanh nghiệp và các cơ quan có liên quan
o Cung cấp công cụ thăm dò ý kiến của Doanh nghiệp về các hoạt động cóliên quan đến doanh nghiệp
- Xây dựng Chuyên mục Công bố thông tin doanh nghiệp tích hợp vào Cổng thôngtin điện tử của UBND tỉnh Vĩnh Long dự kiến sẽ đat được các kết quả sau:
o Thông tin doanh nghiệp, kế hoạch và báo cáo của doanh nghiệp nhà nước trênđịa bàn tỉnh sẽ được trên Cổng thông tin điện tử của UBND tỉnh Vĩnh Longtheo định kỳ
o Người dân, đối tượng người dùng có quan tâm có thể tra cứu, tìm hiểu thôngtin về doanh nghiệp nhà nước trên Cổng thông tin điện tử của UBND tỉnhVĩnh Long
Trang 8Phần II: SỰ CẦN THIẾT ĐẦU TƯ
1 Phân tích hiện trạng
1.1 Phạm vi và nội dung khảo sát
- Khảo sát hiện trạng về quy mô, hạ tầng kỹ thuật công nghệ Cổng thông tin điện
tử của UBND tỉnh Vĩnh Long
- Khảo sát quy trình, nghiệp vụ, nội dung thông tin Cổng thông tin điện tử củaUBND tỉnh Vĩnh Long
1.2 Phân tích hiện trạng
1.2.1 Phân tích hiện trạng phần mềm Cổng
- Cổng thông tin điện tử của UBND tỉnh Vĩnh Long hoạt động trên mạng Internetđược nâng cấp mở rộng năm 2013 trên nền tảng công nghệ DNNSoftware (DotNetNukePortal 7.2) bao gồm: 13 cổng, trong đó có 8 huyện thị và thành phố và 5 Cổng thông tindịch vụ ở các lĩnh vực: Thủ tục hành chính, Thông tin chỉ đạo điều hành, Công báo tỉnh,Văn bản quy phạm pháp luật và điều hành và Cổng thông tin Văn phòng UBND tỉnh
- Ngoài ra, còn có Cổng thông tin nội bộ phục vụ điều hành bao gồm các lĩnh vực:Khiếu nại tố cáo của Công dân, quản lý các chương trình viện trợ phi Chính phủ, Thi đuakhen thưởng, Văn bản chỉ đạo điều hành của UBND tỉnh và cung cấp thông tin tra cứu hồ
sơ lưu trữ, Chương trình làm việc của UBND tỉnh
Trang 9 Mô hình tổng thể toàn hệ thống Cổng thông tin tại thời điểm khảo sát:
Module chức năng cơ bản của Cổng thông tin
Module chức năng cung cấp dịch vụ và thông tin
Cổng thông tin điện tử Internet
Tra cứu Văn bản điều hành
Tra cứu Văn bản điều hành
Dự án viện trợ Phi Chính phủ
Dự án viện trợ Phi Chính phủ
Tra cứu Công báo
Tra cứu Công báo
Tra cứu HS Khiếu nại tố cáo
Tra cứu HS Khiếu nại tố cáo
Tra cứu HS Thi đua khen thưởng
Tra cứu HS Thi đua khen thưởng
Tra cứu Hồ sơ lưu trữ
Tra cứu Hồ sơ lưu trữ
Chương trình làm việc UBND tỉnh
Tra cứu Thủ tục hành chính
Tra cứu Thủ tục hành chính
Quản lý tin tức
Quản lý tin tức
CSDL Cổng thông tin Internet
Quản lý cổng con
Quản lý cổng con
Quản lý người dùng
Quản lý người dùng
Quản lý trang
Quản lý trang Quản lý giao diện
Quản lý giao diện
Quản lý truy cập
Quản lý truy cập
Quản lý khảo sát
Quản lý hỏi đáp
Quản lý hỏi đáp
Quản lý liên kết
Quản lý liên kết
Quản lý khác
Quản lý khác
Quản lý phân quyền
Quản lý phân quyền Quản lý files
Tra cứu Văn bản QPPL
Tra cứu Văn bản QPPL
Mô hình tổng thể các chức năng hệ thống Cổng thông tin điện tử của UBND tỉnh baogồm:
- Vĩnh Long Portal: Cổng thông tin điện tử của UBND tỉnh trên Internet và Cổng
thông tin điện tử điều hành nội bộ
- Các module chức năng cơ bản của Cổng thông tin:
o Quản lý tin tức: cung cấp quản lý tin bài, biểu mẫu hiển thị tin tức, quy trìnhduyệt tin và xuất bản tin…
o Quản lý cổng con: cung cấp chức năng quản lý thông tin các cổng thông tin con
o Quản lý người dùng: quản lý thông tin tất cả người dùng trong hệ thống
o Quản lý trang: quản lý thông tin trang cho từng cổng thông tin
