对于作为国家重要机关的税务部门采用先进的计算机与网络技术,将日常办公、纳税申报等各项工作逐渐在网络上展开,将直接优化工作程序,大大提高工作效率,特别对于以为纳税人提供更优质服务为核心的网上纳税申报,已经成为税务行业当前信息化发展的重要关注点。
由于网上纳税申报涉及到资金、税种、额度等重要信息,因此它对安全性具有内在的严格要求。但是作为基于 Internet 的应用, 网上纳税申报不可避免面临由于虚拟、匿名、公开、明文等互联网特性而带来的 Web 安全问题,如伪用户、篡改、抵赖等等,任何人都可以截获并任意篡改转发到税务系统。这样往往导致纳税人的申报数据和实际填写的数据不相符,同时引起纳税人和税务部门的各种法律纠纷。为了防止纳税人申报数据被篡改,以维护纳税人和税务部门的利益,有必要在纳税人和税务部门之间构建起可靠的网络信任机制和信息安全屏障。
随着我国《电子签名法》的实施,数字签名和手写签名效力达到了等同的地位,为保护网上纳税申报在内各项电子政务活动的健康发展提供了有效手段。通过可信电子签名能够实现网上纳税申报的安全性和责任性,并且从法律角度捍卫纳税人基于数字签名的切身利益,以及税务机关的电子票据管理和税务举证。
北京数字证书认证中心( BJCA )作为国内主要的第三方认证机构,针对网上纳税申报,在应用层次上提出基于 PKI (公钥基础设施)的信息安全解决方案,以符合《电子签名法》要求的数字证书技术为网上纳税申报建立起完备的应用安全措施,彻底保障其安全可靠开展。
·安全需求分析
针对网上纳税申报业务所带来的安全问题,北京数字证书认证中心将提出基于 PKI 的数字证书安全方案,它将在以下方面提供符合法律要求、可实施性强的解决方法:
身份认证功能: 由于数字证书的权威性取决于其颁发机构的权威性,通过国内权威第三方北京数字证书认证中心的证书发放和验证,充分确认纳税人身份的真实可靠性,杜绝假冒;
信息保密功能: 基于数字证书,采用符合国家政策要求的高强度密码算法,确保纳税人申报信息在传输过程中不被泄露内容;
数字签名功能: 通过可信数字签名技术,一方面能够保证纳税人申报信息不被破坏,防止纳税人申报信息在传递过程中被恶意篡改或无意改变,另一方面建立责任机制,实现纳税举证,使任一纳税户对于在网上所进行的任何操作不可抵赖;
·方案设计 网上纳税申报系统的整体信息安全方案,将基于 PKI 体系的数字证书来构建,并由以下两个子系统来具体实现:证书发放系统和安全业务系统。整个信息安全系统结构图如下:
·方案特点 网上纳税申报系统信息安全解决方案基于数字证书构建,由证书发放和证书应用两部分所构成的,其特点如下:
有效的身份认证机制
PKI 是解决 internet 上信任问题的最佳方案。通过采用业界这一先进技术,以数字证书标识网上纳税申报各方的真实身份,保证了身份验证的有效性,是传统用户名口令的登录方式的最佳替代;
先进的电子签名技术
通过采用基于数字证书的数字签名技术,能够充分确保网上纳税申报完全具备法律效力,全面保障电子化纳税信息的完整性和抗否认性,实现可靠的纳税举证;
高强度整体安全
在安全强度方面,对称算法密钥长度 128 位,非对称算法密钥长度为 1024 位,确保在交互过程中的敏感信息不可能被非法脱密;它提供数字签名及其数据接口,克服了 SSL 协议的不足,实现了整体安全;
高效性
在安全运算处理上,将对称、非对称加密、 Hash 运算有机结合,在安全与效率之间找到了合适的平衡点,保障了安全处理的高效性;在通讯上,不建立额外的信道,而浏览器直接基于 HTTP 通讯,效率很高;
遵循安全技术规范
在加密算法和数字证书方面均遵循相应的安全技术标准,如 X.509 ;在信息传输方面,遵循了 HTTP 标准通讯协议;所采用的密码算法符合国家法律制度的规定;
使用方便
方案中所采用的 BJCASecX 在客户端以 ActiveX 控件的形式工作,完全保留了瘦客户端 B/S 模式的特色,而且完全支持占浏览器份额 95% 以上的 IE ,这使得纳税人的实际操作具有最大方便性,也有利于网上纳税申报系统的应用推广。
易于实施
BJCASecX 提供直接面向应用的各种高层接口,网上纳税申报系统开发方可以根据业务需要和实际流程来决定进行安全处理的网络信息资源,并且仅需要简单的网页级的程序修改。
易于管理
采用公信第三方的认证体系,将具有成熟规范的证书管理模式,降低安全风险,同时对于终端发放点而言,其管理和操作上非常简单,易于使用,能很方便的为纳税户提供证书办理服务。 |
