Đồ án Giao dịch điện tử trong các cơ quan nhà nước - Phạm Thị Mai Anh
Bạn đang xem 20 trang mẫu của tài liệu "Đồ án Giao dịch điện tử trong các cơ quan nhà nước - Phạm Thị Mai Anh", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Tài liệu đính kèm:
- do_an_giao_dich_dien_tu_trong_cac_co_quan_nha_nuoc_pham_thi.pdf
Nội dung text: Đồ án Giao dịch điện tử trong các cơ quan nhà nước - Phạm Thị Mai Anh
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước TÓM TẮT NỘI DUNG Hiện nay, với sự phát triển của công nghệ thông tin và truyền thông, các giao dịch điện tử ngày càng đƣợc áp dụng rộng rãi trong mọi lĩnh vực. Trong đó việc áp dụng Giao dịch điện tử trong các cơ quan nhà nƣớc đang đƣợc Đảng và nhà nƣớc ta quan tâm rất lớn. Việc áp dụng thành công Giao dịch điện tử trong các cơ quan nhà nƣớc, đặc biệt là trong cải cách hành chính sẽ mang lại nhiều lợi ích nhƣ giảm các thủ tục hành chính, minh bạch hóa các thủ tục, đem lại sự thuận tiện cho ngƣời dân cũng nhƣ các cơ quan nhà nƣớc. Để xây dựng thành công hệ thống giao dịch điện tử trong cơ quan nhà nƣớc, bên cạnh việc phát triển cơ sở hạ tầng thì việc đảm bảo an toàn thông tin cho hệ thống là một điều hết sức quan trọng, có tính quyết định cho sự thành công của hệ thống. Đảm bảo an toàn thông tin cho hệ thống là đảm bảo các yêu cầu về an toàn thông tin nhƣ tính bí mật, tính toàn vẹn, tính xác thực, tính chống chối bỏ và tính sẵn sàng. Nội dung của khóa luận này tập trung vào vấn đề các công nghệ trong đảm bảo an toàn thông tin trong giao dịch hành chính, các yêu cầu đảm bảo an toàn thông tin, nghiên cứu thực trạng ứng dụng CNTT tại một số địa phƣơng và đƣa ra một số giao dịch khả thi. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 1
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước LỜI CẢM ƠN Em xin đƣợc bày tỏ lòng biết ơn sâu sắc tới thầy giáo TS. Lê Phê Đô – giảng viên trƣờng Đại Học Công Nghệ - ĐHQGHN đã tận tình hƣớng dẫn và tạo mọi điều kiện thuận lợi để em hoàn thành báo cáo tốt nghiệp của mình. Em xin chân thành cảm ơn tất cả các thầy cô giáo trong khoa Công nghệ thông tin – Trƣờng Đại Học Dân Lập Hải Phòng đã nhiệt tình giảng dạy và cung cấp những kiến thức quý báu để em có thể hoàn thành tốt báo cáo tốt nghiệp và khóa học này. Cuối cùng em xin cảm ơn tất cả các bạn đã động viên, góp ý và trao đổi hỗ trỡ cho em trong suốt thời gian vừa qua. Vì thời gian có hạn và trình độ bản thân còn nhiều hạn chế, cho nên đề tài không tránh khỏi những thiếu sót, em rất mong nhận đƣợc sự góp ý quý báu của tất cả các thầy cô cùng toàn thể các bạn để đề tài của em đƣợc hoàn thiện hơn. Em xin chân thành cảm ơn! Hải Phòng, tháng 07 năm 2009 Sinh viên Phạm Thị Mai Anh Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 2
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước MỤC LỤC I. Vấn đề an toàn thông tin 5 1.1 Khái niệm an toàn thông tin 5 1.2 Nhu cầu an toàn thông tin 6 1.3 Các hiểm hoạ an toàn thông tin 7 II. Các dịch vụ an toàn 9 2.1. Các cơ chế an toàn 11 III. Mật mã hóa khóa công khai và hạ tầng khóa công khai 14 3.1 Giới thiệu mật mã khóa công khai 14 An toàn 15 Các ứng dụng 16 Thuật toán liên kết giữa 2 khóa trong cặp 16 Những điểm yếu 16 Khối lƣợng tính toán 17 Mối quan hệ giữa khóa công khai với thực thể sở hữu khóa 18 3.2 Hạ tầng khóa công khai (PKI) 18 3.2.1 Khái niệm 18 3.2.2 Các thành phần trong hệ thống PKI 19 3.2.3. Chức năng cơ bản của PKI 20 3.2.3.1 Chứng thực (Certification) 20 3.2.3.2 Thẩm tra (Validation) 20 3.2.3.3 Quản lý khóa 20 3.2.3.4 Quản lý thời gian 22 3.2.3.5 Đảm bảo an toàn 23 Chƣơng 2: AN TOÀN THÔNG TIN TRONG GIAO DỊCH HÀNH CHÍNH 24 2.1 Giao dịch điện tử 24 2.2 Ứng dụng Công nghệ thông tin trong giao dịch hành chính 25 2.2.1 Chính phủ điện tử 25 Hiệu quả Chính phủ điện tử 28 Mức độ phát triển của các dịch vụ hành chính công 30 2.2.2 Cổng thông tin điện tử 31 2.3 Đảm bảo an toàn thông tin trong giao dịch hành chính 34 2.3.1 Thực trạng 34 2.3.2 Các yêu cầu đảm bảo An toàn thông tin trong Giao dịch điện tử 35 2.3.3 Làm thế nào để đảm bảo an toàn thông tin trong giao dịch điện tử 38 2.3.4 Giải pháp 40 2.3.5 Lợi ích của việc áp dụng Giao dịch điện tử trong giao dịch hành chính 45 2.4 Đề xuất định hƣớng phát triển trong giao dịch hành chính 48 CHƢƠNG 3. TÌM HIỂU THỰC TIỄN ỨNG DỤNG CÔNG NGHỆ THÔNG TIN TRONG GIAO DỊCH HÀNH CHÍNH 50 3.1. Thực tiễn ứng dụng Công nghệ thông tin trong hành chính công ở Hải Phòng 50 3.1.1. Ứng dụng CNTT trong cải cách hành chính ở quận Ngô Quyền 51 3.1.2. Quận Hồng Bàng 55 3.2. Ứng dụng giao dịch điện tử trong giao dịch hành chính ở TP Hồ Chí Minh 55 3.3 Ứng dụng Công nghệ thông tin trong giao dịch hành chính ở Hà Nội 61 KẾT LUẬN 64 Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 3
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước LỜI MỞ ĐẦU Ngày nay, khi mà nhu cầu giao dịch trực tuyến ngày càng tăng thì mối đe dọa và hậu quả tiềm ẩn với thông tin trong giao dịch ngày càng lớn. Các nguy cơ rủi ro trong giao dịch điện tử đƣợc thể hiện hoặc tiềm ẩn trên nhiều khía cạnh: con ngƣời, tin tặc, virus Để giải quyết vấn đề này cần xây dựng các hệ thống đảm bảo an toàn thông tin cho các hệ thống giao dịch điện tử trên cơ sở quy định hiện hành của pháp luật Việt Nam Hiện nay Đảng và nhà nƣớc ta đang rất coi trọng cải cách các thủ tục hành chính sao cho gọn nhẹ và hiệu quả. Triển khai hệ thống ứng dụng Giao dịch điện tử trong các giao dịch hành chính công là một trong những nhiệm vụ trọng tâm để đẩy nhanh quá trình cải cách hành chính. Để triển khai xấy dựng các ứng dụng Giao dịch điện tử thực sự hiệu quả và tiến tới xây dựng thành công Chính phủ điện tử theo đúng nghĩa của nó, thì bên cạnh chú trọng nghiên cứu xây dựng hệ thống cần tiền hành song song việc nghiên cứu xây dựng các hệ thống đảm bảo an toàn thông tin trong giao dịch điện tử. Trong khuôn khổ của khóa luận này em trình bày các vấn để bảo mật và xác thực thông tin dựa trên chứng chỉ số, các loại giao dịch điện tử và đƣa ra một số giao dịch khả thi trong cơ quan nhà nƣớc. Cấu trúc khóa luận gồm 3 chƣơng: Chƣơng 1: GIỚI THIỆU AN TOÀN THÔNG TIN Chƣơng 2: AN TOÀN THÔNG TIN TRONG GIAO DỊCH HÀNH CHÍNH Chƣơng 3: TÌM HIỂU THỰC TIỄN ỨNG DỤNG CNTT TRONG GIAO DỊCH HÀNH CHÍNH TẠI MỘT SỐ ĐỊA PHƢƠNG Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 4
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước CHƯƠNG 1: GIỚI THIỆU AN TOÀN THÔNG TIN I. Vấn đề an toàn thông tin 1.1 Khái niệm an toàn thông tin An toàn là giảm thiểu các điểm yếu dễ bị tấn công đối với các tài sản và tài nguyên. An toàn thông tin nghĩa là thông tin đƣợc bảo vệ, các hệ thống và những dịch vụ có khả năng chống lại những hiểm họa, lỗi và sự tác động không mong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất. Hệ thống có một trong các đặc điểm sau đây là không an toàn: Các thông tin dữ liệu trong hệ thống bị ngƣời không đƣợc quyền truy nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ). Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn) Về cơ bản, đối với mọi tổ chức, việc có thông tin chính xác và kịp thời có tác động rất quan trọng đến hoạt động, khả năng phát triển và thu lợi của tổ chức đó. An toàn thông tin giúp kiểm soát và bảo vệ thông tin khỏi bị rò rỉ, mất mát, sai lệch do vô tình hoặc cố ý. An toàn thông tin phải đảm bảo 3 thuộc tính quan trọng: - Tính bảo mật: đảm bảo rằng chỉ những ngƣời đƣợc phép mới đƣợc truy cập thông tin, tránh cho thông tin không bị rỏ rỉ trái phép cho đối thủ hay công chúng. - Tính toàn vẹn: bảo vệ tính chính xác và đầy đủ của thông tin và các phƣơng pháp xử lý, tránh cho thông tin bị thay đổi trái phép. - Tính sẵn sàng: đảm bảo những ngƣời đƣợc phép có thể truy cập thông tin và các tài sản tƣơng ứng khi cần. An toàn thông tin bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con ngƣời gây ra. Việc bảo vệ thông tin, tài sản và con ngƣời trong hệ thống thông tin nhằm đảm bảo cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tƣợng một cách sẵn sàng, chính Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 5
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước xác và tin cậy. An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng. Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thống đảm bảo hoạt động đúng đắn. Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đƣa ra một số tiêu chuẩn an toàn và ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặc giảm bớt các nguy hiểm cho các hệ thống. Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát triển đáp ứng cácyêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào đó. Quản lý an toàn và sự rủi ro đƣợc gắn chặt với quản lý chất lƣợng. Khi đánh giá độ an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách giảm tối thiểu rủi ro. Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và quá trình kiểm tra chất lƣợng. Việc xây dựng một hệ thống an toàn thông tin không chỉ đơn thuần có ý nghĩa về mặt vật chất và kỹ thuật, về cơ bản nó mang đến nhiều lợi ích ảnh hƣởng trực tiếp đến hoạt động của một tổ chức: - Tài sản thông tin đƣợc quản lý chặt chẽ và có hệ thống. - Nắm bắt và kiểm soát các rủi ro có thể xảy ra. - Bảo mật thông tin trong nội bộ tổ chức, cũng nhƣ giữa tổ chức với bên ngoài. - Thể hiện sự cam kết của tổ chức với đối tác và khách hang bằng hành động cụ thể. - Bảo đảm khả năng hoạt động của hệ thống khi có sự cố khẩn cấp xảy ra. 1.2 Nhu cầu an toàn thông tin Sự phụ thuộc của chúng ta vào các máy tính nối mạng ngày càng tăng và chúng ta phải bảo vệ chống lại nhiều loại hiểm hoạ khác nhau. Các tổ chức đang hƣớng tới các trung tâm tính toán và dữ liệu phân tán. Ngày nay, các tổ chức thƣờng sử dụng một hoặc nhiều mạng cục bộ (LAN) kết nối tới các vị trí từ xa thông qua mạng diện rộng (WAN). Hơn nữa, các tổ chức sử dụng mọi cách để kết nối và tận dụng những thuận lợi của Internet. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 6
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Động cơ của việc kết nối Internet là để có thể thâm nhập vào một thị trƣờng có hàng chục triệu ngƣời sử dụng và khách hàng. Mối quan tâm đối với một kết nối Internet là ngƣời dùng cần ngăn chặn truy nhập trái phép vào các hệ thống và ứng dụng trên mạng của của mình. Chúng ta không chỉ phụ thuộc vào các mạng LAN trong đó có chứa dữ liệu và ứng dụng chạy trên nền Novell, UNIX, hoặc Windows Server, mà còn phụ thuộc vào mạng WAN trong đó có các ứng dụng nhƣ Web, thƣ điện tử, truyền tệp hoặc đăng nhập từ xa. Ngày nay, các hệ thống có rất nhiều điểm yếu dễ bị tấn công và Virus thì có rất nhiều. Một phần nguyên nhân là do có nhiều cá nhân đƣợc phép truy nhập vào các hệ thống thông tin của tổ chức. Hơn nữa, khi các tổ chức kết nối vào Internet thƣờng xuyên, các hiểm hoạ an toàn không chỉ xuất phát từ bên trong mà còn ở bên ngoài - các hiểm hoạ ngày nay mang tính toàn cầu. Sự cần thiết nên và phải tiến hành là hỗ trợ quản lý và kinh phí đầy đủ nhằm đảm bảo an toàn cho tài nguyên và hoạt động của tổ chức. 1.3 Các hiểm hoạ an toàn thông tin Các hệ thống trong Giao dịch điện tử, đặc biệt khi đƣợc kết nối với mạng Internet luôn tiềm ẩn những hiểm họa có khả năng gây nên mất mát và tổn hại tới ATTT của hệ thống. Có 4 kiểu hiểm họa đối với hệ thống: sự ngắt, sự chặn bắt, sự thay đổi và sự giả mạo. Cả 4 hiểu họa đều khai thác khả năng bị tổn thƣơng của những tài sản của hệ thống. Hiểm họa ngắt: tài sản của hệ thống sẽ bị mất đi không ở trạng thái sẵn sàng hoặc không thể dung đƣợc. Ví dụ nhƣ phá hoại cố ý thiết bị phần cứng, xóa bỏ tệp chƣơng trình hay tệp dữ liệu. Hiểm họa chặn bắt: một đối tƣợng không đƣợc phép nào đó có thể truy nhập vào tài sản. Đối tƣợng đó có thể là ngƣời, là chƣơng trình hoặc có thể là hệ tính toán. Những ví dụ về kiểu vi phạm này là việc sao chép chƣơng trình, dữ Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 7