o Quản lý giao diện: thay đổi các giao diện cổng, giao diện module
o Quản lý khảo sát: quản lý các câu hỏi khảo sát, kết quả khảo sát…
o Quản lý hỏi đáp: quản lý các câu hỏi và thông tin trả lời cho người dân
Trang 10o Quản lý liên kết: quản lý các liên kết với các trang thông tin khác
o Quản lý phân quyền: quản lý phân quyền sử dụng các module, trang, cổngthông tin
o Quản lý files: quản lý hình ảnh, file đính kèm
- Các module chức năng cung cấp dịch vụ và thông tin:
o Thủ tục hành chính: cung cấp thông tin thủ tục hành chính, quản lý việc cậpnhật thông tin
o Chương trình làm việc UBND tỉnh, lịch xe: cung cấp thông tin chương trìnhlàm việc UBND tỉnh hàng tuần, lịch – xăng xe
o Khiếu nại tố cáo: trích xuất từ CSDL quản lý Hồ sơ Khiếu nại tố cáo và hiển thịtrên Cổng thông tin phục vụ tra cứu, báo cáo
o Thi đua khen thưởng: trích xuất từ CSDL quản lý Hồ sơ Thi đua khen thưởng
và hiển thị trên Cổng thông tin phục vụ tra cứu, báo cáo
o Tra cứu hồ sơ lưu trữ: trích xuất từ CSDL hồ sơ lưu trữ và hiển thị trên cổngthông tin phục vụ tra cứu, báo cáo
o Quy phạm pháp luật: Quản lý văn bản quy phạm pháp luật
o Chương trình viện trợ phi Chính phủ
o Văn bản điều hành: trích xuất từ CSDL quản lý Văn bản điều hành của UBNDtỉnh
- Cơ sở dữ liệu: bao gồm các CSDL của Cổng thông tin điện tử của UBND tỉnh
và Cổng thông tin điều hành nội bộ
- Hệ thống khác: chứa các CSDL từ các hệ thống có sẵn phục vụ trích xuất dữ liệu.
1.2.2 Phân tích hiện trạng hạ tầng kỹ thuật
* Mô hình kết nối hệ thống
Trang 11Internet2 Internet1
Vùng an toàn
DC DataBase Lotus Domino
Asa 5505 Asa 5520
FW TTTHDL
DataBase Lotus Domino
Vùng Application
Mô hình chuẩn để cài đặt hệ thống Cổng thông tin bao gồm:
- Web Server: cài đặt HTTP Webserver tại vùng DMZ tiếp nhận các request từ
các trình duyệt gửi đến
- Database Server: cài đặt SQL Server 2012 tại vùng Application để lưu trữ dữ liệu.
- Portal framework: Hiện tại vào hệ thống Cổng thông tin điện tử của UBND
tỉnh đang vận hành sử dụng phiên bản DNNSoftware (NetNuke Portal) phiên bản 7.2 và
sử dụng CSDL Micrsoft SQL Server 2012 để lưu trữu dữ liệu
- Công dân: thông qua đường truyền Internet để truy cập vào Cổng thông tin điện
tử của UBND tỉnh trên Internet
- Các đơn vị sở ban ngành và các huyện, thành phố: thông qua mạng tin học củaUBND tỉnh (WAN) để truy cập vào hệ thống Cổng thông tin điều hành nội bộ để truyxuất thông tin
1.3 Đánh giá hiện trạng
Cổng thông tin điện tử của Uỷ ban nhân dân tỉnh Vĩnh Long sau khi được nângcấp, mở rộng đã đã trở thành kênh thông tin kết nối hiệu quả giữa các cơ quan nhà nước,cung cấp thông tin phục vụ người dân, doanh nghiệp; là nền tảng để xây dựng mới cácphần mềm dịch vụ công trực tuyến hoặc từng bước tích hợp thêm vào các ứng dụngchuyên ngành liên quan đến các hoạt động quản lý, chỉ đạo điều hành của Uỷ ban nhândân tỉnh; tạo nền tảng sẵn sàng cho việc xây dựng “Chính quyền điện tử” tại Tỉnh VĩnhLong
Trang 12Tuy nhiên, hiện tại Cổng thông tin điện tử của Uỷ ban nhân dân tỉnh Vĩnh Longchưa có Chuyên mục Hỗ trợ doanh nghiệp và Chuyên mục công bố thông tin doanhnghiệp nhằm cung cấp thông tin về chương trình, chính sách hỗ trợ doanh nghiệp trên địabàn tỉnh Điều này là cần thiết để đảm bảo thông tin được truyền tải đến Doanh nghiệpmột cách nhanh chóng và kịp thời.
