Internet环境下的电子商务税收征管安全机制探讨
2009-05-22吴彩虹刘超群姜华斌
吴彩虹 刘超群 姜华斌
摘要:在Internet环境下电子商务税收征管主要存在税务信息安全、交易信息安全、网络病毒等安全隐患。构建一个安全支付、数据安全传输、身份认证安全、交易的不可抵赖性、与其他税务应用系统的安全互联互通的电子商务税收安全征管系统需要各种安全措施。文章探讨了身份识别技术和链路加密技术等安全技术在电子商务安全征管系统的应用。
关键词:电子商务;税收征管;信息安全
中图分类号:F713.3文献标识码:A
文章编号:1674-1145(2009)08-0178-02
随着电子商务的蓬勃发展,电子商务税收征管问题成为税务部门关注的焦点。通过控制“资金流”来对在线电子商务进行课税,有利于形成一个低成本、高效率的课税方案。在Internet环境下给电子商务交易双方提供一个值得信赖的环境,解决资金流控制下的电子商务税收征管中的安全就成了关键性的问题。
一、电子商务税收征管的安全隐患
(一)报税信息处理的安全性问题
要保证电子商务税收自动、安全快速的扣除,网络安全成了实施的一个瓶颈。正常的电子报税要在纳税人、税务局、银行和国库之间进行正确的电子信息交换。在安全性方面,主要存在有以下问题:(1)税务局的应用服务器如何对纳税人的数字证书进行验证,确定身份;(2)提供安全信道给纳税人提交申报表;(3)税务局使用电子信息交换与有关银行进行连接,处理电子交易直接扣缴税款的安全问题;(4)用户身份被假冒,信息受到非法访问,用户抵赖曾经签发的税务信息以及传输的信息被非法截获及篡改[1]。
(二)存在的其他相关安全问题
1. 计算机病毒。2001年以来,在中国大规模爆发的几种病毒,全部都是通过互联网传播的。在这几次病毒爆发中,税务系统的内部网络(Intranet)受到很大冲击。因而税务系统一方面要坚定融入开放的国际互联网(Internet),一方面又要有效规避网络所带来的各种危险。
2. 网络攻击。税务系统的Intranet采用的是开放的TCP/IP 协议,一切针对Internet的攻击同样适用于系统内部网络。税务系统的内部网络如果没有安全防线或防范不够严密,其面临的危险不言而喻[2]。
二、实现电子商务税收安全征管的措施
一个相对完善的税收安全征管,主要可以利用以下几个方面的安全措施(要完善):
1. 完善的安全支付。为用户提供安全的在线支付方式,即严格按照SET协议流程实现在线支付功能。对用户的敏感信息,如银行账户、密码、支付金额等等,在传输过程中用私钥签名,并用对称密钥加密,切实保证用户支付信息的安全性;对用户通过浏览器提交的私人信息,采用SSL安全加密措施,保证信息不被窃取。
2.数据的安全传输。数据的安全传输一方面是保密传输,即保证在公网上传输的用户敏感信息不被第三方窃取。即使被窃取,因对敏感信息进行了加密处理,窃取者无法破解;另一方面是保证传输数据的完整性,对用户数据进行单向散列函数算法取其摘要的方法,确保数据在传输的过程中不被篡改。
3.安全身份认证。采用两种方式来实现对用户身份的认证。一是用户在使用系统前必须带自己的相关证件到营业厅申请使用本系统的账号和密码。对安全性要求较低的业务应用,用户使用账号和密码登陆后便可进行相关的操作。二是对安全性要求高的业务应用,用户的在线支付,需要用户提供CA证书,以完成对用户的认证。
4.保证交易的不可抵赖性。用户在支付时,对所有交易信息进行数字签名,系统对用户的签名留有备份,以保证交易的不可抵赖性。
5.与其他税务应用系统的安全互联互通。征管信息系统与税务局的其他应用系统(如电子报税系统)通过整合形成统一的综合服务平台,通过浏览器对用户提供各种税务业务服务,使得传统办理各类税务业务的流程变得更简洁、规范、科学,为用户提供多种渠道的接入方式,使用户无论以何种方式接入,都能得到快速、完整的解决流程。
6.保证其他接口网络的安全性。同其他接口网络(如支付网、本地网等)的连接通过DDN专线,采用前置接口机的方式,以确保了其他接口网络的安全性。
7.防止有害信息(如病毒等)的传播等[3][4]。
三、电子商务税收安全征管方案设计
(一)电子商务税收安全征管流程
在网络交易中,消费者签订交易合同后,向网上银行发送支付请求。网上银行同意支付前,把信息向电子商务中心和网上税务中心传送。当进行扣税活动时,首先进行身份验证,消费者通过浏览器向服务器提出登录请求,服务器首先出示自己的服务器证书供客户浏览器验证,随后要求客户浏览器出示数字证书。这时客户浏览器出示数字证书,当服务器收到客户数字证书时,请求CA中心对其验证。CA中心验证完毕,向签名认证服务器返回验证结果。如果验证结果正确,则签名认证服务器指示WEB应用服务器与客户浏览器之间建立起双向认证的SSL加密链路,并指示网上银行完成扣税,将扣税信息分发给相应的机构保存。整个征管流程根据文献[1]改进为图1的模式。该征管流程的安全分为内网和外网的安全,在内网采取易于实施的网上报税安全认证解决方案,在外网采取边界防御和域内防御相结合方式,有效地防止网上报税安全隐患。
