Luận văn An toàn thông tin trong hải quan điện tử

Authorities) cung cấp. Trong thực tế, chứng thực số đƣợc sử dụng nhiều nhất trong các giao dịch thƣơng mại điện tử, đặt biệt là trong các hoạt động thanh toán trực tuyến của ngân hàng. Một 37 website dịch vụ ngân hàng có thể khẳng định tính xác thực của mình với ngƣời dùng bằng cách sử dụng chứng thực số, đảm bảo website đó không bị giả mạo. Ngoài việc sử dụng các hình thức bảo mật thông thƣờng nhƣ mật khẩu cần dùng một chứng thực số cá nhân để khẳng định danh tính của mình, xác nhận các hoạt động giao dịch. Chứng thực số sẽ giúp ngân hàng đảm bảo các khách hàng không thể phủ nhận các giao dịch của mình khi họ dùng chứng thực số. Các hoạt động liên ngân hàng trong giao dịch điện tử cũng đều phải sử dụng chứng thực số nhằm xác định danh tính của mỗi bên, khẳng định trách nhiệm và các hoạt động của từng bên trong giao dịch. Đây là quy trình bảo mật quan trọng cũng nhƣ là cơ sở về mặt pháp lý để có căn cứ khi thực hiện các giao dịch trực tuyến. Không chỉ nằm trong lĩnh vực thƣơng mại điện tử, chứng thực số hiện còn đƣợc sử dụng nhƣ một dạng chứng minh thƣ cá nhân. Tại các nƣớc công nghệ phát triển, chứng thực số CA đƣợc tích hợp vào các chip nhớ nằm trong thẻ căn cƣớc, thẻ tín dụng để tăng cƣờng khả năng bảo mật, chống giả mạo, cho phép chủ thẻ xác thực danh tính của mình trên nhiều hệ thống khác nhau, chẳng hạn nhƣ xe bus, thẻ rút tiền ATM, kiểm soát hải quan, ra vào chung cƣ .v.v. 3.3.1.4. Giá trị pháp lý Trong các hoạt động thƣơng mại điện tử trên thế giới, chứng thực số đƣợc sử dụng làm căn cứ xác định tính hợp pháp, giống nhƣ các hình thức xác thực truyền thống là chữ ký và con dấu hiện nay. Khi có tranh chấp về pháp lý trong các hoạt động điện tử, chứng thực số có giá trị bằng chứng và căn cứ tƣơng tự nhƣ các hình thức xác thực cũ này. Với đặc điểm không thể giả mạo, chứng thực nguồn gốc xuất xứ, các quốc gia trên thế giới đều đã sử dụng chứng thực số và coi nó nhƣ là một bằng chứng pháp lý từ rất sớm. Đây là yếu tố quan trọng nhằm phát triển các ngành thƣơng mại điện tử vì nó đảm bảo rằng khách hàng khi tham gia giao dịch là an toàn và đƣợc pháp luật công nhận. Hiện tại, Việt Nam cũng đang gấp rút xây dựng Pháp lệnh Thƣơng mại điện tử (do Bộ Thƣơng mại chủ trì), Nghị định của Chính phủ về quản lý, cung cấp và sử dụng dịch vụ chứng thực điện tử (Bộ Bƣu chính - Viễn thông chủ trì), Nghị định của Chính phủ quy định việc nghiên cứu, sản xuất và sử dụng mật mã không thuộc phạm vi bí mật Nhà nƣớc (Ban Cơ yếu Chính phủ chủ trì). Tuy nhiên, quá trình xây dựng còn chƣa theo kịp nhu cầu 38 phát triển và ứng dụng, gây ra nhiều khó khăn trong quá trình triển khai thƣơng mại điện tử. So với các nƣớc và vùng lãnh thổ khác tại châu Á, hiện Việt Nam còn đang khá chậm trễ trong xây dựng dựng cơ sở pháp lý về giao dịch điện tử. Malaysia đã ban hành Luật Chữ ký Số vào năm 1997, Singapore ban hành Luật Giao dịch điện tử vào năm 1998, Hàn Quốc có Luật Chữ ký điện tử vào năm 1999 và sửa đổi vào năm 2001, Hong Kong có Sắc lệnh về Giao dịch điện tử vào năm 2000. Thái Lan và Nhật Bản cũng đã có các văn bản luật liên quan đến giao dịch điện tử vào năm 2001. 3. Hạ tầng khóa công khai (PKI – Public Key Infastructure) Để triển khai đƣợc chữ ký số, việc cần thiết nhất là phải xây dựng đƣợc hệ thống PKI. 3.1.Tổng quan về PKI PKI là một cơ chế để bên thứ 3 có thể cung cấp và xác thực các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cho phép gán mỗi ngƣời dùng trong hệ thống với một cặp khóa công khai và bí mật. Các quá trình này đƣợc thực hiện bởi một phần phềm đặt tại trung tâm và các phần mềm khác đặt tại các địa điểm của ngƣời dùng. Khóa công khai đƣợc phân phối rộng rãi trong PKI. PKI thƣờng đƣợc dùng để chỉ toàn bộ hệ thống bao gồm nhà cung cấp chứng thực số CA cùng các cơ chế liên quan đồng thời với toàn bộ các thuật toán mã hóa công khai trong trao đổi thông tin. Tuy nhiên phần sau đƣợc bao gồm không hoàn toàn chính xác do các cơ chế trong PKI không nhất thiết phải sử dụng các thuật toán mã hóa công khai. 3. 2. Các thành phần của PKI 3.2.1. Các thành phần của PKI PKI dựa vào một thiết bị mật mã để bảo đảm các khoá công khai đƣợc quản lý an toàn. Các thiết bị này không hoạt động cùng lúc đƣợc thực hiện ở các hàm mảng rộng có liên quan đến việc quản lý phân phối khoá, bao gồm các thành phần sau: - Chứng thực và đăng ký ngƣời dùng - Kiểm tra tính toàn vẹn của khoá công khai - Chứng thực yêu cầu trong quá trình bảo quản các khoá công khai 39 - Bí mật cấp phát khoá công khai - Huỷ bỏ khoá công khai khi nó không có đủ giá trị độ dài - Duy trì việc thu hồi các thông tin về khoá công cộng (CRL) và phân bổ thông tin (thông qua CRL cấp phát hoặc đáp ứng đến Online Certificate Status Protocol [OCSP] messages). - Đảm bảo an toàn về độ lớn của khoá. Chứng thực khóa công khai (Public Key Certificate): Mục tiêu của việc trao đổi khóa bất đối xứng là cấp phát một cách an toàn khóa công khai từ ngƣời gửi đến ngƣời nhận. PKI tạo điều kiện cho việc trao đổi khóa an toàn để đảm bảo xác thực các bên trao đổi với nhau. Chứng thực khóa công khai đƣợc cấp phát bởi CA. Ngƣời dùng đăng ký sử dụng, kích hoạt và đƣợc PKI chứng nhận theo quá trình sau: -Ngƣời dùng đăng ký với CA hoặc RA (Registration Authorities) với các tiêu chí để nhận biết. CA sẽ xác thực và cấp phát khóa công khai. - Ngƣời dùng tạo ra một cặp khóa công khai và bí mật rồi gửi đến CA - CA lƣu mật hiệu lên khóa công khai cùng với khóa bí mật để tạo một chứng thực khóa công khai cho ngƣời dùng. Lúc này ngƣời dùng có thể yêu cầu chứng thực khóa công khai từ các ngƣời dùng khác. Tổ chức đăng ký chứng thực (Registration Authorities): Trong nhiều trƣờng hợp, CA sẽ cung cấp tất cả các dịch vụ cần thiết của PKI để quản lý các khóa công khai bên trong mạng. Tuy nhiên có nhiều trƣờng hợp CA có thể uỷ nhiệm Cho RA. Một số chức năng mà CA có thể uỷ nhiệm thay thế cho RA nhƣ: - Kiểm tra ngƣời dùng đã đăng ký khóa công khai với CA để có khóa bí mật mà đƣợc dùng để kết hợp với khóa công khai. - Cấp phát cặp khóa công khai và bí mật dùng để khởi tạo quá trình đăng ký. - Xác nhận các thông số của khóa công khai. - Cấp phát gián tiếp các Certificate Revocation List (CRL). 