LUẬN VĂN AN TOÀN THÔNG TIN TRONG HẢI QUAN ĐIỆN TỬ

LUẬN VĂN AN TOÀN THÔNG TIN TRONG HẢI QUAN ĐIỆN TỬ

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

3

LỜI CẢM ƠN

Lời đầu tiên tôi xin được gửi lời biết ơn sâu sắc tới Gia đình cùng toàn thể các Thầy

cô giáo, những người đã sinh thành và giáo dục tôi có được ngày hôm nay

Tôi xin được gửi lời cảm ơn chân thành tới các thầy cô giáo Trường Đại Học Công Nghệ - Đại Học Quốc Gia Hà Nội, những người đã trực tiếp chỉ bảo tôi những kiến thức trong suốt bốn năm học vừa qua trên ghế giảng đường

Đặc biệt tôi xin được bày tỏ lòng kính trọng và biết ơn tới Thầy giáo TS Lê Phê Đô người đã trực tiếp hướng dẫn, cũng như động viên, giúp đỡ tôi hoàn thành khóa luận này Xin được gửi lời cảm ơn tới toàn thể các cán bộ, nhân viên phòng CNTT – Tổng Cục Hải quan Việt Nam đặc biệt là anh Lê Đức Thành – Trưởng phòng đã giúp đỡ hết sức nhiệt tình trong thời gian tôi tìm hiểu và nghiên cứu đề tài

Tôi cũng xin được gửi lời cảm ơn tới bạn Phan Trọng Khanh cùng tất cả các bạn, những người đã luôn ở bên tôi khích lệ cũng như trao đổi, đóng góp để giúp tôi hoàn thành khóa luận

Xin được gửi lời chúc sức khỏe và hạnh phúc tới tất cả các thầy cô Xin chúc thầy cô đạt được nhiều thành tựu hơn nữa trong sự nghiệp đào tạo tri thức cho đất nước cũng như trong các công việc nghiên cứu khoa học

Tôi cũng xin được gửi lời chúc sức khỏe tới toàn bộ các cán bộ và nhân viên của Tổng cục Hải quan, chúc các anh chị luôn luôn làm việc hiệu quả và đạt nhiều thành tích trong công việc, trong nghiên cứu để xây dựng ngành Hải quan Việt Nam hiện đại, phát triển, sánh ngang cùng các quốc gia trong khu vực và trên thế giới, góp phần xây dựng và phát triển đất nước

Chúc tất cả các bạn sức khỏe, hoàn thành xuất sắc công việc học tập và nghiên cứu của mình Chúc các bạn một tương lai tươi sáng và một cuộc sống thành đạt

Trân trọng cảm ơn!

Hà Nội, Ngày 16 Tháng 05 năm 2010

Đỗ Đức Bảo

4

TÓM TẮT NỘI DUNG Chương 1: Một số nét tổng quan về hải quan và HQĐT Việt Nam Trong chương

này chúng ta sẽ thấy được quá trình phát triển, phương châm làm việc cũng như nhiệm vụ của Hải quan Việt Nam Bên cạnh đó là quá trình thực hiện thí điểm thủ tục HQĐT ở Việt Nam, các kết quả đạt được và những tồn tại cần khắc phục

Chương 2: Lý thuyết về an toàn thông tin, tổng quan về chữ ký số, các thuật toán

chữ ký số như RSA, DSA, SHA… và hạ tầng khóa công khai với các thành phần cũng như quy tình tạo và sử dụng chữ ký số

Chương 3: Hiện trạng an toàn thông tin trong các quy trình khai HQĐT ở Việt

Nam, giải pháp xây dựng hoàn thiện hệ thống hải quan điện tử đáp ứng đủ tiêu chuẩn quốc tế về an toàn thông tin Xây dựng hệ thống chứng thực RootCA nhằm đảm bảo tính thống nhất trong ngành và thống nhất với các đơn vị khác ngoài ngành để có thể áp dụng chữ ký số vào các giao dịch

Chương 4: Giới thiệu về phần mềm GNU Privacy Guard (GnuPG - GPG), hướng

dẫn cài đặt và sử dụng phiên bản đồ họa GPA đã được Việt hóa

5

MỤC LỤC

LỜI CẢM ƠN 3

MỤC LỤC 5

DANH MỤC CÁC HÌNH ẢNH ĐƯỢC SỬ DỤNG 7

DANH MỤC CÁC BẢNG ĐƯỢC SỬ DỤNG 8

DANH MỤC CÁC BẢNG ĐƯỢC SỬ DỤNG 8

BẢNG KÝ HIỆU VIẾT TẮT 10

MỞ ĐẦU 11

Chương 1 TỔNG QUAN VỀ HẢI QUAN VỆT NAM 13

1 Tổng quan về Hải quan Việt Nam 13

2 Hải quan điện tử Việt Nam 15

2.1 Tính cấp bách phải hiện đại hoá thủ tục hải 15

2.2 Nội dung thực hiện thí điểm thủ tục hải quan điện tử ở Việt Nam 20

2.3 Đánh giá viê ̣c thực hiê ̣n thủ tu ̣c hải quan điê ̣n tử 20

3 Đánh giá chung 26

Chương 2 LÝ THUYẾT VỀ AN TOÀN THÔNG TIN 28

1 Định nghĩa an toàn thông tin 28

2 Chữ ký số 29

2.1 Khái niệm 29

2.2 Các ưu điểm của chữ ký số 29

2.3.Thực hiện chữ ký số khóa công khai 30

2.4 Một vài thuật toán chữ ký số 31

3 Hạ tầng khóa công khai (PKI – Public Key Infastructure) 38

6

3.1.Tổng quan về PKI 38

3 2 Các thành phần của PKI 38

3.3 Cơ sở hạ tầng của PKI 41

3.4 Tạo và thẩm định chữ ký số 43

Chương 3: AN TOÀN THÔNG TIN TRONG HẢI QUAN ĐIỆN TỬ 45

1 Thực trạng an toàn trong hải quan điện tử ở Việt Nam 45

1.1 Thực trạng an toàn thông tin ở Việt Nam 45

1.2 Thực trạng an toàn trong hải quan điện tử 46

3 Giải pháp an toàn trong hải quan điện tử 58

3.1 Các giải pháp được áp dụng trong HQĐT ở một số nước phát triển 58

3.2 Xây dựng giải pháp an toàn trong Hải quan điện tử Việt Nam 59

3.3 Đánh giá 64

Chương 4: PHẦN MỀM ỨNG DỤNG 66

1 Gới thiệu về phần mềm ký điện tử GnuPG 66

2 Hướng dẫn cài đặt và sử dụng phiên bản đồ họa GPA trong Ubuntu 66

2.1 Cài đặt 67

2.2 Hướng dẫn sử dụng 67

KẾT LUẬN 75

TÀI LIỆU THAM KHẢO 77

7

DANH MỤC CÁC HÌNH ẢNH ĐƯỢC SỬ DỤNG

Hình 1: Quá trình đăng ký, cấp và sử dụng chữ ký số 43

Hình 2: Quá trình ký và mã hóa dữ liệu 43

Hình 3: Thẩm định chữ ký số 44

Hình 4: Xác thực tính toàn vẹn của thông tin 44

Hình 5: Quy trình trong HQĐT 48

Hình 6: Quá trình kiểm tra sơ bộ của cơ quan hải quan đối với thông tin khai 49

Hình 7: Mô hình khái quát hệ thống TQĐT 50

Hình 8: Trao đổi thông tin giữ doanh nghiệp, Cục và các chi cục hải quan 51

Hình 9: Quy trinh thực hiện đối với luồng xanh 51

Hình 10: Quy trình thực hiện đối với luồng vàng cà đỏ 52

Hình 11: Mô hình phần mềm của hệ thống 53

Hình 12: Mô hình kiến trúc hệ thống thông quan điện tử 60

Hình 13: Mô hình hệ thống thông quan điện tử 60

Hình 14: Mô hình hệ thống CA dạng cây 63

Hình 15: Thiết lập chế độ làm việc của phần mềm GPA 68

Hình 16: Nhập thông tin để tạo khóa 68

Hình 17: Quá trình tạo khóa, người dùng di chuột hoặc chơi game để tăng tính ngẫu nhiên cho khóa 69

Hình 18: Quản lý khóa 70

Hình 19: Sử dụng khóa 71

Hình 20: Ký tài liệu 72

Hình 21: Kiểm tra chữ ký 73

Hình 22: Mã hóa tài liệu 74

9

DANH MỤC CÁC BIỂU ĐỒ ĐƢỢC SỬ DỤNG

Biểu đồ 1: Số tờ khai đƣợc làm thủ tục hải quan điện tử qua các tháng (nguồn: Báo cáo về việc triển khai thủ tục TQĐT của cục CNTT và Thống kê hải quan) 21