Về hiện trạng hạ tầng kỹ thuật của Cổng thông tin điện tử của UBND tỉnh VĩnhLong đáp ứng được nhu cầu hiện tại và có thể mở rộng xây dựng thêm Chuyên mục Hỗtrợ Doanh nghiệp trên Cổng, nhưng trong thời gian tới cần đầu tư nâng cấp trang thiết bị
để đảm bảo ổn định, hoạt động xuyên suốt và đảm bảo an ninh, an toàn thông tin
2 Mục tiêu đầu tư:
- Xây dựng Chuyên mục thuộc Cổng thông tin điện tử của UBND tỉnh Vĩnh Longnhằm phổ biến thông tin về các chương trình, chính sách hỗ trợ doanh nghiệp trên địabàn tỉnh Cung cấp các văn bản, số liệu thống kê liên quan đến hoạt động của doanhnghiệp giúp doanh nghiệp tiếp cận thông tin một cách nhanh chóng, chính xác và kịpthời
- Xây dựng Module Công bố thông tin doanh nghiệp tích hợp vào Cổng thông tinđiện tử của UBND tỉnh Vĩnh Long Các chức năng của module đáp ứng yêu cầu công
bố thông tin Doanh nghiệp nhà nước theo Nghị định số 81/2015/NĐ-CP ngày 18tháng 09 năm 2015 với các nội dung chủ yếu sau:
o Công bố thông tin doanh nghiệp nhà nước
o Công bố Chiến lược phát triển của Doanh nghiệp
o Công bố Kế hoạch sản xuất kinh doanh và đầu tư phát triển năm (05) năm củaDoanh nghiệp
o Công bố Kế hoạch sản xuất kinh doanh và đầu tư phát triển hàng năm củaDoanh nghiệp
o Công bố Báo cáo đánh giá về kết quả thực hiện kế hoạch sản xuất kinh doanhhàng năm và ba năm gần nhất tính đến năm báo cáo
o Công bố Báo cáo kết quả thực hiện các nhiệm cụ công ích và trách nhiệm xãhội khác (nếu có)
o Công bố Báo cáo tình hình thực hiện sắp xếp, đổi mới doanh nghiệp hàng năm
o Công bố Báo cáo thực trạng quản trị và cơ cấu tổ chức của doanh nghiệp
o Công bố Báo cáo tài chính sáu tháng và báo cáo tài chính năm của doanhnghiệp
Trang 13o Công bố Báo cáo chế độ tiền lương, tiền thưởng của doanh nghiệp
Trang 14Phần III: THUYẾT MINH GIẢI PHÁP KỸ THUẬT CÔNG NGHỆ
1 Phần thuyết minh nội dung thiết kế:
1.1 Tóm tắt các nhiệm vụ thiết kế:
- Thiết kế các trường hợp sử dụng (use-case) trong xây dựng phần mềm
- Phân tích các nội dung dịch vụ kỹ thuật phần mềm:
+ Triển khai, vận hành đưa vào sử dụng mô hình phần mềm
+ Tập huấn sử dụng phần mềm
+ Tập huấn quản trị hệ thống
+ Cập nhật cơ sở dữ liệu
+ Nâng cấp, duy trì, bảo trì phần mềm
- Các thông tin cần có của Chuyên mục hỗ trợ doanh nghiệp trên Cổng thông tin:
+ Giới thiệu về Chuyên mục Hỗ trợ doanh nghiệp
+ Tin tức trong và ngoài nước
+ Thông báo thông tin đến doanh nghiệp+ Chính sách hỗ trợ doanh nghiệp
+ Chương trình hỗ trợ doanh nghiệp
+ Tư liệu có liên quan
+ Số liệu thống kê
+ Đối thoại với doanh nghiệp (hỏi - đáp)
+ Thăm dò ý kiến
+ Thông tin liên hệ hỗ trợ
+ Liên kết đến các trang thông tin của các cơ quan nhà nước
- Các kênh thông tin cần có của Chuyên mục Công bố thông tin doanh nghiệp trênCổng thông tin:
+ Công bố Chiến lược phát triển của Doanh nghiệp+ Công bố Kế hoạch sản xuất kinh doanh và đầu tư phát triển năm (05) nămcủa Doanh nghiệp
Trang 15+ Công bố Kế hoạch sản xuất kinh doanh và đầu tư phát triển hàng nămcủa Doanh nghiệp
+ Công bố Báo cáo đánh giá về kết quả thực hiện kế hoạch sản xuất kinhdoanh hàng năm và ba năm gần nhất tính đến năm báo cáo