40 Tổ chức cấp chứng thực (CA - Certificate Authorities): CA cấp phát chứng thực, xác thực ngƣời dùng và khi cần thì thu hồi các chứng thực CA địa diện cho nguồn tin cậy chính của PKI vì CA là tổ chức duy nhất trong PKI có thể cấp phát chứng thực khóa công khai. CA cũng luôn đáp ứng cho việc duy trì CRL và phục vụ các loại nhƣ: CRL Issuer. PKI không phải chỉ có 1 CA mà PKI có thể thiết lập nhiều CAs. CAs giúp thiết lập cho việc nhận dạng của các thực thể giao tiếp với nhau đƣợc đúng đắn. CAs không chỉ chứng thực cho ngƣời dùng cá nhân mà còn chứng thực cho các CA khác có liên quan trong quá trình giao dịch. 3.2.2. Mục tiêu và các chức năng của PKI PKI cho phép những ngƣời tham gia xác thực lẫn nhau và sử dụng các thông tin từ các chứng thực khoá công khai để mật mã hoá và giải mã thông tin trong quá trình trao đổi. PKI đảm bảo cho các giao dịch điện tử đƣợc bí mật, toàn vẹn và xác thực đƣợc các bên tham gia mà không cần trao đổi các thông tin bảo mật từ trƣớc. Mục tiêu chính của PKI chính là cung cấp khóa công khai và xác định mối liên hệ giữa khóa và ngƣời dùng, nhờ vậy ngƣời dùng có thể áp dụng vào một số ứng dụng nhƣ: - Mã hoá Email hoặc xác thực ngƣời gửi Email - Mã hoá hoặc chứng thực văn bản - Xác thực ngƣời dùng ứng dụng - Các giao thức truyền thông an toàn: Trao đổi bằng khoá bất đối xứng, mã hoá bằng khoá đối xứng. PKI bao gồm các thành phần sau đây: - Phát sinh một cặp khoá riêng và khoá chung cho ngƣời dùng - Tạo và xác nhận chữ ký điện tử - Cấp phát chứng nhận ngƣời dùng - Đánh dấu những khoá đã cấp phát và bảo trì quá trình sử dụng của mỗi khoá 41 - Hủy bỏ những đăng ký sai và hết hạn - Xác nhận ngƣời dùng 3.2.3. Mục đích của PKI PKI đƣợc sử dụng với các mục đích : - Mã hoá: Giữ bí mật thông tin và chỉ có ngƣời có khoá bí mật mới giải mã đƣợc. - Tạo chữ ký số: Cho phép kiểm tra một văn bản có phải đã đƣợc tạo với một khoá bí mật nào đó hay không. - Thoả thuận khoá: Cho phép thiết lập khoá dùng để trao đổi thông tin bảo mật giữa 2 bên. 3.3. Cơ sở hạ tầng của PKI 3.3.1. Các bƣớc mã hoá: Bƣớc 1: Dùng giải thuật băm để thay đổi thông điệp cần truyền đi. Kết quả là ta đƣợc một bản tóm tắt. Dùng giải thuật MD5 (message digest 5) ta đƣợc bản tóm lƣợc có chiều dài 128 bit, dùng giải thuật SHA (Secure Hash Algorithm) ta có chiều dài 160 bit. Bƣớc 2: Sử dụng khóa bí mật của ngƣời gửi để mã hóa bản tóm tắt thu đƣợc ở bƣớc 1. Thông thƣờng ở bƣớc này dùng giải thuật RSA ( hay DSA, RC2, 3DES, …). Kết quả thu đƣợc gọi là chữ ký số của thông điệp ban đầu. Bƣớc 3: Sử dụng khóa công khai của ngƣời nhận để mã hoá những thông tin cần gửi đi. 42 Bƣớc 4: Gộp chữ ký số vào thông điệp đã đƣợc mã hoá và gửi đi. Nhƣ vậy sau khi đã ký số vào thông điệp đã đƣợc mã hoá, mọi sự thay đổi trên thông điệp sẽ bị phát hiện trong giai đoạn kiểm tra. Ngoài ra, việc ký nhận này đảm bảo ngƣời nhận tin tƣởng thông điệp này này xuất phát từ ngƣời gửi chứ không phải là ai khác. 3.3.2. Các bƣớc kiểm tra: Bƣớc 1: Ngƣời nhận dùng khóa bí mật của mình để giải mã thông tin nhận đƣợc gồm 2 phần: Phần thông điệp và phần chữ ký ngƣời gửi. Bƣớc 2: Dùng khóa công khai của ngƣời gửi (khoá này đƣợc thông báo đến mọi ngƣời ) để giải mã chữ ký số của thông điệp ta đƣợc bản tóm tắt. Bƣớc 3: Dùng giải thuật MD5 ( hoặc SHA) với thông điệp đính kèm ta có bản tóm tắt. Bƣớc 4: So sánh kết quả thu đƣợc ở bƣớc 2 và 3 nếu trùng nhau, ta kết luận thông điệp này không bị thay đổi trong quá trình truyền và thông điệp này chính xác là của ngƣời gửi. 43 3.4. Tạo và thẩm định chữ ký số Hình 1: Quá trình đăng ký, cấp và sử dụng chữ ký số Hình 2: Quá trình ký và mã hóa dữ liệu 44 Thẩm định chữ ký số: Hình 3: Thẩm định chữ ký số Xác thực toàn vẹn của thông tin: Hình 4: Xác thực tính toàn vẹn của thông tin 45 Chƣơng 3: AN TOÀN THÔNG TIN TRONG HẢI QUAN ĐIÊṆ TƢ̉ 1. Thực trạng an toàn trong hải quan điện tử ở Việt Nam 1.1. Thực trạng an toàn thông tin ở Việt Nam Tại Ngày An toàn thông tin Việt Nam 2009 tổ chức hôm 24/11 tại Hà Nội, Hiệp hội An toàn thông tin Việt Nam (VNISA) đã công bố kết quả điều tra nghiên cứu thực trạng an toàn thông tin (ATTT) tại Việt Nam từ cuối năm 2008 đến nay với sự tham gia khảo sát của gần 500 tổ chức, DN trên phạm vi cả nƣớc. Thời gian qua, hàng loạt các vấn đề liên quan đến ATTT đã liên tục xảy ra nhƣ Hacker tấn công hệ thống website làm tê liệt mạng thông tin của Chính phủ Mỹ và Chính phủ Hàn Quốc. Hàng loạt ngân hàng lớn trên thế giới bị mất cắp tiền qua mạng hay phát hiện nhiều lỗ hổng lớn trong hệ thống DNS… Từ đó có thể thấy ngoài những cơ hội thì thƣơng mại điện tử cũng mang đến nhiều rủi ro cho nền kinh tế và xã hội hiện đại. Theo kết quả điều tra ở Việt Nam thì 58,89% ý kiến cho rằng, các cuộc tấn công mà tổ chức hay gặp phải chủ yếu vẫn là hệ thống nhiễm phải virus hay worm (có thể tự lây lan), hoặc hệ thống nhiễm phải trojan hay rootkit (không tự lây lan). Tuy nhiên, khả năng nhận biết tấn công thấp và không rõ động cơ tấn công. - 48% Tổ chức thừa nhận không rõ nguồn gốc địa chỉ IP tấn công xuất hiện từ đâu - 73% Tổ chức không định lƣợng đƣợc thiệt hại khi bị tấn công - 53% Tổ chức không có quy trình thao tác chuẩn để phản ứng lại những cuộc tấn công đó. Khi bị tấn công 45,77% thông báo cho lãnh đạo cấp cao của tổ chức, 64,14% thông báo cho trung tâm tin học Các công nghệ đƣợc sử dụng: Tƣờng lửa (60,93%); phần mềm chống vi rút (83,09%); bộ lọc thƣ rác (50,15%). Trong đó 33% thừa nhận đang dùng tƣờng lửa của hãng Cisco, Check Point (13%). 24 % tổ chức đang dùng phần mềm diệt virut của Kasperky, Symantec (21%), BKV (16%), AVG (11%)... Khảo sát cũng cho thấy vấn đề khó khăn nhất trong thực thi bảo vệ an toàn cho hệ thống thông tin đó là việc nâng cao nhận thức cho ngƣời sử dụng về bảo mật máy tính 46 (43,73%), sự thiếu hiểu biết về ATTT trong tổ chức (46,06%), lãnh đạo chƣa hỗ trợ đúng mức cần thiết cho ATTT (33,24%). Thực tế đáng buồn là đa số ngƣời dùng cá nhân hay doanh nghiệp ở Việt Nam chƣa ý thức đƣợc điều đó. Họ đang sống trong những ảo tƣởng mà có thể gây ảnh hƣởng rất nghiêm trọng tới nguồn thông tin vô giá. Số liệu nghiên cứu chuyên nghiệp của hãng CheckPoint cho thấy: Có tới 35% số ngƣời dùng cá nhân đƣợc hỏi tuyên bố bảo mật thông tin không phải là "việc của tôi", trong khi 45% tự nhận mình không phải "mục tiêu đáng giá" cho hacker. 