10

BẢNG KÝ HIỆU VIẾT TẮT

DSA Digital Signature Algorithm Thuật toán chữ ký số

EDI Electronic Data Interchange Hệ thống trao đổi dữ liệu điện tử

xuất xuất khẩu

RSA Ron Rivest, Adi Shamir, Len

Adleman

3 tác giả của thuật toán

SHA Secure Hash Algorithm Thuật toán mã hóa an toàn bằng hàm

băm

11

MỞ ĐẦU

Trước chủ trương chủ động hội nhập kinh tế khu vực và thế giới, Việt Nam đang từng bước cải cách các thủ tục hành chính nhằm đơn giản hóa các quy trình, thiết lập môi trường thông thoáng và hấp dẫn, tạo điều kiện cho các hoạt động thương mại, hoạt động sản xuất kinh doanh phát triển Với mục tiêu trên, trong những năm gần đây ngành Hải quan đang nỗ lực triển khai cải cách và hiện đại hóa hải quan

Thực tế cho thấy, số lượng doanh nghiệp tham gia sản xuất kinh doanh xuất nhập khẩu đã tăng lên nhanh chóng, số lượng tờ khai hải quan là rất lớn Bên cạnh đó các loại tội phạm như buôn lậu, vận chuyển ma túy, vũ khí ngày càng gia tăng với hành vi và thủ đoạn vô cùng tinh vi Để đối phó với tình hình đó, hải quan điện tử đã ra đời Với hải quan điện tử, các doanh nghiệp có thể khai hải quan và làm thủ tục hải quan rất thuận lợi

do các đơn vị hải quan có thể xử lý một khối lượng lớn công việc trong thời gian rất ngắn, tiết kiệm được chi phí, thời gian và tiền bạc, chống lại các hành động tiêu cực do doanh nghiệp không trực tiếp làm việc với các cán bộ hải quan Bên cạnh đó, cơ quan hải quan cũng kiểm soát được các hoạt động của các doanh nghiệp từ đó kiểm soát được các hoạt động phạm tội như đã nêu ở trên

Dù mới chỉ ở giai đoạn thí điểm, nhưng kết quả mà hải quan điện tử đạt được là không nhỏ Tuy nhiên, vần còn tồn tại rất nhiều thiếu sót cần phải được giải quyết ngay trong thời gian sắp tới Đó là hệ thống hải quan điện tử chưa được xây dựng hoàn thiện, thiếu đồng bộ, tính tự động còn thấp do chưa xây dựng được hệ thống quản lý rủi ro cũng như là chưa chuẩn hóa được danh sách các mặt hàng xuất nhập khẩu Nghiêm trọng nhất

là vấn đề an toàn thông tin trong hải quan điện tử chưa được đảm bảo Đây là vấn đề lớn

và là vấn đề cần phải giải quyết đầu tiên nhằm hoàn thiện hệ thống hải quan điện tử Trên thế giới, một biện pháp an toàn thông tin đang được sử dụng rộng rãi và đã mang lại nhiều lợi ích cho người dùng trong các giao dịch điện tử đặc biệt là thương mại điện tử, đó là việc sử dụng chữ ký số vào các quá trình trao đổi thông tin Với chữ ký số, thông tin truyền trong hệ thống được đảm bảo tính toàn vẹn, tính tin vậy và tính không thể phủ nhận Với tình hình hiện tại ở Việt Nam đặc biệt là trong lĩnh vực hải quan điện tử thì việc áp dụng chữ ký số nhằm đảm bảo an toàn thông tin là hoàn toàn phù hợp và khả thi

Để có thể áp dụng chữ ký số, Hải quan Việt Nam cần phải xây dựng được một hệ thống

13

Chương 1 TỔNG QUAN VỀ HẢI QUAN VỆT NAM

1 Tổng quan về Hải quan Việt Nam

Năm 1945 Cách mạng tháng 8 thành công, Hồ Chủ tich đã đọc bản Tuyên ngôn độc lập khai sinh nước Việt Nam dân chủ cộng hoà Tuy nhiên, sau đó Việt Nam vẫn phải tiếp tục trải qua 30 năm chiến tranh ác liệt và cả một quá trình dài để hàn gắn vết thương chiến tranh

Ngày 10 tháng 9 năm 1945, Bộ trưởng Bộ Nội vụ Võ Nguyên Giáp thừa uỷ quyền của Chủ tịch Chính phủ lâm thời Việt nam dân chủ cộng hoà ký Sắc lệnh số 27 - SL thành lập "Sở thuế quan và thuế gián thu" khai sinh Hải quan Việt Nam Với mục đích đảm bảo việc kiểm soát hàng hoá XNK và duy trì nguồn thu ngân sách Hải quan Việt Nam không ngừng chăm lo xây dựng, hoàn thiện và nâng cao cơ sở pháp lý - quản lý Nhà nước để ngày càng phù hợp hơn với thực tiễn của nước Việt Nam Từ chỗ Hải quan Việt Nam còn phải tạm thời sử dụng những quy định nghiệp vụ về thuế quan của chính quyền thực dân đến nay đã xây dựng và ban hành được “Điều lệ Hải quan”, Pháp lệnh Hải quan và tiếp đó

là Luật Hải quan Việt Nam có hiệu lực từ ngày 1 tháng 1 năm 2002

Với những mục tiêu nhằm tạo thuận lợi cho phát triển XNK, thu hút đầu tư nước ngoài, phát triển du lịch và giao thương quốc tế, đảm bảo quản lý, nâng cao chất lượng, hiệu quả công tác Hải quan Việt Nam đã luôn luôn thực hiện theo khẩu hiệu mà mình đã đặt ra: “Thuận lợi, tận tuỵ, chính xác”

Mục tiêu của chúng là là xây dựng hải quan Việt Nam thành lực lượng có tính chuyên nghiệp cao, có chuyên môn sâu và hiện đại, hoạt động minh bạch, liêm chính và

có hiệu quả nhằm đáp ứng yêu cầu của tình hình và nhiệm vụ phát triển kinh tế đất nước Với phương châm hoa ̣t đô ̣ng “Thuâ ̣n lợi , tâ ̣n tu ̣y và chính xác”, nhiê ̣m vu ̣ được đă ̣t ra đối

với ngành hải quan là:

- Quản lý có hiệu quả các hoạt động xuất nhập khẩu và giao lưu quốc tế, tạo điều kiện cho thương mại và sản xuất phát triển

- Bảo vệ vàtạo điều kiện thuận lợi cho sự phát triển của nền kinh tế quốc gia

- Bảo đảm nguồn thu cho ngân sách

- Chống buôn lậu, gian lận thương mại, bảo vệ lợi ích người tiêu dùng

14

- Góp phần bảo vệ chủ quyền kinh tế, an ninh quốc gia và an toàn xã hội

- Phục vụ quản lý kinh tế xã hội

Để thực hiê ̣n tốt cá c nhiê ̣m vu ̣ trên , ngành Hải quan cũng đã xây dựng được kế hoạch, chiến lươ ̣c phát triển đến năm 2010, tầm nhìn đến 2020 Đó là viê ̣c phải cải cách , phát triển hiện đại hóa ngành với mục tiêu đổi mới , hiê ̣n đa ̣i hóa mô ̣t cách ma ̣nh mẽ, toàn diê ̣n các mă ̣t công tác Hải quan nhằm nâng cao năng lực quản lý , tạo thuận lợi cho các hoạt động giao lưu thương mại và thực hiện đầy đủ các cam kết quốc tế

Yêu cầu đặt ra là ngành Hải quan phải quản lý lượng hàng hóa XNK, lượng hành khách, phương tiện vận tải XNK ngày càng gia tăng Dự báo hoạt động buôn bán vận chuyển ma tuý, chất gây nghiện, vũ khí, văn hóa phẩm đồi truỵ, phản động ngày càng gia tăng và phức tạp hơn, xuất hiện những hình thức buôn lậu và gian lận mới như: vi phạm bản quyền, xâm phạm sở hữu trí tuệ, vi phạm trong lĩnh vực CNTT, rửa tiền, buôn lậu động thực vật quý hiếm… Nhưng số lượng cán bộ công chức Hải quan không thể tăng theo tỷ lệ thuận Trong khi đó, hoạt động quản lý Nhà nước về Hải quan vẫn phải đảm bảo tạo thuận lợi, thông thoáng cho hoạt động XNK, đầu tư, du lịch, dịch vụ như thủ tục hải quan phải đơn giản, minh bạch, cung cấp thông tin nhanh chóng, công khai, đặc biệt là phải thông quan nhanh, giảm thiểu chi phí cho doanh nghiệp, tạo môi trường thu hút đầu

tư nước ngoài nhằm đạt được các mục tiêu phát triển kinh tế xã hội của Đất nước liên quan đến hoạt động quản lý Nhà nước về Hải quan và thu ngân sách và yêu cầu cải cách nền hành chính Quốc gia

