THỐNG ĐẤU THẦU QUA MẠNG
Như đã nói ở trên, song song với việc xây dựng hạ tầng công nghệ phải xây dựng khung pháp lý cho nó, ở đây chỉ đề cập đến khía cạnh pháp lý của việc sử dụng trực tiếp hệ thống CA đang xây dựng, khi đó có 2 bộ chính sách cần phải hoàn thành là Bộ chính sách chứng chỉ và Bộ thủ tục thi hành chứng chỉ.
Phương pháp xây dựng 2 bộ chính sách trên nên tham khảo Bộ chính sách chứng chỉ (CP) và Bộ thủ tục thi hành chứng chỉ (CPS) của một số đơn vị trong và ngoài nước đã và đang triển khai CA, Bộ chính sách chứng chỉ và Bộ thủ tục thi hành chứng chỉ áp dụng cho hệ thống đấu thầu qua mạng bao gồm những nội dung sau:
Bộ chính sách chứng chỉ (CP)
Chương 1: Giới thiệu
Chương 2: Các điều khoản chung
Các định nghĩa - định danh
o Điều 1. Certificate Authority – CA
o Điều 2. Registraion Authority – RA
o Điều 3. Đối tượng sử dụng hệ thống
o Điều 4. Phạm vi ứng dụng
o Điều 5. Định danh các chính sách
Các nhiệm vụ
o Điều 6. Nhiệm vụ của CA
o Điều 7. Nhiệm vụ của RA
o Điều 8. Nghĩa vụ của người dùng
o Điều 9. Chứng chỉ cho hệ thống CA
o Điều 10. Phạm vi sử dụng chứng chỉ của người dùng nội bộ
o Điều 11. Phạm vi sử dụng chứng chỉ của người dùng ngoài Chương 3: Các trách nhiệm về công bố thông tin
o Điều 12. Kho dữ liệu
o Điều 13. Nội dung thông tin được công bố
o Điều 14. Trách nhiệm công bố thông tin
o Điều 15. Quyền truy cập thông tin
o Điều 16. Phạm vi thông tin được công bố, nơi lưu trữ
o Điều 17. Thời gian và tần suất cập nhật thông tin Chương 4: Các vấn đề về luật pháp và công việc
o Điều 18. Chi phí chứng chỉ của người dùng nhóm 1
o Điều 19. Chi phí chứng chỉ của người dùng nhóm 2
o Điều 20. Trách nhiệm tài chính
o Điều 21. Tính bí mật của các thông tin nghiệp vụ
o Điều 22. Các vấn đề về quyền sở hữu
Chương 5: Kiểm toán và đánh giá
o Điều 23. Thông số đánh giá
o Điều 24. Tần xuất thực hiện
o Điều 25. Tiêu chuẩn người kiểm toán
o Điều 26. Thủ tục đánh giá, kiểm toán
Chương 6: Bảo vệ thông tin cá nhân
o Điều 27. Các dạng thông tin cá nhân cần dữ bí mật
o Điều 28. Bảo đảm tính riêng tư về thông tin cá nhân
o Điều 29. Bảo vệ thông tin cá nhân khi công bố danh sách thu hồi hoặc tạm dừng chứng chỉ
o Điều 30. Chuyển giao thông tin cá nhân cho cơ quan phát luật
Chương 7: Các hoạt động
o Điều 31. Phát hành chứng chỉ
o Điều 32. Thừa nhận chứng chỉ
o Điều 33. Điều kiện hủy bỏ chứng chỉ
o Điều 35. Thủ tục yêu cầu thu hồi chứng chỉ
o Điều 36. Ra hạn thu hồi chứng chỉ
o Điều 37. Điều kiện tạm dừng sử dụng chứng chỉ
o Điều 38. Yêu cầu tạm dừng sử dụng chứng chỉ
o Điều 39. Thủ tục yêu cầu tạm dừng sử dụng chứng chỉ
o Điều 40. Thời gian phát hành danh sách thu hồi
o Điều 41. Kiểm tra danh sách thu hồi
o Điều 42. Sử dụng phương pháp sao lưu và phục hồi dữ liệu
o Điều 43. Khôi phục hệ thống khi khóa các CA bị lộ
o Điều 44. Đặt ra các chính sách bảo mật sau khi thảm họa xảy ra
o Điều 45. Lưu khóa và phục hồi
o Điều 46. Kết thúc hoạt động của CA
Chương 8: Yêu cầu về an toàn mức vật lý, thủ tục và nhân viên
o Điều 47. Các yêu cầu an toàn mức vật lý
o Điều 48. Hạn chế truy cập vật lý
o Điều 49. Thủ tục bảo đảm an toàn cho hệ thống CA
o Điều 50. Yêu cầu năng lực, phẩm chất, kinh nghiệm của nhân viên
o Điều 51. Thủ tục kiểm tra đầu vào
o Điều 52. Yêu cầu về đào tạo
o Điều 53. Yêu cầu và thời gian đào tạo lại
Chương 9: Các điều khoản về kỹ thuật
o Điều 54. Số lượng cặp khóa
o Điều 55. Độ dài khóa
o Điều 56. Tạo và chuyển khóa riêng tới người dùng cuối
o Điều 57. Thiết bị lưu trữ khóa
o Điều 58. Bảo vệ khóa riêng và các module mã hóa
o Điều 59. Thời gian sử dụng cặp khóa
o Điều 60. Điều kiện cập nhật khóa
o Điều 61. Sao lưu khóa riêng
o Điều 62. Khôi phục khóa riêng
o Điều 64. Phương thức kích hoạt khóa riêng
o Điều 65. Chống tấn công
o Điều 66. Chống xâm nhập
o Điều 67. Quy tắt đặt mật khẩu cho các thiết bị lưu khóa
o Điều 68. Time-stamping
o Điều 69. Yêu cầu an toàn cho các máy tính cài đặt hệ thống CA
Chương 10: Khuôn dạng của chứng chỉ, CRL, OCSP
o Điều 70. Khuôn dạng chứng chỉ
o Điều 71. Tính tương thích
o Điều 72. Định dạng tên
o Điều 73. Quy tắc đặt tên đối tượng cấp chứng chỉ
o Điều 74. Thuật toán sử dụng trong mã và ký các thông điệp
o Điều 75. Khuôn dạng của CRL
KẾT LUẬN
Hệ thống đấu thầu qua mạng là một Dự án lớn, liên quan đến nhiều đối tượng và bao gồm nhiều hợp phần trong đó có hợp phần quan trọng là hạ tầng khoá công khai. Việc xây dựng hệ thống này là không đơn giản trong đó vấn đề về công nghệ không phải là thách thức lớn nhất.