+ Công bố Báo cáo kết quả thực hiện các nhiệm cụ công ích và tráchnhiệm xã hội khác (nếu có)
+ Công bố Báo cáo tình hình thực hiện sắp xếp, đổi mới doanh nghiệphàng năm
+ Công bố Báo cáo thực trạng quản trị và cơ cấu tổ chức của doanh nghiệp + Công bố Báo cáo tài chính sáu tháng và báo cáo tài chính năm của doanhnghiệp
+ Công bố Báo cáo chế độ tiền lương, tiền thưởng của doanh nghiệp
1.2 Các văn bản áp dụng trong thiết kế:
Nghị định số 43/2011/NĐ-CP ngày 13 tháng 06 năm 2011 của Chính phủ Quyđịnh về việc cung cấp thông tin và dịch vụ công trực tuyến trên trang thông tin điện tửhoặc cổng thông tin điện tử của cơ quan nhà nước;
Thông tư số 26/2009/TT-BTTTT ngày 31 tháng 07 năm 2009 của Bộ Thông tin vàTruyền thông Quy định về việc cung cấp thông tin và đảm bảo khả năng truy cập thuậntiện đối với trang thông tin điện tử của cơ quan nhà nước;
Thông tư số 22/2013/TT-BTTTT ngày 23 tháng 12 năm 2013 của Bộ Thông tin vàTruyền thông Ban hành danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tintrong cơ quan nhà nước;
Công văn số 1654/BTTTT-ƯDCNTT ngày 27 tháng 05 năm 2008 của Bộ Thôngtin và Truyền thông về hướng dẫn các yêu cầu cơ bản về chức năng, tính năng kỹ thuậtcủa Cổng thông tin điện tử;
Một số yêu cầu khác trong thiết kế, xây dựng:
- Quản lý cơ sở dữ liệu tập trung
- Quản lý thông tin đa cấp, đa ngành, phù hợp cho các loại hình cơ quan với nhiềuphòng ban, đơn vị trực thuộc
- Giao diện thân thiện, dễ sử dụng, hướng dẫn chi tiết trong từng chức năngchương trình
- Phân quyền, phân cấp bảo mật dữ liệu, phân quyền sử dụng đến từng chức năng,phân quyền cập nhật truy xuất dữ liệu theo phân cấp quản lý của người dùng
Trang 16- Cung cấp chức năng lưu trữ dự phòng và phục hồi dữ liệu khi có sự cố.
- Hệ thống có cấu trúc mở, sử dụng các công nghệ mới để có thể dễ dàng bổ sungnâng cấp các chức năng mà không phá vỡ hay xây dựng lại hệ thống
- Khả năng liên kết, tích hợp chia sẻ thông tin
1.3 Danh mục quy chuẩn, tiêu chuẩn kỹ thuật áp dụng
Phần mềm phải đáp ứng theo các tiêu chuẩn kỹ thuật về ứng dụng CNTT trong cơquan nhà nước (Ban hành kèm theo Thông tư số 22/2013/TT-BTTTT ngày 23 tháng 12năm 2013 của Bộ trưởng Bộ Thông tin và Truyền thông):
tiêu chuẩn
Ký hiệu tiêu chuẩn
Tên đầy đủ của tiêu chuẩn
HTTP v1.1 Hypertext Transfer
Protocol version 1.1
WebDAV Web-based Distributed
Authoring and Versioning
Khuyến nghị ápdụng
1.4 Truyền thư điện
tử
SMTP/MIME Simple Mail Transfer
Protocol/MultipurposeInternet MailExtensions
Access Protocol version 4 , revision 11.6 Truy cập
thư mục
LDAP v3 Lightweight Directory
Access Protocolversion 3
Bắt buộc áp dụng
1.7 D/vụ tên miền DNS Domain Name System Bắt buộc áp dụng
Trang 171.12 Mạng cục bộ
không dây
IEEE 802.11g Institute of Electrical
and ElectronicsEngineers Standard(IEEE) 802.11g
Bắt buộc áp dụng
IEEE 802.11n Institute of Electrical
and Electronics Engineers Standard (IEEE) 802.11n
Khuyến nghị ápdụng
1.13 Truy cập Internet
với thiết bị
không dây
WAP v2.0 Wireless Application
Protocol version 2.0 Bắt buộc áp dụng
