Nếu nhƣ khóa công khai của ngƣời ký đã đƣợc nhập trong danh sách khóa của
chúng ta thì thông tin về ngƣời ký sẽ hiện lên. Nếu chƣa đƣợc nhập thì chúng ta có thể lấy
ID của khóa để truy cập vào máy chủ và lấy khóa về.
76 trang |
Chia sẻ: lylyngoc | Lượt xem: 2584 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Luận văn An toàn thông tin trong hải quan điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Authorities) cung cấp.
Trong thực tế, chứng thực số đƣợc sử dụng nhiều nhất trong các giao dịch thƣơng
mại điện tử, đặt biệt là trong các hoạt động thanh toán trực tuyến của ngân hàng. Một
37
website dịch vụ ngân hàng có thể khẳng định tính xác thực của mình với ngƣời dùng bằng
cách sử dụng chứng thực số, đảm bảo website đó không bị giả mạo.
Ngoài việc sử dụng các hình thức bảo mật thông thƣờng nhƣ mật khẩu cần dùng một
chứng thực số cá nhân để khẳng định danh tính của mình, xác nhận các hoạt động giao
dịch. Chứng thực số sẽ giúp ngân hàng đảm bảo các khách hàng không thể phủ nhận các
giao dịch của mình khi họ dùng chứng thực số.
Các hoạt động liên ngân hàng trong giao dịch điện tử cũng đều phải sử dụng chứng
thực số nhằm xác định danh tính của mỗi bên, khẳng định trách nhiệm và các hoạt động
của từng bên trong giao dịch. Đây là quy trình bảo mật quan trọng cũng nhƣ là cơ sở về
mặt pháp lý để có căn cứ khi thực hiện các giao dịch trực tuyến.
Không chỉ nằm trong lĩnh vực thƣơng mại điện tử, chứng thực số hiện còn đƣợc sử
dụng nhƣ một dạng chứng minh thƣ cá nhân. Tại các nƣớc công nghệ phát triển, chứng
thực số CA đƣợc tích hợp vào các chip nhớ nằm trong thẻ căn cƣớc, thẻ tín dụng để tăng
cƣờng khả năng bảo mật, chống giả mạo, cho phép chủ thẻ xác thực danh tính của mình
trên nhiều hệ thống khác nhau, chẳng hạn nhƣ xe bus, thẻ rút tiền ATM, kiểm soát hải
quan, ra vào chung cƣ .v.v.
3.3.1.4. Giá trị pháp lý
Trong các hoạt động thƣơng mại điện tử trên thế giới, chứng thực số đƣợc sử dụng
làm căn cứ xác định tính hợp pháp, giống nhƣ các hình thức xác thực truyền thống là chữ
ký và con dấu hiện nay. Khi có tranh chấp về pháp lý trong các hoạt động điện tử, chứng
thực số có giá trị bằng chứng và căn cứ tƣơng tự nhƣ các hình thức xác thực cũ này.
Với đặc điểm không thể giả mạo, chứng thực nguồn gốc xuất xứ, các quốc gia trên
thế giới đều đã sử dụng chứng thực số và coi nó nhƣ là một bằng chứng pháp lý từ rất
sớm. Đây là yếu tố quan trọng nhằm phát triển các ngành thƣơng mại điện tử vì nó đảm
bảo rằng khách hàng khi tham gia giao dịch là an toàn và đƣợc pháp luật công nhận.
Hiện tại, Việt Nam cũng đang gấp rút xây dựng Pháp lệnh Thƣơng mại điện tử (do
Bộ Thƣơng mại chủ trì), Nghị định của Chính phủ về quản lý, cung cấp và sử dụng dịch
vụ chứng thực điện tử (Bộ Bƣu chính - Viễn thông chủ trì), Nghị định của Chính phủ quy
định việc nghiên cứu, sản xuất và sử dụng mật mã không thuộc phạm vi bí mật Nhà nƣớc
(Ban Cơ yếu Chính phủ chủ trì). Tuy nhiên, quá trình xây dựng còn chƣa theo kịp nhu cầu
38
phát triển và ứng dụng, gây ra nhiều khó khăn trong quá trình triển khai thƣơng mại điện
tử.
So với các nƣớc và vùng lãnh thổ khác tại châu Á, hiện Việt Nam còn đang khá
chậm trễ trong xây dựng dựng cơ sở pháp lý về giao dịch điện tử. Malaysia đã ban hành
Luật Chữ ký Số vào năm 1997, Singapore ban hành Luật Giao dịch điện tử vào năm 1998,
Hàn Quốc có Luật Chữ ký điện tử vào năm 1999 và sửa đổi vào năm 2001, Hong Kong
có Sắc lệnh về Giao dịch điện tử vào năm 2000. Thái Lan và Nhật Bản cũng đã có các văn
bản luật liên quan đến giao dịch điện tử vào năm 2001.
3. Hạ tầng khóa công khai (PKI – Public Key Infastructure)
Để triển khai đƣợc chữ ký số, việc cần thiết nhất là phải xây dựng đƣợc hệ thống
PKI.
3.1.Tổng quan về PKI
PKI là một cơ chế để bên thứ 3 có thể cung cấp và xác thực các bên tham gia vào
quá trình trao đổi thông tin. Cơ chế này cho phép gán mỗi ngƣời dùng trong hệ thống với
một cặp khóa công khai và bí mật. Các quá trình này đƣợc thực hiện bởi một phần phềm
đặt tại trung tâm và các phần mềm khác đặt tại các địa điểm của ngƣời dùng. Khóa công
khai đƣợc phân phối rộng rãi trong PKI.
PKI thƣờng đƣợc dùng để chỉ toàn bộ hệ thống bao gồm nhà cung cấp chứng thực số
CA cùng các cơ chế liên quan đồng thời với toàn bộ các thuật toán mã hóa công khai
trong trao đổi thông tin. Tuy nhiên phần sau đƣợc bao gồm không hoàn toàn chính xác do
các cơ chế trong PKI không nhất thiết phải sử dụng các thuật toán mã hóa công khai.
3. 2. Các thành phần của PKI
3.2.1. Các thành phần của PKI
PKI dựa vào một thiết bị mật mã để bảo đảm các khoá công khai đƣợc quản lý an
toàn. Các thiết bị này không hoạt động cùng lúc đƣợc thực hiện ở các hàm mảng rộng có
liên quan đến việc quản lý phân phối khoá, bao gồm các thành phần sau:
- Chứng thực và đăng ký ngƣời dùng
- Kiểm tra tính toàn vẹn của khoá công khai
- Chứng thực yêu cầu trong quá trình bảo quản các khoá công khai
39
- Bí mật cấp phát khoá công khai
- Huỷ bỏ khoá công khai khi nó không có đủ giá trị độ dài
- Duy trì việc thu hồi các thông tin về khoá công cộng (CRL) và phân bổ thông tin
(thông qua CRL cấp phát hoặc đáp ứng đến Online Certificate Status Protocol [OCSP]
messages).
- Đảm bảo an toàn về độ lớn của khoá.
Chứng thực khóa công khai (Public Key Certificate):
Mục tiêu của việc trao đổi khóa bất đối xứng là cấp phát một cách an toàn khóa công
khai từ ngƣời gửi đến ngƣời nhận. PKI tạo điều kiện cho việc trao đổi khóa an toàn để
đảm bảo xác thực các bên trao đổi với nhau.
Chứng thực khóa công khai đƣợc cấp phát bởi CA. Ngƣời dùng đăng ký sử dụng,
kích hoạt và đƣợc PKI chứng nhận theo quá trình sau:
-Ngƣời dùng đăng ký với CA hoặc RA (Registration Authorities) với các tiêu chí để
nhận biết. CA sẽ xác thực và cấp phát khóa công khai.
- Ngƣời dùng tạo ra một cặp khóa công khai và bí mật rồi gửi đến CA
- CA lƣu mật hiệu lên khóa công khai cùng với khóa bí mật để tạo một chứng thực
khóa công khai cho ngƣời dùng.
Lúc này ngƣời dùng có thể yêu cầu chứng thực khóa công khai từ các ngƣời dùng
khác.
Tổ chức đăng ký chứng thực (Registration Authorities):
Trong nhiều trƣờng hợp, CA sẽ cung cấp tất cả các dịch vụ cần thiết của PKI để
quản lý các khóa công khai bên trong mạng. Tuy nhiên có nhiều trƣờng hợp CA có thể uỷ
nhiệm Cho RA. Một số chức năng mà CA có thể uỷ nhiệm thay thế cho RA nhƣ:
- Kiểm tra ngƣời dùng đã đăng ký khóa công khai với CA để có khóa bí mật mà
đƣợc dùng để kết hợp với khóa công khai.
- Cấp phát cặp khóa công khai và bí mật dùng để khởi tạo quá trình đăng ký.
- Xác nhận các thông số của khóa công khai.
- Cấp phát gián tiếp các Certificate Revocation List (CRL).