Kết quả chính của luận văn gồm có:
1. Nghiên cứu tìm hiểu qua tài liệu và thực tế để hệ thống lại các vấn đề sau:
i. Tổng quan về đấu thầu qua mạng máy tính.
ii. Tổng quan về hạ tầng cơ sở mật mã khoá công khai.
2. Trình bày đề xuất ứng dụng Hạ tầng cơ sở mật mã khoá công khai để đảm bảo an toàn thông tin cho hệ thống đấu thầu qua mạng.
Vào thời điểm hoàn thành luận văn này, hệ thống đấu thầu qua mạng mới chỉ đến giai đoạn lập Báo cáo nghiên cứu khả thi, vì vậy giải pháp NVLV trình bày ở đây được đúc rút từ kinh nghiệm triển khai hệ thống đấu thầu qua mạng của các nước rất phát triển về đấu thầu qua mạng trên thế giới như Hàn Quốc, Anh, Canada, … và từ thực tế triển khai CA cho các hệ thống có yêu cầu tương tự về bảo mật như hệ thống ngân hàng, kho bạc nên giải pháp này chưa được thử thách trên thực tế. Giải pháp áp dụng thực tế sau khi hệ thống đấu thầu qua mạng xây dựng xong có thể giống hoặc khác đi một chút, tuy nhiên NVLV tin tưởng rằng những kết quả được trình bày trong luận văn này sẽ là cơ sở để xây dựng thành công PKI cho hệ thống đấu thầu qua mạng tại Việt Nam.
TÀI LIỆU THAM KHẢO
[1]. Phan Đình Diệu, Lý thuyết mật mã và An toàn thông tin. Đại học Công nghệ, Đại học Quốc Gia Hà Nội, 1999.
[2]. Báo cáo đề tài “Nghiên cứu, xây dựng giải pháp bảo mật thông tin trong TMĐT”, Ban Cơ yếu Chính phủ, 2004.
[3]. Nghị định 26/2007/NĐ-CP ngày 15/02/2007 của Chính phủ quy định chi tiết thi hành Luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số.
[4]. Dự thảo Báo cáo nghiên cứu khả thi Dự án “Ứng dụng TMĐT trong mua sắm Chính phủ”, Vụ Quản lý Đấu thầu, Bộ Kế hoạch và Đầu tư, 2008.
[5]. D. Stinson, Cryptography Theory and Practice, CRC Press, 1995. [6]. B.Schneider, "Applied Cryptography", 2nd edition, Wiley, 1995.
[7]. UNCITRAL (United Nations Commission on International Trade Law) Model Law on Electronic Signatures, 2001.
[8]. Bruce Schneider, Applied Cryptography, 2nd edition, 1996.
[9]. Public Procurement Service, Standardazation of e-Procurement,
International Conference on e-Procurement, 2005.
[10]. Chris Min Jang, PKI based Secure e-Procurement, Digital Signature & Public Key Infrastructure, International Conference on e-Procurement, 2005.
[11]. Kapil Raina, PKI Security Solutions for the Enterprise: Solving HIPAA, E-Paper Act, and Other Compliance Issues, Wiley Publishing, Inc, 2003.
[12]. Rashmi Grover, Implementing PKI, Tata Infotech Research Group, 1999.
[13]. Marc Branchaud, A survey of public key infrashstructures, Department of Computer Science, McGill University, Montreal, 1997.
[14]. Steve Purser, Stepping Beyond the PKI Pilot, Cross-Border Security Design and Administration at Clearstream Services, Luxembourg, 2004.
[15]. Sebastian Fritsch, Diploma Thesis, Towards Secure Electronic Workflows Examples of Applied PKI, Department of Computer Science, Darmstadt University of Technology, 2006.
135
[16]. JoelWeise, Public Key Infrastructure Overview, Sun Global Security Practice, 2001.
[17]. Tim Moses, PKI trust Models.
[18]. Carl Ellison, Bruce Schneier, Ten Risks of PKI: What You’re not Being Told about Public Key Infrastructure, Computer Security Journal, Volume XVI, Number 1, 2000.