(二)税收安全征管的技术
1.PKI技术在安全方案中的应用。PKI公开密钥基础设施为整个电子商务税收征管系统提供安全的基本框架,通过采用统一的“接入点”增强了税收征管系统数据和资源的安全,以及与其他数据和资源交换的安全。PKI的核心技术基础是给予公钥密码学的“加密”和“签名”技术。通过“加密”和“签名”技术的结合使用解决税务网络的如下问题:(1)身份认证;(2)信息传输、存储的完整性和机密性;(3)操作的不可否认性。
2.税务证书机构创建和发布证书。它通常为一个称为安全域(security domain)的有限群体(即纳税人)发放证书。创建证书的时候,CA系统首先获取纳税人的请求信息,其中包括用户公钥(公钥一般由用户端产生,如电子邮件程序或浏览等),CA将根据纳税人的请求信息产生证书,并用自己的私钥对证书进行签名。其他用户或应用程序将使用CA的公钥对证书进行验证。CA同时负责维护和发布证书废除列表CRL(certificate revocation lists,又称为证书黑名单)。当一个证书,特别是其中的公钥因为其他原因无效时(不是因为到期),CRL提供了一种通知纳税人和其他应用的中心管理方式。CA系统生成CRL以后,可以放在LDAP服务器中供用户查询或下载,或放在Web服务器的合适位置,通过超级链接的方式供用户直接查询或下载。
3.用数字证书在网络上鉴别客户或电子商务商家的真实身份。CA为网络交易的双方发放电子证书,当商家和客户在电子商务网点进行交易时,利用证书来保证信息安全性和双方身份的合法性。有了数字证书,就可以进行数字签名。数字签名技术可以有效地防止各种抵赖行为。其基本原理是在发送方利用安全HASH码对明文重要元素进行交换处理得到一串128位密文,称之为文字摘要,然后再用发送方的私有密钥对数字摘要加密形成数字签名,将数字签名作为保密的附件和报文一起发送给接受方;接收方首先从原始报文中用安全HASH码计算出一个数字摘要,然后用发送方的公用密钥对数字签名解密,将解密后的摘要和在接收计算出的摘要相互比较,若两者一致,则正确,否则发送方被假冒或报文被修改。此技术一方面可鉴别发送方身份,另一方面可鉴别信息自动发送方签发到收到为止是否修改,可防止身份伪造、签发信件后加以否认。每个人获取的数字证书中包含有每个人的私有密钥,可进行数字签名。则可以有效防止用户抵赖曾经签发的税务信息。
4.链路加密技术。客户的资料加密或打包后过商家到达银行,但是商家不能看到客户的账户和密码信息;保证信息在因特网上安全传输,防止数据被黑客或被内部人员窃取;解决多方认证问题,不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证,同时还有消费者、在线商店与银行间的认证;保证了网上税务申报的实时性,使所有的支付过程都是在线的;规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。在保证安全性的同时,又让用户最大化地享受到方便和快捷,真正发挥出了网络的作用[1]。
5.防火墙与入侵检测技术。防火墙是在域边界之间实施安全防范的系统,主要保护离开安全域的信息安全,和防止来自外部的攻击和非法介入。对于进行数据通信的网络安全域来说,通过边界的所有数据流都必须经过防火墙。只有符合安全策略的数据流才能通过防火墙。确保网络流量的合法性,并将网络的流量快速地从一条链路转发到另一条链路[6]。
四、结语
在电子商务税收安全征管中,通过采用各种安全措施,保证了征管安全,营造了一个安全支付、数据安全传输、身份认证安全、交易的不可抵赖性、与其他税务应用系统的安全互联互通的电子商务税收安全征管环境。
参考文献
[1]程自力.澳门财政局网上报税系统的确设计与实现[D].澳门:华侨大学,2003.
[2]庞磊.互联网上的征税系统建设[J].税务研究,1999,(10).
[3]张信一,陈志占,黎燕.浅谈税务信息化中的安全问题[J].广东工业大学学报,2005,21(3).
[4]郑宏珍,黄俊横.电子商务税收与安全性[J].中国信息导报,1999,(11).
[5]冯兆泰.PKI/CA在电子税务系统中的应用与研究[D].广州,华南理工大学,2004.
[6]朱靓.税务信息系统中信息安全保障的研究[D].福州:福州大学,2006.
课题项目:本文是湖南省教育厅科学研究项目《基于环形结构的分布式协同入侵检测系统的研究与实现》(课题编号:06D054)阶段性成果之一。
作者简介:吴彩虹(1971- ),女,湖南财经高等专科学校副教授,硕士,研究方向:电子商务税收征管与网络技术应用;刘超群(1970- ),男,湖南财经高等专科学校副教授,硕士,研究方向:网络技术应用;姜华斌(1971- ),男,湖南商务职业技术学院副教授,湖南省职业技能鉴定专家委员会计算机专业委员会成员,硕士,研究方向:计算机网络信息安全技术。