2. Perkhidmatan Government Public Key Infrastructure - GPKI
Download
Report
Transcript 2. Perkhidmatan Government Public Key Infrastructure - GPKI
PENGENALAN PKI
Public Key Infrastructure (PKI) atau Prasarana Kekunci Awam adalah
gabungan perisian, teknologi penyulitan dan perkhidmatan yang
membolehkan organisasi melindungi keselamatan komunikasi dan
transaksi urus niaga dalam internet. (terjemahan dari MyMIS,2002).
Ia membolehkan pengguna melakukan transaksi secara elektronik
dengan selamat dan mengenal pasti individu yang melakukan
transaksi.
KESELAMATAN MAKLUMAT
Ensure Privacy
Melindungi maklumat dari pemintasan semasa transaksi
Authentication
Identity
Membenarkan pengguna individu, organisasi dan
pengendali laman web untuk mengesahkan identiti
antara satu sama lain
Verify Integrity
Memastikan mesej atau dokumen tidak diubah atau rosak
Support
Support
NonNon- Repudiation
Repudiation
Mengesahkan identiti pengguna, mengelakkan pengguna
menyangkal tandatangan digital yang telah dilakukan
PENGENALAN PKI
AKTA TANDATANGAN DIGITAL 1997
Diwujudkan untuk memberi keyakinan dan galakan kepada
masyarakat menggunakan transaksi elektronik sama ada transaksi di
dalam atau di luar negara.
Tandatangan digital menyediakan sistem pengesahan yang boleh
mengesahkan identiti pengguna dan mesej yang dihantar
Sijil diperolehi daripada Pihak Berkuasa Pemerakuan Berlesen yang
dilesenkan oleh Suruhanjaya Komunikasi dan Multimedia
Dokumen yang dibuat mengikut Akta ini atau ditandatangani secara
digital adalah sah sebagai satu dokumen
OBJEKTIF GPKI
menyediakan perkhidmatan PKI dengan
membekalkan sijil digital individu dan sijil digital
SSL kepada agensi Kerajaan bagi pelaksanaan
sistem ICT Kerajaan
memberi khidmat nasihat penggunaan sijil
digital bagi tujuan pengesahan identiti,
tandatangan digital dan penyulitan maklumat
EVOLUSI PERKHIDMATAN GPKI MAMPU
ROAMING SOFT
CERTIFICATE
USB CRYPTO
TOKEN
SOFT
CERTIFICATE
KAD PINTAR
Bil
Medium
Cara Penggunaan
1
Hardware
Kekunci disimpan dalam perkakasan (USB
token atau kad pintar)
2
Software
Kekunci akan disulitkan di dalam fail.
Softcert muat turun ke PC/laptop pengguna.
3
Roaming
Kekunci akan disulitkan di dalam fail sijil digital
disimpan di server Certificate Authority (CA)
dan akan dimuat turun ke PC/laptop pengguna
ketika login dan dihapus setelah tamat session.
PENGGUNA PERKHIDMATAN GPKI
e-Filing
POWER
GEN 2
(eKehakiman)
(S:I)
(S;X)
MyGST
(T/S/R;I)
E-Syariah
SPI
(S;X)
(S;I)
eVetting
(R;I)
SISTEM ICT
KERAJAAN
eP
NextGen
1GFMAS
(T;I)
eSPKB
(C:X)
(T:I)
ePerolehan
(T;X)
SPPB
(T;I)
Nota:
T – Token
C – Kad Pintar
S – Softcert
R – Roaming softcert
I – Integrasi
X – Tiada Integrasi
KOMPONEN GPKI
People
Procedure
Policies
PKI
Software
Hardware
“Sistem ICT Kerajaan yang memerlukan kemudahan PKI hendaklah
menggunakan perkhidmatan Government Public Key Infrastructure (GPKI)”
Membangun
dan
melaksanakan
Portal & Sistem
GPKI
PERKHIDMATAN
GPKI
Khidmat
nasihat serta
konsultasi
Pendaftaran
pelantikan Sub
Admin Agensi
Pelaksana
Pengurusan
Sijil Digital
individu
Pengurusan
pemohonan
Sijil Digital
Pelayan
Membangun
dan
melaksanakan
Portal & Sistem
GPKI
PERKHIDMATAN
GPKI
Khidmat
nasihat serta
konsultasi
Pendaftaran
pelantikan Sub
Admin Agensi
Pelaksana
Pengurusan
Sijil Digital
individu
Pengurusan
pemohonan
Sijil Digital
Pelayan
PORTAL GPKI
