Transcript 3. Pengenalan GPKI

People
Procedures
Software
PKI
Policies
Hardware
PENGENALAN PKI
Public Key Infrastructure (PKI) atau Prasarana Kekunci Awam
adalah
gabungan
perisian,
teknologi
penyulitan
dan
perkhidmatan yang membolehkan organisasi melindungi
keselamatan komunikasi dan transaksi urus niaga dalam internet.
(terjemahan dari MyMIS,2002).
PKI membolehkan pengguna melakukan transaksi secara
elektronik dengan selamat serta mengenal pasti seseorang
individu yang melakukan transaksi.
KESELAMATAN MAKLUMAT
Ensure Privacy
Melindungi maklumat dari pemintasan semasa transaksi
Authentication
Identity
Membenarkan pengguna individu, organisasi dan
pengendali laman web untuk mengesahkan identiti antara
satu sama lain
Verify Integrity
Memastikan mesej atau dokumen tidak diubah atau rosak
Support NonRepudiation
Mengesahkan identiti pengguna, mengelakkan pengguna
menyangkal tandatangan digital yang telah dilakukan
PENGENALAN PKI
AKTA TANDATANGAN DIGITAL 1997
• Akta Tandatangan Digital diwujudkan untuk memberi keyakinan dan
galakan kepada masyarakat untuk menggunakan transaksi elektronik
sama ada bagi transaksi di dalam mahupun di luar negara. Di bawah
Akta ini, tandatangan digital menyediakan sistem pengesahan yang
boleh mengesahkan identiti pengguna dan mengesahkan mesej
yang dihantar.
• Bagi membolehkan tandatangan digital diiktiraf, sijil perlu diperolehi
daripada Pihak Berkuasa Pemerakuan Berlesen yang dilesenkan
oleh Suruhanjaya Komunikasi dan Multimedia
• Dokumen yang dibuat menuruti Akta ini atau ditandatangani secara
digital adalah sah sebagai satu dokumen.
3
EVOLUSI PERKHIDMATAN GPKI MAMPU
2014
2012
2009
SOFT
CERTIFICATE
2002
KAD PINTAR
ROAMING
SOFT
CERTIFICATE
USB CRYPTO
TOKEN
MEDIUM SIJIL DIGITAL
Bil
Medium
Cara Penggunaan
1
Hardware
Kekunci disimpan di dalam token atau
perkakasan ( kad pintar atau USB)
2
Software
Kekunci akan disulitkan di dalam fail.
Softcert muat turun ke PC/laptop pengguna.
3
Roaming
Kekunci akan disulitkan di dalam fail.
Sijil digital disimpan di server Certificate
Authority (CA) dan akan dimuat turun ke
PC/laptop pengguna ketika login dan dihapus
setelah tamat session.
People
Procedures
Software
PKI
PERKHIDMATAN GPKI
MAMPU
Policies
Hardware
6
OBJEKTIF GPKI
• menyediakan perkhidmatan PKI
dengan membekalkan sijil digital
individu dan sijil digital SSL kepada
agensi-agensi Kerajaan bagi
pelaksanaan sistem ICT Kerajaan
• memberi khidmat nasihat penggunaan
sijil digital bagi tujuan pengesahan
identiti, tandatangan digital, penyulitan
maklumat.
06/09/12
7
PENGGUNA PERKHIDMATAN GPKI
• Sistem ICT Kerajaan yang menggunakan
perkhidmatan GPKI adalah seperti berikut:
POWER GEN 2
MyGST
e-Filing
(eKehakiman)
SISTEM
ICT
KERAJAAN
SPI
E-Syariah
eSPKB
ePerolehan
8
People
Procedures
Software
PKI
PORTAL GPKI
Policies
Hardware
10
Portal GPKI
Portal Government Public Key Infrastructure (GPKI) menyediakan
perkhidmatan PKI kepada pengguna-pengguna aplikasi Kerajaan
di agensi-agensi.
11
MODEL OPERASI GPKI MAMPU
CERTIFICATE
AUTHORITY
(CA)
REGISTRATION
AUTHORITY
(RA)
KERAJAAN
12
PERANAN DAN TANGGUNGJAWAB
BIL
PERANAN
TANGGUNJAWAB
KETERANGAN
1.
ADMIN
MAMPU
Mengurus permohonan
perkhidmatan PKI dan
mentadbir GPKI Portal.
Melantik dan mengurus Sub
Admin.
2.
SUB ADMIN
AGENSI PELAKSANA
SISTEM ICT KERAJAAN
Mengenalpasti, melantik dan
mengurus Authorized
Personnel (AP)
3.
AUTHORIZED
PERSONNEL (AP)
AGENSI
Mengenalpasti dan mengurus
permohonan daripada
pengguna di agensi
4.
PENGGUNA
AGENSI
Membuat permohonan
perkhidmatan PKI
13
PENDAFTARAN PENTADBIR DAN
PENGGUNA PORTAL GPKI
ADMIN
SUB ADMIN
Daftar Sub
Admin
14
Daftar AP
AP
Daftar
Pengguna
URL PORTAL GPKI
Portal Pengguna
https://gpki.mampu.gov.my
Portal Pentadbir
https://gpki.mampu.gov.my/RAAdmin
Perlantikan Sub Admin (SA) &
Authorize Personnel (AP)
PENDAFTARAN SUB ADMIN
1. Permohonan Pendaftaran Sub Admin (SA)
• Muat turun borang melalui https://gpki.mampu.gov.my
• Prosedur:
• Klik Borang Pendaftaran SA (BSA-01)
• Lengkapkan Borang BSA-01
• Hantarkan Borang BSA-01 beserta salinan kad
pengenalan ke MAMPU
2. MAMPU akan mendaftarkan SA di Portal GPKI
3. Kod Pengaktifan akan dihantar melalui e-mel notifikasi
kepada SA untuk membuat permohonan sijil digital melalui
portal GPKI
PENDAFTARAN AUTHORIZED PERSONNEL
1. Permohonan Pendaftaran AP
• Muat turun borang melalui https://gpki.mampu.gov.my
• Prosedur:
• Klik Borang AP (BAP-01)
• Lengkapkan Borang BAP-01
• Hantarkan Borang BAP-01 ke Sub Admin
2. Sub Admin akan membuat pengesahan permohonan dan
mendaftarkan AP di Portal GPKI
3. Selepas itu, Sub Admin perlu hantar borang kepada
MAMPU untuk tujuan rekod.
4. Kod Pengaktifan akan dihantar melalui e-mel notifikasi
kepada AP untuk membuat permohonan sijil digital melalui
portal GPKI
PENAMATAN SA DAN AP
• Untuk Penamatan SA dan AP, borang yang sama akan
digunakan
• Borang BSA-01 untuk penamatan SA
• Borang BAP-01 untuk penamatan AP
• Sebab-sebab penamatan SA dan AP:
• Perletakan Jawatan
• Bersara
• Penamatan Peranan sebagai SA atau AP
• Pertukaran Peranan – AP menjadi SA atau sebaliknya
People
KATALOG
PERKHIDMATAN
GPKI
Procedures
Software
PKI
Policies
Hardware
20
PERNYATAAN GARIS PANDUAN GPKI
“Sistem ICT Kerajaan yang memerlukan kemudahan
PKI hendaklah menggunakan perkhidmatan
Government Public Key Infrastructure (GPKI).”
PERKHIDMATAN GPKI
Perkhidmatan
MAMPU:
GPKI
yang
ditawarkan
oleh
• Pengurusan Sijil Digital yang merangkumi
penyelarasan
dengan
Pihak
Berkuasa
Pemerakuan Berlesen bagi proses permohonan
baharu, pembaharuan dan pembatalan sijil digital
• Khidmat
nasihat
serta
konsultasi
perancangan dan pelaksanaan GPKI
bagi
22
Pengurusan Sijil Digital GPKI
PELAKSANAAN GPKI
Pelaksanaan GPKI dalam Sektor Awam melibatkan
dua aspek utama iaitu pengeluaran sijil digital dan
penggunaan sijil digital.
• Sijil digital yang disediakan adalah bagi keperluan
individu dan juga server (SSL)
• Pemilihan medium sijil digital individu adalah berdasarkan
penggunaan ke atas sistem ICT Kerajaan (rujuk jadual)
24
PELAKSANAAN GPKI
Jadual penggunaan sijil digital individu:
BIL
AGENSI
APLIKASI
MEDIUM SIJIL
1
JANM
eSPKB
kad pintar biru
2
MoF
ePerolehan / eP
NextGen
3
JPA
POWER GEN 2
softcert
4
JKSM
E-SYARIAH
softcert
5
PoJ
e-Filing
(eKehakiman)
softcert
6
EPU
SPI
softcert
7
MAMPU
GPKI
8
JKDM
MyGST
USB Token / roaming / softcert
9
CGSO
eVetting
roaming
10
BPP
SPPB
USB token
11
JANM
1GFMAS
USB token
USB token
USB Token / roaming / softcert / kad
pintar
25
PENGURUSAN SIJIL DIGITAL GPKI
• Tatacara
operasi
merangkumi
aspek
pengurusan, pengendalian dan pelaksanaan
operasi GPKI di semua peringkat pelaksanaan
termasuk pengeluaran sijil digital.
• Bagi melancarkan operasi GPKI, agensi berikut
perlu bersama-sama memainkan peranan:
 Agensi Pusat
 Agensi Pelaksana
 Agensi Awam
26
PERANAN AGENSI
• Agensi Pusat
Merujuk kepada MAMPU yang bertangunggjawab untuk
menyelaras dan memantau pelaksanaan GPKI secara
keseluruhan serta memberi khidmat nasihat bagi
penggunaan teknologi PKI untuk sistem ICT Kerajaan.