Xuất phát từ yêu cầu hội nhập và xu hướng phát triển của Hải quan quốc tế cũng như khu vực, Hải quan Việt Nam cần phải thực hiện đầy đủ các cam kết quốc tế liên quan đến Hải quan Trong khuôn khổ WTO, ASEAN, APEC, ASEM, WCO và các tổ chức Quốc tế khác, Việt Nam cần phải đảm bảo hệ thống pháp luật về hải quan đầy đủ, thống nhất, rõ ràng và công khai, phù hợp với các cam kết quốc tế; đảm bảo cho các quy định của pháp luật hải quan được thực hiện nghiêm chỉnh, bình đẳng cho mọi đối tượng Bên cạnh đó, cũng cần nhìn nhận sự phát triển của Hải quan Việt Nam trong bối cảnh phát triển thương mại quốc tế như việc xuất hiện các hình thức bảo hộ mới trong điều kiện thuế ngày càng giảm, yêu cầu về luân chuyển, trao đổi hàng hóa ngày càng nhanh chóng, các loại hình vận chuyển đa phương thức, thương mại điện tử ngày càng phát triển và trở

2 Hải quan điện tử Việt Nam

Trên cơ sở lộ trình cải cách hành chính, hiện đại hóa ngành hải quan và dựa trên Luật hải quan sửa đổi vừa được Quốc hội khóa XI, kỳ họp thứ 7 thông qua tháng 5/2005, đồng thời từng bước cải cách hoạt động nghiệp vụ hải quan theo hướng phù hợp với chuẩn mực của hải quan hiện đại trong khu vực và thế giới; chuyển đổi từ thủ tục hải quan công sang thủ tục HQĐT, để góp phần đẩy mạnh cải cách hành chính trong ngành hải quản, giúp cho ngành Hải quan nước ta tương thích với Hải quan các nước trong khu vực

và phù hợp với tiến trình hội nhập, nhất là trong bối cảnh chúng ta đang chuẩn bị gia nhập WTO, ngày 20 tháng 6 năm 2005 Chính phủ đã ban hành Quyết định số 149/2005/QĐ-TTg về việc thực hiện thí điểm thủ tục HQĐT, ngày 19 tháng 7 năm 2005 Bộ Tài chính ban hành Quyết định số 50/2005/QĐ-BTC ban hành Quy định quy trình thự hiện thí điểm thủ tục HQĐT đối với hàng hóa xuất khẩu, nhập khẩu

2.1 Tính cấp bách phải hiện đại hoá thủ tục hải quan

2.1.1 Yêu cầu thực hiện khối lượng công việc tăng lên nhanh chóng

Với tốc độ tăng trưởng kinh tế hơn 7%/năm, kim ngạch xuất nhập khẩu hàng năm liên tục tăng Kim ngạch xuất khẩu tăng từ 16.705,84 triệu USD năm 2002 lên 39.826,21 triệu USD trong năm 2006 Đồng thời, kim ngạch nhập khẩu cũng tăng với tỷ lệ tương đương từ 19.733,04 triệu USD (năm 2002) lên 44.891,11 triệu USD (năm 2006) Thời kỳ 2001-2006, xuất khẩu hàng hoá tăng bình quân 24,32%/năm, dự báo thời kỳ 2006-2010 sẽ tăng bình quân 20,44%/năm Theo dự báo của Bộ Thương Mại, tổng kim ngạch xuất khẩu hàng hoá và dịch vụ tới năm 2010 sẽ đạt khoảng 62.234,8 triệu USD Nhập khẩu hàng hoá tăng bình quân trong thời kỳ 2001-2006 là 22,91%/năm, dự báo thời kỳ 2006-2010 là 18,09%/năm Tổng kim ngạch nhập khẩu dịch vụ tới năm 2010 là 68.711,86 triệu USD

16

Bảng 1: Kim ngạch XNK (Nguồn: Tài liệu thống kê của Tổng cục Hải quan)

KIM NGẠCH XNK (TRIỆU USD)

tăng

Xuất khẩu

Tỷ lệ tăng

Nhập khẩu

Tỷ lệ tăng

Do đó, khối lượng công việc của các cán bộ hải quan sẽ tăng lên nhanh chóng Khối lượng công việc thì ngày một gia tăng trong khi thời gian và số lượng cán bộ hải quan thì

có hạn, hơn nữa, hàng hoá xuất nhập khẩu chủ yếu dồn vào một số cửa khẩu chính Yêu cầu bức thiết đặt ra là làm thế nào để có thể giải quyết được khối lượng công việc khổng

lồ đó trong thời gian ngắn nhất nhằm nâng cao hiệu quả công việc, tạo điều kiện thuận lợi cho các doanh nghiệp tham gia vào hoạt động xuất nhập khẩu, tiết kiệm chi phí

Trước yêu cầu cấp bách này, thủ tục HQĐT ra đời nhằm làm tăng hiệu suất công việc chỉ cần một số lượng nhân viên ít để giải quyết khối lượng công việc lớn

17

Bảng 2: Số lượng tờ khai XNK và số lượng doanh nghiệp tham gia XNK từ năm 2002 – 2006 (nguồn: Tài liệu

thống kể của Tổng cục Hải quan)

Xuất khẩu Nhập khẩu Xuất khẩu Nhập khẩu

2.1.2 Yêu cầu quản lý Nhà nước và cộng đồng doanh nghiệp

Trước một thực tế đã nêu ở trên, khi khối lượng hàng hoá xuất nhập khẩu tăng lên,

số lượng doanh nghiệp tham gia hoạt động xuất nhập khẩu ngày càng tăng, thì một bài toán hóc búa đặt ra đối với công tác quản lý của Nhà nước là làm sao để quản lý hoạt động xuất nhập khẩu một cách hiệu quả nhất

Trong thủ tục hải quan truyền thống, khi doanh nghiệp tiến hành làm thủ tục Hải quan sẽ phải thực hiện việc khai hải quan, xuất trình cho cán bộ hải quan các giấy tờ liên quan (dạng văn bản) Điều này không những gây khó khăn cho phía doanh nghiệp mà còn tăng thời gian giải phóng hàng do cán bộ hải quan mất nhiều thời gian để kiểm tra hồ sơ dẫn đến ùn tắc công việc đó là chưa kể đến xảy ra nhiều tiêu cực do doanh nghiệp tiếp xúc trực tiếp với cán bộ Hải quan

Hải quan điện tử cho phép doanh nghiệp khai thông tin về hàng hóa XNK ở dạng điện tử và gửi đến cơ quan Hải quan, cán bộ hải quan có thể kiểm tra trước thông tin và thực hiện các thủ tục liên quan (phân luồng hàng hóa, thông báo cho doanh nghiệp trong trường hợp yêu cầu khai lại hoặc kiểm tra hồ sơ hoặc kiểm tra thực tế, ) Vì vậy sẽ giảm thời gian thông quan và giảm việc tiếp xúc trực tiếp giữa cán bộ hải quan và doanh nghiệp

18

Ngoài ra thông tin về doanh nghiệp ở dạng điện tử sẽ được lưu trữ, khai thác với qui

mô rộng hơn, tần xuất cao hơn, chính xác hơn so với hồ sơ giấy

2.1.3 Yêu cầu hội nhập và xu hướng phát triển của hải quan quốc tế

Hội nhập kinh tế quốc tế đòi hỏi chúng ta phải cải cách rất nhiều thủ tục hành chính trong đó có hoạt động quản lý hải quan Đặc biệt trong giai đoạn hiện nay, khi Việt Nam

đã là thành viên của WTO, thì việc cải cách hoạt động nghiệp vụ hải quan theo hướng phù hợp với chuẩn mực của hải quan thế giới lại càng trở lên cần kíp

Muốn tham gia vào trò chơi, trước tiên, ta phải tuân thủ luật chơi Cũng như vậy, muốn hội nhập kinh tế với khu vực và thế giới, ta phải điều chỉnh các chính sách, cơ chế của mình sao cho vừa phù hợp với các quy định của các tổ chức trong khu vực và thế giới

đó, lại vừa đảm bảo bảo vệ tối đa lợi ích của quốc gia

Hiện đại hoá hải quan và cải cách các thủ tục, nghiệp vụ hải quan theo hướng phù hợp với chuẩn mực của hải quan hiện đại trong khu vực và quốc tế tạo cho chúng ta khả năng tận dụng tối đa lợi thế mà hội nhập đem lại Một hành lang thông thoáng, phù hợp với khu vực và thế giới với cách làm việc hiện đại, ứng dụng thành tựu của công nghệ thông tin sẽ giúp chúng ta đẩy mạnh thương mại hai chiều giữa Việt Nam và phần còn lại của thế giới; đuổi kịp công nghệ, cách quản lý hiện đại của thế giới; nhanh chóng hoà nhập với các nước thành viên

Ngoài ra, khi đã trở thành thành viên của các tổ chức hợp tác kinh tế khu vực và quốc tế, hiện đại hoá thủ tục hải quan cũng là một trong nhưng yêu cầu mang tính bắt buộc, thực hiện các cam kết và công ước quốc tế