• Manual Pengguna
• Borang
• Perisian
• Soalan lazim
• Seminar
Sistem GPKI pemohonan
• Sijil
• Medium
• Pengurusan PIN
• Kemaskini profil
• Semak status
• Pengesahan terima medium
Meja bantuan
• Alamat emel
• No. telepon
Portal Pengguna >>
Portal Pentadbir >>
https://gpki.mampu.gov.my
https://gpki.mampu.gov.my/RAAdmin
Membangun
dan
melaksanakan
Portal & Sistem
GPKI
PERKHIDMATAN
GPKI
Khidmat
nasihat serta
konsultasi
Pendaftaran
pelantikan Sub
Admin Agensi
Pelaksana
Pengurusan
Sijil Digital
individu
Pengurusan
pemohonan
Sijil Digital
Pelayan
PELANTIKAN SUB ADMIN (SA) & AUTHORISE PERSONNEL (AP)
MODEL OPERASI GPKI MAMPU
CERTIFICATE
AUTHORITY (CA)
CA
(MSC
TRUSTGATE)
CA
(DIGICERT)
REGISTRATION
AUTHORITY (RA)
KERAJAAN
ADMINISTRATOR
RA
(SCAN)
AGENSI PELAKSANA
(Sub-Admin)
AUTHORISED PERSONNEL
(Agensi Pelaksana –
Kementerian/Agensi)
AUTHORISED PERSONNEL
(Agensi Pelaksana –
Kementerian/Agensi)
PENGGUNA
(Agensi Pelaksana –
Kementerian/Agensi)
PENGGUNA
(Agensi Pelaksana –
Kementerian/Agensi)
PENDAFTARAN PENTADBIR DAN PENGGUNA
PORTAL GPKI
ADMIN
Daftar Admin
SUB ADMIN
Daftar AP
AP
Daftar Pengguna
PERANAN DAN TANGGUNGJAWAB
PERANAN
TANGGUNGJAWAB
KETERANGAN
Admin
MAMPU
• Mentadbir Portal GPKI
• Mengurus permohonan
perkhidmatan PKI
• Melantik dan mengurus Sub
Admin
Sub Admin
Agensi Pelaksana
Sistem ICT Kerajaan
Mengenalpasti, melantik dan
mengurus Authorised Personnel
(AP)
Authorised
Personnel (AP)
Agensi
Mengenalpasti dan mengurus
permohonan daripada
pengguna di agensi
Pengguna
Agensi
Membuat permohonan
perkhidmatan PKI
PENDAFTARAN SUB ADMIN (SA)
• Muat turun borang:
https://gpki.mampu.gov.
my
• Prosedur:
Klik Borang
Pendaftaran SA
(BSA-01)
Lengkapkan Borang
BSA-01
Hantar Borang BSA01 dan salinan kad
pengenalan
SA
MAMPU
Daftarkan
dalam Sistem
GPKI
Kod Pengaktifan
dihantar melalui
e-mel notifikasi
untuk SA buat
permohonan sijil
digital melalui
portal GPKI
SA
PENDAFTARAN AUTHORISED PERSONNEL (AP)
• Muat turun borang:
https://gpki.mampu.g
ov.my
• Prosedur:
Klik Borang AP
(BAP-01)
Lengkapkan
Borang BAP-01
Hantar Borang
BAP-01
AP
SA
•
•
Buat pengesahan
permohonan dan
daftarkan AP di
Portal GPKI
Hantar kepada
MAMPU tujuan
rekod
Kod Pengaktifan
dihantar melalui
e-mel notifikasi
kepada AP untuk
buat
permohonan sijil
digital melalui
portal GPKI
MAMPU
PENAMATAN SA DAN AP
Penamatan
SA dan AP
Sebab penamatan
SA dan AP
Borang BSA-01 untuk
penamatan SA
Perletakan Jawatan
Borang BAP-01 untuk
penamatan AP
Bersara
Penamatan peranan
sebagai SA atau AP
Pertukaran peranan – AP
menjadi SA atau
sebaliknya
Membangun
dan
melaksanakan
Portal & Sistem
GPKI
PERKHIDMATAN
GPKI
Khidmat
nasihat serta
konsultasi
Pendaftaran
pelantikan Sub
Admin Agensi
Pelaksana
Pengurusan
Sijil Digital
individu
Pengurusan
pemohonan
Sijil Digital
Pelayan
PELAKSANAAN GPKI
Pengeluaran
Sijil Digital
Sijil digital yang
disediakan
adalah bagi
keperluan
individu dan
juga server (SSL)
Penggunaan
Sijil Digital
Pemilihan
medium sijil
digital individu
berdasarkan
penggunaan ke
atas sistem ICT
Kerajaan
(rujuk jadual)
Tatacara operasi merangkumi aspek pengurusan, pengendalian dan
pelaksanaan operasi GPKI di semua peringkat pelaksanaan termasuk
pengeluaran sijil digital
JADUAL PENGGUNAAN SIJIL DIGITAL INDIVIDU
BIL
AGENSI
APLIKASI
MEDIUM SIJIL
1
JANM
eSPKB
kad pintar biru
2
MoF
ePerolehan / eP
NextGen
3
JPA
POWER GEN 2
softcert
4
JKSM