ba tiêu chuẩnWSDL v1.1 Web Services
Description Language version 1.1
UDDI v3 Universal Description,
Discovery and Integration version 3WMS v1.3.0 OpenGIS Web Map
Service version 1.3.0 Bắt buộc áp dụng1.15 Dịch vụ đồng bộ
Trang 182.1 Ngôn ngữ định
dạng văn bản
XML v1.0(5thEdition)
Extensible MarkupLanguage version 1.0(5th Edition)
Bắt buộc áp dụng
XML v1.1 Extensible Markup
Language version 1.12.2 Ngôn ngữ định
XML Schema version1.0
2.6 Mô tả tài nguyên
dữ liệu
RDF Resource Description
Framework
Khuyến nghị ápdụng
2.7 Trình diễn bộ kí
tự
UTF-8 8-bit Universal
Character Set (UCS)/
Unicode Transformation Format
Khuyến nghị ápdụng
truy cập
Trang 19Bắt buộc áp dụngmột trong hai tiêu chuẩnXSL v1.1 Extensible Stylesheet
Language version 1.13.4 Văn bản (.txt) Định dạng Plain Text
(.txt): Dành cho các tàiliệu cơ bản không cócấu trúc
Bắt buộc áp dụng
(.rtf) v1.8,v1.9.1
Định dạng Rich Text(.rtf) phiên bản 1.8,1.9.1: Dành cho cáctài liệu có thể trao đổigiữa các nền khácnhau
Bắt buộc áp dụng
(.pdf) v1.4,v1.5, v1.6, v1.7
Định dạng PortableDocument (.pdf) phiênbản 1.4, 1.5, 1.6, 1.7:
Dành cho các tài liệuchỉ đọc
Bắt buộc áp dụngmột, hai hoặc cả
ba tiêu chuẩn
(.doc) Định dạng văn bản
Word của Microsoft(.doc) phiên bảnWord 1997-2003(.odt) v1.0 Định dạng Open
Document Text (.odt)phiên bản 1.0
Trang 203.5 Ảnh đồ họa JPEG Joint Photographic
Expert Group (.jpg)
Bắt buộc áp dụngmột, hai, ba hoặc
cả bốn tiêu chuẩnGIF v89a Graphic Interchange
(.gif) version 89aTIFF Tag Image File (.tif)PNG Portable Network
Graphics (.png)3.6 Bộ ký tự và
mã hóa
ASCII American Standard
Code for InformationInterchange
TCVN 6909:2001
“CNTT - Bộ mã ký tựtiếng Việt 16-bit”
Bắt buộc áp dụng
3.8 Nén dữ liệu Zip Zip (.zip) Bắt buộc áp dụng
một hoặc cả hai tiêu chuẩn
GNU Zip v4.3 GNU Zip (.gz) version
Bắt buộc áp dụng
Open PGP Open PGP Khuyến nghị áp
dụng4.2 An toàn tầng giao
vận
SSH v1.0 Secure Shell version
1.0
Bắt buộc áp dụngmột trong hai tiêu chuẩnSSH v2.0 Secure Shell version
2.0SSL v3.0 Secure Socket Layer
version 3.0
Bắt buộc áp dụngmột trong hai tiêu chuẩnTLS v1.2 Transport Layer
Trang 21Security version 1.24.3 An toàn truyền
over Secure SocketLayer
4.4 An toàn truyền
thư điện tử
SMTPS Simple Mail Transfer
Protocol over SecureSocket Layer
Bắt buộc áp dụng
4.5 An toàn dịch vụ
truy cập
hộp thư
POPS Post Office Protocol
over Secure Socket Layer
Bắt buộc áp dụngmột hoặc cả hai tiêu chuẩnIMAPS Internet Message
Access Protocol over Secure Socket Layer4.6 An toàn dịch vụ
DNS
DNSSEC Domain Name System
Security
Khuyến nghị ápdụng
4.7 An toàn
tầng mạng
IPsec - IP ESP Internet Protocol
security với IP ESP
Bắt buộc áp dụng
4.8 An toàn TT mạng
không dây Wi-fi
WPA2 Wi-fi Protected
Encryption Standard
Khuyến nghị ápdụng
RSA
Rivest-Shamir-Adleman
Khuyến nghị ápdụng
2 Tiêu chuẩn kỹ thuật, công nghệ và đề xuất sử dụng trong hoạt động ứng
Trang 22- Giao diện được trình bày khoa học, hợp lý và đảm bảo mỹ thuật hài hòa với mụcđích của Chuyên mục hỗ trợ Doanh nghiệp và Chuyên mục công bố thông tin doanhnghiệp, tuân thủ các chuẩn về truy cập thông tin.