52% đƣa ra một lập luận rất "vô tƣ" cho việc bảo mật hớ hênh là "Tôi chƣa đủ nổi tiếng để bị hacker chú ý" hoặc "Bọn tội phạm mạng làm sao kiếm đƣợc tiền từ thông tin cá nhân của tôi?". (Theo khảo sát của VNISA về thực trạng ATTT ở Việt Nam năm 2008) Trƣớc thực trạng nhƣ thế bộ Thông tin và Truyền thông đã trình lên Thủ tƣớng quy hoạch ATTT với nhiều giải pháp đƣợc cho là thiết thực, khả thi và mang ý nghĩa dài hạn. Tuy nhiên nỗ lực bảo vệ tài nguyên thông tin không thể chỉ xuất phát từ các nhà làm chính sách, mà cần có sự hợp tác phối hợp, gắn kết chặt chẽ giữa 3 khối là Nhà nƣớc, Doanh nghiệp/Tổ chức và các Cá nhân. Đƣơng nhiên HQĐT Việt Nam cũng là một thành phần trong liên khối chặt chẽ đó. 1.2. Thực trạng an toàn trong hải quan điện tử 1.2.1. Quy trình thông quan điện tử Vào các ngày 19/07/2005 và 22/06/2007, Bộ Tài Chính ra quyết định số 50/2005/QĐ-BTC và số 52/2007/QĐ-BTC, ban hành quy định “Quy trình thực hiện thí điểm thủ tục HQĐT đối với hàng hóa xuất khẩu, nhập khẩu”. Về cơ bản qui trình có thể đƣợc mô tả nhƣ sơ đồ 1: Các bƣớc trong qui trình thủ tục HQĐT có thể đƣợc mô tả ngắn gọn nhƣ sau: Bƣớc 1: Tiếp nhận hồ sơ điện tử Doanh nghiệp khai HQĐT và truyền dữ liệu đến Chi cục HQĐT. Hệ thống xử lý dữ liệu điện tử tiếp nhận tờ khai điện tử, kiểm tra điều kiện tham gia hệ thống của doanh nghiệp, kiểm tra tính logic của các tiêu chí khai báo, kiểm tra việc khai và tính thuế,.... Kết thúc quá trình kiểm tra, phản hồi cho doanh nghiệp chi tiết tình trạng hiện tại của hồ 47 sơ (hợp lệ/không hợp lệ/,...). Nếu hồ sơ hợp lệ tờ khai điện tử sẽ đƣợc cấp số tờ khai chính thức và đƣợc chuyển sang khâu phân luồng. Bƣớc 2: Phân luồng hàng hóa Trên cơ sở bộ tiêu trí QLRR và thông tin và hàng hóa XNK do doanh nghiệp khai hải quan, hệ thống tự động phân luồng hàng hóa. Kết quả cho ra 3 luồng: - Luồng xanh - Luồng vàng - Luồng đỏ (Hệ thống chờ cán bộ hải quan phê duyệt phân luồng) Bƣớc 3: Phê duyệt phân luồng - Trên cơ sở kết quả phân luồng của hệ thống cán bộ hải quan có trách nhiệm kiểm tra, điều chỉnh luồng (trong một số trƣờng hợp cần thiết) và phê duyệt kết quả phân luồng (thực hiện trên máy tính). - Thông báo hƣớng dẫn thủ tục HQĐT gồm thông tin phân luồng, số tờ khai, thông báo thuế cho doanh nghiệp. + Đối với hàng hóa thuộc luồng xanh: Miễn kiểm tra; chấp nhận thông quan hàng hóa. Chuyển sang bƣớc 5. + Đối với hàng hóa thuộc luồng vàng: Kiểm tra hồ sơ trƣớc khi thông quan (Kiểm tra giấy phép XNK, kiểm tra việc áp mã, kiểm tra xác định trị giá tính thuế, ...). Chuyển sang bƣớc 4. + Đối với hàng hóa thuộc luồng đỏ: Kiểm tra hồ sơ và thực tế hàng hóa trƣớc khi thông quan. Chuyển sang bƣớc 4 Bƣớc 4: Chấp nhận thông quan Cán bộ kiểm tra hồ sơ căn cứ trên kết quả kiểm tra hồ sơ và/ hoặc kiểm tra thực tế hàng hóa chấp nhận cho thông quan. Bƣớc 5: Xác nhận thực xuất/ thực nhập Cán bộ giám sát căn cứ kết quả chấp nhận thông quan in lệnh thông quan từ hệ thống, ký và đóng dấu xác nhận lên lệnh thông quan. 48 Thñ tôc h¶i quan ®iÖn tö C h i c ô c h ¶ I q u a n ® iÖ n t ö 3.2. KiÓm tra hå s¬3.1. MiÔn kiÓm tra 4. ChÊp nhËn th«ng quan 3.3. KiÓm tra hå s¬ vµ kiÓm tra thùc tÕ hµng ho¸ 3. DuyÖt ph©n luång 2. Ph©n luång B¾t ®Çu 1. TiÕp nhËn, kiÓm tra tù ®éng tê khai ®iÖn tö 5. X¸c nhËn thùc xuÊt/ nhËp KÕt thóc Hình 5: Quy trình trong HQĐT 49 Thông tin khai của người khai Hải quan Công chức Hải quan thực hiệm nhiệm vụ kiểm tra sơ bộ thông tin khai Thông tin khai có cần kiểm tra sơ bộ ? Cấp số và phân luồng cho tờ khai Chấp nhận thông tin khai Phàn hồi lý do về cho người khai Hải quan Đúng Không cần kiểm tra sơ bộ Hình 6: Quá trình kiểm tra sơ bộ của cơ quan hải quan đối với thông tin khai 1.2.2. Hệ thống thông quan điện tử - Các đối tƣợng tham gia hệ thống: Ngƣời khai hải quan: doanh nghiệp XNK, doanh nghiệp khai thuế; Tổ chức truyền nhận dữ liệu điện tử (VAN); Cơ quan Hải quan. - Chuẩn trao đổi dữ liệu điện tử giữa doanh nghiệp và hải quan: XML; - Phƣơng tiện trao đổi: thông qua Internet. 50 Hình 7: Mô hình khái quát hệ thống TQĐT - Từ trụ sở, doanh nghiệp khai tờ khai hải quan và thông tin về hàng hóa XNK qua mạng Internet. Thông tin sẽ đƣợc đóng gói trƣớc khi gửi đến trung tâm xử lý dữ liệu của tổ chức cung cấp dịch vụ truyền nhận dữ liệu HQĐT C-VAN; - Tại trung tâm xử lý dữ liệu của của C-VAN dữ liệu đƣợc kiểm tra hợp chuẩn (chuẩn này do hải quan công bố theo chuẩn WCO-Dataset version 2.0). Nếu đáp ứng dữ liệu sẽ đƣợc gửi đến cơ quan Hải quan; - Tại cơ quan hải quan dữ liệu đƣợc gải mã và đƣa vào xử lý trong hệ thống của hải quan theo qui trình thủ tục nhƣ đã nêu. 51 Quy trình cụ thể nhƣ sau: Hình 8: Trao đổi thông tin giữ doanh nghiệp, Cục và các chi cục hải quan Hình 9: Quy trinh thực hiện đối với luồng xanh 52 Hình 10: Quy trình thực hiện đối với luồng vàng và đỏ 1.2.3. Mô hình phần mềm Mô hình phần mềm của hệ thống thôgn quan điện tử đƣợc phân thành 3 lớp cụ thể: - Lớp bên ngoài: bao gồm các chƣơng trình phần mềm của doanh nghiệp, các hệ thống tiếp nhận của C-VAN; - Lớp ngoài của hải quan: bao gồm các Webservice để tiếp nhận dữ liệu khai, các CSDL tạm lƣu dữ liệu khai của doanh nghiệp, CSDL Log, CSDL phục vụ doanh nghiệp tra cứu thông tin và các queue server để trả lời cho doanh nghiệp; - Lớp trong của hải quan: bao gồm Web Server, các chƣơng trình ứng dụng hải quan, CSDL chính lƣu thông tin khai của doanh nghiệp, các CSDL tác nghiệp. 53 Hình 11: Mô hình phần mềm của hệ thống 1.2.4. Vấn đề an toàn thông tin trong hải quan điện tử Trong thời gian thực hiện thí điểm, Tổng cục Hải quan khuyến khích mọi doanh nghiệp thuộc mọi thành phần kinh tế đăng ký tham gia thủ tục HQĐT nhƣng cần đáp ứng đủ những điều kiện sau: - Minh bạch trong tài chính: có xác nhận của Cơ quan Thuế nội địa trong việc chấp hành tốt kê khai và nộp thuế theo quy định. - Không vi phạm pháp luật hải quan quá 1 lần thuộc thẩm quyền xử phạt vi phạm hành chính của Cục trƣởng Cục Hải quan tỉnh, liên tỉnh, thành phố trực thuộc trung ƣơng trở lên trong thời gian một (01) năm, tính đến ngày đăng ký tham gia làm thủ tục HQĐT. - Có kim ngạch xuất nhập khẩu và/ hoặc có lƣu lƣợng tờ khai đạt mức do Tổng cục trƣởng Tổng cục Hải quan quyết định cụ thể theo từng giai đoạn thực hiện thí điểm thủ tục HQĐT. 54 - Sẵn sàng nối mạng máy tính với Chi cục HQĐT hoặc sử dụng dịch vụ của Đại lý làm thủ tục hải quan để làm thủ tục HQĐT. Các doanh nghiệp đủ điều kiện sẽ đƣợc cấp tài khoản với Username và Password để có thể sử dụng hệ thống TQĐT. Sau khi có tài khoản, doanh nghiệp có hai cách để tiến hành kê khai hải quan: - Truy cập website kê khai hải quan, sử dụng tài khoản đƣợc cấp để đăng nhập và tiến hành kê khai. Sau khi kê khai thì dữ liệu sẽ đƣợc đóng gói và gửi đến cơ quan hải quan. - Sử dụng phần mềm kê khai, sau đó phần mềm sẽ đóng gói thông tin kê khai và gửi đến cơ quan hải quan cũng với tài khoản doanh nghiệp đƣợc cấp Với cả hai cách trên, dữ liệu mà doanh nghiệp gửi đến cơ quan hải quan đƣợc đóng gói theo định dạng XML và có cấu trúc cụ thể nhƣ sau: <Envelope xmlns:xsi=” instance”> 1.00 1CC47F68-B4FE-451D-9B72 8E5632CABDB5 Ten cong ty Ma so XNK Chi cuc hai quan 55 Ma chi cuc 11 5 3DC58030-B6B8-45CB-9463-94C8FB76D44A ECUS_KD</sendApplication > HQ-KTX2007 Trong đó: - Thẻ định nghĩa thông tin về doanh nghiệp gửi dữ liệu gồm tên doanh nghiệp và mã số xuất khẩu - Thẻ định nghĩa thông tin về nơi mở tờ khai gồm tên chi cục và mã chi cục - Thẻ định nghĩa loại dữ liệu gửi đến cơ quan hải quan nhƣ tờ khai, định mức… 56 - Thẻ định nghĩa chức năng của message gửi đến cơ quan Hải quan nhƣ khai hải quan, hủy khai báo… - Thẻ định nghĩa số tham chiếu của chứng từ. Số tham chiếu do chƣơng trình doanh nghiệp gửi lên hệ thống của Hải quan. Số tham chiếu xây dựng theo quy định về GUID (Global Unique Identifier). Giá trị này có thể tạo ra bằng cách sử dụng hàm System.GUID.New() trong Microsoft.Net hoặc hàm NewID() trong Microsoft SQL Server. - Thẻ thuộc thẻ định nghĩa toàn bộ nội dung chi tiết của chứng từ gửi tới cơ quan Hải quan. Có thể thấy ƣu điểm của việc đóng gói này là dữ liệu gửi đến cơ quan hải quan theo cùng một chuẩn đảm bảo tính thống nhất trong toàn hệ thống hải quan. Vì thế cơ quan hải quan có thể làm việc với dữ liệu này một cách dễ dàng. Tuy nhiên quy trình nhƣ thế sẽ phát sinh những nguy hiểm đối với thông tin và dữ liệu của doanh nghiệp và cơ quan Hải quan cụ thể nhƣ sau: + Đối với hình thức kê khai qua web: Khi doanh nghiệp đăng nhập vào hệ thống kê khai HQĐT trên web khi đó một số thông tin khi đăng nhập sẽ đƣợc lƣu vào cookie. Những thông tin này hoàn toàn có thể bị đánh cắp bởi những kẻ có ý đồ không tốt. Với những thông tin có đƣợc thì chúng có thể đăng nhập vào hệ thống HQĐT, đánh cắp dữ liệu và nguy hiểm hơn là tấn công vào toàn bộ hệ thống hải quan, khi đó thiệt hại là không tƣởng. + Đối với cả hai hình thức kê khai bằng phần mềm và kê khai trên web: Doanh nghiệp giao tiếp với cơ quan hải quan thông qua Internet. Khi doanh nghiệp gửi dữ liệu tới cơ quan hải quan, thì dữ liệu đó sẽ đƣợc đi theo những con đƣờng ngẫu nhiên, từ nguồn tới đích. Trên con đƣờng đó thì dữ liệu sẽ phải đi qua một số máy tính trung gian, và chúng ta không thể đảm bảo đƣợc những máy tính trung gian đó là an toàn. Dữ liệu đó hoàn toàn có thể bị đánh cắp hoặc làm sai lệch nội dung khi đó sự toàn vẹn, sự an toàn của dữ liệu đã bị xâm phạm. + Đối với hình thức kê khai bằng phần mềm thì thông thƣờng sau khi kê khai doanh nghiệp sẽ sau lƣu giữ liệu và cất giữ trong máy tính của mình. Doanh nghiệp có thể bị đánh cắp những dữ liệu đó mà không hề hay biết bởi vì có những phần mềm gián điệp tự 57 động đƣợc cài vào máy tính của doanh nghiệp không ngoài ý định đánh cắp thông tin. Khi đó không chỉ với thông tin hải quan mà mọi thông tin khác có trong máy tính của doanh nghiệp đều có thể bị mất. Với cả hai hình thức khai nhƣ trên thì dữ liệu của doanh nghiệp đều không đƣợc đảm bảo bởi vì sự an toàn của dữ liệu chƣa đƣợc quan tâm đúng mức. Dữ liệu mà doanh nghiệp và cơ quan hải quan trao đổi không đƣợc đảm bảo an toàn do hệ thống thông quan xây dựng chƣa đƣợc hoàn thiện. Thành phần chứng thực trong hệ thống HQĐT chƣa đƣợc triển khai vì thế dữ liệu không đƣợc mã hóa và không đảm bảo tính xác thực. Nhìn vào mô hình phần mềm HQĐT trƣớc đây, có thể thấy vấn đề xác thực và đảm bảo an toàn tthông tin đã đƣợc đề cập đến, tuy nhiên module thực hiện chức năng này lại chƣa đƣợc triển khai bởi vì có những khó khăn nhất định: - Môi trƣờng pháp lý chƣa hoàn thiện. Tuy Mới mẻ ở Việt Nam, nhƣng chữ ký số là dịch vụ đƣợc sử dụng rất phổ biến ở các nƣớc có nền thƣơng mại điện tử phát triển. Nhật Bản, Hàn Quốc, Singapore hay Malaysia đều đã ban hành Luật về chữ ký số và chứng thực điện tử từ đầu những năm 2000. Trong khi đó, ở nƣớc ta Luật giao dịch điện tử năm 2006 và nghị định về chữ ký số ra đời năm 2007 đƣợc coi là bƣớc đi đầu tiên, đặt nền tảng về pháp lý cho dịch vụ chữ ký số. Cần thiết phải có những hành lang pháp lý cụ thể và hoàn thiện để chữ ký số có thể đi vào thực tế. Bên cạnh đó sự quản lý giữa các cấp các ngành là chƣa đồng bộ. - Vấn đề về con ngƣời: Hầu hết các doanh nghiệp đều quen với việc giao dịch đƣợc diễn ra ở trên giấy tờ, vì thế việc chuyển đổi sang sử dụng chứng từ điện tử là cả một thay đổi lớn. Bên cạnh đó ngƣời dùng còn mơ hồ về chữ ký điện tử, chƣa biết đƣợc lợi ích và sự cẩn thiết của nó đối với các chứng từ, văn bản điển tử. Vì thế việc triển khai cũng gặp nhiều khó khăn. - Cơ sở hạ tầng hiện đại nhƣng chƣa đồng bộ, vì thế việc áp dụng toàn diện chữ ký số vào thực tế và đặc biệt là ngành hải quan lại càng khó khăn hơn. Mặt khác chúng ta lại chƣa đƣa ra đƣợc lộ trình, con đƣờng thực tế và khả thi để đƣa chữ ký số vào cuộc sống. Giải quyết đƣợc các khó khăn trên thì việc áp dụng chữ ký số vào HQĐT sẽ đơn giản, dễ dàng hơn và đó chính là phƣơng thức hữu hiệu để phòng chống nhiều loại tội phạm nguy hiểm