E-SYARIAH
softcert
5
PoJ
e-Filing
(eKehakiman)
softcert
6
EPU
SPI
softcert
7
MAMPU
GPKI
8
JKDM
MyGST
9
CGSO
eVetting
10
BPP
SPPB
USB token
11
JANM
1GFMAS
USB token
USB token
USB Token / roaming / softcert /
kad pintar
USB Token / roaming / softcert
roaming
PERANAN AGENSI
MAMPU
bertangunggjawab
menyelaras dan
memantau
pelaksanaan GPKI
secara keseluruhan
serta memberi
khidmat nasihat
bagi penggunaan
teknologi PKI untuk
sistem ICT Kerajaan
Agensi yang
memiliki aplikasi
bertanggungjawab
mengurus,
menyelaras dan
mentadbir sistem
aplikasi yang
menggunakan
Perkhidmatan GPKI
Agensi
merangkumi
Kementerian,
Jabatan
Persekutuan dan
Negeri, Badan
Berkanun
Persekutuan dan
Negeri yang
menggunakan
sistem ICT Kerajaan
Persekutuan
Membangun
dan
melaksanakan
Portal & Sistem
GPKI
PERKHIDMATAN
GPKI
Khidmat
nasihat serta
konsultasi
Pendaftaran
pelantikan Sub
Admin Agensi
Pelaksana
Pengurusan
Sijil Digital
individu
Pengurusan
pemohonan
Sijil Digital
Pelayan
KHIDMAT NASIHAT GPKI
SASARAN
Agensi Pelaksana khususnya yang terlibat di dalam
pembangunan sistem ICT Kerajaan atau penyediaan
infrastruktur ICT
ASPEK PENGGUNAAN SIJIL DIGITAL
Penilaian tahap risiko sistem ICT Kerajaan untuk mengenalpasti
kawalan
keselamatan
yang
sesuai
bagi
keperluan
perkhidmatan GPKI
Menentukan penggunaan sijil digital sama ada bagi tujuan
pengesahan identiti, tandatangan digital dan/atau penyulitan
maklumat
Menggariskan keperluan teknikal PKI dari segi piawaian,
keperluan integrasi dan keperluan khusus bagi sijil digital
TATACARA PENILAIAN RISIKO
Agensi Pelaksana
Mengenalpasti ancaman, kebarangkalian dan impak yang
menyumbang risiko kepada aset
Menilai dan memberi keutamaan risiko
Mencadangkan langkah kawalan yang bersesuaian
Mengemukakan Laporan Penilaian Risiko sebagai dokumen
sokongan dalam permohonan perkhidmatan GPKI kepada
MAMPU
MAMPU
Keputusan kelulusan akan diberikan setelah keperluan
penilaian risiko dipenuhi
PENILAIAN RISIKO
ANCAMAN
Contoh 1:
KEBANGKALIAN (%)
IMPAK
Operasi
Pengesahan
Identiti
Kewangan
Contoh 2:
Penyangkalan
melaksanakan
tandatangan
Reputasi
Manusia
HASIL PENILAIAN RISIKO
Menentukan
penggunaan sijil
digital berdasarkan
keperluan
pengesahan identiti
(authentication), tidak
boleh disangkal (nonrepudiation) dan
penyulitan maklumat
(encryption) dengan
mengambilkira
langkah-langkah
kawalan keselamatan
yang bersesuaian.
Melaksanakan
integrasi sistem ICT
Kerajaan dengan
GPKI
Kenalpasti di fungsi
sistem yang
memerlukan
penggunaan PKI
(integration points)
Menentukan
pemilihan medium sijil
digital berdasarkan
tahap kawalan
keselamatan dan juga
tahap risiko
persekitaran operasi
yang menyokong
fungsi agensi
JADUAL KHIDMAT NASIHAT INTEGRASI GPKI
BIL
AKTIVITI
TEMPOH
TINDAKAN
1 bulan
MAMPU dan Agensi
2 minggu
MAMPU
3 bulan
MAMPU
- Penyerahan jadual integrasi
1 – 2 minggu
Agensi
- Penyerahan kod sumber integrasi
1 – 2 minggu
MAMPU
- Penyerahan medium dan sijil digital
untuk pengujian
1 – 2 minggu
MAMPU
- Pelaksanaan integrasi (termasuk
pengesahan kod sumber integrasi)
2 bulan
Agensi dan MAMPU
- Penyerahan contoh skrip pengujian
UAT
1 minggu
MAMPU
- Melaksanakan UAT (dengan
pemantauan MAMPU)
2 hari
Agensi
- Penyerahan Keputusan UAT
1 hari
Agensi
- Latihan Portal GPKI untuk SA & AP
1 hari
MAMPU dan Agensi
1
Penilaian risiko
2
Kelulusan melaksanakan integrasi
3
Khidmat nasihat teknikal: