Ｉｎｔｅｒｎｅｔ環境下的電子商務稅收征管安全機制探討

吳彩虹　劉超群　姜華斌

摘要：在Internet環境下電子商務稅收征管主要存在稅務信息安全、交易信息安全、網絡病毒等安全隱患。構建一個安全支付、數據安全傳輸、身份認證安全、交易的不可抵賴性、與其他稅務應用系統的安全互聯互通的電子商務稅收安全征管系統需要各種安全措施。文章探討了身份識別技術和鏈路加密技術等安全技術在電子商務安全征管系統的應用。

關鍵詞：電子商務；稅收征管；信息安全

中圖分類號：F713.3文獻標識碼：A

文章編號：1674-1145（2009）08-0178-02

隨著電子商務的蓬勃發展，電子商務稅收征管問題成為稅務部門關注的焦點。通過控制“資金流”來對在線電子商務進行課稅，有利于形成一個低成本、高效率的課稅方案。在Internet環境下給電子商務交易雙方提供一個值得信賴的環境，解決資金流控制下的電子商務稅收征管中的安全就成了關鍵性的問題。

一、電子商務稅收征管的安全隱患

（一）報稅信息處理的安全性問題

要保證電子商務稅收自動、安全快速的扣除，網絡安全成了實施的一個瓶頸。正常的電子報稅要在納稅人、稅務局、銀行和國庫之間進行正確的電子信息交換。在安全性方面，主要存在有以下問題：（1）稅務局的應用服務器如何對納稅人的數字證書進行驗證，確定身份；（2）提供安全信道給納稅人提交申報表；（3）稅務局使用電子信息交換與有關銀行進行連接，處理電子交易直接扣繳稅款的安全問題；（4）用戶身份被假冒，信息受到非法訪問，用戶抵賴曾經簽發的稅務信息以及傳輸的信息被非法截獲及篡改[1]。

（二）存在的其他相關安全問題

1. 計算機病毒。2001年以來，在中國大規模爆發的幾種病毒，全部都是通過互聯網傳播的。在這幾次病毒爆發中，稅務系統的內部網絡（Intranet）受到很大沖擊。因而稅務系統一方面要堅定融入開放的國際互聯網（Internet），一方面又要有效規避網絡所帶來的各種危險。

2. 網絡攻擊。稅務系統的Intranet采用的是開放的TCP/IP 協議，一切針對Internet的攻擊同樣適用于系統內部網絡。稅務系統的內部網絡如果沒有安全防線或防范不夠嚴密，其面臨的危險不言而喻[2]。

二、實現電子商務稅收安全征管的措施

一個相對完善的稅收安全征管，主要可以利用以下幾個方面的安全措施（要完善）：

1. 完善的安全支付。為用戶提供安全的在線支付方式，即嚴格按照SET協議流程實現在線支付功能。對用戶的敏感信息，如銀行賬戶、密碼、支付金額等等，在傳輸過程中用私鑰簽名，并用對稱密鑰加密，切實保證用戶支付信息的安全性；對用戶通過瀏覽器提交的私人信息，采用SSL安全加密措施，保證信息不被竊取。

2.數據的安全傳輸。數據的安全傳輸一方面是保密傳輸，即保證在公網上傳輸的用戶敏感信息不被第三方竊取。即使被竊取，因對敏感信息進行了加密處理，竊取者無法破解；另一方面是保證傳輸數據的完整性，對用戶數據進行單向散列函數算法取其摘要的方法，確保數據在傳輸的過程中不被篡改。

3.安全身份認證。采用兩種方式來實現對用戶身份的認證。一是用戶在使用系統前必須帶自己的相關證件到營業廳申請使用本系統的賬號和密碼。對安全性要求較低的業務應用，用戶使用賬號和密碼登陸后便可進行相關的操作。二是對安全性要求高的業務應用，用戶的在線支付，需要用戶提供CA證書，以完成對用戶的認證。

4.保證交易的不可抵賴性。用戶在支付時，對所有交易信息進行數字簽名，系統對用戶的簽名留有備份，以保證交易的不可抵賴性。

5.與其他稅務應用系統的安全互聯互通。征管信息系統與稅務局的其他應用系統（如電子報稅系統）通過整合形成統一的綜合服務平臺，通過瀏覽器對用戶提供各種稅務業務服務，使得傳統辦理各類稅務業務的流程變得更簡潔、規范、科學，為用戶提供多種渠道的接入方式，使用戶無論以何種方式接入，都能得到快速、完整的解決流程。

6.保證其他接口網絡的安全性。同其他接口網絡（如支付網、本地網等）的連接通過DDN專線，采用前置接口機的方式，以確保了其他接口網絡的安全性。

7.防止有害信息（如病毒等）的傳播等[3][4]。

三、電子商務稅收安全征管方案設計

（一）電子商務稅收安全征管流程

在網絡交易中，消費者簽訂交易合同后，向網上銀行發送支付請求。網上銀行同意支付前，把信息向電子商務中心和網上稅務中心傳送。當進行扣稅活動時，首先進行身份驗證，消費者通過瀏覽器向服務器提出登錄請求，服務器首先出示自己的服務器證書供客戶瀏覽器驗證，隨后要求客戶瀏覽器出示數字證書。這時客戶瀏覽器出示數字證書，當服務器收到客戶數字證書時，請求CA中心對其驗證。CA中心驗證完畢，向簽名認證服務器返回驗證結果。如果驗證結果正確，則簽名認證服務器指示WEB應用服務器與客戶瀏覽器之間建立起雙向認證的SSL加密鏈路，并指示網上銀行完成扣稅，將扣稅信息分發給相應的機構保存。整個征管流程根據文獻[1]改進為圖1的模式。該征管流程的安全分為內網和外網的安全，在內網采取易于實施的網上報稅安全認證解決方案，在外網采取邊界防御和域內防御相結合方式，有效地防止網上報稅安全隱患。

（二）稅收安全征管的技術

1．PKI技術在安全方案中的應用。PKI公開密鑰基礎設施為整個電子商務稅收征管系統提供安全的基本框架，通過采用統一的“接入點”增強了稅收征管系統數據和資源的安全，以及與其他數據和資源交換的安全。PKI的核心技術基礎是給予公鑰密碼學的“加密”和“簽名”技術。通過“加密”和“簽名”技術的結合使用解決稅務網絡的如下問題：（1）身份認證；（2）信息傳輸、存儲的完整性和機密性；（3）操作的不可否認性。

2．稅務證書機構創建和發布證書。它通常為一個稱為安全域（security domain）的有限群體（即納稅人）發放證書。創建證書的時候，CA系統首先獲取納稅人的請求信息，其中包括用戶公鑰（公鑰一般由用戶端產生，如電子郵件程序或瀏覽等），CA將根據納稅人的請求信息產生證書，并用自己的私鑰對證書進行簽名。其他用戶或應用程序將使用CA的公鑰對證書進行驗證。CA同時負責維護和發布證書廢除列表CRL（certificate revocation lists，又稱為證書黑名單）。當一個證書，特別是其中的公鑰因為其他原因無效時（不是因為到期），CRL提供了一種通知納稅人和其他應用的中心管理方式。CA系統生成CRL以后，可以放在LDAP服務器中供用戶查詢或下載，或放在Web服務器的合適位置，通過超級鏈接的方式供用戶直接查詢或下載。

3．用數字證書在網絡上鑒別客戶或電子商務商家的真實身份。CA為網絡交易的雙方發放電子證書，當商家和客戶在電子商務網點進行交易時，利用證書來保證信息安全性和雙方身份的合法性。有了數字證書，就可以進行數字簽名。數字簽名技術可以有效地防止各種抵賴行為。其基本原理是在發送方利用安全HASH碼對明文重要元素進行交換處理得到一串128位密文，稱之為文字摘要，然后再用發送方的私有密鑰對數字摘要加密形成數字簽名，將數字簽名作為保密的附件和報文一起發送給接受方；接收方首先從原始報文中用安全HASH碼計算出一個數字摘要，然后用發送方的公用密鑰對數字簽名解密，將解密后的摘要和在接收計算出的摘要相互比較，若兩者一致，則正確，否則發送方被假冒或報文被修改。此技術一方面可鑒別發送方身份，另一方面可鑒別信息自動發送方簽發到收到為止是否修改，可防止身份偽造、簽發信件后加以否認。每個人獲取的數字證書中包含有每個人的私有密鑰，可進行數字簽名。則可以有效防止用戶抵賴曾經簽發的稅務信息。

4．鏈路加密技術。客戶的資料加密或打包后過商家到達銀行，但是商家不能看到客戶的賬戶和密碼信息；保證信息在因特網上安全傳輸，防止數據被黑客或被內部人員竊取；解決多方認證問題，不僅要對消費者的信用卡認證，而且要對在線商店的信譽程度認證，同時還有消費者、在線商店與銀行間的認證；保證了網上稅務申報的實時性，使所有的支付過程都是在線的；規范協議和消息格式，促使不同廠家開發的軟件具有兼容性和互操作功能，并且可以運行在不同的硬件和操作系統平臺上。在保證安全性的同時，又讓用戶最大化地享受到方便和快捷，真正發揮出了網絡的作用[1]。

5．防火墻與入侵檢測技術。防火墻是在域邊界之間實施安全防范的系統，主要保護離開安全域的信息安全，和防止來自外部的攻擊和非法介入。對于進行數據通信的網絡安全域來說，通過邊界的所有數據流都必須經過防火墻。只有符合安全策略的數據流才能通過防火墻。確保網絡流量的合法性，并將網絡的流量快速地從一條鏈路轉發到另一條鏈路[6]。

四、結語

在電子商務稅收安全征管中，通過采用各種安全措施，保證了征管安全，營造了一個安全支付、數據安全傳輸、身份認證安全、交易的不可抵賴性、與其他稅務應用系統的安全互聯互通的電子商務稅收安全征管環境。

參考文獻

[1]程自力．澳門財政局網上報稅系統的確設計與實現[D]．澳門：華僑大學，2003．

[2]龐磊．互聯網上的征稅系統建設[J]．稅務研究，1999，(10)．

[3]張信一，陳志占，黎燕．淺談稅務信息化中的安全問題[J]．廣東工業大學學報，2005，21(3)．

[4]鄭宏珍，黃俊橫．電子商務稅收與安全性[J]．中國信息導報，1999，(11)．

[5]馮兆泰．PKI/CA在電子稅務系統中的應用與研究[D]．廣州，華南理工大學，2004．

[6]朱靚．稅務信息系統中信息安全保障的研究[D]．福州：福州大學，2006．

課題項目：本文是湖南省教育廳科學研究項目《基于環形結構的分布式協同入侵檢測系統的研究與實現》（課題編號：06D054）階段性成果之一。

作者簡介：吳彩虹（1971- ），女，湖南財經高等專科學校副教授，碩士，研究方向：電子商務稅收征管與網絡技術應用；劉超群（1970- ），男，湖南財經高等專科學校副教授，碩士，研究方向：網絡技術應用；姜華斌（1971- ），男，湖南商務職業技術學院副教授，湖南省職業技能鑒定專家委員會計算機專業委員會成員，碩士，研究方向：計算機網絡信息安全技術。