nhƣ ma túy, buôn lậu, vận chuyển vũ khí… đặc biệt là hoàn thành việc hiện đại hóa ngành hải quan, đáp ứng đủ các tiêu chuẩn để có thể liên kết với hải quan 58 trong khu vực và trên toàn thế giới, tạo thành một hệ thống thống nhất và an toàn… Phát triển ngành hải quan chính là chìa khóa quan trọng để phát triển nền kinh tế của đất nƣớc trong giai đoạn hội nhập và phát triển cùng với nền kinh tế thế giới. 3. Giải pháp an toàn trong hải quan điện tử 3.1. Các giải pháp đƣợc áp dụng trong HQĐT ở một số nƣớc phát triển. Với sự lan rộng ngày càng mạnh mẽ của xu thế toàn cầu hóa và tự do hóa thƣơng mại, vai trò của cơ quan hải quan đang ngày càng trở nên quan trọng hơn đối với phát triển kinh tế và an ninh quốc gia. Xác định đƣợc một cách đầy đủ vai trò đó, Hải quan Hàn Quốc đã và đang nỗ lực hết mình để hoàn thành tốt nhiệm vụ của “ngƣời chiến sĩ trên mặt trận kinh tế” nhằm tạo thuận lợi cho thƣơng mại, bảo vệ an ninh cộng đồng và thúc đẩy môi trƣờng đầu tƣ thƣơng mại lành mạnh. Để thực hiện điều này, Hải quan Hàn Quốc đã đã tƣ xây dựng hệ thống HQĐT theo mô hình trao đổi dữ liệu điện tử EDI (Electronic Data Interchange). Đối với hệ thống này thì dữ liệu trao đổi trong hệ thống đƣợc thống nhất theo cùng một chuẩn, đƣợc mã hóa, đƣợc xác thực bằng chữ kỹ diện tử. Bên cạnh đó mọi giao dịch, mọi trao đổi diễn ra trong hệ thống đều đƣợc quản lý, giám sát. Chính vì vậy dữ liệu khi trao đổi đƣợc đảm bảo về tính an toàn, tính toàn vẹn và tính xác thực. Cũng với mô hình EDI thì Hải quan Thái Lan cũng đã xây dựng đƣợc hệ thống HQĐT hiện đại, giảm thời gian tiết kiệm chi phí và giảm khối lƣợng công việc đáng kể đối với các nhân viên. Hải quan Thái Lan đã chuyển đổi EDI sang quan điểm triết lý hệ thống mở, có nghĩa là hệ thống dữ liệu phải đƣợc trao đổi bằng nhiều phƣơng tiện với tất cả khách hàng (kể cả những ngƣời làm kinh doanh và phi kinh doanh), với các đối tác (các cơ quan chính phủ, kể cả trong và ngoài nƣớc) và các nhân viên. Dự án yêu cầu phải tái thiết kế tất cả các ứng dụng dựa trên Web, áp dụng ebXML nhƣ một thông điệp chuẩn. Singapore là một nƣớc có ngành hải quan phát triển, hiện đại không chỉ so với các nƣớc trong khu vực Đông Nam Á mà còn phát triển so với các nƣớc trên toàn thế giới. Singapore đã nhận thức đƣợc sự quan trọng của CNTT đối với mọi lĩnh vực đặc biệt là Thuế và Hải quan. Chính vì thế Singapore đã triển khai nhiều dự án, xây dựng đƣợc các hệ thống hoàn chỉnh nhƣ: - Hệ thống quan điện tử 59 - Hệ thống thông quan trƣớc đối với vận chuyển hàng chuyển phát nhanh - Hệ thống TQĐT đối với container - Hệ thống xác định mục tiêu trọng điểm - Hệ thống nộp thuế và lệ phí điện tử - Mở rộng kết nối thông qua mạng giá trị gia tăng - Hệ thống tự tính, tự nộp thuế Các hệ thống trên không chỉ mang đến sự tiện lợi cho khách hàng, giảm thiểu công việc cho các nhân viên mà còn đảm bảo đƣợc sự an toàn cho các thông tin đƣợc khách hàng cung cấp. Điểm chung của các hệ thống trên là đều sử dụng hệ thống xác thực điện tử đối với mọi thông tin kê khai. 3.2. Xây dựng giải pháp an toàn trong Hải quan điện tử Việt Nam Do thủ tục HQĐT đƣợc thực hiện dựa trên hệ thống công nghệ thông tin, vì vậy, việc đảm bảo kỹ thuật cho hệ thống vận hành liên tục 24 giờ trong ngày là rất quan trọng, một trục trặc nhỏ trong hệ thống cũng có thể gây đình trệ hoạt động của hải quan và gây trở ngại lớn cho hoạt động xuất nhập khẩu của doanh nghiệp. Do vậy, việc xây dựng một giải pháp tổng thể về an ninh an toàn cho toàn ngành là rất cần thiết. Nhìn vào ngành Hải quan các nƣớc trong khu vực cũng nhƣ trên toàn thế giới nói riêng, cũng nhƣ toàn bộ những lĩnh vực đƣợc áp dụng công nghệ thông tin trên toàn thế giới nói chung, chúng ta có thể thấy đƣợc ƣu điểm của mô hình trao đổi dữ liệu điện tử EDI. Đó là việc trao đổi dữ liệu nhanh chóng, an toàn và thống nhất theo cùng một chuẩn và có thể kiểm soát đƣợc mọi hoạt động trong hệ thống. Hải quan điện tử Việt Nam cần phải triển khai xây dựng hệ thống thông quan điện tử một cách hoàn thiện theo mô hình này, đặc biệt là chức năng an toàn đối với dữ liệu đƣợc trao dổi trong hệ thống. Hệ thống có thể đƣợc xây dựng nhƣ sau: 60 Hình 12: Mô hình kiến trúc hệ thống thông quan điện tử Doanh nghiệp Cục hải quan Chi cục hải quan Client SLXNK MSQueue KDTMSGC2 SLXNK TQDTPhanLuong TQDTXuLyMsgCuc KDTServiceCuc KDTTransportCuc ThongQuanDienTu1 TQDTCuc KDTService KDTMSGC1 QLRR_Cuc ThongQuanDienTu2 SLXNK QLRR_CC SXXKGTT22 KeToan559 KDTTransportChiCuc KDTServiceChiCuc TQDTPhanLuongChiCuc TQDTXuLyMsgChiCuc TQDTReNhanh Hình 13: Mô hình hệ thống thông quan điện tử 61 Trong đó: Doanh nghiệp Client: Chƣơng trình client dùng để soạn dữ liệu, gửi và nhận dữ liệu với hải quan (thông qua webservice KDTService) Cục hải quan KDTService: Webservice có nhiệm vụ tiếp nhận và xử lý các yêu cầu do client của doanh nghiệp gửi đến. Các loại yêu cầu gồm: Các yêu cầu gửi dữ liệu: webservice ghi message vào db KDTMSGC1 Các yêu cầu lấy thông tin phản hồi: webservice lấy message từ db KDTMSGC1 trả về. KDTServiceCuc: Định kỳ lấy các message mới do doanh nghiệp gửi đến trong db KDTMSGC1 xử lý và lƣu kết quả vào db ThongQuanDienTu1. TQDTPhanLuong: Định kỳ lấy các chứng từ chƣa phân luồng trong db ThongQuanDienTu1 phân luồng, ghi chứng từ và kết quả phân luồng vào db TQDTCục đồng thời lƣu message vào db KDTMSGC1 để gửi xuống chi cục. TQDTXuLyMsgCuc: Định kỳ lấy các message mới do chi cục gửi lên trong db KDTMSGC1 xử lý và lƣu kết quả vào db TQDTCuc. KDTTransportCuc: Định kỳ lấy các message cần gửi xuống chi cục trong db KDTMSGC1 đƣa vào queue, đồng thời lấy các message do chi cục gửi lên trong queue ghi vào db KDTMSGC1. Chƣơng trình SLXNK: Là chƣơng trình winform cung cấp các chức năng để cán bộ hải quan cấp cục thực hiện thông quan tờ khai. Db KDTMSGC1: Lƣu các loại message sau: Message doanh nghiệp gửi hải quan Message hải quan phản hồi cho doanh nghiệp Message gửi chi cục hải quan Message nhận đƣợc của chi cục hải quan 62 Db ThongQuanDienTu1: Lƣu các chứng từ của doanh nghiệp gửi hải quan do service TQDTPhanLuong phân tích các message ra. Db TQDTCuc: Lƣu dữ liệu nghiệp vụ phục vụ công việc của các cán bộ thông quan điện tử ở cấp cục. Db QLRR_Cuc: Lƣu dữ liệu profile rủi ro phục vụ việc phân luồng các chứng từ. MSQueue: thực hiện việc truyền, nhận message giữa cục hải quan với các chi cục hải quan. Chi cục hải quan KDTTransportChiCuc: Định kỳ lấy các message cần gửi lên cục trong db KDTMSGC2 đƣa vào queue, đồng thời lấy các message do cục gửi xuống trong queue ghi vào db KDTMSGC2. KDTServiceCuc: Định kỳ lấy các message mới của doanh nghiệp do cục chuyển tiếp xuống trong db KDTMSGC2 xử lý và lƣu kết quả vào db ThongQuanDienTu2. TQDTReNhanh: Định kỳ lấy các chứng từ mới trong db ThongQuanDienTu2 thực hiện phân loại theo danh sách doanh nghiệp khai tốt, ghi kết quả vào db SLXNK. TQDTPhanLuongChiCuc: Định kỳ lấy các chứng từ chƣa phân luồng trong db SLXNK phân luồng, ghi chứng từ và kết quả phân luồng vào db SLXNK đồng thời lƣu message phản hồi vào db KDTMSGC2 để gửi lên cục. KDTXuLyMsgChiCuc: Định kỳ lấy các message mới của cục gửi chi cục xử lý và lƣu kết quả vào db SLXNK. Chƣơng trình SLXNK: Là chƣơng trình winform cung cấp các chức năng để cán bộ hải quan cấp chi cục thực hiện thông quan tờ khai. Db KDTMSGC2: Lƣu các loại message sau: Message doanh nghiệp gửi hải quan Message hải quan phản hồi cho doanh nghiệp Message gửi cục hải quan Message nhận đƣợc của cục hải quan 63 Db ThongQuanDienTu2: Lƣu các chứng từ của doanh nghiệp gửi hải quan do service TQDTPhanLuongChiCuc phân tích các message ra. Db SLXNK: Lƣu dữ liệu nghiệp vụ phục vụ công việc của các cán bộ thông quan điện tử ở cấp chi cục. Db QLRR_CC, KeToan559, GTT22, SXXK: Là các database của các hệ thống hải quan liên quan phục vụ công việc của các cán bộ thông quan điện tử ở cấp chi cục. Các dữ liệu hay các message đƣợc trao đổi trong hệ thông sẽ đƣợc mã hóa và xác thực bằng chữ ký điện tử. Để thực hiện đƣợc điều này Hải quan Việt Nam cần xây dựng đƣợc một mô hình chứng thực điện tử theo mô hình CA mà cụ thể là mô hình dạng cây hay còn gọi là Root Model: RootCA Cuc HQ Sub CA1 User Cuc HQ Sub CA2 Cuc HQ Sub CA3 User UserUser User User Cuc HQ Sub CAi Cuc HQ Sub CAn User User UserUser Hình 14: Mô hình hệ thống CA dạng cây Mô hình này cho phép xây dựng một hệ thống CA dạng hình cây với một gốc duy nhất gọi là Root CA, dƣới RootCA có thể là các Sub CA(các Cục HQ) và dƣới các Sub CA lại có thể là các Sub CA khác (Chi cục HQ). Thông thƣờng khi Root CA đã có các Sub CA thì nó không trực tiếp cấp chứng chỉ số (DC – Digital Certificate) cho ngƣời dùng cuối (các công ty, doanh nghiệp). Root CA chỉ cấp DC cho các Sub CA còn các Sub CA cấp DC trực tiếp cho ngƣời dùng cuối. Với mô hình dạng cây sẽ đảm bảo sự quản lý thống nhất trong toàn ngành hải quan bao gồm: - Thống nhất về chuẩn khoá (khoá 2 cặp); 64 Tờ khai hải quan Tờ khai hải quan Mã hóa Giải mã Dữ liệu đã được mã hóa Hệ thống quản lý khóa Khóa mã hóa Khóa giải mã - Thống nhất về độ dài khoá; - Thống nhất về việc sử dụng các thuật toán; - Tổng cục là đơn vị quyết định việc cấp, cập nhật và thu hồi khoá của các Cục; - Thống nhất việc tin cậy với các hệ thống CA khác ngoài ngành khi có nhu cầu. - Việc Tổng cục hải quan quản lý các chính sách cơ bản này không làm giảm khả năng chủ động của các Cục hải quan địa phƣơng. Các Cục là các đơn vị trực tiếp quản lý chứng chỉ ngƣời dùng, cung cấp các dịch vụ cho các ứng dụng của đơn vị mình (tuy nhiên phải đảm bảo tuân thủ việc cấp DC dùng chung giữa các Cục). Để sử dụng đƣợc chữ ký điện tử vào kê khai hải quan, doanh nghiệp cần đăng ký với Tổng cục hải quan thông qua các Cục và chi Cục. Sau đó doanh nghiệp sẽ đƣợc cấp chữ ký số. Sau khi kê khai doanh nghiệp tiến hành ký và mã hóa dữ liệu sau đó gửi đến cơ quan hải quan. Với thao tác nhƣ vậy thì dữ liệu của doanh nghiệp đƣợc đảm bảo toàn vẹn và có tính xác thực. Cơ quan hải quan sau khi nhận đƣợc giữ liệu sẽ giải mã dữ liệu đó, lấy chữ ký trong giữ liệu và xác thực ngƣời gửi. bên cạnh đó cũng có thể dựa vào bản tóm lƣợc của dữ liệu để kiểm tra tính toàn vẹn của dữ liệu. Cơ quan Hải quan sau khi thẩm định tờ khai, cũng sẽ sử dụng chữ ký điện tử để ký vào thông tin phản hồi cho doanh nghiệp. Dựa vào chữ ký đó doanh nghiệp có thể tin tƣởng đó là thông tin chính xác của cơ quan Hải quan và có thể hoàn toàn yên tâm. 3.3. Đánh giá Thủ tục HQĐT ra đời ở Việt Nam mang đến nhiểu lợi ích cho cả doanh nghiệp và cơ quan Hải quan. Tuy nhiên vì mới chỉ trong thời gian triển khai thí điểm nên hệ thống HQĐT còn nhiều thiếu xót cả về hệ thống cũng nhƣ cách thức hoạt động. Một điểm cần phải lƣu ý đó chính là tính bảo mật của dữ liệu trong hệ thống chƣa đƣợc nâng cao. 65 Những kẻ xấu có thể dựa vào điểm yếu này để lấy cắp, làm sai lệch dữ liệu làm ảnh hƣởng tới doanh nghiệp và cơ quan Hải quan. Để khắc phục yếu điểm này, việc áp dụng chữ ký điện tử là một biện pháp hữu hiệu. Với chữ ký điện tử, doanh nghiệp có thể yên tâm là dữ liệu của mình đƣợc bảo vệ an toàn, đảm bảo tính toàn vẹn cũng nhƣ tính xác thực. Với chữ ký điện tử thì trách nhiệm của doanh nghiệp cũng nhƣ cơ quan Hải quan cũng đƣợc nâng cao hơn đối với những dữ liệu gửi đi. Bên cạnh đó ngành Hải quan có thể đối phó với các loại tội phạm khủng bố quốc tế, buôn lậu, vâṇ chuyển ma túy, vũ khí và các hoạt động rửa tiền dƣới mọi hình thức… Chữ ký điện tử đã đƣợc áp dụng trên thế giới trên dƣới 10 năm, tuy nhiên ở Việt Nam việc triển khai chữ ký điện tử mới đang ở giai đoạn bắt đầu và cũng đã đạt đƣợc kết quả tốt ở một số ngành nhƣ ngân hàng, kho bạc.... Chữ ký điện tử đã và đang mang lại lợi ích cũng nhƣ những tác tác dụng hiệu quả tới sự phát triển trong mọi lĩnh vự trên toàn thế giới. Riêng với ngành hải quan và đặc biệt là HQĐT ở Việt Nam, việc triển khai chữ ký điện tử là rất cần thiết và cần phải triển khai ngay. Đó chính là một bƣớc quan trọng trong công cuộc hiện đại hóa ngành hải quan, đảm bảo đáp ứng đủ tiêu chuẩn đặc biệt là tiêu chuẩn an toàn để có thể yên tâm kết nối với hệ thống Hải quan hiện đại trong khu vực và trên toàn thế giới. Đó chính là nhiệm vụ chiến lƣợc trong công cuộc xây dựng và phát triển đất nƣớc trong thời kỳ hội nhập. 66 Chƣơng 4: PHẦN MỀM ỨNG DỤNG 1. Gới thiệu về phần mềm ký điện tử GnuPG Chƣơng trình GNU Privacy Guard (GnuPG hay là GPG) là một phần mềm tự do đƣợc viết nhằm mục đích thay thế bộ phần mềm mật mã hóa PGP và đƣợc phổ biến với giấy phép GNU General Public Licence. Chƣơng trình GPG nằm trong dự án GNU của Tổ chức Phần mềm Tự do (Free Software Foundation). Chƣơng trình GPG hoàn toàn tuân theo các tiêu chuẩn OpenPGP của IETF và đƣợc sự ủng hộ của chính phủ Đức. Các phiên bản hiện hành của bộ phần mềm PGP (và chƣơng trình Filecrypt của hãng Veridis) có thể hoạt động chung với GPG và các hệ thống tuân theo tiêu chuẩn OpenPGP khác. Mặc dù một số phiên bản cũ của bộ phần mềm PGP cũng có thể hoạt động chung với PGP, một phần các khả năng đặc trƣng của các phiên bản mới không đƣợc hỗ trợ. Vì lý do này, ngƣời sử dụng cần lƣu ý các điểm xung khắc đó để có thể tránh chúng. Vào lúc đầu, GnuPG đƣợc phát triển Werner Koch. Phiên bản 1.0.0 đƣợc phát hành vào ngày 7 tháng 9 năm 1999. Bộ Liên Bang Kinh Tề và Kỹ Thuật của nƣớc Đức cung cấp chi phí cho việc thi hành tài liệu của chƣơng trình và mang chƣơng trình qua hệ điều hành Microsoft Windows vào năm 2000. Chƣơng trình GnuPG tuân theo tiêu chuẩn OpenPGP, do đó lịch sử của OpenPGP không kém phần quan trọng trong quá trình phát triển của GnuPG. Phiên bản 1.4.5 trong nhánh ổn định của chƣơng trình GnuPG đƣợc phát hành vào ngày 1 tháng 8 năm 2006. Phiên bản 1.9.20 trong nhánh đang phát triển của chƣơng trình GnuPG với hỗ trợ S/MIME đƣợc phát hành vào ngày 20 tháng 12 năm 2005. 2. Hƣớng dẫn cài đặt và sử dụng phiên bản đồ họa GPA trong Ubuntu GNU Privacy Assistant một chƣơng trình GnuPG với giao diện đồ hoạ ngƣời dùng thân thiện. Với GPA bạn có thể xem Keyring của mình, xuất và nhập Key, tạo Key, Chỉnh sửa Key...Và tất cả các tính năng mà phiên bản GnuPG chuẩn ở dạng dòng lệnh có thể làm đƣợc. 67 2.1 Cài đặt 2.1.1. Cài đặt từ gói đƣợc xây dựng sẵn - Trong cửa sổ terminal gõ lệnh: sudo apt-get install gpa Nên nhớ rằng lúc này máy tính phải đƣợc kết nối internet 2.1.2. Cài đặt từ mã nguồn - Trong cửa sổ teminal ta chuyển đến thƣ mục chứa mã nguồn của GPA sau đó gõ lệnh: ./configure make make install 2.1.3. Cài đặt gói ngôn ngữ Sau khi quá trình cài đặt đƣợc hoàn thành, ta tiến hành dịch file ngôn ngữ - Vào trong thƣ mục file ngôn ngữ giả sửa là /home/username/gpalanguage: cd /home/usrename/gpalanguage - Dịch file ngôn ngữ bằng lệnh Msgfmt –o vi.mo vi.po Lúc này file vi.mo sẽ đƣợc tạo ra ta copy file này vào thƣ mục /usr/share/locale/vi/LC_MESSAGES và đổi tên thành gpa.mo bằng lệnh: sudo cp vi.mo /usr/share/locale/vi/LC_MESSAGES/gpa.mo Lúc này việc cài đặt chƣơng trình đã hoàn thành. 2.2 Hƣớng dẫn sử dụng Để khởi động chƣơng trình chúng ta nhấn tổ hợp phím alt F2 và gõ vào gpa sau đó nhấn phím enter, chƣơng trình sẽ bắt đầu hoạt động. 2.2.1. Cấu hình sử dụng phần mềm Chƣơng trình sẽ cung cấp cho chúng ta hai tùy chọn sử dụng là thông thƣờng và nâng cao và mặc định khi chạy chƣơng trình ban đầu sẽ là chế độ thông thƣờng. Với chế 68 độ nâng cao chúng ta sẽ có thêm những tùy chỉnh khi tạo khóa nhƣ chọn thuật toán mã hóa… Hình 15: Thiết lập chế độ làm việc của phần mềm GPA Để thiết lập chế độ nâng cao ta chọn menu Chỉnh sửa/Tùy thích sau đó cửa sổ tùy chỉnh sẽ hiện ra. Ta đánh dấu vào mục dùng hệ nâng cao. Chọn OK 2.2.2. Tạo khóa Để tạo một khóa mới bạn bấm Ctrl N hoặc vào menu Khóa chọn Khóa mới Hình 16: Nhập thông tin để tạo khóa 69 Sau khi nhập đầy đủ các thông tin ta chọn OK, chƣơng trình sẽ yêu cầu chúng ta nhập vào mật khẩu sau đó xác nhận lại mật khẩu một lần nữa. Sau khi hoàn thành thì chƣơng trình bắt đầu quá trình tạo khóa. Hình 17: Quá trình tạo khóa, người dùng di chuột hoặc chơi game để tăng tính ngẫu nhiên cho khóa Khi quá trình tạo khóa diễn ra, chúng ta sẽ thực hiện thao tác di chuột hoặc chơi games để tăng tính ngẫu nhiên cho khóa đƣợc tạo. Sau khi khóa đƣợc tạo ra, chúng ta có thể sao lƣu khóa bí mật cũng nhƣ xuất khóa công khai ra để gửi cho ngƣời khác hoặc gửi lên máy chủ lƣu giữ khóa. 70 2.2.3. Quản lý khóa Sau khi tạo mới khóa thì giao diện chính của chƣơng trình là giao diện quản lý khóa Hình 18: Quản lý khóa - Nhập khóa: Để nhập khóa từ một file chúng ta chọn menu Khóa/ Nhập khóa sau đó tìm đến file lƣu giữ khóa và chọn OK. Lúc này khóa đƣợc lƣu trong file đó sẽ đƣợc cập nhật - Xuất khóa: Để xuất khóa công khai ta chọn khóa cần xuất sau đó chọn menu Khóa/Xuất khóa. Ta nhập tên file lƣu giữ khóa rồi chọn Lƣu. - Xóa khóa: Chọn khóa cần xóa rồi chọn menu Khóa/Xóa khóa 71 - Gửi khóa lên máy chủ: Ta chọn khóa cần gửi lên máy chủ rồi chọn menu Máy chủ/Gửi khóa - Lấy khóa từ server: Để lấy khóa từ máy chủ ta chọn menu Máy chủ/Lấy khóa rồi nhập vào ID của khóa rồi chọn OK. Nếu khóa đó có trên máy chủ thì sẽ đƣợc lấy về. - Thiết lập độ tin cậy đối với khóa: Chọn khóa rồi chọn menu Khóa/Chủ sở hữu. Chúng ta có thể chọn các mức độ tin cậy đối với khóa. 2.2.4. Sử dụng khóa Sau khi tạo hoặc nhập khóa vào chƣơng trình, chúng ta có thể sử dụng khóa đó để ký hoặc mã hóa các tập tin Hình 19: Sử dụng khóa Để mã hóa các tập tin ta chọn menu Cửa sổ/Quản lý tập tin 72 - Mở tập tin cần thao tác: Chọn menu Tập tin/Mở hoặc bấm tổ hợp phím Ctrl + O - Ký tập tin: Chọn tập tin cần ký rồi chọn menu Tập tin/Ký Hình 20: Ký tài liệu Giao diện ký tập tin hiện ra, chúng ta có thể chọn khóa để ký, có các tùy chọn là Ký và nén hoặc có thể tách riêng phần chữ ký ra. Để mã hóa ta có thể chọn chức năng Bảo vệ. Sau đó nhấn OK để ký - Kiểm tra chữ ký: Để kiểm tra chữ ký của một tập tin ta bấm Ctrl O để mở tập tin cần kiểm tra chữ ký. Sau đó chọn tập tin đó rồi chọn menu Tập tin/Kiểm tra. 73 Hình 21: Kiểm tra chữ ký Nếu nhƣ khóa công khai của ngƣời ký đã đƣợc nhập trong danh sách khóa của chúng ta thì thông tin về ngƣời ký sẽ hiện lên. Nếu chƣa đƣợc nhập thì chúng ta có thể lấy ID của khóa để truy cập vào máy chủ và lấy khóa về. 74 - Mã hóa các tập tin: Để mã hóa các tập tin ta chọn tập tin cần mã hóa rồi chọn menu Tập tin/Mã hóa Hình 22: Mã hóa tài liệu Chúng ta chọn khóa để ký và mã hóa. Nếu chọn khóa công