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước liệu, việc nghe trộm để lấy dữ liệu qua mạng. Nếu sự chặn bắt lặng lẽ nó sẽ không để lại dấu vết để bị phát hiện. Hiểm họa sự biến đổi: Nhóm không đƣợc phép không những xâm nhập trái phép mà còn sửa đổi trái phép tài sản của hệ thống. Ví dụ ai đó có thể sửa đổi giá trị của cơ sở dữ liệu, sửa đổi chƣơng trình, hoặc thay đổi dữ liệu đang đƣợc truyền qua các phƣơng tiện điện tử nhƣ mạng Internet. Một số trƣờng hợp có thể bị phát hiện bằng phƣơng pháp đơn giản, nhƣng một số khác tinh vi hơn hầu nhƣ không thể phát hiện đƣợc. Hiểm họa giả mạo: Nhóm không đƣợc phép có thể bịa ra những đối tƣợng giả trên hệ thống. Kẻ xâm nhập có thể đƣa ra giao dịch giả mạo vào mạng truyền thống hoặc thêm các bản ghi vào cơ sở dữ liệu hiện có. Các hiểm họa có thể từ phía ngƣời dung, hay một chƣơng trình máy tính, một tai nạn vô ý hoặc từ bản thân hệ thống. Các hiểm họa có thể là cố ý, nhƣ phá hủy một hệ thống có chủ ý, hay vô ý nhƣ làm đổ cốc cafe lên máy tính. Các hiểm họa có thể đến từ những ngƣời trong và hoặc ngoài tổ chức. Các hiểm họa có thể là chủ động, nhƣ phá hủy các thao tác trên máy chủ web, hoặc thụ động nhƣ việc nghe trộm giao tiếp giữa các bên trong giao dịch. Mối hiểm họa từ phía ngƣời dùng: xâm nhập bất hợp pháp vào hệ thống, ăn cắp dữ liệu, phần mềm, ăn cắp các dịch vụ máy tính, phá hoại hay làm thay đổi phần mềm hoặc dữ liệu, truy nhập bất hợp pháp có thể gây từ chối dịch vụ với ngƣời dùng hợp pháp. Hiểm họa rò rỉ thông tin (dữ liệu, thông tin cá nhân, các thông tin bí mật khác) từ những ngƣời dùng trong hệ thống. Nguy cơ rủi ro tiềm ẩn trong kiến trúc hệ thống CNTT: tổ chức hệ thống kỹ thuật không có cấu trúc bảo mật thông tin, tổ chức khai thác cơ sở dữ liệu, cơ chế truy nhập từ xa, sử dụng phần mềm ứng dụng. Nếu tổ chức hệ thống thông tin không có cấu trúc bảo mật tốt, tin tặc có thể lợi dụng các lỗ hổng an ninh của hệ thống (nhƣ qua các lỗ hổng của các trình duyệt web ) để xâm nhập trái phép vào hệ thống. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 8
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Nguy cơ mất ATTT tiềm ẩn trong chính sách đảm bảo ATTT: đó là sự chấp hành các chuẩn an toàn, tức là xác định rõ cái đƣợc phép và không đƣợc phép trong khi vận hành hệ thống thông tin; thiết lập trách nhiệm bảo vệ thông tin không rõ ràng; không chấp hành sử dụng chuẩn bảo mật thông tin đã đƣợc cấp, chuẩn an toàn mạng, truy cập từ bên ngoài, chuẩn an toàn bức tƣờng lửa; chính sách an toàn Internet, v.v. Thông tin trong Giao dịch điện tử dễ bị tổn thƣơng nhất nếu công cụ quản lý của tổ chức vận hành hệ thống không đƣợc thiết lập nhƣ: quy định mang tính hành chính duy trì kiểm tra tiêu chuẩn bảo mật thƣờng xuyên, các công cụ phát hiện âm mƣu xâm nhập nhằm báo trƣớc ý đồ tiếp cận trái phép và giúp phục hổi những sự cố, công cụ mang tính toàn vẹn dữ liệu. Ngoài ra, hệ thống tồn tại những hiểm họa từ phần cứng do con ngƣời gây ra hoặc do những hiểm họa tự nhiên nhƣ: cháy, mất điện, hạ tầng mạng Trong tất cả các mối hiểm họa trên thì con ngƣời vẫn là những điểm yếu quyết định về sự an toàn thông tin trong Giao dịch điện tử. II. Các dịch vụ an toàn Trong mô hình OSI/RM (Open System Interconnection/ Reference Model) có 7 tầng. Khi chức năng của các tầng đƣợc định nghĩa, các giao thức (thông qua các header) thực hiện các yêu cầu chính cũng đƣợc xác định. Các giao thức đƣợc định nghĩa trên từng tầng của mô hình. Các dịch vụ an toàn đƣợc định nghĩa trong kiến trúc an toàn ISO 7498-2. Khi chức năng của các tầng đƣợc định nghĩa, các dịch vụ cũng đƣợc xác định trong kiến trúc an toàn. Các dịch vụ có thể đƣợc đặt vào các tầng thích hợp của OSI/RM. Các dịch vụ an toàn đƣợc định nghĩa nhƣ sau: Dịch vụ an toàn Mô tả Xác thực Xác thực là bƣớc đầu tiên trong quá trình truy nhập hệ thống. Gõ tên ngƣời dùng và mật khẩu là một ví Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 9
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước dụ về việc ta tự xác thực nhƣ một ngƣời sử dụng của hệ thống. Kerberos là một ví dụ về hệ thống xác thực. Xác thực là quá trình chứng minh định danh của người sử dụng. Kiểm soát truy Dịch vụ này chống lại việc sử dụng trái phép các tài nhập nguyên do truy nhập thông qua các giao thức mạng. Kiểm soát truy nhập liên quan đến các tài nguyên có trong một hệ thống hoặc mạng mà người sử dụng hoặc dịch vụ có thể truy nhập. Bảo mật dữ liệu Dịch vụ này chống lại các sửa đổi trái phép. Dịch vụ bảo mật dữ liệu bao gồm: bảo mật kết nối, bảo mật không kết nối, bảo mật các trƣờng đƣợc chọn và bảo mật dòng thông tin. Bảo mật dữ liệu liên quan đến sự bí mật của dữ liệu trên một hệ thống hoặc mạng. Bảo mật dữ liệu là bảo vệ dữ liệu khỏi các hiểm hoạ thụ động. Toàn vẹn dữ liệu Dịch vụ này bao gồm: toàn vẹn kết nối có khôi phục, toàn vẹn kết nối không khôi phục, toàn vẹn kết nối các trƣờng đƣợc chọn và toàn vẹn không kết nối các trƣờng đƣợc chọn. Toàn vẹn dữ liệu chống lại các hiểm hoạ chủ động. Chống chối bỏ Chối bỏ đƣợc đƣợc định nghĩa là sự không thừa nhận của một trong các thực thể tham gia truyền thông rằng, anh ta không tham gia tất cả hoặc một phần cuộc truyền thông. Dịch vụ chống chối bỏ có thể là một trong 2 dạng sau: chống chối bỏ nguồn gốc hoặc chống chối bỏ bằng chứng bàn giao. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 10
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước 2.1. Các cơ chế an toàn Các cơ chế an toàn thực hiện các dịch vụ an toàn. Cơ chế an toàn có 2 kiểu nhƣ sau: 1) Cơ chế an toàn xác định 2) Cơ chế an toàn toả khắp Các cơ chế an toàn xác định Các cơ chế an toàn xác định thƣờng đƣợc gắn với một tầng thích hợp nhằm cung cấp các dịch vụ an toàn đƣợc mô tả ở trên. Các cơ chế an toàn xác định bao gồm: Mã hoá Chữ ký số Các cơ chế kiểm soát truy nhập Các cơ chế toàn vẹn dữ liệu Xác thực Đệm lƣu lƣợng Chứng thực Mã hoá đƣợc sử dụng để đảm bảo tính bí mật cho dữ liệu hoặc thông tin về luồng lƣu lƣợng. Chữ ký số có các thuộc tính sau: Có khả năng kiểm tra tác giả của chữ ký, thời gian ký; Có khả năng xác thực các nội dung tại thời điểm ký; Các thành viên thứ 3 có thể kiểm tra chữ ký trong trƣờng hợp xảy ra tranh chấp. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 11
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Các cơ chế kiểm soát truy nhập có thể đƣợc thực hiện tại điểm gốc hoặc điểm trung gian bất kỳ, nhằm xác định ngƣời gửi có đƣợc phép truyền thông với ngƣời nhận hoặc sử dụng các tài nguyên hay không. Các cơ chế kiểm soát truy nhập có thể dựa vào thông tin xác thực nhƣ: mật khẩu, nhãn an toàn, khoảng thời gian truy nhập, thời điểm truy nhập, hoặc hình thức truy nhập. Các cơ chế toàn vẹn dữ liệu bao gồm: gán nhãn thời gian, đánh số thứ tự, hoặc chuỗi mật mã; chúng có thể đƣợc sử dụng để đảm bảo tính toàn vẹn cho một đơn vị dữ liệu hoặc một trƣờng; một chuỗi các đơn vị dữ liệu hoặc các trƣờng. Thông tin xác thực chẳng hạn nhƣ mật khẩu, các đặc điểm của thực thể, chữ ký số, hoặc có thể áp dụng một kỹ thuật khác nhƣ chứng thực. Đệm lưu lượng có thể chống lại các phân tích lƣu lƣợng. Mỗi cuộc truyền thông có thể sử dụng chữ ký số, mã hoá và các cơ chế toàn vẹn phù hợp với dịch vụ đƣợc đƣa ra. Các thuộc tính nhƣ nguồn gốc dữ liệu, thời gian và đích có thể đƣợc đảm bảo thông qua điều khoản của một cơ chế chứng thực. Các cơ chế an toàn toả khắp Các cơ chế này không xác định cho một dịch vụ an toàn cụ thể nào và nói chung, chúng liên quan trực tiếp đến mức an toàn đƣợc yêu cầu. Các cơ chế an toàn toả khắp bao gồm: Chức năng tin cậy Các nhãn an toàn Vết kiểm toán Khôi phục an toàn Chức năng tin cậy có thể đƣợc sử dụng để mở rộng phạm vi hoặc thiết lập hiệu lực của các cơ chế an toàn khác. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 12
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Nhãn an toàn có thể đƣợc sử dụng để chỉ ra mức độ nhạy cảm. Nhãn là thông tin bổ sung vào dữ liệu đƣợc truyền đi hoặc có thể đƣợc ngầm định thông qua việc sử dụng một khoá xác định để mã hoá dữ liệu. Vết kiểm toán cho phép phát hiện và điều tra các lỗ hổng an toàn. Ghi nhật ký cũng đƣợc xem là một cơ chế an toàn. Khôi phục an toàn giải quyết các yêu cầu xuất phát từ cơ chế – ví dụ, các chức năng xử lý hoặc quản lý biến cố – và khôi phục đƣợc xem là kết quả của việc áp dụng một tập các quy tắc. Quản lý an toàn An toàn cho tất cả chức năng quản lý hệ thống và mạng, truyền thông an toàn đối với tất cả các thông tin quản lý thực sự quan trọng. Lĩnh vực quản lý an toàn bao gồm: 1) Quản lý an toàn hệ thống. 2) Quản lý dịch vụ an toàn. 3) Quản lý cơ chế an toàn. Quản lý an toàn hệ thống là quản lý toàn bộ môi trƣờng tính toán phân tán. Quản lý này bao gồm duy trì và quản lý toàn bộ các chính sách an toàn của tổ chức; tƣơng tác với quản lý dịch vụ an toàn và quản lý cơ chế an toàn. Quản lý an toàn hệ thống cũng liên quan đến quản lý kiểm toán an toàn và quản lý khôi phục an toàn. Quản lý dịch vụ an toàn là quản lý các dịch vụ an toàn xác định. Dịch vụ này đảm bảo gọi đến các cơ chế an toàn xác định bằng cách sử dụng chức năng quản lý cơ chế an toàn thích hợp. Quản lý cơ chế an toàn là quản lý các cơ chế an toàn. Các chức năng quản lý cơ chế an toàn bao gồm: Quản lý khoá; Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 13
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Quản lý mã hoá; Quản lý chữ ký số; Quản lý kiểm soát truy nhập; Quản lý toàn vẹn dữ liệu; Quản lý xác thực; Quản lý đệm lƣu lƣợng; Quản lý kiểm soát định tuyến Quản lý chứng thực III. Mật mã hóa khóa công khai và hạ tầng khóa công khai 3.1 Giới thiệu mật mã khóa công khai Trong hầu hết lịch sử mật mã học, khóa dùng trong các quá trình mã hóa và giải mã phải đƣợc giữ bí mật và cần đƣợc trao đổi bằng một phƣơng pháp an toàn khác (không dùng mật mã) nhƣ gặp nhau trực tiếp hay thông qua ngƣời đƣa thƣ tin cậy. Vì vậy quá trình phân phối khóa trong thực tế gặp rất nhiều khó khăn, đặc biệt là khi số lƣợng ngƣời sử dụng rất lớn. Để giải quyết vấn đề này, năm 1976 Diffie và Hellman đã đề xuất một loại mật mã mới: với một hệ thống mã khóa công khai, mỗi ngƣời dùng sẽ có một khóa không cần giữ bí mật. Bản chất công khai của nó không làm tổn hại tới tính an toàn của hệ thống. Phép biến đổi khóa công khai về cơ bản là phép mã một chiều với cách giải mã bí mật. Mật mã hóa khóa công khai là một dạng mật mã hóa cho phép ngƣời sử dụng trao đổi các thông tin mật mà không cần phải trao đổi các khóa chung bí mật trƣớc đó. Điều này đƣợc thực hiện bằng cách sử dụng một cặp khóa có quan hệ toán học với nhau là khóa công khai và khóa cá nhân (hay khóa bí mật). Thuật ngữ mật mã hóa khóa bất đối xứng thƣờng đƣợc dùng đồng nghĩa với mật mã hóa khóa công khai mặc dù hai khái niệm không hoàn toàn tƣơng đƣơng. Có những thuật toán mật mã khóa bất đối xứng không có tính chất khóa công khai Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 14
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước và bí mật nhƣ đề cập ở trên mà cả hai khóa (dùng cho mã hóa và giải mã) đề cần phải giữ bí mật. Trong mật mã khóa công khai, khóa cá nhân phải đƣợc giữ bí mật trong khi khóa công khai đƣợc phổ biến công khai. Trong 2 khóa, một dùng để mã hóa và khóa còn lại dùng để giải mã. Điều quan trọng đối với hệ thống là không thể tìm ra khóa bí mật nếu chỉ biết khóa công khai. Hệ thống mật mã hóa khóa công khai có thể sử dụng với các mục đích: - Mã hóa: giữ bí mật thông tin và chỉ có ngƣời có khóa bí mật mới giải mã đƣợc. - Tạo chữ ký số: cho phép kiểm tra một văn bản có phải đã đƣợc tạo với một khóa bí mật nào đó hay không. - Thỏa thuận khóa: cho phép thiết lập khóa dùng để trao đổi thông tin mật giữa 2 bên. Thông thƣờng, các kỹ thuật mã hóa khóa công khai đòi hỏi khối lƣợng tính toàn nhiều hơn các kỹ thuật mã hóa khóa đối xứng nhƣng những lợi điểm mà chúng mang lại khiến cho chúng ta áp dụng trong nhiều ứng dụng. An toàn Về khía cạnh an toàn, các thuật toán mật mã khóa bất đối xứng cũng không khác nhiều với các thuật toàn mã hóa khóa đối xứng. Có những thuật toán đƣợc dùng rộng rãi, có thuật toán chủ yếu trên lý thuyết; có thuật toán đƣợc xem là an toàn, có thuật toán đã bị phá vỡ Cũng cần lƣu ý là những thuật toán đƣợc dùng rộng rãi không phải lúc nào cũng đảm bảo an toàn. Một số thuật toàn có những chứng minh về độ an toàn với những tiêu chuẩn khác nhau. Nhiều chứng minh gắn việc phá vỡ thuật toán với những bài toàn nổi tiếng vẫn đƣợc cho là không có lời giải trong thời gian đa thức. Nhìn chung, chƣa có thuật toán nào đƣợc chứng minh là an toàn tuyệt đối. Vì vậy, cũng giống nhƣ tất cả các thuật toán mật mã nói chung, các thuật toán mã hóa khóa công khai cần phải đƣợc sử dụng một cách thận trọng. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 15
