Hình 1 .1 Quy trình đấu thầu tổng quát
Hình 1.7 Mô hình chi tiết hệ thống đấu thầu qua mạng
Lớp giao tiếp người dùng: Hỗ trợ giao tiếp giữa hệ thống mua sắm qua mạng với các đối tượng sử dụng hệ thống như Bên bán (Nhà thầu), Bên mua (Chủ đầu tư), và Bộ phận vận hành hệ thống, các đối tượng giao tiếp với hệ thống được mã hóa bảo mật bằng mã hóa SSL và chứng thực sử dụng chứng chỉ chữ ký số. Lớp giao tiếp với người dùng bao gồm các thành phần chức năng sau:
- Cổng thông tin điện tử (Portal): Hỗ trợ tất cả các tính năng của cổng thông tin (quản lý tài liệu, nội dung, làm việc nhóm, thông báo) cho người dùng hoặc nhóm người dùng để họ tương tác với các chức năng được hệ thống cấp phép theo vai trò.
- Module đăng ký người dùng: Quản lý đăng ký người dùng cho phép đăng ký sử dụng hệ thống, cấp phát định danh, mật khẩu và phát hành chứng chỉ chữ ký số cho tất cả người dùng trong hệ thống.
- Giao diện cá nhân hóa cho người dùng/nhóm người dùng: Tính năng cá nhân hóa giao diện của cổng thông tin cho người dùng
- Bảo mật/ chứng thực/ Quản lý luồng công việc: Thực hiện chức năng bảo mật, chứng thực và quản lý luồng công việc của toàn bộ hệ thống với các đối tượng sử dụng như trên.
Lớp xử lý nghiệp vụ: Là lớp ứng dụng xử lý tất cả các nghiệp vụ trong hệ thống mua sắm qua mạng bao gồm các thành phần chức năng chính:
- Đấu thầu qua mạng: Thực hiện tất cả các nghiệp vụ về đấu thầu trên môi trường mạng.
- Quản lý hợp đồng qua mạng: Chức năng quản lý các nghiệp vụ về thương thảo hợp đồng, ký kết và thực hiện hợp đồng trên môi trường mạng.
- Mua bán qua mạng: Chức năng thực hiện việc mua sắm hàng hóa trên môi trường mạng.
- Thanh toán qua mạng: Chức năng thực hiện các giao dịch thanh toán trên môi trường mạng.
Lớp cơ sở dữ liệu: Là lớp trong cùng nơi chứa cơ sở dữ liệu của toàn bộ hệ thống phục vụ cho việc xác thực người dùng, dữ liệu cho các nghiệp vụ ứng dụng ở trên. Đối với hệ thống đấu thầu qua mạng, lớp CSDL tối thiểu phải có những thành phần dữ liệu sau:
- CSDL về các văn bản quy phạm pháp luật về đấu thầu; - CSDL về các văn bản quy phạm pháp luật về TMĐT; - CSDL về hàng hoá;
- CSDL về chủ đầu tư, bên mời thầu; - CSDL về nhà thầu;
- CSDL về Dự án, Kế hoạch đấu thầu, Thông báo mời thầu, ….. …
1.3.5. Lộ trình triển khai hệ thống đấu thầu qua mạng
Như trên đã trình bày, dự án “Ứng dụng TMĐT trong mua sắm công” phục vụ việc triển khai hoạt động mua sắm công qua mạng nhằm đảm bảo các quá trình đấu thầu trong mua sắm công được công khai, minh bạch, cạnh tranh và hiệu quả kinh tế. Dự án có các mục tiêu tổng quát theo lộ trình từ nay đến 2015 như sau:
- Xây dựng hệ thống văn bản pháp lý về hoạt động đấu thầu qua mạng tại Việt nam nhằm tạo ra môi trường pháp lý thuận lợi thúc đẩy ứng dụng TMĐT vào quá trình đấu thầu mua sắm công.
- Xây dựng và kiện toàn bộ máy quản lý đấu thầu qua mạng, quy trình đấu thầu qua mạng, các quy định liên quan phục vụ cho công tác đấu thầu qua mạng tại Việt nam
- Đảm bảo các điều kiện về hạ tầng, cơ sở vật chất phục vụ quá trình triển khai ứng dụng đấu thầu qua mạng.
- Triển khai hệ thống nghiệp vụ đấu thầu qua mạng gồm các modul : eTendering, eShopping, eContract, ePayment cũng như các hệ thống giá trị gia tăng trên hệ thống này. Sẵn sàng kết nối và tích hợp với các hệ thống quản lý khác của Chính phủ điện tử Việt nam.
- Triển khai xây dựng tổ chức đào tạo nghiệp vụ đầu thầu qua mạng cho các cơ quan quản lý đấu thầu, các chủ đầu tư và cộng đồng các doanh nghiệp tham gia hệ thống đấu thầu qua mạng.