khai của một ngƣời nào đó thì ngƣời đó có thể dùng khóa bí mật của họ để giải mã. Sau khi chọn khóa ta bấm OK để mã hóa. - Giải mã: Để giải mã một tập tin đã đƣợc mã hóa, ta chọn menu Tập tin/Giải mã Trên đây là một số chức năng chính của chƣơng trình mà tôi giới thiệu để minh họa cho chữ ký số. Các chức năng này hoàn toàn có thể đƣợc xây dựng và áp dụng phù hợp vào hệ thống HQĐT để nâng tính bảo mật cũng nhƣ tính xác thực của dữ liệu trong toàn hệ thống. Trong thời gian sắp tới tôi sẽ tiếp tục nghiên cứu để có thể phát triển chƣơng trình này và áp dụng vào các lĩnh vực khác. 75 KẾT LUẬN Công cuộc cải cách theo hƣớng hiện đại hoá hải quan ở nƣớc ta đang là mối quan tâm hàng đầu không chỉ của Chính phủ, Lãnh đạo Tổng cục Hải quan, các doanh nghiệp hoạt động trong lĩnh vực xuất nhập khẩu mà còn là mối quan tâm của toàn xã hội thậm chí của cả các quốc gia có mối quan hệ giao lƣu thƣơng mại, đầu tƣ với Việt Nam. Để tạo điều kiện thuận lợi cho hoạt động ngoại thƣơng, thu hút đầu tƣ nƣớc ngoài, thúc đẩy phát triển kinh tế, tạo ra nền tảng cơ bản nhằm thúc đẩy tiến trình chủ động hội nhập kinh tế quốc tế, nhanh chóng theo kịp các nƣớc thành viên khác trong WTO, ... thì việc hiện đại hóa hải quan (với bƣớc đầu là thủ tục HQĐT) với mục tiêu đơn giản hoá thủ tục, tạo môi trƣờng thông thoáng đồng thời đảm bảo quản lý nhà nƣớc về hải quan chặt chẽ, thống nhất, phù hợp với yêu cầu phát triển đất nƣớc là một yêu cầu bức bách. Cho đến thời điểm hiện nay, việc triển khai thủ tục HQĐT đã mang lại những kết quả đáng ghi nhận. Đó là việc thay thế các giấy tờ thủ tục truyền thống bằng việc trao đổi thông tin ở dạng điện tử. Tuy nhiên vẫn còn tồn tại nhiều vấn đề cần đƣợc xử lý, đó là các vấn đề tổ chức, nghiệp vụ, các văn bản hƣớng dẫn, sự phối hợp giữa các đơn vị… Bên cạnh đó là các vấn đề về kỹ thuật nhƣ phần mềm kê khai, phần mềm tiếp nhận và đặc biệt là tính bảo mật, an toàn và xác thực của dữ liệu trao đổi trong hệ thống HQĐT. Vấn đề an toàn thông tin chính là vấn đề quan trọng hàng đầu cần đƣợc giải quyết trong nhiệm vụ hoàn thiện hệ thống HQĐT. Qua nghiên việc nghiên cứu đề tài, chúng ta đã để cập tới các giải pháp nhằm giải quyết vấn đề an toàn thông tin trong HQĐT. Các giải pháp này đã đƣợc triển khai ở nhiều lĩnh vực trên thế giới hàng chục năm nay và đã mang lại những lợi ích to lớn đặc biệt là đối với thƣơng mại điện tử. Với thực tế ở Việt Nam trong thời điểm này thì việc triển khai các phƣơng án này là hoàn toàn khả thi. Tuy nhiên, để triển khai tốt phƣơng án đã đề cập tới chúng ta cần giải quyết tốt các vấn đề sau: - Thay đổi mô hình triển khai mở rộng thủ tục HQĐT theo hƣớng hiện đại mà các nƣớc trong khu vực cũng nhƣ trên thế giới đang thực hiện: Có sự tham gia của trung tâm dữ liệu, khối khai và kiểm tra hồ sơ tập trung, khối kiểm tra thực tế hàng hóa. - Hoàn thiện và nâng cấp hệ thống xử lý dữ liệu thông quan điện tử để xử lý tờ khai một cách tự động với tốc độ cao, tạo điều kiện tiếp nhận và xử lý khối lƣợng lớn hồ sơ khai khi số lƣợng doanh nghiệp cũng nhƣ tờ khai tăng lên. Bên cạnh đó, cần khẩn trƣơng 76 triển khai hoàn thành hạ tầng mạng, nâng cấp bổ sung một cách đồng bộ các hệ thống thiết bị máy móc, đƣờng truyền tại các điểm tiếp nhận và làm thủ tục tại các chi cục hải quan cử khẩu để có thể xử lý công việc một cách dễ dàng, thông suốt và liên tục nhằm thông quan hàng hóa cho doanh nghiệp một cách nhanh nhất. - Hoàn chỉnh việc chuẩn hóa các danh sách mặt hàng, các danh mục , biểu thuế và bột tiêu chí QLRR để đƣa vào hệ thống, cung cấp thông tin phục vụ cho quy trình phân luồng hàng hóa nhanh chóng và tự động. - Hoàn thiện phần mềm thông quan điện tử với đầy đủ các tính năng khai báo, mã hóa, ký điện tử đối với các dữ liệu đƣợc tạo ra và trao đổi an toàn với hệ thống thông quan điện tử. - Ban hành hệ thống văn bản hƣớng dẫn đầy đủ và cụ thể cho các doanh nghiệp, Cục và các Chi cục Hải quan trong việc khai báo HQĐT và công tác kiểm tra sau thông quan. Trong các văn bản đó cũng cần phải quy định rõ các quyền hạn và trách nhiệm của các đơn vị nghiệp vụ. - Tăng cƣờng sự phối hợp đồng bộ giữa các đơn vị, giữa các cơ quan cũng nhƣ giữa Hải quan và các Bộ ngành khác có liên quan để phát huy tính hiệu quả và các tính năng ƣu việt của hệ thống khai báo HQĐT. - Đảm bảo phát triển nguồn nhân lực, tăng cƣờng đào tạo nâng cao cho các cán bộ chuyên trách về CNTT, nắm đƣợc các kiến thức công nghệ thông tin hiện đại để có thể triển khai áp dụng vào thực tế. Đây cũng là yêu cầu cấp bách trong bối cảnh hội nhập khu vực và quốc tế. Ngoài ra để thủ tục HQĐT đƣợc mở rộng có hiệu quả thì cần có sự đồng bộ về cơ chế, chính sách của nhà nƣớc và quan trọng là có sự ủng hộ của các doanh nghiệp làm thủ tục hải quan. Trên đây là một số đề xuất nhằm xây dựng hệ thống HQĐT hoàn thiện và hiện đại, và an toàn. Hy vọng trong thời gian sắp tới, các thiếu sót của hệ thống có thể đƣợc giải quyết triệt để nhằm đáp ứng đƣợc những tiêu chuẩn quốc tế và có thể kết nối với hệ thống hải quan trong khu vực cũng nhƣ trên toàn thế giới. Đó chính là nhiệm vụ trọng tâm của ngành hải quan Việt Nam trong thời kỳ hội nhập và phát triển đất nƣớc. 77 TÀI LIỆU THAM KHẢO [1] Ban Cơ yếu Chính Phủ. Nghiên cứu, xây dựng giải pháp bảo mật thông tin trong thƣơng mại điện tử. Báo cáo đề tài nhánh. Hà Nội, 2004 [2] Lê Đức Thành. Thƣơng mại điện tử. Tiểu luận. Hà Nội, 2007. [3] Tổng cục Hải quan Việt Nam. Mô hình hệ thống Thông quan điện tử. Hà Nội, 2009 [4] Tổng cục Hải quan Việt Nam. Tập huấn, đào tạo về hệ thống thông quan điện tử. Hà Nội, 2009 [5] Tổng cục Hải quan Việt Nam. Hƣớng dẫn sử dụng hệ thống thông quan điện tử. Hà Nội, 2009 [6] Tổng cục Hải quan Việt Nam. Triển khai thủ tục hải quan điện tử năm 2009. Hà Nội, 2009 [7] Chữ ký số. ữ_ký_số [8] Giải thuật ký số. ải_thuật_ký_số [9] Hải quan Việt Nam. [10] Hãy thôi ảo tƣởng về an toàn thông tin. ao-tuong-ve-an-toan-thong-tin-880702/ [11] Mã hóa RSA. ã_hóa) [12] SHA. [13] Thƣơng mại điện tử với chìa khóa chứng thực số. thong/Thuong-mai-dien-tu-voi-chia-khoa-chung-thuc-so/20300868/222/ [14] Tổng quan về PKI. =184&nav=0,3