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Các ứng dụng Ứng dụng rõ ràng nhất của mật mã hóa khóa công khai là bảo mật: một văn bản đƣợc mã hóa bằng khóa công khai của một ngƣời sử dụng thì chỉ có thể giải mã với khóa bí mật của ngƣời đó. Các thuật toán tạo chữ ký số khóa công khai có thể dùng để xác nhận. Nếu một ngƣời khác có thể giải mã với khóa công khai của ngƣời gửi thì tin rằng văn bản thực sự xuất phát từ ngƣời gắn với khóa công khai đó. Các đặc điểm trên còn có ích cho nhiều ứng dụng khác nhƣ: tiền điện tử, thỏa thuận khóa Thuật toán liên kết giữa 2 khóa trong cặp Không phải tất cả các thuật toán mật mã khóa bất đối xứng đều hoạt động giống nhau nhƣng phần lớn đều gồm 2 khóa có quan hệ toán học với nhau: một cho mã hóa và một để giải mã. Để thuật toán đảm bảo an toàn thì không thể tìm đƣợc khóa giải mã nếu chỉ biết khóa đã dùng để mã hóa. Điều này còn đƣợc gọi là mã hóa công khai vì khóa dùng để mã hóa có thể công bố công khai mà không ảnh hƣởng đến bí mật của văn bản mã hóa. Khóa công khai có thể là những hƣớng dẫn đủ để tạo ra khóa với tính chất là một khi đã khóa thì không thể mở đƣợc nếu chỉ biết những hƣớng dẫn đã cho. Các thong tin mở khóa thì chỉ có ngƣời sở hữu mới biết. Những điểm yếu Tồn tại khả năng một ngƣời nào đó có thể tìm ra đƣợc khóa bí mật. Không giống với hệ thống mật mã sử dụng một lân hoặc tƣơng đƣơng, chƣa có thuật toán mã hóa khóa bất đối xứng nào đƣợc chứng minh là an toàn trƣớc các tấn công dựa trên bản chất toán học của thuật toán. Khả năng một mối quan hệ nào đó giữa 2 khóa hay điểm yếu của thuật toán dẫn tới cho phép giải mã không cần tới khóa hay chỉ cần khóa mã hóa vẫn chƣa đƣợc loại trừ. An toàn của các thuật toán này đều dựa trên các ƣớc lƣợng về khối lƣợng tính toán đẻ giải các bài toán gắn với chúng. Các ƣớc lƣợng này luôn thay đổi tùy thuộc khả năng của máy tính và các biện pháp toán học mới. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 16
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Mặc dù vậy, độ an toàn của các thuật toán mật mã hóa khóa công khai cũng tƣơng đổi đảm bảo. Nếu thời gian để phá một mã (bằng phƣơng pháp duyệt toàn bộ) đƣợc ƣớc lƣơng là 1000 năm thì thuật toán này hoàn toàn có thể dùng để mã hóa các thông tin về thẻ tín dụng. Rõ rang là thời gian phá mã lớn hoen nhiều lần thời gian tồn tại của thẻ. Những điểm yếu của một số thuật tón mật mã hóa khóa công bất đối xứng đã đƣợc tìm ra trong quá khứ. Thuật toán đóng gói ba lô là một ví dụ. Nó chỉ đƣợc xem là không an toàn khi một dạng tấn công không lƣờng trƣớc bị phát hiện. Gần đây, một số dạng tấn công cũng đơn giản hóa việc tìm khóa giải mã dựa trên việc đo đạc chính xác thời gian mà một hệ thống phần cứng thực hiện mã hóa. Vì vậy, việc sử dụng mã hóa khóa bất đối xứng không thể đảm bảo an toàn tuyệt đối. Đây là một lĩnh vực đang đƣợc tích cực nghiên cứu để tìm ra những dạng tấn công mới. Một điểm yếu tiềm tàng trong việc sử dụng khóa bất đối xứng là khả năng bị tấn công dạng kẻ tấn công đứng giữa: kẻ tấn công lợi dụng việc phân phối khóa công khai để thay đổi khóa công khai. Sau khi đã giả mạo đƣợc khóa công khai, kẻ tấn công đứng giữa 2 bên để nhận các gói tin, giải mã rồi lại mã hóa với khóa đún và gửi đến nơi nhận để tránh bị phát hiện. Dạng tấn công kiểu này có thể phòng ngừa bằng các phƣơng pháp trao đổi khóa an toàn nhằm đảm bảo xác thực đƣợc ngƣời gửi và toàn vẹn thông tin. Một điều cần lƣu ý là khi các Chính phủ quan tâm đến dạng tấn công này: họ có thể thuyết phục hay bắt buộc nhà cung cấp chứng thực số xác nhận một khóa giả mạo và có thể đọc các thông tin mã hóa. Khối lƣợng tính toán Để đạt đƣợc độ an toàn tƣơng đƣơng, thuật toán mật mã hóa khóa bất đối xứng đòi hỏi khối lƣợng tính toán nhiều hơn đáng kể so với thuật toán mật mã hóa khóa đối xứng. Vì thế trong thực tế hai dạng thuật toán này thƣờng đƣợc dùng bổ sung cho nhau để đạt hiệu quả cao. Trong mô hình này, bên tham gia trao đổi thông tin tạo ra một khóa đối xứng dùng cho phiên giao dịch. Khóa này sẽ đƣợc trao đổi an toàn thông qua hệ thống mã hóa khóa bất đối xứng. Sau đó 2 bên trao đổi thông tin bí mật bằng hệ thống mã hóa đối xứng trong suốt phiên giao dịch. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 17
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Mối quan hệ giữa khóa công khai với thực thể sở hữu khóa Để có thể đạt đƣợc những ƣu điểm của hệ thống thì mối quan hệ giữa khóa công khai và thực thể sở hữu khóa phải đƣợc đảm bảo chính xác. Vì thế giao thức thiết lập và kiểm tra mối quan hệ này là đặc biệt quan trong. Việc gắn một khóa công khai với một định danh ngƣời sử dụng thƣờng đƣợc thực hiện bới các giao thức thực hiện hạ tầng khóa công khai (PKI). Các giao thức này cho phép kiểm tra mối quan hệ giữa khóa và ngƣời đƣợc cho là sở hữu khóa thông qua một bên thứ ba đƣợc tin tƣởng. Mô hình tổ chức của hệ thống kiểm tra có thể phân theo lớp (các nhà cung cấp chứng thực số) hoặc theo thống kê (mạng lƣới tín nhiệm) hoặc theo mô hình tín nhiệm nôi bộ (SPKI). Không phụ thuộc vào bản chất của thuật toán hay giao thức, việc đánh giá mối quan hệ giữa khóa và ngƣời sở hữu khóa vẫn phải dựa trên những đánh giá chủ quan của bên thứ 3 bởi vì khóa là một thực thể toán học còn ngƣời sở hữu và mối quan hệ thì không. Hạ tầng khóa công khai chính là các thiết chế để đƣa ra những chính sách cho việc đánh giá này. 3.2 Hạ tầng khóa công khai (PKI) 3.2.1 Khái niệm Cơ sở hậ tầng khóa công khai (Public Key Infrestructure - PKI) là một tập hợp phần cứng, phần mềm, chính sách, thủ tục cần thiết để tạo, quản lý và lƣu trữ, phân phối và thu hối các chứng chỉ số dựa trên công nghệ mã hóa khóa công khai. Mã hóa và chữ ký số đã trở thành một phần không thể thiếu đƣợc đối với thƣơng mại điện tử, giao dịch điện tử cũng nhƣ các lĩnh vực đòi hỏi an toàn và bảo mật. PKI cung cấp cơ sở hạ tang giúp cho việc sử dụng mã hóa và chữ ký số một cách dễ dàng và trong suốt đối với ngƣời sử dụng. PKI là một khái niệm mô tả toàn bộ nền tảng cơ sở nhằm cung cấp các dịch vụ quản lý truy cập, tính toàn vẹn, tính xác thực, tính bí mật và tính chống chối bỏ. Nền tảng này bao gồm các hệ thống phần mềm nhƣ nhà phát hành chứng chỉ, kho chứa dữ liệu, các chính sách PKI đảm bảo cho các giao dịch điện tử cũng nhƣ những phiên kết nối bí mật đƣợc an toàn dựa trên công nghệ mã hóa khóa công khai. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 18
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước 3.2.2 Các thành phần trong hệ thống PKI Một hệ thống PKI gồm 4 thành phần nhƣ sau: Cơ quan chứng thực (CA): Là cơ quan có quyền cấp phát và thu hồi chứng chỉ. Đồng thời áp đặt những chính sách với những chứng chỉ mà nó đã phát hành. Trong một hệ thống PKI tồn tại một hệ thống CA quan hệ với nhau theo cấu trúc ngang hàng hoặc phân cấp. Cơ quan đăng ký chứng chỉ (Registration Authỏities - RA): RA là một đại diện cho CA có nhiệm vụ xác nhận những thông tin ngƣời dùng cho CA. Đồng thời, RA cũng có thể thay mặt ngƣời sử dụng yêu cầu CA cấp phát, thu hồi, thay đổi thông tin trên chứng chỉ. Các RA có chức năng: Nhận các yêu cầu cấp phát chứng chỉ từ phía ngƣời dùng, chứng nhận các thông tin trên yêu cầu đó. Gửi yêu cầu phát hành chứng chỉ đến CA. Nhận các chứng chỉ từ CA và trao nó cho chủ thể chứng chỉ. Nhận yêu cầu thu hồi chứng chỉ từ phía ngƣời dùng, kiểm tra yêu cầu thu hồi và gửi những yêu cầu này cho CA. Thực thể cuối (End Entities) - ứng dụng sử dụng chứng chỉ, clients Thực thể cuối trong PKI có thể là con ngƣời, thiết bị, hay một chƣơng trình phần mềm nhƣng thƣờng là ngƣời sử dụng hệ thống. Thực thể cuối sẽ thực hiện những chức năng mật mã (mã hóa, giải mã và ký số). Kho chứa chứng chỉ (Certificate/CRL Repository) Hệ thống (có thể phân tán) lƣu trữ chứng chỉ và danh sách các chứng chỉ bị thu hồi. Nó cung cấp cơ chế phân phối chứng chỉ phục vụ nhu cầu tra cứu, lấy khóa công khai của đối tác cần thực hiện giao dịch chứng thực số. Kho chứa chứng chỉ Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 19
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước còn đảm bảo những thông tin đƣợc lƣu trữ trên nó là hoàn toàn chính xác và tính nhất quán. 3.2.3. Chức năng cơ bản của PKI 3.2.3.1 Chứng thực (Certification) Chứng thực là chức năng quan trọng nhất của hệ thống PKI. Đây là quá trình ràng buộc khóa công khai với định danh của thực thể. CA là thực thể PKI thực hiện chức năng chứng thực. Có 2 phƣơng pháp chứng thực: Cơ quan chứng thực tạo ra cặp khóa bí mật- công khai và tạo ra chứng chỉ cho phần khóa công khai của cặp khóa. Ngƣời sử dụng tự tạo cặp khóa và đƣa khóa công khai cho CA để CA tạo chứng chỉ cho khóa công khai đó. Chứng chỉ đảm bảo tính toàn vẹn của khóa công khai và các thông tin gắn cùng. 3.2.3.2 Thẩm tra (Validation) Quá trình xác định liệu chứng chỉ đã đƣa ra có thể đƣợc sử dụng đúng mục đích thích hợp hay không đƣợc xem nhƣ là quá trình kiểm tra tính hiệu lực của chứng chỉ. Quá trình này bao gồm một số bƣớc sau: Kiểm tra xem liệu có đúng CA đƣợc tin tƣởng đã ký số lên chứng chỉ hay không (xử lý theo đƣờng dẫn chứng chỉ). Kiểm tra chữ ký số của CA trên chứng chỉ để kiểm tra tính toàn vẹn. Xác định xem chứng chỉ còn ở trong thời gian có hiệu lực hay không. Xác định xem chứng chỉ đã bị thu hồi hay chƣa. Xác định xem chứng chỉ đang đƣợc sử dụng có đúng mục đích hay không bằng cách kiểm tra những trƣờng hợp mở rộng, cụ thể nhƣ mở rộng chính sách chứng chỉ, hay mở rộng việc sử dụng khóa. 3.2.3.3 Quản lý khóa Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 20
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Thông thƣờng việc quản lý khóa do CA thực hiện thông qua quản lý chứng chỉ. Chức năng này gồm các chức năng ký, sinh khóa, thu hồi khóa khi không còn hiệu lực và khôi phục cặp khóa khi xảy ra sự cố trong hệ thống. a. Đăng ký Đăng ký là quá trình đăng ký các thông tin xin cấp chứng chỉ với các tổ chức, trung tâm tin cậy. RA và CA là những thực thể trong quá trình đăng ký. Quá trình đăng ký phụ thuộc vào chính sách của tổ chức. Nếu chứng chỉ đƣợc cấp cho các mục đích dùng cho những hoạt động bí mật thì sử dụng phƣơng pháp gặp mặt trực tiếp. Nếu chứng chỉ sử dụng cho mục đích hoạt động thƣờng thì có thể đăng ký qua những ứng dụng viết sẵn hoặc các ứng dụng điện tử. b. Sinh khóa Khóa sinh ra phải đảm bảo về chất lƣợng (khó tấn công bằng phƣơng pháp vét cạn), tính duy nhất trong hệ thống và tính bí mật. Việc sinh khóa phụ thuộc vào chính sách của PKI. Dƣới đây là 3 cách mà hệ thống sử dụng để khởi tạo khóa: Ngƣời sử dụng tự sinh cặp khóa cho mình sau đó gửi khóa công khai cho CA quản lý. Ƣu điểm của phƣơng pháp này là khóa bí mật của ngƣời sử dụng không bao giờ bị bên thứ ba biết đến. Tuy nhiên để đảm bảo an toàn trong quá trình sinh khóa thì đòi hỏi hệ thống phía ngƣời dùng phức tạp. Cặp khóa đƣợc sinh bởi một hệ thống chuyên chịu trách nhiệm sinh khóa. Khóa công khai đƣợc gửi cho CA quản lý. Còn khóa bí mật gửi lại cho ngƣời dùng theo một kênh truyền an toàn (ví dụ nhƣ sử dụng smart card để lƣu khóa bí mật). Cặp khóa đƣợc sinh bởi CA: đây là một trƣơng hợp riêng của trƣờng hợp trên. c. Phân phối, thu hồi, treo và lƣu trữ khóa Các chức năng này đồng nhất với chức năng quản lý chứng chỉ của CA. Tuy nhiên chức năng quản lý khóa trong một số trƣờng hợp có những điểm khác biệt. Ví dụ nhƣ một cặp khóa đƣợc sử dụng trong nhiều chứng chỉ khác nhau. Rõ ràng chỉ cần quản lý một cặp khóa nhƣng lại quản lý nhiều chứng chỉ. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 21
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước - Lƣu trữ, phân phối khóa: Các khóa công khai đƣợc lƣu trữ phân phối cho các ứng dụng thông qua các hệ thống không cần đảm bảo bí mật. Còn khóa bí mật đƣợc phân phối cho ngƣời dùng thông qua các kênh truyền an toàn nhƣ smart card, hoặc đƣợc mã hóa bởi một thành phần bí mật khác. - Thu hồi, treo khóa: Quá trình thu hồi khóa biểu hiện thông qua việc thu hồi chứng chỉ, chứng chỉ bị thu hồi bao hàm hai ý nghĩa là thông tin định danh không còn chính xác hoặc khóa bị thỏa hiệp. Khi phát hiện khóa bị thỏa hiệp hoặc do yêu cầu từ ngƣời dùng, các thành phần PKI có chức năng yêu cầu CA thu hồi các chứng chỉ tƣơng ứng. Còn quá trình treo khóa là quá trình thu hồi khóa tạm thời, khóa đó hoàn toàn có thể đƣợc sử dụng lại, tùy thuộc vào kết quả kiểm tra của CA xem nó đã bị thỏa hiệp chƣa. d. Khôi phục khóa Trong bất kỳ hệ thống nào rủi ro luôn luôn có thể xảy ra. Hệ thống PKI phải lƣờng trƣớc tình trạng khóa mã hóa bị mất. Đối với khóa công khai thì việc phân phối khóa là đơn giản, vì nó đƣợc lƣu trữ trên server công cộng, mọi đối tƣợng sử dụng đều có quyền truy cập vào lấy thông tin. Nhƣng đối với khóa bí mật thì khác, nguyên nhân mất có thể là do mất mật khẩu truy nhập vào hệ thống lƣu trữ, hoặc hệ thống lƣu trữ bị hỏng hóc, việc hệ thống sinh khóa có lƣu trữ khóa bí mật này không tùy thuộc vào chính sách của PKI. Nếu việc lƣu trữ khóa bí mật đƣợc thực hiện thì khóa bí mật sẽ khôi phục đƣợc, tuy nhiên lại nảy sinh vấn đề tính riêng tƣ bị xâm phạm vì một bên thứ 3 có thể xem toàn bộ thông tin bí mật của bạn. Nếu khóa bí mật không đƣợc lƣu trữ riêng thì tính riêng tƣ của tài liệu mã hóa không bị vi phạm, nhƣng nếu khóa bí mật bị mất thì đồng nghĩa với việc toàn bộ dữ liệu đã mã hóa của bạn sẽ bị mất theo. 3.2.3.4 Quản lý thời gian Thời gian trong hệ thống PKI phải có tính nhất quán, bởi rất nhiều thành phần chỉ có đƣợc sự tin tƣởng trong một thời gian cụ thể. Rõ ràng PKI phải quản lý cả vấn đề thời gian trong hệ thống. Nếu dịch vụ thời gian của PKI không đƣợc đảm Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 22
