网上报税信息安全解决方案
现在,许多地方政府的税务部门开始建立网上报税系统,使得纳税人可以不用跑税务局就可以在办公室网上报税了,同时也将大大减轻税务部门的工作量。但是,由于纳税是一个非常严肃和容不得出错的事务,对网上报税系统的信息安全要求就显得非常重要了。而由于网上报税是通过不安全的公用互联网实现信息传输的,所以,网上报税系统的信息安全必须解决如下问题:
1、 机密性问题 : 纳税人 在登录 网上报税系统 时要求用户输入用户帐号和密码、银行帐号以及纳税额等非常机密信息后,用户端电脑就把此机密数据通过 互联网 传到 网上报税系统 的服务器,这个传输过程中要经过许多网络设备和传输链路 ( 特别是有些不安全的宽带接入方式使得整个办公楼或居民小区的所有用户实际上是在一个共享的局域网上 ) ,如果此类机密信息不加密传输,则非常容易和极有可能在传输过程中被非法截取而获得用户的 网上报税系统 的登录帐号和密码以及用于支付的银行信息等。需要指出的是:有些 网上报税系统 已经使用了SSL证书进行加密,但由于没有使用全球通用的 SSL数字证书(SSL证书)使得用户必须下载和安装颁发证书的 CA 的根证书,非常不方面使用,特别是中国公民如果出差在国外,根本就没法使用,这不符合 “执政为民”的理念。
2、 完整性问题: 如果在用户端电脑到 网上报税系统 服务器之间的纳税信息和银行帐号信息传输不加密的话,则非常容易和极有可能在传输过程中被非法恶意篡改,把应该按 A 方式处理的事务篡改为按犯罪分子的意向的 B 方式处理了,而用户还不知晓,以为已经办妥,因为用户提交时是填写正确的,这就会引起纠纷以及让正常纳税的企业蒙受没有按时纳税的冤屈。
3、 真实身份认证问题: 涉及到两个真实身份的认证问题,一个是纳税人的真实身份认证,另一个是 网上报税系统 的真实身份。非法分子可以伪造、假冒 网上报税系统 网站和用户的身份,因此用户无法知道他们所登录的网站是否是可信的真实的 网上报税系统 网站,而 网上报税系统 也无法验证登录到 网上报税系统 的用户是否就是合法身份,仅凭“用户名+口令”的传统身份认证方式根本就没有任何安全性。而个别 网上报税系统 网站上声称“对由于用户泄露口令而导致损失不付责任”的说法是不负责任的做法,建议用户不要使用有此类声明的 网上报税系统 。 网上报税系统 应该采取切实可行的技术手段来保证即使用户口令被泄露 ( 更何况犯罪分子可以有许多途径得到用户的口令,而不是用户的过错 ) 非法用户也无法通过真实身份认证,同时也要采取技术措施让用户非常容易识别是真正的 网上报税系统 网站还是假冒的 网上报税系统 网站,仅仅提醒用户记住复杂的英文域名和网址是不够的,因为假冒的 网上报税系统 网站的域名往往与真实 网上报税系统 网站只差 1 个字母。
4、 信息的不可否认性问题: 纳税户有可能会否认其在线税务申报行为,这里有许多原因,可能是用户本身的原因,也可能是 网上报税系统 的问题,每个在线税务申报行为一定要有可靠的签名记录用于纠纷仲裁的法律依据。
针对以上安全隐患和可能出现的问题, WoSign推出了基于 PKI 技术的网上报税系统 信息安全解决方案,完全解决了以上 4 大问题:(1) 为 网上报税系统 服务器 (Web 服务器和其他服务器 ) 颁发全球通用的支持所有浏览器的支持强制128位加密的SSL证书,确保纳税户在全球任何地方都可以使用任何浏览器实现在线报税,支持从浏览器到服务器之间机密信息的高强度加密传输,从而有效地防止了银行帐户信息、纳税帐号、密码和报税机密数据的机密性和完整性。
( 请广大纳税人铭记:登录 网上报税系统 时一定要看看浏览器右下方是否有“安全锁 标志”,如果没有,请一定不要使用此类 网上报税系统 ,因为您输入的所有报税信息和帐号信息都极有可能和非常容易被非法窃取和非法篡改! )
(2) 本着为纳税人提供优质服务和保证纳税人的合法权益的目的,建议税务部门免费为每个纳税人颁发一个全球通用的(在任何地方,即使在国外也可以使用)单位数字证书(建议是 USB Key型可携带数字证书)用于登录 网上报税系统 办理纳税申报的真实身份认证和用于每个在线事务的数字签名,从而杜绝了口令泄露而造成的损失和提供了在线行为不可否认的证据。为了杜绝使用公用电脑和专用电脑的间谍软件或其他可能的手段非法使用数字证书问题, 强烈推荐为每个纳税户配置一个 USB 型移动数字证书来确保是真实的纳税人能安全地登录网上报税系统 ( 需要登录和报税时就把移动数字证书插入电脑的 USB 口,交易完毕就拔下 ) 。请注意:我们强烈建议颁发一个全球通用的数字证书给纳税人,一方面方便纳税人使用,另一方面是纳税人可能在全球任何地方需要使用纳税系统。
以上解决方案涉及到的产品有:服务器 SSL 证书、客户端数字证书、网站身份认证,请浏览以下页面了解产品详情,我们不仅提供产品,而且免费提供开发和应用指导:
服务器 SSL 证书: https://www.wosign.com/OVSSL/OV_ZhenSSL_Pro.htm
企业CA托管解决方案:https://www.wosign.com/Products/EPKI_Organizations.htm
客户端数字证书:http://www.wosign.com/Products/clientcert.htm
强身份认证技术选型指南:http://www.wosign.com/solution/Strong_authentication_solution.htm
使用客户端数字证书实现强身份认证登录演示:https://www.wosign.com/LoginDemo/
如果您就是税务部门的信息主管,相信您一定希望详细了解此解决方案,请立刻 联系我们 ,我们会把更详细的方案发给您;如果您是网上报税系统 的 用户,请注意以上的安全提示,并请督促税务部门切实采取有效的信息安全防范措施,只有用户和税务部门齐努力才能确保网上报税系统的服务 质量和 信息安全,我们愿意为此做出应有的贡献。