2.1.4 Sự phát triển của thương mại quốc tế cả về nội dung và hình thức

Thương mại quốc tế phát triển ngày càng đa dạng và phong phú Nếu như trước kia chỉ có thương mại hàng hoá truyền thống thì ngày nay, thương mại quốc tế phát triển với nhiều hình thức mới, nhiều loại hàng mới: thương mại điện tử, thương mại dịch vụ… Song song với hình thức thương mại quốc tế truyền thống, thương mại điện tử đang ngày càng phát triển và tương lại sẽ là hình thức chiếm ưu thế Đồng thời, khối lượng và giá trị một giao dịch cũng ngày một lớn đòi hỏi việc khai báo hải quan cũng phải có những cải cách sao cho phù hợp

19

Với hình thức thương mại điện tử, các giao dịch đều thông qua hệ thống máy tính và Internet có ứng dụng công nghệ thông tin cao, nên việc áp dụng hình thức khai báo HQĐT là rất phù hợp Nó làm cho việc khai báo hải quan vừa nhanh chóng, vừa tiện lợi

ma tuý và vũ khí trái phép ra/ vào nước ta Cùng với đó, hoạt động rửa tiền của các tổ chức tội phạm quốc tế tại nước ta cũng ngày càng gia tăng

Thực trạng trên, đòi hỏi chúng ta phải có hình thức quản lý chặt chẽ để có thể phát hiện, hạn chế và ngăn chặng những hoạt động phạm pháp trên Trong đó, công tác hải quan đóng một vai trò đặc biệt quan trọng

2.1.6 Theo quyết định của Thủ tướng chính phủ vê việc thí điểm thực hiện thủ tục hải quan điện tử

Trước những đòi hỏi về hiện đại hoá hải quan cũng như nhận biết rõ tầm quan trọng của việc cải cách các thủ tục hải quan, ngày 20/6/2005, Thủ tướng chính phủ đã ra quyết định 149/2005/QĐ-TTg về việc thực hiện thí điểm thủ tục HQĐT Theo đó, một số doanh nghiệp tham gia hoạt động XNK sẽ được chọn để thực hiện thí điểm thủ tục HQĐT và việc thực hiện thí điểm này sẽ được tiến hành tại cục Hải quan thành phố Hồ Chí Minh, Chi cục HQĐT TP Hồ Chí Minh và cục Hải quan thành phố Hải Phòng, Chi cục HQĐT Hải Phòng

20

Quy trình thủ tục HQĐT và lộ trình thực hiện HQĐT được thực hiện theo quyết định 149/QĐ-TTg ngày 20/6/2005 và theo công văn số 3339/TCHQ-HĐH ngày 19/802005 của Tổng Cục Hải Quan hướng dẫn chi tiết quy trình thủ tục HQĐT

2.2 Nội dung thực hiện thí điểm thủ tục hải quan điện tử ở Việt Nam

2.2.1 Đối tượng áp dụng

Khuyến khích tất cả các doanh nghiệp thuộc mọi thành phần kinh tế tự nguyện đăng

ký tham gia thủ tục HQĐT, nhưng giai đoạn đầu cần đáp ứng các điều kiện sau:

- Minh bạch trong tài chính: có xác nhận của Cơ quan Thuế nội địa trong việc chấp hành tốt kê khai và nộp thuế theo quy định

- Không vi phạm pháp luật hải quan quá 1 lần thuộc thẩm quyền xử phạt vi phạm hành chính của Cục trưởng Cục Hải quan tỉnh, liên tỉnh, thành phố trực thuộc trung ương trở lên trong thời gian một (01) năm, tính đến ngày đăng ký tham gia làm thủ tục HQĐT

- Có kim ngạch xuất nhập khẩu và/ hoặc có lưu lượng tờ khai đạt mức do Tổng cục trưởng Tổng cục Hải quan quyết định cụ thể theo từng giai đoạn thực hiện thí điểm thủ tục HQĐT

- Sẵn sàng nối mạng máy tính với Chi cục HQĐT hoặc sử dụng dịch vụ của Đại lý làm thủ tục hải quan để làm thủ tục HQĐT

2.2.2 Phạm vi áp dụng

Quy trình thủ tục HQĐT áp dụng đối với hàng hoá XNK theo hợp đồng mua bán làm thủ tục hải quan tại Cục hải quan thành phố Hải phòng, Cục Hải quan thành phố Hồ Chí Minh và các Cục hải quan tỉnh, thành phố khác khi được phép thực hiện thí điểm thủ tục HQĐT do Bộ trưởng Tài chính quy định

2.3 Đa ́ nh giá viê ̣c thực hiê ̣n thủ tu ̣c hải quan điê ̣n tử

21

Trước đây để làm thủ tục hải quan cho một lô hàng, doanh nghiệp cần ít nhất là 7-8 tiếng, thế nhưng với HQĐT thì có thể chỉ mất 2-3 phút cho một lô hàng Chỉ một chiếc máy tính nối mạng với cơ quan Hải quan, doanh nghiệp kê khai các thông tin theo yêu cầu chuẩn xác là đã có thể được cơ quan hải quan xác nhận hoàn thành thủ tục trên hệ thống Việc rút ngắn thời gian thông quan không những giúp doanh nghiệp giải phóng hàng nhanh chóng, tiết kiệm được chi phí lưu kho, lưu bãi mà tránh cho doanh nghiệp phải đi lại nhiều lần, tiết kiệm được thời gian và chi phí Chính vì vậy chỉ sau khi đưa vào thực hiện, số lượng tờ khai được mở qua các chi cục HQĐT đã được tăng lên nhanh chóng

Biểu đồ 1: Số tờ khai được làm thủ tục hải quan điện tử qua các tháng (nguồn: Báo cáo về việc triển khai thủ tục

TQĐT của cục CNTT và Thống kê hải quan)

Theo thống kê tại Chi cục HQĐT TP Hồ Chí Minh, thời gian làm thủ tục trung bình

là 5-10 phút cho tờ khai luồng xanh; 20-30 phút cho một tờ khai luồng vàng và 1-2 giờ cho một tờ khai luồng đỏ Như vậy so với thủ tục hải quan truyền thống thì thời gian trung bình đã giảm từ 4-8 giờ cho một lô hàng Đây là một kết quả rất đáng ghi nhận Thủ tục HQĐT đã nhận được nhiều sự ủng hộ nhiệt tình của cộng đồng doanh nghiệp Thành công của việc thực hiện TQĐT được thể hiện qua những nét sau:

0 200

22

2.3.1.2 Giảm bớt các thủ tục hành chính:

Thủ tục HQĐT bước đầu chuyển đổi phương thức quản lý từ truyền thống sang hiện đại: từ quản lý giao dịch sang quản lý doanh nghiệp, từ xử lý trên giấy tờ sang xử lý trên máy tính, hiện đại hoá Hải quan trên cơ sở áp dụng QLRR Thủ tục HQĐT cho phép giảm tối đa lượng giấy tờ phải nộp cho cơ quan hải quan, tất cả thông tin khai báo về lô hàng đều được quản lý trên máy tính nên doanh nghiệp chỉ việc in tờ khai, ký đóng dấu và đến chi cục Hải quan cửa khẩu để lấy hàng (thay vi phải luân chuyển bộ hồ sơ qua các bộ phận: tiếp nhận, kiểm hoá, tính thuế) Như vậy đối với những lô hàng thuộc luồng xanh, doanh nghiệp không phải xuất trình cho cơ quan hải quan bất cứ một loại giấy tờ gì Đây cũng là một ưu điểm của HQĐT so với thủ tục hải quan truyền thống

2.3.1.3 Tăng trách nhiệm của doanh nghiệp xuất nhập khẩu

Hệ thống thông tin quản lý của cơ quan Hải quan buộc doanh nghiệp phải nâng cao trách nhiệm Cơ quan Hải quan cho thông quan hàng hoá trên cơ sở khai báo của doanh nghiệp và đẩy mạnh hoạt động kiểm tra sau thông quan Doanh nghiệp đã từng vi phạm, khai báo sai sẽ được lưu giữ và cảnh báo bởi cơ sở dữ liệu của Hải quan

2.3.1.4 Giảm tiêu cực, tăng cường chống buôn lậu và gian lận thương mại

Với thủ tục HQĐT, doanh nghiệp không cần phải tiếp xúc trực tiếp với cơ quan hải quan, vì vậy giảm được tiêu cực Tránh được việc gây phiền hà, sách nhiễu của cán bộ

công chức hải quan

Hải quan điện tử cho phép thực hiện việc quản lý thông tin theo cả một quá trình hoạt động của doanh nghiệp, chứ không chỉ riêng từng lô hàng Từ đó hạn chế được gian lận thương mại và chống buôn lậu