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước bảo thì bất kỳ thành phần nào trong hệ thống PKI đều có thể lạm dụng sử dụng những thành phần phụ thuộc vào thời gian, thực hiện những hành động không an toàn và chối bỏ về mặt thời gian trong các phiên kết nối. 3.2.3.5 Đảm bảo an toàn Hệ thống PKI sử dụng công nghệ mã hóa khóa công khai để cung cấp các dịch vụ đảm bảo bí mật cho ngƣời sử dụng, bên canh đó nó phải đảm bảo rằng các dịch vụ mà nó sử dụng phải an toàn cho ngƣời sử dụng. Tức là phải đảm bảo tính bí mật, toàn vẹn và tính sẵn sàng của các dịch vụ PKI. Bên cạnh đó các hệ thống PKI còn phải đảm bảo các chính sách giải quyết các vấn đề nảy sinh khi các rủi ro trong hệ thống xảy ra. Ví dụ: Bob và Alice muốn liên lạc với nhau qua Internet, dùng PKI để chắc chắn rằng thông tin trao đổi giữa họ đƣợc bảo mật. Bob đã có chứng nhận kỹ thuật số, nhƣng Alice thì chƣa. Để có nó, cô phải chứng minh đƣợc với Tổ chức cấp giấy chứng nhận cô thực sự là Alice. Một khi các thông số nhận dạng của Alice đƣợc Tổ chức thông qua, họ sẽ phát hành cho cô một chứng nhận kỹ thuật số. Chứng nhận điện tử này có giá trị thực sự, giống nhƣ tấm hộ chiếu vậy, nó đại diện cho Alice và gồm những chi tiết nhận dạng Alice, một bản sao chìa khóa công cộng của cô và thời hạn của giấy chứng nhận cũng nhƣ chữ ký số của Tổ chức chứng nhận. Alice cũng nhận đƣợc chìa khóa cá nhân kèm theo chìa khóa công cộng. Chìa khóa cá nhận này đƣợc lƣu ý là phải giữ bí mật, không đƣợc san sẻ với bất kỳ ai. Bây giờ Alice đã có chứng nhận kỹ thuật số, Bob có thể gửi cho cô những thông tin quan trọng đƣợc số hóa. Bob có thể xác nhận với cô là thông điệp đó xuất phát từ anh ta cũng nhu đảm bảo rằng nội dung thông điệp không bị thay đổi và không có ai khác ngoài Alice đọc đƣợc nó. Bảng sau đây minh họa cho tiến trình của chữ ký điện tử và độ tin cậy cao đáp ứng cho yêu cầu giao dịch điện tử an toàn của Bob và Alice. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 23
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Bob muốn chuyển một thƣ điện tử đến cho Alice, Phần mềm PKI dùng chìa khóa với yêu cầu rằng giao dịch phải chứng minh cá nhân của Bob tạo ra một chữ đƣợc chính anh đã gởi nó đi và nội dung bức thƣ ký điện tử cho bức thƣ không bị thay đổi. Phần mềm PKI của Bob dùng Bob muốn chắc chắn rằng không ai ngoài Alice chìa khóa công cộng của Alice đọc đƣợc bức thƣ này để mã hóa thông điệp của Bob. Phần mềm PKI dùng chìa khóa Alice muốn đọc thƣ do Bob gởi cá nhân của Alice để để giải mã thông điệp. Phần mềm PKI của Alice dùng Alice muốn kiểm chứng rằng chính Bob đã gởi chìa khóa công cộng của Bob để đi thông điệp đó và nội dung thông điệp không bị kiểm chứng chữ ký điện tử của chỉnh sửa. anh ta. Chƣơng 2: AN TOÀN THÔNG TIN TRONG GIAO DỊCH HÀNH CHÍNH 2.1 Giao dịch điện tử Giao dịch điện tử là giao dịch đƣợc thực hiện thông qua các phƣơng tiện điện tử và cũng có giá trị pháp lý nhƣ nó đƣợc ghi chép hoặc mô tả bằng văn bản theo phƣơng pháp truyền thống. Có thể coi văn bản pháp lý đầu tiên ở Việt Nam về giao dịch điện tử là Quyết định của Thủ tƣớng Chính phủ số 44, năm 2002 về chấp nhận chữ ký điện tử trong thanh toán liên ngân hang. Hiện nay, ngành Ngân hang đang ứng dụng một số giao dịch điện tử nhƣ gửi, nhận, cung cấp thông tin qua mạng, xử lý chứng từ kế toán, giao dịch giữa ngân hang với khách hàng Giao dịch điện tử gồm các hình thức thông điệp dữ liệu, chữ ký điện tử, chứng thực điện tử, giao kết và thực hiện hợp đồng điện tử Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 24
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước - Thông điệp dữ liệu là thông tin đƣợc tạo ra, đƣợc gửi đi, đƣợc nhận và đƣợc lƣu trữ bằng phƣơng tiện điện tử. Nó đƣợc thể hiện dƣới hình thức trao đổi dữ liệu điện tử, chứng từ điện tử, điện báo, fax và các hình thức tƣơng tự. - Chữ ký điện tử là chữ ký đƣợc tạo lập dƣới dạng từ, số, ký hiện, âm thanh hoặc các hình thức khác bằng phƣơng tiện điện tử, gắn liền hoặc kết hợp một cách logic với thông điệp dữ liệu. Chữ ký điện tử có giá trị xác nhận ngƣời ký thông điện dữ liệu và xác nhận sự chấp thuận của ngƣời đó đối với nội dung thông điệp dữ liệu đƣợc ký. - Hợp đồng điện tử đƣợc giao kết bằng các phƣơng tiện điện tử cũng có giá trị pháp lý và cũng đƣợc thực hiện nhƣ các hợp đồng đƣợc giao kết bằng phƣơng tiện văn bản truyền thống. 2.2 Ứng dụng Công nghệ thông tin trong giao dịch hành chính Giao dịch hành chính là dịch vụ trao đổi thông tin giữa các cơ quan tổ chức nhà nƣớc; giữc cơ quan, tổ chức nhà nƣớc với công dân, ngƣời lao động và các doanh nghiệp. Hiện nay với sự pháp triển của khoa học công nghệ, cùng với sự phát triển hạ tầng cơ sở CNTT trong các cơ quan nhà nƣớc, việc ứng dụng CNTT và truyền thông trong giao dịch hành chính công là một bộ phận quan trọng trong mô hình Chính phủ điện tử. 2.2.1 Chính phủ điện tử Chính phủ điện tử (E-gov) hiện nay còn đƣợc hiểu theo nhiều nghĩa, điều đó phụ thuộc vào mức độ ứng dụng công nghệ thông tin vào hoạt động quản lý công, khả năng ƣu tiên về chính sách và khả năng ứng dụng công nghệ thông tin của từng Chính phủ cụ thể. Theo nghĩa rộng thì E-gov là việc sử dụng Internet (online trực tuyến) trong các hoạt động tƣơng tác giữa Chính phủ với các bộ phận khác nhau trong xã hội hoặc chỉ đơn giản là nâng cao năng lực ứng dụng công nghệ thông tin của nhân viên hành chính trong bộ máy công. Theo nghĩa cụ thể hơn thì “Chính phủ điện tử là việc sử dụng công nghệ thông tin, mà đặc biệt là Internet nhƣ là một công cụ để hỗ trợ nhằm đạt đến một Chính phủ hoạt động hiệu quả nhất”. Mô hình Chính Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 25
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước phủ điện tử hiệu quả sẽ bao gồm các mô thức giải quyết quan hệ tƣơng tác về thông tin giữa ba chủ thể: Chính phủ, doanh nghiệp và ngƣời dân. Các loại GDĐT trong cơ quan nhà nƣớc Theo điều 39 chƣơng V của luật Giao dịch điện tử quy định 3 loại Giao dịch điện tử trong cơ quan nhà nƣớc đó là: - Giao dịch điện tử trong nội bộ cơ quan nhà nƣớc - Giao dịch điện tử giữa các cơ quan nhà nƣớc với nhau - Giao dịch điện tử giữa cơ quan nhà nƣớc với cơ quan, tổ chức, cá nhân. Dƣới góc độ kỹ thuật, các hoạt động trong Giao dịch điện tử trong các cơ quan nhà nƣớc gồm các nội dung cơ bản sau: - Lƣu trữ thông điệp - Gửi, nhận thông điệp - “Ký điện tử” và chứng thực “Chữ ký điện tử” - Giao kết và thực hiện hợp đồng điện tử. Vai trò và mối quan hệ của việc đảm bảo ATTT trong Giao dịch điện tử của cơ quan nhà nƣớc trong kiến trúc chung của Chính quyền điện tử đƣợc mô tả trong hình sau: Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 26
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Công dân, Doanh nghiệp, Tổ chức – Khách hàng của dịch vụ công E-mail Tel Fax Web Portal Trực tiếp Giao diện Các dịch vụ công Các dich vụ công với Các chuẩn với ngƣời dân (G2C) doanh nghiệp (G2B) An toàn và Các dịch vụ công trong nội bộ cơ quan và giữa Bảo mật các cơ quan nhà nƣớc G2G và G2E thông tin, Các ứng dụng dùng Các Cơ sở dữ liệu Môi trƣờng chung tích hợp pháp lý Hạ tầng cơ sở CNTT Hình : Mô hình kiến trúc tổng quát của Chính phủ điện tử Trong đó - G2C: Government – to – Citizen (Chính phủ với công dân) - G2B: Government – to – Business (Chính phủ với doanh nghiệp) - G2E: Government – to – Employees (Chính phủ với công chức) - G2G: Government – to – Government (Chính phủ với chính phủ) Chi tiết các dịch vụ bao gồm trong các loại giao dich nhƣ sau: . Giao dịch G2C Các dịch vụ trong G2C bao gồm việc phổ biến thông tin tới công chúng, các dịch vụ công dân cơ bản nhƣ gia hạn giấy phép, cấp giấy khai sinh, khai tử, đăng ký kết hôn và kê khai các biểu mẫu nộp thuế thu nhập cũng nhƣ hỗ trợ ngƣời dân đối với các dịch vụ cơ bản nhƣ giáo dục, chăm sóc y tế, thông tin bệnh viện, thƣ viện và rất nhiều dịch vụ khác. Qua đó ngƣời dân có thể truy cập một cửa đến các dịch vụ của Chính phủ. Một số dịch vụ điện tử thông dụng nhất đƣợc cung cấp cho công dân là: yêu cầu cấp chứng nhận quyền sở hữu nhà đất, tìm kiếm thông tin về các Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 27
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước trƣờng học, tìm kiếm việc làm. Phát triển nghề nghiệp và đăng ký bầu cử và bỏ phiếu bầu cử . Giao dịch G2B Các dịch vụ trong G2B là những dịch vụ trao đổi giữa Chính phủ và cộng đồng doanh nghiệp bao gồm cả việc phổ biến các chính sách, biên bản ghi nhớ, các qui định và thể chế. Các dịch vụ đƣợc cung cấp bao gồm truy xuất các thông tin về kinh tế, tải các mẫu đơn, gia hạn giấy phép, đăng ký kinh doanh, xin cấp phép và nộp thuế Các dịch vụ đƣợc cung cấp thông qua giao dịch G2B cũng hỗ trợ việc phát triển kinh doanh, đăch biệt là phát triển các doanh nghiệp vừa và nhỏ. Việc đơn giản hóa các thủ tục xin cấp phép, hỗ trợ quá trình phê duyệt đối với các yêu cầu của các doanh nghiệp vừa và nhỏ sẽ thúc đẩy kinh doanh phát triển. Ở mức cao hơn, các dịch vụ G2B bao gồm cả việc mua sắm điện tử và trao đổi trực tuyến giữa Chính phủ với các nhà cung cấp để mua sắm hàng hòa và dịch vụ cho Chính phủ. . Giao dịch G2E Dịch vụ trong G2E bao gồm các dịch vụ G2C và các dịch vụ chuyên ngành khác dành riêng cho các công chức Chính phủ nhƣ việc cung cấp đào tạo và phát triển nguồn nhân lực qua đó cải tiến các chức năng hành chính hàng ngày cũng nhƣ cách thức giải quyết công việc với ngƣời dân. . Giao dịch G2G Các dịch vụ trong G2G đƣợc triển khai ở hai cấp độ: ở địa phƣơng hoặc trong nƣớc và ở cấp độ quốc tế. Các dịch vụ G2G là các giao dịch giữa Chính phủ trung ƣơng(quốc gia) và các chính quyền địa phƣơng, giữa các vụ và các công ty, cơ quan có liên quan. Đồng thời, các dịch vụ G2G là các giao dịch giữa các Chính phủ và có thể đƣợc sử dụng nhƣ một công cụ của các mối quan hệ quốc tế và ngoại giao. Hiệu quả Chính phủ điện tử Về mặt kinh tế, Chính phủ điện tử là một ý tƣởng nhằm giảm thiểu chi phí giao dịch để tăng hiệu quả của nền hành chính công quyền. Tuy nhiên, ở góc độ xã hội và chính trị, hiệu quả của Chính phủ điện tử còn đi xa hơn trong việc xây dựng lòng tin, thúc đẩy tính minh bạch và tăng cƣờng sự giam gia của cộng đồng đối với quá trình ra quyết định của chính phủ. Điều này còn có ý nghĩa đăch biệt hơn nữa Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 28
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước khi mà tại các nƣớc phƣơng Đông, nơi mà bộ máy hành chính công quyền luôn cồng kềnh và ít hiệu quả. Chính phủ điện tử là một công cụ nhằm giảm thiểu những “va chạm” không muốn và không đáng có giữa những đối tác trong quá trình giao dịch kiểu đối diện (face to face) đầy nhạy cảm con ngƣời. Chính phủ điện tử là một trong những sang kiến không những đạt đƣợc sự giảm thiểu về chi phí giao dịch để tăng tính hiệu quả nhƣ những quan hệ kinh tế mà còn đem lại nhiều tác động hơn thế nữa, đó là thúc đẩy tính công khai minh bạch và xây dựng lòng tin cũng nhƣ tăng cƣờng sự tham gia của cộng đồng xã hội đối với hoạt động của chính chỉ. Thành công của E-gov đƣợc thể hiện ở các nội dung sau: Hiệu quả hơn trong các hoạt động quản lý nhà nƣớc của chính phủ. Mô hình E-gov sẽ làm cho các dịch vụ của chính phủ đƣợc cung cấp trực tuyến 24 giờ trong 7 ngày thay vì theo lịch làm việc công chức truyền thống. Các ứng dụng phổ biến nhất hiện nay nhƣ là hệ thống tài chính, các hoạt động về mua sắm của chính phủ, giao dịch nội bộ giữa các cơ quan hành chính lẫn việc chia sẽ thông tin với cộng đồng. Chất lƣợng dịch vụ đƣợc cải thiện. Sự thảo luận trao đổi thông tin giữa các đối tác bằng mô hình E-gov ít tốn kém thời gian và chi phí đã là một điều kiện tốt trong việc trao đổi giữa nhà cung cấp dịch vụ (chính phủ) và khách hàng (doanh nghiệp và dân chúng) của mình. Chính sự thảo luận này đã giúp không những bản thân chất lƣợng dịch vụ đƣợc nâng cao và đáp ứng nhu cầu mà còn là một cầu nối ý tƣởng trong hoạc định các chính sách vi mô và vĩ mô của chính phủ. Xây dựng và tăng cƣờng lòng tin giữa chính phủ và dân chúng. Đây là lợi ích chính trị cực kỳ nền tảng mà bất cứ một chính phủ nào cũng hƣớng đến. Bởi lẽ, một khi thiếu vắng sự tin tƣởng thì vai trò của pháp luật, hiệu quả cƣỡng chế của các quyết định chính phủ cũng nhƣ các chƣơng trình đổi mới của chính phủ thƣờng đƣợc ngƣời dân đón nhận mờ nhạt. Trong khi đó, sự tƣơng tác giữa chính phủ với dân chúng tăng lên cùng với hiệu quả và chất lƣợng dịch vụ cung cấp đƣợc cải thiện nhờ các dịch vụ trực tuyến từ E-gov sẽ là yếu tố tăng cƣờng lòng tin của nhân dân đối với chính phủ. Lợi ích chính trị này có đƣợc khi áp dụng E-gov là động cơ đầu tiên và mạnh nhất cho các nhà làm chính sách khi họ muốn cải cách hệ thống quản lý công của mình. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 29
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Mức độ phát triển của các dịch vụ hành chính công Ứng dụng công nghệ thông tin phục vụ công tác nghiệp vụ, quản lý, điều hành trong các cơ quan nhà nƣớc, bộ, ngành, tỉnh, thành là nhiệm vụ đã đƣợc xác định rõ ràng, quán triệt từ nhiều năm nay, thông qua các chỉ thị, nghị định, quyết định quan trọng của Nhà nƣớc và Chính phủ. Nghị định 64 của Chính phủ ban hành năm 2007 là định hƣớng mới nhất cho con đƣờng ứng dụng công nghệ thông tin trong các cơ quan nhà nƣớc, tiến tời hình thành Chính phủ điện tử ở Việt Nam. Việc cung cấp thông tin về tổ chức, hoạt động của các cơ quan nhà nƣớc, chính sách và hƣớng dẫn thủ tục hành chính trên mạng thông qua những trang thông tin điện tử, cổng tác nghiệp điện tử của các bộ, ngành, UBND tỉnh, thành trong cả nƣớc là một trong những bƣớc đi cơ bản, phục vụ trực tiếp cho ngƣời dân và doanh nghiệp, tiến tới xây dựng Chính phủ điện tử. Nằm trong lộ trình đẩy mạnh hoạt động ứng dụng công nghệ thông tin và xây dựng Chính phủ điện tử, bộ TT-TT đã công bố bản đánh giá các trang thông tin điện tử của các bộ, ngành, địa phƣơng theo 2 tiêu chí: số lƣợng truy cập và mức độ của dịch vụ hành chính công. Mô hình 4 mức độ phát triển của các dịch vụ hành chính công trực tuyến đƣợc áp dụng đối với Việt Nam bao gồm: Mức độ 1: Cổng thông tin điện tử có đầy đủ thông tin về quy trình thủ tục thực hiện dịch vụ, các giấy tờ cần thiết, các bƣớc tiến hành, thời gian thực hiện, chi phí thực hiện dịch vụ. Mức độ 2: Ngoài thông tin đầy đủ nhƣ mức độ 1, Cổng thông tin điện tử cho phép ngƣời sử dụng tải về các mẫu đơn, hồ sơ để ngƣời sử dụng có thể in ra giấy, hoặc điền vào các mẫu đơn. Việc nộp lại hồ sơ sau khi hoàn thành đƣợc thực hiện qua đƣờng bƣu điện hoặc ngƣời sử dụng trực tiếp mang đến cơ quan thụ lý hồ sơ. Mức độ 3: Lúc này cổng thông tin điện tử cho phép ngƣời sử dụng điền trực tuyến vào các mẫu đơn, hồ sơ và gửi lại trực tuyến các mẫu đơn, hồ sơ sau khi điền xong tới cơ quan và ngƣời thụ lý hồ sơ. Các giao dịch trong quá trình thụ lý hồ sơ và cung cấp dịch vụ đƣợc thực hiện qua mạng. Tuy nhiên, việc thanh toán chi phí và Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 30
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước kết quả sẽ đƣợc thực hiện khi ngƣời sử dụng đến trực tiếp cơ quan cung cấp dịch vụ. Mức độ 4: Việc thanh toán chi phí sẽ đƣợc thực hiện trực tuyến, việc trả kết quả có thể thực hiện trực tuyến hoặc gửi qua đƣờng bƣu điện. 2.2.2 Cổng thông tin điện tử Theo kết quả đánh giá mới nhất về mức độ truy nhập và cung cấp dịch vụ hành chính công của các trang thông tin điện tử của các bộ và địa phƣơng, công bố ngày 2/7/2008 của bộ TT-TT, ở cấp địa phƣơng hiện nay có 54,7% địa phƣơng (tính trên số 64 tỉnh, thành trực thuộc Trung ƣơng) đã triển khai dịch vụ hành chính công trực tuyến ở mức 1; 28,1% đã triển khai ở mức 2; 4,7% triển khai ở mức 3. Trang thông tin điện tử của Thành phố Hồ Chí Minh tính trên tổng thể các tiêu chí đƣợc đƣa ra trong đánh giá này thuộc nhóm dẫn đầu. Ở cấp bộ, trang thông tin điện tử của Bộ Nông nghiệp và Phát triển nông thôn và Bộ Tƣ pháp cung cấp nhiều dịch vụ hành chính công trực tuyến nhất. Dịch vụ hành chính công cấp 3 chỉ có tại trang thông tin điện tử của Bộ Ngoại giao. Có 16/22 Bộ, Ngành đã có trang thông tin điện tử, trong đó cổng thông tin điện tử Chính phủ cung cấp nhiều thông tin phong phú và có lƣợng truy cập cao. Cổng thông tin điện tử Chính phủ Cổng thông tin điện tử Chính phủ trên Internet có tên quốc gia là Viet Nam Government Portal thực hiện 3 chức năng chính gồm: cơ quan báo điện tử của Chính phủ, mạng thông tin hành chính của Chính phủ, cổng tích hợp dịch vụ công của Chính phủ và chính quyền các cấp. Kể từ khi Thủ tƣớng Chính phủ bấm nút hòa mạng Internet cách đây 3 năm, website Chính phủ nay là Cổng Thông tin điện tử Chính phủ đã trở thành cầu nối tin cậy giữa ngƣời dân, doanh nghiệp và Chính phủ. Suốt những năm qua, từ nhịp cầu này, rất nhiều quyết đinh, chính sách chỉ đạo của Chính phủ đã nhanh chóng đến với ngƣời dân và ngƣợc lại, những khó khăn, vƣớng mắc, vấn đề dân sinh bức xúc kịp thời đƣợc phản ánh, chuyển tới các cơ quan chức năng giải quyết. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 31
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Việc khai trƣơng website Chính phủ 3 năm trƣớc đã mở ra một kênh thông tin quan trọng truyền tải kịp thời chủ trƣơng, chính sách, hoạt động nhiều mặt của Chính phủ, tình hình thời sự nổi bật của đất nƣớc và trở thành diễn đàn giao lƣu trực tuyến giữa Chính phủ, các thành viên Chính phủ với nhân dân, doanh nghiệp. Góp phần đưa Chính phủ đến gần dân hơn Chỉ sau 3 năm, khối lƣợng rất lớn thông tin đã đƣợc Cổng thông tin điện tử truyền tải đến ngƣời dân, doanh nghiệp và bạn bè quốc tế. Riêng năm 2008, Cổng thông tin điện tử Chính phủ đã đăng tải gần 3.000 văn bản quy phạm pháp luật; gần 2.500 văn bản chỉ đạo điều hành của Thủ tƣớng Chính phủ; cập nhật các bảo cáo tổng hợp về tình hình kinh tế - xã hội của Bộ, ngành, địa phƣơng trong cả nƣớc, cùng hàng chục nghìn dữ liệu thông tin điện tử và dữ liệu điện tử đa phƣơng tiện đƣợc lƣu trữ, khai thác trong hoạt động chỉ đạo điều hành hàng ngày, các phóng viên của Cổng thông tin điện tử Chính phủ đã bám sát vào hoạt động của Thủ tƣớng, các Phó Thủ tƣớng, hoạt động của Bộ, ngành, địa phƣơng kể cả từ những vùng lũ, vùng sâu, vùng xa, ở những nơi điều kiện tác nghiệp khó khăn, để truyền đi kịp thời ý kiến chỉ đạo của lãnh đạo Chính phủ, nhanh chóng giải quyết các vấn đề gắn bó mật thiết với đời sống ngƣời dân. Các chuyên viên kỹ thuật đã xử lý hàng vạn cuộc tấn công của các lực lƣợng tin tặc, đảm bảo vận hành thông suốt 24/24 giờ hàng ngày trong suốt 3 năm qua của Cổng thông tin điện tử Chính phủ. Trong năm 2008, Cổng TTĐT Chính phủ truyền đến bạn đọc, ngƣời dân, doanh nghiệp hơn 8.000 tin, bài; hơn 2.000 ảnh, phục vụ khoảng 7 triệu lƣợt ngƣời truy cập mỗi ngày. Có thể nói, các sự kiện trọng đại của đất nƣớc, công điện khẩn, chỉ đạo khẩn của Thủ tƣớng Chính phủ đƣợc Cổng TTĐT Chính phủ truyền tải kịp thời, có định hƣớng rất tốt cho ngƣời dân, cũng nhƣ cung cấp thông tin quan trọng cho chính quyền cơ sở nắm bắt triển khai. Đến nay, nhiều ngƣời vẫn còn nhắc đến sự kiện sau buổi giao ban truyền hình trực tuyến sáng 27/4/2008 tại trụ sở Cổng TTĐT Chính phủ giữa Thủ tƣớng Nguyễn Tấn Dũng và Thƣờng trực Chính phủ với lãnh đạo các địa phƣơng. Nội Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 32
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước dung chỉ đạo giao ban đã đƣợc đăng tải lập tức trên Cổng TTĐT Chính phủ, trong đó có việc yêu cầu xử lý nghiêm các trƣờng hợp đầu cơ, đẩy giá gạo lên cao bất thƣờng. Ngay ngày hôm sau, giá gạo tại Hà Nội, TP HCM cùng nhiều địa phƣơng khác đã chững lại và liên tục giảm trong các ngày tiếp theo. Cổng TTĐT Chính phủ cũng đã đăng tải kịp thời các ý kiến chỉ đạo khẩn của Ngân hàng Nhà nƣớc, Bộ Công thƣơng trƣớc tình hình có nhiều thông tin nhiễu, gây bất ổn cho tâm lý nhân dân, đã giúp ngƣời dân nắm đƣợc thông tin chính thức của cơ quan có thẩm quyền, trách nhiệm; giúp nhân dân, doanh nghiệp hiểu rõ tình hình, từ đó, ổn định tâm lý, góp phần làm tan các cơn sốt ảo. Nhiều kiều bào đã bày tỏ, Cổng TTĐT Chính phủ là cầu nối cho những ngƣời xa xứ luôn hƣớng về Đất Mẹ. Thông qua nhịp cầu này, nhiều kiều bào cho biết, qua Cổng TTĐT Chính phủ hầu nhƣ tức thời, họ đã nắm bắt rõ hơn về tình hình đất nƣớc, hoạt động của lãnh đạo Đảng, Nhà nƣớc, Chính phủ về những chính sách thân thiết với họ và cảm thấy sự gần gũi hơn của lãnh đạo Đảng, Nhà nƣớc, Chính phủ. Kết nối người dân với Chính phủ. Với việc mở rộng 11 cửa giao tiếp điện tử, Cổng TTĐT Chính phủ đã trở thành nơi ngƣời dân phản ánh những kiến nghị, cũng nhƣ gửi gắm những tâm tƣ, nguyện vọng tới Chính phủ, Thủ tƣớng Chính phủ, các cơ quan có trách nhiệm của Nhà nƣớc. Ngƣời dân không chỉ phản ánh qua đƣờng bƣu điện, thƣ điện tử, điện thoại, mà nhiều ngƣời còn đến tận trụ sở Cổng TTĐT Chính phủ tại 16 Lê Hồng Phong, Hà Nội, với mong muốn đƣợc Cổng TTĐT Chính phủ giúp chuyển nguyện vọng, kiến nghị đến các địa chỉ tin cậy để đƣợc hồi đáp nhanh chóng. Từ khoảng 4.000 thƣ, kiến nghị năm 2006, 6.000 năm 2007, đến năm 2008, Cổng TTĐT Chính phủ đã nhận đƣợc khoảng 7.500 thƣ, phản ánh, kiến nghị của ngƣời dân, doanh nghiệp. Những con số này cho thấy, ngƣời dân đã ngày càng tin tƣởng hơn vào Cổng TTĐT Chính phủ, cũng đồng thời cho thấy chủ trƣơng của Đảng, Nhà nƣớc trong việc chủ động lắng nghe và tích cực giải quyết những vấn đề của ngƣời Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 33
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước dân, doanh nghiệp qua Cổng TTĐT Chính phủ đã phát huy hiệu ứng tích cực trong cuộc sống. 2.3 Đảm bảo an toàn thông tin trong giao dịch hành chính 2.3.1 Thực trạng Hiện nay hầu hết các cơ quan nhà nƣớc đã đƣợc trang bị cơ sở hạ tầng công nghệ thông tin tƣơng đối đồng bộ (đƣợc trang bị máy vi tính, kết nối mạng cục bộ, mạng internet và có cán bộ tin học chuyên trách), đồng thời cán bộ công chức đã đƣợc đào tạo qua lớp tin học văn phòng. Đây là yếu tố thúc đẩy nhanh việc ứng dụng CNTT phục vụ quản lý hành chính nhà nƣớc trong thời gian tới. Bên cạnh việc trang bị hạ tầng CNTT đồng bộ và đào tạo đội ngũ cán bộ sử dụng các ứng dụng tin học văn phòng, một số ứng dụng phần mềm cũng đƣợc Chính phủ và các ngành đầu tƣ xây dựng, bƣớc đầu đem lại hiệu quả, góp phần đổi mới tác phong làm việc của cán bộ, nâng cao chất lƣợng công tác chỉ đạo, điều hành tại đơn bị triển khai dự án. Một số đơn vị đã từng bƣớc ứng dụng hiệu quả các hệ thống thông tin hỗ trợ chỉ đạo, điều hành, đặc biệt trong việc giới thiệu, tuyên truyền, công khai hóa các thủ tục hành chính và các văn bản quy phạm pháp luật. Hiện nay có trên 70% các tỉnh thành phố trực thuộc trung ƣơng, các bộ các ngành đều có cổng giao tiếp điện tử góp phần đƣa thông tin đầy đủ để với ngƣời dân, doanh nghiệp, tạo sự công khai hóa, minh bạch hóa các thủ tục hành chính. Tuy nhiên việc đƣa vào vận hành một số Giao dịch điện tử trong hành chính công vẫn chƣa đạt hiệu quả cao, một phần do trình độ chuyên môn của một bộ phận công chức và ngƣời dân chƣa cao, nhƣng lý do chính có tính quyết định là chúng ta có môi trƣờng pháp lý và hạ tầng kỹ thuật đảm bảo ATTT trong Giao dịch điện tử chƣa hoàn thiện. Nếu không đảm bảo ATTT trong Giao dịch điện tử, thông tin giao dịch dễ bị đánh cắp, sửa đổi sẽ gây những tổn hại lớn ở múc vĩ mô. Ví dụ, các nhà phân tích của Chính phủ định kỳ đƣa ra dữ liệu về nền kinh tế quốc gia, các kết quả đƣợc đƣa tới công chúng vào ngày giờ xác định trƣớc. Trƣớc thời gian đó, việc truy Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 34