- Triển khai các chương trình nâng cao nhận thức với cộng đồng trong và ngoài nước về hệ thống đấu thầu điện tử tại Việt nam.
Để đạt được các mục tiêu trên, lộ trình triển khai từ nay đến 2015 chi thành 2 giai đoạn như sau:
Giai đoạn 1 (từ 2008 – 2010) với các mục tiêu cụ thể như sau:
- Về các cơ sở pháp lý: Hoàn thiện hệ thống cơ sở pháp lý để thực hiện mô hình thí điểm bao gồm: Quyết định của Thủ tướng đồng ý cho phép thực hiện thí điểm đấu thầu qua mạng, hướng dẫn của Bộ kế hoạch đầu tư về quy trình đấu thầu qua mạng, phân cấp các bên tham gia, Quyết định của Bộ KHĐT về hình thành đơn vị tổ chức vận hành đấu thầu qua mạng,
- Về quy trình đấu thầu: xây dựng quy trình chi tiết đấu thầu qua mạng cho giai đoạn thử nghiệm
- Về hạ tầng thông tin phục vụ công tác đấu thầu qua mạng bao gồm
o Xây dựng một trung tâm dữ liệu hiện đại đảm bảo phục vụ trước mắt và lâu dài các hoạt động đấu thầu qua mạng.
o Xây dựng và áp dụng hệ thống chứng thực số (CA) và chữ ký số nhằm đảm bảo việc bảo mật dữ liệu cho viê ̣c thực hiê ̣n ở mức giao di ̣ch trong TMĐT. Hệ thống này sẽ phối hợp chặt chẽ với Bộ Thông tin và Truyền thông để đưa vào ứng dụng hệ thống Root CA của quốc gia tại Bộ Kế hoạch và Đầu tư để phục vụ công tác chứng thực cho hoạt động mua sắm công. Nó giúp đẩy mạnh việc sử dụng chữ ký số và dịch vụ chứng thực chữ ký số trong công tác mua sắm qua mạng.
o Xây dựng cổng thông tin điện tử phục vụ đấu thầu qua mạng (Portal) nhằm cung cấp thông tin về đầu thầu của Chính phủ trên mạng Internet; đồng thời đáp ứng yêu cầu truy xuất thông tin phục vụ quá trình đấu thầu qua mạng.
o Trang bị một số các thiết bị, phương tiện khác phục vụ công tác triển khai và vận hành đấu thầu qua mạng
- Về thực hiện đấu thầu qua mạng, sẽ triển khai mô hình thử nghiệm e- Tendering với 3 đơn vị là EVN, VNPT và Hà Nội. Hệ thống thử nghiệm bao gồm 7 chức năng:
- Về tiếp thu và chuyển giao công nghệ: trong phạm vi giai đoạn thử nghiệm sẽ kết hợp với dự án KoiCa để tiếp nhận công nghệ đấu thầu qua mạng. Phía Việt Nam phải đảm bảo tiếp nhận toàn bộ kiến thức công nghệ bao gồm kiến trúc, tổ chức dữ liệu, phân tích thiết kế hệ thống, mã nguồn để đảm bảo khả năng làm chủ và phát triển hệ thống. - Về đào tạo bao gồm đào tạo đội ngũ vân hành hệ thống và đào tạo sử
dụng hệ thống cho các cơ quan và doanh nghiệp.
- Thực hiện công tác truyền thông nâng cao nhận thức của xã hội, đặc biệt của các cơ quan nhà nước và doanh nghiệp về lợi ích, hiệu quả của đấu thầu qua mạng.
Giai đoạn 2 (từ 2010 – 2015): Mở rộng phạm vi áp dụng cho toàn quốc, triển khai thêm các modul eShopping, eContract và ePayment.
Chƣơng 2 - TỔNG QUAN VỀ HẠ TẦNG CƠ SỞ MẬT MÃ KHOÁ CÔNG KHAI
______________________________________________________________________________________________________ _______
2.1. VẤN ĐỀ ĐẢM BẢO AN TOÀN THÔNG TIN
TMĐT đã và đang trở thành hình thức giao dịch trao đổi trong thế kỷ 21. TMĐT không chỉ giải quyết những yêu cầu thiết yếu, cấp bách trên các lĩnh vực như hệ thống giao dịch hàng hoá, điện tử hoá tiền tệ và phương án an toàn thông tin..., mà hoạt động thực tế của nó còn tạo ra những hiệu quả và lợi ích mà mô hình phát triển của thương mại truyền thống không thể sánh kịp (ví dụ, trường hợp hiệu sách Amazon, trang web đấu giá eBay). Tuy nhiên, khi một đối thủ cạnh tranh có thể truy nhập trái phép vào các thông tin trong quá trình giao dịch thì hậu quả sẽ rất nghiêm trọng. Có thể nói trong TMĐT thì các mối quan tâm về an toàn thông tin luôn phải được đặt lên hàng đầu.
Dự án đấu thầu điện tử thực chất là việc Ứng dụng TMĐT trong mua sắm công, vì vậy vấn đề an toàn trong hệ thống mạng đấu thầu điện tử, ngoài những yêu cầu bảo mật đặc thù đối với công tác đấu thầu, còn lại chính là các vấn đề an toàn trong TMĐT nói chung. Trước hết, ta xem xét vấn đề an toàn trong phạm vi TMĐT và đưa ra một cái nhìn tổng quan đồng thời nêu lên các giải pháp khắc phục.
Theo các chuyên gia, an toàn máy tính được chia thành 3 loại sau: loại đảm bảo tính bí mật (secrecy), loại đảm bảo tính toàn vẹn (integrity) và loại bảo đảm tính sẵn sàng (availability). Trong đó:
- Tính bí mật ngăn chặn việc khám phá trái phép dữ liệu và đảm bảo xác thực nguồn gốc dữ liệu.
- Tính toàn vẹn ngăn chặn sửa đổi trái phép dữ liệu.
- Tính sẵn sàng ngăn chặn, không cho phép làm trễ dữ liệu và chống chối bỏ.
Để bảo vệ các tài sản TMĐT, cần có các chính sách an toàn phù hợp, trong đó phải công bố những tài sản cần được bảo vệ và tại sao phải bảo vệ chúng, người chịu trách nhiệm bảo vệ, hoạt động nào được hoặc không được chấp nhận.
Một chính sách an toàn bao gồm những yếu tố đặc trưng sau:
- Tính xác thực: Phải nhận diện được ai là người đang cố gắng truy nhập?
- Khả năng kiểm soát truy nhập: Quy định ai là người được phép truy nhập?
- Tính bí mật: Ai là người được phép xem các thông tin có chọn lọc? - Tính toàn vẹn dữ liệu: Quy định ai là người được (không được) phép
thay đổi dữ liệu?
- Kiểm toán: Thống kê được tác nhân gây ra các biến cố, biến cố gì, xảy ra khi nào?
2.2.1. Các hiểm hoạ đối với TMĐT
Để nhận diện một cách toàn diện những nguy cơ có thể xẩy ra đối với TMĐT, ta hãy xem xét quy trình thực hiện: bắt đầu với khách hàng, qua môi trường mạng và kết thúc với máy chủ. Như vậy, một cách tự nhiên có thể thấy rằng các nguy cơ có thể đến từ những điểm như máy khách, kênh truyền thông, và máy chủ phục vụ.
2.2.1.1. Đối với máy khách
Nguy cơ bị tấn công thường đến từ một chương trình ẩn trong các chương trình khác hoặc trong các trang Web mà máy khách này truy cập (gọi là con ngựa Tơ roa). Bằng cách này, nó có thể thâm nhập vào máy khách và gửi các thông tin bí mật ngược trở lại đối tượng nào đó (xâm phạm tính bí mật). Thậm chí, nguy hiểm hơn, nó có thể sửa đổi và xoá bỏ thông tin trên máy khách đó (xâm phạm tính toàn vẹn).
2.2.1.2. Đối với kênh truyền thông
Kênh truyền thông được sử dụng để kết nối các máy khách và máy chủ , trong TMĐT, kênh truyền thông chủ yếu là internet).
Như ta đã biết, các thông điệp trên Internet được gửi đi theo một đường dẫn ngẫu nhiên, từ nút nguồn tới nút đích. Không có gì đảm bảo rằng tất cả các máy tính mà thông báo đi qua trên Internet đều tin cậy, an toàn. Vì không thể kiểm soát được đường dẫn và vị trí các gói của thông báo, những đối tượng trung gian có thể đọc, sửa đổi, hoặc thậm chí có thể loại bỏ hoàn toàn các thông báo ra khỏi Internet. Và như vậy, tính bí mật, tính toàn vẹn và tính sẵn sàng bị vi phạm. Sau đây, NVLV sẽ trình bày chi tiết các mối hiểm hoạ đối với an toàn kênh trên Internet dựa vào sự phân loại này.
Các mối hiểm hoạ đối với tính bí mật, tính riêng tư
Xâm phạm tính bí mật và tính riêng tư là hai trong những mối hiểm hoạ hàng đầu và rất phổ biến. Tính bí mật và tính riêng tư là hai vấn đề khác nhau. Đảm bảo bí mật là ngăn chặn khám phá trái phép thông tin. Đảm bảo tính riêng tư là bảo vệ các quyền cá nhân trong việc chống khám phá.
Một trong những phương pháp xâm phạm tính bí mật là sử dụng một phần mềm đặc biệt, gọi là chương trình đánh hơi (sniffer) tức là đưa ra các cách móc nối vào Internet và ghi lại các thông tin đi trên đường đi từ nguồn tới đích.
Các hiểm hoạ đối với tính toàn vẹn
Mối hiểm hoạ đối với tính toàn vẹn là khi một thành viên trái phép có thể sửa đổi các thông tin trong một thông báo.
Giả mạo (Masquerading) hoặc đánh lừa (spoofing) là một trong những cách phá hoại Web site. Ví dụ, bằng cách sử dụng kẽ hở trong hệ thống tên miền (DNS), hacker có thể thay thế vào đó các địa chỉ Web site giả của chúng. Khi đó khách hàng sẽ gửi thông tin về giao dịch (trong đó chứa nhiều thông tin quan trọng như mật khẩu, tài khoản, ...) của mình đến website giả mạo kia.
Các hiểm hoạ đối với tính sẵn sàng
Mục đích của việc xâm phạm tính sẵn sàng là phá vỡ quá trình xử lý thông thường của máy tính, hoặc chối bỏ toàn bộ quá trình xử lý. Một máy tính khi vấp phải hiểm hoạ này, quá trình xử lý của nó thường bị chậm lại với một tốc độ khó chấp nhận.
Các tấn công chối bỏ có thể xoá bỏ toàn bộ hoặc loại bỏ một phần các thông tin trong một file hoặc một cuộc liên lạc.
2.2.1.3. Các mối hiểm hoạ đối với máy chủ
Máy chủ là liên kết thứ 3 trong bộ ba máy khách - Internet - máy chủ (Client – Internet – Server), bao gồm đường dẫn TMĐT giữa một người sử dụng và một máy chủ thương mại.
Một trong những hiểm hoạ lớn nhất là lộ file chứa mật khẩu và tên người dùng của máy chủ Web. Bên cạnh đó là khả năng dễ bị lộ mật khẩu khi người sử dụng đặt mật khẩu theo một số quy luật hoặc dùng thông tin về những người thân của mình làm mật khẩu.
Tiếp đến là hiểm hoạ đối với CSDL được lưu trữ trên máy chủ, hầu hết các hệ thống cơ sở dữ liệu có quy mô lớn và hiện đại sử dụng các đặc tính an toàn cơ sở dữ liệu dựa vào mật khẩu và tên người dùng. Tính bí mật luôn sẵn sàng trong các cơ sở dữ liệu, thông qua các đặc quyền được thiết lập trong cơ sở dữ liệu. Một trong những mối đe doạ là thực hiện giáng cấp các thông tin quan trọng (tức là đưa những thông tin quan trọng ra ngoài vùng ít được bảo vệ, khi đó người dùng bình thường cũng có thể truy cập những thông tin này)
Như vậy có thể nói, an toàn TMĐT vô cùng quan trọng. Để thực thi an toàn cho TMĐT, chúng ta phải bảo vệ cả 3 thành phần có thể bị xâm phạm ở trên.
Việc bảo vệ các máy khách có thể thực hiện thông qua việc nhúng Chứng chỉ số vào trong các thông báo hoặc một trang Web nào đó. Khi một chương trình được tải xuống có chứa một chứng chỉ số, nó nhận dạng nhà phát hành phần mềm và thông báo thời hạn hợp lệ của chứng chỉ.
Để thực thi an toàn cho kênh truyền thông, trước hết phải cung cấp tính riêng tư cho các giao dịch. Để thực thi yêu cầu này, không gì tốt hơn là sử dụng các phương pháp mã hoá.
Chi tiết về mã hoá NVLV xin trình bày ở chương sau. Hiện nay có một số thuật toán mã hoá và giải mã thường được sử dụng như DES, 3DES, AES, ECC, IDEA, RC5, RC6, RSA, SHA1, và digest (Hash).
Một máy chủ hoặc trình duyệt an toàn sử dụng một hoặc nhiều thuật toán này khi nó mã hoá thông tin. Câu hỏi ở đây là Tại sao có nhiều hơn một thuật toán? Liệu một thuật toán có thể thoả mãn tất cả các yêu cầu an toàn không? Lý do là các thuật toán khác nhau có độ mạnh khác nhau và cần thay đổi cho phù hợp với yêu cầu cũng như năng lực tính toán của các máy tính ngày nay
Ngoài biện pháp mã hoá ở trên, có thể sử dụng các giao thức truyền thông an toàn như giao thức Secure Socket Layer (SSL) của Netscape và giao thức truyền siêu văn bản an toàn (S-HTTP) của CommerceNet. Đây là hai giao thức cho phép truyền thông tin an toàn qua Internet. SSL và SHTTP cho phép các máy khách và máy chủ quản lý các hoạt động mã hoá và giải mã trong một phiên Web an toàn.
SSL đảm bảo kết nối an giữa hai máy tính, S-HTTP gửi các thông báo