2.3.1.5 Giảm khối lượng công việc cho cơ quan Hải quan

Thực hiện thủ tục HQĐT, giúp cơ quan hải quan giảm được khối lượng lớn công việc so với thủ tục hải quan truyền thống Nếu như theo thủ tục hải quan truyền thống, khi doanh nghiệp đăng ký tờ khai cơ quan hải quan phải kiểm tra thông tin về doanh nghiệp

và thông tin về hàng hoá bằng cách nhập lại toàn bộ các thông tin trên tờ khai vào hệ thống dữ liệu của cơ quan Hải quan thì với HQĐT cơ quan Hải quan đã có sẵn các dữ liệu theo khai báo của doanh nghiệp và hệ thống sẽ tự động kiểm tra và báo cáo kết quả Khối lượng công việc giảm, hiệu quả công việc nhanh, đáp ứng được kịp thời yêu cầu về thời

23

gian cho doanh nghiệp, đồng thời tiết kiệm được nhân lực, tiết kiệm được chi phí cho quốc gia

2.3.2 Những tồn tại

2.3.2.1 Vấn đề mô hình triển khai

Thủ tục HQĐT được triển khai theo mô hình thành lập mới Chi cục HQĐT và thực hiện thủ tục với tất cả các doanh nghiệp Mô hình trên phù hợp với giai đoạn triển khai thí điểm cần có sự đồng bộ, nhất quán Tuy nhiên khi muốn triển khai mở rộng cho các đơn

vị khác mô hình trên gặp các vấn đề như sau:

- Việc thành lập 01 Chi cục HQĐT cho mỗi Cục hải quan là không phù hợp trong điều kiện hiện tại khi chúng ta đang thực hiện các biện pháp cải cách giảm đầu mối vì nó làm phình bộ máy hành chính;

- Khi đã có Chi cục Hải quan điện tử, các Chi cục khác sẽ đứng ngoài không có động cơ tích cực tham gia quá trình điện tử hóa;

- Chi cục HQĐT không gắn liền với khu kiểm tra hàng hóa (cảng biển, cửa khẩu, ) dẫn đến việc doanh nghiệp phải đi lại nhiều lần trong trường hợp hàng hóa phân vào luồng vàng hoặc luồng đỏ

2.3.2.2 Tính tự động của hệ thống còn thấp, chưa đáp ứng yêu cầu làm thủ tục theo đúng quy định

Do chưa xây dựng được hệ thống QLRR nên tính tự động của hệ thống còn thấp Khi tờ khai hải quan được chuyển đến thì cán bộ hải quan vẫn phải trực tiếp phân luồng Ngoài ra thì khi lỗi đường truyền, người khai phải nhập lại tờ khai nhưng tờ khai đó lại bị chuyển thành tờ khai khác với số hiệu tờ khai khác Nhiều khi doanh nghiệp cũng phải làm lại theo quá trình thủ công

2.3.2.3.Việc chuẩn hoá chính sách mặt hàng, danh mục các biểu thuế và bộ tiêu chí QLRR chưa hoàn chỉnh

Do các Bộ ngành chưa chuẩn hoá danh sách các mặt hàng nên rất khó khăn trong việc đưa vào hệ thống và chưa có một qui định hay cơ chế trao đổi dữ liệu giữa các cơ quan trong việc cung cấp, cập nhật hay chuẩn hoá chính sách mặt hàng, nếu có thì việc thực hiện trên thực tế còn nhiều hạn chế Tình hình này xảy ra tương tự như đối với danh

24

mục các biểu thuế, hiện tại có gần 10 danh mục biểu thuế cần được đưa vào hệ thống Bên cạnh đó, hiện tại cũng chưa có bộ tiêu chí rủi ro cấp Tổng cục và cấp cục nên cũng khó khăn trong việc phân luồng kiểm tra hàng hoá

2.3.2.4 Thiếu sự phối hợp đồng bộ giữa các khâu, các bộ phận khác có liên quan

Trong nội bộ ngành Hải quan, việc phối kết hợp trong việc xử lý một lô hàng giữa Chi cục HQĐT và các Chi cục Hải quan cửa khẩu không được thiết chế chặt chẽ dẫn đến việc đùn đẩy, thoái thác trách nhiệm trong công tác kiểm tra, giám sát hàng hóa

Ngoài ra, Do các khâu khác liên quan đến thủ tục hải quan như vận tải, giao nhận kiểm tra về chất lượng hàng hoá, vệ sinh an toàn thực phẩm, giám định (đối với một số

lô hàng cụ thể) còn làm thủ tục bằng phương pháp thủ công Do đó, dù có khai báo bằng HQĐT thì các doanh nghiệp vẫn phải hoàn thiện các khâu còn lại bằng phương pháp thủ công Việc này đã làm giảm bớt các tiện ích của khai báo HQĐT, đồng thời khiến cho các doanh nghiệp không mấy mặn mà với quy trình thủ tục hải quan mới này

2.3.2.5 Trang thiết bị tại các đơn vị hải quan chưa đồng bộ

Thiết bị máy tính của HQĐT được trang bị rất hiện đại nhưng chưa đồng bộ, nhất là

ở những kho bãi nhỏ, cửa khẩu xa Thời gian khai báo, truyền nhận thông tin tờ khai chưa nhanh, khi khai báo, doanh nghiệp phải làm đi làm lại nhiều lần Nhiều khi doanh nghiệp đến kho bãi nhận hàng thì thông tin chưa được truyền đến nơi, buộc doanh nghiệp phải chờ

Thêm vào đó, còn nhiều kho bãi chứa hàng chưa được kết nối với hệ thống khai HQĐT, nên có nhiều trường hợp, tờ khai được hải quan chấp nhận thông quan nhưng khi

ra đến cửa khẩu nhận hàng, hải quan cửa khẩu không có thông tin làm căn cứ thông quan

Do đó, cán bộ hải quan lại phải về trụ sở chi cục để cập nhất vào hệ thống, vì vậy, gây ra tình trạng chậm trễ trong việc xử lý thông quan cho hàng hoá so với xử lý thủ công hiện hành

2.3.2.6 Những hạn chế về phần mềm

Công ty FPT là công ty chịu trách nhiệm về xây dựng phần mềm TQĐT Mặc dù công ty có khá nhiều thuận lợi do đã có quá trình hợp tác và thực hiện nhiều dự án công nghệ thông tin với hải quan, nhưng do đây là một vấn đề khá mới mẻ, phải áp dụng nhiều

Các phần mềm quản lý hiện tại chưa được tích hợp vào phần mềm TQĐT chung để tạo thuận lợi cho công chức tác nghiệp và tăng cường khả năng tự động của hệ thống Phần mềm dành cho phía doanh nghiệp chưa ổn định, chất lượng dịch vụ hỗ trợ chưa tốt Thêm vào đó, phần mềm cho doanh nghiệp mới chỉ dừng ở chức năng khai báo, trao đổi thông tin và quản lý thông tin khai HQĐT mà chưa có thêm các yêu cầu quản lý đặc thù cho từng doanh nghiệp

- Hai là, chưa có hướng dẫn chi tiết về kiểm tra sau thông quan trong thủ tục HQĐT

- Ba là, chưa có hướng dẫn về các vấn đề nghiệp vụ khác phát sinh trong thủ tục HQĐT như việc cấp giấy chứng nhận nguồn gốc với hàng hoá xuất nhập khẩu là phương tiện vận tải Hiện nay, việc cấp giấy chứng nhận này đang do Cục Hải quan cấp Theo đó, chi cục HQĐT phải trình bộ hồ sơ cho cấp Cục, trong khi thủ tục HQĐT không có hồ sơ giấy Đây là một trong những bất cập cần giải quyết

- Bốn là, Khi triển khai mở rộng về địa bàn và loại hình ra các loại hình đặc thù như gia công, NSXXK, quản lý khu công nghiệp, khu chế xuất cơ cấu tổ chức cũng như vai trò hiện tại của Chi cục điện tử chưa đáp ứng được yêu cầu quản lý mà những loại hình đặc thù trên đề ra Cụ thể là:

+ Doanh nghiệp hoạt động trong khu chế xuất, khu công nghiệp, doanh nghiệp chuyển phát nhanh thường ở những khu vực xa Chi cục HQĐT, theo mô hình hiện tại, nếu lô hàng thuộc luồng Vàng, doanh nghiệp phải đến Chi cục điện tử để kiểm tra hồ sơ

26

Việc này khiến thời gian làm thủ tục của doanh nghiệp kéo dài Mặt khác, Chi cục Hải quan quản lý khu chế xuất, khu công nghiệp nắm tình hình doanh nghiệp tốt hơn Chi cục HQĐT nên việc quản lý doanh nghiệp sẽ thuận tiện và chặt chẽ hơn