40
Tổ chức cấp chứng thực (CA - Certificate Authorities):
CA cấp phát chứng thực, xác thực ngƣời dùng và khi cần thì thu hồi các chứng thực
CA địa diện cho nguồn tin cậy chính của PKI vì CA là tổ chức duy nhất trong PKI
có thể cấp phát chứng thực khóa công khai.
CA cũng luôn đáp ứng cho việc duy trì CRL và phục vụ các loại nhƣ: CRL Issuer.
PKI không phải chỉ có 1 CA mà PKI có thể thiết lập nhiều CAs.
CAs giúp thiết lập cho việc nhận dạng của các thực thể giao tiếp với nhau đƣợc
đúng đắn. CAs không chỉ chứng thực cho ngƣời dùng cá nhân mà còn chứng thực cho các
CA khác có liên quan trong quá trình giao dịch.
3.2.2. Mục tiêu và các chức năng của PKI
PKI cho phép những ngƣời tham gia xác thực lẫn nhau và sử dụng các thông tin từ
các chứng thực khoá công khai để mật mã hoá và giải mã thông tin trong quá trình trao
đổi.
PKI đảm bảo cho các giao dịch điện tử đƣợc bí mật, toàn vẹn và xác thực đƣợc các
bên tham gia mà không cần trao đổi các thông tin bảo mật từ trƣớc.
Mục tiêu chính của PKI chính là cung cấp khóa công khai và xác định mối liên hệ
giữa khóa và ngƣời dùng, nhờ vậy ngƣời dùng có thể áp dụng vào một số ứng dụng nhƣ:
- Mã hoá Email hoặc xác thực ngƣời gửi Email
- Mã hoá hoặc chứng thực văn bản
- Xác thực ngƣời dùng ứng dụng
- Các giao thức truyền thông an toàn: Trao đổi bằng khoá bất đối xứng, mã hoá bằng
khoá đối xứng.
PKI bao gồm các thành phần sau đây:
- Phát sinh một cặp khoá riêng và khoá chung cho ngƣời dùng
- Tạo và xác nhận chữ ký điện tử
- Cấp phát chứng nhận ngƣời dùng
- Đánh dấu những khoá đã cấp phát và bảo trì quá trình sử dụng của mỗi khoá
41
- Hủy bỏ những đăng ký sai và hết hạn
- Xác nhận ngƣời dùng
3.2.3. Mục đích của PKI
PKI đƣợc sử dụng với các mục đích :
- Mã hoá: Giữ bí mật thông tin và chỉ có ngƣời có khoá bí mật mới giải mã đƣợc.
- Tạo chữ ký số: Cho phép kiểm tra một văn bản có phải đã đƣợc tạo với một khoá
bí mật nào đó hay không.
- Thoả thuận khoá: Cho phép thiết lập khoá dùng để trao đổi thông tin bảo mật giữa
2 bên.
3.3. Cơ sở hạ tầng của PKI
3.3.1. Các bƣớc mã hoá:
Bƣớc 1:
Dùng giải thuật băm để thay đổi thông điệp cần truyền đi. Kết
quả là ta đƣợc một bản tóm tắt. Dùng giải thuật MD5
(message digest 5) ta đƣợc bản tóm lƣợc có chiều dài 128 bit,
dùng giải thuật SHA (Secure Hash Algorithm) ta có chiều dài 160 bit.
Bƣớc 2:
Sử dụng khóa bí mật của ngƣời gửi để mã hóa bản tóm tắt thu
đƣợc ở bƣớc 1. Thông thƣờng ở bƣớc này dùng giải thuật RSA
( hay DSA, RC2, 3DES, …). Kết quả thu đƣợc gọi là chữ ký
số của thông điệp ban đầu.
Bƣớc 3:
Sử dụng khóa công khai của ngƣời nhận để mã hoá những thông
tin cần gửi đi.
42
Bƣớc 4:
Gộp chữ ký số vào thông điệp đã đƣợc mã hoá và gửi đi. Nhƣ vậy sau khi đã ký số
vào thông điệp đã đƣợc mã hoá, mọi sự thay đổi trên thông điệp sẽ bị phát hiện trong giai
đoạn kiểm tra. Ngoài ra, việc ký nhận này đảm bảo ngƣời nhận tin tƣởng thông điệp này
này xuất phát từ ngƣời gửi chứ không phải là ai khác.
3.3.2. Các bƣớc kiểm tra:
Bƣớc 1:
Ngƣời nhận dùng khóa bí mật của mình để giải mã thông tin
nhận đƣợc gồm 2 phần: Phần thông điệp và phần chữ ký ngƣời
gửi.
Bƣớc 2:
Dùng khóa công khai của ngƣời gửi (khoá này đƣợc thông báo
đến mọi ngƣời ) để giải mã chữ ký số của thông điệp ta đƣợc
bản tóm tắt.
Bƣớc 3:
Dùng giải thuật MD5 ( hoặc SHA) với thông điệp đính kèm ta
có bản tóm tắt.
Bƣớc 4:
So sánh kết quả thu đƣợc ở bƣớc 2 và 3 nếu trùng nhau, ta kết
luận thông điệp này không bị thay đổi trong quá trình truyền và
thông điệp này chính xác là của ngƣời gửi.
43
3.4. Tạo và thẩm định chữ ký số
Hình 1: Quá trình đăng ký, cấp và sử dụng chữ ký số
Hình 2: Quá trình ký và mã hóa dữ liệu
44
Thẩm định chữ ký số:
Hình 3: Thẩm định chữ ký số
Xác thực toàn vẹn của thông tin:
Hình 4: Xác thực tính toàn vẹn của thông tin
45
Chƣơng 3: AN TOÀN THÔNG TIN TRONG HẢI QUAN ĐIÊṆ TƢ̉
1. Thực trạng an toàn trong hải quan điện tử ở Việt Nam
1.1. Thực trạng an toàn thông tin ở Việt Nam
Tại Ngày An toàn thông tin Việt Nam 2009 tổ chức hôm 24/11 tại Hà Nội, Hiệp hội
An toàn thông tin Việt Nam (VNISA) đã công bố kết quả điều tra nghiên cứu thực trạng
an toàn thông tin (ATTT) tại Việt Nam từ cuối năm 2008 đến nay với sự tham gia khảo
sát của gần 500 tổ chức, DN trên phạm vi cả nƣớc.
Thời gian qua, hàng loạt các vấn đề liên quan đến ATTT đã liên tục xảy ra nhƣ
Hacker tấn công hệ thống website làm tê liệt mạng thông tin của Chính phủ Mỹ và Chính
phủ Hàn Quốc. Hàng loạt ngân hàng lớn trên thế giới bị mất cắp tiền qua mạng hay phát
hiện nhiều lỗ hổng lớn trong hệ thống DNS… Từ đó có thể thấy ngoài những cơ hội thì
thƣơng mại điện tử cũng mang đến nhiều rủi ro cho nền kinh tế và xã hội hiện đại.
Theo kết quả điều tra ở Việt Nam thì 58,89% ý kiến cho rằng, các cuộc tấn công mà
tổ chức hay gặp phải chủ yếu vẫn là hệ thống nhiễm phải virus hay worm (có thể tự lây
lan), hoặc hệ thống nhiễm phải trojan hay rootkit (không tự lây lan).
Tuy nhiên, khả năng nhận biết tấn công thấp và không rõ động cơ tấn công.
- 48% Tổ chức thừa nhận không rõ nguồn gốc địa chỉ IP tấn công xuất hiện từ đâu
- 73% Tổ chức không định lƣợng đƣợc thiệt hại khi bị tấn công
- 53% Tổ chức không có quy trình thao tác chuẩn để phản ứng lại những cuộc tấn
công đó.
Khi bị tấn công 45,77% thông báo cho lãnh đạo cấp cao của tổ chức, 64,14% thông
báo cho trung tâm tin học
Các công nghệ đƣợc sử dụng: Tƣờng lửa (60,93%); phần mềm chống vi rút
(83,09%); bộ lọc thƣ rác (50,15%). Trong đó 33% thừa nhận đang dùng tƣờng lửa của
hãng Cisco, Check Point (13%). 24 % tổ chức đang dùng phần mềm diệt virut của
Kasperky, Symantec (21%), BKV (16%), AVG (11%)...
Khảo sát cũng cho thấy vấn đề khó khăn nhất trong thực thi bảo vệ an toàn cho hệ
thống thông tin đó là việc nâng cao nhận thức cho ngƣời sử dụng về bảo mật máy tính
46
(43,73%), sự thiếu hiểu biết về ATTT trong tổ chức (46,06%), lãnh đạo chƣa hỗ trợ đúng
mức cần thiết cho ATTT (33,24%).