- Tương thích với các trình duyệt Web thông dụng
- Hỗ trợ hiển thị trên các thiết bị di động như: Mobile, Tablet
Yêu cầu về kết nối, tích hợp dữ liệu và truy cập thông tin
- Đảm bảo tính tương thích, kế thừa về kết nối và tích hợp thông tin hệ thốngCổng thông tin điện tử bằng tiếng Việt của UBND tỉnh đang vận hành
- Thống nhất tiêu chuẩn tích hợp dữ liệu và truy cập thông tin:
từ xa SOAP v1.2 , WSDL v1.1 , UDDI v3, chuẩn về tích hợp dữ liệu XML v1.0
- Khả năng thiết lập các kênh thông tin dễ dàng lên cổng
o Kênh thông tin xuất bản dựa trên tiêu chuẩn trao đổi và chia sẻ
o Kênh thông tin trao đổi sử dụng dịch vụ web (Web Services, WSRP1.0/WSRP 2.0)
o Có cơ chế tự động phân tích cấu trúc trang Web trên Internet đang cung cấpchính thức các dịch vụ tiện ích và cập nhật tự động các tiện ích
- Có cơ chế tự động tổng hợp (trích và bóc tách) thông tin từ các cổng/trang thôngtin của đơn vị trực thuộc, các cổng/trang thông tin trên Internet, đồng thời cũng có khảnăng chia sẻ thông tin trên cổng cho các cổng/trang thông tin khác
- Hỗ trợ hai phương thức tích hợp đối với dịch vụ ứng dụng trực tuyến:
o Tích hợp nguyên vẹn: tích hợp toàn bộ trang thông tin của ứng dụng vàoCổng (hay còn gọi là Web-cliping)
Trang 23o Tích hợp dữ liệu: Cổng có khả năng tổng hợp thông tin (có cấu trúc và địnhdạng tuân thủ theo tiêu chuẩn về chia sẻ và trao đổi thông tin) do ứng dụng trực tuyếncông bố; Phương thức này yêu cầu trang web/dịch vụ được tích hợp phải xuất ra cácthông tin trao đổi theo chuẩn thống nhẩt
Yêu cầu về an toàn, bảo mật
- Hệ thống phải đáp ứng khả năng an toàn, bảo mật theo nhiều mức: mức mạng,mức xác thực người sử dụng, mức CSDL
- Có cơ chế chứng thực giữa các máy chủ trong hệ thống
- Cung cấp các báo cáo vận hành hệ thống
- Hỗ trợ người sử dụng trao đổi thông tin, dữ liệu với cổng trên mạng Internet theocác chuẩn về an toàn thông tin như S/MINE v3.0, SSL v3.0, HTTPS,
- Có cơ chế theo dõi và giám sát, lưu vết tất cả các hoạt động cho mỗi kênh thôngtin và toàn hệ thống
- Toàn bộ các dữ liệu cần quản lý, phải được lưu trong CSDL được mã hóa vàphân quyền truy cập chặt chẽ
Yêu cầu về sao lưu, phục hồi dữ liệu
- Phải có cơ chế sao lưu dữ liệu định kỳ, đột xuất đảm bảo nhanh chóng đưa hệthống hoạt động trở lại trong trường hợp có sự cố xảy ra:
- Các dữ liệu cần sao lưu:
o Dữ liệu cấu hình hệ thống (Quản lý người sử dụng; cấu hình thiết lập kênhthông tin…)
o Cơ sở dữ liệu lưu trữ nội dung
o Các dữ liệu liên quan khác
- Có cơ chế phục hồi dữ liệu khi hệ thống gặp sự cố
2.2 Yêu cầu về thiết kế CSDL
CSDL được thiết kế phải đảm bảo đầy đủ về chức năng và có đầy đủ các tài liệuphân tích hoặc mô tả kèm theo
- Các ràng buộc toàn vẹn trong CSDL phải được thiết kế đầy đủ và chặt chẽ, đồngthời đảm bảo được tính nhất quán cao
- Việc cập nhật CSDL nên sử dụng các thủ tục bên trong (Stored Procedures) đốivới các giao dịch có số lượng người sử dụng tương đối thấp
Trang 24- Phải có cơ chế ghi lại nhật ký của tất cả các quá trình thao tác trên CSDL, đồngthời phải có cơ chế giám sát mọi truy cập vào CSDL.