+ Việc mở rộng ra các loại hình quản lý theo chế độ riêng như gia công, NSXXK đòi hỏi Chi cục điện tử phải bổ sung thêm các cơ cấu tổ chức nhằm đáp ứng các nghiệp

vụ đặc thù như: quản lý hợp đồng gia công, thanh khoản hợp đồng gia công, thanh khoản

tờ khai NSXXK

- Ngoài ra, công tác QLRR đối với thủ tục HQĐT vẫn chưa được hướng dẫn cụ thể

2.3.2.8 Vấn đề nhân sự

Đối với ngành hải quan, một trong những vấn đề đau đầu hiện nay là vấn đề nhân

sự Các cán bộ nhân viên công chức HQĐT hiện nay chủ yếu từ các bộ phận khác chuyển sang Phần lớn trong số họ đều không thông thạo về lĩnh vực công nghệ thông tin Do vậy, việc tiếp thu công nghệ cũng như xử lý tình huống vẫn còn gặp rất nhiều khó khăn Chính vì vậy, vấn đề nan giải ở đây là việc thiếu trầm trọng đội ngũ cán bộ nhân viên công chức hải quan thực sự có trình độ tin học cao, am hiểu công nghệ thông tin, thành thạo trong xử lý phần mềm cũng như những quy trình thực hiện TQĐT

3 Đánh giá chung

Ứng dụng CNTT đang trở thành yếu tố không thể thiếu trong chiến lược phát triển của các tổ chức chính phủ và các danh nghiệp Cùng với quá trình đổi mới tổ chức, đổi mới cơ chế chính sách và phương thức quản lý, quy trình điều hành, việc ứng dụng CNTT trong hoạt động của cơ quan nhà nước giúp các cơ quan chính phủ hoạt động hiệu quả hơn, minh bạch hơn, phục vụ công dân và doanh nghiệp tốt hơn Việc chuyển đổi định hướng ứng dụng CNTT theo hướng cung cấp dịch vụ công trực tuyến cho người dân, doanh nghiệp, hướng tới Chính phủ điện tử là mục tiêu cấp thiết của các cơ quan Chính phủ trong giai đoạn tới

Theo định hướng này, HQĐT ra đời đã giúp giảm một phần áp lực cho các chi cục hải quan cửa khẩu Toàn bộ công việc được xử lý thông quan hệ thống mạng máy tính giúp cho việc quản lý được hiệu quả, khoa học; hạn chế sự tiếp xúc giữa doanh nghiệp và

cơ quan hải quan, hạn chế tình trạng phiền hà, nhũng nhiễu và hạn chế tiêu cực xảy ra Có thể thấy thủ tục HQĐT là hình thức thủ tục tiên tiến so với thủ tục hải quan thủ công

27

Hiệu của đạt được của thủ tục HQĐT là rất đáng kể Cơ quan hải quan cũng như các doanh nghiệp đều hưởng được những lợi ích to lớn khi thực hiện thủ tục hải quan điên tử Tuy nhiên ở Việt Nam, việc triển khai HQĐT mới dừng ở mức thí điểm ở một vài chi cục hải quan Việc mở rộng HQĐT một cách toàn diện và triệt để trên phạm vi toàn quốc còn đang gặp phải rất nhiều khó khăn Đó là hệ thống chính sách, thủ tục hành chính phức tạp, hệ thống CNTT chưa hiện đại, vấn đề an toàn chưa được đảm bảo… Nhiệm vụ đặt ra là cần hiện đại hóa ngành hải quan về cả lực lượng, trang thiết bị, cơ sở vật chất, áp dụng các kỹ thuật tiên tiến vào giải quyết công việc, dặc biệt là phải nâng cao tính an toàn

và bảo mật cho các dữ liệu được trao đổi giữa các cơ quan hải quan và doanh nghiệp Khi thực hiện được nhiệm vụ này thì vấn đề an toàn trong thương mại quốc tế, chống gian lận, buôn lậu cũng sẽ được giải quyết triệt để, các cơ quan hải quan giảm thiểu được công việc, khối lượng hàng thông quan được tăng cường, giao thương giữa Việt Nam và các quốc gia khác trong và ngoài khu vực càng được đẩy mạnh… Có thể thấy thực hiện HQĐT trong hoàn cảnh đất nước hiện nay chính là giải pháp cấp bách nhằm ngăn chặn suy giảm kinh tế, duy trì tăng trưởng kinh tế, đảm bảo an sinh xã hội Phát triển thủ tục HQĐT chính là một yêu cầu cần thiết, có tính khách quan và chủ quan trong thời kỳ kinh

tế Việt nam hội nhập với thế giới, vì vậy trong thời gian tới HQĐT cần phải được triển

khai mạnh mẽ và quyết liệt với mục tiêu: Toàn diện, hiệu quả và an toàn

28

Chương 2 LÝ THUYẾT VỀ AN TOÀN THÔNG TIN

1 Định nghĩa an toàn thông tin

An toàn thông tin có nghĩa là thông tin được bảo vệ, các hệ thống có thể chống lại được những tai họa, những tác động không mong đợi để làm giảm thiểu những tác động xấu tới độ an toàn của hệ thống Một hệ thống không an toàn là hệ thống mà trong đó các

dữ liệu có thể bị đánh cắp, bị thay thế, bị sửa đổi làm sai lệch nội dung

Thông tin chỉ có giá trị khi được đảm bảo tính chính xác, kịp thời Hệ thống chỉ có thể cung cấp các thông tin có giá trị khi các chức năng của hệ thống hoạt động một cách đúng đắn Mục tiêu của an toàn bảo mật trong công nghệ thông tin là xây dựng được một

bộ tiêu chuẩn về an toàn, ứng dụng các tiêu chuẩn này vào các hệ thống nhằm loại trừ hoặc giảm thiểu tới mức tối đa các tác động nguy hiểm Ngày nay do các kỹ thuật truyền tải thông tin ngày càng hiện đại nên độ an toàn của hệ thống chỉ đạt đến mức nào đó Việc quản lý an toàn và rủi ro của thông tin phải gắn chặt với quản lý chất lượng Khi đánh giá

độ an toàn của thông tìn cần phải dựa trên việc phân tích các rủi ro, tăng sự an toàn của hệ thống bằng việc loại trừ các rủi ro Các đánh giá cần hài hòa với đặc tính cấu trúc của toàn

bộ hệ thống và quá trình kiểm tra chất lượng

Các yêu cầu an toàn bảo mật thông tin

Hiện nay các biện pháp tấn công ngày càng da dạng và tinh vi, đe dọa nghiêm trọng tới sự an toàn của thông tin Chúng ta cần đưa ra các chính sách và phương pháp đề phòng cần thiết nhằm đạt được mục đích bảo vệ an toàn cho thông tin theo các tiêu chí sau:

• Đảm bảo tính tin cậy: Thông tin không thể bị truy nhập trái phép bởi những người không có thẩm quyền

• Đảm bảo tính nguyên vẹn: Thông tin không thể bị sửa đổi, bị làm giả bởi những người không có thẩm quyền

• Đảm bảo tính sẵn sàng: Thông tin luôn sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền

• Đảm bảo tính không thể từ chối: Thông tin được cam kết về mặt pháp luật của người cung cấp

29

2 Chữ ký số

2.1 Khái niệm

Chữ ký số là thuật ngữ chỉ mọi phương thức khác nhau để một cá nhân, đơn vị có

thể "ký tên" vào một dữ liệu điện tử, thể hiện sự chấp thuận và xác nhận tính nguyên bản của nội dung dữ liệu đó

Khái niệm chữ ký điện tử là rộng hơn khái niệm chữ ký số Nó bao gồm tất cả các phương pháp để xác định người chủ của văn bản điện tử Đó có thể là tên hoặc hình ảnh

cá nhân kèm theo tài liệu hay có thể là các dữ liệu sinh trắc học như dấu vân tay, hình ảnh mống mắt…có khả năng xác thực người gửi

Trong giao dịch điện tử hiện nay trên thế giới, chữ ký số là hình thức chữ ký điện tử thông dụng nhất Chữ ký số gồm một cặp khóa bí mật và công khai Khóa bí mật được người gửi dùng để ký hay mã hóa, còn khóa công khai được người nhận dùng để giải mã

và xác thực thông tin người gửi

Khái niệm chữ ký số, hay các phương thức xác thực nói chung, được thực hiện trong các giao dịch điện tử được gọi là chứng thực số (Digital Certificate) Chứng thực số bao gồm cả hình thức xác thực của cá nhân, tổ chức, xác thực các website, dịch vụ thương mại điện tử cũng như là xác thực tính nguyên bản của các phần mềm

2.2 Các ưu điểm của chữ ký số

Khả năng xác định nguồn gốc: Các hệ thống mã hóa khóa công khai cho phép mã

hóa văn bản với khóa bí mật mà chỉ có người chủ khóa mới biết Để sử dụng chữ ký số thì

dữ liệu cần được mã hóa hàm băm (thường có độ dài cố dịnh và ngắn hơn dữ liệu gốc) sau đó dùng khóa bí mật để mã hóa Khi đó ta được chữ ký số Để kiểm tra, người nhận dùng khóa công khai để giải mã, lấy lại hàm băm và so sánh với hàm băm của văn bản nhận được Nếu hai giá trị này khớp nhau thì bên nhận có thể tin tưởng rằng dữ liệu này là chính xác Tất nhiên là không thể đảm bảo 100% các dữ liệu không bị giả mạo vì hệ thống vẫn có thể bị phá vỡ