Thực tế đáng buồn là đa số ngƣời dùng cá nhân hay doanh nghiệp ở Việt Nam chƣa
ý thức đƣợc điều đó. Họ đang sống trong những ảo tƣởng mà có thể gây ảnh hƣởng rất
nghiêm trọng tới nguồn thông tin vô giá. Số liệu nghiên cứu chuyên nghiệp của hãng
CheckPoint cho thấy: Có tới 35% số ngƣời dùng cá nhân đƣợc hỏi tuyên bố bảo mật
thông tin không phải là "việc của tôi", trong khi 45% tự nhận mình không phải "mục tiêu
đáng giá" cho hacker. 52% đƣa ra một lập luận rất "vô tƣ" cho việc bảo mật hớ hênh là
"Tôi chƣa đủ nổi tiếng để bị hacker chú ý" hoặc "Bọn tội phạm mạng làm sao kiếm đƣợc
tiền từ thông tin cá nhân của tôi?".
(Theo khảo sát của VNISA về thực trạng ATTT ở Việt Nam năm 2008)
Trƣớc thực trạng nhƣ thế bộ Thông tin và Truyền thông đã trình lên Thủ tƣớng quy
hoạch ATTT với nhiều giải pháp đƣợc cho là thiết thực, khả thi và mang ý nghĩa dài hạn.
Tuy nhiên nỗ lực bảo vệ tài nguyên thông tin không thể chỉ xuất phát từ các nhà làm
chính sách, mà cần có sự hợp tác phối hợp, gắn kết chặt chẽ giữa 3 khối là Nhà nƣớc,
Doanh nghiệp/Tổ chức và các Cá nhân. Đƣơng nhiên HQĐT Việt Nam cũng là một thành
phần trong liên khối chặt chẽ đó.
1.2. Thực trạng an toàn trong hải quan điện tử
1.2.1. Quy trình thông quan điện tử
Vào các ngày 19/07/2005 và 22/06/2007, Bộ Tài Chính ra quyết định số
50/2005/QĐ-BTC và số 52/2007/QĐ-BTC, ban hành quy định “Quy trình thực hiện thí
điểm thủ tục HQĐT đối với hàng hóa xuất khẩu, nhập khẩu”. Về cơ bản qui trình có thể
đƣợc mô tả nhƣ sơ đồ 1:
Các bƣớc trong qui trình thủ tục HQĐT có thể đƣợc mô tả ngắn gọn nhƣ sau:
Bƣớc 1: Tiếp nhận hồ sơ điện tử
Doanh nghiệp khai HQĐT và truyền dữ liệu đến Chi cục HQĐT. Hệ thống xử lý dữ
liệu điện tử tiếp nhận tờ khai điện tử, kiểm tra điều kiện tham gia hệ thống của doanh
nghiệp, kiểm tra tính logic của các tiêu chí khai báo, kiểm tra việc khai và tính thuế,....
Kết thúc quá trình kiểm tra, phản hồi cho doanh nghiệp chi tiết tình trạng hiện tại của hồ
47
sơ (hợp lệ/không hợp lệ/,...). Nếu hồ sơ hợp lệ tờ khai điện tử sẽ đƣợc cấp số tờ khai chính
thức và đƣợc chuyển sang khâu phân luồng.
Bƣớc 2: Phân luồng hàng hóa
Trên cơ sở bộ tiêu trí QLRR và thông tin và hàng hóa XNK do doanh nghiệp khai
hải quan, hệ thống tự động phân luồng hàng hóa. Kết quả cho ra 3 luồng:
- Luồng xanh
- Luồng vàng
- Luồng đỏ
(Hệ thống chờ cán bộ hải quan phê duyệt phân luồng)
Bƣớc 3: Phê duyệt phân luồng
- Trên cơ sở kết quả phân luồng của hệ thống cán bộ hải quan có trách nhiệm kiểm
tra, điều chỉnh luồng (trong một số trƣờng hợp cần thiết) và phê duyệt kết quả phân luồng
(thực hiện trên máy tính).
- Thông báo hƣớng dẫn thủ tục HQĐT gồm thông tin phân luồng, số tờ khai, thông
báo thuế cho doanh nghiệp.
+ Đối với hàng hóa thuộc luồng xanh: Miễn kiểm tra; chấp nhận thông quan hàng
hóa. Chuyển sang bƣớc 5.
+ Đối với hàng hóa thuộc luồng vàng: Kiểm tra hồ sơ trƣớc khi thông quan (Kiểm
tra giấy phép XNK, kiểm tra việc áp mã, kiểm tra xác định trị giá tính thuế, ...). Chuyển
sang bƣớc 4.
+ Đối với hàng hóa thuộc luồng đỏ: Kiểm tra hồ sơ và thực tế hàng hóa trƣớc khi
thông quan. Chuyển sang bƣớc 4
Bƣớc 4: Chấp nhận thông quan
Cán bộ kiểm tra hồ sơ căn cứ trên kết quả kiểm tra hồ sơ và/ hoặc kiểm tra thực tế
hàng hóa chấp nhận cho thông quan.
Bƣớc 5: Xác nhận thực xuất/ thực nhập
Cán bộ giám sát căn cứ kết quả chấp nhận thông quan in lệnh thông quan từ hệ
thống, ký và đóng dấu xác nhận lên lệnh thông quan.
48
Thñ tôc h¶i quan ®iÖn tö
C
h
i
c
ô
c
h
¶
I
q
u
a
n
®
iÖ
n
t
ö
3.2. KiÓm tra hå s¬3.1. MiÔn kiÓm tra
4. ChÊp nhËn th«ng
quan
3.3. KiÓm tra hå s¬
vµ kiÓm tra thùc tÕ
hµng ho¸
3. DuyÖt ph©n luång
2. Ph©n luång
B¾t ®Çu
1. TiÕp nhËn, kiÓm tra
tù ®éng tê khai ®iÖn tö
5. X¸c nhËn thùc xuÊt/
nhËp
KÕt thóc
Hình 5: Quy trình trong HQĐT
49
Thông tin khai
của người khai
Hải quan
Công chức Hải
quan thực hiệm
nhiệm vụ kiểm
tra sơ bộ thông
tin khai
Thông tin khai
có cần kiểm tra sơ bộ ?
Cấp số và phân luồng
cho tờ khai
Chấp nhận
thông tin khai
Phàn hồi lý do về
cho người khai Hải
quan
Đúng
Không cần kiểm tra sơ bộ
Hình 6: Quá trình kiểm tra sơ bộ của cơ quan hải quan đối với thông tin khai
1.2.2. Hệ thống thông quan điện tử
- Các đối tƣợng tham gia hệ thống: Ngƣời khai hải quan: doanh nghiệp XNK, doanh
nghiệp khai thuế; Tổ chức truyền nhận dữ liệu điện tử (VAN); Cơ quan Hải quan.
- Chuẩn trao đổi dữ liệu điện tử giữa doanh nghiệp và hải quan: XML;
- Phƣơng tiện trao đổi: thông qua Internet.
50
Hình 7: Mô hình khái quát hệ thống TQĐT
- Từ trụ sở, doanh nghiệp khai tờ khai hải quan và thông tin về hàng hóa XNK qua
mạng Internet. Thông tin sẽ đƣợc đóng gói trƣớc khi gửi đến trung tâm xử lý dữ liệu của
tổ chức cung cấp dịch vụ truyền nhận dữ liệu HQĐT C-VAN;
- Tại trung tâm xử lý dữ liệu của của C-VAN dữ liệu đƣợc kiểm tra hợp chuẩn
(chuẩn này do hải quan công bố theo chuẩn WCO-Dataset version 2.0). Nếu đáp ứng dữ
liệu sẽ đƣợc gửi đến cơ quan Hải quan;
- Tại cơ quan hải quan dữ liệu đƣợc gải mã và đƣa vào xử lý trong hệ thống của hải
quan theo qui trình thủ tục nhƣ đã nêu.
51
Quy trình cụ thể nhƣ sau:
Hình 8: Trao đổi thông tin giữ doanh nghiệp, Cục và các chi cục hải quan
Hình 9: Quy trinh thực hiện đối với luồng xanh
52
Hình 10: Quy trình thực hiện đối với luồng vàng và đỏ
1.2.3. Mô hình phần mềm
Mô hình phần mềm của hệ thống thôgn quan điện tử đƣợc phân thành 3 lớp cụ thể:
- Lớp bên ngoài: bao gồm các chƣơng trình phần mềm của doanh nghiệp, các hệ
thống tiếp nhận của C-VAN;
- Lớp ngoài của hải quan: bao gồm các Webservice để tiếp nhận dữ liệu khai, các
CSDL tạm lƣu dữ liệu khai của doanh nghiệp, CSDL Log, CSDL phục vụ doanh nghiệp
tra cứu thông tin và các queue server để trả lời cho doanh nghiệp;
- Lớp trong của hải quan: bao gồm Web Server, các chƣơng trình ứng dụng hải
quan, CSDL chính lƣu thông tin khai của doanh nghiệp, các CSDL tác nghiệp.
53
Hình 11: Mô hình phần mềm của hệ thống
1.2.4. Vấn đề an toàn thông tin trong hải quan điện tử
Trong thời gian thực hiện thí điểm, Tổng cục Hải quan khuyến khích mọi doanh
nghiệp thuộc mọi thành phần kinh tế đăng ký tham gia thủ tục HQĐT nhƣng cần đáp ứng
đủ những điều kiện sau:
- Minh bạch trong tài chính: có xác nhận của Cơ quan Thuế nội địa trong việc chấp
hành tốt kê khai và nộp thuế theo quy định.
- Không vi phạm pháp luật hải quan quá 1 lần thuộc thẩm quyền xử phạt vi phạm
hành chính của Cục trƣởng Cục Hải quan tỉnh, liên tỉnh, thành phố trực thuộc trung ƣơng
trở lên trong thời gian một (01) năm, tính đến ngày đăng ký tham gia làm thủ tục HQĐT.
- Có kim ngạch xuất nhập khẩu và/ hoặc có lƣu lƣợng tờ khai đạt mức do Tổng cục
trƣởng Tổng cục Hải quan quyết định cụ thể theo từng giai đoạn thực hiện thí điểm thủ
tục HQĐT.
54
- Sẵn sàng nối mạng máy tính với Chi cục HQĐT hoặc sử dụng dịch vụ của Đại lý
làm thủ tục hải quan để làm thủ tục HQĐT.
Các doanh nghiệp đủ điều kiện sẽ đƣợc cấp tài khoản với Username và Password để
có thể sử dụng hệ thống TQĐT.
Sau khi có tài khoản, doanh nghiệp có hai cách để tiến hành kê khai hải quan:
- Truy cập website kê khai hải quan, sử dụng tài khoản đƣợc cấp để đăng nhập và
tiến hành kê khai. Sau khi kê khai thì dữ liệu sẽ đƣợc đóng gói và gửi đến cơ quan hải
quan.
- Sử dụng phần mềm kê khai, sau đó phần mềm sẽ đóng gói thông tin kê khai và gửi
đến cơ quan hải quan cũng với tài khoản doanh nghiệp đƣợc cấp
Với cả hai cách trên, dữ liệu mà doanh nghiệp gửi đến cơ quan hải quan đƣợc đóng
gói theo định dạng XML và có cấu trúc cụ thể nhƣ sau:
<Envelope xmlns:xsi=”
instance”>
1.00
1CC47F68-B4FE-451D-9B72
8E5632CABDB5
Ten cong ty
Ma so XNK
Chi cuc hai quan
55
Ma chi cuc
11
5
3DC58030-B6B8-45CB-9463-94C8FB76D44A
ECUS_KD</sendApplication
>
HQ-KTX2007
Trong đó:
- Thẻ định nghĩa thông tin về doanh nghiệp gửi dữ liệu gồm tên doanh
nghiệp và mã số xuất khẩu
- Thẻ định nghĩa thông tin về nơi mở tờ khai gồm tên chi cục và mã chi cục
- Thẻ định nghĩa loại dữ liệu gửi đến cơ quan hải quan nhƣ tờ khai, định
mức…
56
- Thẻ định nghĩa chức năng của message gửi đến cơ quan Hải quan
nhƣ khai hải quan, hủy khai báo…
- Thẻ định nghĩa số tham chiếu của chứng từ. Số tham chiếu do
chƣơng trình doanh nghiệp gửi lên hệ thống của Hải quan. Số tham chiếu xây dựng theo
quy định về GUID (Global Unique Identifier). Giá trị này có thể tạo ra bằng cách sử dụng
hàm System.GUID.New() trong Microsoft.Net hoặc hàm NewID() trong Microsoft SQL
Server.
- Thẻ thuộc thẻ định nghĩa toàn bộ nội dung chi tiết của chứng
từ gửi tới cơ quan Hải quan.
Có thể thấy ƣu điểm của việc đóng gói này là dữ liệu gửi đến cơ quan hải quan theo
cùng một chuẩn đảm bảo tính thống nhất trong toàn hệ thống hải quan. Vì thế cơ quan hải
quan có thể làm việc với dữ liệu này một cách dễ dàng.
Tuy nhiên quy trình nhƣ thế sẽ phát sinh những nguy hiểm đối với thông tin và dữ
liệu của doanh nghiệp và cơ quan Hải quan cụ thể nhƣ sau:
+ Đối với hình thức kê khai qua web: Khi doanh nghiệp đăng nhập vào hệ thống kê
khai HQĐT trên web khi đó một số thông tin khi đăng nhập sẽ đƣợc lƣu vào cookie.
Những thông tin này hoàn toàn có thể bị đánh cắp bởi những kẻ có ý đồ không tốt. Với
những thông tin có đƣợc thì chúng có thể đăng nhập vào hệ thống HQĐT, đánh cắp dữ
liệu và nguy hiểm hơn là tấn công vào toàn bộ hệ thống hải quan, khi đó thiệt hại là không
tƣởng.
+ Đối với cả hai hình thức kê khai bằng phần mềm và kê khai trên web: Doanh
nghiệp giao tiếp với cơ quan hải quan thông qua Internet. Khi doanh nghiệp gửi dữ liệu
tới cơ quan hải quan, thì dữ liệu đó sẽ đƣợc đi theo những con đƣờng ngẫu nhiên, từ
nguồn tới đích. Trên con đƣờng đó thì dữ liệu sẽ phải đi qua một số máy tính trung gian,
và chúng ta không thể đảm bảo đƣợc những máy tính trung gian đó là an toàn. Dữ liệu đó
hoàn toàn có thể bị đánh cắp hoặc làm sai lệch nội dung khi đó sự toàn vẹn, sự an toàn
của dữ liệu đã bị xâm phạm.
+ Đối với hình thức kê khai bằng phần mềm thì thông thƣờng sau khi kê khai doanh
nghiệp sẽ sau lƣu giữ liệu và cất giữ trong máy tính của mình. Doanh nghiệp có thể bị
đánh cắp những dữ liệu đó mà không hề hay biết bởi vì có những phần mềm gián điệp tự
57
động đƣợc cài vào máy tính của doanh nghiệp không ngoài ý định đánh cắp thông tin. Khi
đó không chỉ với thông tin hải quan mà mọi thông tin khác có trong máy tính của doanh
nghiệp đều có thể bị mất.
Với cả hai hình thức khai nhƣ trên thì dữ liệu của doanh nghiệp đều không đƣợc
đảm bảo bởi vì sự an toàn của dữ liệu chƣa đƣợc quan tâm đúng mức. Dữ liệu mà doanh
nghiệp và cơ quan hải quan trao đổi không đƣợc đảm bảo an toàn do hệ thống thông quan
xây dựng chƣa đƣợc hoàn thiện. Thành phần chứng thực trong hệ thống HQĐT chƣa
đƣợc triển khai vì thế dữ liệu không đƣợc mã hóa và không đảm bảo tính xác thực.
Nhìn vào mô hình phần mềm HQĐT trƣớc đây, có thể thấy vấn đề xác thực và đảm
bảo an toàn tthông tin đã đƣợc đề cập đến, tuy nhiên module thực hiện chức năng này lại
chƣa đƣợc triển khai bởi vì có những khó khăn nhất định:
- Môi trƣờng pháp lý chƣa hoàn thiện. Tuy Mới mẻ ở Việt Nam, nhƣng chữ ký số là
dịch vụ đƣợc sử dụng rất phổ biến ở các nƣớc có nền thƣơng mại điện tử phát triển. Nhật
Bản, Hàn Quốc, Singapore hay Malaysia đều đã ban hành Luật về chữ ký số và chứng
thực điện tử từ đầu những năm 2000. Trong khi đó, ở nƣớc ta Luật giao dịch điện tử năm
2006 và nghị định về chữ ký số ra đời năm 2007 đƣợc coi là bƣớc đi đầu tiên, đặt nền
tảng về pháp lý cho dịch vụ chữ ký số. Cần thiết phải có những hành lang pháp lý cụ thể
và hoàn thiện để chữ ký số có thể đi vào thực tế. Bên cạnh đó sự quản lý giữa các cấp các
ngành là chƣa đồng bộ.
- Vấn đề về con ngƣời: Hầu hết các doanh nghiệp đều quen với việc giao dịch đƣợc
diễn ra ở trên giấy tờ, vì thế việc chuyển đổi sang sử dụng chứng từ điện tử là cả một thay
đổi lớn. Bên cạnh đó ngƣời dùng còn mơ hồ về chữ ký điện tử, chƣa biết đƣợc lợi ích và
sự cẩn thiết của nó đối với các chứng từ, văn bản điển tử. Vì thế việc triển khai cũng gặp
nhiều khó khăn.
- Cơ sở hạ tầng hiện đại nhƣng chƣa đồng bộ, vì thế việc áp dụng toàn diện chữ ký
số vào thực tế và đặc biệt là ngành hải quan lại càng khó khăn hơn. Mặt khác chúng ta lại
chƣa đƣa ra đƣợc lộ trình, con đƣờng thực tế và khả thi để đƣa chữ ký số vào cuộc sống.
Giải quyết đƣợc các khó khăn trên thì việc áp dụng chữ ký số vào HQĐT sẽ đơn
giản, dễ dàng hơn và đó chính là phƣơng thức hữu hiệu để phòng chống nhiều loại tội
phạm nguy hiểm nhƣ ma túy, buôn lậu, vận chuyển vũ khí… đặc biệt là hoàn thành việc
hiện đại hóa ngành hải quan, đáp ứng đủ các tiêu chuẩn để có thể liên kết với hải quan
58
trong khu vực và trên toàn thế giới, tạo thành một hệ thống thống nhất và an toàn… Phát
triển ngành hải quan chính là chìa khóa quan trọng để phát triển nền kinh tế của đất nƣớc
trong giai đoạn hội nhập và phát triển cùng với nền kinh tế thế giới.
3. Giải pháp an toàn trong hải quan điện tử
3.1. Các giải pháp đƣợc áp dụng trong HQĐT ở một số nƣớc phát triển.
Với sự lan rộng ngày càng mạnh mẽ của xu thế toàn cầu hóa và tự do hóa thƣơng
mại, vai trò của cơ quan hải quan đang ngày càng trở nên quan trọng hơn đối với phát
triển kinh tế và an ninh quốc gia. Xác định đƣợc một cách đầy đủ vai trò đó, Hải quan
Hàn Quốc đã và đang nỗ lực hết mình để hoàn thành tốt nhiệm vụ của “ngƣời chiến sĩ
trên mặt trận kinh tế” nhằm tạo thuận lợi cho thƣơng mại, bảo vệ an ninh cộng đồng và
thúc đẩy môi trƣờng đầu tƣ thƣơng mại lành mạnh. Để thực hiện điều này, Hải quan Hàn
Quốc đã đã tƣ xây dựng hệ thống HQĐT theo mô hình trao đổi dữ liệu điện tử EDI
(Electronic Data Interchange). Đối với hệ thống này thì dữ liệu trao đổi trong hệ thống
đƣợc thống nhất theo cùng một chuẩn, đƣợc mã hóa, đƣợc xác thực bằng chữ kỹ diện tử.
Bên cạnh đó mọi giao dịch, mọi trao đổi diễn ra trong hệ thống đều đƣợc quản lý, giám
sát. Chính vì vậy dữ liệu khi trao đổi đƣợc đảm bảo về tính an toàn, tính toàn vẹn và tính
xác thực.
Cũng với mô hình EDI thì Hải quan Thái Lan cũng đã xây dựng đƣợc hệ thống
HQĐT hiện đại, giảm thời gian tiết kiệm chi phí và giảm khối lƣợng công việc đáng kể
đối với các nhân viên. Hải quan Thái Lan đã chuyển đổi EDI sang quan điểm triết lý hệ
thống mở, có nghĩa là hệ thống dữ liệu phải đƣợc trao đổi bằng nhiều phƣơng tiện với tất
cả khách hàng (kể cả những ngƣời làm kinh doanh và phi kinh doanh), với các đối tác
(các cơ quan chính phủ, kể cả trong và ngoài nƣớc) và các nhân viên. Dự án yêu cầu phải
tái thiết kế tất cả các ứng dụng dựa trên Web, áp dụng ebXML nhƣ một thông điệp chuẩn.
Singapore là một nƣớc có ngành hải quan phát triển, hiện đại không chỉ so với các
nƣớc trong khu vực Đông Nam Á mà còn phát triển so với các nƣớc trên toàn thế giới.
Singapore đã nhận thức đƣợc sự quan trọng của CNTT đối với mọi lĩnh vực đặc biệt là
Thuế và Hải quan. Chính vì thế Singapore đã triển khai nhiều dự án, xây dựng đƣợc các
hệ thống hoàn chỉnh nhƣ:
- Hệ thống quan điện tử
59
- Hệ thống thông quan trƣớc đối với vận chuyển hàng chuyển phát nhanh
- Hệ thống TQĐT đối với container
- Hệ thống xác định mục tiêu trọng điểm
- Hệ thống nộp thuế và lệ phí điện tử
- Mở rộng kết nối thông qua mạng giá trị gia tăng
- Hệ thống tự tính, tự nộp thuế
Các hệ thống trên không chỉ mang đến sự tiện lợi cho khách hàng, giảm thiểu công
việc cho các nhân viên mà còn đảm bảo đƣợc sự an toàn cho các thông tin đƣợc khách
hàng cung cấp. Điểm chung của các hệ thống trên là đều sử dụng hệ thống xác thực điện
tử đối với mọi thông tin kê khai.
3.2. Xây dựng giải pháp an toàn trong Hải quan điện tử Việt Nam
Do thủ tục HQĐT đƣợc thực hiện dựa trên hệ thống công nghệ thông tin, vì vậy,
việc đảm bảo kỹ thuật cho hệ thống vận hành liên tục 24 giờ trong ngày là rất quan trọng,
một trục trặc nhỏ trong hệ thống cũng có thể gây đình trệ hoạt động của hải quan và gây
trở ngại lớn cho hoạt động xuất nhập khẩu của doanh nghiệp. Do vậy, việc xây dựng một
giải pháp tổng thể về an ninh an toàn cho toàn ngành là rất cần thiết.
Nhìn vào ngành Hải quan các nƣớc trong khu vực cũng nhƣ trên toàn thế giới nói
riêng, cũng nhƣ toàn bộ những lĩnh vực đƣợc áp dụng công nghệ thông tin trên toàn thế
giới nói chung, chúng ta có thể thấy đƣợc ƣu điểm của mô hình trao đổi dữ liệu điện tử
EDI. Đó là việc trao đổi dữ liệu nhanh chóng, an toàn và thống nhất theo cùng một chuẩn
và có thể kiểm soát đƣợc mọi hoạt động trong hệ thống.
Hải quan điện tử Việt Nam cần phải triển khai xây dựng hệ thống thông quan điện tử
một cách hoàn thiện theo mô hình này, đặc biệt là chức năng an toàn đối với dữ liệu đƣợc
trao dổi trong hệ thống. Hệ thống có thể đƣợc xây dựng nhƣ sau:
60
Hình 12: Mô hình kiến trúc hệ thống thông quan điện tử
Doanh nghiệp Cục hải quan Chi cục hải quan
Client
SLXNK
MSQueue
KDTMSGC2
SLXNK
TQDTPhanLuong TQDTXuLyMsgCuc
KDTServiceCuc KDTTransportCuc
ThongQuanDienTu1 TQDTCuc
KDTService
KDTMSGC1
QLRR_Cuc ThongQuanDienTu2 SLXNK QLRR_CC
SXXKGTT22
KeToan559
KDTTransportChiCuc KDTServiceChiCuc
TQDTPhanLuongChiCuc
TQDTXuLyMsgChiCuc
TQDTReNhanh
Hình 13: Mô hình hệ thống thông quan điện tử
61
Trong đó:
Doanh nghiệp
Client: Chƣơng trình client dùng để soạn dữ liệu, gửi và nhận dữ liệu với hải quan
(thông qua webservice KDTService)
Cục hải quan
KDTService: Webservice có nhiệm vụ tiếp nhận và xử lý các yêu cầu do client của
doanh nghiệp gửi đến. Các loại yêu cầu gồm:
Các yêu cầu gửi dữ liệu: webservice ghi message vào db KDTMSGC1
Các yêu cầu lấy thông tin phản hồi: webservice lấy message từ db KDTMSGC1 trả
về.
KDTServiceCuc: Định kỳ lấy các message mới do doanh nghiệp gửi đến trong db
KDTMSGC1 xử lý và lƣu kết quả vào db ThongQuanDienTu1.
TQDTPhanLuong: Định kỳ lấy các chứng từ chƣa phân luồng trong db
ThongQuanDienTu1 phân luồng, ghi chứng từ và kết quả phân luồng vào db TQDTCục
đồng thời lƣu message vào db KDTMSGC1 để gửi xuống chi cục.
TQDTXuLyMsgCuc: Định kỳ lấy các message mới do chi cục gửi lên trong db
KDTMSGC1 xử lý và lƣu kết quả vào db TQDTCuc.
KDTTransportCuc: Định kỳ lấy các message cần gửi xuống chi cục trong db
KDTMSGC1 đƣa vào queue, đồng thời lấy các message do chi cục gửi lên trong queue
ghi vào db KDTMSGC1.
Chƣơng trình SLXNK: Là chƣơng trình winform cung cấp các chức năng để cán bộ
hải quan cấp cục thực hiện thông quan tờ khai.
Db KDTMSGC1: Lƣu các loại message sau:
Message doanh nghiệp gửi hải quan
Message hải quan phản hồi cho doanh nghiệp
Message gửi chi cục hải quan
Message nhận đƣợc của chi cục hải quan
62
Db ThongQuanDienTu1: Lƣu các chứng từ của doanh nghiệp gửi hải quan do
service TQDTPhanLuong phân tích các message ra.
Db TQDTCuc: Lƣu dữ liệu nghiệp vụ phục vụ công việc của các cán bộ thông quan
điện tử ở cấp cục.
Db QLRR_Cuc: Lƣu dữ liệu profile rủi ro phục vụ việc phân luồng các chứng từ.
MSQueue: thực hiện việc truyền, nhận message giữa cục hải quan với các chi cục
hải quan.
Chi cục hải quan
KDTTransportChiCuc: Định kỳ lấy các message cần gửi lên cục trong db
KDTMSGC2 đƣa vào queue, đồng thời lấy các message do cục gửi xuống trong queue ghi
vào db KDTMSGC2.
KDTServiceCuc: Định kỳ lấy các message mới của doanh nghiệp do cục chuyển
tiếp xuống trong db KDTMSGC2 xử lý và lƣu kết quả vào db ThongQuanDienTu2.
TQDTReNhanh: Định kỳ lấy các chứng từ mới trong db ThongQuanDienTu2 thực
hiện phân loại theo danh sách doanh nghiệp khai tốt, ghi kết quả vào db SLXNK.
TQDTPhanLuongChiCuc: Định kỳ lấy các chứng từ chƣa phân luồng trong db
SLXNK phân luồng, ghi chứng từ và kết quả phân luồng vào db SLXNK đồng thời lƣu
message phản hồi vào db KDTMSGC2 để gửi lên cục.
KDTXuLyMsgChiCuc: Định kỳ lấy các message mới của cục gửi chi cục xử lý và
lƣu kết quả vào db SLXNK.
Chƣơng trình SLXNK: Là chƣơng trình winform cung cấp các chức năng để cán bộ
hải quan cấp chi cục thực hiện thông quan tờ khai.
Db KDTMSGC2: Lƣu các loại message sau:
Message doanh nghiệp gửi hải quan
Message hải quan phản hồi cho doanh nghiệp
Message gửi cục hải quan
Message nhận đƣợc của cục hải quan
63
Db ThongQuanDienTu2: Lƣu các chứng từ của doanh nghiệp gửi hải quan do
service TQDTPhanLuongChiCuc phân tích các message ra.
Db SLXNK: Lƣu dữ liệu nghiệp vụ phục vụ công việc của các cán bộ thông quan
điện tử ở cấp chi cục.
Db QLRR_CC, KeToan559, GTT22, SXXK: Là các database của các hệ thống hải
quan liên quan phục vụ công việc của các cán bộ thông quan điện tử ở cấp chi cục.
Các dữ liệu hay các message đƣợc trao đổi trong hệ thông sẽ đƣợc mã hóa và xác
thực bằng chữ ký điện tử. Để thực hiện đƣợc điều này Hải quan Việt Nam cần xây dựng
đƣợc một mô hình chứng thực điện tử theo mô hình CA mà cụ thể là mô hình dạng cây
hay còn gọi là Root Model:
RootCA
Cuc HQ
Sub CA1
User
Cuc HQ
Sub CA2
Cuc HQ
Sub CA3
User UserUser User User
Cuc HQ
Sub CAi
Cuc HQ
Sub CAn
User User UserUser
Hình 14: Mô hình hệ thống CA dạng cây
Mô hình này cho phép xây dựng một hệ thống CA dạng hình cây với một gốc duy
nhất gọi là Root CA, dƣới RootCA có thể là các Sub CA(các Cục HQ) và dƣới các Sub
CA lại có thể là các Sub CA khác (Chi cục HQ). Thông thƣờng khi Root CA đã có các
Sub CA thì nó không trực tiếp cấp chứng chỉ số (DC – Digital Certificate) cho ngƣời
dùng cuối (các công ty, doanh nghiệp). Root CA chỉ cấp DC cho các Sub CA còn các Sub
CA cấp DC trực tiếp cho ngƣời dùng cuối.
Với mô hình dạng cây sẽ đảm bảo sự quản lý thống nhất trong toàn ngành hải quan
bao gồm:
- Thống nhất về chuẩn khoá (khoá 2 cặp);
64
Tờ khai hải
quan
Tờ khai hải
quan
Mã hóa Giải mã
Dữ liệu đã
được mã hóa
Hệ thống
quản lý khóa
Khóa mã hóa Khóa giải mã
- Thống nhất về độ dài khoá;
- Thống nhất về việc sử dụng các thuật toán;
- Tổng cục là đơn vị quyết định việc cấp, cập nhật và thu hồi khoá của các Cục;
- Thống nhất việc tin cậy với các hệ thống CA khác ngoài ngành khi có nhu cầu.
- Việc Tổng cục hải quan quản lý các chính sách cơ bản này không làm giảm khả
năng chủ động của các Cục hải quan địa phƣơng. Các Cục là các đơn vị trực tiếp quản lý
chứng chỉ ngƣời dùng, cung cấp các dịch vụ cho các ứng dụng của đơn vị mình (tuy nhiên
phải đảm bảo tuân thủ việc cấp DC dùng chung giữa các Cục).
Để sử dụng đƣợc chữ ký điện tử vào kê khai hải quan, doanh nghiệp cần đăng ký với
Tổng cục hải quan thông qua các Cục và chi Cục. Sau đó doanh nghiệp sẽ đƣợc cấp chữ
ký số. Sau khi kê khai doanh nghiệp tiến hành ký và mã hóa dữ liệu sau đó gửi đến cơ
quan hải quan. Với thao tác nhƣ vậy thì dữ liệu của doanh nghiệp đƣợc đảm bảo toàn vẹn
và có tính xác thực.
Cơ quan hải quan sau khi nhận đƣợc giữ liệu sẽ giải mã dữ liệu đó, lấy chữ ký trong
giữ liệu và xác thực ngƣời gửi. bên cạnh đó cũng có thể dựa vào bản tóm lƣợc của dữ liệu
để kiểm tra tính toàn vẹn của dữ liệu.
Cơ quan Hải quan sau khi thẩm định tờ khai, cũng sẽ sử dụng chữ ký điện tử để ký
vào thông tin phản hồi cho doanh nghiệp. Dựa vào chữ ký đó doanh nghiệp có thể tin
tƣởng đó là thông tin chính xác của cơ quan Hải quan và có thể hoàn toàn yên tâm.
3.3. Đánh giá
Thủ tục HQĐT ra đời ở Việt Nam mang đến nhiểu lợi ích cho cả doanh nghiệp và
cơ quan Hải quan. Tuy nhiên vì mới chỉ trong thời gian triển khai thí điểm nên hệ thống
HQĐT còn nhiều thiếu xót cả về hệ thống cũng nhƣ cách thức hoạt động. Một điểm cần
phải lƣu ý đó chính là tính bảo mật của dữ liệu trong hệ thống chƣa đƣợc nâng cao.
65
Những kẻ xấu có thể dựa vào điểm yếu này để lấy cắp, làm sai lệch dữ liệu làm ảnh
hƣởng tới doanh nghiệp và cơ quan Hải quan.
Để khắc phục yếu điểm này, việc áp dụng chữ ký điện tử là một biện pháp hữu hiệu.
Với chữ ký điện tử, doanh nghiệp có thể yên tâm là dữ liệu của mình đƣợc bảo vệ an toàn,
đảm bảo tính toàn vẹn cũng nhƣ tính xác thực. Với chữ ký điện tử thì trách nhiệm của
doanh nghiệp cũng nhƣ cơ quan Hải quan cũng đƣợc nâng cao hơn đối với những dữ liệu
gửi đi. Bên cạnh đó ngành Hải quan có thể đối phó với các loại tội phạm khủng bố quốc
tế, buôn lậu, vâṇ chuyển ma túy, vũ khí và các hoạt động rửa tiền dƣới mọi hình thức…
Chữ ký điện tử đã đƣợc áp dụng trên thế giới trên dƣới 10 năm, tuy nhiên ở Việt
Nam việc triển khai chữ ký điện tử mới đang ở giai đoạn bắt đầu và cũng đã đạt đƣợc kết
quả tốt ở một số ngành nhƣ ngân hàng, kho bạc.... Chữ ký điện tử đã và đang mang lại lợi
ích cũng nhƣ những tác tác dụng hiệu quả tới sự phát triển trong mọi lĩnh vự trên toàn thế
giới. Riêng với ngành hải quan và đặc biệt là HQĐT ở Việt Nam, việc triển khai chữ ký
điện tử là rất cần thiết và cần phải triển khai ngay. Đó chính là một bƣớc quan trọng trong
công cuộc hiện đại hóa ngành hải quan, đảm bảo đáp ứng đủ tiêu chuẩn đặc biệt là tiêu
chuẩn an toàn để có thể yên tâm kết nối với hệ thống Hải quan hiện đại trong khu vực và
trên toàn thế giới. Đó chính là nhiệm vụ chiến lƣợc trong công cuộc xây dựng và phát
triển đất nƣớc trong thời kỳ hội nhập.