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước nhập vào dữ liệu có thể đem lại lợi nhuận cho ai đó biết trƣớc tác động có thể của dữ liệu tới thị trƣờng chứng khoán. Do vậy, để xây dựng và triển khai rộng rãi và đạt hiệu quả cao trọng việc áp dụng công nghệ thông tin và truyền thông trong các Giao dịch điện tử nói chung hay giao dịch hành chính nói riêng đòi hỏi phải xây dựng hạ tầng kỹ thuật đảm bảo ATTT trong giao dịch. Một số giải pháp công nghệ về an toàn và bảo mật thông tin đã đƣợc xây dừng và triển khai. Tuy nhiên chúng ta không thể sử dụng lại do tính an toàn và bảo mật của hệ thống đƣợc đảm bảo, nhất là trong trƣờng hợp gặp sự cố chúng ta không có cơ sở khoa học để xử lý. Mặt khác đối với các cơ quan quản lý hành chính nhà nƣớc ở Việt Nam có những yêu cầu nghiệp vụ về an toàn và bảo mật thông tin cho riêng mình. Nghị định, quy định chi tiết về thi hành luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số mới đƣợc ban hành. Tuy nhiên, hiện tại chúng ta vẫn chƣa có các trung tâm CA chuyên dụng. Các hệ thống Giao dịch điện tử thực thụ mới chỉ đƣợc ứng dụng triển khai tại một số đơn vị hành chính, ngân hàng còn các cơ quan nhà nƣớc chƣa có những giao dịch thực thụ. 2.3.2 Các yêu cầu đảm bảo An toàn thông tin trong Giao dịch điện tử Hệ thống Giao dịch điện tử phải đảm bảo sự an toàn, khả năng bảo mật cho ngƣời sử dụng cũng nhƣ các thông tin cho ngƣời sử dụng nhƣ thông tin về định danh ngƣời dung, thông tin giao dịch Hệ thống Giao dịch điện tử phải đảm bảo đƣợc các mục tiêu chính đó là: tính bí mật, tính toàn vẹn, tính xác thực, tính không thể phủ nhận và tính sẵn sàng. Tính bí mật Tính bí mật là việc đảm bảo thông tin không bị lộ hay bày ra đối với những ngƣời không đƣợc phép. Thông tin có thể đƣợc lƣu trữ trên máy tính hay có thể đƣợc truyền từ máy này sang máy khác qua mạng. Các dịch vụ bảo mật bảo vệ thông tin trƣớc những đe dọa của việc theo dõi giao tiếp. Trong Giao dịch điện tử, tính bí mật rất quan trọng, hệ thống cần đảm bảo ngăn chặn hoặc hạn chế tuyệt đối Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 35
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước sự rò rỉ các thông tin giao dịch (định danh ngƣời mua, ngƣời bán, thông điệp giao dịch, chữ ký điện tử của các bên tham gia giao dịch, thông tin tài khoản ) đối với ngƣời dùng không liên quan. Kỹ thuật phổ biến để thực thi dịch vụ bí mật là mã hóa. Mã hóa làm thay đổi hình dạng thông tin gốc làm cho ngƣời khác “khó” nhận ra để ngăn chặn sự truy cập trái phép. Tính toàn vẹn Đảm bảo tính toàn vẹn là việc ngăn chặn hay hạn chế các hành động trái phép nhƣ thay đổi, sao chép thông tin, chèn những thông điệp thừa vào chuỗi thông tin, xóa một phần hay toàn bộ chuỗi thông tin, sắp xếp lại các thành hần trong chuỗi thông tin. Tính toàn vẹn dữ liệu cũng là việc chống lại việc tạo trái phép các thông điệp và xem các thông điệp cũ. Tính toàn vẹn chỉ cho những ngƣời hoặc nhóm ngƣời đƣợc phép mới có thể biến đổi theo cách hợp pháp. Toàn vẹn dữ liệu là hết sức quan trọng. Một số ý nghĩa cho tính toàn vẹn gồm: đúng, chính xác, không bị thay đổi, thay đổi theo những cách có thể chấp nhận đƣợc, chỉ ngƣời dùng đƣợc phép mới có thể thay đổi đƣợc, nhất quán, nhất quán nội tại và các kết quả đúng và có ý nghĩa. Một số kỹ thuật mật mã đƣợc sử dụng để thực thi tính toàn vẹn dữ liệu nhƣ mã hóa, hàm băm. Tính xác thực Tính xác thực hay dịch vụ kiểm soát truy nhập là việc chống lại sự truy cập trái phép tới dữ liệu hay các tài nguyên máy tính tới những ngƣời dùng bất hợp pháp. Tính xác thực thiết lập những quyền hạn đối với ngƣời dùng. Kiểu truy cập ở đây là kiểu truy cập đọc, viết dữ liệu, thực thi một chƣơng trình hay sử dụng tài nguyên phần cứng nhƣ máy in. Một hệ thống an ninh cần phải xác thực một ngƣời dùng trƣớc khi định nghĩa những quyền hạn cho ngƣời dùng đó. Trong Giao dịch điện tử, hệ thống cần đảm bảo tính xác thực gồm xác thực đúng thực thể cần kết nối, giao dịch và xác thực đúng thực thể có trách nhiệm về nội dung thông tin (xác thực nguồn gốc thông tin). Nói cách khác, khi tiến hành giao dịch, ngƣời sử dụng sẽ Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 36
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước không thể an tâm khi mà họ không biết chính xác đối tác tham gia giao dịch với mình hay nguồn gốc của thông tin giao dịch. Vì vậy đảm bảo tính xác thực của hệ thống là cần thiết. Danh sách kiẻm soát truy cập và các phân bổ chính sách là hai kỹ thuật phổ biến dùng để thực thi các dịch vụ xác thực. Tính không thể phủ nhận Tính không thể phủ nhận ngăn chặn một bên tham gia giao dịch sáu đó phủ nhận có tham gia một phần hoặc toàn bộ giao dịch, phủ nhận nội dung của giao dịch, thời gian giao dịch hay định danh của các đối tác. Chống chối cãi vệ thực chất là đƣa ra moth hay một số chứng cứ quan trọng để phân xử giữa các bên. Chống chối cái về thực chất là đƣa ra một hay một số chứng cứ quan trọng để phân xử giữa các bên. Có hai loại dịch vụ chống chối bỏ là chống chối bỏ nguồn gốc và chống chối bỏ phân phát. - Chống chối bỏ nguồn gốc bảo vệ ngƣời nhận thông điệp ngăn chặn ngƣời khởi tạo sau đó chối bỏ đã tạo thông điệp, chối bỏ nội dung, thời gian khởi tạo của thông điệp. - Chống chối bỏ phân phát bảo vệ ngƣời khởi tạo thông điệp ngăn chặn ngƣời nhận đƣợc thông điệp sau đó chối bỏ việc đã nhận thông điệp, chối bỏ nội dung và thời gian thông điệp. Ví dụ, trong các giao dịch hành chính công trên mạng, chống chối cãi là bảo vệ chống lại sự từ chối của công dân, doanh nghiệp, cơ quan cấp dƣới đối với những thông báo, chỉ thị, nghị quyết của cơ quan nhà nƣớc do không thi hành đúng thời hạn hay có hành vi chống đối các quy định trên và sự từ chối của cơ quan nhà nƣớc đối với những quyết định đã cấp cho công dân, doanh nghiệp và ngƣời lao động. Trong các hệ thống thanh toán điện tử, chống chối cãi là bảo vệ chống lại sự từ chối của khách hàng đối với những đơn đặt hàng đã đặt và sừ từ chối của ngƣời bán hàng đối với những khoản thanh toán đã đƣợc trả. Mã hóa, chữ ký số, công chứng là những kỹ thuật chính đƣợc dùng để thực thi dịch vụ chống chối bỏ. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 37
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Tính sẵn sàng Tính sẵn sàng là thông tin luôn sẵn sàng với những ngƣời dùng hợp pháp. Tính sẵn sàng phải đạt đƣợc các yêu cầu: sự hiện diện của đối tƣợng hoặc dịch vụ dƣới dạng có thể dùng đƣợc; khả năng đáp ứng các yêu cầu về dịch vụ; tiến trình - giới hạn thời gian đợi; thời gian đầy đủ/tuyến thời gian của dịch vụ. Tính sẵn sàng của hệ thống phải đạt đƣợc các mục tiêu: đáp ứng về thời gian; cấp phát hợp lý; khả năng chịu lỗi; có lợi hoặc có khả năng sử dụng(có thể dùng đƣợc nhƣ mong muốn); đồng thời kiểm soát - hỗ trợ truy nhập đồng thời, quản lý tắc nghẽn và truy nhập loại trừ nhƣ yêu cầu. Hai phƣơng thức chính để đạt đƣợc tính sẵn sàng đó là thiết jế hệ thống gọn nhẹ và mạnh tránh các điểm xử lý có thể dẫn tới tình trạng quá tải và quản trị hệ thống thận trọng, các giao dịch tiến hành trên các giao dịch nguyên tử tức là giao dịch hoặc đƣợc kết thúc hoàn toàn hoặc bị hủy bỏ. 2.3.3 Làm thế nào để đảm bảo an toàn thông tin trong giao dịch điện tử Vấn đề bảo đảm an toàn thông tin trong GDĐT, nhìn nhận một cách toàn diện, thực sự là một vấn đề phức tạp và bao hàm nhiều khía cạnh, nó không đơn giản nhƣ lời khuyên của một số chuyên gia nghiệp dƣ về CNTT là „muốn tiếp cận với Internet thì hãy trang bị bức tường lửa, nếu cần sự bảo vệ thì hãy mã hóa và mật khẩu là đủ để xác thực‟. Thực tế việc bảo đảm an toàn thông tin trong GDĐT muốn đạt hiệu qủa thiết thực và tiết kiệm cần phải đƣợc hiểu theo khái niệm nhƣ là „biết cách bảo vệ để chống lại sự tấn công tiềm ẩn‟. Bởi vậy, nó phải là tổng hòa các giải pháp của hạ tầng cơ sở bảo mật. Đó là: Về mặt Pháp lý và tổ chức: trƣớc hết phải xây dựng chính sách an toàn thông tin cho GDĐT nhằm tạo sự rõ ràng và có thể tiên liệu đƣợc, phản ánh đƣợc sự cân bằng quyền lợi của các chủ thể tham gia giao dịch điện tử , quan tâm tính riêng tƣ và an toàn xã hội, bảo đảm sự thi hành pháp luật và lợi ích an ninh quốc gia; ban hành các văn bản quy phạm pháp luật cần thiết, tiêu chuẩn mật mã và chữ ký điện tử sử dụng trong GDĐT, giải quyết khiếu nại và tố cáo khi có sự tranh chấp liên quan đến sử dụng mật mã; tổ chức các cơ quan chứng nhận, cấp phép, quản lý và Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 38
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước phân phối sản phẩm mật mã, phản ứng giải quyết sự cố, thanh tra và kiểm tra, vấn đề lƣu trữ và phục hồi khoá, v.v ; - Đối với các kỹ thuật an toàn, vấn đề đặt ra là kỹ thuật nào đƣợc chấp nhận để đảm bảo an toàn thông tin trong giao dịch điện tử, ví dụ: công nghệ mã hóa đối xứng, mã hóa phi đối xứng, công nghệ chữ ký số, công nghệ chữ ký sinh học v.v.; các chuẩn công nghệ đối với các kỹ thuật an toàn; công nhận về mặt pháp lý các kỹ thuật an toàn đƣợc chấp nhận, ví dụ: văn bản pháp quy về chữ ký ký điện tử nói chung và về chữ ký số nói riêng. Ở đây có một vấn đề cần quan tâm là: nói chung các văn bản quy phạm pháp luật liên quan cần phải trung lập về mặt công nghệ để đảm bảo sự phát triển bình đẳng của các công nghệ, nhƣng trong từng thời kỳ không thể không đề cập đến các công nghệ cụ thể. Trong trƣờng hợp đó việc đề cập đến công nghệ cụ thể sẽ đƣợc thực hiện nhƣ thế nào? Ví dụ: công nghệ chữ ký số là một công nghệ cụ thể so với các công nghệ khác nhƣ công nghệ chữ ký sinh học và các công nghệ khác sẽ xuất hiện trong tƣơng lai. Có nên đƣa chữ ký số vào trong luật hay chỉ đƣa vào các văn bản dƣới luật nhƣ nghị định, thông tƣ ? Các nƣớc trên thế giới cũng có 2 quan điểm về vấn đề này: đƣa thẳng vào luật và chỉ đƣa vào văn bản dƣới luật. - Đối với các dịch vụ an toàn, vấn đề đặt ra là: ai đƣợc phép cung cấp dịch vụ, đƣợc phép đến mức nào v.v. Ví dụ: Có cho phép các tổ chức tƣ nhân hoặc nƣớc ngoài cung cấp dịch vụ xác thực (Certificattion Authority - CA) không? Ai đƣợc phép cung cấp các dịch vụ mã hóa? v.v. - Đối với các cơ chế quản lý an toàn, vấn đề đặt ra là: ai quản lý, quản lý đến mức nào và quản lý nhƣ thế nào các dịch vụ và cơ chế an toàn. Ví dụ: Dịch vụ xác thực CA (có cần quản lý không, ai quản lý và quy trình cấp phép cung cấp dịch vụ), xuất/nhập khẩu kỹ thuật và thiết bị mã hóa (ai quản lý và quản lý đến mức nào) v.v. Về mặt kỹ thuật: Kết hợp chặt chẽ với hạ tầng công nghệ, quy định thống nhất tiêu chuẩn cấu trúc thiết lập hệ thống mạng và sử dụng công nghệ, ngôn ngữ giao tiếp và phần mềm ứng dụng, tổ chức hệ thống chứng thực và phân phối khóa Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 39
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước mã, các công cụ nghiệp vụ kỹ thuật kiểm tra và phát hiện xâm nhập; các giải pháp dự phòng, khắc phục sự cố xẩy ra đối với KTMM sử dụng trong GDĐT v.v. Về phía người sử dụng (tổ chức, cá nhân): Trƣớc hết họ phải đƣợc “giác ngộ” về an toàn thông tin trong GDĐT - họ cần biết phải bảo vệ cái gì trong hệ thống của họ, ƣớc định mức rủi ro và các nguy cơ tiềm tàng khi kết nối mạng của mình với các đối tƣợng khác, việc mở rộng mạng của mình trong tƣơng lai v.v. - để họ có ý thức đầu tƣ bảo mật cho hệ thống của họ ngay từ khi bắt đầu xây dựng; chấp nhận và chấp hành chính sách, các quy định pháp luật về sử dụng mật mã, và phải chịu trách nhiệm trƣớc pháp luật về bảo vệ bí mật quốc gia trong quá trình xử lý và truyền tải thông tin trong GDĐT v.v. Với hệ thống thông tin mở, sử dụng công nghệ đa phƣơng tiện nhƣ hiện nay thì về mặt lý thuyết không thể đảm bảo an toàn thông tin 100%, điều cốt yếu là chúng ta phải tiên liệu được các nguy cơ tấn công tiềm ẩn đối với cái cần phải bảo vệ và biết bảo vệ như thế nào cho hiệu qủa đối với hệ thống của mình. Cuối cùng, yếu tố con ngƣời vẫn là quyết định. Con ngƣời không đƣợc đào tạo kỹ năng và không có ý thức bảo mật cũng là kẽ hở cho những kẻ bất lƣơng khai thác, và nếu con ngƣời trong hệ thống phản bội lại lợi ích của cơ quan, xí nghiệp và rộng hơn là của quốc gia thì không có giải pháp kỹ thuật an toàn nào có hiệu quả. Nói cách khác, an toàn thông tin trong GDĐT cần phải đƣợc bổ sung giải pháp an toàn nội bộ đặc biệt chống lại những đe doạ từ bên trong. 2.3.4 Giải pháp CHỨNG CHỈ ĐIỆN TỬ Khái niệm Chứng chỉ điện tử là một tệp tin điện tử dùng để xác minh danh tính một cá nhân, một máy chủ, một công ty trên Internet. Nó giống nhƣ bằng lái xe, hộ chiếu, chứng minh thƣ hay những giấy tờ xác minh cá nhân. Để có chứng minh thƣ, bạn phải đƣợc cơ quan Công An sở tại cấp. Chứng chỉ số cũng vậy, phải do một tổ chức đứng ra chứng nhận những thông tin của bạn là chính xác, đƣợc gọi là Nhà cung Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 40