Vấn đề trên đặc biệt quan trọng đối với các giao dịch tài chính Chẳng hạn một chi nhánh ngân hàng gửi một gói tin về trung tâm dưới dạng (a,b), trong đó a là số tài khoản

và b là số tiền chuyển vào tài khoản đó Một kẻ lừa đảo có thể gửi một số tiền nào đó để

30

lấy nội dung gói tin và truyền lại gói tin thu được nhiều lần để thu lợi (tấn công truyền lại gói tin)

Tính toàn vẹn: Cả hai bên tham gia vào quá trình trao đổi thông tin đều có thể tin

tưởng là dữ liệu sẽ không bị thay đổi khi truyền vì nếu dữ liệu thay đổi thì hàm băm cũng

sẽ thay đổi và nhờ đó có thể phát hiện được Quá trình mã hóa sẽ ẩn nội dung của dữ liệu với bên thứ 3 nhưng không thể ngăn cản được việc thay đổi nội dung của nó Tiếp tục ví

dụ như ở trên, một kẻ lừa đảo gửi 1.000.000 đồng vào tài khoản của a, chặn gói tin (a,b)

mà chi nhánh gửi về trung tâm rồi gửi gói tin (a,b3) thay thế để lập tức trở thành triệu phú Nhưng đó là vấn đề bảo mật của chi nhánh đối với trung tâm ngân hàng không hẳn liên quan đến tính toàn vẹn của thông tin gửi từ người gửi tới chi nhánh, bởi thông tin đã được băm và mã hóa để gửi đến đúng đích của nó tức chi nhánh, vấn đề còn lại vấn đề bảo mật của chi nhánh tới trung tâm của nó

Tính không thể phủ nhận: Trong giao dịch, một bên có thể phủ nhận một dữ liệu

nào đó là do mình gửi Bên nhận có thể yêu cầu bên gửi phải gửi kèm chữ ký số với dữ liệu Chữ ký đó được dùng như một chứng cứ để bên thứ 3 có thể đứng ra giải quyết khi

có tranh chấp Tuy nhiên khóa bí mật vẫn có thể bị lộ và tính không thể phủ nhận cũng không thể đạt được hoàn toàn

2.3.Thực hiện chữ ký số khóa công khai

Chữ ký số khóa công khai dựa trên nền tảng mã hóa khóa công khai Mỗi người dùng đều có một cặp khóa công khai và bí mật Khóa công khai được công bố rộng rãi còn khóa bí mật được lưu giữ an toàn và không thể tìm được khóa bí mật nếu chỉ biết khóa công khai Toàn bộ quá trình gồm 3 thuật toán:

- Thuật toán tạo khóa

- Thuật toán tạo chữ ký số

- Thuật toán kiểm tra chữ ký số

Xét ví dụ sau: B muốn gửi cho K một thông tin và K muốn biết thông tin đó có thực

sự do B gửi hay không Khi đó B gửi cho K một bản tin kèm chữ ký số Chữ ký này được tạo ra với khóa bí mật của B Khi nhận tin, K sẽ sử dụng khóa công khai của B để kiểm tra tính thống nhất giữa bản tin và chữ ký Bản chất của thuật toán rạo chữ ký đảm bảo nếu cho trước bản tin Rất khó (gần như không thể) tạo ra chữ ký của B nếu không biết

Mô tả sơ lược

RSA là thuật toán được mô tả lần đầu tiên vào năm 1977 tại Học viện Công nghệ Massachusetts bởi 3 tác giả là Ron Rivest, Adi Shamir và Len Adleman Tên thuật toán được lấy từ 3 chữ cái đầu tiên của tên tác giả

Thuật toán RSA có hai khóa: Khóa công khai và khóa bí mật Mỗi khóa là những số

cố định sử dụng trong quá trình mã hóa và giải mã Khóa công khai dùng để mã hóa và được công bố rộng rãi Thông tin được mã hóa bằng khóa công khai được giải mã bằng khóa bí mật tương ứng Như vậy mọi người đều có thể mã hóa nhưng chỉ người chủ khóa

bí mật tương ứng mới có thể giải mã

Tạo khóa

Giả sử B và K cần trao đổi thông tin bí mật thông qua một kênh không an toàn (ví

dụ như Internet) Với thuật toán RSA,B cần tạo ra cho mình cặp khóa gồm khóa công khai

và khóa bí mật theo các bước sau:

1 Chọn 2 số nguyên tố lớn p và q với p ≠ q, lựa chọn ngẫu nhiên và độc lập

32

- Các số nguyên tố thường được chọn bằng phương pháp thử xác suất

- Các bước 4 và 5 có thể được thực hiện bằng giải thuật Euclid mở rộng

Khóa công khai bao gồm:

Một dạng khác của khóa bí mật bao gồm:

- p and q, hai số nguyên tố chọn ban đầu,

- d mod (p-1) và d mod (q-1) (thường được gọi là dmp1 và dmq1),

- (1/q) mod p (thường được gọi là iqmp)

Dạng này cho phép thực hiện giải mã và ký nhanh hơn với việc sử dụng định lý số

dư Trung Quốc (tiếng Anh: Chinese Remainder Theorem - CRT) Ở dạng này, tất cả thành phần của khóa bí mật phải được giữ bí mật

K gửi khóa công khai cho B, và giữ cẩn thận khóa bí mật của mình Ở đây, p và q giữ vai trò rất quan trọng Chúng là các phân tố của n và cho phép tính d khi biết e Nếu không sử dụng dạng sau của khóa bí mật (dạng CRT) thì p và q sẽ được xóa ngay sau khi thực hiện xong quá trình tạo khóa

Mã hóa

Giả sử B muốn gửi đoạn thông tin M cho K Đầu tiên B chuyển M thành một số m <

n theo một hàm có thể đảo ngược (từ m có thể xác định lại M) được thỏa thuận trước Lúc này B có m và biết n cũng như e do K gửi B sẽ tính c là bản mã hóa của m theo công thức: cm e modn

Hàm trên có thể tính dễ dàng sử dụng phương pháp tính hàm mũ (theo môđun) bằng (thuật toán bình phương và nhân) Cuối cùng B gửi c cho K

33

Giải mã

K nhận c từ B và biết khóa bí mật d K có thể tìm được m từ c theo công thức sau:

n c

Tạo chữ ký số cho văn bản

Thuật toán RSA đƣợc dùng để tạo chữ ký số cho văn bản Giả sử K muốn gửi cho B một văn bản có chữ ký của mình, K sẽ tạo ra một giá trị băm của văn bản cần ký, tính giá trị mũ d mod n Giá trị cuối cùng là chữ ký điện tử của văn bản đang xét Khi B nhận văn bản cùng chữ ký điện tử thì anh ta có thể tính giá trị mũ e mod n của chữ ký đồng thời tính giá trị băm của văn bản Nếu 2 giá trị này nhƣ nhau thì tức là văn bản không bị thay đổi và đúng là do K gửi

2.4.2 Giải thuật ký số (DSA – Digital Signature Algorithm)

Giải thuật ký số là chuẩn của chính phủ Mỹ hoặc FIPS cho các chữ ký số Giải thuật này đƣợc đề nghị bởi Viện các tiêu chuẩn và công nghệ quốc gia (NIST) vào tháng 8/1991 để sử dụng trong chuẩn chữ ký số (DSS), đƣợc chỉ ra trong FIPS 1861, đƣợc chấp nhận năm 1993 Một sửa đổi nhỏ đƣợc đƣa ra năm 1996 trong FIPS 186-12, chuẩn đƣợc

mở rộng hơn năm 2000, đƣợc xem nhƣ FIPS 186-2 3

Chú ý: Trong FIPS-186-2, giả sử L luôn bằng 1024

Chọn h, với 1 < h < p - 1 sao cho g = h z

mod p > 1 (z = (p-1) / q) Chọn x ngẫu nhiên, thoả mãn 0 < x < q

Tính giá trị y = g x

mod p

Khoá công là (p, q, g, y) Khoá riêng là x

Chú ý (p, q, g) có thể dùng chung bởi nhiều người dùng trong hệ thống, nếu muốn FIPS 186-2 sử dụng SHA-224/256/384/512 như hàm băm, q với kích thước 224, 256,

384, và 512 bit, L nhận giá trị 2048, 3072, 7680, và 15360 tương ứng Có các giải thuật hiệu quả để tính toán các biểu thức mũ và lấy phần dư khi chia cho số nguyên tố lớn hzmod p và gx mod p

Hầu hết các số h đều thoả mãn yêu cầu, vì vậy giá trị 2 thông thường được sử dụng