66
Chƣơng 4: PHẦN MỀM ỨNG DỤNG
1. Gới thiệu về phần mềm ký điện tử GnuPG
Chƣơng trình GNU Privacy Guard (GnuPG hay là GPG) là một phần mềm tự do
đƣợc viết nhằm mục đích thay thế bộ phần mềm mật mã hóa PGP và đƣợc phổ biến với
giấy phép GNU General Public Licence. Chƣơng trình GPG nằm trong dự án GNU của
Tổ chức Phần mềm Tự do (Free Software Foundation). Chƣơng trình GPG hoàn toàn tuân
theo các tiêu chuẩn OpenPGP của IETF và đƣợc sự ủng hộ của chính phủ Đức. Các phiên
bản hiện hành của bộ phần mềm PGP (và chƣơng trình Filecrypt của hãng Veridis) có thể
hoạt động chung với GPG và các hệ thống tuân theo tiêu chuẩn OpenPGP khác. Mặc dù
một số phiên bản cũ của bộ phần mềm PGP cũng có thể hoạt động chung với PGP, một
phần các khả năng đặc trƣng của các phiên bản mới không đƣợc hỗ trợ. Vì lý do này,
ngƣời sử dụng cần lƣu ý các điểm xung khắc đó để có thể tránh chúng.
Vào lúc đầu, GnuPG đƣợc phát triển Werner Koch. Phiên bản 1.0.0 đƣợc phát hành
vào ngày 7 tháng 9 năm 1999. Bộ Liên Bang Kinh Tề và Kỹ Thuật của nƣớc Đức cung
cấp chi phí cho việc thi hành tài liệu của chƣơng trình và mang chƣơng trình qua hệ điều
hành Microsoft Windows vào năm 2000.
Chƣơng trình GnuPG tuân theo tiêu chuẩn OpenPGP, do đó lịch sử của OpenPGP
không kém phần quan trọng trong quá trình phát triển của GnuPG.
Phiên bản 1.4.5 trong nhánh ổn định của chƣơng trình GnuPG đƣợc phát hành vào
ngày 1 tháng 8 năm 2006. Phiên bản 1.9.20 trong nhánh đang phát triển của chƣơng trình
GnuPG với hỗ trợ S/MIME đƣợc phát hành vào ngày 20 tháng 12 năm 2005.
2. Hƣớng dẫn cài đặt và sử dụng phiên bản đồ họa GPA trong Ubuntu
GNU Privacy Assistant một chƣơng trình GnuPG với giao diện đồ hoạ ngƣời dùng
thân thiện. Với GPA bạn có thể xem Keyring của mình, xuất và nhập Key, tạo Key, Chỉnh
sửa Key...Và tất cả các tính năng mà phiên bản GnuPG chuẩn ở dạng dòng lệnh có thể
làm đƣợc.
67
2.1 Cài đặt
2.1.1. Cài đặt từ gói đƣợc xây dựng sẵn
- Trong cửa sổ terminal gõ lệnh: sudo apt-get install gpa
Nên nhớ rằng lúc này máy tính phải đƣợc kết nối internet
2.1.2. Cài đặt từ mã nguồn
- Trong cửa sổ teminal ta chuyển đến thƣ mục chứa mã nguồn của GPA sau đó gõ
lệnh:
./configure
make
make install
2.1.3. Cài đặt gói ngôn ngữ
Sau khi quá trình cài đặt đƣợc hoàn thành, ta tiến hành dịch file ngôn ngữ
- Vào trong thƣ mục file ngôn ngữ giả sửa là /home/username/gpalanguage:
cd /home/usrename/gpalanguage
- Dịch file ngôn ngữ bằng lệnh
Msgfmt –o vi.mo vi.po
Lúc này file vi.mo sẽ đƣợc tạo ra ta copy file này vào thƣ mục
/usr/share/locale/vi/LC_MESSAGES và đổi tên thành gpa.mo bằng lệnh:
sudo cp vi.mo /usr/share/locale/vi/LC_MESSAGES/gpa.mo
Lúc này việc cài đặt chƣơng trình đã hoàn thành.
2.2 Hƣớng dẫn sử dụng
Để khởi động chƣơng trình chúng ta nhấn tổ hợp phím alt F2 và gõ vào gpa sau đó
nhấn phím enter, chƣơng trình sẽ bắt đầu hoạt động.
2.2.1. Cấu hình sử dụng phần mềm
Chƣơng trình sẽ cung cấp cho chúng ta hai tùy chọn sử dụng là thông thƣờng và
nâng cao và mặc định khi chạy chƣơng trình ban đầu sẽ là chế độ thông thƣờng. Với chế
68
độ nâng cao chúng ta sẽ có thêm những tùy chỉnh khi tạo khóa nhƣ chọn thuật toán mã
hóa…
Hình 15: Thiết lập chế độ làm việc của phần mềm GPA
Để thiết lập chế độ nâng cao ta chọn menu Chỉnh sửa/Tùy thích sau đó cửa sổ tùy
chỉnh sẽ hiện ra. Ta đánh dấu vào mục dùng hệ nâng cao. Chọn OK
2.2.2. Tạo khóa
Để tạo một khóa mới bạn bấm Ctrl N hoặc vào menu Khóa chọn Khóa mới
Hình 16: Nhập thông tin để tạo khóa
69
Sau khi nhập đầy đủ các thông tin ta chọn OK, chƣơng trình sẽ yêu cầu chúng ta
nhập vào mật khẩu sau đó xác nhận lại mật khẩu một lần nữa. Sau khi hoàn thành thì
chƣơng trình bắt đầu quá trình tạo khóa.
Hình 17: Quá trình tạo khóa, người dùng di chuột hoặc chơi game để tăng tính ngẫu nhiên cho khóa
Khi quá trình tạo khóa diễn ra, chúng ta sẽ thực hiện thao tác di chuột hoặc chơi
games để tăng tính ngẫu nhiên cho khóa đƣợc tạo.
Sau khi khóa đƣợc tạo ra, chúng ta có thể sao lƣu khóa bí mật cũng nhƣ xuất khóa
công khai ra để gửi cho ngƣời khác hoặc gửi lên máy chủ lƣu giữ khóa.
70
2.2.3. Quản lý khóa
Sau khi tạo mới khóa thì giao diện chính của chƣơng trình là giao diện quản lý khóa
Hình 18: Quản lý khóa
- Nhập khóa: Để nhập khóa từ một file chúng ta chọn menu Khóa/ Nhập khóa sau đó
tìm đến file lƣu giữ khóa và chọn OK. Lúc này khóa đƣợc lƣu trong file đó sẽ đƣợc cập
nhật
- Xuất khóa: Để xuất khóa công khai ta chọn khóa cần xuất sau đó chọn menu
Khóa/Xuất khóa. Ta nhập tên file lƣu giữ khóa rồi chọn Lƣu.
- Xóa khóa: Chọn khóa cần xóa rồi chọn menu Khóa/Xóa khóa
71
- Gửi khóa lên máy chủ: Ta chọn khóa cần gửi lên máy chủ rồi chọn menu Máy
chủ/Gửi khóa
- Lấy khóa từ server: Để lấy khóa từ máy chủ ta chọn menu Máy chủ/Lấy khóa rồi
nhập vào ID của khóa rồi chọn OK. Nếu khóa đó có trên máy chủ thì sẽ đƣợc lấy về.
- Thiết lập độ tin cậy đối với khóa: Chọn khóa rồi chọn menu Khóa/Chủ sở hữu.
Chúng ta có thể chọn các mức độ tin cậy đối với khóa.
2.2.4. Sử dụng khóa
Sau khi tạo hoặc nhập khóa vào chƣơng trình, chúng ta có thể sử dụng khóa đó để
ký hoặc mã hóa các tập tin
Hình 19: Sử dụng khóa
Để mã hóa các tập tin ta chọn menu Cửa sổ/Quản lý tập tin
72
- Mở tập tin cần thao tác: Chọn menu Tập tin/Mở hoặc bấm tổ hợp phím Ctrl + O
- Ký tập tin: Chọn tập tin cần ký rồi chọn menu Tập tin/Ký
Hình 20: Ký tài liệu
Giao diện ký tập tin hiện ra, chúng ta có thể chọn khóa để ký, có các tùy chọn là Ký
và nén hoặc có thể tách riêng phần chữ ký ra. Để mã hóa ta có thể chọn chức năng Bảo
vệ. Sau đó nhấn OK để ký
- Kiểm tra chữ ký: Để kiểm tra chữ ký của một tập tin ta bấm Ctrl O để mở tập tin
cần kiểm tra chữ ký. Sau đó chọn tập tin đó rồi chọn menu Tập tin/Kiểm tra.
73
Hình 21: Kiểm tra chữ ký
Nếu nhƣ khóa công khai của ngƣời ký đã đƣợc nhập trong danh sách khóa của
chúng ta thì thông tin về ngƣời ký sẽ hiện lên. Nếu chƣa đƣợc nhập thì chúng ta có thể lấy
ID của khóa để truy cập vào máy chủ và lấy khóa về.
74
- Mã hóa các tập tin: Để mã hóa các tập tin ta chọn tập tin cần mã hóa rồi chọn menu
Tập tin/Mã hóa
Hình 22: Mã hóa tài liệu
Chúng ta chọn khóa để ký và mã hóa. Nếu chọn khóa công khai của một ngƣời nào
đó thì ngƣời đó có thể dùng khóa bí mật của họ để giải mã. Sau khi chọn khóa ta bấm OK
để mã hóa.