- Nên sử dụng cơ chế lập chỉ mục (Index) hoặc phân mảnh CSDL để tăng cườngtốc độ truy xuất CSDL
- CSDL phải được thiết kế đảm bảo được tính phân quyền truy cập theo từng cấp
- Thiết kế cơ sở dữ liệu phải đạt chuẩn 3NF
- Phải đáp ứng được sự mở rộng trong tương lai
- Phải tính đến mức độ gia tăng dữ liệu của hệ thống
2.3 Cơ chế bảo mật
Ngăn chặn SQL Injection
- Tham số hoá dữ liệu nhập của người dùng vào câu lệnh SQL, sau đó binding dữliệu; trường hợp ngôn ngữ lập trình không hỗ trợ thì khắc phục bằng cách xử lý câu lệnhSQL trước khi thực thi
- Không được truyền trực tiếp câu lệnh SQL trên các tham số GET hoặc POST
- Các thông báo lỗi nên hạn chế chứa các thông tin truy xuất dữ liệu
- Hạn chế tối thiểu các quyền của các account truy xuất dữ liệu, đảm bảo cácaccount này chỉ có những quyền cơ bản và cần thiết để truy cập CSDL
Ngăn chặn OS Command Injection
- Tránh sử dụng các hàm có gọi đến các shell command (OS command)
- Khi sử dụng hàm có gọi lệnh shell, kiểm tra tất cả các biến là thông số của lệnhnày, và đảm bảo rằng chỉ thực thi các hàm được hỗ trợ
Ngăn chặn Unchecked PathName
- Không cho phép chỉ định trực tiếp tên của tập tin được lưu trữ trên máy chủ bằngcách sử dụng tham số GET, POST
- Sử dụng một thư mục cố định để xử lý tên tập tin và kiểm tra các ký tự đặc biệt:
“.”, “ ” trong trường hợp cho phép chỉ định tên file thông qua tham số GET hoặc POST
Improper Session Management
- Tạo session ID khó đoán
- Không dùng các tham số trên URL để lưu trữ session ID
- Đặt các thuộc tính bảo mật cho cookie khi dùng HTTPs
Trang 25- Tạo session ID mới sau khi đăng nhập; tạo ra một mật mã sau khi đăng nhập vàchứng thực người dùng bằng mật mã này bất cứ khi nào người dùng duyệt web.
- Dùng thuật toán tạo session ID ngẫu nhiên
- Đặt thời gian hết hạn cookie thật cẩn thận khi lưu trữ session ID trên cookie
An toàn cho máy chủ Web
- Loại bỏ toàn bộ các dịch vụ không cần thiết khỏi Webserver như dịch vụ truyềntệp FTP (chỉ giữ lại nếu thật cần thiết) Mỗi dịch vụ không cần thiết sẽ bị lợi dụng để tấncông hệ thống nếu không có chế độ bảo mật tốt
- Giới hạn số người có quyền quản trị hay truy cập mức tối cao (root)
- Tạo các log file theo dõi hoạt động của người sử dụng và duy trì các log file nàybằng cách mã hoá
- Hệ thống điều khiển log file thông thường được sử dụng cho bất kỳ hoạt độngnào Cài đặt các bẫy chính sách kiểm soát để xem các tấn công vào máy chủ Khi có bất
kỳ thay đổi nào được kiểm tra hệ thống sẽ gửi một email tới nhà quản lý hệ thống đểthông báo
- Đăng ký và cập nhật định kỳ các bản sửa lỗi mới nhất về an toàn, bảo mật từ cácnhà cung cấp
- Nếu hệ thống phải được quản trị từ xa nên sử dụng kết nối bảo mật được mã hóa.Không sử dụng telnet hay ftp với user là anynomous (đòi hỏi một username và passwordcho việc truy cập) từ bất cứ site không được chứng thực nào Tốt hơn, hãy giới hạn số kếtnối trong các hệ thống bảo mật và các hệ thống bên trong mạng Intranet
- Chạy webserver trong các thư mục đã được đặt quyền truy cập và quyền sửdụng, vì vậy chỉ có người quản trị mới có thể truy cập hệ thống thực
- Thực hiện toàn bộ việc cập nhật từ mạng Intranet Thường xuyên backup dữ liệu
và phần mềm cổng thông tin để kịp thời cập nhật và khắt phục sự cố
- Quét Webserver theo định kỳ với các công cụ như ISS (RealSecure ServerSensor) hay nmap (Network Mapper, phần mềm nguồn mở) để tìm kiếm lỗ hổng bảomật