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước cấp chứng thực số (Certificate Authority, viết tắt là CA). CA phải đảm bảo về độ tin cậy, chịu trách nhiệm về độ chính xác của chứng chỉ số mà mình cấp. Trong chứng chỉ số có ba thành phần chính: +Thông tin cá nhân của ngƣời đƣợc cấp +Khoá công khai (Public key) của ngƣời đƣợc cấp +Chữ ký số của CA cấp chứng chỉ - Thông tin cá nhân Đây là các thông tin của đối tƣợng đƣợc cấp chứng chỉ số, gồm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức .v.v. Phần này giống nhƣ các thông tin trên chứng minh thƣ của mỗi ngƣời. - Khoá công khai Trong khái niệm mật mã, khoá công khai là một giá trị đƣợc nhà cung cấp chứng thực đƣa ra nhƣ một khóa mã hoá, kết hợp cùng với một khoá cá nhân duy nhất đƣợc tạo ra từ khoá công khai để tạo thành cặp mã khoá bất đối xứng. Nguyên lý hoạt động của khoá công khai trong chứng chỉ số là hai bên giao dịch phải biết khoá công khai của nhau. Bên A muốn gửi cho bên B thì phải dùng khoá công khai của bên B để mã hoá thông tin. Bên B sẽ dùng khoá cá nhân của mình để mở thông tin đó ra. Tính bất đối xứng trong mã hoá thể hiện ở chỗ khoá cá nhân có thể giải mã dữ liệu đƣợc mã hoá bằng khóa công khai (trong cùng một cặp khoá duy nhất mà một cá nhân sở hữu), nhƣng khoá công khai không có khả năng giải mã lại thông tin, kể cả những thông tin do chính khoá công khai đó đã mã hoá. Đây là đặc tính cần thiết vì có thể nhiều cá nhân B,C, D cùng thực hiện giao dịch và có khoá công khai của A, nhƣng C,D không thể giải mã đƣợc các thông tin mà B gửi cho A dù cho đã chặn bắt đƣợc các gói thông tin gửi đi trên mạng. Một cách hiểu nôm na, nếu chứng chỉ số là một chứng minh thƣ nhân dân, thì khóa công khai đóng vai trò nhƣ danh tính của bạn trên giấy chứng minh thƣ (gồm tên, địa chỉ, ảnh ), còn khóa cá nhân là gƣơng mặt và dấu vân tay của bạn. Nếu coi một bƣu phẩm là thông tin truyền đi, đƣợc “mã hóa” bằng địa chỉ và tên ngƣời nhận của bạn, thì dù ai đó có dùng chứng minh thƣ của bạn với mục đích lấy Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 41
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước bƣu phẩm này, họ cũng không đƣợc nhân viên bƣu điện giao bƣu kiện vì ảnh mặt và dấu vân tay không giống. - Chữ ký số của CA cấp chứng chỉ: Còn gọi là chứng chỉ gốc. Đây chính là sự xác nhận của CA, bảo đảm tính chính xác và hợp lệ của chứng chỉ. Muốn kiểm tra một chứng chỉ số, trƣớc tiên phải kiểm tra chữ ký số của CA có hợp lệ hay không. Trên chứng minh thƣ, đây chính là con dấu xác nhận của Công An Tỉnh hoặc Thành phố mà bạn trực thuộc. Về nguyên tắc, khi kiểm tra chứng minh thƣ, đúng ra đầu tiên phải là xem con dấu này, để biết chứng minh thƣ có bị làm giả hay không. Quy trình tạo chứng chỉ Quá trình tạo ra một chứng chỉ bao gồm các bƣớc sau đây: 1. CA nhận đƣợc các thông tin cần thiết cho chứng chỉ. 2. CA kiểm tra sự chính xác các thông tin đó (phù hợp với các chuẩn và các chính sách áp dụng). 3. Chứng chỉ đƣợc ký bởi một thiết bị ký sử dụng khóa riêng của CA. 4. Một bản sao của chứng chỉ đƣợc chuyển tới thuê bao và nếu đƣợc yêu cầu, thuê bao sẽ trả lại một xác nhận cho biết thuê bao đã nhận đƣợc chứng chỉ. 5. Nhƣ một dịch vụ của CA, một bản sao của chứng chỉ có thể đƣợc đƣa tới một kho chứa chứng chỉ (ví dụ nhƣ một dịch vụ thƣ mục) để công bố. 6. Nhƣ một dịch vụ tùy chọn của CA, một bản sao của chứng chỉ có thể đƣợc CA lƣu giữ. 7. CA ghi lại các chi tiết của quá trình tạo chứng chỉ vào nhật ký kiểm toán. Cấu trúc chung của một chứng chỉ điện tử bao gồm: - ISSuer: Tên của CA tạo ra chứng nhận - Period of validity: ngày hết hạn của chứng nhận - Subject: bao gồm những thông tin về thực thể đƣợc chứng nhận - Public key: khoá công khai đƣợc chứng nhận - Signature: do private key của CA tạo ra và đảm bảo giá trị của chứng nhận. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 42
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Sau khi chứng chỉ điện tử đƣợc cung cấp bởi CA thì nó có thể đƣợc đem ra sử dụng nhƣ một giấy thông hành trong trao đổi thƣơng mại điện tử. Lợi ích của chứng chỉ số Mã hóa Lợi ích đầu tiên của chứng chỉ số là tính bảo mật thông tin. Khi ngƣời gửi đã mã hoá thông tin bằng khoá công khai của bạn, chắc chắn chỉ có bạn mới giải mã đƣợc thông tin để đọc. Trong quá trình truyền thông tin qua Internet, dù có đọc đƣợc các gói tin đã mã hoá này, kẻ xấu cũng không thể biết đƣợc trong gói tin có thông tin gì. Đây là một tính năng rất quan trọng, giúp ngƣời sử dụng hoàn toàn tin cậy về khả năng bảo mật thông tin. Những trao đổi thông tin cần bảo mật cao, chẳng hạn giao dịch liên ngân hàng, ngân hàng điện tử, thanh toán bằng thẻ tín dụng, đều cần phải có chứng chỉ số để đảm bảo an toàn. Chống giả mạo Khi bạn gửi đi một thông tin, có thể là một dữ liệu hoặc một email, có sử dụng chứng chỉ số, ngƣời nhận sẽ kiểm tra đƣợc thông tin của bạn có bị thay đổi hay không. Bất kỳ một sự sửa đổi hay thay thế nội dung của thông điệp gốc đều sẽ bị phát hiện. Địa chỉ mail của bạn, tên domain đều có thể bị kẻ xấu làm giả để đánh lừa ngƣời nhận để lây lan virus, ăn cắp thông tin quan trọng. Tuy nhiên, chứng chỉ số thì không thể làm giả, nên việc trao đổi thông tin có kèm chứng chỉ số luôn đảm bảo an toàn. Xác thực Khi bạn gửi một thông tin kèm chứng chỉ số, ngƣời nhận - có thể là đối tác kinh doanh, tổ chức hoặc cơ quan chính quyền - sẽ xác định rõ đƣợc danh tính của bạn. Có nghĩa là dù không nhìn thấy bạn, nhƣng qua hệ thống chứng chỉ số mà bạn và ngƣời nhận cùng sử dụng, ngƣời nhận sẽ biết chắc chắn đó là bạn chứ không phải là một ngƣời khác. Xác thực là một tính năng rất quan trọng trong việc thực hiện các giao dịch điện tử qua mạng, cũng nhƣ các thủ tục hành chính với cơ quan pháp quyền. Các hoạt động này cần phải xác minh rõ ngƣời gửi thông tin để sử dụng tƣ cách pháp nhân. Đây chính là nền tảng của một Chính phủ điện Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 43
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước tử, môi trƣờng cho phép công dân có thể giao tiếp, thực hiện các công việc hành chính với cơ quan nhà nƣớc hoàn toàn qua mạng. Có thể nói, chứng chỉ số là một phần không thể thiếu, là phần cốt lõi của Chính phủ điện tử. Chống chối cãi nguồn gốc Khi sử dụng một chứng chỉ số, bạn phải chịu trách nhiệm hoàn toàn về những thông tin mà chứng chỉ số đi kèm. Trong trƣờng hợp ngƣời gửi chối cãi, phủ nhận một thông tin nào đó không phải do mình gửi (chẳng hạn một đơn đặt hàng qua mạng), chứng chỉ số mà ngƣời nhận có đƣợc sẽ là bằng chứng khẳng định ngƣời gửi là tác giả của thông tin đó. Trong trƣờng hợp chối cãi, CA cung cấp chứng chỉ số cho hai bên sẽ chịu trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông tin đƣợc gửi. Chữ ký điện tử Email đóng một vai trò khá quan trọng trong trao đổi thông tin hàng ngày của chúng ta vì ƣu điểm nhanh, rẻ và dễ sử dụng. Những thông điệp có thể gửi đi nhanh chóng, qua Internet, đến những khách hàng, đồng nghiệp, nhà cung cấp và các đối tác. Tuy nhiên, email rất dễ bị tổn thƣơng bởi các hacker. Những thông điệp có thể bị đọc hay bị giả mạo trƣớc khi đến ngƣời nhận. Bằng việc sử dụng chứng chỉ số cá nhân, bạn sẽ ngăn ngừa đƣợc các nguy cơ này mà vẫn không làm giảm những lợi thế của email. Với chứng chỉ số cá nhân, bạn có thể tạo thêm một chữ ký điện tử vào email nhƣ một bằng chứng xác nhận của mình. Chữ ký điện tử cũng có các tính năng xác thực thông tin, toàn vẹn dữ liệu và chống chối cãi nguồn gốc. Ngoài ra, chứng chỉ số cá nhân còn cho phép ngƣời dùng có thể chứng thực mình với một web server thông qua giao thức bảo mật SSL. Phƣơng pháp chứng thực dựa trên chứng chỉ số đƣợc đánh giá là tốt, an toàn và bảo mật hơn phƣơng pháp chứng thực truyền thống dựa trên mật khẩu Bảo mật website Khi Website của bạn sử dụng cho mục đích thƣơng mại điện tử hay cho những mục đích quan trọng khác, những thông tin trao đổi giữa bạn và khách hàng của bạn có thể bị lộ. Để tránh nguy cơ này, bạn có thể dùng chứng chỉ số SSL Server để bảo mật cho Website của mình. Chứng chỉ số SSL Server sẽ cho phép bạn Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 44
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước lập cấu hình Website của mình theo giao thức bảo mật SSL (Secure Sockets Layer). Loại chứng chỉ số này sẽ cung cấp cho Website của bạn một định danh duy nhất nhằm đảm bảo với khách hàng của bạn về tính xác thực và tính hợp pháp của Website. Chứng chỉ số SSL Server cũng cho phép trao đổi thông tin an toàn và bảo mật giữa Website với khách hàng, nhân viên và đối tác của bạn thông qua công nghệ SSL mà nổi bật là các tính năng: + Thực hiện mua bán bằng thẻ tín dụng + Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng. + Đảm bảo hacker không thể dò tìm đƣợc mật khẩu đảm bảo phần mềm. Nếu bạn là một nhà sản xuất phần mềm, chắc chắn bạn sẽ cần những ''con tem chống hàng giả'' cho sản phẩm của mình. Đây là một công cụ không thể thiếu trong việc áp dụng hình thức sở hữu bản quyền. Chứng chỉ số Nhà phát triển phần mềm sẽ cho phép bạn ký vào các applet, script, Java software, ActiveX control, các file dạng EXE, CAB, DLL Nhƣ vậy, thông qua chứng chỉ số, bạn sẽ đảm bảo tính hợp pháp cũng nhƣ nguồn gốc xuất xứ của sản phẩm. Hơn nữa ngƣời dùng sản phẩm có thể xác thực đƣợc bạn là nhà cung cấp, phát hiện đƣợc sự thay đổi của chƣơng trình (do vô tình hỏng hay do virus phá, bị crack và bán lậu ). 2.3.5 Lợi ích của việc áp dụng Giao dịch điện tử trong giao dịch hành chính Giao dịch điện tử có thể đƣợc thực hiện giữa các cơ quan nhà nƣớc với nhau hoặc với các tổ chức, cá nhân Đây là một loại hình giao dịch góp phần đổi mới phƣơng thức hoạt động của các cơ quan nhà nƣớc, tạo cơ sở pháp lý để thúc đẩy cải cách hành chính, tăng cƣờng hiệu lực, hiệu quả, tính công khai minh bạch, cung cấp thông tin, dịch vụ tốt hơn cho ngƣời dân, doanh nghiệp và các tổ chức Giảm thiểu thời gian xử lý hồ sơ và các thủ tục hành chính. Nâng cao hiệu suất của chính quyền trong việc cung cấp dịch vụ công. Chuẩn hóa quy trình tác nghiệp, nâng cao khả năng giám sát, theo dõi quy trình giải quyết thủ tục hành chính. Hỗ trợ trao đổi thông tin trực tuyến trong quá trình giải quyết công việc của cán bộ, chuyên viên. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 45
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Phân tích đánh giá hiệu quả công việc của từng cá nhân và phòng ban trong đơn vị. Là kho thông tin đầy đủ và phong phú nhất về thủ tục hành chính (quy trình giải quyết, hồ sơ thủ tục, thời gian giải quyết, phí và lệ phí) và các văn bản có liên quan. Công khai hóa và minh bạch hóa các thủ tục hành chính, hƣớng dẫn chi tiết cho tổ chức, công dân về từng loại thủ tục hành chính. Tổ chức, công dân có thể nhanh chóng tìm kiếm đƣợc thông tin mình quan tâm. Giảm tình trạng tham nhũng, thái độ thiếu tong trọng ngƣời dân ở các cơ quan nhà nƣớc. Khai thông kênh thông tin hai chiều giữa chính quyền với doanh nghiệp và công dân. Công dân có thể khai thác thông tin về thủ tục hành chính và tình trạng hồ sơ của mình qua Website. Vai trò của ứng dụng Công nghệ thông tin trong cải cách hành chính Nói đến vai trò của ứng dụng công nghệ thông tin trong cải cách hành chính thực chất là đề cập đến khả năng tạo ra sự thay đổi đối với hành chính, phù hợp với mục tiêu, yêu cầu của cải cách hành chính thông qua ứng dụng công nghệ thông tin. Sơ bộ có thể thấy rõ vấn đề này trên những phƣơng diện sau: - Một là, thông qua ứng dụng công nghệ thông tin có thể tạo ra sự tiếp cận trên diện rộng của ngƣời dân, doanh nghiệp với các cơ quan hành chính nhà nƣớc. Một trong những yêu cầu của cải cách hành chính là giảm thiểu những khó khăn, trở ngại trong giao tiếp giữa cơ quan hành chính với dân và doanh nghiệp. Cách thức truyền thống trong giao tiếp là ngƣời dân, doanh nghiệp trực tiếp đến cơ quan hành chính và cách thức thứ hai thông qua ứng dụng công nghệ thông tin ngƣời dân, doanh nghiệp có thể ngồi tại nhà, tại nơi làm việc vẫn liên hệ giao tiếp đƣợc với cơ quan hành chính. Môi trƣờng giao tiếp điện tử toàn cầu và trong từng quốc gia góp phần đáng kể trong giảm thiểu tốn kém chi phí, thời gian, công sức ngƣời dân, doanh nghiệp khi cần liên hệ, giao tiếp với hành chính. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 46