• Agensi Pelaksana
Agensi yang memiliki aplikasi dan bertanggungjawab
mengurus, menyelaras dan mentadbir sistem aplikasi
yang menggunakan Perkhidmatan GPKI.
• Agensi Awam
Agensi yang merangkumi kementerian, jabatan
persekutuan dan negeri, badan berkanun persekutuan
dan negeri yang menggunakan sistem ICT Kerajaan.
27
CONTOH OPERASI GPKI BAGI eP
CERTIFICATE
AUTHORITY
(CA)
REGISTRATION
AUTHORITY
(RA)
KERAJAAN
SUB ADMIN
Unit eP, MOF &
Kementerian (KPM)
AUTHORIZED
PERSONNEL
(Jabatan Pendidikan
Negeri Selangor)
AUTHORIZED
PERSONNEL
(Lembaga
Peperiksaan)
PENGGUNA
PTJ
(SK Seri Aman)
PENGGUNA
PTJ
(Lembaga
Peperiksaan)
28
Khidmat Nasihat Pelaksanaan
GPKI
KUMPULAN SASARAN
• Khidmat nasihat adalah disasarkan kepada
Agensi Pelaksana khususnya yang terlibat di
dalam pembangunan sistem ICT Kerajaan atau
penyediaan infrastruktur ICT.
30
KHIDMAT NASIHAT GPKI
• Khidmat nasihat merangkumi pelaksanaan
teknikal bagi aspek penggunaan sijil digital.
• Tatacara termasuk:

Penilaian tahap risiko sistem ICT Kerajaan untuk
mengenalpasti kawalan keselamatan yang sesuai
bagi keperluan perkhidmatan GPKI

Menentukan penggunaan sijil digital sama ada bagi
tujuan pengesahan identiti, tandatangan digital
dan/atau penyulitan maklumat

Menggariskan keperluan teknikal PKI dari segi
piawaian, keperluan integrasi dan keperluan khusus
bagi sijil digital
31
Tatacara Penilaian Risiko
1. Proses Penilaian Risiko:
a) Mengenalpasti ancaman, kebarangkalian dan impak
yang menyumbang risiko kepada aset
b) Menilai dan memberi keutamaan risiko
c) Mencadangkan langkah kawalan yang bersesuaian
2. Output:
Agensi Pelaksana perlu mengemukakan Laporan
Penilaian Risiko sebagai dokumen sokongan dalam
permohonan perkhidmatan GPKI kepada MAMPU.
32
Penentuan Penggunaan Sijil Digital
Hasil penilaian risiko, agensi boleh menentukan
1. Penggunaan sijil digital berdasarkan keperluan
pengesahan identiti (authentication), tidak boleh
disangkal (non-repudiation) dan penyulitan maklumat
(encryption) dengan mengambilkira langkah-langkah
kawalan keselamatan yang bersesuaian.
2. Pemilihan medium sijil digital berdasarkan tahap
kawalan keselamatan dan juga tahap risiko persekitaran
operasi yang menyokong fungsi agensi
3. Dan seterusnya melaksanakan integrasi sistem ICT
Kerajaan dengan GPKI
33
Penilaian Risiko
Ancaman
Impak
Contoh 1:
Pengesahan Identiti
Operasi
Contoh 2:
Penyangkalan
melaksanakan
tandatangan
Kewangan
Reputasi
Manusia
34
Hasil Penilaian Risiko
1. Kenalpasti di fungsi sistem yang memerlukan
penggunaan PKI (integration points).
2. Keputusan kelulusan akan diberikan setelah
keperluan penilaian risiko dipenuhi.
35
Jadual Khidmat Nasihat
No
Aktiviti
1
Penilaian risiko
2
Kelulusan melaksanakan integrasi
3
Khidmat nasihat teknikal:
Tempoh
Tindakan
1 bulan
MAMPU dan
Agensi
2 minggu
MAMPU
3 bulan
MAMPU
- Penyerahan jadual integrasi
1 – 2 minggu
Agensi
- Penyerahan kod sumber integrasi
1 – 2 minggu
MAMPU
- Penyerahan medium dan sijil digital
untuk pengujian
1 – 2 minggu
MAMPU
- Pelaksanaan integrasi (termasuk
pengesahan kod sumber integrasi)
- Penyerahan contoh skrip pengujian
UAT
2 bulan
1 minggu
Agensi dan
MAMPU
MAMPU
- Melaksanakan UAT (dengan
pemantauan MAMPU)
2 hari
Agensi
- Penyerahan Keputusan UAT
1 hari
Agensi
1 hari
MAMPU dan
36
Agensi
- Latihan Portal GPKI untuk SA & AP
Sekian, Terima Kasih
37