Ký

Tạo 1 số ngẫu nhiên với mỗi thông điệp, giá trị k thỏa mãn 0 < k < q

Tính r = (g k mod p) mod q

Tính s = (k -1 (SHA-1(m) + x*r)) mod q, ở đây SHA-1(m) là hàm băm mã hoá SHA-1

áp dụng cho thông điệp m

Tính toán lại chữ ký trong trường hợp không chắc chắn khi r=0 hoặc s=0

Có năm thuật giải SHA là SHA-1 (trả lại kết quả dài 160 bit), SHA-224 (trả lại kết quả dài 224 bit), SHA-256 (trả lại kết quả dài 256 bit), SHA-384 (trả lại kết quả dài 384 bit), và SHA-512 (trả lại kết quả dài 512 bit) Thuật giải SHA là thuật giải băm mật được phát triển bởi cục an ninh quốc gia Mĩ (National Security Agency hay NSA) và được xuất bản thành chuẩn của chính phủ Mĩ bởi viện công nghệ và chuẩn quốc gia Mĩ (National Institute of Standards and Technology hay NIST) Bốn thuật giải sau thường được gọi chung là SHA-2

36

SHA-1 được sử dụng rộng rãi trong nhiều ứng dụng và giao thức an ninh khác nhau, bao gồm TLS và SSL, PGP, SSH, S/MIME, và IPSec SHA-1 được coi là thuật giải thay thế MD5, một thuật giải băm 128 bit phổ biến khác

Hiện nay, SHA-1 không còn được coi là an toàn bởi đầu năm 2005, ba nhà mật mã học người Trung Quốc đã phát triển thành công một thuật giải dùng để tìm được hai đoạn

dữ liệu nhất định có cùng kết quả băm tạo ra bởi SHA-1 Mặc dù chưa có ai làm được điều tương tự với SHA-2, nhưng vì về thuật giải, SHA-2 không khác biệt mấy so với SHA-1 nên nhiều nhà khoa học đã bắt đầu phát triển một thuật giải khác tốt hơn SHA NIST cũng đã khởi đầu một cuộc thi phát triển thuật giải băm mới an toàn hơn SHA, giống như quy trình phát triển chuẩn mã hóa tiên tiến (Advanced Encryption Standard hay AES)

SHA-2 bao gồm bốn giải thuật SHA-224, SHA-256, SHA-384 và SHA-512 Ba thuật giải SHA-256, SHA-384 và SHA-512 được xuất bản lần đầu năm 2001 trong bản phác thảo FIPS PUB 180-2 Năm 2002, FIPS PUB 180-2, bao gồm cả SHA-1 được chấp nhận thành chuẩn chính thức Năm 2004, FIPS PUB 180-2 được bổ sung thêm một biến thể - SHA-224, với mục đích tạo ra một biến thể SHA-2 có độ dài khóa trùng với DES ba lần với 2 khóa (2TDES) - 112 bit Những biến thể SHA-2 này được đăng ký Bằng sáng chế Hoa Kỳ số 6.829.355

Về giải thuật, các biến thể của SHA-2 không khác nhau Mặc dù chúng sử dụng giá trị biến và hằng số cũng như độ dài từ, v.v khác nhau

Mặc dù Gilbert và Handschuh (2003) đã nghiên cứu và không tìm ra điểm yếu của những biến thể này, chúng vẫn chưa được kiểm chứng kĩ như SHA-1

(Theo http://wikipedia.com)

3.3.1.3 Ứng dụng của chứng thực số

Email có thể được ký bằng chữ ký điện tử để người nhận có thể đảm bảo email này không phải là giả mạo Khi đó người gửi và người nhận phải sử dụng cùng một hệ thống chứng thực do một nhà cấp chứng thực số (CA – Certificate Authorities) cung cấp

Trong thực tế, chứng thực số được sử dụng nhiều nhất trong các giao dịch thương mại điện tử, đặt biệt là trong các hoạt động thanh toán trực tuyến của ngân hàng Một

Các hoạt động liên ngân hàng trong giao dịch điện tử cũng đều phải sử dụng chứng thực số nhằm xác định danh tính của mỗi bên, khẳng định trách nhiệm và các hoạt động của từng bên trong giao dịch Đây là quy trình bảo mật quan trọng cũng như là cơ sở về mặt pháp lý để có căn cứ khi thực hiện các giao dịch trực tuyến

Không chỉ nằm trong lĩnh vực thương mại điện tử, chứng thực số hiện còn được sử dụng như một dạng chứng minh thư cá nhân Tại các nước công nghệ phát triển, chứng thực số CA được tích hợp vào các chip nhớ nằm trong thẻ căn cước, thẻ tín dụng để tăng cường khả năng bảo mật, chống giả mạo, cho phép chủ thẻ xác thực danh tính của mình trên nhiều hệ thống khác nhau, chẳng hạn như xe bus, thẻ rút tiền ATM, kiểm soát hải quan, ra vào chung cư v.v

Bộ Thương mại chủ trì), Nghị định của Chính phủ về quản lý, cung cấp và sử dụng dịch

vụ chứng thực điện tử (Bộ Bưu chính - Viễn thông chủ trì), Nghị định của Chính phủ quy định việc nghiên cứu, sản xuất và sử dụng mật mã không thuộc phạm vi bí mật Nhà nước (Ban Cơ yếu Chính phủ chủ trì) Tuy nhiên, quá trình xây dựng còn chưa theo kịp nhu cầu

có Sắc lệnh về Giao dịch điện tử vào năm 2000 Thái Lan và Nhật Bản cũng đã có các văn bản luật liên quan đến giao dịch điện tử vào năm 2001

3 Hạ tầng khóa công khai (PKI – Public Key Infastructure)

Để triển khai được chữ ký số, việc cần thiết nhất là phải xây dựng được hệ thống PKI

3.1.Tổng quan về PKI

PKI là một cơ chế để bên thứ 3 có thể cung cấp và xác thực các bên tham gia vào quá trình trao đổi thông tin Cơ chế này cho phép gán mỗi người dùng trong hệ thống với một cặp khóa công khai và bí mật Các quá trình này được thực hiện bởi một phần phềm đặt tại trung tâm và các phần mềm khác đặt tại các địa điểm của người dùng Khóa công khai được phân phối rộng rãi trong PKI

PKI thường được dùng để chỉ toàn bộ hệ thống bao gồm nhà cung cấp chứng thực số

CA cùng các cơ chế liên quan đồng thời với toàn bộ các thuật toán mã hóa công khai trong trao đổi thông tin Tuy nhiên phần sau được bao gồm không hoàn toàn chính xác do các cơ chế trong PKI không nhất thiết phải sử dụng các thuật toán mã hóa công khai

3 2 Các thành phần của PKI

3.2.1 Các thành phần của PKI

PKI dựa vào một thiết bị mật mã để bảo đảm các khoá công khai được quản lý an toàn Các thiết bị này không hoạt động cùng lúc được thực hiện ở các hàm mảng rộng có liên quan đến việc quản lý phân phối khoá, bao gồm các thành phần sau:

- Chứng thực và đăng ký người dùng

- Kiểm tra tính toàn vẹn của khoá công khai

- Chứng thực yêu cầu trong quá trình bảo quản các khoá công khai

39

- Bí mật cấp phát khoá công khai

- Huỷ bỏ khoá công khai khi nó không có đủ giá trị độ dài

- Duy trì việc thu hồi các thông tin về khoá công cộng (CRL) và phân bổ thông tin (thông qua CRL cấp phát hoặc đáp ứng đến Online Certificate Status Protocol [OCSP] messages)

- Đảm bảo an toàn về độ lớn của khoá

Chứng thực khóa công khai (Public Key Certificate):

Mục tiêu của việc trao đổi khóa bất đối xứng là cấp phát một cách an toàn khóa công khai từ người gửi đến người nhận PKI tạo điều kiện cho việc trao đổi khóa an toàn để đảm bảo xác thực các bên trao đổi với nhau

Chứng thực khóa công khai được cấp phát bởi CA Người dùng đăng ký sử dụng, kích hoạt và được PKI chứng nhận theo quá trình sau:

-Người dùng đăng ký với CA hoặc RA (Registration Authorities) với các tiêu chí để nhận biết CA sẽ xác thực và cấp phát khóa công khai

- Người dùng tạo ra một cặp khóa công khai và bí mật rồi gửi đến CA

- CA lưu mật hiệu lên khóa công khai cùng với khóa bí mật để tạo một chứng thực khóa công khai cho người dùng

Lúc này người dùng có thể yêu cầu chứng thực khóa công khai từ các người dùng khác

Tổ chức đăng ký chứng thực (Registration Authorities):

Trong nhiều trường hợp, CA sẽ cung cấp tất cả các dịch vụ cần thiết của PKI để quản lý các khóa công khai bên trong mạng Tuy nhiên có nhiều trường hợp CA có thể uỷ nhiệm Cho RA Một số chức năng mà CA có thể uỷ nhiệm thay thế cho RA như:

- Kiểm tra người dùng đã đăng ký khóa công khai với CA để có khóa bí mật mà được dùng để kết hợp với khóa công khai

- Cấp phát cặp khóa công khai và bí mật dùng để khởi tạo quá trình đăng ký

- Xác nhận các thông số của khóa công khai

- Cấp phát gián tiếp các Certificate Revocation List (CRL)