- Giải mã: Để giải mã một tập tin đã đƣợc mã hóa, ta chọn menu Tập tin/Giải mã
Trên đây là một số chức năng chính của chƣơng trình mà tôi giới thiệu để minh họa
cho chữ ký số. Các chức năng này hoàn toàn có thể đƣợc xây dựng và áp dụng phù hợp
vào hệ thống HQĐT để nâng tính bảo mật cũng nhƣ tính xác thực của dữ liệu trong toàn
hệ thống. Trong thời gian sắp tới tôi sẽ tiếp tục nghiên cứu để có thể phát triển chƣơng
trình này và áp dụng vào các lĩnh vực khác.
75
KẾT LUẬN
Công cuộc cải cách theo hƣớng hiện đại hoá hải quan ở nƣớc ta đang là mối quan
tâm hàng đầu không chỉ của Chính phủ, Lãnh đạo Tổng cục Hải quan, các doanh nghiệp
hoạt động trong lĩnh vực xuất nhập khẩu mà còn là mối quan tâm của toàn xã hội thậm chí
của cả các quốc gia có mối quan hệ giao lƣu thƣơng mại, đầu tƣ với Việt Nam. Để tạo
điều kiện thuận lợi cho hoạt động ngoại thƣơng, thu hút đầu tƣ nƣớc ngoài, thúc đẩy phát
triển kinh tế, tạo ra nền tảng cơ bản nhằm thúc đẩy tiến trình chủ động hội nhập kinh tế
quốc tế, nhanh chóng theo kịp các nƣớc thành viên khác trong WTO, ... thì việc hiện đại
hóa hải quan (với bƣớc đầu là thủ tục HQĐT) với mục tiêu đơn giản hoá thủ tục, tạo môi
trƣờng thông thoáng đồng thời đảm bảo quản lý nhà nƣớc về hải quan chặt chẽ, thống
nhất, phù hợp với yêu cầu phát triển đất nƣớc là một yêu cầu bức bách.
Cho đến thời điểm hiện nay, việc triển khai thủ tục HQĐT đã mang lại những kết
quả đáng ghi nhận. Đó là việc thay thế các giấy tờ thủ tục truyền thống bằng việc trao đổi
thông tin ở dạng điện tử. Tuy nhiên vẫn còn tồn tại nhiều vấn đề cần đƣợc xử lý, đó là các
vấn đề tổ chức, nghiệp vụ, các văn bản hƣớng dẫn, sự phối hợp giữa các đơn vị… Bên
cạnh đó là các vấn đề về kỹ thuật nhƣ phần mềm kê khai, phần mềm tiếp nhận và đặc biệt
là tính bảo mật, an toàn và xác thực của dữ liệu trao đổi trong hệ thống HQĐT. Vấn đề an
toàn thông tin chính là vấn đề quan trọng hàng đầu cần đƣợc giải quyết trong nhiệm vụ
hoàn thiện hệ thống HQĐT.
Qua nghiên việc nghiên cứu đề tài, chúng ta đã để cập tới các giải pháp nhằm giải
quyết vấn đề an toàn thông tin trong HQĐT. Các giải pháp này đã đƣợc triển khai ở nhiều
lĩnh vực trên thế giới hàng chục năm nay và đã mang lại những lợi ích to lớn đặc biệt là
đối với thƣơng mại điện tử. Với thực tế ở Việt Nam trong thời điểm này thì việc triển khai
các phƣơng án này là hoàn toàn khả thi. Tuy nhiên, để triển khai tốt phƣơng án đã đề cập
tới chúng ta cần giải quyết tốt các vấn đề sau:
- Thay đổi mô hình triển khai mở rộng thủ tục HQĐT theo hƣớng hiện đại mà các
nƣớc trong khu vực cũng nhƣ trên thế giới đang thực hiện: Có sự tham gia của trung tâm
dữ liệu, khối khai và kiểm tra hồ sơ tập trung, khối kiểm tra thực tế hàng hóa.
- Hoàn thiện và nâng cấp hệ thống xử lý dữ liệu thông quan điện tử để xử lý tờ khai
một cách tự động với tốc độ cao, tạo điều kiện tiếp nhận và xử lý khối lƣợng lớn hồ sơ
khai khi số lƣợng doanh nghiệp cũng nhƣ tờ khai tăng lên. Bên cạnh đó, cần khẩn trƣơng
76
triển khai hoàn thành hạ tầng mạng, nâng cấp bổ sung một cách đồng bộ các hệ thống
thiết bị máy móc, đƣờng truyền tại các điểm tiếp nhận và làm thủ tục tại các chi cục hải
quan cử khẩu để có thể xử lý công việc một cách dễ dàng, thông suốt và liên tục nhằm
thông quan hàng hóa cho doanh nghiệp một cách nhanh nhất.
- Hoàn chỉnh việc chuẩn hóa các danh sách mặt hàng, các danh mục , biểu thuế và
bột tiêu chí QLRR để đƣa vào hệ thống, cung cấp thông tin phục vụ cho quy trình phân
luồng hàng hóa nhanh chóng và tự động.
- Hoàn thiện phần mềm thông quan điện tử với đầy đủ các tính năng khai báo, mã
hóa, ký điện tử đối với các dữ liệu đƣợc tạo ra và trao đổi an toàn với hệ thống thông quan
điện tử.
- Ban hành hệ thống văn bản hƣớng dẫn đầy đủ và cụ thể cho các doanh nghiệp, Cục
và các Chi cục Hải quan trong việc khai báo HQĐT và công tác kiểm tra sau thông quan.
Trong các văn bản đó cũng cần phải quy định rõ các quyền hạn và trách nhiệm của các
đơn vị nghiệp vụ.
- Tăng cƣờng sự phối hợp đồng bộ giữa các đơn vị, giữa các cơ quan cũng nhƣ giữa
Hải quan và các Bộ ngành khác có liên quan để phát huy tính hiệu quả và các tính năng
ƣu việt của hệ thống khai báo HQĐT.
- Đảm bảo phát triển nguồn nhân lực, tăng cƣờng đào tạo nâng cao cho các cán bộ
chuyên trách về CNTT, nắm đƣợc các kiến thức công nghệ thông tin hiện đại để có thể
triển khai áp dụng vào thực tế. Đây cũng là yêu cầu cấp bách trong bối cảnh hội nhập khu
vực và quốc tế. Ngoài ra để thủ tục HQĐT đƣợc mở rộng có hiệu quả thì cần có sự đồng
bộ về cơ chế, chính sách của nhà nƣớc và quan trọng là có sự ủng hộ của các doanh
nghiệp làm thủ tục hải quan.
Trên đây là một số đề xuất nhằm xây dựng hệ thống HQĐT hoàn thiện và hiện đại,
và an toàn. Hy vọng trong thời gian sắp tới, các thiếu sót của hệ thống có thể đƣợc giải
quyết triệt để nhằm đáp ứng đƣợc những tiêu chuẩn quốc tế và có thể kết nối với hệ thống
hải quan trong khu vực cũng nhƣ trên toàn thế giới. Đó chính là nhiệm vụ trọng tâm của
ngành hải quan Việt Nam trong thời kỳ hội nhập và phát triển đất nƣớc.
77
TÀI LIỆU THAM KHẢO
[1] Ban Cơ yếu Chính Phủ. Nghiên cứu, xây dựng giải pháp bảo mật thông tin trong
thƣơng mại điện tử. Báo cáo đề tài nhánh. Hà Nội, 2004
[2] Lê Đức Thành. Thƣơng mại điện tử. Tiểu luận. Hà Nội, 2007.
[3] Tổng cục Hải quan Việt Nam. Mô hình hệ thống Thông quan điện tử. Hà Nội, 2009
[4] Tổng cục Hải quan Việt Nam. Tập huấn, đào tạo về hệ thống thông quan điện tử. Hà
Nội, 2009
[5] Tổng cục Hải quan Việt Nam. Hƣớng dẫn sử dụng hệ thống thông quan điện tử. Hà
Nội, 2009
[6] Tổng cục Hải quan Việt Nam. Triển khai thủ tục hải quan điện tử năm 2009. Hà Nội,
2009
[7] Chữ ký số. ữ_ký_số
[8] Giải thuật ký số. ải_thuật_ký_số
[9] Hải quan Việt Nam.
[10] Hãy thôi ảo tƣởng về an toàn thông tin.
ao-tuong-ve-an-toan-thong-tin-880702/
[11] Mã hóa RSA. ã_hóa)
[12] SHA.
[13] Thƣơng mại điện tử với chìa khóa chứng thực số.
thong/Thuong-mai-dien-tu-voi-chia-khoa-chung-thuc-so/20300868/222/
[14] Tổng quan về PKI.
=184&nav=0,3
Các file đính kèm theo tài liệu này:
- LUẬN VĂN- AN TOÀN THÔNG TIN TRONG HẢI QUAN ĐIỆN TỬ.pdf