- Trang bị phần mềm phát hiện truy nhập trái phép tới các máy chủ, đặt phần mềmnày cảnh báo các hành động nguy hiểm và bắt các session của chúng lại để xem Thôngtin này có thể giúp lấy được thông tin về cách thức phá hoại mạng, cũng như mức độ bảomật trong hệ thống
- Trang bị phần mềm antivirus cho server đặt chế độ autoprotect và quét định kỳ
để phát hiện kịp thời các file nhiễm virus do người dùng upload lên server
Trang 26- Trang bị firewall cho server (thường đi kèm theo phần mềm antivirus), hoặckhông có điều kiện thì dùng firewall sẵn có trên server (windows) Dùng firewall hạn chếtối thiểu các đường ra vào Chỉ cấu hình đúng cho những dịch vụ server đang chạy, tránh
bị các phần mềm giám điệp lợi dụng phát tán thông tin ra ngoài
- Cấu hình an toàn cho thư mục upload: thông thường thư mục upload là nơi cónhiều khả năng để bị tấn công, vì nơi này cho phép upload dữ liệu từ client lên server,nếu cấu hình không chặt, kiểm soát upload lỏng lẻo (lập trình) thì có thể bị tin tặc tấncông Vì vậy cấu hình trên webserver không cho thực thi các file trong thư mục upload(nếu hacker may mắn upload file thực thi được thì cũng không thể chạy)
- Cấu hình Isolate: Nếu trên server có nhiều website cùng chạy thì nên cấu hìnhngười dùng riêng biệt cho từng website Sau đó cấp quyền cụ thể cho người dùng nàytrên folder chứa website để có thể tránh bị lợi dụng hack local Thêm 1 điều lợi khi sửdụng user riêng biệt chúng ta dễ dàng kiểm soát process dựa vào user để biết website nàođang hoạt động quá tải do tấn công, hoặc nguyên nhân khác
- Phân quyền truy cập theo người dùng trên từng module chức năng, chỉ nhữngngười có quyền truy cập mới xem được nội dung tương ứng
Chính sách an toàn cho mật khẩu sử dụng
- Nâng cao tính an toàn của mật khẩu: Để dễ nhớ người dùng thường sử dụng cácthông tin liên quan đến cá nhân để đặt mật khẩu như ngày sinh, ngày kỷ niệm, tên ngườithân, Hacker thường có thể lần ra được các thông tin cá nhân bằng cách sử dụng “mánhkhóe” (social engineering) và dùng thông tin đó để bẻ mật khẩu Đặt mật khẩu bằng các
từ tối nghĩa có thể ngăn chặn được nguy cơ này
- Việc đặt mật khẩu không có các từ vẫn dùng hàng ngày và bằng các ký tự khácnhau là rất quan trọng, nhưng vẫn phải đảm bảo tính dễ nhớ Nên kết hợp các mẫu tự (cảthường và hoa) với chữ số và ký hiệu khi đặt mật khẩu Có thể làm được điều này bằngcách trộn lẫn nhiều nhóm ký tự vào nhau gồm: mẫu tự hoa như (như A, B, C, Z); mẫu
tự thường (như a, b, c, z); chữ số (như 0, 1, 2, 3, 9); ký tự đặc biệt (như $, #,? , &);các ký tự điều khiển (như µ, £ )
- Thường xuyên thay đổi mật khẩu bên cạnh việc tạo các mật khẩu khó đoán, việcthường xuyên thay đổi mật khẩu cũng có tầm quan trọng không kém Điều này rất cầnthiết trong trường hợp ai đó đã hoặc đang tìm cách dò mật khẩu
- Mật khẩu và chính sách an ninh mật khẩu kém có thể dẫn đến dữ liệu của mọi người
bị xâm phạm Chính sách an ninh của tổ chức bắt buộc phải đề cập đến mọi khía cạnh đểđảm bảo an toàn mật khẩu Trong đó, không chỉ nhấn mạnh đến tầm quan trọng tuyệt đối củacác mật khẩu chắc chắn, an toàn và trách nhiệm của từng người dùng trong việc bảo vệ mậtkhẩu của mình, mà còn phải vạch ra các bước người quản trị hệ thống cần tuân thủ để bảođảm tính bảo mật của hệ thống khi sử dụng cách bảo vệ bằng mật khẩu