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước - Hai là, thông qua ứng dụng công nghệ thông tin có thể tạo ra một lƣợng thông tin lớn thƣờng xuyên đƣợc lƣu giữ, cập nhật và công bố chung cho cả xã hội. Thay vì trực tiếp đến cơ quan hành chính để tìm hiểu các quy định của pháp luật, các thủ tục hành chính, quy trình giải quyết đối với từng vấn đề cụ thể nhƣ chuyển quyền sử dụng đất, cấp giấy phép xây dựng, đăng ký kinh doanh ngƣời dân ngồi tại nhà vẫn có đƣợc những thông tin này một cách dễ dàng và nhanh chóng. Dƣới góc độ này mà xem xét mới thấy vai trò lớn của công nghệ thông tin đáp ứng tốt yêu cầu về tính công khai, minh bạch của nền hành chính. - Ba là, thông qua công nghệ thông tin, cơ quan hành chính có thể cung cấp qua mạng các dịch vụ công cho ngƣời dân, doanh nghiệp. Khả năng giải quyết công việc của ngƣời dân, doanh nghiệp qua mạng trực tuyến mở ra cơ hội thay đổi về chất trách nhiệm của các cơ quan công quyền cung cấp dụch vụ công cho xã hội, đáp ứng yêu cầu và mục tiêu của cải cách hành chính là tạo sự thuận lợi tối đa cho dân, doanh nghiệp. Thực tiễn của nhiều nƣớc và của Việt Nam về hải quan điện tử, chứng minh thƣ điện tử, cấp giấy phép kinh doanh qua mạng là những minh chứng rõ ràng và thuyết phục về tác động do ứng dụng công nghệ thông tin mang lại cho nền hành chính và xã hội. Trên đây là những khả năng tạo ra tác động phục vụ cho những mục tiêu, yêu cầu của cải cách hành chính thông qua ứng dụng công nghệ thông tin. Tuy nhiên sẽ là không đầy đủ nếu không xem xét đến những tác động qua ứng dụng công nghệ thông tin đối với bản thân nền hành chính nói chung và từng cơ quan hành chính nói riêng. Dƣới góc độ này mà xem xét có thể rút ra mấy vấn đề sau: + Thứ nhất, thông qua ứng dụng công nghệ thông tin có thể tạo ra một sự thay đổi lớn trong cách thức làm việc của cơ quan hành chính: trao đổi thông tin (gửi báo cáo, số liệu thống kê, gửi ý kiếm tham gia, thẩm định, chia sẻ thông tin ) qua thƣ điện tử thay vì qua bƣu điện, qua fax; tổ chức họp, hội thảo qua mạng; giải quyết công việc của dân, doanh nghiệp qua mạng trực tuyến + Thứ hai, ứng dụng công nghệ thông tin dẫn đến thay đổi quy trình làm việc của cơ quan hành chính theo hƣớng phục vụ dân, doanh nghiệp tốt hơn. Thực tiễn Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 47
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước ứng dụng công nghệ thông tin tại bộ phận một cửa cấp huyện ở Hải Phòng, Bà Rịa - Vũng tàu đã khẳng định vấn đề này. + Thứ ba, ứng dụng công nghệ thông tin trong hành chính dẫn đến sắp xếp lại tổ chức, nhân sự phù hợp với yêu cầu của cải cách hành chính là tổ chức gọn nhẹ, rõ chức năng, nhiệm vụ, hoạt động có hiệu quả. 2.4 Đề xuất định hƣớng phát triển trong giao dịch hành chính Triển khai hành chính công trực tuyến năm 2009 Kế hoạch ứng dụng Công nghệ thông tin trong hoạt động của cơ quan nhà nƣớc giai đoạn 2009-2010 đã đƣợc Chính phủ phê duyệt, theo Cục trƣởng cục ứng dụng Công nghệ thông tin, bộ TT&TT – đơn vụ trực tiếp soạn thảo kế hoạch, một số hạng mục dự án có thể lập dự toán và triển khai năm 2009. Các kế hoạch ứng dụng Công nghệ thông tin trong cơ quan nhà nƣớc và xây dựng Chính phủ điện tử do bộ TT&TT chủ trì đã đặt ra những mục tiêu cụ thể, ngắn hạn, từng bƣớc. Kế hoạch thứ nhất đến hết năm 2008 kết thúc với một số kết quả nhất định nhƣ hoàn thiện gần 100% các trang thông tin điện tử và Cổng thông tin điện tử các tỉnh, thành, bộ, ngành và hầu hết các cán bộ nhà nƣớc đã có hộp thƣ điện tử để liên hệ công việc. Năm 2009-2010: Xây dựng các cơ quan điện tử Kế hoạch đƣợc Chính phủ phê duyệt cũng xác định trong giai đoạn ngắn 2009-2010, với một số mục tiêu nổi bật nhƣ: nâng cao năng lực quản lý, điều hành của các cơ quan nhà nƣớc, hƣớng tới xây dựng các cơ quan điện tử. Đến hết năm 2010, bảo đảm trung bình 60%(năm 2009 là 30%) các thông tin chỉ đạo, điều hành của lãnh đạo các cấp bộ, cấp tỉnh đƣợc đƣa lên Cổng thông tin điện tử. Đến năm 2010, đảm bảo 80% các trang thông tin điện tử của các cơ quan cấp bộ, các UBND cấp tỉnh có cung cấp dịch vụ công trực tuyến mức độ 2 cho ngƣời dân và doanh nghiệp, đảm bảo 90% (năm 2009 là 80%) các vụ, văn phòng bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, văn phòng UBND thành phố trực thuộc Trung ƣơng triển khai sử dụng phần mềm ứng dụng quản lý văn bản và điều hành trên môi trƣờng mạng. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 48
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Bên cạnh đó, các cuộc họp của Chính phủ, Thủ tƣớng Chính phủ với các bộ, các tỉnh và các cuộc họp của các bộ với các cơ quan trực thuộc cũng phải đảm bảo thực hiện từ xa, nhƣ đã tiến hành lần đầu tiên vào phiên họp tháng 3/2009 vừa qua. Trong giai đoạn 2009-2010, ƣu tiên triển khai các nhóm dịch vụ công trực tuyến mức độ 3, gồm: cấp giấy đăng ký kinh doanh; cấp giấy phép đầu tƣ, giấy phép thành lập chi nhánh, văn phòng đại diện, giấy phép xây dựng; chứng chỉ hành nghề hoạt động xây dựng; chứng nhận quyền sở hữu nhà và quyền sử dụng đất; giấy đăng ký ô tô, xe máy; đăng ký tạm vắng, tạm trú; giải quyết khiếu nại, tố cáo; giấy đăng ký hành nghề y dƣợc và cấp giấy phép hoặc dịch vụ đặc thù. Kế hoạch cũng đề ra biện pháp từng bƣớc xây dựng nền tảng phục vụ Chính phủ điện tử nhƣ: hoàn thành việc xây dựng mạng truyền số liệu chuyên dùng của cơ quan Đảng, Nhà nƣớc; xây dựng và nâng cấp các mạng LAN và mạng diện rộng của các cơ quan nhà nƣớc và tiếp tục nghiên cứu, đánh giá và lựa chọn mô hình ứng dụng Công nghệ thông tin điển hình cấp huyện để phổ biến rộng rãi. Đối với việc phát triển nguồn nhân lực công nghệ thông tin, kế hoạch đã đề ra phƣơng án tiếp tục xây dựng và phát triển đổi ngũ giám đốc công nghệ thông tin, bồi dƣỡng kiến thức công nghệ thông tin cho cán bộ, công chức trong cơ quan nhà nƣớc, nghiên cứu xây dựng chế độ ƣu đãi đối với cán bộ, công chức chuyên trách về Công nghệ thông tin và đẩy mạnh ứng dụng đào tạo trực tuyến cho cán bộ, công chức. Năm 2015 sẽ là dịch vụ công trực tuyến mức độ 3 và 4 Bản kế hoạch cũng đề ra định hƣớng đến năm 2015, trong đó xác định ứng dụng Công nghệ thông tin để đổi mới phƣơng thức cung cấp thông tin và dịch vụ công cho ngƣời dân và doanh nghiệp, phấn đấu đến năm 2015 sẽ có thể cung cấp hầu hết các dịch vụ công cơ quản trực tuyến mức độ 3 hoặc 4, ngƣời dân và doanh nghiệp có thể trao đổi thông tin, gửi nhận hồ sơ, thanh toán phí dịch vụ, nhận kết quả dịch vụ qua mạng. Ngoài ra, Công nghệ thông tin cũng đƣợc khai thác triệt để tính tối ƣu để đổi mới phƣơng thức quản lý tài nguyên thông tin trong các cơ quan nhà nƣớc, phát triển các cơ sở dữ liệu quốc gia về con ngƣời, đất đai, tài chính, kinh tế, công nghiệp và thƣơng mại tạo nền tảng triển khai Chính phủ điện tử, tứng bƣớc tích hợp Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 49
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước các hệ thống thông tin, tiếp tục xây dựng và mở rộng hệ thông thông tin và cơ sở dữ liệu phục vụ cho hoạt động quản lý, điều hành chung của cơ quan nhà nƣớc và phục vụ ngƣời dân, doanh nghiệp CHƢƠNG 3. TÌM HIỂU THỰC TIỄN ỨNG DỤNG CÔNG NGHỆ THÔNG TIN TRONG GIAO DỊCH HÀNH CHÍNH 3.1. Thực tiễn ứng dụng Công nghệ thông tin trong hành chính công ở Hải Phòng Hơn 20 năm qua, Việt Nam kiên trì thực hiện đƣờng lối đổi mới toàn diện đất nƣớc và đã thu đƣợc những thành tựu quan trọng trong phát triển kinh tế - xã hội, ổn định chính trị, từng bƣớc nâng cao đời sống của nhân dân. Công cuộc đổi mới đƣợc tiến hành trên hầu hết các lĩnh vực của đời sống xã hội, từ đổi mới từng bƣớc hệ thống chính trị, đến cải cách bộ máy nhà nƣớc, cải cách kinh tế, cải cách giáo dục, y tế v.v Có thể khẳng định, cải cách hành chính nhà nƣớc luôn là một chủ trƣơng quan trọng trong đƣờng lối đổi mới của Việt Nam. Từ yêu cầu của bƣớc chuyển sang nền kinh tế thị trƣờng định hƣớng xã hội chủ nghĩa, từ yêu cầu của quá trình hội nhập sâu rộng vào nền kinh tế thế giới và từ chính những yêu cầu của ngƣời dân, doanh nghiệp về một nền hành chính phục vụ dẫn đến không có cách nào khác phải cải cách nền hành chính nhà nƣớc. Nhiều nghị quyết của Đảng đã khẳng định và chỉ rõ phải đẩy mạnh cải cách hành chính. Chính phủ đã thông qua Chƣơng trình tổng thể cải cách hành chính nhà nƣớc giai đoạn 2001-2010, Chƣơng trình hành động thực hiện Nghị Quyết TW 5 khóa X về “Đẩy mạnh cải cách hành chính, nâng cao hiệu lực, hiệu quả quản lý của bộ máy nhà nƣớc”. Các nghị quyết của Đảng và Nhà nƣớc Việt Nam đã xác định mục tiêu cải cách hành chính nhằm tiếp tục xây dựng và hoàn thiện nhà nƣớc pháp quyền xã hội chủ nghĩa; xây dựng một nền hành chính dân chủ, trong sạch, vững mạnh, từng bƣớc hiện đại; đội ngũ cán bộ, công chức có đủ phẩm chất và năng lực; hệ thống các cơ quan nhà nƣớc hoạt động có hiệu lực, hiệu quả, phù hợp với thể chế kinh tế thị trƣờng định hƣớng xã hội chủ nghĩa và hội nhập kinh tế quốc tế; đáp ứng tốt yêu cầu phát triển nhanh và bên vững của đất nƣớc. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 50
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước Cùng với cả nƣớc trong công cuộc cải cách hành chính, Hải Phòng đang từng bƣớc áp dụng các thành tựu về công nghệ thông tin trong hành chính công, đƣa công nghệ thông tin vào hầu hết các hoạt động của các cơ quan nhà nƣớc, xây dựng các cổng thông tin điện tử đối với các Sở, ban, ngành, các quận huyện và các phƣờng. Các cổng thông tin điện tử là nơi cung cấp các thông tin về thành phố cũng nhƣ địa phƣơng, cập nhật những chủ trƣơng, chính sách mới, các hƣớng dẫn về các thủ tục hành chính, ngoài ra đó còn là nơi đối thoại công tƣ giữa chính quyền thành phố với các doanh nghiệp, tổ chức và ngƣời dân của thành phố. Ở các Sở, ban, ngành đều xây dựng hệ thống mạng Lan nội bộ để điều hành các hoạt động công tác chuyên môn, hình thành kho dữ liệu dùng chung của cơ quan. Bên cạnh đó, các sở ngành còn thành lập bộ phận “một cửa” liên thông nội bộ với các phòng nghiệp vụ trong cơ quan để rút ngắn thời gian giải quyết công việc. Hải Phòng cũng đẩy mạnh việc triển khai mô hình “một cửa” mẫu hiện đại, áp dụng quản lý chất lƣợng theo tiêu chuẩn TCVN 9001:2000 ở các quận, huyện, sở và các ban, ngành Thành phố ƣu tiên và khuyến khích các địa phƣơng đầu tƣ trang bị các thiết bị hiện đại, sớm hoàn thành công cuộc cải cách hành chính, nhờ đó tạo khâu đột phá trong phát triển kinh tế - xã hội, nhằm thu hút mạnh mẽ đầu tƣ, khơi dậy các nguồn lực, tận dụng tối đa những cơ hội thuận lợi đang đến với thành phố. 3.1.1. Ứng dụng CNTT trong cải cách hành chính ở quận Ngô Quyền Quận Ngô Quyền là một trong những quận đi đầu ở Hải Phòng ứng dụng công nghệ thông tin cải cách hành chính và quản lý nhà nƣớc. Đƣợc bắt đầu từ năm 2004 và triển khai mạnh từ năm 2006, đến nay mục tiêu xây dựng “cổng thông tin điện tử” của quận Ngô Quyền đang dần phát huy hiệu quả. Giữa tháng 12-2008, Ngô Quyền trở thành quận đầu tiên của Hải Phòng hoàn tất việc liên thông các cổng thông tin điện tử từ các phƣờng, phòng, ban với UBND quận. Việc điều hành từ quận xuống các phƣờng hay việc phục vụ nhân dân đều đƣợc giải quyết thông qua mạng điện tử công nghệ thông tin. Quận Ngô Quyền đang áp dụng các quy trình quản lý chất lƣợng theo tiêu chuẩn Việt Nam ISO 9001:2000 và ứng dụng công nghệ thông tin (CNTT) trong dịch Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 51
- Báo cáo tốt nghiệp Giao dịch điện tử trong các cơ quan nhà nước vụ hành chính công theo hƣớng liên thông hiện đại. Hệ thống 40 trang thông tin điện tử thành phần của các phƣờng và phòng, ban chức năng trong quận luôn bảo đảm phục vụ kịp thời, nhanh chóng, chính xác thông tin tới ngƣời dân. Mọi quy trình thủ tục đều đƣợc hƣớng dẫn chi tiết trong các quyển sổ bàn hay bảng tra cứu điện tử Theo Chủ tịch UBND quận Nguyễn Xuân Phi cho biết: Quận đã triển khai hai ứng dụng cơ bản. Một là, xây dựng website của quận để chia sẻ thông tin; hai là, hệ điều hành tác nghiệp, sử dụng nhiều phần mềm quy trình xử lý công việc có kết nối với tất cả các đơn vị phòng ban trong toàn quận. Quy trình này đƣợc thiết lập theo tiêu chuẩn chất lƣợng ISO 9001:2000. Phần mềm "một cửa liên thông" cũng nằm trong hệ thống này. Trƣớc đây, mỗi lần đi làm hồ sơ cấp phép đất đai - xây dựng, thƣờng thì ngƣời dân thấy rất mệt mỏi vì phải tự cầm hồ sơ đến từng bộ phận, từ Phòng Ðịa chính sang Phòng Tài nguyên, đến Phòng Quản lý đô thị rồi Phòng Thu thuế, lệ phí Vất vả nhƣ thế nhƣng vẫn không biết lúc nào mới nhận đƣợc hồ sơ. Ðôi khi hồ sơ đƣợc giải quyết xong nhƣng cũng không biết tìm ai để nhận. Chƣa kể cách giao tiếp của cán bộ, công chức cũng thƣờng gây khó chịu. Nay thì ngƣời dân chỉ cần đem hồ sơ đến bộ phận “một cửa”, nhận giấy hẹn và chờ ngày trả kết quả. Loại hồ sơ nào giải quyết bao nhiêu ngày đã có quy định rõ ràng, không lo chuyện nhậm nhèm. Hơn nữa, thái độ của cán bộ phòng “một cửa” rất nhã nhặn, mọi quy trình thủ tục đều đƣợc hƣớng dẫn trong cuốn sổ để trên bàn, bảng tra cứu điện tử, loa công cộng Trong ngày chờ kết quả, ngƣời dân có thể vào website của quận, vào “mục tra cứu hồ sơ”, gõ mã số trên giấy hẹn vào mục tra cứu để biết hồ sơ của mình đang ở bộ phận nào, do ai giải quyết, giải quyết đến đâu, còn thiếu những gì Ngoài ra, ngƣời dân cũng có thể đến UBND quận, đƣa giấy hẹn vào máy đọc mã vạch để kiểm tra tình trạng hồ sơ. Từ khi triển khai "một cửa" điện tử, thời gian giải quyết hồ sơ rút ngắn đáng kể, do đó số lƣợng hồ sơ đƣợc giải quyết tăng lên rất nhiều. Chẳng hạn, trƣớc đây xác nhận một hồ sơ đi học/đi làm mất ít nhất ba ngày, nay chỉ còn khoảng 15 phút. Sinh viên: Phạm Thị Mai Anh - Khoa CNTT - ĐHDLHP 52